Alfonso Maruccia

UE, strategia e direttiva per la cybersicurezza

La Commissione Europea si impegna sul fronte della sicurezza informatica promuovendo un approccio strategico definito e stilando una direttiva affinché tale approccio funzioni. Le aziende dovranno spifferare tutto sugli attacchi subiti.

UE, strategia e direttiva per la cybersicurezzaRoma - Bruxelles fa sul serio su cyber-sicurezza e approccio comunitario al problema sempre più pericoloso del crimine informatico, e il commissario all'Agenda Digitale Neelie Kroes presenta le nuove regole strategiche che verranno seguite per affrontare e risolvere (o quantomeno mitigare) gli effetti nefasti di malware e attacchi sull'infrastruttura telematica comunitaria.

In gioco c'è la difesa online dei "principi e valori promossi dalla UE" al di fuori dell'ambito telematico, dicono gli alti papaveri della Commissione: Internet e le infrastrutture di rete devono sottostare alle stesse regole sui diritti fondamentali, la democrazia e lo stato di diritto, con una maggiore collaborazione da parte dei soggetti coinvolti e un approccio che deve necessariamente essere internazionale alla salvaguardia della rete delle reti sul Vecchio Continente.

Cinque sono le priorità strategiche per la cyber-sicurezza indicate dalla Commissione: resilienza informatica, riduzione del cyber-crimine, sviluppo delle capacità di difesa e delle risorse industriali e tecnologiche connesse, persecuzione di una politica internazionale "coerente".
Per mettere in pratica tali priorità, la UE intende prima di tutto, come previsto in passato, stabilire l'istituzione obbligatoria di Computer Emergency Response Team (CERT) preparati e ben forniti per ogni singolo stato membro, così come intende imporre alle aziende (IT e non) operanti in rete l'obbligo di denunciare brecce e intromissioni alle apposite autorità - pena l'imposizione di multe più o meno salate.

La nuova strategia sulla cyber-sicurezza evidenzia le "azioni concrete" intraprese dalla UE "per ridurre drasticamente la cibercriminalità", in un contesto che - fanno fede i numeri forniti dalla stessa Commissione di Bruxelles - vede il numero di "virus" informatici proliferare (150 mila circolanti ogni giorno), la probabilità di un "grave incidente" alle infrastrutture critiche capace di causare danni per centinaia miliardi di euro aumentare (10 per cento), il numero di incidenti e i danni relativi crescere (siamo a 290 miliardi di euro di perdite a livello mondiale) e i netizen europei modificare il proprio comportamento online a causa del rischio di cyber-attacchi (nel 2012 il 38 per cento ha rinunciato a e-commerce o ad operazioni di e-banking).

Alfonso Maruccia
Notizie collegate
28 Commenti alla Notizia UE, strategia e direttiva per la cybersicurezza
Ordina
  • l'unica cosa buona citata (naturalmente come auspicio, poi bisognera' vedere come viene articolata) e' l'obbligo di denunciare dettagliatamente i cyber-frauds.
    Perche si sa, per questioni di immagine ,paura di azionisti borse e mercati e associazioni dei consumatori, e indagini che vengono a ficcanasare i casini interni, a non poche aziende piace nascondere tutto sotto il tappeto.
    non+autenticato
  • - Scritto da: bubba
    > l'unica cosa buona citata (naturalmente come
    > auspicio, poi bisognera' vedere come viene
    > articolata) e' l'obbligo di denunciare
    > dettagliatamente i
    > cyber-frauds.
    > Perche si sa, per questioni di immagine ,paura di
    > azionisti borse e mercati e associazioni dei
    > consumatori, e indagini che vengono a ficcanasare
    > i casini interni, a non poche aziende piace
    > nascondere tutto sotto il
    > tappeto.

    Quando capitano attacchi informatici, se si riesce, si cerca di non far uscire la cosa dall'IT per non farlo sapere in amministrazione, figuriamoci denunciare la cosa all'esterno.

    Quando un attacco informatico trapela all'esterno e' perche' e' successo qualcosa di inaudito che non e' possibile giustificare con nessuna balla.
  • soprattutto se si tratta di banche ...
    non+autenticato
  • - Scritto da: prova123
    > soprattutto se si tratta di banche ...
    Perchè le banche subiscono attacchi?
    Newbie, inesperto
    non+autenticato
  • Se non sbaglio pochi mesi fa anche in Italia è stata emessa una direttiva che prevede di dover denunciare in caso di violazione dei database, ma con multe massime di 40.000 euro o giù di lì.
    Multa davvero ridicola per una qualsiasi azienda medio-grande, che ovviamente continuerà quasi sempre nella politica di nascondere la cenere sotto il tappeto.
    L'unica è individuare responsabilità PENALI per chi non denuncia.

