Sicurezza

Sicurezza delle informazioni e delel reti

Hacker, in 117 mila sotto attacco (Italia Oggi, 13 ottobre 2014)

il-sole24ore-logo

Oltre 117 mila attacchi informatici al giorno a danno delle aziende di tutto il mondo. Indagine realizzata da PwC, CIO e CSO: gli impiegati tra i maggiori responsabili

  • Pagina a cura di Valerio Stroppa  

In totale nel 2014 saranno quasi 43 milioni, con una crescita del 48% rispetto allo scorso anno.
Aumenta anche l’impatto economico delle frodi: quando gli hacker vanno a segno, i danni si attestano in media a 2,7 milioni di dollari, mentre decuplica il numero delle grandi aziende che subiscono perdite per oltre 20 milioni (banche, gestori carte di credito, motori di ricerca ecc.).
È quanto emerge dalla Global State of Information Security Survey 2015  , curata da PwC, CIO e CSO.
La ricerca ha coinvolto 9.700 top manager (ceo, cfo, cio, cso), addetti IT e responsabili delle procedure di sicurezza di 154 paesi.
Nonostante le preoccupazioni crescenti, tuttavia, dal sondaggio emerge che le spese per la sicurezza informatica sono globalmente diminuite del 4% rispetto al 2013.
Complice la crisi economica che riduce o azzera gli investimenti, negli ultimi cinque anni la percentuale di spesa per la cybersecurity all’interno dei budget IT è rimasta al 4% o diminuita.
Le grandi aziende sono i bersagli preferiti dagli hacker, perché detengono informazioni di maggior valore.
Le realtà con fatturato superiore al miliardo di dollari hanno registrato il 44% di incidenti in più rispetto all’anno precedente.
Tuttavia, le imprese più strutturate sono quelle che presentano le difese migliori.
Motivo per cui i criminali del web stanno iniziando a colpire anche le piccole e medie imprese.
Che in Italia rappresentano oltre il 95% del tessuto produttivo.
«Non sorprende che i casi di violazione della cybersecurity crescano ogni anno, insieme all’impatto finanziario che ne deriva», spiega Fabio Merello, responsabile cybersecurity di PwC Italia «tuttavia, la rilevanza di tali violazioni diventa maggiore se consideriamo le modalità di individuazione e gestione di tali eventi. Gli attacchi sono sempre più sofisticati. È fondamentale identificare procedure che integrino al massimo capacità predittive, preventive, di indagine e di risposta in caso di violazioni, per minimizzarne gli impatti negativi».
La ricerca analizza i responsabili delle violazioni ai sistemi di sicurezza informatica.
Nella maggior parte dei casi si tratta di impiegati della società o ex dipendenti, ma cresce pure il coinvolgimento di service provider (+15%) e consulenti esterni (+17%).
La survey rileva poi un incremento del 64% di incidenti attribuiti all’iniziativa di aziende concorrenti, alcune delle quali «probabilmente supportate dai rispettivi governi».
Un ulteriore aspetto affrontato dallo studio consiste nella ridotta sensibilità delle figure apicali dell’azienda ai rischi connessi alla sicurezza informatica.
Solo il 49% degli intervistati afferma di aver adottato un team multidisciplinare che periodicamente si riunisce per discutere, coordinare e comunicare informazioni che riguardano tali aspetti.
«I rischi legati alla sicurezza informatica non verranno mai completamente eliminati e con la crescita del cybercrime le società devono essere preparate e vigili nell’ambito di uno scenario in costante evoluzione», conclude Merello, «le aziende devono passare da un modello di sicurezza tradizionale, concentrato su prevenzione e controllo, a un approccio basato sulla gestione del rischio che sia in grado di dare priorità agli asset di maggior valore e valuti le minacce incombenti».

 

ComplianceNet: 

OWASP: Testing Guide versione 4 (19 settembre 2014)

140919-OWTGv4 Cover2.jpg

Cos’è OWASP?

The Open Web Application Security Project (OWASP) è una iniziativa internazionale volta alla diffusione della cultura della sicurezza delle applicazioni web che ha costituito una comunità aperta e libera di esperti di ICT security.
La mission di OWASP è fare informazione e divulgazione sul testa della web security in modo tale che aziende, enti, professionisti e utenti  possano affrontare in modo consapevole i rischi della sicurezza informatica legati al web.
Chiunque può liberamente partecipare alle iniziative OWASP, contribuire alle sue pubblicazioni ed utilizzare le sue guide e manuali.
In Italia il progetto è rappresentato da OWASP Italy  condotto da Matteo Meucci, Chief Executive Officer di Minded Security

OWASP Testing Guide v.4

Il 17 settembre 2014 OWASP ha annunciato la pubblicazione della “Testing Guide versione 4” (pdf, 2.2 M 111 pp.)
La guida è un framework per i test di sicurezza delle applicazioni e servizi web basato sulla raccolta delle migliori “best practice” di penetration test.
Rispetto alle precedente versione 3 nella nuova edizione sono stati apportati tre cambiamenti significativi:

  1. integrazione della “Testing Guide” con altri 2 prodotti di OWASP: la “Developers Guide” e la “Code Review Guide” grazie all’allineamento della numerazione e classificazione dei test.
  2. Aumento dei “test case” ora 87 rispetto ai 64 della precedente versione con l’introduzione di quattro nuovi capitoli e controlli:
    • Test Identity Management
    • Gestione degli errori
    • Crittografia
    • Test lato client
  3. Stretta integrazione con la comunità internazionale dei “security tester” che ha contribuito alla redazione del documento che darà in continua evoluzione permettendo l’aggiornamento e l’inserimento di nuovi “test case”.

3 ottobre 2014 - convegno OWASP e Isaca Venezia

Il 3 ottobre 2014 a Venezia si terrà il convegno “Application Security: internet, mobile ed oltre. Sicurezza delle applicazioni mobile”, seconda edizione del Convegno organizzato da ISACA VENICE, OWASP, Università Ca’ Foscari di Venezia – Dipartimento di Scienze Ambientali Informatica e Statistica.
Fra i relatori: Christian Martorella di Skype, Marco Balduzzi di Trend Micro, Matteo Meucci di OWASP e Minded Security.
La partecipazione è gratuita.
Brochure (pdf, 548 K 10 pp.)

