Sicurezza

Sicurezza delle informazioni e delel reti

Rassegna web: antiriciclaggio, anticorruzione, Solvency II, compliance, cyber resilience (14 gennaio 2016)

160107-edicola.jpg

(immagine tratta da https://commons.wikimedia.org)

Indice

Antiriciclaggio, alert al bivio (Il Sole 24 Ore)

Via gli arresti ma rischio multe da 5 a 30mila euro per le violazioni. Atteso al Cdm di domani l’intervento nello schema di decreto delle mancate segnalazioni

La depenalizzazione delle sanzioni per la mancata segnalazione del rischio di riciclaggio potrebbe essere arrivata in porto, dopo una lunga gestazione. Il Consiglio dei ministri di domani dovrebbe aggregare la materia (articolo 55 del Dlgs 231/2007) allo schema di decreto legislativo recante «Disposizioni in materia di depenalizzazione» in esecuzione della legge 67/2014, in sostanza alla branca “amministrativa” del mini colpo di spugna che prevede anche un secondo versante “civilistico” (si veda Il Sole 24 Ore del 7 gennaio).
L’intervento ha preso forma all’esito di un incontro avvenuto martedì, presenti tra gli altri i tecnici del ministero, gli ordini professionali interessati e la Guardia di finanza. Intervento che, seppur semplice in linea di principio – si tratta in sostanza di estendere gli effetti dello schema di decreto all’articolo 55 della 231/2007 -, presenta qualche problema di coordinamento e, soprattutto, qualche punto di attrito sul merito.

(questa notizia continua)

Banca d’Italia – Vigilanza BCE: priorità per il 2016 (8 gennaio 2016)

130704-logo-bankit

  • Fonte: comunicato stampa di Bankit (qu in pdf)

(Di seguito il testo integrale della comunicato stampa di Bankit e il paragrafo “Governo dei rischi e qualità dei dati” del testo della BCE citato da Bankit)

La funzione di vigilanza bancaria della BCE pubblica le priorità per il 2016

La funzione di vigilanza bancaria della BCE ha individuato cinque ambiti di approfondimento per il 2016.
Le priorità si fondano sulla valutazione dei rischi fondamentali che le banche si trovano ad affrontare.
Per ciascun rischio saranno intraprese iniziative di vigilanza.

Il 6 gennaio 2016 la Banca centrale europea (BCE) ha oggi pubblicato https://www.bankingsupervision.europa.eu/press/pr/date/2016/html/sr16010... le proprie priorità per il 2016 concernenti la vigilanza degli enti crediti zi significativi nell’area dell’euro.
Cinque ambiti di approfondimento sono stati definiti in base alla valutazione dei rischi fondamentali a cui le banche devono far fronte nel contesto attuale.
Il rischio di modello imprenditoriale e di redditività è stato considerato il più elevato, seguito da altri aspetti essenziali la cui rilevanza varia fra i paesi dell’area.
“Con l’inizio del secondo anno completo di vigilanza bancaria condotta a livello dell’area dell’euro, vogliamo indicare subito con trasparenza gli obiettivi che guideranno il nostro operato”, ha dichiarato Danièle Nouy, Presidente del Consiglio di vigilanza della BCE.
“Le priorità rappresentano uno strumento essenziale per coordinare le azioni di vigilanza sulle diverse banche in maniera armonizzata e proporzionata, al tempo stesso contribuendo a realizzare condizioni di parità e fornendo sostegno alla crescita”.
Le cinque priorità di vigilanza per il 2016 sono:

● rischio di modello imprenditoriale e di redditività
● rischio di credito
● adeguatezza patrimoniale
● governo dei rischi e qualità dei dati
●liquidità

160108-ecb.jpg

Per ciascuna priorità saranno intraprese diverse iniziative di vigilanza.
In alcuni casi è possibile che la piena attuazione richieda più di un anno.
A livello delle singole banche, potrebbe essere necessario adeguare l’attività di vigilanza al profilo di rischio specifico di ciascun ente creditizio.
Un’esposizione più dettagliata delle priorità di vigilanza per il 2016 è disponibile (ita e english)  nel sito Internet della BCE dedicato alla vigilanza bancaria (“Banking Supervision”).
Per eventuali richieste gli organi di informazione sono invitati a contattare Rolf Benders

