Blog

Consultazione Agid su Procurement ICT

Consultazione Agid su Procurement ICT

È oggi tema noto che la supply chain, se non correttamente gestita, può portare notevoli problemi di sicurezza. Processi di acquisizione condotti senza attenzione agli aspetti di sicurezza possono vanificare, o rendere meno efficaci, le misure che enti pubblici e privati hanno avviato per tutelare il proprio patrimonio informativo.

Allo scopo di fornire indicazioni concrete sul tema, l’AGID ha posto in consultazione pubblica (dal 14 maggio al 13 giugno 2019) le “Linee guida sicurezza nel procurement ICT”, un documento che è il prodotto delle attività di un tavolo di lavoro promosso dal Nucleo per la Sicurezza Cibernetica (NSC) del Dipartimento Informazioni per la Sicurezza presso la Presidenza del Consiglio dei Ministri. Al tavolo di lavoro, attivo da novembre 2018 a febbraio 2019, hanno partecipato le PA centrali: DIS; Protezione Civile; Affari Esteri; Interni; Giustizia; Difesa; Economia; Sviluppo Economico; AGID; Consip. Obiettivo del tavolo di lavoro era definire indicazioni tecnico-amministrative per garantire, all’interno delle procedure per l’approvvigionamento di beni e servizi informatici delle PA, la rispondenza di questi ad adeguati livelli di sicurezza.

Le finalità del documento sono state quindi:

  • illustrare in maniera semplice e immediatamente fruibile la problematica della sicurezza nel procurement ICT;
  • mettere a sistema (tramite opportuni glossari e classificazioni), formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT, rendendoli coerenti con la norma e con il contesto della pubblica amministrazione;
  • presentare buone prassi, soluzioni già in uso, misure semplici da adottare (strumenti operativi, esempi pratici, riferimenti puntuali), per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per alzare tale livello senza per questo aumentare in modo eccessivo la complessità dei processi e l’impegno necessario a condurli.

procurement

L’iniziativa nasce dalla considerazione che – durante i processi di acquisizione – i fornitori, in relazione alla natura dei servizi offerti, possano accedere al patrimonio informativo delle PA committenti, introducendo potenziali rischi informatici, con impatto in particolare su riservatezza, integrità, disponibilità, autenticità e non ripudio dei dati pubblici. Di contro, la necessità di formalizzare e strutturare il rapporto con i fornitori può rappresentare, per le amministrazioni, un’opportunità per aggiornare o rivedere le proprie politiche di sicurezza, anche contando sulle competenze del fornitore stesso, che può contribuire in modo positivo a elevare le misure di protezione dell’amministrazione.

L’ambito del documento è circoscritto alla sicurezza nell’approvvigionamento di beni e servizi informatici, attività indicata nel seguito del testo con “procurement ICT”. Nel documento si ricorda che la maggioranza dei contratti pubblici che riguardano l’ICT:

  • derivano da una gara o rappresentano appalti specifici di accordi quadro;
  • sono pluriennali (per cui un certo grado di avvicendamento del personale del fornitore è inevitabile);
  • comprendono più di un’iniziativa progettuale, in genere numerosi progetti distinti, che vengono condotti in parte sequenzialmente, in parte in parallelo, non necessariamente dallo stesso gruppo di lavoro del fornitore.

Il documento (rivolto in primis a dirigenti e ai funzionari delle pubbliche amministrazioni, ma non esclusivamente a questi) non costituisce un manuale tecnico, un compendio o uno studio accademico sulla tematica della sicurezza. Al contrario, nel testo si rimanda, per gli eventuali approfondimenti specialistici sulla materia, alla letteratura tecnica: riferimenti puntuali a studi, articoli e standard sono presenti nei paragrafi che seguono.

Per accedere alla Consultazione AGID.

Garante: serve un migliore governo dell’innovazione digitale

Garante: serve un migliore governo dell’innovazione digitale

Oggi, se vogliamo rispondere ai numerosi rischi che riguardano le libertà individuali e collettive, si impone in modo pressante la necessità di governare al meglio l’Innovazione. E’ questo il messaggio forte, incisivo per la nostra società, che emerge dalla presentazione (dello scorso 7 maggio) del Presidente Soro al Parlamento della Relazione sulle attività svolte dal Garante Privacy nel 2018. “Il digitale è divenuto agente potentissimo di trasformazione sociale, struttura e sovrastruttura insieme – ha dichiarato Antonello Soro – la cornice entro cui si dispiegano libertà e responsabilità, spingendo l’uomo a trascendere i suoi stessi limiti. E con l’ambiguità di ogni tecnica, ma anche con la forza propria delle rivoluzioni epocali, il digitale può essere presupposto tanto di espansione quanto di limitazione delle libertà, se si inverte il rapporto tra mezzo e fine”.

Read More

Come difendere i dati e i backup dal ransomware

Come difendere i dati e i backup dal ransomware

Un attacco ransomware globale, lanciato con una mail infetta e quindi diffuso entro le 24 ore successive in ogni punto nel mondo, sarebbe oggi in grado di crittografare dati in 30 milioni di device impattando 600mila organizzazioni, con costi complessivi superiori ai 200 miliardi di dollari. È quanto emerge dallo studio “Bashe Attack: Global infection by contagious malware”, del progetto Cyber Risk Management (CyRiM, iniziativa pubblico privata di Singapore tra i cui fondatori figura Lloyd’s), secondo il quale numerose realtà sarebbero costrette a pagare il riscatto per decriptare i dati o sostituire del tutto i device infetti.