Allegati

  • OWASP, “Testing Guide versione 4”, 17 settembre 2014 (pdf, 2.2 M 111 pp.), project leaders: Matteo Meucci e Andrew Muller, licenza: Creative Commons (CC) Attribution Share-Alike

 

ComplianceNet: 

Nuovo regolamento europeo in materia di identificazione elettronica e servizi fiduciari (Assonime, 11 settembre 2014)

140915-logo-assonime.jpg

Il 28 agosto 2014 è stato pubblicato sulla Gazzetta ufficiale dell’Unione Europea il regolamento UE n. 910/2014 del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, che abroga la direttiva 1999/93/CEE sulle firme elettroniche.
Il regolamento, che verrà applicato direttamente negli Stati membri, entra in vigore il 17 settembre 2014 e si applica a decorrere dal 1° luglio 2016 ad eccezione di alcune specifiche disposizioni.
Questo regolamento è volto a rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure tra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, dell’e-business e del commercio elettronico, nell’Unione Europea.
In particolare il regolamento fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione elettronica di un altro Stato membro; fornisce un quadro giuridico relativo alle firme elettroniche, ai sigilli elettronici, ai documenti elettronici, alla validazione temporale elettronica, ai servizi elettronici di recapito, all’autenticazione di siti web; disciplina le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche.
Riguardo all’identificazione elettronica il regolamento lascia impregiudicata la libertà degli Stati membri di stabilire quali strumenti di identificazione elettronica utilizzare per l’accesso ai servizi on-line nel proprio territorio.
Viene sancito però l’obbligo di assicurare il mutuo riconoscimento dei mezzi di identificazione elettronica rilasciati in un altro Stato membro per accedere ad un servizio pubblico on-line, a condizione che questi mezzi di identificazione  rientrino in un regime di identificazione elettronica notificato alla Commissione e vengano soddisfatte alcune condizioni relative ai livelli di garanzia. Un regime di identificazione elettronica è ammesso alla notifica se soddisfa una serie specifica di condizioni. La Commissione pubblica un elenco dei regimi di identificazione elettronica notificati.
Gli Stati membri dovrebbero incoraggiare anche il settore privato a impiegare volontariamente mezzi di identificazione elettronica nell’ambito di un regime notificato a fini di identificazione quando è necessario per servizi on-line o transazioni elettroniche.
Con specifico riferimento alle firme elettroniche, il regolamento chiarisce che non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali di una firma elettronica per il solo motivo della sua forma elettronica  o perché non soddisfa i requisiti per le firme elettroniche qualificate.
Viene stabilito che una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa; inoltre, sono fissati i requisiti che deve soddisfare una firma elettronica avanzata.
La firma elettronica basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta come firma elettronica qualificata in tutti gli altri Stati membri.
Per le persone giuridiche sono previsti sigilli elettronici a cui sono riconosciuti effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali. I sigilli elettronici qualificati godono della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo è associato. Un sigillo elettronico qualificato basato su un certificato qualificato rilasciato in uno Stato membro è riconosciuto come sigillo qualificato in tutti gli altri Stati membri. Come per le firme elettroniche vengono specificati i requisiti che deve presentare un sigillo elettronico avanzato.
Per quanto attiene ai servizi fiduciari il regolamento disciplina la responsabilità e l’onere della prova  per danni causati in seguito ad un mancato adempimento da parte dei prestatori di servizi fiduciari degli obblighi previsti nel regolamento.

Sono previsti i requisiti di sicurezza che devono essere rispettati dai prestatori di servizi fiduciari. Il regolamento stabilisce specifiche condizioni per avviare un servizio fiduciario qualificato e i requisiti da rispettare quando il prestatore rilascia un certificato qualificato per un servizio fiduciario. Infine, gli Stati membri devono designare un organismo di vigilanza che ha il compito di vigilare sui prestatori di servizi fiduciari qualificati e non qualificati.

 

ComplianceNet: 

Una stretta sul furto di identità (Italia Oggi, 4 settembre 2014)

il-sole24ore-logo

Piattaforma del Mineconomia al via entro fine anno. Accesso agli intermediari. Banca dati analizzerà la veridicità delle informazioni