Governo dei rischi e qualità dei dati

Il governo dei rischi delle banche sarà valutato tenendo conto del contesto caratterizzato da scarsa redditività e dalla conseguente ricerca di rendimento, nonché dell’abbondante offerta di finanziamento a costi contenuti da parte delle banche centrali.
Inoltre, come ha messo in luce la crisi finanziaria, gli organi di gestione delle banche non hanno sempre avuto a disposizione le informazioni sui rischi necessarie ad assumere valide decisioni imprenditoriali e di gestione dei rischi.
Una delle priorità dell’MVU è definire chiaramente le aspettative di vigilanza che gli enti creditizi dovrebbero soddisfare al riguardo.
Ci si attende che gli organi aziendali esigano e ottengano adeguate informazioni sui rischi, per poter valutare approfonditamente se le decisioni imprenditoriali comportino livelli di rischio coerenti con gli standard di propensione al rischio e i limiti all’assunzione dei rischi stabiliti dall’ente stesso.
La qualità dei dati e la capacità di aggregazione dei rischi a livello di impresa sono un presupposto essenziale per l’adozione di valide decisioni basate sul rischio e, di conseguenza, per un adeguato governo dei rischi.
L’MVU condurrà quindi un’analisi tematica sulla conformità degli enti creditizi ai principi per l’efficace aggregazione e segnalazione dei dati sui rischi fissati dal Comitato di Basilea per la vigilanza bancaria (Basel Committee on Banking Supervision, BCBS).
L’analisi sarà anche di sostegno agli interventi varati a seguito dell’analisi tematica sul governo dei rischi e sulla propensione al rischio condotta dall’MVU nel 2015.
Infine, poiché la qualità e la sicurezza dei dati richiedono infrastrutture informatiche all’avanguardia, l’analisi comprende anche i rischi informatici.

Allegato

  • BCE, “La funzione di vigilanza bancaria della BCE pubblica le priorità per il 2016”, 6 gennaio 2016 (allegato in italiano – pdf - e inglese - pdf)

Ultimi articoli su BCE

160108-ecb-2.jpg

Ultimi articoli su Banca d'Italia

Newsletter Clusit - 31 dicembre 2015

151231-clusit

CLUSIT Associazione Italiana per la Sicurezza Informatica
|==============Indice==============
| 1.Nuovi soci
| 2.Un 2016 ricco di impegni
| 3.Video Clusit
| 4. Pubblicazioni
| 5. Conferenza Europrivacy.info
| 6. Notizie e segnalazioni dai soci
|==================================

===================================
1.NUOVI SOCI
===================================
Diamo il benvenuto a: AEC Master Broker (Roma), Consorzio Netcomm (Milano), Gruppo HERA (Bologna), Hypo Alpe-Adria-Bank (Tavagnacco - UD).

===================================
2. UN 2016 RICCO DI IMPEGNI
===================================
Nel corso del 2015 la nostra associazione ha avviato diversi nuovi progetti ed ha seguito da vicino alcuni cambiamenti fondamentali per il nostro settore, quali ad esempio il nuovo regolamento europeo sulla privacy, la direttiva europea sui servizi di pagamento e Il Sistema Pubblico per la gestione dell'Identità Digitale (SPID).
In apertura di questa newsletter di fine anno, desideriamo tracciare una panoramica delle attività svolte e di quelle in programma per il 2016.

LA FORMAZIONE - Grazie ad un accordo con gli Osservatori Digital Innovation del Politecnico di Milano, nel 2015 abbiamo realizzato 13 webinar ed almeno altrettanti sono programmati per il 2016.
LA PRODUZIONE DI DOCUMENTI - Nel corso del 2015 abbiamo iniziato a produrre le "Pillole di Sicurezza". Per il 2016 ne sono previste 15 nuove.
IL RAPPORTO CLUSIT - Il Rapporto 2015 , particolarmente ricco di contenuti, è stato oggetto di oltre 200 articoli e servizi su web, cartaceo, Radio e TV. Il Rapporto 2016, a cui stanno lavorando un centinaio di esperti, sarà anche frutto della collaborazione di un gran numero di soggetti pubblici e privati, che stanno condividendo con Clusit le proprie esperienze sul campo, con informazioni e dati di prima mano. Sarà pubblicato in marzo e aggiornato nella seconda parte dell'anno.
LE CONFERENCE SPECIALISTICHE - Il Security Summit si è affermato come l’evento di maggior rilievo nel panorama nazionale e nel 2015, oltre alle tappe di Milano, Roma, Verona e Cagliari, abbiamo organizzato numerosi “mini Security Summit” di una o mezza giornata presso importanti aziende utenti e presso delle pubbliche amministrazioni.
Nel 2016 probabilmente si aggiungerà un’altra tappa nel sud e si terrà a Milano la prima edizione del Cloud Security Summit, che organizzeremo assieme ad Assintel e CSA.
PRIVACY - È un tema che stiamo presidiando da vicino e quest’anno abbiamo creato un osservatorio specifico assieme a AUSED e l’Oracle Community for Security. (http://europrivacy.info/). Prossimo
appuntamento: la conferenza Europrivacy.info del 29 gennaio.
E-COMMERCE - Abbiamo concluso un’importante accordo con il Consorzio Netcom per aumentare il livello della sicurezza nell’e-commerce in Italia, arrivando così a toccare da vicino anche i consumatori, i cittadini. Si tratta di un settore in cui l’Italia è particolarmente in ritardo rispetto all’Europa e se l’e-commerce nel nostro paese ha tardato a decollare è proprio per la percezione di insicurezza che hanno i consumatori. Obiettivi dell'accordo e programma delle attività su http://clusit.it/docs/comunicato_stampa_netcomm-clusit.pdf.
PICCOLE E MICRO IMPRESE - Ci stiamo inserendo in alcuni progetti e tavoli di lavoro a livello europeo dedicati alle piccole e micro imprese. Negli scorsi anni abbiamo provato a farlo a livello nazionale, ma con scarso successo. Ora che l’Europa si sta muovendo su vari fronti sul tema della sicurezza ICT stiamo cercando, assieme ad associazioni di altri paesi, di far promuovere la sicurezza anche nelle piccole e micro imprese con iniziative a livello comunitario.
ATTIVITÀ DI SENSIBILIZZAZIONE - Anche quest’anno abbiamo portato avanti in Italia la campagna ECSM, promossa dalla Commissione Europea e da ENISA ogni anno durante il mese di ottobre. Lo scorso ottobre abbiamo organizzato e/o promosso ben 38 eventi. La campagna 2016 inizierà a maggio.
SOSTEGNO ALL’UNIVERSITÀ - Stiamo lavorando all’11a edizione del Premio Tesi. Il prossimo appuntamento è per il 15 marzo, quando saranno premiate le migliori tesi del 2015.
SITO WEB - Stiamo preparando un nuovo sito web, che sia più funzionale e che gestisca meglio l’accesso a documenti, video, informazioni.
JOBS - Nell’ambito del nuovo sito, stiamo mettendo a punto un portale dedicato a richieste e offerte di lavoro nel nostro settore.

