******************************************************
IT SERVICE MANAGEMENT NEWS – GENNAIO 2023
******************************************************
Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT, qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza Creative Commons Attribution 4.0 International License (creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali.
******************************************************
Indice
01- Mio articolo sulle competenze per la sicurezza delle informazioni
02- I rischi umani di sicurezza informatica
03- Arrestare gli amministratori di sistema
04- ISO/IEC TS 22237 sui data center, certificazioni e accreditamento
05- Regolamenti DORA e Direttive DORA, NIS2 e CER
06- Attacco a LastPass
07- Tassonomia incidenti ACN
******************************************************
01- Mio articolo sulle competenze per la sicurezza delle informazioni
Segnalo questo mio articolo dal titolo "Sicurezza delle informazioni: come formare le competenze che servono":
- https://www.agendadigitale.eu/cultura-digitale/competenze-digitali/sicurezza-delle-informazioni-le-competenze-necessarie-e-le-opportunita-di-formazione/.
Mi sono molto divertito a scriverlo e spero sia di interesse.
******************************************************
02- I rischi umani di sicurezza informatica
Segnalo questo articolo da un tweet di Rebus dal titolo "Errori, stanchezza, computer smarriti: quando il fattore umano mette a rischio la sicurezza informatica":
- https://www.wired.it/article/fattore-umano-sicurezza-informatica/.
Nulla di nuovo, ma è bene ripassarlo.
A mio parere, poi, troppi puntano sulla formazione e la consapevolezza delle persone, ma queste sono, per nostra natura, inaffidabili. Io ritengo che la sicurezza debba essere innanzitutto tecnologica, da ovviamente affiancare a quella umana. Continuo a dirlo: già le persone non bloccano i propri dispositivi e, se possono, non impostano una password; figuriamoci stare attenti.
******************************************************
03- Arrestare gli amministratori di sistema
Da Crypto-gram di gennaio, segnalo questo articolo dal titolo "Albanian IT staff charged with negligence over cyberattack":
- https://apnews.com/article/iran-europe-middle-east-albania-tirana-39fce9b5fe112a43f8b35a533b6d29e8.
Il procuratore ha chiesto l'arresto di 5 amministratori di sistema per mancate verifiche degli aggiornamenti e del software antivirus. Questo avrebbe poi portato al successo alcuni attacchi dall'Iran.
Come dice Bruce Schneier, poi bisognerà arrestare anche i manager delle società che producono software perché non pubblicano abbastanza velocemente le patch e gli sviluppatori perché ci sono bug nel software.
Certamente è un metodo per migliorare il livello di sicurezza informatica.
******************************************************
04- ISO/IEC TS 22237 sui data center, certificazioni e accreditamento
Segnalo questo mio articolo dal titolo " Standard ISO/IEC TS 22237 per i data center: i punti critici nello schema di certificazione Accredia":
- https://www.cybersecurity360.it/soluzioni-aziendali/standard-iso-iec-ts-22237-per-i-data-center-i-punti-critici-nello-schema-di-certificazione-accredia/.
Mi pare che il titolo annunci già a sufficienza il contenuto. Mi piacerebbe ricevere commenti.
******************************************************
05- Regolamenti DORA e Direttive DORA, NIS2 e CER
Si è molto parlato negli ultimi tempi della prossima pubblicazione delle normative in oggetto. Una breve sintesi si trova in questo articolo:
- https://formiche.net/2022/12/regolamento-tre-direttive-ue-cyber/.
La più importante è la Direttiva NIS2 2022/2555, di cui già scrissi in precedenza e che dovrà essere recepita dagli Stati membri entro fine 2024:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555
Importante è il Regolamento DORA 2022/2554, per il settore finanziario:
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022R2554.
Il DORA è accompagnato dalla Direttiva 2022/2556 per allineare le direttive esistenti al Regolamento:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2556.
Infine la Direttiva CER 2022/2557 sulle infrastrutture critiche (che abroga la precedente Direttiva 2008/114/CE):
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2557
Per quest'ultima devo ancora capire bene come si interseca con la NIS2. Mi sembra di capire che stabilisca ulteriori misure per alcuni soggetti particolarmente critici, oltre a quanto stabilito dalla NIS2. Ho trovato questo articolo:
- https://www.dirittobancario.it/art/la-direttiva-cer-sulla-resilienza-dei-soggetti-critici/.
******************************************************
06- Attacco a LastPass
LastPass è uno dei più noti password manager e poco prima di Natale è stato compromesso:
- https://www.wired.com/story/lastpass-breach-vaults-password-managers/.
L'articolo segnala strumenti alternativi (oltre a essere critico su alcune pratiche di sicurezza e di comunicazione di LastPass).
Dal rapporto di LastPass (https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/), sembra che sia stato compromesso un loro repository su cloud in agosto (in cui erano conservati i backup), da cui i criminali hanno ricavato informazioni per un ulteriore attacco a fine novembre. Se ho capito correttamente, l'uso di MFA non era previsto.
Questa storia è importante per ricordarci che strumenti di sicurezza molto utili portano con se anche diversi rischi. Oltre che per ricordarci che è meglio usare il MFA.
Notizia presa dal SANS NewsBites.
******************************************************
07- Tassonomia incidenti ACN
ACN ha elaborato una tassonomia di incidenti informatici per le notifiche da parte delle organizzazioni del Perimetro di Sicurezza Nazionale Cibernetica:
- https://www.acn.gov.it/notizie/contenuti/si-rafforza-il-perimetro-nazionale-di-sicurezza-cibernetica.
La tassonomia, in Allegato A della Determina del 3 gennaio 2023, si trova al momento in Gazzetta ufficiale (grazie a Franco Vincenzo Ferrari per avermela segnalata) ed è previsto venga pubblicato sul sito di ACN del CSIR Italia:
- www.gazzettaufficiale.it/eli/id/2023/01/10/23A00114/sg.
I tipi di incidente sono raggruppati in sole 15 categorie e già questa mi sembra una buona notizia. Per il resto, bisognerà valutare la bontà di questo elenco tra qualche tempo, dopo che sarà stato effettivamente utilizzato.
******************************************************
EONL