Appena trascorso San Valentino, ricordo che il mio “innamoramento” per la criminalità informatica e per la sicurezza digitale risale al 1986. In questo arco temporale ultratrentennale mi sono adoperato partendo da un timido “petting” intellettuale fino ad arrivare a rapporti più completi (la mia inarrestabile vena goliardica mi impone di mantenere il fil rouge dell’approccio sex-sentimentale) con una tematica capace di sedurre anche i più frigidi.
Ho giocato a fare il cacciatore di hacker e spesso la fortuna e una ottima squadra (il mitico Gat della Guardia di Finanza) hanno contribuito a non farmi mancare le soddisfazioni e a lenire il dispiacere di qualche risultato mancato. Adesso in veste di pur privilegiato spettatore, siedo felicemente in curva ma ancora mi infiammo quando vedo che le parole continuano a prevalere sui fatti, il tutto con enorme pregiudizio per il Paese e per i cittadini.
Stanco di vedere le solite slide e di sentir ripetere ormai tradizionali giaculatorie di buoni propositi, non frequento più convegni, workshop, congressi e seminari. E così – lontano dalla tentazione di ingurgitar tramezzini e sandwich, gli unici a differenziare i tanti eventi in tema di cyber – mi sono perso Itasec19 che ho letto essersi tenuto a Pisa proprio in questi giorni. Peccato, perché – a scorrere le recensioni dell’evento – in quell’occasione è stata svelata la strategia italiana in tema di sicurezza cibernetica.
Tre sarebbero gli ingredienti per mettere al sicuro il sistema nervoso tecnologico italiano.
1) Protezione dell’area critica dei servizi e delle infrastrutture con disposizioni normative che stabiliscano adempimenti obbligatori
Se bastassero le leggi con i loro obblighi e i loro divieti il gioco sarebbe semplice. In un Paese in cui condoni e rottamazioni trasformano incalliti evasori fiscali (che altrove marcirebbero in galera) in encomiabili redenti cui riconoscere il merito di contribuire con qualche spicciolo al risanamento economico e finanziario nazionale, rimane un po’ difficile pensare che articoli e commi possano blindare una situazione la cui fragilità è troppo frequentemente testimoniata da incursioni informatiche che si prendono gioco di istituzioni e grandi aziende.
Gli adempimenti obbligatori in materia di sicurezza informatica sono stati dettati già dalla legge 675/96 (la prima norma sulla riservatezza dei dati in Italia) e dal successivo Dpr 318/99 (arrivato dopo quasi tre anni dopo che la 675 ne aveva fissato il varo entro pochi mesi), poi dall’allegato B al d.lgs. 196/2003 (Codice della privacy) e infine dal Regolamento Europeo 679/2016 o Gdpr: nessuno (o quasi) ha fatto nulla di serio. La mancata adozione di cautele e protezioni vanifica persino la possibilità di far valere le norme sul crimine informatico introdotte nel codice penale dal Dpr 547/93 e dalla legge 48/2008, norme che dicono che il reato si configura solo nei confronti di “sistemi informatici protetti da misure di sicurezza”. Ciò nonostante, nulla.
Ma se davvero una legge marziale della sicurezza informatica venisse varata, chi dovrebbe poi verificarne l’effettivo rispetto da parte dei destinatari della norma? Con quali
poteri? Con quali mezzi? Con quali persone?
2) Definizione degli standard per il procurement pubblico
Chi parla di standard per gli acquisti fatti dalla Pubblica Amministrazione potrebbe dare uno sguardo a quello che fa (e a come) la General Service Administration statunitense. In Italia ci provarono Guido Rey e il compianto Ferrante Pierantoni, ai vertici dell’allora Autorità per l’Informatica nella Pubblica Amministrazione. Due giganti di cultura e di prospettiva verso il futuro non riuscirono in una missione troppo grande anche per loro: l’immaturità (permanente) del burosauro italico stroncò ogni velleità di cambiamento. Potrebbe oggi qualche lillipuziano raggiungere l’obiettivo?
Il vero problema, infatti, sta nella sostanziale incapacità di committenza e nel non saper/voler assumersi responsabilità al termine di un processo decisionale che possa giustificare scelte e preferenze. Siamo il Paese in cui si sbandierano “analisi costi/benefici” e nessuno ha certezza di quali dati siano impiegati per le valutazioni, quale ne sia l’origine e l’attendibilità, quali siano i riscontri eseguiti, quali modelli di simulazione siano stati adottati.