Tutte queste attività vengono in gran parte realizzate grazie al lavoro dei nostri soci, come autori, docenti e contributori a vario titolo. E questa è la vera ricchezza della nostra comunità, che raggruppa grandi competenze e capacità ed esprime tanta passione e voglia di fare.
Auspichiamo per tutti voi un bellissimo anno nuovo, pieno di soddisfazioni.

ComplianceNet: 

Italian Data Protection Authority: electronic health file, more protection for patients (July 8th 2015)

privacy-soddier-sanitario.jpg

The Italian Data Protection Authority has adopted new guidelines regarding the “Electronic Health File” which require informed consent, the recording of ‘access paths’, immediate communication of data breaches

On July 6th 2015, the Italian Data Protection Authority published new guidelines on the electronic health file (‘dossier sanitario elettronico’ in Italian) (here in  Italian).
The main news regards:

  • greater protection of patient data,
  • more transparency
  • obligation for health organizations to immediately notify the DP Authority of the so-called data breaches (breaches or cyber incidents, such as attacks, unauthorized access, actions of malware, loss, theft), which may have a significant impact on the data.

The patient will have the opportunity to know who accesses on electronic health file.
The purpose of the Guidelines is to define a frame of reference for the proper treatment of the data collected in the electronic health file, which is already established or will be established in the future, by public or private health organizations.
The electronic health file is the instrument made by a single health facility (a hospital, a health care centre, a nursing home), which collects information on the health of a patient in order to document their clinical history from that single structure and offer better care.
It differs from the electronic health record (in Italian: ‘fascicolo sanitario elettronico’) which contains the entire medical history of a person generated by different health facilities.
The provision of the Italian DP Guarantor, which will be published in the Official Journal, provides  that patients should be allowed to choose, in complete freedom, whether or not to be in the patient dossier.
In the absence of consensus the doctor will have only the information that is given at that time by the patient or previous services provided by the same professional.
The absence of consent should not have any influence on the possibility of access to the requested health care.

Specific consent will be required to include particularly sensitive information (ie HIV infections, interventions of abortion, data on sexual violence or child abuse) in the electronic health file.
To allow the patient to make a free and conscious choice, the health structure will have to inform in a clear manner, indicating in particular, who will have access to his data and what kind of operations can be carried-out.
The healthcare facility will also ensure the patient can exercise his rights, recognized by the Privacy Code (ie data access, integration, correction, etc.) and knowledge of the department, the date and time under which the consultation of the dossier was made.
The patient must also be guaranteed the opportunity to ‘obscure’ some data or medical records that he does not intend to include in the dossier.
Given the particular sensitivity of the dossier, the Guarantor has prescribed the adoption of high security measures.
Health data will be separate from other personal data, and criteria will be identified for the encryption of sensitive data.
Access to the file will be allowed only to the healthcare professionals involved in the care.
Every access and each operation, even also the simple consultation, will be tracked and recorded automatically in special log files that the structure will keep for at least 24 months.
Any data breaches or cyber incidents must be reported to the Authority, within forty-eight hours of knowledge of the fact, through a form prepared by the Guarantor at: databreach.dossier@pec.gpdp.it

Annexes (in Italian)

Links

Italian DPA documents on Health Data (in English):

See also

ComplianceNet: 

