I Premi Nobel per la Fisica e la Chimica 2024, assegnati rispettivamente a John Hopfield e Geoffrey Hinton per i loro studi sulle reti neurali, e a Demis Hassabis, John Jumper e David Baker per l'uso dell'intelligenza artificiale (AI) nella biologia delle proteine, segnano una pietra miliare nella fusione tra tecnologia e scienza. Queste scoperte hanno aperto la strada a nuove frontiere nel machine learning e nella previsione delle strutture proteiche, con enormi potenziali benefici per l'umanità, ma sollevano anche questioni cruciali su etica e responsabilità.

L'AI come stumento di rivoluzione..

Le innovazioni riconosciute dall’assegnazione di questo premio mostrano chiaramente come l'intelligenza artificiale stia diventando uno strumento essenziale per affrontare sfide scientifiche di grande portata. La capacità delle reti neurali di apprendere dai dati e migliorare autonomamente le loro prestazioni, come mostrato dai lavori di Hinton e Hopfield, ha già trasformato campi come la medicina, la robotica e la scienza dei materiali.

Allo stesso tempo, AlphaFold2, sviluppato da Hassabis e Jumper, ha rivoluzionato lo studio delle proteine, facilitando nuove scoperte sui meccanismi di malattie e accelerando lo sviluppo di terapie personalizzate.
Tuttavia, l’applicazione di queste tecnologie solleva diverse domande etiche. Le reti neurali profonde, alla base delle innovazioni di Hinton e Hopfield, possono essere utilizzate per migliorare l'efficienza delle macchine, ma allo stesso tempo, portano il rischio di disoccupazione tecnologica e disparità economiche. L'automazione di processi complessi potrebbe sostituire molti lavori umani, soprattutto in settori legati all'analisi dei dati e alla diagnostica.

Approfondisci > L'intelligenza artificiale ha vinto il Nobel 2024

Il riconoscimento delle capacità di AlphaFold2 nel predire strutture proteiche è un esempio evidente di come l'AI possa rivoluzionare la biologia molecolare. Questo strumento permette di capire meglio come le proteine si comportano e interagiscono, offrendo nuove possibilità di cura per malattie genetiche e cancerogene. Ma allo stesso tempo, la possibilità di progettare nuove proteine solleva preoccupazioni riguardo al bioterrorismo e all'uso non etico delle biotecnologie, come la creazione di virus sintetici.

Con l'intelligenza artificiale che diventa sempre più centrale in questi settori, è necessario porre attenzione all’etica del suo utilizzo. La trasparenza degli algoritmi e la responsabilità nell'uso dei dati sono temi cruciali. Le reti neurali, se mal gestite, possono perpetuare bias, mettere a rischio la privacy e creare disuguaglianze. Il rischio è che la crescente dipendenza dall'AI, come nel caso di AlphaFold2, riduca la supervisione umana e amplifichi errori sistemici.

...e minaccia?

La sfida, dunque, sarà trovare un equilibrio tra il progresso scientifico e la giustizia sociale. Il futuro dell'intelligenza artificiale nel campo della scienza promette benefici immensi, ma richiede una governance attenta. Regolamentazioni forti e politiche etiche devono accompagnare lo sviluppo tecnologico per evitare abusi e disuguaglianze. Gli sviluppi futuri dovranno garantire che i vantaggi siano distribuiti equamente e che le tecnologie non diventino strumenti di controllo o oppressione.

Un aspetto cruciale da considerare è che oggi molte aziende sono in grado di sviluppare sistemi di intelligenza artificiale internamente, senza un adeguato controllo o supervisione esterna. Questo pone una grande responsabilità etica sulle imprese, che dovrebbero adottare fin da subito i principi stabiliti dallo AI Act, anche prima della sua completa applicazione legale. Questo regolamento, che mira a garantire un uso sicuro e trasparente dell'intelligenza artificiale, può fornire linee guida per evitare usi impropri, come discriminazioni o violazioni della privacy.

Per saperne di più > L’Unione Europea ha pubblicato in Gazzetta Ufficiale l’AI Act, il regolamento che stabilisce le prime regole al mondo sull'intelligenza artificiale

Conclusione 

Oltre a ciò, le aziende dovrebbero anche dotarsi di codici di autodisciplina che vadano oltre i requisiti minimi di legge. Questi codici potrebbero includere impegni a favore della trasparenza degli algoritmi, del monitoraggio continuo delle decisioni prese dall’AI e della garanzia che l’AI non perpetui pregiudizi o disuguaglianze sociali.

I Nobel 2024 non sono solo una celebrazione dell'ingegno umano, ma anche un richiamo all'importanza della responsabilità nel guidare questa rivoluzione scientifica verso un futuro etico e sostenibile che dovrà essere anche oggetto di apposite discipline probabilmente a livello sovranazionale.

Le vulnerabilità 0-day sono il 70% di quelle individuate nel 2023: parola di Google. La capacità degli attaccanti di individuare vulnerabilità sconosciute è sempre maggiore

I dati di Google Mandiant sulle vulnerabilità 0-day

Gli analisti di sicurezza di Google Mandiant hanno pubblicato uno studio che lancia un allarme sulle capacità, sempre maggiori, dei cyber criminali di individuare vulnerabilità sconosciute nei software. In particolare, spiegano gli esperi, 97 vulnerabilità sulle 138 individuate nel corso del 2023 erano 0-day.

Le vulnerabilità 0-day in breve

Le vulnerabilità 0-day sono una minaccia mortale per la sicurezza informatica. Il termine “0-day” si riferisce a un bug o una vulnerabilità che non è ancora noto al pubblico, ma che può essere sfruttato immediatamente dagli hacker. Questo significa che le aziende e gli utenti non hanno ancora la possibilità di scoprire e patchare la vulnerabilità, lasciando le loro infrastrutture e i loro dati esposti a un rischio significativo.

Le vulnerabilità 0-day sono particolarmente pericolose perché possono essere sfruttate da attaccanti avanzati prima che le aziende abbiano la possibilità di reagire, causando danni significativi e compromettendo la sicurezza dei dati sensibili. Inoltre, le vulnerabilità 0-day possono essere utilizzate per creare malware e attacchi di tipo zero-day, che possono essere molto difficili da rilevare e rimuovere.

Diamo i numeri

Andando in dettaglio, Mandiant ha analizzato 138 vulnerabilità individuate nel corso del 2023 e che sono state utilizzate “in the wild”, cioè per attacchi reali. La maggior parte di queste, 97 appunto, erano di tipo 0-day.

C’è anche un dato preoccupante e che ricorda, nuovamente, quando sia fondamentale per le aziende impostare una strategia di gestione delle patch. Sono ben 41 le vulnerabilità sfruttate per attacchi reali dopo che le patch erano già state rese disponibili.

Resta il punto principale: le vulnerabilità 0-day sono in crescita, così come il loro utilizzo in attacchi reali e mirati. Indice, questo, delle sempre maggiori capacità tecniche degli attaccanti che si dimostrano sempre più capaci di individuare vulnerabilità molto insidiose in software popolari e molto utilzzati. Capacità ribadite anche da un altro dato molto interessante:

• nel 2021 gli attacchi 0-day hanno colpito i prodotti di 48 diversi vendor;
• nel 2022 i vendor colpiti sono stati 44;
• nel 2023 il numero di vendor colpiti ammonta a 56.

