|
Stato dell’arte
Sono state varate tre diverse normative europee, che si propongono di approcciare il problema partendo da diverse angolazioni. Sono la Direttiva NIS (Network and Information Security), il Regolamento GDPR (General Data Protection Regulation), ed il Regolamento eIDAS (electronic IDentification Authentication and Signature). Ma hanno molti punti di debolezza: vediamoli
L’innovazione e lo sviluppo delle progettualità di Cyber Security deve essere accompagnato da un piano razionale e sostenibile di investimenti, troppo spesso carenti o non sufficienti ad accompagnare un reale sviluppo di servizi ICT, intrinsecamente sicuri. La sicurezza cibernetica dovrà essere inoltre ripensata non solo in base alle innovazioni tecnologiche, ma anche e soprattutto, in funzione delle competenze di chi dovrà assumere ruoli strategici
Mise, “Ecco come lavora il Cert Nazionale: alcuni esempi di attività quotidiana”
di Rita Forsi e Sandro Mari, Ministero dello Sviluppo Economico
Molte azioni condotte dal CERT Nazionale, basate sui dati ricevuti da Shadowserver, hanno come obiettivo la riduzione del rischio di vedere macchine italiane utilizzate per attacchi di incidenti di tipo DDoS. In particolare si tratta di azioni che mirano a segnalare configurazioni scorrette (o comunque sconsigliate) di sistemi di rete e potenzialmente sfruttabili per condurre attacchi di tipo DDoS ai danni di terze parti
Il Regolamento contiene alcuni evidenti simmetrie con la disciplina del RGPD (Regolamento Generale sulla Protezione dei Dati) che lasciano presupporre un orientamento univoco adottato dal legislatore europeo nell’affrontare determinate tematiche, in particolare sui temi legati alla sicurezza (informatica) e alla gestione degli incidenti/violazioni. Ciò potrebbe costituire un aspetto importante per gli operatori economici
Per sviluppare una politica di sicurezza, bisogna cominciare dalla definizione delle autorizzazioni che disciplinano l’uso dei beni. Tale definizione può avvenire attraverso quattro fasi
Bene il Framework, ma è auspicabile vi sia un coordinamento fra le varie iniziative: Agid dovrà identificare quali schemi di standardizzazione e compliance utilizzare, evitando di andarne a scrivere di nuovi vista l’abbondanza di Standard disponibili. L’altro aspetto rilevante riguarda il coordinamento e la condivisione di risorse e capacità tra le amministrazioni
Una trasformazione digitale che metta in sicurezza i dati di un paese richiede in primis di ridurre al minimo data center e le sale server, attraverso un processo di consolidamento dei data center della pubblica amministrazione. Difendere cento data center ben costruiti e interconnessi non è come difendere decine di migliaia sale server dislocati nei sottoscala
|