Garante Privacy: dossier sanitario elettronico, più tutele per i pazienti (6 luglio 2015)

privacy-soddier-sanitario.jpg

Il Garante Privacy adotta le nuove linee guida: consenso informato, accessi  tracciati, immediata comunicazione dei data breach

Varate  dal Garante privacy le nuove Linee guida sul dossier sanitario elettronico [doc. web n. 4084632].
Maggiori tutele per i dati dei pazienti, più trasparenza e obbligo per le strutture sanitarie di comunicare immediatamente all’Autorità i cosiddetti data breach (violazioni o incidenti informatici, come attacchi, accessi abusivi, azioni di malware, perdita, furto), che possano avere un impatto significativo sui dati.
Il paziente avrà la possibilità di conoscere gli accessi eseguiti sul proprio dossier.
Scopo delle Linee guida è quello di definire un quadro di riferimento unitario per il corretto trattamento dei dati raccolti nei dossier, già istituiti o che si intendono istituire,  da parte di strutture sanitarie pubbliche e private.
Il dossier sanitario elettronico è lo strumento costituito presso un’unica struttura sanitaria (un ospedale, un’azienda sanitaria, una casa di cura), che raccoglie informazioni sulla salute di un paziente al fine di documentarne la storia clinica presso quella singola struttura e offrirgli un migliore processo di cura.
Si differenzia dal fascicolo sanitario elettronico in cui invece confluisce l’intera storia clinica di una persona generata da più strutture sanitarie.
Il provvedimento del Garante, in corso di pubblicazione nella Gazzetta ufficiale, stabilisce, in particolare, che ai pazienti deve essere consentito di scegliere, in piena libertà, se far costituire o  meno il dossier sanitario.
In assenza del consenso il medico avrà a disposizione solo le informazioni rese in quel momento dal paziente o in precedenti prestazioni fornite dallo stesso professionista.
La mancanza del consenso non deve incidere minimamente sulla possibilità di accedere alle cure richieste.
Per poter inserire nel dossier informazioni particolarmente delicate (infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia) sarà necessario un consenso specifico.
Per consentire al paziente di scegliere in maniera libera e consapevole, la struttura dovrà informarlo in modo chiaro, indicando in particolare, chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere.
La struttura sanitaria inoltre, dovrà garantire al paziente l’esercizio dei diritti riconosciuti dal Codice privacy (accesso ai dati, integrazione, rettifica, etc.) e la conoscenza del reparto, della data e dell’orario in cui è avvenuta la consultazione del suo dossier.
Al paziente dovrà essere garantita anche la possibilità di "oscurare" alcuni dati o documenti sanitari che non intende far confluire nel dossier.
Considerata la particolare delicatezza del dossier il Garante ha prescritto l’adozione di elevate misure di sicurezza.
I dati sulla salute dovranno essere separati dagli altri dati personali, e dovranno essere individuati criteri per la cifratura dei dati sensibili.
L’accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura.
Ogni accesso e ogni operazione effettuata, anche la semplice consultazione, saranno tracciati e registrati automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi.
Eventuali violazioni di dati o incidenti informatici dovranno essere comunicati all’Autorità, entro quarantotto ore dalla conoscenza del fatto, attraverso un modulo predisposto dal Garante all’indirizzo: databreach.dossier@pec.gpdp.it.

Allegati

Deliberazione del 4 luglio 2015
Allegato A - Linee Guida
Allegato B - Modello comunicazione data breach
Allegato C – Definizioni

Ultimi articoli su Privacy

Ultimi articoli su Sicurezza

ComplianceNet: 

Privacy: Mobile payment, scattano gli obblighi imposti dal Garante privacy (31 marzo 2015)

Mobile_payment_01.jpg

(Fonte: immagine "Mobile payment 01" by HLundgaard - Own work. Licensed under CC BY-SA 3.0 via Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mobile_payment_01.jpg#/media/File...)