Vulnerabilità 0-day: si accorciano i tempi di risposta

Un altro dato molto negativo è quello legato al tempo che gli attaccanti impiegano per sfruttare una vulnerabilità appena divulgata. Ora questo lasso di è ridotto a soli 5 giorni.

Per dare un riferimento, nel biennio 2018-2019, il TTE (time to exploit) era di 63 giorni. Nel 2021 – 2022 già c’era stata una drastica riduzione, con il TTE passato a 32 giorni. Fino insomma a poco meno di 3 anni fa gli amministratori di sistema avevano a disposizione, ancora, un lasso di tempo piuttosto ampio per pianificare l’applicazione delle patch e implementare ulteriori mitigazioni.

Con un TTE che scende a 5 giorni, diventano assolutamente necessarie strategie di segmentazione della rete così come l’implementazione di soluzioni di rilevam,ento in tempo reale. D’altra parte una strategia di gestione delle patch diviene non solo urgente, ma prioritaria.

Correlazione tra la divulgazione degli exploit e il tempo di risposta

Un fatto che Google non coglie è la correlazione tra la divulgazione degli exploit per sfruttare determinate vulnerabilità e il TTE.

Google Mandiant spiega che, di tutte le vulnerabilità analizzate, il 30% (41) sono state sfruttate per la prima volta dopo la loro divulgazione pubblica. I dati però non mostrano correlazione, come sarebbe invece logico pensare, tra la divulgazione delle vulnerabilità e i tempi di risposta.

In particolare gli esperti di Google hanno calcolato:

• una mediana di 7 giorni dalla data di divulgazione della vulnerabilità alla pubblicazione del PoC (proof of concept) di exploit;
• una mediana di 30 giorni dalla data di pubblicazione del PoC al primo utilizzo in corso di un attacco reale;
• un tempo mediano tra divulgazione della vulnerabilità allo sfruttamento della stessa di 43 giorni circa.

C’è invece un tempo mediano di 15 giorni che separa, dicono i dati, lo sfruttamento di vulnerabilità usate in attacchi reali prima della pubblicazione dei PoC e la divulgazione del PoC di exploit.

Tuttie statistiche che

” sono coerenti con le nostre analisi passate, che hanno espresso esiti non deterministici riguardo all’influenza della presenza di exploit su attacchi reali che sfruttano la vulnerabilità in oggetto. Continuiamo a ritenere valida questa analisi…”

si legge esplicitamente nel report.

Un esempio concreto: la vulnerabilità CVE-2023-28121 di WooCommerce per WordPress

Il report di Google riporta anche un esempio concreto. In particolare parla della CVE-2023-28121 (autenticazione impropria) del plugin per WordPress WooCommerce Payments.

Questa vulnerabilità è stata scoperta nel Marzo 2023. Il primo PoC risale al 3 Luglio 2023: illustrava come creare un user amministratore senza necessità di autenticarsi. Il 4 Luglio viene subito pubblicato un modulo Metasploit capace di scansioni per ricercare la vulnerabilità, sfruttarla quindi creare il nuovo Admin.

Alla pubblicazione del modulo Metasploit non è seguita, però, alcuna attività di sfruttamento. Questa attività è iniziata solo il 14 Luglio, quando è stato reso disponibile un exploit “rivisto e corretto” pensato per attaccare un numero arbitrario di siti web vulnerabili. I dati di Wordfence (società specializzata nella sicurezza di WordPress) sono allarmanti. L’attività di exploit iniziata il 14 Luglio ha toccato il suo picco il 16 Luglio, giorno in cui sono stati registrati oltre 1.3 milioni di attacchi.

Insomma, qui lo sfruttamento della vulnerabilità è iniziato ben 3 mesi dopo la divulgazione della stessa e 10 giorni dopo la pubblicazione del primo PoC. In un altro caso reale (la CVE-2023-27997 di Fortinet FortiOS), l’exploit kit era stato pubblicato quasi immediatamente ma il primo tentativo di sfruttamento è arrivato oltre 4 mesi dopo.

Gestire le patch: qualche consiglio

Per gestire le vulnerabilità e implementare una strategia di patch management efficace, è importante definire una strategia chiara e coerente che tenga conto delle esigenze specifiche della tua organizzazione.

Per farlo è importante creare un piano di gestione delle vulnerabilità che abbia una modalità di gestione proattiva e non reattiva. È anche importante utilizzare strumenti di monitoraggio e di automatizzazione per aiutare a identificare e a risolvere le vulnerabilità in modo efficiente e efficace.

Alcune aziende esternalizzano questo processo affidandolo a provider di servizi gestiti (MSP). Altre aziende preferiscono la gestione interna: in questo caso ci sono specifici software di gestione delle patch, ma anche soluzioni EDR con funzionalità di Patch Management. Indipendentemente da quali soluzioni si scelgano, è fondamentale che queste consentano la gestione centralizzata, così da poter “spingere” la patch in tutta la rete aziendale da una sola postazione.

Cerchi una soluzione di sicurezza che possa gestire le patch e minimizzare i rischi da attacchi 0-day? Noi ti consigliamo Seqrite XDR, che ha ricevuto recentemente la certificazione “Approved Advanced EDR Certification” di AV Test. Ecco perch

EDR vs XDR: come spiegare le differenze ai tuoi clienti? Scopri le caratteristiche e i vantaggi di ciascuna soluzione per offrire la soluzione più adatta

Perché l’antivirus non basta più?

La crescente sofisticazione delle minacce informatiche ha reso evidente che le soluzioni antivirus tradizionali non sono più sufficienti a proteggere le aziende da attacchi sempre più complessi. I motivi sono diversi:

• Crescente complessità delle minacce:
  le minacce informatiche sono diventate sempre più sofisticate e complesse, rendendo difficile per le soluzioni di sicurezza tradizionali tenere il passo con la crescente complessità delle minacce. Per approfondire > Come proteggersi dagli Advanced Persistent Threats (APT).
• Limitazioni delle soluzioni antivirus tradizionali:
  gli antivirus tradizionali sono progettati per rilevare e bloccare solo le minacce già note, ma non sono in grado di prevenire le minacce nuove e sconosciute.
• Evoluzione delle minacce:
  le minacce si sono evolute nel tempo, diventando più avanzate e sofisticate.
• Nuove tecnologie e nuove minacce:
  la crescente uso di nuove tecnologie, come il cloud e l’IoT, ha portato a nuove minacce che le soluzioni di sicurezza tradizionali non sono in grado di gestire adeguatamente.)

Ecco perché la sicurezza informatica moderna richiede un approccio proattivo, in grado di anticipare e prevenire le minacce, piuttosto che limitarsi a reagire dopo che sono state individuate.

È in questo contesto che sono nate soluzioni di sicurezza come EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response), progettate per offrire una protezione più ampia e avanzata rispetto alle soluzioni antivirus tradizionali.

XDR e EDR superano i limiti delle soluzioni tradizionali

Sia XDR che EDR sono progettate per offrire una protezione avanzata contro le minacce, monitorando e analizzando in tempo reale le attività dei dispositivi e delle reti per identificare e bloccare le minacce in fase di attacco. Entrambe le soluzioni si basano sull’idea di rilevare e rispondere alle minacce in tempo reale, piuttosto che limitarsi a reagire dopo che le minacce sono state individuate.

La loro nascita risponde alla necessità di proteggere le aziende da attacchi sempre più sofisticati e avanzati, che richiedono una protezione più avanzata e proattiva. “Prevenire è meglio che curare” è un vecchio adagio che però vale in tutti i contesti.