A margine della centralizzazione degli acquisti per la Pa (radicata da tempo e di cui non si fa certo mistero dell’insoddisfazione degli utenti e dei fornitori), interverrebbero standard e indicazioni da parte delle competenti articolazioni governative. Ma chi deve provvedere? Ed ecco il terzo punto…
3) costituzione del Centro Nazionale per la Valutazione e Certificazione collocato presso il Ministero dello Sviluppo Economico
L’annuncio della costituzione del Cnvc sembra lasciar intendere che il mare – che solitamente separa il dire dal fare – stia per essere solcato. I più tignosi, però, si lasciano assalire dal dubbio di averne già sentito parlare. I più acidi tra loro ricordano anche un articolo apparso nella primavera 2017 sul sito web di Agenda Digitale.eu intitolato “Le tre novità che cambieranno la cyber security nazionale” e qualcuno è tornato a rileggerlo.
E tutti, preoccupati di doversi rimboccare le maniche già nell’incombente week end, hanno tirato un sospiro di sollievo. La storia riporta all’ex premier Gentiloni e, se finora non è ancora successo nulla, inutile affrettarsi… Se tra due anni qualcuno – parlando di novità in tema di cyber – ne conterà “due” o “quattro”, scopriremo quale è venuta meno o quale si sia aggiunta, avendo comunque certezza che ci si sta lavorando.
Umberto Rapetto
Giornalista, scrittore e docente universitario
Tecnologia - 16 Febbraio 2019
Cybersecurity, tre (quasi) novità che ci salveranno dai rischi
Appena trascorso San Valentino, ricordo che il mio “innamoramento” per la criminalità informatica e per la sicurezza digitale risale al 1986. In questo arco temporale ultratrentennale mi sono adoperato partendo da un timido “petting” intellettuale fino ad arrivare a rapporti più completi (la mia inarrestabile vena goliardica mi impone di mantenere il fil rouge dell’approccio sex-sentimentale) con una tematica capace di sedurre anche i più frigidi.
Ho giocato a fare il cacciatore di hacker e spesso la fortuna e una ottima squadra (il mitico Gat della Guardia di Finanza) hanno contribuito a non farmi mancare le soddisfazioni e a lenire il dispiacere di qualche risultato mancato. Adesso in veste di pur privilegiato spettatore, siedo felicemente in curva ma ancora mi infiammo quando vedo che le parole continuano a prevalere sui fatti, il tutto con enorme pregiudizio per il Paese e per i cittadini.
Stanco di vedere le solite slide e di sentir ripetere ormai tradizionali giaculatorie di buoni propositi, non frequento più convegni, workshop, congressi e seminari. E così – lontano dalla tentazione di ingurgitar tramezzini e sandwich, gli unici a differenziare i tanti eventi in tema di cyber – mi sono perso Itasec19 che ho letto essersi tenuto a Pisa proprio in questi giorni. Peccato, perché – a scorrere le recensioni dell’evento – in quell’occasione è stata svelata la strategia italiana in tema di sicurezza cibernetica.
Tre sarebbero gli ingredienti per mettere al sicuro il sistema nervoso tecnologico italiano.
1) Protezione dell’area critica dei servizi e delle infrastrutture con disposizioni normative che stabiliscano adempimenti obbligatori
Se bastassero le leggi con i loro obblighi e i loro divieti il gioco sarebbe semplice. In un Paese in cui condoni e rottamazioni trasformano incalliti evasori fiscali (che altrove marcirebbero in galera) in encomiabili redenti cui riconoscere il merito di contribuire con qualche spicciolo al risanamento economico e finanziario nazionale, rimane un po’ difficile pensare che articoli e commi possano blindare una situazione la cui fragilità è troppo frequentemente testimoniata da incursioni informatiche che si prendono gioco di istituzioni e grandi aziende.
Gli adempimenti obbligatori in materia di sicurezza informatica sono stati dettati già dalla legge 675/96 (la prima norma sulla riservatezza dei dati in Italia) e dal successivo Dpr 318/99 (arrivato dopo quasi tre anni dopo che la 675 ne aveva fissato il varo entro pochi mesi), poi dall’allegato B al d.lgs. 196/2003 (Codice della privacy) e infine dal Regolamento Europeo 679/2016 o Gdpr: nessuno (o quasi) ha fatto nulla di serio. La mancata adozione di cautele e protezioni vanifica persino la possibilità di far valere le norme sul crimine informatico introdotte nel codice penale dal Dpr 547/93 e dalla legge 48/2008, norme che dicono che il reato si configura solo nei confronti di “sistemi informatici protetti da misure di sicurezza”. Ciò nonostante, nulla.
Ma se davvero una legge marziale della sicurezza informatica venisse varata, chi dovrebbe poi verificarne l’effettivo rispetto da parte dei destinatari della norma? Con quali
poteri? Con quali mezzi? Con quali persone?
