Passa ai contenuti principali

Cybersicurezza: Dall'Ingegneria Sociale alla Resilienza Quotidiana - parte 2 GDPR, NIS2 e Governance in Italia.

Immagine


 Nel primo articolo abbiamo esplorato qualche trappola nascosta dietro il vivere onlife delle azioni umane quotidiane (phishing, password deboli, BYOD, etc) e accennato in breve a qualche best practice per favorire l’utente, spesso dipendente, a diventare resiliente per combattere "da umano a umano" l’hacker. 

Ci spostiamo adesso sul quadro normativo, evoluto in particolare dagli anni 90 che gradualmente ha imposto, in particolare alle aziende, l’utilizzo di azioni preventive, guardando alla sicurezza informatica come un’azione condivisa tra Stati a protezione universale.

Il viaggio parte dalla Convenzione di Budapest del 2001, il primo accordo internazionale volto a disciplinare i reati informatici e a istituire meccanismi di cooperazione tra Stati.

La Convenzione, cui hanno aderito 76 Stati, ha introdotto la definizione dei concetti fondamentali di sicurezza informatica e di traffico dei dati, promuovendo la collaborazione internazionale come principale strumento per contrastare gli attacchi informatici. In questo contesto sono stati creati punti di contatto cooperativi accessibili 24/7 in ogni Paese aderente, inclusi gli Stati Uniti e il Giappone.

Il concetto di partenza è che un reato informatico, a differenza di un reato classico, può essere compiuto da un qualunque luogo del Mondo. Lo Stato vittima deve poter individuare agevolmente l’autore del reato, anche se quest’ultimo agisce da una diversa giurisdizione. 

Ogni singolo Stato ha iniziato a creare proprie regolamentazioni inerenti il tema dotandosi di quadri normativi interni. 

Il Regolamento (UE) 2016/679 – noto come GDPR – ha rappresentato un cambio di paradigma per la protezione dei dati personali. Con principi quali la trasparenza, la responsabilizzazione del titolare del trattamento (accountability), il diritto all’oblio e la definizione dettagliata di responsabilità e sanzioni, il GDPR ha uniformato le regole su tutto il territorio europeo.

Il GDPR impone che il trattamento dei dati sia legale, corretto e trasparente, e consente all’interessato di cancellare o modificare i propri dati una volta terminata la finalità del trattamento. Il titolare del trattamento deve comunicare tempestivamente le modifiche a tutta la catena che tratta i dati, prevedendo anche sanzioni proporzionate e dissuasive in caso di violazioni.

La NIS2, Direttiva UE 2022/2555, amplia sensibilmente rispetto alla precedente direttiva NIS la platea delle organizzazioni chiamate a garantire la sicurezza informatica, estendendo la normativa a 18 settori critici, tra cui energia, trasporti, sanità, farmaceutico, alimentare, servizi digitali e manifatturiero. La classificazione delle entità coinvolte avviene in base a dimensioni e settore d’appartenenza, con una definizione chiara di "entità essenziali" e "entità importanti".

Gli obblighi imposti alle organizzazioni sono vincolanti e includono una lunga lista di misure minime: gestione continua del rischio, piani di risposta e recupero dagli incidenti, audit regolari, cifratura, autenticazione a più fattori, protezione della supply chain e, non meno importante, la formazione continua del personale in materia di cybersecurity.

Un elemento innovativo è la responsabilizzazione diretta del top management, che risponde personalmente dell’adempimento degli obblighi, con sanzioni anche economiche significative fino al 2% del fatturato globale, determinando una forte spinta a far evolvere la cultura aziendale anche sotto il profilo della sicurezza.

L’Italia ha costruito un sistema robusto di governance della cybersicurezza. Si è dotata di leggi a tutela della sicurezza informatica e della privacy.

Dopo aver istituito il Codice Privacy (D.lgs. 196/2003), ha recepito la Convenzione di Budapest con il D.lgs. 48/2008, introducendo nuovi reati informatici nel Codice penale (accesso abusivo, frode informatica, danneggiamento sistemi).

L’implementazione del GDPR si è concretizzata nel D.lgs. 101/2018, integrando modifiche al Codice Privacy e introducendo strumenti particolari come la figura del Data Protection Officer (DPO), che funge da garante e punto di contatto tra titolare e autorità di controllo. Inoltre, gli aggiornamenti per l’identificazione dei reati informatici (accesso abusivo, intercettazioni, danneggiamento di sistemi) hanno rappresentato tappe fondamentali del percorso.

La Direttiva NIS 2 è stata invece recepita con il D.lgs. 138/2024.