Dal 1° aprile 2015 più tutele per i consumatori e regole certe per le società del settore
Tempo scaduto per le società che operano nel settore del mobile payment per adeguarsi alle prescrizioni dettate dal Garante privacy.
Dal 1° aprile 2015 le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare, le società che forniscono l’interfaccia tecnologica, le aziende che offrono contenuti digitali e servizi, nonché tutti gli altri soggetti coinvolti nella transazione (come quelli che consentono, anche tramite app, l’accesso al mercato digitale) dovranno essere in regola con il provvedimento generale varato dal Garante privacy nel maggio 2014 [doc. web n. 3161560].
Grazie alle nuove regole, chi usufruisce dei servizi di pagamento da remoto, utilizzando smartphone, tablet, pc, potrà acquistare in sicurezza prodotti e servizi digitali, abbonarsi a quotidiani on line, comprare e-book, video e giochi.
Dal 1° aprile 2015, quindi, gli utenti che acquistano beni digitali dovranno essere informati sulle modalità di trattamento effettuato sui loro dati sin dalla sottoscrizione o adesione al servizio di pagamento da remoto.
I loro dati (dal numero telefonico ai dati anagrafici, dalle informazioni sul servizio o prodotto digitale richiesto all’indirizzo IP di collegamento) potranno essere conservati al massimo per 6 mesi e non potranno essere usati per altre finalità, come l’invio di pubblicità o analisi delle abitudini senza uno specifico consenso.
L’indirizzo IP degli utenti dovrà essere cancellato dal venditore una volta terminata la procedura di acquisto.
Precise misure di sicurezza dovranno essere adottate per garantire la riservatezza delle persone e impedire l’integrazione delle diverse tipologie di dati a disposizione dell’operatore telefonico (dal consumo telefonico ai dati sul consumo di beni digitali) a fini di profilazione "incrociata" dell’utenza a meno che non venga espresso uno specifico consenso informato dell’utente.
I venditori a garanzia della riservatezza delle transazioni dei clienti, potranno trasmettere all’operatore telefonico solo le categorie merceologiche di riferimento senza indicazioni sullo specifico contenuto del prodotto o servizio acquistato, a meno che non sia necessario per la fornitura di servizi in abbonamento.

Allegato

ComplianceNet: 

La Relazione sulla politica dell’informazione per la sicurezza 2014 (27 febbraio 2015)

150301-sicurezzanazionale

Come previsto dalla legge, la Relazione sulla politica della sicurezza anche quest’anno viene presentata al Parlamento entro il mese di febbraio.
La novità è per quanti utilizzano smartphone, tablet oppure e-reader perché oltre al tradizionale formato PDF, la Relazione 2014 è disponibile anche in formato ePub.

Allegati

  • Relazione al Parlamento 2014 (pdf, 4.1 MB)
  • Relazione al Parlamento 2014 (ePUB, 1.1 MB)

Indice della Relazione 2014

premessa
L’intelligence nell’impianto istituzionale
Un percorso di rinnovamento
Le linee guida della relazione
Parte I – le asimmetrie della minaccia
La cyberthreat
Le dinamiche economico-finanziarie
Strumentalizzazioni estremiste e minaccia eversiva
La minaccia terroristica internazionale e la sua dimensione domestica
La proliferazione di armi non convenzionali
Parte II – le aree di instabilità
Gli scenari di crisi in africa
Il conflitto siriano e il medio oriente
Il quadrante afghano-pakistano
Scenari e tendenze: una sintesi
Allegato: documento di sicurezza nazionale

Premessa alla Relazione 2014

(qui la “Premessa” completa  in pdf , 381 K, 15 pp.)

Sintesi

L’impianto espositivo della Relazione compone il quadro dei prioritari ambiti di attenzione dell’intelligence aggregandoli attorno a tre macro-aree tematiche:

  • il fenomeno jihadista,
  • le vulnerabilità del tessuto economico e le connesse dinamiche sociali,
  • le minacce attestate nello spazio cibernetico.

In linea con la precedente edizione, chiudono la Relazione un breve capitolo sulle prospettive del rischio e l’allegato “Documento di Sicurezza Nazionale” che riferisce, come previsto dalla normativa vigente (art. 38, comma 1-bis della legge 124/2007), sulle attività svolte in materia di tutela delle infrastrutture critiche nonché di protezione cibernetica e sicurezza informatica.

1° parte - “Jihad globale, Jihad regionale”

La 1° parte, dal titolo “Jihad globale, Jihad regionale”, si sofferma in primo luogo sull’evoluzione de La minaccia in Occidente, così come qualificata dall’affermazione dello Stato Islamico, dall’accresciuta effervescenza della galassia jihadista e dalla connessa, accentuata capacità di presa del messaggio radicale, affidato a forme di comunicazione sempre più efficaci e pervasive.
In quest’ottica l’estremismo homegrown, inteso anche quale bacino di reclutamento per aspiranti combattenti, viene individuato come il principale driver della minaccia terroristica, riferibile tanto a lupi solitari e a cellule autonome quanto al diretto ingaggio da parte di organizzazioni strutturate operanti nei teatri di jihad.
Segue quindi il capitolo sugli Scenari africani e mediorientali, nel quale l’attivismo delle formazioni terroristiche di ispirazione jihadista rappresenta un significativo connettore tra le aree di instabilità che interessano il Nord Africa, il quadrante sahelo-sahariano e il Medio Oriente.
In esordio vengono tratteggiati gli sviluppi intervenuti nel corso dell’anno in Libia, Tunisia, Marocco, Algeria ed Egitto. Si prosegue con le evoluzioni in Mali, Somalia, Kenia, Golfo di Guinea, Nigeria, Repubblica Centrafricana e Sud Sudan. Quanto alle regioni mediorientali, una sezione ad hoc è dedicata al conflitto in “Syrak”, con specifico riguardo all’accresciuto protagonismo dello Stato Islamico, a scapito delle altre formazioni estremiste, e all’impatto della crisi in chiave umanitaria e di sicurezza sui Paesi limitrofi, quali Libano e Giordania. I passaggi successivi sono dedicati al difficile processo di stabilizzazione in atto in Yemen, alle evoluzioni del dossier nucleare iraniano e agli sviluppi del processo di pace israelo-palestinese.
Il focus sulle criticità regionali si sposta più ad Est, con una panoramica su Vecchie e nuove frontiere del jihad, in relazione alla situazione sul campo in Afghanistan e Pakistan, ancora caratterizzata dal dinamismo della componente Taliban, all’attivismo estremista in altre realtà centroasiatiche e al possibile incremento delle attività terroristiche nel Sub-continente indiano e nel Sud-Est asiatico.

