Privacy Accountability e linee guida del Garante: tra responsabilizzazione e dimostrabilità ai sensi del nuovo regolamento generale sulla protezione dei dati

Privacy Accountability e linee guida del Garante: tra responsabilizzazione e dimostrabilità ai sensi del nuovo regolamento generale sulla protezione dei dati

Il Regolamento Generale sulla Protezione dei dati introdotto con Regolamento CEE 679/2016 non è solo la tanto attesa risposta all’esigenza di predisporre una disciplina unitaria sul trattamento dei dati che si adegui al sempre più esteso processo di digitalizzazione globale – ruolo che l’ormai sorpassata direttiva 95/46/CE non era più in grado di garantire – ma è innanzitutto il mezzo con cui il legislatore Europeo, mutando completamente impostazione rispetto al passato, propone un articolato scenario normativo in materia di privacy prevalentemente incentrato sul processo di responsabilizzazione  – c.d. principio di “Accountability” sancito dall’art. 24 – dei soggetti titolari e responsabili […]

Industrial Cybersecurity: scenari di rischio ed esigenze di difesa

Industrial Cybersecurity: scenari di rischio ed esigenze di difesa

Il settore industriale è sicuramente fra i più interessati dalla trasformazione digitale. L’assioma Industry 4.0, reso possibile dall’evoluzione delle tecnologie legate alla gestione di sistemi complessi e in Italia già destinatario dell’omonimo piano nazionale d’intervento, oggi apre il passo all’ancor più dinamico Industry 5.0. Su questo settore in espansione si concentrano, inevitabilmente, anche mire e ambizioni del crimine informatico; tendenza tanto più preoccupante se si considera come nel settore industriale rientrino asset altamente critici in ottica di sicurezza nazionale. Standard internazionali di sicurezza Proprio in ragione della sua elevata criticità, il settore industriale è da tempo oggetto di prescrizioni e […]

Adversarial Learning e sue applicazioni nella Cyber Security

Adversarial Learning e sue applicazioni nella Cyber Security

1. Security e Machine Learning Le tecnologie di Machine Learning sono state spesso applicate nel contesto della sicurezza informatica, con numerose aree di applicazione specifica che comprendono il riconoscimento di malware, il rilevamento di intrusioni, i filtri anti-spam, l’autenticazione utente (one-shot e continua), e i sistemi di password checking. In generale, l’idea è quella di vedere l’incidente di sicurezza come anomalia rispetto al funzionamento atteso di un sistema, le cui caratteristiche posso essere apprese da esempi passati. Siamo quindi nel campo della “anomaly detection”. Quando il classificatore, ottenuto attraverso tecniche adattive, segnala un’anomalia, scattano azioni correttive o controlli aggiuntivi, quali […]

Le novità per la vita digitale di cittadini e imprese nel Decreto Semplificazioni – parte II

Le novità per la vita digitale di cittadini e imprese nel Decreto Semplificazioni – parte II

Segue dalla prima parte Notificazione degli atti della Pubblica Amministrazione e utilizzo della PEC La Presidenza del Consiglio dei Ministri gestirà una piattaforma unica volta a semplificare e rendere meno costosa la notificazione di provvedimenti, avvisi e comunicazioni da parte della P.A. (sono esclusi gli atti del processo civile, penale, amministrativo, tributario e contabile). Come già anticipato, anche in questo caso ai fini della accessibilità alla piattaforma si potranno utilizzare gli strumenti messi a disposizione (SPID, CIE, AppIO). L’istituzione della piattaforma è prevista dalla L. 160 del 27 dicembre 2019; il suo sviluppo è affidato alla società PagoPA S.p.A. per […]

Modello vettoriale per i Sistemi di Sicurezza delle Informazioni

Modello vettoriale per i Sistemi di Sicurezza delle Informazioni

La sicurezza dei dati e delle informazioni, è un asset fondamentale e strategico per le organizzazioni. I dati, e la loro gestione, sono la parte più importante e più critica delle organizzazioni. All’interno delle organizzazioni, intese come sistema, i flussi dei dati, la loro conoscenza e gestione permettono di essere non solo competitivi ma proattivi nel campo della cybersecurity. Un sistema è un insieme di attività e dati, a seguito di input, che reagisce a tali stimoli e si adatta per produrre output dedicati. La sicurezza non è un prodotto ma un processo che si basa su aspetti organizzativi e […]

Se la Mela si baca: di sicurezza, forensic e di tutto quello che non c’è nell’ordinanza del giudice federale di Los Angeles

Se la Mela si baca: di sicurezza, forensic e di tutto quello che non c’è nell’ordinanza del giudice federale di Los Angeles

“Dentro gli smartphone che ognuno porta con sé ci sono più informazioni su ciascuno di noi che in qualsiasi altro dispositivo o in qualsiasi altro posto”. (Tim Cook) I PRESUPPOSTI DELLA VICENDA Un altro tsunami di orrore si alza e corre. Impietoso e disumano di nuovo si abbatte. Come sempre… viene spontaneo aggiungere. E stavolta son 14. Quattordici: il numero delle vite spezzate nella strage del 2 dicembre scorso, rivendicata dall’Isis, a San Bernardino, in un centro per disabili. 23 i feriti, fra cui due poliziotti. “Questo” – si dirà poi – “è il peggiore attacco con armi da fuoco […]

