Sicurezza informatica

Il mondo cambia velocemente e le nuove tecnologie di comunicazione e di gestione dei sistemi integrati impongono uno studio approfondito per evitare malfunzionamenti improvvisi, e un livello di sicurezza soddisfacente. La cybersecurity è la nuova frontiera scientifica che affronta con una visione multidisciplinare la sicurezza dei sistemi integrati e l'analisi dei rischi necessaria a trovare delle contromisure efficaci agli attacchi cyber. Per tale motivo bisogna riformulare i principi base da seguire per progettare dei sistemi integrati cybersicuri.

Il mondo cambia velocemente e le nuove tecnologie impongono uno studio approfondito per evitare malfunzionamenti improvvisi, e un livello di sicurezza soddisfacente di tutti i sistemi integrati usati dalla popolazione quotidianamente per lavorare, per comunicare, per divertirsi. La cybersecurity è la nuova frontiera scientifica che affronta con una visione multidisciplinare la sicurezza dei sistemi integrati e l'analisi dei rischi è la base necessaria dalla quale partire per trovare delle contro-misure efficaci agli attacchi cyber, e assicurare un livello di cybersecurity soddisfacente a tutti i sistemi integrati in uso nel mondo. I suggerimenti elencati in questo testo permettono di svolgere un'efficace schematizzazione dei sistemi integrati e fare una successiva analisi dei rischi che dia un quadro completo delle contromisure e dei sistemi di sicurezza da adottare per proteggere in modo soddisfacente un sistema integrato complesso o un'azienda, con un livello di sicurezza efficace e immune da eventuali attacchi cyber; il tutto compatibilmente con le possibilità economiche e con la complessità dei sistemi integrati e della eventuale linea produttiva dell'azienda.

Perché è così acceso il dibattito sul rapporto tra sicurezza e privacy? Quale rilievo assumono i dati esterni alle comunicazioni e quali rischi comporta la loro conservazione? L’atteggiamento di autorità garanti e legislatori nei confronti dei dati personali conservati a fini commerciali è stato rigoroso quanto quello riservato ai dati conservati a fini di accertamento e repressione dei reati? Questi sono solo alcuni dei quesiti cui il volume tenta di rispondere attraverso un approccio nuovo alla questione del corretto bilanciamento tra esigenze di sicurezza e privacy. Nella prima parte si esamina il concetto di sicurezza nelle sue mutevoli sfaccettature, con approfondimenti riguardanti i soggetti coinvolti, l’evoluzione nel tempo e gli studi sulla sua percezione soggettiva; una particolare attenzione viene dedicata al terrorismo e al ruolo cruciale dell’individuazione del responsabile di una violazione, operazione più complessa nel contesto della rete Internet. La seconda parte del volume è dedicata all’evoluzione normativa e giurisprudenziale della data retention e all’esame delle relative pronunce della Corte di giustizia europea e del Garante per la protezione dei dati personali. La loro analisi prende le mosse dai precedenti approfondimenti sulla sicurezza e sottolinea la mancata comprensione dell’importanza della data retention e la sopravvalutazione dei rischi di ingerenza nella vita privata, in linea con un principio di precauzione talmente intenso da ipotizzare il realizzarsi di un judgment of fear.

Il mondo cambia velocemente e le nuove tecnologie impongono uno studio approfondito dei sistemi e dipositivi che si commercializzano quotidianamente. Lo studio dei sistemi integrati e l'analisi dei loro bugs, è necessario per individuare i punti critici legati alle loro caratteristiche funzionali, e successivamente per poter progettare e dimensionare delle soddisfacenti contromisure ad eventuali attacchi cyber. Per questo la schematizzazione e la classificazione dei sistemi integrati e dei loro bugs svolta in questo testo, è un contributo utile per mettere in sicurezza qualsiasi sistema integrato con un livello di cybersecurity soddisfacente.

I suggerimenti elencati in questo testo permettono di svolgere un'efficace schematizzazione dei sistemi integrati di un'azienda 4.0, e fare una successiva analisi dei rischi che dia un quadro completo delle contromisure e dei sistemi di sicurezza da adottare per proteggere in modo soddisfacente l'azienda da eventuali attacchi cyber; il tutto compatibilmente con le possibilità economiche dell'azienda stessa e con la complessità dei suoi sistemi integrati e della sua linea produttiva.

Questo testo parla dei principi fondamentali che oggi, nel 2019, bisogna considerare e applicare alla progettazione di qualsiasi cosa sia struttura o sistema integrato, affinché abbia un livello di sicurezza e una protezione soddisfacente da attacchi cyber.

In data 6 novembre 2018 il Comitato Permanente dell'Assemblea Nazionale del Popolo ha approvato la Legge sulla sicurezza informatica della Repubblica Popolare Cinese (Zhonghua renmin gongheguo wangluo anquan fa). La promulgazione della legge risponde ad una precisa necessità: vale a dire quella di regolamentare una materia, la sicurezza della rete e dei sistemi informativi, molto importante, come ovvio, sia per esigenze di sicurezza nazionale sia per esigenze di sicurezza dei singoli individui. Atteso ormai l'elevato grado di pervasività raggiunto dalle nuove tecnologie nelle nostre vite, risulta evidente come diventa essenziale per un paese il dotarsi di una normativa coerente ed esaustiva per un settore dell'ordinamento in continua espansione e figlio del rapido e incessante progresso tecnologico. L'iter che ne ha anticipato la promulgazione ha visto la discussione di tre bozze, di cui la prima risalente a giugno 2015, la seconda a giugno 2016 e la terza a ottobre 2016. Il testo finale, che è entrato in vigore il 1° giugno 2017, si compone di sette capitoli e settantanove articoli e costituisce, di fatto, la prima disciplina organica dell'ordinamento giuridico cinese in materia di sicurezza della rete e dei sistemi informativi.

