Studi e Ricerche

Consultazione Agid su Procurement ICT

Consultazione Agid su Procurement ICT

È oggi tema noto che la supply chain, se non correttamente gestita, può portare notevoli problemi di sicurezza. Processi di acquisizione condotti senza attenzione agli aspetti di sicurezza possono vanificare, o rendere meno efficaci, le misure che enti pubblici e privati hanno avviato per tutelare il proprio patrimonio informativo.

Allo scopo di fornire indicazioni concrete sul tema, l’AGID ha posto in consultazione pubblica (dal 14 maggio al 13 giugno 2019) le “Linee guida sicurezza nel procurement ICT”, un documento che è il prodotto delle attività di un tavolo di lavoro promosso dal Nucleo per la Sicurezza Cibernetica (NSC) del Dipartimento Informazioni per la Sicurezza presso la Presidenza del Consiglio dei Ministri. Al tavolo di lavoro, attivo da novembre 2018 a febbraio 2019, hanno partecipato le PA centrali: DIS; Protezione Civile; Affari Esteri; Interni; Giustizia; Difesa; Economia; Sviluppo Economico; AGID; Consip. Obiettivo del tavolo di lavoro era definire indicazioni tecnico-amministrative per garantire, all’interno delle procedure per l’approvvigionamento di beni e servizi informatici delle PA, la rispondenza di questi ad adeguati livelli di sicurezza.

Le finalità del documento sono state quindi:

  • illustrare in maniera semplice e immediatamente fruibile la problematica della sicurezza nel procurement ICT;
  • mettere a sistema (tramite opportuni glossari e classificazioni), formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT, rendendoli coerenti con la norma e con il contesto della pubblica amministrazione;
  • presentare buone prassi, soluzioni già in uso, misure semplici da adottare (strumenti operativi, esempi pratici, riferimenti puntuali), per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per alzare tale livello senza per questo aumentare in modo eccessivo la complessità dei processi e l’impegno necessario a condurli.

procurement

L’iniziativa nasce dalla considerazione che – durante i processi di acquisizione – i fornitori, in relazione alla natura dei servizi offerti, possano accedere al patrimonio informativo delle PA committenti, introducendo potenziali rischi informatici, con impatto in particolare su riservatezza, integrità, disponibilità, autenticità e non ripudio dei dati pubblici. Di contro, la necessità di formalizzare e strutturare il rapporto con i fornitori può rappresentare, per le amministrazioni, un’opportunità per aggiornare o rivedere le proprie politiche di sicurezza, anche contando sulle competenze del fornitore stesso, che può contribuire in modo positivo a elevare le misure di protezione dell’amministrazione.

L’ambito del documento è circoscritto alla sicurezza nell’approvvigionamento di beni e servizi informatici, attività indicata nel seguito del testo con “procurement ICT”. Nel documento si ricorda che la maggioranza dei contratti pubblici che riguardano l’ICT:

  • derivano da una gara o rappresentano appalti specifici di accordi quadro;
  • sono pluriennali (per cui un certo grado di avvicendamento del personale del fornitore è inevitabile);
  • comprendono più di un’iniziativa progettuale, in genere numerosi progetti distinti, che vengono condotti in parte sequenzialmente, in parte in parallelo, non necessariamente dallo stesso gruppo di lavoro del fornitore.

Il documento (rivolto in primis a dirigenti e ai funzionari delle pubbliche amministrazioni, ma non esclusivamente a questi) non costituisce un manuale tecnico, un compendio o uno studio accademico sulla tematica della sicurezza. Al contrario, nel testo si rimanda, per gli eventuali approfondimenti specialistici sulla materia, alla letteratura tecnica: riferimenti puntuali a studi, articoli e standard sono presenti nei paragrafi che seguono.

Per accedere alla Consultazione AGID.

Come difendere i dati e i backup dal ransomware

Come difendere i dati e i backup dal ransomware

Un attacco ransomware globale, lanciato con una mail infetta e quindi diffuso entro le 24 ore successive in ogni punto nel mondo, sarebbe oggi in grado di crittografare dati in 30 milioni di device impattando 600mila organizzazioni, con costi complessivi superiori ai 200 miliardi di dollari. È quanto emerge dallo studio “Bashe Attack: Global infection by contagious malware”, del progetto Cyber Risk Management (CyRiM, iniziativa pubblico privata di Singapore tra i cui fondatori figura Lloyd’s), secondo il quale numerose realtà sarebbero costrette a pagare il riscatto per decriptare i dati o sostituire del tutto i device infetti.