  • di Cristina Bartelli

Arriva la banca dati del ministero dell’economia contro il furto di identità.
Entro la fine dell’anno gli intermediari finanziari potranno, prima di concedere un finanziamento per il credito al consumo o aprire un conto corrente, interrogare il cervellone elettronico del Mef per sapere se chi sta chiedendo il finanziamento non abbia taroccato i dati e sia chi dice di essere.
L’iscrizione è obbligatoria per gli intermediari finanziari, e al momento l’accesso è aperto anche alle società di telefonia in prospettiva di allargare ad altri utenti la facoltà di interrogazione.
Il finanziamento della piattaforma, che sarà gestita da Consap, è garantito dagli accessi.
Per ogni interrogazione infatti l’intermediario pagherà per l’informazione ricevuta.
Informazione che arriverà in tempi rapidi e avrà la caratteristica del semaforo: rossa se è stato trovato un problema, verde se il documento fornito è in regola.
La verifica sarà fatta su passaporti, carte di identità e carte di credito.
A prevedere la creazione della banca dati sul furto di identità è una norma del 2011 (decreto legislativo 11 aprile 2011, n. 64).
Ora, secondo quanto ItaliaOggi è in grado di anticipare, si è arrivati alle ultime battute del progetto con la firma, da parte dei soggetti coinvolti, delle convenzioni per l’accesso alle informazioni.
La piattaforma messa in piedi dalla quinta direzione del ministero dell’economia non è una nuova banca dati, ma funziona come una sorta di imbuto: la richiesta viene inviata e smistata ad altre sei banche dati (tra le altre agenzia delle Entrate e Inps) che possono fare una verifica quasi in tempo reale sulla veridicità del dato inserito.
Per furto di identità la direzione del Tesoro intende l’impersonificazione totale e cioè occultamento totale della propria identità mediante l’utilizzo indebito di dati relativi all’identità e al reddito di un altro soggetto; e l’impersonificazione parziale: occultamento parziale della propria identità mediante l’impiego, in forma combinata, di dati relativi alla propria persona e l’utilizzo indebito di dati relativi a un altro soggetto, nell’ambito di quelli di cui al punto precedente.
L’archivio centrale, infine, potrà essere consultato dalle forze di polizia per gli aspetti connessi all’analisi dei fenomeni criminali e di prevenzione dei reati finanziari.
Secondo gli ultimi dati disponibili di Crif (società specializzata nello sviluppo e nella gestione di sistemi di informazioni creditizie) che monitora il fenomeno, nel 2013 sono state rilevate più di 26 mila frodi creditizie, per perdite economiche stimate complessivamente in 162 milioni di euro.
Con un +8,3% rispetto all’anno precedente.
E proprio con il perdurare della crisi si è assistito, nel settore del credito al consumo, all’utilizzo illecito dei dati personali e finanziari altrui per ottenere credito o acquisire beni con l’intenzione premeditata di non rimborsare il finanziamento e non pagare il bene.
Per quanto riguarda le tipologie di finanziamento oggetto di frode, dall’Osservatorio di Crif emerge che i prestiti finalizzati continuano ad assorbire la quota preponderante, con l’81,2% dei casi totali (+1,2% rispetto al 2012).
Questo si spiega soprattutto con il fatto che la frode viene spesso portata a termine presso un punto vendita (per esempio, una concessionaria auto o moto) oppure una catena di distribuzione, che rispetto agli istituti di credito hanno l’esigenza di rispondere al cliente in tempi stringenti.
Relativamente alla tipologia di frodi rilevate, il fenomeno del furto di identità riguarda sempre più spesso cambiali e assegni emessi a nome altrui, assumendo proporzioni assolutamente rilevanti per numero di casi e importi.
Nello specifico, analizzando i dati sui protesti è emerso che nel corso del 2013 i titoli di credito protestati con firme falsificate a seguito di furto di identità sono stati 4.590, con un importo medio di circa 4.400 euro.
Analizzando l’entità dei crediti ottenuti fraudolentemente, emerge la predominanza dei piccoli importi (i cosiddetti small ticket): in linea con l’anno precedente, infatti, il 41,9% dei casi totali riguarda frodi di importo inferiore ai 1.500 euro.

Articoli collegati su Security

ComplianceNet: 

Privacy & assicurazioni: Archivio antifrodi assicurative (Italia Oggi, 28 agosto 2014)

il-sole24ore-logo

Dopo il via libera del garante in dirittura il decreto sulla banca dati Ivass. Un bollino sui sinistri sospetti per allertare le compagnie

  • Pagina a cura di Antonio Ciccia

Pronto l’archivio informatico integrato contro le frodi assicurative.
Fornirà le coordinate per scoprire sinistri simulati, attribuendo una specie di bollino nero sul sinistro sospetto e mettendo, così, sul chi va là le compagnie.
Sarà un data base unico in cui confluiranno i vari archivi sugli incidenti stradali, sui veicoli e sui dati dei conducenti.
Il passo in avanti verso l’operatività del sistema lo ha segnato il Garante della privacy, che con il provvedimento n. 378 del 24 luglio 2014, ha espresso parere favorevole sullo schema di decreto per l’istituzione e il funzionamento del data base.
L’archivio unico sarà istituito presso l’Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo (Ivass) e ha lo scopo di consentire alle imprese di assicurazione di verificare il livello di anomalia di ogni sinistro anche prima di pagare l’indennizzo per la loro liquidazione.
Il grande archivio servirà anche all’autorità giudiziaria e forze di polizia (per finalità antifrode).
Il risultato dell’operazione sarà di consentire controlli incrociati rigidi e precisi per controllare, per esempio, la dinamica dei sinistri, alla luce di indici di sospetto.
L’archivio integrato a regime raccoglierà in un unico database le informazioni provenienti dalla banca dati dei sinistri, dall’anagrafe testimoni e dall’anagrafe danneggiati (già istituite presso l’Ivass), dalla banca dati dei contrassegni assicurativi, dall’archivio nazionale dei veicoli, dall’anagrafe nazionale degli abilitati alla guida e dal Pra (Pubblico registro automobilistico), dalla banca dati contenente le informazioni relative al ruolo dei periti assicurativi.
Saranno conservate in questo archivio integrato anche le informazioni sull’installazione e attivazione delle «scatole nere» sui veicoli, raccolte a fini antifrode.
Lo scopo è di calcolare per ogni sinistro un indicatore di anomalia.
Si procederà in questi termini: dopo la raccolta e l’incrocio dei dati, si comunicherà alle imprese di assicurazione coinvolte nel sinistro un primo valore dell’indicatore di anomalia, detto di sintesi; se il livello di anomalia sarà superiore a quello fissato con regolamento dell’Ivass, si comunicheranno alle imprese di assicurazione coinvolte anche gli indicatori analitici.
Spetterà, poi, alle assicurazioni usare questi indici nelle procedure di liquidazione degli indennizzi. Il garante ha raccomandato la raccolta di dati pertinenti e non eccedenti le finalità e ha mosso un rilievo specifico su tempi e modalità di conservazione dei dati.
Nel dettaglio le informazioni rimarranno nell’archivio per cinque anni dalla data di definizione di ciascun sinistro; trascorsi cinque anni i dati di ciascun sinistro definito saranno riversati su altro supporto informatico gestito dall’Ivass e dopo altri cinque anni saranno conservati in forma anonima e per scopi esclusivamente statistici.
Il Garante ha richiesto di inserire la clausola per cui i dati riversati su altro supporto informatico possono essere utilizzati nel secondo quinquennio dall’Ivass esclusivamente a fini di comunicazione per esigenze di giustizia penale o a seguito di esercizio dei diritti degli interessati.