    Allora forse tanti cosiddetti "responsabili della sicurezza" delle aziende smetteranno di fare in realtà il FRENO alla sicurezza informatica.
    Freno per "non disturbare la produzione" (e il vertice aziendale) e godersi un tranquilla e spesso troppo remunerata carriera di quasi-nullafacenti, per non "sputtanare la reputazione dell'azienda e/o dei settori aziendali" evidenziando vulnerabilità e magari, temo, a volte per non "disturbare" certi maneggi interni che una sicurezza attenta ostacolerebbe.

    E magari cominceranno a fare davvero i responsabili della sicurezza e a guadagnarsi lo stipendio.
    Anche se molti di loro non sanno proprio come farlo, e questo è un altro dei problemi ...
    non+autenticato
  • - Scritto da: Nando
    > Se non sbaglio pochi mesi fa anche in Italia è
    > stata emessa una direttiva che prevede di dover
    > denunciare in caso di violazione dei database, ma
    > con multe massime di 40.000 euro o giù di
    > lì.
    > Multa davvero ridicola per una qualsiasi azienda
    > medio-grande, che ovviamente continuerà quasi
    > sempre nella politica di nascondere la cenere
    > sotto il
    > tappeto.
    > L'unica è individuare responsabilità PENALI per
    > chi non
    > denuncia.

    Supponiamo per un istante che una legge del genere esista.
    Come la applichi?

    Ti accorgi dall'esterno che c'e' un malfunzionamento di un server.
    Dall'interno invece di dirti che c'e' stato un attacco informatico, ti dicono che era in manutenzione o altra balla plausibile.
    E a quel punto che cosa fai?
    Blocchi una intera azienda per indagare se c'e' stato un attacco informatico che non e' stato denunciato?
  • > > L'unica è individuare responsabilità PENALI
    > per
    > > chi non
    > > denuncia.
    >
    > Supponiamo per un istante che una legge del
    > genere
    > esista.
    > Come la applichi?
    >

    Qualcuno mette in vendita i dati di 10000 clienti della banca x.
    Un poliziotto finge di volerli comprare e si fa dare un campione di 10 nomi da controllare. Dopodiché va dall'impiegato della banca x e gli dice: sono dati vostri questi? Come sono usciti?

    Per ora una cosa del genere é fantascienza, ma tra qualche anno potrebbe succedere sul serio.
    non+autenticato
  • - Scritto da: qualcuno

    >
    > Qualcuno mette in vendita i dati di 10000 clienti
    > della banca
    > x.
    > Un poliziotto finge di volerli comprare e si fa
    > dare un campione di 10 nomi da controllare.
    > Dopodiché va dall'impiegato della banca x e gli
    > dice: sono dati vostri questi? Come sono
    > usciti?

    "No che non sono nostri."
    Fine dell'indagine.
  • - Scritto da: panda rossa
    > - Scritto da: qualcuno
    >
    > >
    > > Qualcuno mette in vendita i dati di 10000
    > clienti
    > > della banca
    > > x.
    > > Un poliziotto finge di volerli comprare e si
    > fa
    > > dare un campione di 10 nomi da controllare.
    > > Dopodiché va dall'impiegato della banca x e
    > gli
    > > dice: sono dati vostri questi? Come sono
    > > usciti?
    >
    > "No che non sono nostri."
    > Fine dell'indagine.

    Con i poliziotti tonti italiani, forse sì.
    In Paesi con una solida tradizione investigativa, l'indagine andrebbe avanti e troverebbe quasi sicuramente la provenienza di quei dati. Tra l'altro mentire alla polizia in alcuni Stati è anche piuttosto grave.
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: Nando
    > > Se non sbaglio pochi mesi fa anche in Italia
    > è
    > > stata emessa una direttiva che prevede di
    > dover
    > > denunciare in caso di violazione dei
    > database,
    > ma
    > > con multe massime di 40.000 euro o giù di
    > > lì.
    > > Multa davvero ridicola per una qualsiasi
    > azienda
    > > medio-grande, che ovviamente continuerà quasi
    > > sempre nella politica di nascondere la cenere
    > > sotto il
    > > tappeto.
    > > L'unica è individuare responsabilità PENALI
    > per
    > > chi non
    > > denuncia.
    >
    > Supponiamo per un istante che una legge del
    > genere
    > esista.
    > Come la applichi?
    >
    > Ti accorgi dall'esterno che c'e' un
    > malfunzionamento di un
    > server.
    > Dall'interno invece di dirti che c'e' stato un
    > attacco informatico, ti dicono che era in
    > manutenzione o altra balla
    > plausibile.
    > E a quel punto che cosa fai?
    > Blocchi una intera azienda per indagare se c'e'
    > stato un attacco informatico che non e' stato
    > denunciato?

    E come applichi la legge per sanzionare la MULTA in caso di mancata notifica della violazione?
    Esattamente nello stesso modo.
    Non cambia nulla per lo scoprire la magagna (e non c'è certamente bisogno di "bloccare un'azienda").

    Solo che se la pena è una multa ridicola tutti i coinvolti staranno coperti ed allineati con la politica aziendale di insabbiare la cosa (tanto la multa mica la pagano i tecnici informatici, la paga l'azienda ...) ma se c'è un rischio penale le cose cambiano.