2) Definizione degli standard per il procurement pubblico
Chi parla di standard per gli acquisti fatti dalla Pubblica Amministrazione potrebbe dare uno sguardo a quello che fa (e a come) la General Service Administration statunitense. In Italia ci provarono Guido Rey e il compianto Ferrante Pierantoni, ai vertici dell’allora Autorità per l’Informatica nella Pubblica Amministrazione. Due giganti di cultura e di prospettiva verso il futuro non riuscirono in una missione troppo grande anche per loro: l’immaturità (permanente) del burosauro italico stroncò ogni velleità di cambiamento. Potrebbe oggi qualche lillipuziano raggiungere l’obiettivo?
Il vero problema, infatti, sta nella sostanziale incapacità di committenza e nel non saper/voler assumersi responsabilità al termine di un processo decisionale che possa giustificare scelte e preferenze. Siamo il Paese in cui si sbandierano “analisi costi/benefici” e nessuno ha certezza di quali dati siano impiegati per le valutazioni, quale ne sia l’origine e l’attendibilità, quali siano i riscontri eseguiti, quali modelli di simulazione siano stati adottati.
A margine della centralizzazione degli acquisti per la Pa (radicata da tempo e di cui non si fa certo mistero dell’insoddisfazione degli utenti e dei fornitori), interverrebbero standard e indicazioni da parte delle competenti articolazioni governative. Ma chi deve provvedere? Ed ecco il terzo punto…
3) costituzione del Centro Nazionale per la Valutazione e Certificazione collocato presso il Ministero dello Sviluppo Economico
L’annuncio della costituzione del Cnvc sembra lasciar intendere che il mare – che solitamente separa il dire dal fare – stia per essere solcato. I più tignosi, però, si lasciano assalire dal dubbio di averne già sentito parlare. I più acidi tra loro ricordano anche un articolo apparso nella primavera 2017 sul sito web di Agenda Digitale.eu intitolato “Le tre novità che cambieranno la cyber security nazionale” e qualcuno è tornato a rileggerlo.
E tutti, preoccupati di doversi rimboccare le maniche già nell’incombente week end, hanno tirato un sospiro di sollievo. La storia riporta all’ex premier Gentiloni e, se finora non è ancora successo nulla, inutile affrettarsi… Se tra due anni qualcuno – parlando di novità in tema di cyber – ne conterà “due” o “quattro”, scopriremo quale è venuta meno o quale si sia aggiunta, avendo comunque certezza che ci si sta lavorando.
Articolo Precedente
Xiaomi Mi 8 Pro è lo smartphone top di gamma fatto per chi vuole distinguersi
Articolo Successivo
Giorgio Mangano, il simdriver italiano della Williams Esports racconta il suo percorso nel gaming competitivo
Gentile lettore, la pubblicazione dei commenti è sospesa dalle 20 alle 9, i commenti per ogni articolo saranno chiusi dopo 72 ore, il massimo di caratteri consentito per ogni messaggio è di 1.500 e ogni utente può postare al massimo 150 commenti alla settimana. Abbiamo deciso di impostare questi limiti per migliorare la qualità del dibattito. È necessario attenersi Termini e Condizioni di utilizzo del sito (in particolare punti 3 e 5): evitare gli insulti, le accuse senza fondamento e mantenersi in tema con la discussione. I commenti saranno pubblicati dopo essere stati letti e approvati, ad eccezione di quelli pubblicati dagli utenti in white list (vedere il punto 3 della nostra policy). Infine non è consentito accedere al servizio tramite account multipli. Vi preghiamo di segnalare eventuali problemi tecnici al nostro supporto tecnico La Redazione
Mondo
Usa: “Telefonata Trump-Putin? Pace mai così vicina”. “Il tycoon pensa a riconoscere la Crimea come russa”. Armi, l’Ue vuole altri 40 miliardi dai “volenterosi”
Mondo
Contro Trump il Canada si fa scudo anche con la corona: “Noi e Regno Unito sovrani sotto lo stesso re”
Mondo
Scontro a distanza Francia-Usa. “Ridateci la statua della libertà”, “Non parli tedesco grazie a noi”
Kiev, 17 mar. (Adnkronos) - Il presidente ucraino Volodymyr Zelensky ha annunciato su X di aver parlato con il presidente francese Emmanuel Macron: "Come sempre scrive - è stata una conversazione molto costruttiva. Abbiamo discusso i risultati dell'incontro online dei leader svoltosi sabato. La coalizione di paesi disposti a collaborare con noi per realizzare una pace giusta e duratura sta crescendo. Questo è molto importante".