Dati telefonici

Più garanzie nei controlli delle utenze telefoniche.
Il garante ha dato il via libera allo schema di Convenzione tra il ministero dell’interno e i gestori di servizi di telecomunicazioni sull’accesso telematico delle forze di polizia e dell’autorità giudiziaria ai dati dei possessori di telefoni fissi e mobile (provvedimento 244/2014).
L’accesso ai dati (nome, cognome, numero telefonico, data attivazione/cessazione linea, residenza), previsto dalla legge solo per finalità di giustizia, avverrà esclusivamente tramite il Centro di elaborazione dati (Ced) del dipartimento della pubblica sicurezza utilizzando uno specifico sistema informatico denominato Elenco telefonico nazionale (Etna).
Tutti gli accessi saranno tracciati e potranno avvenire solo da postazioni di lavoro certificate.
Ufficiali e agenti di polizia e personale designato dai capi degli uffici giudiziari dovranno essere in possesso di specifici profili di abilitazione e credenziali di autenticazione personali.

Ultimi articoli su Privacy

La firma digitale formato Ue finisce nelle mani degli avvocati (Il Sole 24 Ore, 25 agosto 2014)

il-sole24ore-logo

  • Fonte: in pdf su rassegna stampa del Ministero Istruzione

La storia senza fine delle sottoscrizioni elettroniche. 5 milioni: In circolazione. A maggio erano 5,3 milioni i certificati di firma qualificata

  • di Antonello Cherchi

Non c’è pace per le firme digitali.
La situazione di confusione si trascina ormai da più di dieci anni, anche se questa volta la parola "fine" sembrava all’orizzonte.
Tutto si sarebbe, infatti, dovuto definire entro il prossimo 10 febbraio, momento in cui gli enti che certificano le firme digitali qualificate - cioè quelle che offrono maggiori garanzie - avrebbero dovuto rilasciare dispositivi di sottoscrizione in linea con i requisiti di sicurezza Ue.
Invece, il sistema è stato rimesso in discussione per l’ennesima volta.
Il nodo di tutto è il decreto del presidente del Consiglio 19 luglio 2012.
Quel provvedimento - predisposto sotto il Governo Monti e ultimo di una lunga serie (si veda la scheda sotto) - ha infatti assegnato 21 mesi a partire dal 25 ottobre 2012 (data dell’entrata in vigore) perché gli enti di certificazione si munissero di dispositivi in grado di generare firme digitali qualificate al passo con i parametri Ue.
Processo che deve essere validato dall’Onmi (Organismo di certificazione della sicurezza informatica) o comunque da un ente che aderisce all’accordo internazionale Cera (Common recognition arrangement).
Al 25 luglio scorso, data di scadenza dei 21 mesi, solo una società- la ItAgile, che distribuisce per il nostro Paese il dispositivo di firma CoSign - si è presentata coni requisiti in regola.
O quasi.
«Anche se il procedimento di certificazione non era ancora completato - spiega Gianni Sandrucci, amministratore di ItAgile -una lettera speditaci dall’Ocsi afferma che è alle fasi finali».
Così non è, invece, almeno secondo una parte dei dodici enti di certificazione iscritti nell’elenco tenuto, per legge, dall’Agenzia per l’Italia digitale.
Elenco di cui ItAgile, che non è un certificatore ma un produttore di dispositivi di firma, non fa parte.
Ma questo non è un problema.
Il fatto è che - sempre secondo il decreto di luglio 2012 - gli enti certifi-catori senza "validazione" Onmi alla data del 25 luglio (cioè, tutti e dodici) devono sostituire i dispositivi di firma rilasciati finora con altri dotati delle caratteristiche di sicurezza richieste dalla Ue.
L’operazione di migrazione verso apparati garantiti dovrà essere completata entro il 10 febbraio prossimo.
Fino a quella data, ma non oltre, continueranno ad avere validità le firme qualificate rilasciate secondo i vecchi criteri.
La transizione degli enti certificatori verso dispositivi più sicuri doveva essere preceduta da una comunicazione all’Agenzia per l’Italia digitale che gli organismi avrebbero dovuto inviare entro il 9 agosto.
Non tutti, però, l’hanno fatta.
«Una parte degli enti certificatori ha presentato all’Agenzia il piano di migrazione, ma un’altra parte - chiarisce Paolo Cascino, direttore di Assocertificatori - sostiene che anche ItAgile non abbia completato il procedimento di certificazione presso l’Onmi e, dunque, non abbia i requisiti chiesti dal decreto per produrre firme digitali qualificate. Non essendoci, pertanto, neanche un organismo in grado di assicurare dispositivi di firma con i criteri di sicurezza richiesti, viene a cadere, secondo quegli enti, il decreto stesso. La questione è ora in mano agli uffici legali».
Il problema riguarda la produzione delle firme digitali qualificate remote - cioè quelle che non sono materialmente nella disponibilità del sottoscrittore, ma alle quali quest’ultimo accede in Rete attraverso una serie di credenziali - e che rappresentano circa la metà delle sottoscrizioni "forti" ora in circolazione nel nostro Paese, su un totale, rilevato a maggio, di poco più di 5,3 milioni di certificati validi.
L’altra metà è rappresentata dalle firme digitali su smart card.
Nonostante gli intoppi vissuti fin qui dalla firma digitale a causa dei continui aggiustamenti legislativi - ai quali si aggiunge quest’ultimo che minaccia di trasferire il problema nelle aule legali - l’esperienza italiana è all’avanguardia in Europa.
«Altri Paesi - afferma Gianni Sandrucci - guardano alla nostra esperienza, perché disponiamo di apparati in grado di produrre firme qualificate che possono essere utilizzate in tutta l’Unione».