    L'idea della sanzione penale non è balzana ed era contenuta (almeno come opzione) nella proposta di legge USA "Personal Data Privacy and Security Act" di Specter-Leahy, http://i.i.com.com/cnwk.1d/pdf/ne/2005/Specter-Lea..., paragrafo 1039, pag. 10
    Credo poi che non abbiano fatto alcuna legge nazionale ma molti Stati USA si sono fatta la loro (California, Michigan ...).

    L'unica alternativa è di mettere multe così pesanti da far pensare due o meglio tre volte a nascondere il fatto.
    In Gran Bretagna lo "UK Data Protection Act" del 1998 all'inizio prevedeva una multa massima di cinquantamila sterline, nel 2010 l'hanno aumentata a cinquecentomila perchè si sono resi conto che “It was cheaper to pay the fines than fix the problem”.
    E quelli sono inglesi, figuriamoci in Italia ...
    non+autenticato
  • - Scritto da: Nando
    > - Scritto da: panda rossa
    > > - Scritto da: Nando
    > > > Se non sbaglio pochi mesi fa anche in
    > Italia
    > > è
    > > > stata emessa una direttiva che prevede di
    > > dover
    > > > denunciare in caso di violazione dei
    > > database,
    > > ma
    > > > con multe massime di 40.000 euro o giù di
    > > > lì.
    > > > Multa davvero ridicola per una qualsiasi
    > > azienda
    > > > medio-grande, che ovviamente continuerà
    > quasi
    > > > sempre nella politica di nascondere la
    > cenere
    > > > sotto il
    > > > tappeto.
    > > > L'unica è individuare responsabilità PENALI
    > > per
    > > > chi non
    > > > denuncia.
    > >
    > > Supponiamo per un istante che una legge del
    > > genere
    > > esista.
    > > Come la applichi?
    > >
    > > Ti accorgi dall'esterno che c'e' un
    > > malfunzionamento di un
    > > server.
    > > Dall'interno invece di dirti che c'e' stato un
    > > attacco informatico, ti dicono che era in
    > > manutenzione o altra balla
    > > plausibile.
    > > E a quel punto che cosa fai?
    > > Blocchi una intera azienda per indagare se c'e'
    > > stato un attacco informatico che non e' stato
    > > denunciato?
    >
    > E come applichi la legge per sanzionare la MULTA
    > in caso di mancata notifica della
    > violazione?
    > Esattamente nello stesso modo.
    > Non cambia nulla per lo scoprire la magagna (e
    > non c'è certamente bisogno di "bloccare
    > un'azienda").
    >
    > Solo che se la pena è una multa ridicola tutti i
    > coinvolti staranno coperti ed allineati con la
    > politica aziendale di insabbiare la cosa (tanto
    > la multa mica la pagano i tecnici informatici, la
    > paga l'azienda ...) ma se c'è un rischio penale
    > le cose
    > cambiano.

    Non ho capito una cippa di quello che hai detto.
    Facciamo un esempio pratico.

    Supponiamo che venga violato il server di PI
    C'e' windows quindi possiamo supporre che sia gia' violato.
    Nessuno all'interno se ne accorge (del resto li conosciamo), e quindi nessuno denuncia niente.

    A questo punto che cosa succede?
  • Cito dal testo: "nel 2012 il 38 per cento ha rinunciato a e-commerce o ad operazioni di e-banking".

    Oltre un terzo dei cittadini UE sono così terrorizzati dal crimine da non usare più il web per la banca e gli acquisti? Non ho mai sentito prima questo dato, da dove proviene?
    non+autenticato
  • - Scritto da: Leguleio
    > Cito dal testo: "nel 2012 il 38 per cento ha
    > rinunciato a e-commerce o ad operazioni di
    > e-banking".

    > Oltre un terzo dei cittadini UE sono così
    > terrorizzati dal crimine da non usare più il web
    > per la banca e gli acquisti? Non ho mai sentito
    > prima questo dato, da dove proviene?

    O sono terrorizzati dalle banche ?
    O non hanno piu' soldi da metterci ?
    krane
    22544
  • - Scritto da: krane

    > O non hanno piu' soldi da metterci ?

    Ah, ecco: il 38 per cento degli europei l'ultimo anno ha smesso di andare in banca, non ce n'era più motivo, e ha smesso di praticare il commercio, non avendo più beni da impiegare nella compravendita a parte le mutande.
    Detta così, è più logica. A bocca aperta
    non+autenticato
  • - Scritto da: Leguleio
    > - Scritto da: krane
    >
    > > O non hanno piu' soldi da metterci ?
    >
    > Ah, ecco: il 38 per cento degli europei l'ultimo
    > anno ha smesso di andare in banca, non ce n'era
    > più motivo, e ha smesso di praticare il
    > commercio, non avendo più beni da impiegare nella
    > compravendita a parte le mutande.
    >
    > Detta così, è più logica. A bocca aperta
    e aihnoi forse è pure vera....
    non+autenticato