EDR vs XDR: iniziamo con le definizioni

Se EDR e XDR nascono per superare gli stessi limiti, che cosa li differenzia? Iniziamo dalle definizioni e scendiamo nel dettaglio!

Endpoint detection and response (EDR)

Le soluzioni EDR si concentrano sulla sicurezza degli endpoint. Forniscono maggiore visibilità e controllo su desktop, laptop ma anche dispositivi mobile. Le soluzioni EDR monitorano l’attività sugli endpoint e il loro comportamento per individuare e rispondere celermente agli incidenti di sicurezza.

Forniscono informazioni dettagliate sui processi, le modifiche ai file, le connessioni di rete, gli eventi di sistema ecc…

Per approfondire > Endpoint Detection and Response (EDR) per combattere le minacce informatiche odierne

Extended detection and response (XDR)

Le soluzioni XDR adottano invece un approccio aziendale più ampio. Forniscono ai team di sicurezza una visione più completa della postura di sicurezza complessiva dell’azienda. L’XDR fornisce molte informazioni utili, semplificando la gestione degli incidenti di sicurezza perché consente di prendere decisioni rapide e pertinenti grazie al quadro complessivo sull’incidente in corso che riesce a mettere a disposizione del team di sicurezza IT.

Le soluzioni XDR integrano infatti i dati da più prodotti di sicurezza (EDR compreso).

I punti in comune tra EDR e XDR quindi, sono:

• approccio preventivo alle minacce informatiche;
• risposta rapida alle minacce;
• threat hunting per una sicurezza informatica proattiva;
• automazione.

Per approfondire > eXtended Detection and Response (XDR): rileva più velocemente le minacce e accorcia i tempi di risposta

EDR vs XDR: qual è la differenza?

Se l’esigenza da risolvere è comune, ovvero superare i limiti delle soluzioni di sicurezza informatica tradizionali, EDR e XDR hanno tra loro alcune differenze. In particolare:

• Protezione degli endpoint (EDR) VS visione olistica (XDR):
  l’EDR si concentra sulla protezione degli endpoint mentre l’XDR ha una visione più ampia (integra la sicurezza di endpoint, cloud, email ecc…);

• Aggregazione e correlazione dei dati:
  l’EDR è una soluzione di sicurezza per gli endpoint. L’XDR fornisce una visibilità completa perchè integra i dati provenienti da più soluzioni di sicurezza. Centralizza in un’unica soluzione i dati, così come la gestione delle minacce.

• Capacità di individuazione e risposta:
  l’EDR utilizza tecniche di individuazione come l’individuazione basata sulle firme, l’analisi comportamentale, il machine learning per individuare le minacce a livello di endpoint. Può anche avviare una risposta appropriata, ma sempre a livello di endpoint (isolamento, arresto dei processi dannosi, quarantena dei file).

L’XDR estende la capacità di risposta di EDR raccogliendo e analizzando i dati da molte fonti (traffico di rete, autenticazioni e log degli accessi, servizi cloud ec…). Può così individuare anche minacce complesse a livello di rete (movimenti laterali, esfiltrazione dei dati ecc…). Di conseguenza può avviare una risposta appropriata alla minaccia che va ben oltre la mera gestione dell’endpoint.

Come ottenere una sicurezza completa?

Per proteggere efficacemente un’azienda dalle minacce informatiche, è necessario adottare un approccio di sicurezza completo e integrato.

Ciò significa che sia l’EDR (Endpoint Detection and Response) che la XDR (Extended Detection and Response) sono strumenti fondamentali per garantire la sicurezza dei dispositivi e delle reti. L’EDR fornisce una visibilità dettagliata sulle attività dei dispositivi endpoint, mentre la XDR offre una visione olistica della sicurezza dell’organizzazione, integrando dati da multiple fonti.

Utilizzando entrambi gli strumenti, le aziende possono identificare e rispondere alle minacce in modo rapido ed efficace, proteggendo la propria infrastruttura e i propri dati da attacchi sempre più sofisticati.

Vuoi chiarirti le idee sulla NIS2? Non sai se la tua azienda sarà soggetta alla sua applicazione? Siamo esperti di sicurezza informatica (dei dispositivi, delle reti, dei dati) e ci occupiamo di privacy e GDPR. I nostri consulenti sono a tua disposizione.

Cybersecurity UE: NIS2, GDPR, CyberSecurity Act e DORA. Tutto ciò che devi sapere sulla sicurezza informatica e protezione dei dati.

NIS2: la nuova direttiva sulla sicurezza informatica UE

Se ne fa, adesso, un gran parlare. La Direttiva NIS2, che ha abrogato la precedente, è stata adottata il 14 ottobre 2022 ed è stata recepita entro il 17 ottobre 2024 da tutti gli Stati membri. La NIS2 si pone l’obiettivo di rafforzare il quadro normativo previsto dalla NIS 1. Mira quindi a rafforzare gli obblighi di sicurezza informatica, aumentare la cooperazione tra gli Stati e ampliare il numero di settori coinvolti. Tutto ciò grazie all’introduzione di protocolli di sicurezza più rigorosi, maggior rigore negli obblighi di segnalazione delle violazioni e quadri di governance più solidi.

L’Italia ha già recepito la nuova Direttiva, con il Decreto 138/2024 (pubblicato in Gazzetta Ufficiale).

Rispetto alla NIS1, la NIS 2:

• si applicherà a più soggetti;
• richiederà l’analisi dei rischi;
• prevede sì stringenti misure di sicurezza, ma adeguate al contesto (quindi anche la capacità di spesa dei soggetti sottoposti alla sua applicazione).

L’autorità italiana di riferimento per la NIS2 sarà l’ACN, il “braccio operativo” lo CSIRT.

Per approfondire > L’Italia ha recepito la NIS2: quali tempistiche per enti e aziende?

NIS2, GDPR, ePrivacy e le altre normative in materia di resilienza e sicurezza informatica

La NIS2, per i campi che va a regolamentare, intercetta e interagisce con diverse altre normative europee il cui scopo comune è quello di creare un ecosistema di sicurezza informatica nell’UE che sia robusto e integrato. Infatti nell’UE sono in vigore diverse normative sulla sicurezza informatica, ognuna delle quali si concentra su un preciso aspetto.

NIS2 e GDPR: l’ arte della “Data Protection”

La NIS2 specifica già nel Considerando 14, che qualsiasi trattamento di dati personali deve rispettare quanto previsto dalla normativa europea in fatto di protezione dei dati e tutela della vita personale dei cittadini. In particolare la NIS2 riferisce al GDPR (Regolamento 2016/679) e alla e-Privacy (Direttiva 2002/58/CE). I richiami poi al GDPR sono numerosi nel testo della NIS2.