Dieci anni di tentativi

Le firme

Per firma elettronica si intende, in generale, la possibilità di connettere dati elettronici in modo da consentire l’identificazione informatica di chi "firma".
Tra le firme elettroniche si può distinguere la firma digitale avanzata, che assicura la connessione tra firmatario e documento elettronico, e la firma digitale qualificata, la forma più "forte" di firma elettronica.
Grazie, infatti, a un sistema di doppie chiavi crittografiche, una pubblica e una privata, consente di attestare l’integrità, l’autenticità e la non ripudiabilità del documento elettronico su cui è apposta. È rilasciata dagli organismi di certificazione

Le regole Ue

La direttiva 1999/93/Ce ha prescritto i requisiti di sicurezza della firma digitale qualificata, che in Italia devono essere certificati dall’Ocsi (Organismo di certificazione della sicurezza informatica)

Le mosse dell’Italia

Per adeguarsi ai criteri Ue il nostro paese vara il Dpcm 30 ottobre 2003, pubblicato sulla «Gazzetta Ufficiale» del 27 aprile 2004, che prevede un periodo transitorio di nove mesi durante il quale i certificatori attestano, mediante autodichiarazione, che i propri dispositivi di firma digitale rispondono ai requisiti di sicurezza europei.
Si arriva al 2010 e il Dpcm 10 febbraio, pubblicato sulla «Gazzetta» del 28 aprile, proroga al 1° novembre 2011 la possibilità dell’autocertificazione.
Un ulteriore decreto (il Dpcm 14 ottobre 2011) sposta ancora i termini: le autocertificazioni varranno fino al 1° novembre 2013, purché gli enti di certificazione abbiano, alla data del l° novembre 2011, presentato all’Ocsi (o altro ente accreditato) domanda di certificazione.
Il decreto viene pubblicato sulla «Gazzetta» del 31 ottobre 2011, dunque a ridosso della scadenza, che, tra l’altro, cade in un giorno festivo. Un vero pasticcio

L’ultimo decreto

È il Dpcm 19 luglio 2012, pubblicato sulla «Gazzetta» del 10 ottobre. L’autocertificazione vale, di fatto, fino al 10 febbraio 2015

Articoli collegati su Security

ComplianceNet: 

Pwc: “Le frodi economico-finanziarie in Italia: una minaccia per il business” (19 luglio 2014)

il-sole24ore-logo
Fonte: sito  PWC Italia, titolo originario “Global Economic Crime Survey 2014 – Italia”
Corruzione e crimini economici: vittima un’azienda su quattro in Italia, una su tre a livello mondiale secondo la PwC Crime Survey 2014.
Le frodi più diffuse: appropriazione indebita, cyber crime e frodi contabili.
In Italia il frodatore è interno all’azienda, senior manager tra i 41-50 anni.
Un’azienda su quattro in Italia (23%) è stata vittima di crimini economici negli ultimi due anni, una su tre a livello mondiale (37%).
Quali sono i crimini economici che colpiscono le aziende oggi? Quale è l’identikit del frodatore?
Lo rivela la Global Crime Survey 2014, la più ampia indagine condotta sul fenomeno delle frodi economico-finanziarie, dalla corruzione al più recente cyber crime.
I risultati, raccolti attraverso oltre 5000 interviste in 95 Paesi hanno coinvolto anche 101 aziende italiane.
Nel seguito indice e “Introduzione” del rapporto in italiano.

Indice

  • Introduzione
  • Executive Summary – The highlights
  • 1 Le frodi economico-finanziarie nell’edizione 2014 09
  • 2 Il fraudster
  • 3 Corruzione
  • 4 Cybercrime: i rischi di un mondo in rete
  • Data Appendix - Italia 2014
  • Note metodologiche 2014
  • Terminologia
  • Contatti | Forensic Services

Introduzione

Siamo lieti di presentare la settima edizione della PwC Global Economic Crime Survey 2014, la più ampia indagine condotta nel mondo del business sul fenomeno delle frodi economico-finanziarie.
Anche quest’anno l’obiettivo è di fornire alle aziende e alle funzioni chiamate ad affrontare il rischio di frode un quadro conoscitivo del problema, indagando l’esperienza e la percezione delle aziende, sia nel settore privato sia in quello pubblico, al fine di sviluppare efficaci strategie di prevenzione dei rischi.
La Global Economic Crime Survey 2014 ha raggiunto il traguardo di oltre 5000 interviste, per un totale di 95 paesi coinvolti; per quanto riguarda l’Italia, hanno aderito alla ricerca 101 aziende.
Da questa settima edizione emerge che i crimini economici non solo continuano a persistere rispetto alle edizioni precedenti ma costituiscono un vero e proprio attacco al business delle aziende, con conseguenti impatti non solo in termini finanziari ma anche sulla motivazione del personale e sulla reputazione.
Per tali ragioni quest’anno la Survey approfondisce in particolare le modalità con cui i crimini economici colpiscono le aziende, le aree di business più a rischio e le strategie da porre in essere per la prevenzione dei rischi e la gestione delle conseguenze.
Un’organizzazione su tre (37%) a livello globale e circa un’azienda su quattro (23%) in Italia hanno dichiarato di essere state vittime di frodi economico-finanziarie.
Proprio come un virus, la minaccia dei crimini economici è in fase di continua mutazione, opportunisticamente nascosta tra le nuove tendenze che caratterizzano le varie organizzazioni (tra cui il movimento dei capitali e della ricchezza verso i mercati emergenti e la diffusione trasversale delle nuove tecnologie su ogni aspetto del business).
Nella settima edizione della Global Crime Survey, le frodi finanziarie sono un fenomeno in crescita sia a livello globale (+3%) sia in Italia (+6%). Un quarto circa (23%) delle aziende interessate ha comunicato di essere stata vittima di una frode.
Tra gli aspetti positivi emersi dai risultati della Survey, si evince una crescente sensibilità e un maggior impegno nella fase di prevenzione da parte delle aziende.
In particolare, con l’aumento della dipendenza delle aziende dalle tecnologie e dai sistemi IT, non sorprende come il cybercrime continui a crescere in termini di numero di casi, frequenza e grado di sofisticazione, sia a livello globale quanto a livello locale.
Inoltre, contemporaneamente all’aumento di crimini economici perennemente esistenti, come l’appropriazione indebita, la corruzione e le frodi contabili, si stanno diffondendo anche nuove tipologie di eventi fraudolenti come le frodi nell’area degli acquisti.
Il documento è suddiviso in quattro sezioni:

  • La prima sezione è dedicata all’indagine sul fenomeno delle frodi economico-finanziarie: dimensione, tipologie di frodi, settori, strumenti di prevenzione e indagine, reazioni delle aziende, danni e impatti.
  • La seconda sezione è dedicata all’identikit del “fraudster”: livello di esperienza, età, anzianità di servizio, titolo di studio.
  • La terza e la quarta sezione sono dedicate invece a due tra i fenomeni di frode più diffusi: la corruzione e il cybercrime.

