venerdì, Agosto 14

Cybersecurity, come si muove l’Italia?

0
1 2


Di conseguenza come ci difendiamo, o meglio come riusciamo ad armonizzare legislazione e modernità? “In questo ambito da un punto di vista giuridico il legislatore ha trovato questa tecnica: dire che le misure di sicurezza devono essere adeguate al rischio che l’azienda ha, per esempio, nel trattamento dei dati personali, visto che entro il 25 maggio 2018 entrerà in vigore il nuovo regolamento europeo sulla protezione dei dati personali. In questo caso il Garante europeo e tutti i Paesi dell’Unione e tutte le aziende dovranno applicare delle norme di sicurezza adeguate dopo aver fatto una valutazione del rischio – sottolinea Stefano Mele – Lasciare a queste enorme discrezione può portare o a non sicurezza o una non adeguata sicurezza. E’ normale che in realtà le norme siano obsolete quando entrano in vigore, basta tenere presente il regolamento che entrerà in vigore nel 2018, l’iter è cominciato sei anni fa. Il diritto deve rincorrere, o meglio mettere su carta e rendere a livello normativo consolidato un uso, un comportamento o una percezione di un comportamento che già esiste a livello sociale e che è percepito in una determinata maniera”.

“Dobbiamo distinguere sistema Paese e sistema azienda – aggiunge Michele Colajanni – Il sistema Paese si sta dotando di strutture adeguate. Nel passato ci sono stati vari decreti in questo senso. Adesso è stato adottato un programma nazionale per la cybersecurity e un nuovo decreto che sostituisce il DPCM 24 gennaio 2013 (Decreto Monti) in materia di sicurezza cibernetica. In questa maniera sono più chiari i ruoli, le competenze. La cybersicurezza non riguarda solo il sistema Paese ma anche aziende che sono oggetto di attacchi. La creatività del ‘made in Italy’ fa gola, e queste non subiscono sabotaggi ma furti di informazioni. Ritorna sempre lo stesso tema: metterci in testa che la sicurezza non è un costo ma una necessità. La sicurezza è sinonimo di ordine e controllo. Sarà interessante la direttiva NIS, che costringerà a selezionare alcuni settori critici per il Paese dove effettivamente la collaborazione tra lo Stato e l’azienda privata che eroga servizi fondamentali sono aziende che seconda la direttiva lo Stato deve porre una certa attenzione per la sicurezza di queste aziende, perché la loro sicurezza è un bene comune. Per non parlare della sicurezza dei dati sanitari, le cartelle ormai sono tutte digitalizzate”.

La cosa fondamentale sono  I tre momenti della sicurezza: prevenzione, il momento dell’individuazione che è fondamentale. A differenza di un atto visibile, nel caso di un attacco informatico è più difficile era notare e individuare, ecco perché è fondamentale sviluppare la detection. Poi c’è la parte della gestione dell’incidente. Quindi la gestione deve avvenire da parte di esperti del settore dotati di determinate competenze. Infine ripristinare l’operatività. Quello che ci dimentichiamo spesso è che bisogna imparare dall’incidente, quindi evitare che ricapiti in futuro. La cultura della prevenzione sicuramente deve essere coltivata molto nel nostro Paese”.

Adesso tutti parlano del caso di Hacking Team, ma le aziende che operano nel settore (creano software di intrusione o dual use) non sono una novità, anzi. Qui il problema è il controllo a livello statale verso chi vengono esportati. “Per l’esportazione di software di intrusione c’è una normativa ben precisa – sottolinea con fermezza l’avvocato Mele – Che poi è la normativa generica per l’esportazione dei prodotti a duplice uso, e dal 2014 sono stati inseriti anche questi software. E’ necessario che qualsiasi società europea deve chiedere l’autorizzazione per l’esportazione del software al nostro Ministero dello Sviluppo Economico.

Prima c’era meno regolamentazione e meno attenzione. Dopo il caso di Hacking Team l’attenzione è diventata molto elevata. Anche prima di questa vicenda è stata violata una società tedesca, poi una società israeliana e così via. Non sono stati né i primi né gli ultimi. La normativa dal 2014 è abbastanza stringente, ci sono controlli effettuati dal Ministero dello Sviluppo Economico e sono quattro le tipologie di autorizzazioni per le esportazioni di software di intrusione che possono essere richieste, in tutti e quattro i casi bisogna fornire, con cadenze ben precise, verso chi è stato esportato quel software, quale società e così via. Ormai il controllo è molto rigido. Controllo che deve essere fatto a monte da parte della società per capire se quello che sta producendo è un software, in parte o tutto, classificabile come software di intrusione. Per fare questo o l’analisi viene fatta interamente dalla società prima di proporre la domanda al Ministero oppure lo stesso Ministero ha fatto una convenzione con l’Università di Pisa per far fare privatamente, a spesa dell’azienda, un’analisi. Naturalmente se uno vuole può agire ‘sotto banco’, ma in questo caso ci sono delle sanzioni”.

L’informazione che non paghi per avere, qualcuno paga perché Ti venga data.

Hai mai trovato qualcuno che ti paga la retta dell’asilo di tuo figlio? O le bollette di gas, luce, telefono? Io no. Chiediti perché c’è, invece, chi ti paga il costo di produzione dell'Informazione che consumi.

Un’informazione che altri pagano perché ti venga data: non è sotto il Tuo controllo, è potenzialmente inquinata, non è tracciata, non è garantita, e, alla fine, non è Informazione, è pubblicità o, peggio, imbonimento.

L’Informazione deve tornare sotto il controllo del Lettore.
Pagare il costo di produzione dell’informazione è un Tuo diritto.
"L’Indro" vuole che il Lettore si riappropri del diritto di conoscere, del diritto all’informazione, del diritto di pagare l’informazione che consuma.

Pagare il costo di produzione dell’informazione, dobbiamo esserne consapevoli, è un diritto. E’ il solo modo per accedere a informazione di qualità e al controllo diretto della qualità che ci entra dentro.

In molti ti chiedono di donare per sostenerli.

Noi no.

Non ti chiediamo di donare, ti chiediamo di pretendere che i giornalisti di questa testata siano al Tuo servizio, che ti servano Informazione.

Se, come noi, credi che l’informazione che consumiamo è alla base della salute del nostro futuro, allora entra.

Entra nel club L'Indro con la nostra Membership

Commenti

Condividi.

Sull'autore