Read More

Dati sanitari a rischio, la situazione peggiora

Dati sanitari a rischio, la situazione peggiora

Il numero dei data breach riguardanti dati sanitari occorsi nel mese di marzo 2019, come riporta il “Healthcare Data Breach Report” del HIPAA Journal USA, ha mostrato un andamento di costante crescita rispetto agli scorsi anni, con un tasso di 1 data breach al giorno segnalato alle autorità americane.

Read More

Multilateralismo o Cyber-sovranità?

Multilateralismo o Cyber-sovranità?

La dimensione geopolitica della Cybersecurity

La Cybersecurity non è soltanto al centro delle preoccupazioni delle aziende, ma è sempre più al centro dell’attenzione dei Governi e dei singoli cittadini. Al recente Cybersecurity Summit di Roma, organizzato da The Innovation Group, il Sottosegretario di Stato Angelo Tofalo – Ministero della Difesa – ha affermato che “Simulazioni eseguite da specialisti hanno stimato che in caso di attacco alla rete elettrica, un black out elettrico di qualche settimana determinerebbe un collasso dell’intero Sistema Paese, producendo danni anche in termini di vite umane”.

Read More

Facing Forward: il cyber nel 2019

Facing Forward: il cyber nel 2019

Cyberspionaggio industriale, attacchi alle infrastrutture critiche, uso politico dei social network, operazioni dirette dall’alto: sembrerebbero queste le tendenze 2019 nel mondo del cyber risk, secondo il report Facing Forward – Cyber Security in 2019 and Beyond pubblicato da FireEye. Il documento, frutto delle analisi di una serie di esperti della società di sicurezza informatica e corredato dal commento dell’AD della società Kevin Mandia, che ha in curriculum anche diversi anni nel reparto sicurezza del Pentagono, può essere un utile spunto di riflessione per tutti gli operatori del settore.

Read More

Sicurezza e Privacy per la casa intelligente

Sicurezza e Privacy per la casa intelligente

La domanda di soluzioni per la casa intelligente è in grandissima crescita. Gli oggetti che permettono di rendere le nostre case più confortevoli e “servizievoli”, di automatizzare compiti prima relegati agli “umani”, sono sempre di più, e vanno dalle lampadine che possono essere accese direttamente dallo smartphone, essere comandate con la voce o cambiare colore a seconda dell’umore del proprietario di casa, ai televisori trasformati in contenitori di App e sempre connessi alla rete, agli elettrodomestici che si comandano da distanza, alle porte dotate di smart lock, che sbloccano automaticamente la porta quando arrivate a casa e la bloccano di nuovo quando uscite.

Read More

Exodus, lo spyware di Stato che ha colpito vittime innocenti

Exodus, lo spyware di Stato che ha colpito vittime innocenti

Secondo i ricercatori di sicurezza di Security Without Borders, un’associazione no-profit che si occupa anche di investigazioni su minacce ricevute da dissidenti e attivisti per i diritti umani, uno spyware utilizzato dalle forze dell’ordine italiane per investigazioni, Exodus, distribuito tramite Goggle Play Store, sarebbe stato diffuso a molti più utenti. Questi inavvertitamente avrebbero scaricato le app infette sui propri dispositivi Android. In sostanza, non ha funzionato bene il filtro per limitare le intercettazioni, ossia, il funzionamento delle app soltanto con telefoni cellulari di eventuali indagati.

Read More

Trasformazione digitale e nuovo approccio alla Cybersecurity

Trasformazione digitale e nuovo approccio alla Cybersecurity

Per tenere il passo con una competizione sempre più agguerrita, le aziende si stanno impegnando in cammini di trasformazione digitale senza sufficienti precauzioni di cybersecurity. Pensiamo alla migrazione al cloud: le aziende portano risorse e dati in cloud, per avvantaggiarsi della maggiore dinamicità e agilità di questi ambienti, troppo spesso con budget limitati e senza troppa attenzione agli aspetti di compliance. La trasformazione dell’infrastruttura richiederebbe invece un ridisegno della sicurezza, una parte che non può essere trascurata o rimandata. Affrontiamo questi temi con Stefano Volpi, Country Manager Italy di Symantec.

Read More

Come rispondere al rischio di una crescente Information Warfare

Come rispondere al rischio di una crescente Information Warfare

Negli ultimi anni, l’Information Warfare ha subito un continuo incremento: molti governi hanno imparato come manipolare l’opinione pubblica in Stati avversari, come lanciare attacchi ad infrastrutture critiche e ottenere violazioni molto mirate seguite da data breach massivi. Come ci spiega in questa intervista Giovanni Rizzo, Strategic Account Manager di FireEye, ci si aspetta che questi “metodi di guerra digitale” proseguiranno con maggiore intensità: le organizzazioni dovrebbero quindi implementare programmi di cyber threat intelligence per ottenere indicazioni strategiche e capire meglio quali circostanze potrebbero favorire attacchi cibernetici in grado di danneggiarne le attività e la reputazione.

Read More