Il documento è focalizzato sulle risposte fornite dalle aziende italiane confrontate, ove possibile, con i dati delle edizioni precedenti della Survey e con quelli riscontrati a livello mondiale.

Allegati

PwC Global Economic Crime Survey 2014, Settima edizione

ComplianceNet: 

“A rischio email e telefonate degli italiani” il dossier segreto sul tavolo del governo (La Repubblica, 17 luglio 2014)

repubblica logo
Fonte: IusLetter
La denuncia del Garante per la Privacy: “Gravi criticità nel sistema che gestisce le telecomunicazioni e livelli di sicurezza inadeguati: minacciati i diritti dei cittadini”
di Marco Mensurati e Fabio Tonacci
C’è un enorme buco nero nella sicurezza delle telecomunicazioni italiane.
Una falla talmente ampia da mettere a disposizione di chiunque volesse attrezzarsi telefonate, sms, email, chat, contenuti postati sui social network.
Tutto il traffico online del Paese, insomma.
Non si tratta di un allarme generico ma di un pericolo più che concreto, tanto che negli ambienti dello spionaggio internazionale si dà per scontato che l’Italia sia da anni «interamente controllata». Da Nord a Sud.
Quello che non si sa, però, è da chi.
A denunciare questo buco è una relazione riservata del Dipartimento attività ispettive dell’Autorità garante per la protezione dei dati personali, inviata al presidente del Consiglio dei ministri, al ministro per lo Sviluppo economico, a quello dell’Interno e al sottosegretario con delega all’Intelligence Marco Minniti.
Tre pagine che riassumono un rapporto lunghissimo, stilato dagli ingegneri informatici del Garante tra aprile e maggio dopo lo scandalo mondiale del Datagate del 2013.
E nonostante le rassicurazioni del governo italiano, che in quell’occasione, per bocca dello stesso Minniti, aveva detto che «la tutela della privacy delle comunicazioni interne in Italia è garantita con ragionevole certezza».

140717-telefono.jpg
Tutto ruota intorno agli Internet eXchange Point (IXP) e ai sistemi di sicurezza, insufficienti, che li dovrebbero proteggere.
Gli Ixp sono delle infrastrutture chiave per il funzionamento di Internet.
Di fatto sono dei luoghi fisici in cui convergono tutti i cavi che trasportano i dati degli utenti dei vari Internet Service Provider (Telecom, Fastweb, H3G, ecc. ecc.). In questi luoghi, i dati vengono letti, elaborati e dunque smistati nella Rete.
Per fare un esempio: le informazioni di navigazione di un utente qualsiasi che da rete Fastweb si colleghi con un sito il cui server è ospitato da Telecom, passa necessariamente per uno di questi Ixp.
In Italia ce ne sono nove, ma tre sono quelli fondamentali: uno a Milano (il “Mix”), uno a Torino (il “Top-IX) e uno a Roma (il “NaMex”).
«Tali apparati — scrivono gli ispettori del Garante — dispongono di funzionalità tecniche che possono consentire di replicare, in tempo reale, il traffico in transito dirottando il flusso replicato verso un’altra porta ( port mirroring ) ».
Nel corso dei controlli questa funzione non era attivata, specificano gli ispettori, aggiungendo però che se qualcuno volesse esaminare il traffico in transito potrebbe farlo «con una certa facilità, attivando la funzione di port mirroring e poi utilizzando appositi strumenti di analisi».
Sarebbe dunque un gioco da ragazzi duplicare il traffico degli utenti, dirottarlo altrove su grossi database e poi con calma analizzarlo.
Certo occorrerebbe prima entrare dentro queste strutture ma, è proprio questo il punto, la cosa appare tutt’altro che impresa ardua.
«Abbiamo una certificazione di sicurezza Iso27001», spiega l’ingegner Michele Goretti, direttore dell’Ixp di Roma. «E anche l’ispezione del Garante non ha fatto emergere problemi».
In realtà non deve essere andata proprio in questi termini se nella relazione c’è scritto che sono emerse «una serie di gravi criticità sulle misure di sicurezza logiche e fisiche concretamente adottate da queste società/consorzi nella gestione dei loro sistemi ».
«La cosa merita la massima attenzione — continuano gli ispettori — in quanto si tratta di strutture nevralgiche nel sistema di comunicazioni elettroniche del Paese poiché attraverso questi nodi di interscambio passano enormi flussi di traffico relativo alle comunicazioni degli abbonati e utenti (anche pubbliche amministrazioni e impresi) dei principali operatori nazionali».
Da una decina di anni anche le chiamate vocali (sia da fisso sia da mobile) vengono digitalizzate, sono cioè trasmesse via web. «Per tanto un inadeguato livello di sicurezza può riflettersi negativamente sia sui diritti dei singoli cittadini, pregiudicando la riservatezza delle loro comunicazioni e la protezione dei loro dati personali, sia gli interessi istituzionali ed economici degli enti e delle imprese».
Il rischio, secondo Goretti, è molto ridotto: «In linea teorica la possibilità di duplicare i dati c’è. In pratica sarebbe molto complesso farlo e i risultati sarebbero molto parziali: bisognerebbe duplicare i dati di tutti gli Ixp del paese».
Cosa complessa ma certo non impossibile, visto che gli hardware ospitati in queste strutture sono di varia provenienza: ci sono, ad esempio, router a marchio Huawei e Cisco, due multinazionali non estranee alle recenti polemiche sullo spionaggio. La manutenzione delle macchine può essere fatta anche da remoto e volendo non sarebbe complicato avviare funzionalità di mirroring e dirottare il traffico copiato.
Tra i 132 operatori connessi al “Mix” di Milano ci sono gli americani At&T;, Amazon, Facebook, Google, Microsoft, Verizon.
Giuliano Tavaroli, ex responsabile della sicurezza di Telecom e del Gruppo Pirelli, la vede in maniera a dir poco laica: «Il problema non è se i dati vengano o meno copiati. Questo in fondo starebbe nelle cose, e al massimo bisognerebbe capire chi è che intercetta e perché, visto che in Italia i nostri servizi segreti non dispongono dei mezzi per immagazzinare e analizzare moli significative di dati. Il vero problema è che, considerato il livello scarso di sicurezza di queste strutture, se fossero intercettate in Italia, oggi, non ce ne riusciremmo nemmeno ad accorgere».
Oltre che di sicurezza e di privacy, gli ispettori del Garante ne fanno anche una decisiva questione di regole: «Per svolgere la propria attività gli Ixp non hanno la necessità di trattare i dati personali degli abbonati o degli utenti e quindi (…) non assumono la qualifica di titolare del trattamento, in relazione alla quale il Garante potrebbe prescrivere loro direttamente le misure ritenute necessarie o opportune per rendere il trattamento dei dati conforme alle disposizioni di legge».
Come a dire, sono liberi di fare ciò che vogliono, senza essere controllati.