2° parte – la sfida Eco-Fin

Le minacce trattate nella 2° parte hanno come riferimento la sfida Eco-Fin e il framework sociale.
Nella sezione concernente Le minacce all’economia, muovendo dagli indicatori che attestano il persistere, nel 2014, della fase recessiva, viene evidenziata la centralità della dimensione economico-finanziaria quale ambito prioritario di attenzione dell’intelligence a presidio degli assetti strategici ed interessi nazionali secondo varie direttrici d’azione: contro lo spionaggio industriale e le pratiche lesive della concorrenza sui mercati nazionali ed internazionali; a tutela dei nostri investimenti all’estero e delle linee di approvvigionamento energetico; in direzione dei fenomeni di evasione ed elusione fiscale; a protezione della stabilità del sistema bancario e finanziario.
Si continua con il crimine organizzato, in primo luogo per evidenziare come le mafie, sfruttando gli effetti negativi della crisi, abbiano continuato a perseguire strategie d’infiltrazione in diversi settori dell’economia mediante il riciclaggio di capitali di provenienza illecita e l’acquisizione di realtà imprenditoriali in difficoltà. Ci si sofferma poi sugli interessi della criminalità organizzata italiana all’estero e sulla vitalità di strutturati gruppi criminali stranieri operanti in Italia.
In tema di Spinte anti-sistema e minaccia eversiva, si dà conto dei rilevati segnali di intensificazione del disagio e delle possibili tensioni sociali alla luce dell’attivismo di formazioni antagoniste, di diversa matrice, intenzionate a radicalizzare le varie proteste sul territorio e ad innalzare il livello di contrapposizione con le Istituzioni. Sono trattati, inoltre, i profili di rischio riconducibili all’eversione anarco-insurrezionalista e all’estremismo marxista-leninista, nonché, in chiusura, i tratti distintivi e quelli più insidiosi, dell’attivismo di estrema destra.
A seguire, il capitolo La pressione delle crisi sulle frontiere dell’Europa è dedicato al sensibile dossier dell’immigrazione clandestina, che vede i Servizi d’informazione impegnati a contrastare sul piano informativo un fenomeno che trae origine dalle crisi regionali e viene sfruttato da organizzazioni criminali sempre più ramificate ed interconnesse. In questa chiave si fa riferimento alle rotte e direttrici del traffico, ai sodalizi coinvolti ed all’impatto sul territorio nazionale.

3° parte - la minaccia nel cyberspazio

La 3° parte dell’elaborato, intitolata la minaccia nel cyberspazio, muove dai più significativi aspetti fenomenici de La cyberthreat per tratteggiare poi le sfide future che l’intelligence dovrà fronteggiare con riguardo all’evoluzione delle modalità operative e all’ampio range di finalità e attori, cui corrisponde un ventaglio altrettanto diversificato nelle tipologie di rischio per la sicurezza del Sistema Paese: dagli attacchi alla sicurezza delle infrastrutture critiche nazionali allo spionaggio digitale, dall’hacktivismo contro obiettivi istituzionali al cyberjihad.
Segue poi il Capitolo su Azione preventiva e prospettive, centrato sulla risposta dell’intelligence e sulle possibili evoluzioni del fenomeno.

Scenari e tendenze: una sintesi

La Relazione si conclude con “Scenari e tendenze: una sintesi”, che riassume in chiave prospettica il composito panorama della minaccia che impegnerà l’intelligence nell’immediato futuro. Sulla base degli indicatori sin qui raccolti, è prevedibile che l’azione degli Organismi informativi debba rimanere prioritariamente focalizzata sul terrorismo di matrice jihadista e sulle minacce al sistema Paese, incluse quelle che si dispiegano nel cyberspazio.
L’allegato “Documento di sicurezza nazionale”, infine, compendia le attività poste in essere dal Comparto – attraverso un articolato processo al quale partecipano fattivamente tutte le componenti dell’architettura cyber nazionale, così come delineata nel DPCM del 24 gennaio 2013 – in materia di tutela delle infrastrutture critiche materiali e immateriali, nonché di protezione cibernetica e sicurezza informatica nazionale.