Inutile, forse, specificare che il combinato disposto da quanto previsto da GDPR e NIS2 norma, in particolare, il campo della data protection. Le due normative hanno diversi punti in comune:

• valutazione del rischio e misure di sicurezza:
  sia GDPR che NIS2 sottolineano l’importanza della valutazione dei rischi per la sicurezza e, di conseguenza, l’implementazione preventiva di misure tecniche ed organizzative appropriate. Ovviamente differisce il campo di riferimento: il GDPR affronta il tema dal punto di vista dei rischi per i diritti e le libertà dei cittadini UE, la NIS dal punto di vista della sicurezza delle reti e dei sistemi;
• notifica di data breach / incidente informatico:
  entrambe le normative prevedono l’obbligo di notifica degli incidenti di sicurezza. Il GDPR prevede l’obbligo di notifica in caso di data breach / data leak occorsi a dati personali all’autorità garante. La NIS2 richiede la notifica di tutte le tipologie di incidente occorsi a reti e sistemi informatici che abbiamo impatto significativo;
• la violazione dei dati personali:
  NIS2 e GDPR entrano in stretta correlazione quando l’incidente comporta violazione di dati personali. L’Art 31 paragrafo 3 della NIS2 è chiarissimo e prevede l’espressa cooperazione tra autorità di controllo ai sensi del GDPR (garante protezione dei dati personali) e le autorità competenti per la gestione degli incidenti informatici quando vengono violati dati personali. I riferimenti al GDPR compaiono poi, nuovamente, nell’art 35 della NIS2.

NIS2 Cybersecurity act: la sicurezza informatica

Cybersecurity Act è il nome “giornalistico” del Regolamento UE 2019/881 ed è una componente essenziale della strategia complessiva dell’UE per la sicurezza informatica. Mira a rafforzare la resilienza dell’UE agli attacchi informaici così come a creare un mercato unico della sicurezza informatica (prodotti, servizi e processi).

A grandi linee, il Cybersecurity ACT prevede:

• gli obiettivi, i compiti così come l’assetto organizzativo conseguente dell’ENISA, l’Agenzia UE per la sicurezza informatica;
• introduce un sistema unico di certificazione della sicurezza informatica a livello UE che ricomprenda tutti i dispositivi connessi ad internet, prodotii e servizi digitali così come i processi IT.

I punti di intersezione tra il Cybersecurity Act e la NIS2 sono:

• obiettivi comuni:
  anzitutto entrambe le normative mirano a migliorare uil livello di sicurezza informatica dell’UE, proteggendo cittadini, infrastrutture critiche e imprese;
• complementarietà:
  se la NIS2 si concentra su resilienza e sicurezza informatica, il Cybersecurity Act concentra la propria azione sul sistema di certificazione della sicurezza informatica dei prodotti ITC e dei servizi digitali;
• cooperazione:
  l’ENISA, nella versione rafforzata che ne esce dall’applicazione del Cybersecurity ACT, diventa un ente fondamentale nell’attuazione e nel supporto della NIS2. Condivisione delle informazioni e cooperazione tra Stati Membri saranno la stella polare di queste normative.

NIS2 e DORA: la resilienza operativa per il settore finanziario

Il DORA è un regolamento UE (2022/2554) che mira in particolare alla resilienza operativa digitale del settore finanziario. Entrato in vigore nel Gennaio 2023, diviene operativo e vincolante dal 17 Gennaio 2025. Il DORA obbliga all’implementazione di sistemi di gestione dei rischi, concentrando il suo campo di applicazione in particolare sulle tecnologie IT e della comunicazione. Il DORA introduce quindi una serie di obblighi di governance e sicurezza per le entità del settore finanziario (banche, imprese di investimento, intermediari assicurativi, fornitori di servizi di crowdfunding, criptovalute ecc…).

I legami tra NIS2 e DORA sono stati esplicitati dalla Commissione Europea, che ha emanato gli “Orientamenti della Commissione sull’applicazione dell’articolo 4, paragrafo 1 e (2) della direttiva (UE) 2022/2555 (direttiva NIS 2). Il testo regola i rapporti tra NSI2 e “altri atti giuridici settoriali dell’Unione” tra i quali, appunto, anche il Regolamento DORA.

La particolarità del DORA però, va detto, è che è l’unico atto giuridico settoriale in UE. Si applica cioè solo al settore finanziario ed è previsto esplicitamente che, per quel settore, si possa applicare al posto della NIS2 in quanto prevede “misure che sono almeno equivalenti a quanto previsto dalla Direttiva NIS2”.

Vuoi chiarirti le idee sulla NIS2? Non sai se la tua azienda sarà soggetta alla sua applicazione? Siamo esperti di sicurezza informatica (dei dispositivi, delle reti, dei dati) e ci occupiamo di privacy e GDPR. I nostri consulenti sono a tua disposizione.

Internet Archive, la nota libreria digitale, sotto attacco due volte in un mese: oltre ai DDoS, ha subito un data breach che riguarda 31 milioni di utenti

Internet Archive sotto attacco due volte in un mese

È una tra le più note biblioteche digitali online: Internet Archive rende disponibili gratuitamente milioni di libri, audio, immagini, software. Tra le altre cose è famoso per il servizio “The Wayback machine”, un archivio digitale del World Wide Web che si basa su un crawler che salva i contenuti delle pagine, rendendole consultabili anche dopo che sono finite offline.

Fatte le dovute presentazioni, andiamo al punto: Internet Archive ha subito ben due pesanti attacchi in meno di un mese.
A inizio mese iniziano a circolare notizie relative ad un attacco contro il sito web. Alcuni utenti infatti si imbattono in un alert Javascript creato da un attaccante che rivendica di aver “bucato” Internet Archive.

Il testo recita:

“Hai mai avuto la sensazione che Internet Archive funzioni su chiavette e sia perennemente sul punto di subire una violazione della sicurezza catastrofica? È appena successo. Ecco 31 milioni di voi su HIBP!”

HIPB è l’acronimo Have I Been Pwned, un servizio online che raccoglie archivi di dati rubati al fine di consentire agli utenti di poter verificare la sicurezza o meno del proprio indirizzo email.

Troy Hunt, che gestisce il servizio HIPB, ha dichiarato che gli attaccanti hanno condiviso il database di autenticazione di Internet Archive. Questo è un file SQL di 6.4 GB chiamato “ia_users.sql.”. Al suo interno indirizzi email, name, hash delle password, username ecc… di circa 31 milioni di utenti.

Doppio attacco: DDoS e data breach

Inizialmente non è stato chiaro come gli attaccanti siano riusciti a mettere le mani sul database di autenticazione degli utenti di Internet Archive. Sicuramente il sito web ha subito anche attacchi DDoS , rivendicati dal collettivo BlackMeta (un gruppo di hacktivisti pro Palestina).

I gestori del servizio hanno confermato il data breach spiegando che:

“Ciò che sappiamo: attacco DDoS respinto, per adesso; defacciamento del sito web tramite una lbreria JS, violazione di nome utente / email / password con password criptate”.

Sembra smentita dalle notizie emerse nel tempo una correlazione tra gli attacchi DDoS e il data breach.

Gli attaccanti spiegano come hanno avuto accesso ai sistemi di Internet Archive

Pochi giorni fa Internet Archive è stato nuovamente bucato. Questa volta tramite la loro piattaforma di supporto email Zendesk. In pratica gli attaccanti hanno conservato la possibilità di accedere ai sistemi. Tutto questo nonostante gestori sapessero dei dati esposti. In particolare risulta che gli attaccanti sono in grado di inviare addirittura risposte ai ticket di supporto aperti dagli utenti.

Gli attaccanti hanno contattato la redazione di Bleeping Computer spiegando che

è sconcertante vedere che, anche dopo essere stato messo al corrente della violazione di settimane fa, Internet Archive non ha ancora avuto l’accortezza di ruotare molte delle chiavi AI esposte […] Tra queste anche un token Zendesk con permessi per accedere a oltre 800.000 ticket di assistenza richiesti dal 2018 in poi all’indirizzo info@archive.org.