Articoli collegati su Privacy

Articoli collegati su Security

ComplianceNet: 

PCI-DSS - Payment Card Industry Data Security Standard ver. 3.0 (CLUSIT, 31 marzo 2014)

140401-pci_logo-2
Fonte: sito CLUSIT (pdf, 4 M , 63 pp.)
di Fabio Guasconi ( FB , Linkedin)

CLUSIT, Associazione Italiana per la Sicurezza Informatica, ha aggiornato il “Quaderno Clusit” dal titolo “PCI-DSS: Payment Card Industry - Data Security Standard” (pdf, 4 M , 63 pp.) per tener conto delle novità della versione 3.0 dello standard PCI-DSS.
Il test è rilasciato con “licenza libera” Creative Commons BY-NC-ND cioè è “liberamente condivisibile ma non utilizzabile per fini commerciali e non modificabile per creare opere derivate”.
Di seguito l'abstrac del testo e l’indice completo

Abstract

Il Quaderno che state leggendo è stato composto al fine di illustrare con chiarezza quanto ruota intorno allo standard PCI-DSS e alla connessa protezione dei dati delle carte di pagamento, rivolgendosi principalmente a un pubblico specialistico, come i soci CLUSIT.
Si è però cercato, nel contempo, di rendere i concetti al di là dei termini specifici ad essi legati e di non entrare in trattazioni tecniche spinte, al fine di rendere i contenuti fruibili ad una platea più allargata, che è effettivamente quella coinvolta nell’applicazione di questo standard.
Superato il preambolo del primo capitolo, nel secondo capitolo del Quaderno si introduce il lettore ai soggetti e ai processi su cui PCI-DSS si concentra, di fondamentale importanza per avere un’illustrata visione d’insieme. Si passa quindi ad esaminare le origini dello standard e le altre norme ad esso vicine.
Il terzo capitolo tratta in maniera estesa la struttura e i requisiti di PCI-DSS, descrivendo il contenuto generale e andando a far luce sui punti di più difficile comprensione, applicazione e di maggiore rilevanza per il raggiungimento della conformità.
Il quarto capitolo analizza lo standard PCI-DSS e le sue relazioni con altre norme e best practice assieme alle quali potrebbe trovarsi a convivere in un ambiente reale, ponendo l’accento sulle sinergie tra di esse.
Nel quinto capitolo si eviscera il processo di verifica e attestazione di conformità rispetto a PCI-DSS, i cui meccanismi sono forse uno degli aspetti meno conosciuti dello standard. Sono inoltre riportati i requisiti di validazione richiesti dai diversi brand delle carte di pagamento.
Il sesto capitolo illustra le scadenze passate e soprattutto future legate alla conformità rispetto allo standard, sia a livello locale che globale.
Nel settimo capitolo sono raccolte un insieme di domande frequenti, riprese dal materiale pubblicato ufficialmente e integrate con l’esperienza sul campo.
Gli ultimi due capitoli riportano gli indirizzi web, i contatti, e-mail utili e la nomenclatura impiegata.
Merita infine un breve accenno in questa sede la scelta della terminologia. Ove possibile si è fatto uso dei termini tradotti nel glossario ufficiale pubblicato dal PCI-SSC mentre, nei casi in cui questi potessero dare adito a dubbi sulla loro corretta interpretazione, si è deciso di mantenere i termini impiegati in lingua inglese.