Read More

Il fenomeno del Cyber Security Skill Shortage in Italia e nel contesto internazionale

Il fenomeno del Cyber Security Skill Shortage in Italia e nel contesto internazionale

In uno scenario in cui le minacce informatiche diventano sempre più sofistiche e mutevoli nel tempo, le esigenze dei team di security cambiano costantemente richiedendo personale sempre più specializzato in grado di fronteggiare un contesto in continuo cambiamento. Purtroppo, tale compito già impegnativo delle imprese di proteggersi contro le minacce cyber è aggravato dallo skill shortage, ovvero la mancanza di competenze nel settore della cyber security.

Read More

Allarme Cybersecurity nella Relazione DIS 2018

Allarme Cybersecurity nella Relazione DIS 2018

La minaccia cibernetica può danneggiare le infrastrutture critiche e strategiche. La cultura della cybersecurity diventi interesse dei cittadini per incrementare il livello complessivo di sicurezza, anche se l’Intelligence è il custode della cybersecurity nazionale”. È quanto ha dichiarato Giuseppe Conte, presidente del Consiglio dei ministri, lo scorso 28 febbraio durante la presentazione al Parlamento del Relazione sulla politica dell’informazione per la sicurezza 2018, curata dal Dipartimento delle Informazioni per la Sicurezza (DIS).

Read More

Datacenter e Endpoint ambiti prioritari sul fronte della sicurezza

Datacenter e Endpoint ambiti prioritari sul fronte della sicurezza

Bitdefender, azienda leader nella sicurezza informatica, che protegge più di 500 milioni di sistemi in tutto il mondo, ha annunciato oggi i risultati di una ricerca sulla sicurezza dei Datacenter e del Cloud. Le aziende stanno oggi affrontando numerose criticità per far fronte alle nuove sfide di cybersecurity. Non solo gli attaccanti fanno evolvere continuamente le proprie tecniche di hacking: sono anche le infrastrutture ICT delle aziende che si modificano, in un percorso di trasformazione del datacenter verso i nuovi modelli software-defined, verso un maggiore utilizzo del cloud e una maggiore presenza di ambienti virtuali, ibridi e convergenti.

Read More

Sicurezza dell’auto connessa: l’industria automobilistica in affanno

Sicurezza dell’auto connessa: l’industria automobilistica in affanno

Un gruppo di ricercatori ha individuato una vulnerabilità software che, se sfruttata dagli hacker, potrebbe consentire di prendere il controllo da remoto di un popolare monopattino elettrico, il Mi Scooter (m365) di Xiaomi. Eventuali aggressori potrebbero attivare un freno o accelerare un mezzo, mettendo così a rischio la salute del guidatore. Si tratta dell’ennesimo caso di “insicurezza cibernetica” applicata al mondo della mobilità smart, un tema di cui sentiremo sempre più parlare in futuro.

Read More

Global Risks Report 2019: cresce la dipendenza globale dal Digitale

Global Risks Report 2019: cresce la dipendenza globale dal Digitale

Per il terzo anno consecutivo, anche nel 2019 i rischi di furto di dati e di attacchi cyber su scala globale sono indicati tra i primi 5 rischi globali, in termini di probabilità di accadimento, nel Global Risks Report 2019 del World Economic Forum. L’analisi, arrivata alla sua quattordicesima edizione, riporta i risultati di una survey annuale (Global Risks Perceptions Survey) condotta su una community multistakeholder composta da circa 1.000 partecipanti, che valutano, sulla base delle proprie percezioni, i principali rischi globali in termini di probabilità di accadimento e impatto.

Read More

Enisa Threat Landscape, rimane alta l’esposizione UE ai rischi cyber

Enisa Threat Landscape, rimane alta l’esposizione UE ai rischi cyber

Stiamo assistendo ad una rapidissima trasformazione in chiave digitale, e l’arrivo del 5G, la migrazione al cloud, la convergenza degli ambienti industriali e l’esplosione del fenomeno IoT, non fanno altro che ridisegnare l’orizzonte cibernetico, allargando sempre più la superficie vulnerabile ad attacchi esterni. La buona notizia, riportata quest’anno anche dall’Enisa Threat Landscape 2018 (ETL 2018), è che le forze dell’ordine, i vendor e i governi europei cominciano a mettere in campo misure attive di difesa (Active Defence) in grado oggi di contrastare, in alcuni casi anche molto bene, le azioni malevole sulla rete.

Read More

Web Application: come far fronte alle crescenti minacce?

Web Application: come far fronte alle crescenti minacce?

Negli ultimi due anni le Web Application sono cresciute a ritmi molto elevati, proseguendo un trend intrapreso all’inizio del millennio volto a migliorare l’esperienza di consumo del browsing online, che diventa così sempre più dinamico. Da una prospettiva di sicurezza, questa crescita nel numero di applicazioni internet aumenta la superficie complessiva attaccabile su questo fronte e, di conseguenza, aumenta il rischio di subire una violazione.

Read More