L’email inviata dagli attaccanti risulta inviata proprio da Zendesk: le autenticazioni DKIM, DMARC e SPF confermano che l’email è inviata da un server Zendesk autorizzato con tanto di IP esposto.

Cosa è successo?

Come detto, Internet Archive ha subito due diversi attacchi. Se il DDoS è stato rivendicato dal collettivo Pro Palestina, non c’era ancora una rivendicazione sul data breach. Meno che mai informazioni su come fossero riusciti gli attaccanti ad avere accesso ai sistemi di Internet Archive.

I responsabili del data breach hanno quindi contattato Bleeping Computer rivendicando l’attacco. Spiegando così di aver usato per l’accesso iniziale un file di configurazione Gitlab esposto su uno dei server di sviluppo dell’organizzazione, “services-hls.dev.archive.org”.

Bleeping Computer ha potuto quindi verificare, e confermare purtroppo, che questo token è esposto almeno dal Dicembre 2022 e che da allora ha ruotato più volte.

L’attaccante ha confermato che questo file di configurazione contiene un token di autenticazione che ha permesso loro di scaricare l’intero codice sorgente di Internet Archive. Nel codice sorgente gli attaccanti hanno trovato credenziali e token di autenticazione aggiuntivi, comprese le credenziali di accesso ai sistema di gestione dei database di Internet Archive. Ecco come gli attaccanti hanno avuto accesso all’SQL e come hanno fatto a defacciare il sito. Evidentemente il codice sorgente conteneva anche il token di accesso per Zendesk.

Infine gli attaccanti hanno dichiarato che i dati rubati ammontano, complessivamente, a 7TB.

Offrire soluzioni di Backup as a Service (BaaS) rappresenta una scelta strategica per i MSP che vogliono espandere la loro proposta commerciale, incrementare i ricavi e sviluppare un modello di business ricorsivo.

Data breach: un problema enorme per le aziende

La perdita dei dati rappresenta una delle minacce più temute per le aziende di oggi. Eventi come attacchi informatici, errori umani, malfunzionamenti hardware e disastri naturali possono compromettere l’integrità e la disponibilità delle informazioni aziendali. I dati dimostrano che le aziende che subiscono una perdita di dati possono affrontare costi enormi. L’EMC Global Data Protection Index ha determinato un costo annuale della perdita dati per le aziende italiane: 11,2 miliardi di euro. Va ricordato che i danni non riguardano solo le difficoltà di ripristino e il recupero dati e le perdite finanziarie, ma possono coinvolgere anche la reputazione e portare alla perdita di clienti.

Ma i rischi possono essere anche molto peggiori: secondo la National Cyber ​​Security Alliance degli Stati Uniti, il 60% delle aziende che perdono i proprio dati non riesce a riprendersi e fallisce entro sei mesi dalla perdita. Questo è particolarmente rischioso per le PMI, che potrebbero non avere le risorse necessarie per affrontare la situazione e ripristinare la produttività.

Per saperne di più > Continuità aziendale e Disaster recovery: perché per le PMI sono necessarie

L’importanza del backup

Il backup dei dati è fondamentale per salvaguardare le informazioni aziendali. Questo processo consiste nella creazione di copie di sicurezza delle informazioni digitali in luoghi separati da quelli originali. Ma come funziona un sistema di backup e ripristino efficace?

Tutto inizia con la definizione di una politica di backup chiara, che stabilisca quali dati devono essere sottoposti a backup, con quale frequenza e dove devono essere archiviati.

La scelta della tecnologia di backup è un altro elemento essenziale.

Esistono tre tipologie diverse di backup:

• backup locale dei dati: con questo metodo i dati sono salvati su un supporto di memorizzazione esterno, come un disco esterno, un server o un sistema di archiviazione collegato alla rete (NAS).

Una soluzione in locale, però, per quanto sicura, può essere comunque soggetta a guasti o eventi imprevisti. Basti pensarealla probabilità che il supporto di memoria si danneggi e, di conseguenza, che i dati vengano persi.

• backup dei dati sul cloud: con un backup di questo tipo, i dati vengono archiviati sul cloud, permettendo di accedervi da qualsiasi luogo e dispositivo. Inoltre, questo metodo solitamente adotta misure di sicurezza avanzate, quali la crittografia per i dati a riposo e in transito, l’autenticazione a due fattori, la ridondanza ecc… Elementi, questi, che riducono drasticamente il rischio di perdita di dati a causa di attacchi informatici o di accessi non autorizzati.
• backup ibrido dei dati: questa tipologia di backup combina il backup locale e quello basato sul cloud. Combinando elementi di backup locale e cloud, offre vantaggi come la flessibilità e l’accessibilità. Di contro, però, I punti di accesso ai dati aumentano e quindi anche le possibilità di attacchi informatici e data breach.

Di conseguenza, tra i vari sistemi di backup, il cloud rappresenta il metodo più sicuro perché è delocalizzato. I dati non vengono archiviati all’interno dell’azienda, ma in un server fuori sede gestito da terzi, al sicuro da accessi non autorizzati, danneggiamenti, violazioni o furti.

Per approfondire > L’Importanza del backup per le aziende: preparati per il World Backup Day!

Backup as a Service (BaaS): cos’è e perché è importante? 

Il Backup as a Service (BaaS) è un modello di servizio cloud che consente alle aziende di archiviare i propri dati in modo remoto e sicuro, grazie a fornitori esterni specializzati. Questo servizio gestito garantisce che i dati vengano sottoposti a backup regolarmente su un’infrastruttura cloud esterna all’azienda. Lo scopo è semplice: proteggere i dati aziendali dal rischio di data breach dovuto a molteplici fattori: errori umani, attacchi informatici o altri eventi che possono causare danni alle infrastrutture e ai dat.

Il backup as a Service (BaaS) offre numerosi vantaggi alle aziende, permettendo loro di garantire continuità operativa e sicurezza dei dati. Le soluzioni BaaS sono progettate per le aziende che possiedono risorse IT limitate o che vogliono ridurre i costi IT.

3 vantaggi del Backup as a Service (BaaS)

Il Backup as a Service (BaaS) rappresenta una soluzione innovativa e strategica per le aziende moderne, poiché offre numerosi vantaggi rispetto ai tradizionali metodi di backup. Ecco tre dei principali benefici che rendono il BaaS una scelta intelligente per la protezione dei dati:

1. backup sicuro e flessibile: il backup in cloud ti assicura che i dati dei tuoi clienti siano sempre protetti. Inoltre, è possibile adattare in modo flessibile il backup in base alle diverse esigenze di storage e recupero;
2. costi inferiori: non è più necessario acquistare e mantenere infrastrutture locali costose, dato che il modello cloud consente di pagare solo lo spazio che viene effettivamente utilizzato;
3. scalabilità e adattabilità: in base alla crescita dell’azienda, con una soluzione Baas, i tuoi clienti potranno scalare la capacità di backup in base alla crescita della loro attività e alle loro necessità. E’ una soluzione molto flessibile, che si adatta alle dimensioni delle aziende, grandi o piccole che siano.