Indice

1 PREMESSA
1.1 PRESENTAZIONE
1.2 ABSTRACT
1.3 AUTORI
1.4 RINGRAZIAMENTI SPECIALI
2 INTRODUZIONE
2.1 SOGGETTI E RUOLI CHIAVE
2.2 I TRE PROCESSI PRINCIPALI
2.3 GENESI DEGLI STANDARD PCI LEGATI ALLE CARTE
2.3.1 Payment Application DSS (PA-DSS)
2.3.2 PIN Transaction Security (PTS)
2.3.3 Point-to-point encryption (P2PE)
2.3.4 PIN Security Requirements
2.3.5 Card Manufacturers
3 PAYMENT CARD INDUSTRY DATA SECURITY STANDARD (PCI-DSS)
3.1 AMBITO
3.2 OBIETTIVI
3.3 STRUTTURA
3.4 SVILUPPO E GESTIONE DI UNA RETE SICURA
3.4.1 Requisito 1: Installare e gestire una configurazione firewall per proteggere i dati dei titolari delle carte
3.4.2 Requisito 1.4
3.4.3 Requisito 2: Non utilizzare valori predefiniti del fornitore per le password di sistema e altri parametri di protezione
3.5 PROTEZIONE DEI DATI DI TITOLARI DELLE CARTE
3.5.1 Requisito 3: Proteggere i dati di titolari delle carte memorizzati
3.5.2 Requisito 4: Cifrare i dati di titolari delle carte trasmessi su reti aperte e pubbliche
3.6 MANUTENZIONE DI UN PROGRAMMA PER LA GESTIONE DELLE VULNERABILITÀ
3.6.1 Requisito 5: Proteggere tutti i sistemi dal malware e aggiornare regolarmente software o programmi antivirus
3.6.2 Requisito 6: Sviluppare e gestire sistemi e applicazioni protette
3.6.3 Requisito 6.4
3.6.4 Requisito 6.5
3.6.5 Requisito 6.6
3.7 IMPLEMENTAZIONE DI RIGIDE MISURE DI CONTROLLO DELL'ACCESSO
3.7.1 Requisito 7: Limitare l'accesso ai dati di titolari delle carte solo se effettivamente necessario
3.7.2 Requisito 8: Identificare e autenticare gli accessi ai componenti di sistema
3.7.3 Requisito 9: Limitare l'accesso fisico ai dati dei titolari delle carte
3.8 MONITORAGGIO E TEST REGOLARI DELLE RETI
(rev.
3.8.1 Requisito 10: Registrare e monitorare tutti gli accessi a risorse di rete e dati di titolari delle carte
3.8.2 Requisito 11: Eseguire regolarmente test di sistemi e processi di protezione
3.8.3 Requisito 11.3
3.9 GESTIONE DI UNA POLITICA DI SICUREZZA DELLE INFORMAZIONI
3.9.1 Requisito 12: Gestire una politica che garantisca la sicurezza delle informazioni per tutto il personale
3.10 REQUISITI PCI-DSS AGGIUNTIVI PER PROVIDER DI HOSTING CONDIVISO
3.10.1 Requisito A.1: I provider di hosting condiviso devono proteggere l'ambiente dei dati di titolari delle carte
3.11 I CONTROLLI COMPENSATIVI
4 LEGAMI CON ALTRE BEST PRACTICE
4.1 ISO/IEC 27001
4.1.1 Approccio
4.1.2 Contromisure
4.1.3 Sinergie sul Campo
4.2 COBIT
4.2.1 Approccio
4.2.2 Attività
4.2.3 Sinergie sul Campo
4.3 ALTRI
4.3.1 ISO/IEC 20000 e ITIL
4.3.2 Basilea2
4.3.3 OSSTMM
4.3.4 OWASP
5 CERTIFICAZIONE
5.1 CERTIFICANTE
5.1.1 Qualified Security Assessor Company (QSAC)
5.1.2 Approved Scanning Vendor (ASV)
5.2 I LIVELLI
5.2.1 I livelli dei Merchant
5.2.2 I livelli dei Service Provider
5.3 REQUISITI NECESSARI PER LA VALIDAZIONE
5.3.1 Self-Assessment Questionnaire – SAQ
5.3.2 Requisiti necessari per la validazione dei Merchant
5.3.3 Requisiti necessari per la validazione dei fornitori di servizi
5.4 I TEMPI DI RECUPERO
6 QUADRO INTERNAZIONALE E SCADENZE
7 DOMANDE FREQUENTI
8 RIFERIMENTI
8.1 SITI WEB E INDIRIZZI EMAIL DEI BRAND
8.1.1 PCI Security Standard Council
8.1.2 VISA
8.1.3 MasterCard
8.1.4 American Express
8.1.5 Discover
8.1.6 JCB
8.2 SITI WEB ESTERNI
9 NOMENCLATURA

Chi è Fabio Guasconi?

Impegnato dal 2003 come consulente per la sicurezza delle informazioni, con particolare attenzione per le tematiche di analisi del rischio, gestione della sicurezza e verso le norme internazionali, a cui contribuisce attivamente tramite UNINFO e ISO, ha ottenuto le qualifiche di CISA e CISM. E' lead auditor qualificato con significativa esperienza sullo schema ISO/IEC 27001 (della cui prima traduzione in italiano è stato editor) e ha una conoscenza approfondita delle diverse attività di verifica e miglioramento della sicurezza. Opera attivamente in ambito PCI-DSS, per il quale è QSA (Qualified Security Assessor) riconosciuto dal PCI-SSC.
Laureatosi in Informatica a Torino, presiede attualmente il comitato italiano SC27 per la sicurezza delle informazioni di UNINFO, è membro del suo Comitato Direttivo così come quello di CLUSIT ed è partner e Co-fondatore della consulting company (QSAC) Bl4ckswan S.r.l.

Cos'è CLUSIT?

140401-pci_logo-2

  • Fonte: presentazione da sito Clusit (pdf)

CLUSIT,  Associazione Italiana per la Sicurezza Informatica è un'associazione senza fini di lucro costituita a Milano il 4 luglio 2000, presso il Dipartimento di Informatica dell’Università degli Studi di Milano, ed è la più numerosa ed autorevole associazione italiana nel campo della sicurezza informatica. Oggi rappresenta oltre 500 organizzazioni, appartenenti a tutti i settori del Sistema-Paese.

ComplianceNet: 

NIST: “Cybersecurity Framework” (15 febbraio 2014)

140215-cyberframework

Fonte: sito NIST
Il National Institute of Standards and Technology (NIST) ha pubblicato la prima versione del “Cybersecurity Framework” (pdf, 474 M, 41 pp.), frutto della collaborazione con le aziende del settore privato come previsto dall’Executive Order 13636: “Improving Critical Infrastructure Cybersecurity” emanato nel febbraio 2013 dal Presidente Obama.
Le “linee guida” consistono in misure volontarie che le organizzazioni che operano sulle “infrastrutture critiche” degli USA possono adottare nei loro piani di sicurezza informatica.
Al momento non sono previsti incentivi economici per l’adozione delle “linee guida”: tuttavia esse saranno probabilmente rese obbligatorie per chi fornisce servizi e prodotti al governo statunitense e alle agenzie federali.

Indice del documento

Executive Summary.........................................................................................................................1
1.0 Framework Introduction .........................................................................................................3
2.0 Framework Basics...................................................................................................................7
3.0 How to Use the Framework ..................................................................................................13
Appendix A: Framework Core.......................................................................................................18
Appendix B: Glossary....................................................................................................................37
Appendix C: Acronyms .................................................................................................................39

Allegati

  • National Institute of Standards and Technology, “Framework for Improving Critical Infrastructure Cybersecurity”, Version 1.0, February 12, 2014 (pdf, 474 M, 41 pp.)
  • National Institute of Standards and Technology, “NIST Roadmap for Improving Critical Infrastructure Cybersecurity”, February 12, 2014  (pdf)
ComplianceNet: 

Pagine