Operazioni di cyber spionaggio nel conflitto tra Russia e Ucraina

Operazioni di cyber spionaggio nel conflitto tra Russia e Ucraina

La domanda più difficile per un analista di intelligence riguarda spesso le motivazioni che si celano dietro un attacco informatico. Risulta infatti molto più semplice, nella maggior parte dei casi, ricostruire le varie fasi di un attacco piuttosto che comprendere perché sia stato sferrato. La risposta a tale quesito varia a seconda dei casi; ma è un dato di fatto che i criminali informatici agiscano in maniera opportunistica, cercando di ottenere il miglior risultato con il minor sforzo possibile, usando i metodi più semplici e allo stesso tempo più efficaci, calibrati sui propri obiettivi. Per comprendere a fondo un attacco […]

Breve storia dei malware: l’evoluzione delle specie dalle origini ai giorni nostri

Breve storia dei malware: l’evoluzione delle specie dalle origini ai giorni nostri

All’inizio si parlava di “virus”. Poi sono comparsi i “worm”, seguiti dai “macrovirus”. A questi si sono presto affiancati altri tipi di software ostile come i keylogger o i locker. A un certo punto abbiamo tutti iniziato a chiamarli, più genericamente, malware. E proprio come i virus biologici, i malware si sono evoluti nel tempo. Alcuni, altamente opportunisti, compaiono per sfruttare opportunità a breve termine. Ma molti altri si sono evoluti per sfruttare difetti e problemi più fondamentali presenti nei sistemi IT che non sono ancora stati risolti. Da Creeper ai moderni Ransomware I primi virus della storia informatica risalgono […]

Compagnie assicurative e reti distributive: a chi giova una guerra di posizione?

Compagnie assicurative e reti distributive: a chi giova una guerra di posizione?

Negli ultimi mesi causa il lento e inesorabile declino della redditività nella stipula delle Polizze assicurative Rca, quelle che tutti abbiamo se vogliamo circolare con la nostra autovettura o ciclomotore (essendo obbligatorie per legge), è nata una netta quanto sempre più evidente e cruenta contrapposizione tra gli Agenti assicurativi legati da un mandato con la propria compagnia e le Compagnie stesse ove ciascuno accusa l’altro di avere “reso tossico” il ramo assicurativo che oggi non permette più di guadagnare come prima, che per le Compagnie ormai è una perdita secca anno per anno e per gli Agenti che, ricordiamolo, sulla […]

Il Business Continuity Plan – Non solo tecnologia, non solo carta

Il Business Continuity Plan – Non solo tecnologia, non solo carta

6 elementi imprescindibili per un buon piano di continuità “La Business Continuity? Grazie ma sono a posto, ho il piano di Disaster Recovery!” Ho sentito molte volte questa frase. E ogni volta è stato difficile confutare tale convincimento, provando a chiarire cosa sia veramente la Business Continuity senza far sentire l’interlocutore un ignorante. Alla base di quell’affermazione c’è infatti una grave lacuna teorica e pratica. Con grande pazienza occorre spiegare che il piano di Disaster Recovery è sì molto importante ma è soltanto una parte dell’intero Sistema di Gestione della Continuità Operativa (Business Continuity Management System) di un’organizzazione. Il piano […]

Cyber-jihad – Weaponizzazione mediale ed avatarismo terroristico

Cyber-jihad – Weaponizzazione mediale ed avatarismo terroristico

Il cyber-jihad è proclamato. Il web, al contempo medium, piattaforma e metaverso sociale, favorisce la disseminazione orizzontale cross-mediale e la conseguente amplificazione globale digimediale, o cyber-mediale, del terrore oggi strategicamente determinata dall’autoproclamato Islamic State (IS), accrescendone l’espansione, soprattutto nel contesto occidentale, della percezione di insicurezza relativa alla capacità dei cittadini, sia nella dimensione individuale che in quella collettiva, di determinarsi liberamente nel proprio ambiente socio-culturale quotidiano. Il terrorismo jihadista contemporaneo trasforma il medium stesso in arma, si “weaponizza” grazie all’essenza digitale, alla velocità di fruizione, alla portabilità ed al nomadismo digitale dell’iperconnessione. In tale contesto, l’IS ricorre all’utilizzo crescente della […]

Edge Computing, 5G e aspetti di vulnerabilità delle nuove architetture di rete

Edge Computing, 5G e aspetti di vulnerabilità delle nuove architetture di rete

La tanto attesa “rivoluzione 5G” è già realtà. Mentre fioriscono ipotesi e interpretazioni circa la portata di tale dirompente innovazione tecnologica, è importante non dimenticare gli aspetti relativi alla sicurezza informatica dei nuovi servizi software e di rete; aspetti complessi e problematici che impongono – sin dalla fase di progettazione – un’attenzione particolare per consentire di contemperare le novità sul piano tecnico con i fondamentali principi di privacy e di security by design. Focus di numerosi interventi nell’ambito dei nostri eventi annuali Cyber Crime Conference e Forum ICT Security, nonché della scorsa edizione del bookazine cartaceo ICT Security Collection, il tema è anche stato oggetto di contributi editoriali che ne hanno approfondito […]