 

BIS “Cyber resilience in financial market infrastructures” (13 novembre 2014)

140203-logo-bis.jpg

La sicurezza informatica è pertanto un tema di fondamentale importanza a livello globale per le infrastrutture finanziarie e più in generale per l’intero settore bancario e finanziario

Negli ultimi anni gli incidenti di sicurezza informatica sono diventati sempre più frequenti coinvolgendo tutti i settori dell’economia e in particolar modo quello finanziario.
Le minacce informatiche sono sempre più complesse e in rapida evoluzione ed hanno origini e motivazioni diverse.
L’11 novembre 2014 il Committee on Payments and Market Infrastructures (CPMI) ha pubblicato il documento “Cyber resilience in financial market infrastructures”  (pdf, 242 K, 19 pp.) che prende in rassegna metodi e buone pratiche utilizzate presso le infrastrutture dei mercati finanziari (financial market infrastructures - FMI) per rafforzare la propria resilienza informatica (cioè la capacità di “resistere ad incidenti garantendo la disponibilità dei servizi erogati” ndr).
Il rapporto del CPMI sottolinea che la resilienza informatica è sempre più una priorità per le FMI anche se l’analisi, come rivelano le interviste realizzate per lo studio, dimostra che ci sono significative differenze per quanto riguarda gli approcci alla resilienza tra le FMI.
Questi approcci infatti si basano su combinazioni molteplici di diversi fattori: le persone, la tecnologia, i processi, la comunicazione.
Per far fronte alle diverse minacce, che riguardano la riservatezza, la disponibilità e l’integrità di dati e servizi, devono essere adottate misure di prevenzione e ripristino.
Il rapporto ha rilevato che eventi di estrema gravità possono compromettere la capacità delle FMI di ripristinare i servizi entro due ore dalla rilevazione di un attacco informatico e di ripristinare i servizi (complete settlement ndr) prima che finisca il giorno in cui ha avuto luogo l’incidente come richiesto dai “requisiti chiave” nel modello di gestione del rischio riportato nel documento “Principles for Financial Market Infrastructures” di CPMI-IOSCO).

La relazione conclude che, dato che una delle caratteristiche distintive delle FMI è la loro interconnessione, l’interruzione dei servizi in una FMI può propagarsi ad altri soggetti collegati. Inoltre dato che le minacce informatiche sono sovranazionali occorre un approccio di mitigazione del rischio non limitato ad una singola nazione o istituto.
Ciò richiede stretta cooperazione e comunicazione tra le FMI, le banche centrali e le altre autorità di vigilanza in materia di resilienza informatica.
La sicurezza informatica è pertanto un tema di fondamentale importanza a livello globale per le infrastrutture finanziarie e più in generale per l’intero settore bancario e finanziario.
Il CPMI intende cooperare con le altre autorità internazionali e gli organismi che pubblicano gli standard di riferimento per analizzare ulteriormente i problemi di resilienza legati alle infrastrutture critiche anche in relazione alle implicazioni riguardanti la stabilità finanziaria in caso di attacchi informatici.

Allegato

141114-bis-resilienza.png

  • Committee on Payments and Market Infrastructures, “Cyber resilience in financial market infrastructures”, 11 novembre 2014 (pdf, 242 K, 19 pp.)

Articoli collegati su BIS

ComplianceNet: 

OWASP: Testing Guide versione 4 (19 settembre 2014)

140919-OWTGv4 Cover2.jpg

Cos’è OWASP?

The Open Web Application Security Project (OWASP) è una iniziativa internazionale volta alla diffusione della cultura della sicurezza delle applicazioni web che ha costituito una comunità aperta e libera di esperti di ICT security.
La mission di OWASP è fare informazione e divulgazione sul testa della web security in modo tale che aziende, enti, professionisti e utenti  possano affrontare in modo consapevole i rischi della sicurezza informatica legati al web.
Chiunque può liberamente partecipare alle iniziative OWASP, contribuire alle sue pubblicazioni ed utilizzare le sue guide e manuali.
In Italia il progetto è rappresentato da OWASP Italy  condotto da Matteo Meucci, Chief Executive Officer di Minded Security

OWASP Testing Guide v.4

Il 17 settembre 2014 OWASP ha annunciato la pubblicazione della “Testing Guide versione 4” (pdf, 2.2 M 111 pp.)
La guida è un framework per i test di sicurezza delle applicazioni e servizi web basato sulla raccolta delle migliori “best practice” di penetration test.
Rispetto alle precedente versione 3 nella nuova edizione sono stati apportati tre cambiamenti significativi:

  1. integrazione della “Testing Guide” con altri 2 prodotti di OWASP: la “Developers Guide” e la “Code Review Guide” grazie all’allineamento della numerazione e classificazione dei test.
  2. Aumento dei “test case” ora 87 rispetto ai 64 della precedente versione con l’introduzione di quattro nuovi capitoli e controlli:
    • Test Identity Management
    • Gestione degli errori
    • Crittografia
    • Test lato client
  3. Stretta integrazione con la comunità internazionale dei “security tester” che ha contribuito alla redazione del documento che darà in continua evoluzione permettendo l’aggiornamento e l’inserimento di nuovi “test case”.