"L'Ucraina è pronta per un cessate il fuoco incondizionato di 30 giorni - ha ribadito Zelensky - Tuttavia, per la sua attuazione, la Russia deve smettere di porre condizioni. Ne abbiamo parlato anche con il Presidente Macron. Inoltre, abbiamo parlato del lavoro dei nostri team nel formulare chiare garanzie di sicurezza. La posizione della Francia su questa questione è molto specifica e la sosteniamo pienamente. Continuiamo a lavorare e a coordinare i prossimi passi e contatti con i nostri partner. Grazie per tutti gli sforzi fatti per raggiungere la pace il prima possibile".
Washington, 17 mar. (Adnkronos) - il presidente americano Donald Trump ha dichiarato ai giornalisti che il leader cinese Xi Jinping visiterà presto Washington, a causa delle crescenti tensioni commerciali tra le due maggiori economie mondiali. Lo riporta Newsweek. "Xi e i suoi alti funzionari" arriveranno in un "futuro non troppo lontano", ha affermato Trump.
Washington, 17 mar. (Adnkronos) - Secondo quanto riferito su X dal giornalista del The Economist, Shashank Joshi, l'amministrazione Trump starebbe valutando la possibilità di riconoscere la Crimea ucraina come parte del territorio russo, nell'ambito di un possibile accordo per porre fine alla guerra tra Russia e Ucraina.
"Secondo due persone a conoscenza della questione, l'amministrazione Trump sta valutando di riconoscere la regione ucraina della Crimea come territorio russo come parte di un eventuale accordo futuro per porre fine alla guerra di Mosca contro Kiev", si legge nel post del giornalista.
Tel Aviv, 17 mar. (Adnkronos) - Secondo un sondaggio della televisione israeliana Channel 12, il 46% degli israeliani non è favorevole al licenziamento del capo dello Shin Bet, Ronen Bar, da parte del primo ministro Benjamin Netanyahu, rispetto al 31% che sostiene la sua rimozione. Il risultato contrasta con il 64% che, in un sondaggio di due settimane fa, sosteneva che Bar avrebbe dovuto dimettersi, e con il 18% che sosteneva il contrario.
Tel Aviv, 17 mar. (Adnkronos) - Il ministero della Salute libanese ha dichiarato che almeno sette persone sono state uccise e 52 ferite negli scontri scoppiati la scorsa notte al confine con la Siria. "Gli sviluppi degli ultimi due giorni al confine tra Libano e Siria hanno portato alla morte di sette cittadini e al ferimento di altri 52", ha affermato l'unità di emergenza del ministero della Salute.
Beirut, 17 mar. (Adnkronos/Afp) - Hamas si starebbe preparando per un nuovo raid, come quello del 7 ottobre 2023, penetrando ancora una volta in Israele. Lo sostiene l'israeliano Channel 12, in un rapporto senza fonti che sarebbe stato approvato per la pubblicazione dalla censura militare. Il rapporto afferma inoltre che Israele ha riscontrato un “forte aumento” negli sforzi di Hamas per portare a termine attacchi contro i kibbutz e le comunità al confine con Gaza e contro le truppe dell’Idf di stanza all’interno di Gaza.
Cita inoltre il ministro della Difesa Israel Katz, che ha detto di recente ai residenti delle comunità vicine a Gaza: "Hamas ha subito un duro colpo, ma non è stato sconfitto. Ci sono sforzi in corso per la sua ripresa. Hamas si sta costantemente preparando a effettuare un nuovo raid in Israele, simile al 7 ottobre". Il servizio televisivo arriva un giorno dopo che il parlamentare dell'opposizione Gadi Eisenkot, ex capo delle Idf, e altri legislatori dell'opposizione avevano lanciato l'allarme su una preoccupante recrudescenza dei gruppi terroristici di Gaza.
"Negli ultimi giorni, siamo stati informati che il potere militare di Hamas e della Jihad islamica palestinese è stato ripristinato, al punto che Hamas ha oltre 25.000 terroristi armati, mentre la Jihad ne ha oltre 5.000", hanno scritto i parlamentari, tutti membri del Comitato per gli affari esteri e la difesa.
Tel Aviv, 17 mar. (Adnkronos/Afp) - L'attacco israeliano nei pressi della città di Daraa, nel sud della Siria, ha ucciso due persone. Lo ha riferito l'agenzia di stampa statale siriana Sana.
"Due civili sono morti e altri 19 sono rimasti feriti in attacchi aerei israeliani alla periferia della città di Daraa", ha affermato l'agenzia di stampa, mentre l'esercito israeliano ha affermato di aver preso di mira "centri di comando e siti militari appartenenti al vecchio regime siriano".