Tra gli altri organismi nazionali: nel 2018 nasce il CSIRT Italia, operativo presso l’Agenzia per la Cybersicurezza Nazionale (ACN), con il compito di monitorare, prevenire e gestire gli incidenti cibernetici a livello nazionale; l’ACN stessa, istituita nel 2021, assume un ruolo centrale nella definizione e applicazione della Strategia Nazionale di Cybersicurezza, attuando un coordinamento efficace e la promozione dell’autonomia tecnologica, fungendo da autorità nazionale competente per il NIS2; il Centro di Valutazione e Certificazione Nazionale (CVCN) è responsabile della sicurezza e affidabilità di prodotti e infrastrutture ICT. 

Nel prossimo articolo approfondiremo i principali strumenti tecnico-organizzativi e le best practice che aziende e pubbliche amministrazioni devono adottare per conformarsi a queste normative, concentrandoci in particolare sulle misure di gestione del rischio, la gestione degli incidenti e la formazione del personale, elementi chiave per costruire una resilienza digitale efficace e duratura.

Grazie intanto per essere arrivato fin qui.


Labels:

Post popolari in questo blog

Dial-up: una tecnologia di ieri che chiude un’era

Il dial-up è stata una delle prime tecnologie utilizzate per connettersi a Internet tramite la linea telefonica tradizionale.   Per stabilire la connessione, il computer utilizzava un modem che convertiva i segnali digitali in suoni analogici trasmessi sulla linea telefonica. Un modem dall’altra parte riconvertiva i segnali per permettere l’accesso a Internet.  Il tipico suono di sincronizzazione — quel famoso bip-partito e sibilo — è rimasto nella memoria di chi ha vissuto i primi anni della rete . La velocità di queste connessioni era estremamente limitata, con valori massimi attorno ai 56 Kbps e, per tutta la durata della navigazione, la linea telefonica risultava occupata, impedendo telefonate simultanee.  Era il mondo “a banda stretta” che ha accompagnato i pionieri di Internet dagli anni ’90 fino all’avvento delle connessioni a banda larga.  Per la mia generazione, a metà tra l'X e il Millenial , il dial-up è l'adolescenza .  Epoca in cui non esisteva pe...
Continua a leggere

Dentro la fibra ottica: struttura, funzionamento e vantaggi per le telecomunicazioni moderne – Parte 2

  Nella prima parte  abbiamo parlato della struttura della fibra ottica, il principio fisico della riflessione totale interna e dell’indice di rifrazione, i vantaggi rispetto al rame e le diverse “finestre” di lunghezza d’onda usate per le telecomunicazioni. Abbiamo accennato all'importanza che l'Italia ha avuto nel campo sperimentale. La fibra ottica è un portante passivo, è il momento di riconoscere in esso quelli che sono gli effetti che possono provocarne il malfunzionamento. Nell'articolo precedente abbiamo parlato di 0,2db/km  per le fibre moderne, questo parametro è denominato attenuazione.  L' Attenuazione è il primo degli effetti lineari della fibra . Può dipendere dalla lunghezza della tratta, da fenomeni che si presentano lungo tratta, es giunzioni di pezzatura che si effettuano per raggiungere due sedi terminali ( considerare che una bobina di cavo o minicavo in fibra ottica è lunga 3 o 6 km) , connessioni meccaniche, per raggiungere o raccordare le var...
Continua a leggere

Dentro la fibra ottica: struttura, funzionamento e vantaggi per le telecomunicazioni moderne - Parte 1

  La fibra ottica è un filo sottilissimo in vetro di silice ultrapuro, progettato per trasportare segnali luminosi su lunghe distanze con altissima efficienza.  Il principio alla base del funzionamento della fibra ottica è la riflessione totale interna dello stesso segnale luminoso. La fibra ottica è costituita da un nucleo centrale(core) (8-10 µm per le moderne single mode, 50-62µm per le vecchie multi mode) , rivestito da un mantello(cladding). L'obiettivo della riflessione totale si raggiunge garantendo che l'indice di rifrazione del nucleo sia maggiore rispetto a quello del mantello.  L'i ndice di rifrazione è definito come il rapporto tra la velocità della luce nel vuoto( 3*10^8 m/s ) e quella nel materiale, misura in sostanza quanto la velocità della luce si riduce passando da un mezzo all'altro. L'indice di rifrazione (es) nell'aria è circa 1, quello nella fibra ottica di poco inferiore a 1,5, ciò giustifica una maggiore possibilità di confinamento all...
Continua a leggere