Perchè diventare MSP di soluzioni Backup as a Service (BaaS)

Offrire soluzioni di Backup as a Service (BaaS) rappresenta una scelta strategica per le aziende di servizi IT (MSP) che vogliono espandere la loro proposta commerciale, incrementare i ricavi e sviluppare un modello di business ricorrente. Ecco alcuni motivi più che validi per considerare questa opportunità:

1. Ampliamento della proposta: integrare il BaaS nella tua offerta consente di rispondere meglio alle esigenze dei clienti, diversificando i servizi disponibili e aumentando la tua competitività sul mercato.
2. Incremento dei ricavi: le soluzioni di backup sono sempre più richieste, il che può tradursi in un flusso costante di entrate per la tua azienda, contribuendo alla crescita del fatturato.
3. Modello di business ricorsivo: il BaaS favorisce un approccio basato su abbonamenti, garantendo una fonte di entrate stabile e prevedibile, ideale per pianificare investimenti futuri.
4. Sviluppo delle competenze: offrendo servizi di backup, puoi approfondire la tua expertise nel campo della sicurezza e della gestione dei dati, posizionandoti come un leader di mercato nella protezione delle informazioni.

Negli ultimi anni, il rapporto tra forze dell'ordine e aziende tecnologiche è diventato sempre più stretto, grazie all’avanzamento delle tecnologie di big data, intelligenza artificiale e analisi predittiva. Questa collaborazione ha il potenziale di migliorare la sicurezza pubblica, ma solleva anche serie questioni legali e morali che meritano un'attenta analisi.

Forze dell'ordine e aziende IT

Le forze dell'ordine si avvalgono sempre più di strumenti forniti da aziende tecnologiche per raccogliere, analizzare e utilizzare i dati in modo efficiente. Software avanzati possono aiutare a prevedere il verificarsi di crimini, mappare aree a rischio e persino identificare sospetti attraverso il riconoscimento facciale. Tali strumenti promettono di ottimizzare le risorse e migliorare la risposta alle emergenze. Anche in Italia, la polizia predittiva è un tema in evoluzione, con un utilizzo crescente di tecnologie avanzate per la sicurezza. Tuttavia, l'applicazione della polizia predittiva non è ancora diffusamente implementata come in altri paesi.

L’adozione di queste tecnologie comporta una dipendenza crescente dalle aziende, che spesso operano in un contesto commerciale e con obiettivi profittevoli. La questione principale qui è: fino a che punto le forze dell'ordine possono delegare decisioni critiche a sistemi automatizzati e algoritmi?

Le collaborazioni tra forze dell'ordine e aziende tecnologiche devono affrontare una serie di sfide legali. In particolare, la protezione dei dati personali e la privacy sono argomenti di primaria importanza. Normative come il GDPR in Europa stabiliscono rigorosi requisiti per la raccolta e il trattamento dei dati, imponendo obblighi sia alle aziende sia agli enti pubblici.

Approfondisci l'argomento > Riconoscimento facciale: il Garante sanziona Clearview

Un aspetto critico riguarda la trasparenza e l’accountability. Chi è responsabile in caso di errore? Se un algoritmo errato porta a un arresto ingiustificato, chi si assume la responsabilità? La mancanza di chiarezza su questi aspetti può generare sfiducia da parte della comunità e compromettere il legame tra polizia e cittadini.

Per saperne di più > Riconoscimento facciale nei luoghi pubblici

Oltre agli aspetti legali, ci sono questioni morali fondamentali che devono essere affrontate. La possibilità di bias algoritmici, ovvero la predisposizione degli algoritmi a perpetuare pregiudizi esistenti, è una preoccupazione crescente. Ad esempio, se i dati storici utilizzati per addestrare un algoritmo contengono informazioni distorte su determinati gruppi demografici, il risultato potrebbe essere una sorveglianza sproporzionata su queste comunità.

Una questione di equilibri

Inoltre, la sorveglianza di massa e la raccolta di dati senza il consenso degli individui possono minacciare libertà civili e diritti umani fondamentali. La questione si complica ulteriormente quando le tecnologie utilizzate non sono sempre trasparenti, e le persone spesso non sono consapevoli della misura in cui i loro dati vengono raccolti e analizzati.

Potrebbe interessarti > Riconoscimento facciale: l’Italia tra i primi paesi a vietarlo

Di fronte a queste sfide, è essenziale sviluppare un quadro normativo chiaro che regoli l'uso delle tecnologie da parte delle forze dell'ordine. Ciò include non solo la protezione dei dati, ma anche linee guida etiche per l'uso degli algoritmi e la formazione del personale di polizia su come interpretare e utilizzare i risultati delle analisi predittive.

Conclusioni

Un approccio collaborativo, che coinvolga esperti in privacy, etica e tecnologia, potrebbe garantire che le soluzioni adottate siano sia efficaci che rispettose dei diritti dei cittadini. Il rapporto tra forze dell'ordine e aziende tecnologiche ha il potenziale di trasformare il modo in cui viene gestita la sicurezza pubblica. Tuttavia, è fondamentale affrontare le implicazioni legali e morali di queste collaborazioni. Solo attraverso un attento bilanciamento tra innovazione e rispetto dei diritti individuali si potrà garantire un futuro in cui la tecnologia supporta la giustizia senza compromettere le libertà civili.

Le APT sono, al giorno d’oggi, una delle principali minacce per le aziende. Questa tipologia di attacchi sono progettati per infiltrarsi all’interno delle reti, rubare i dati sensibili e creare danni critici alle infrastrutture e sfuggire alle rilevazioni per lunghi periodi. 

di Seqrite.it

Cosa è un Advanced Persistent Threats (APT)?

Un’ APT è una campagna di attacco persistente, mirata e altamente sofisticata gestita dai gruppi di cyber criminali altamente specializzati o da soggetti “state-sponsored”. Le APT, a differenza delle minacce informatiche massive (che “sparano” nel mucchio e colpiscono solo alcuni obiettivi tra molti), sono pianificate ed eseguite in modo meticoloso con l’obiettivo di infiltrarsi all’interno di specifiche reti aziendali per una serie di scopi mirati: furto dati, manipolazione dei dati o sabotaggio delle infrastrutture.

Le caratteristiche degli attacchi APT

1. Persistenza: rimangono nascosti per mesi o addirittura anni, per massimizzare il danno e l’estrazione dei dati.
2. Approccio Mirato: sono personalizzati per specifiche aziende o individui, sfruttando delle tecniche di riconoscimento e di ingegneria sociale per individuare e sfruttare le vulnerabilità.
3. Complessità: i gruppi APT impiegano un arsenale molto diversificato di tool, tecniche e procedure (TTP) per bypassare le misure di sicurezza e mantenere una presenza persistente nelle reti bersaglio.
4. Furtività: gli attacchi APT utilizzano tattiche evasive, come l’uso di malware personalizzati, per evitare l’individuazione e mantenere la propria presenza non rilevata, per lungo tempo, nelle reti colpite.

Fasi e tattiche degli attacchi APT

Gli attacchi APT che riescono a infiltrare le reti, si svolgono tipicamente in tre fasi:

1. Infiltrazione: la fase iniziale riguarda la violazione delle difese dell’obiettivo, di solito tramite tecniche di ingegneria sociale come lo spear phishing o l’exploit delle vulnerabilità presenti nelle risorse di rete o nelle applicazioni Web.
2. Espansione: una volta che si è stabilito un “punto di appoggio”, gli attori APT si adoperano per espandere la loro presenza all’interno della rete, compromettendo sia i sistemi aggiuntivi e gli account utente per ottenere l’accesso ai dati sensibili e alle infrastrutture critiche.
3. Estrazione: la fase finale prevede l’esfiltrazione dei dati rubati. Questo processo viene mascherato usando varie tattiche di distrazione per i team di sicurezza IT. Talvolta gli attaccanti lanciano attacchi DDoS per nascondere il flusso di dati in uscita.