Giunta alla nona edizione, la Conferenza nazionale sulla Cyber Warfare (CWC) si è svolta a Milano il 12 dicembre 2018 e ha avuto come oggetto l’importante tema dell’efficacia e legittimità della risposta attiva alle minacce cibernetiche. Come negli anni passati, essa è stata organizzata dal CSSII (Centro interdipartimentale di Studi Strategici, Internazionali e Imprenditoriali) dell’Università di Firenze, CESTUDIS (Centro Studi Difesa e Sicurezza) “Luigi Ramponi”, CIS Sapienza Roma, ISPRI (Istituto per gli Studi di Previsione), EUCACS (European Centre for Advanced Cyber Security) e ideata d’intesa con InTheCyber – Intelligence & Defense Advisors. Alla conferenza hanno preso parte autorità civili e militari, nonché rappresentanti del mondo industriale e dell’accademia. La conferenza ha fruito della sponsorship di CA technologies e di ORACLE, della collaborazione di NetConsulting3, CERSA, CLUSIT (Associazione Italiana per la Sicurezza Informatica), AIPSI (Associazione Italiana Professionisti Sicurezza Informatica), OAD (Osservatorio Attacchi Digitali) e ANDIP (Associazione Nazionale per la Difesa della Privacy) e del patrocinio del Comune di Milano.

Il grande lato oscuro della libertà di Internet è diventato evidente a tutti da quando essa ha visto, tra i suoi frutti, i trionfi di populismo e sovranismo, la crisi di fiducia nella competenza e il crollo dell'industria culturale come la conoscevamo. Non tutti però sanno che le "grandi manovre" alla base di eventi all'apparenza spontanee hanno autori e progettisti con nomi come Julian Assange, Edgar Snowden e Chelsea Manning. Ma chi sono davvero queste persone? Combattenti per la libertà o agenti segreti di un potere oscuro? Spie pagate dal nemico o la somma espressione dell'individuo che rifiuta il potere costituito? Uno dei più brillanti giornalisti emergenti del settore tecnologico, tramite incontri e discussioni esclusive con i protagonisti, e approfondita analisi critica delle fonti, racconta chi sono i personaggi che detengono oggi il vero potere, mostrando caratteristiche e differenze e tentando la prima, sconvolgente teoria politica dell'hacking.

Nella fortezza che costruiamo attorno ai dati, l'elemento umano è sempre l'anello debole. Gli hacker impiegano una serie di tecniche specifiche per ottenere l'accesso a informazioni sensibili, utilizzando pratiche studiate per manipolare e convincere le persone a consegnare password, trasferire informazioni personali, versare somme di denaro e commettere volontariamente atti contro il loro interesse. Questo volume descrive gli strumenti dello human hacker con l'obiettivo di aiutare i professionisti della sicurezza a identificare e risolvere falle e criticità. Si inizia con la definizione del contesto, diventato sempre più ampio per via della diffusione delle reti sociali. Quindi si passa all'esplorazione dei temi fondamentali - i modelli di comunicazione, la mentalità tribale di un gruppo, l'abilità di osservazione, le strategie per influenzare il comportamento altrui - per proporre infine un modello di prevenzione e sicurezza. Ricco di informazioni pratiche, il testo presenta casi di studio ed esempi tratti dal mondo reale che illustrano le principali tecniche dell'ingegneria sociale, dalle più classiche a quelle più sofisticate come l'OSINT, il pretexting, la sollecitazione e, più in generale, le tecniche di information gathering che spesso sono solo il preludio di un attacco.

Giunta all'ottavo anno, la Conferenza nazionale sulla Cyber Warfare è stata organizzata dal CSSII (Centro interdipartimentale di Studi Strategici, Internazionali e Imprenditoriali dell'Università di Firenze, CESTUDIS (Centro Studi Difesa e Sicurezza) “Luigi Ramponi”, CIS Sapienza Roma, ISPRI (Istituto per gli Studi di Previsione), EUCACS (European Center for Advanced Cyber Security) e Centro Studi Grande Milano e ideata d'intesa con InTheCyber – Intelligence & Defense Advisors. Come ormai da tradizione, la Conferenza è stata articolata in due edizioni: quella di Roma, del 6 luglio 2017, dedicata a differenze, contenuti ed applicazioni della Information, Cyber e Hybrid Warfare e centrata su aspetti politici e militari, e quella di Milano del 28 novembre 2017, sempre sullo stesso argomento ma con maggior riferimento a questioni economiche e industriali. Alle due edizioni della Conferenza hanno preso parte autorità civili e militari, nonché rappresentanti del mondo industriale e dell'Accademia. La Conferenza ha fruito della collaborazione di Net Consulting, CERSA e CLUSIT, della sponsorship di Aizoon – Technology Consulting, Engineering, Ivanti, Trend Micro e con il patrocinio di: Presidenza del Consiglio dei Ministri, Ministero dell'Interno, Ministero della Difesa, Ministero della Giustizia e Comune di Milano.