3 ottobre 2014 - convegno OWASP e Isaca Venezia

Il 3 ottobre 2014 a Venezia si terrà il convegno “Application Security: internet, mobile ed oltre. Sicurezza delle applicazioni mobile”, seconda edizione del Convegno organizzato da ISACA VENICE, OWASP, Università Ca’ Foscari di Venezia – Dipartimento di Scienze Ambientali Informatica e Statistica.
Fra i relatori: Christian Martorella di Skype, Marco Balduzzi di Trend Micro, Matteo Meucci di OWASP e Minded Security.
La partecipazione è gratuita.
Brochure (pdf, 548 K 10 pp.)

Allegati

  • OWASP, “Testing Guide versione 4”, 17 settembre 2014 (pdf, 2.2 M 111 pp.), project leaders: Matteo Meucci e Andrew Muller, licenza: Creative Commons (CC) Attribution Share-Alike

 

ComplianceNet: 

Nuovo regolamento europeo in materia di identificazione elettronica e servizi fiduciari (Assonime, 11 settembre 2014)

140915-logo-assonime.jpg

Il 28 agosto 2014 è stato pubblicato sulla Gazzetta ufficiale dell’Unione Europea il regolamento UE n. 910/2014 del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, che abroga la direttiva 1999/93/CEE sulle firme elettroniche.
Il regolamento, che verrà applicato direttamente negli Stati membri, entra in vigore il 17 settembre 2014 e si applica a decorrere dal 1° luglio 2016 ad eccezione di alcune specifiche disposizioni.
Questo regolamento è volto a rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure tra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, dell’e-business e del commercio elettronico, nell’Unione Europea.
In particolare il regolamento fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione elettronica di un altro Stato membro; fornisce un quadro giuridico relativo alle firme elettroniche, ai sigilli elettronici, ai documenti elettronici, alla validazione temporale elettronica, ai servizi elettronici di recapito, all’autenticazione di siti web; disciplina le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche.
Riguardo all’identificazione elettronica il regolamento lascia impregiudicata la libertà degli Stati membri di stabilire quali strumenti di identificazione elettronica utilizzare per l’accesso ai servizi on-line nel proprio territorio.
Viene sancito però l’obbligo di assicurare il mutuo riconoscimento dei mezzi di identificazione elettronica rilasciati in un altro Stato membro per accedere ad un servizio pubblico on-line, a condizione che questi mezzi di identificazione  rientrino in un regime di identificazione elettronica notificato alla Commissione e vengano soddisfatte alcune condizioni relative ai livelli di garanzia. Un regime di identificazione elettronica è ammesso alla notifica se soddisfa una serie specifica di condizioni. La Commissione pubblica un elenco dei regimi di identificazione elettronica notificati.
Gli Stati membri dovrebbero incoraggiare anche il settore privato a impiegare volontariamente mezzi di identificazione elettronica nell’ambito di un regime notificato a fini di identificazione quando è necessario per servizi on-line o transazioni elettroniche.
Con specifico riferimento alle firme elettroniche, il regolamento chiarisce che non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali di una firma elettronica per il solo motivo della sua forma elettronica  o perché non soddisfa i requisiti per le firme elettroniche qualificate.
Viene stabilito che una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa; inoltre, sono fissati i requisiti che deve soddisfare una firma elettronica avanzata.
La firma elettronica basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta come firma elettronica qualificata in tutti gli altri Stati membri.
Per le persone giuridiche sono previsti sigilli elettronici a cui sono riconosciuti effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali. I sigilli elettronici qualificati godono della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo è associato. Un sigillo elettronico qualificato basato su un certificato qualificato rilasciato in uno Stato membro è riconosciuto come sigillo qualificato in tutti gli altri Stati membri. Come per le firme elettroniche vengono specificati i requisiti che deve presentare un sigillo elettronico avanzato.
Per quanto attiene ai servizi fiduciari il regolamento disciplina la responsabilità e l’onere della prova  per danni causati in seguito ad un mancato adempimento da parte dei prestatori di servizi fiduciari degli obblighi previsti nel regolamento.

Sono previsti i requisiti di sicurezza che devono essere rispettati dai prestatori di servizi fiduciari. Il regolamento stabilisce specifiche condizioni per avviare un servizio fiduciario qualificato e i requisiti da rispettare quando il prestatore rilascia un certificato qualificato per un servizio fiduciario. Infine, gli Stati membri devono designare un organismo di vigilanza che ha il compito di vigilare sui prestatori di servizi fiduciari qualificati e non qualificati.

 

ComplianceNet: 

Pagine