Durante gli attacchi, i gruppi APT utilizzano un innumerevole numero di tecniche sofisticate, incluse:

• Distribuzione di malware: malware personalizzati, come backdoor e trojan, sono utilizzati per stabilire una presenza persistente e mantenere un accesso remoto alla rete bersaglio.
• Infrastrutture di Comando e Controllo (C2): gli attori APT creano reti complesse, di solito globali, di comando e controllo per gestire gli attacchi e l’estrazione dei dati.
• Ingegneria sociale: per ottenere l’accesso alle reti bersaglio, gli attaccanti usano campagne di phishing mirate, tentano la compromissione di un anello della filiera (supply chain attack) oppure studiano quali siti web sono visitati spesso dai dispositivi aziendali e ne infettano uno (o più) con malware mirati.
• Movimenti laterali: i gruppi APT navigano abilmente nella rete colpite, compromettendo sistemi e account aggiuntivi per espandere la loro portata e accedere ai dati sensibili.

Difendersi dagli APT? Serve un approccio multilivello

Salvaguardare la tua azienda contro gli attacchi APT richiede l’adozione di una strategia di sicurezza multilivello che affronti sia gli aspetti tecnici che “umani” della sicurezza informatica. Grazia ad un approccio olistico alla sicurezza è possibile migliorare in modo significativo la resilienza delle aziende e ridurre al minimo il rischio di intrusioni APT.

Misure di sicurezza della rete

• Monitoraggio e analisi del traffico: monitorare attentamente il traffico di rete, sia in uscita che in entrata, può aiutare a rilevare i segnali di un attacco APT, come l’installazione di backdoor o tentativi di esfiltrazione dei dati.
• Web Application Firewall (WAF): l’implementazione di un WAF può aiutare a mitigare gli attacchi comuni, come gli attacchi di SQL Injection e di Remote File Inclusion. Queste sono tecniche comuni utilizzate per stabilire un accesso iniziale sulla rete bersaglio.
• Monitoraggio del traffico interno: l’implementazione di un firewall di rete e altri strumenti di monitoraggio permettono di verificare il comportamento degli utenti per identificare le anomalie che potrebbero indicare la presenza di un attore APT all’interno della rete.
• Whitelisting delle applicazioni e domini: la restrizione degli accessi alle applicazioni e domini approvati può ridurre in modo significativo gli attacchi e limitare le vie di accesso per i gruppi APT per l’infiltrazione e i movimento laterali lungo la rete.

Controllo degli accessi e consapevolezza degli utenti

• Gestione differenziata degli accessi: l’implementazione di controlli di accesso robusti, la scelta di un modello di rete zero-trust, l’attivazione dell’autenticazione a 2 fattori (2FA) aiutano a impedire che gli account utenti compromessi siano sfruttati dagli attori APT.

Per saperne di più > Approccio Zero Trust: nuova frontiera della sicurezza informatica

• Formazione dei dipendenti sulla sicurezza: educare i dipendenti sulle più recenti tattiche APT, come il phishing e le tecniche di ingegneria sociale, migliora la capacità di identificare e segnalare per tempo le attività sospette, riducendo il rischio di infiltrazione.
• Risposta agli incidenti e Threat Hunting: lo sviluppo di un piano completo di risposta agli incidenti e la ricerca attiva di indicatori dell’attività APT possono aiutare le aziende a rilevare, contenere e mitigare rapidamente l’impatto di un attacco.

Gestione delle vulnerabilità e Threat Intelligence

• Patch e aggiornamento tempestivo dei software: garantire che tutti i software di rete e i sistemi operativi siano aggiornati con le ultime patch di sicurezza può aiutare a chiudere le vulnerabilità che i gruppi APT sfruttano per ottenere l’accesso iniziale.
• Integrazione della Threat Intelligence: l’integrazione della Threat Intelligence nelle operazioni di sicurezza, aiuta a fornire le informazioni su tattiche, tecniche e procedure utilizzate dai gruppi APT permettendo di adattare proattivamente le difese aziendali.
• Crittografia e protezione dei dati: implementare una criptografia robusta per i dati, a riposo e in transito, può ostacolare in modo significativo la capacità degli attori APT di accedere e estrarre le informazioni sensibili.

Risposta agli incidenti e resilienza 

• Pianificazione completa della risposta agli incidenti: sviluppare e verificare regolarmente il piano di risposta agli incidenti aiuta l’azienda a rilevare, contenere e ripristinare rapidamente dati e reti da un attacco APT riuscito, riducendone al minimo l’impatto complessivo.
• Backup e ripristino di emergenza: mantenere solide strategie di backup e ripristino aiuta la tua azienda a ripristinare rapidamente i sistemi e i dati critici in caso di violazione dei dati e dell’infrastruttura.

Sfruttare le soluzioni disponibili per la difesa dalle APT

Per combattere efficacemente la minaccia delle APT, le aziende possono sfruttare una gamma di soluzioni di sicurezza specializzate che affrontano le sfide poste da questi cyber attaccanti avanzati.

Web Application Firewall (WAF)

Una robusta soluzione WAF come con Seqrite Endpoint Protection, fornita con un firewall, gioca un ruolo cruciale nella protezione delle tue applicazioni web e dei tuoi server dai tentativi dei gruppi APT di stabilire un primo accesso nella tua rete. Monitorando il traffico web in entrata e bloccando i tentativi di attacco lungo il perimetro della rete, un WAF può impedire attacchi a livello di applicativi come l’SQL Injection o il remote file inclusion, che sono spesso presenti nelle campagne APT.

Protezione Backdoor

Il WAF di Seqrite Endpoint Protection ha funzionalità specifiche per l’individuare e prevenire l’installazione di shell backdoor, che sono molto utilizzate dai gruppi APT per mantenere la persistenza in una rete compromessa. Verificano il traffico verso i server web e intercettando i tentativi di interazione con questi punti di accesso nascosti, questa soluzione può rivelare ed eliminare la presenza di backdoor, che sono una componente cruciale, per i gruppi APT, per mantenere la presenza sulla rete.

Autenticazione a 2 Fattori (2FA)

Implementare una soluzione 2FA, come quella offerta da Seqrite Endpoint Protection, può aumentare significativamente il controllo degli accessi e prevenire che utenti non autorizzati possano sfruttare credenziali di utenti compromessi per muoversi lateralmente lungo la rete. Richiedere una forma di autenticazione aggiuntiva (oltre alla coppia di credenziali) può efficacemente impedire che i gruppi APT possano sfruttare account con privilegi di accesso per mettere le mani su informazioni sensibili e sistemi critici.

Protezione DDoS

Gli attori APT impiegano le tattiche di disturbo per distratte l’attenzione dei team di sicurezza dal vero attacco in corso. Spesso usano espedienti come gli attacchi DDoS (Distributed Denial of Service), per distrarre i team di sicurezza e indebolire le difese della rete, facilitando l’esfiltrazione dei dati rubati. Seqrite ZTNA può mitigare gli attacchi sia a livello di applicazioni che a livello di rete, garantendo che le risorse critiche della tua azienda restino sempre disponibili e resilienti contro queste tattiche finalizzate invece proprio a renderle indisponibili.

Per concludere: adottare una postura di sicurezza informatica proattiva

Per proteggere efficacemente la tua azienda da attacchi avanzati come gli APT, una strategia di sicurezza completa e multistrato è essenziale. Implementando un insieme di misure di sicurezza della rete, protocolli di verifica degli accessi, pratiche di gestione delle vulnerabilità e piani di risposta agli incidenti, è possibile migliorare in modo significativo la resilienza dell’azienda e ridurre al minimo il rischio di intrusioni APT.

L’Italia ha recepito la NIS2 con il D.lsg 138/2024. Entrerà in vigore il 16 Ottobre 2024. Quali sono le tempistiche di adeguamento per enti e aziende?

La Direttiva NIS 2 in breve

Il Consiglio dell’UE e il Parlamento europeo hanno adottato, nel Dicembre 2022, la direttiva sulla sicurezza delle reti e dei sistemi informativi 2.0, la NIS2 appunto. La Direttiva prevede una serie di requisiti di sicurezza informatica che sono vincolanti per tutti gli stati membri dell’Unione Europea.

Ricordiamo che, al contrario dei Regolamenti che sono di diretta applicazione, le Direttive devono essere prima recepite dagli stati membri, che devono integrarne i principi nella propria legislazione. L’Italia ha già recepito la NIS. Sotto la timeline:

• 2016: direttiva NIS1
• 2018: l’Italia recepisce la NIS1
• 2022: adozione della NIS2, la NIS1 è abrogata
• 4 Settembre 2024: approvato in Italia il decreto legislativo che recepis ce la NIS2 (D.lsg 138/2024)
• 16 Ottobre 2024: entrata in vigore del D.lsg 138/2024.
• 17 Ottobre: termine massimo per la ricezione della NIS2 da parte degli Stati membri.

Per approfondire, ti consigliamo di leggere questa panoramica che abbiamo già scritto riguardo alla NIS2.

La conformità alla NIS2 sarà obbligatoria

Facciamo chiarezza (e comunicazione corretta): la conformità alla NIS2 sarà obbligatoria. Non dal 16 Ottobre però, sia chiaro. Chi afferma questo lo fa in cattiva fede. Il primo passo che infatti dovrà essere fatto è quello di identificare in maniera precisa gli operatori che rientrano nell’applicazione di questa normativa.

Il Decreto 138/2024 (pubblicato in Gazzetta Ufficiale) specifica già che vi saranno soggetti sia privati che pubblici. Rispetto al testo europeo, il decreto reca una specifica aggiuntiva: rientrano nell’ambito di applicazione della normativa gli operatori che sono soggetti alla giurisdizione nazionale.

Rispetto alla NIS1, la NIS 2 quindi:

• si applicherà a più soggetti;
• richiederà l’analisi dei rischi;
• prevede sì stringenti misure di sicurezza, ma adeguate al contesto (quindi anche la capacità di spesa dei soggetti sottoposti alla sua applicazione).

L’autorità italiana di riferimento per la NIS2 sarà l’ACN, il “braccio operativo” lo CSIRT.

Le scadenze della NIS2: quanto tempo c’è per adeguarsi

• 1° Gennaio – 28 Febbraio: i soggetti che ritengono di rientrare nell’ambito di applicazione del D.lsg 138/2024 dovranno registrarsi sulla piattaforma digitale resa disponibile per tale scopo dall’ACN. Ciò sarà valido anche per gli anni a venire, quindi ogni anno le aziende / enti dovranno anche aggiornare la propria registrazione. Il che significa che enti e aziende dovranno effettuare una valutazione per capire se siano o meno soggette agli obblighi della NIS2.
• Entro il 17 Gennaio 2025 dovranno registrarsi nella piattaforma di ACN i seguenti soggetti:
  fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, motori di ricerca online e le piattaforme di servizi di social network.
• 31 Marzo 2025: l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti, in base alle registrazioni ricevute nella piattaforma. Tra il 1 e il 15 Aprile 2025 l’ACN comunicherà ai soggetti registrati l’inserimento nell’elenco dei soggetti essenziali o importanti.
• Entro il 15 Aprile 2025: i soggetti designati dovranno nominare, con apposito atto, il soggetto responsabile dell’adempimento agli obblighi normativi previsti dal D.lsg 138/2024.
• Dal 1° Gennaio 2026 i soggetti riguardai dovranno essere in condizione di adempire agli obblighi di notifica degli incidenti.
• Entro Ottobre 2026 i soggetti riguardati dovranno adempire:
  • agli obblighi degli organi di amministrazione e direttivi (art. 23)
  • agli obblighi in materia di gestione dei rischi e implementazione delle misure di sicurezza (art. 24);
  • all’obbligo di raccolta e mantenimento di un database dei dati di registrazione dei nomi di dominio (art. 29).

Date queste tempistiche, previste esplicitamente dal decreto di recepimento della Direttiva NIS, il panico non serve ma occorre che aziende ed enti pubblici si muovano per tempo.

Condividevano dati sensibili con i social Meta: il Garante privacy svedese sanziona due farmacie online.

I fatti

A distanza di pochi giorni, due note aziende farmaceutiche dotate di e-commerce online, hanno subito sanzioni per un ammontare complessivo di 4 milioni di euro. La loro colpa? Condividevano dati sensibili con i social Meta “per anni e in maniera imprudente”.

A partire dal 2017, come ricostruito in corso di istruttoria, le due società hanno condiviso i dati sensibili di circa un milione di clienti. Condotta che si è protratta fino all’intervento dell’ autorità garante. Tutto questo è avvenuto, però, se l’esplicita volontà delle due aziende di condividere tali dati. Il problema sta tutto nello strumento di analisi Metapixel.

Condividevano dati sensibili con i social Meta: tutta colpa di Metapixel

Le due aziende, la Apoteket e la Apohem, hanno confermato di utilizzare uno strumento di analisi legittimo, Metapixel appunto. Usavano questo tool per migliorare il marketing sulle piattaforme social del gruppo Meta, Facebook e Instagram. Il problema è che hanno perso il controllo del flusso dei dati.

“Non è mai stata intenzione di Apoteket condividere informazioni in questa misura, e ora stiamo imparando da quello che è accaduto”

ha dichiarato il direttore generale di Apoteket ai giornali locali. A riconferma che il flusso di dati fuori controllo dipendeva da un errore.

Ma quale? Tutto dipende da una sotto-funzione di Meta Pixel. Questa sotto-funzione richiedeva agli utenti che accedevano al sito per comprare medicinali il consenso ai cookie. Prestare il consenso attivava la condivisione dei dati sensibili direttamente con i social.

Per saperne di più > COOKIE: il perché di tutta questa attenzione

Per quanto tali dati non contenessero ricette mediche, resa che le due aziende farmaceutiche hanno inviato a Meta un’enorme quantità di dati personali. Tra i dati inviati informazioni sull’acquisto dei medicinali da banco specifici, autotest, prodotti per la cura di malattie veneree così come acquisto di sex toys e altro. Tutti dati sensibili per i quali il GDPR prevede l’obbligo di adottare adeguate misure di protezione e sicurezza.

Per approfondire > Quali Cookie usa la tua azienda?

La sanzione del Garante privacy svedese

La condivisione illecita di dati sensibili con Meta si è prolungata per anni, anche perché le aziende non parevano esserne consapevoli. Le aziende hanno interrotto la condivisione dei dati solo dopo che sono state informate del problema dagli utenti stessi.

Al di là che le aziende farmaceutiche fossero o meno consapevole della condivisione dei dati, resta accertato il fatto. Per questo il Garante per la protezione dei dati personali scandinavo ha deciso di comminare due sanzioni alle aziende, per un ammontare complessivo di circa 4 milioni di euro.