ict security n.135 - aprile 2016 sicurezza informatica – garante per la protezione dei dati...

Isabella CorradiniPresidente Centro Ricerche Themis Crime

Coordinatore RubricafattoRe umano e amBiente Digitale

Stefano Meleof Counsel di Carnelutti Studio LegaleAssociato e Socio Fondatore di MoireConsulting GroupCoordinatore RubricaCyBeR SPazio e SiCuRezza nazionale

Matteo Cavallini Responsabile Standard Sicurezza eSistemi Informativi, Consip

Cosimo ComellaDirigente Dipartimento tecnologie digitalie sicurezza informatica – Garante per laprotezione dei dati personali

Fabrizio D’AmoreCentro di Ricerca di Cyber Intelligenceand Information Security (CIS) Università“Sapienza” di Roma

Paolo Dal CheccoConsulente Informatico Forense

Coordinatore RubricaDigital foRenSiCS

Roberto Di LegamiDirettore del Servizio Polizia Postale edelle Comunicazioni

Rita Forsi Direttore Generale Istituto Superiore delleComunicazioni e delle Tecnologiedell'Informazione Ministero dello SviluppoEconomico ISCOM

Luisa Franchina Presidente di AIIC (Associazione Italianaesperti in Infrastrutture Critiche)

Coordinatore RubricainfRaStRuttuRe CRitiChe

Andrea Lisi Presidente di ANORC (AssociazioneNazionale per Operatori Responsabilidella Conservazione digitale)Coordinatore RubricaConSeRvazione, PRotezione e SiCuRezza Dei Dati

Paolo Scotto di CastelbiancoResponsabile delle comunicazioniistituzionali e Direttore della Scuola del DIS

Andrea Zapparoli ManzoniBoard Advisor del Centre for StrategicCyberspace & Security Science di Londra

Coordinatore RubricaCyBeR RiSk

Domenico Vulpiani Coordinatore dei sistemi informativi,Ministero dell'Interno

Coordinamento del Comitato Scientifico

Comitato Scientifico

Giovanni Manca Esperto di dematerializzazione esicurezza ICT

Coordinatore RubricaBiometRia e fiRme elettRoniChe

Alberto ManfrediPresidente CSA (Cloud Security Alliance)

Coordinatore RubricaClouD SeCuRity

Direttore ScientificoCorrado GiustozziMembro del Permanent Stakeholders'Group di ENISA ed esperto di sicurezzacibernetica presso l'Agenzia per l'ItaliaDigitale per lo sviluppo del CERT-PA

ColoPhonAnno XV - Numero 135 - Aprile 2016

Rivista fondata daRoberto Scaramuzza

DIRETTORE RESPONSABILE Riccardo Melito

DIRETTORE EDITORIALEEdoardo Scaramuzza

PUBLIC RELATIONS MANAGEREliana D’Aquanno

SALES AND MARKETING MANAGERRomina Rakaj

IMPAGINAZIONEFrancesco Tripputi

Finito di stampare nel mese di Aprile 2016 pressoPixartprinting SpA - Via 1° Maggio, 8 - 30020 Quartod'Altino VE

ROC - Registro Operatori delle Telecomunicazioni n. 17650- Pubblicazione mensile registrata presso il Tribunale diRoma n. 113/98 - Tecna Editrice Roma Poste ItalianeS.p.A. - Spedizione in Abbonamento Postale - D.L.353/2003 (Conv. in L. 27/02/2004 n° 46) Art. 1, Comma 1 -DCB Roma

PREZZO DI COPERTINA Euro 9,00COSTO ARRETRATI Euro 15,00COSTO ABBONAMENTO PER 9 NUMERI Euro 81,00da pagare su C/C postale n. 92435809 intestato a TecnaEditrice srl - Viale Adriatico, 147 - Roma 00141

L’Editore si dichiara pienamente disponibile a regolareeventuali pendenze relative a testi e illustrazioni con gliaventi diritto che non sia stato possibile contattare.Le tesi espresse nelle rubriche e negli articoli impegnanosoltanto l’autore e non rispecchiano quindinecessariamente le opinioni della rivista.Tutti i diritti sono riservati. Nessuna parte di questoperiodico può essere riprodotta con mezzi grafici emeccanici senza l’autorizzazione dell’editore.

TUTELA DATI PERSONALI – PRIVACYSi informa ai sensi del D.L. 196/03 che i Suoi dati sonoinseriti nella nostra banca dati con lo scopo di poterLainformare delle nostre pubblicazioni e dei nostri convegniinerenti la Sua attività. Qualora non desiderasse riceverepiù le nostre informative la preghiamo di comunicarlo viafax al numero 06 8182019

EDITORIALEGrande successo per la 7° Edizione del Cyber Crime Conference 2016 ............................................................................................... 4

RUBRICHECyBeR RiSkCyber Risk Management - Problemi e opportunitàAndrea Zapparoli Manzoni ............................................................................ 6

ClouD SeCuRityPrivacy Shield e CloudValerio Vertua................................................................................................... 10

infRaStRuttuRe CRitiCheLe polizze assicurative cyber: un tassello del complesso mosaico di risk managementLuisa Franchina, Alessandro Pastore, Marco Spada....................... 14

ConSeRvazione, PRotezione e SiCuRezza Dei DatiPrivacy e Sicurezza: come cambia lo scenario e i riferimenti normativi nel nuovo Regolamento generale sulla protezione dei datiGraziano Garrisi ............................................................................................... 20

CyBeR SPazio e SiCuRezza nazionaleEstratto del “Cyber strategy & Policy Brief (Volume 03 - marzo 2016)”Stefano Mele ..................................................................................................... 24

BiometRia e fiRme elettRoniCheLa firma elettronica avanzata (FEA) nel Regolamento UE n. 910/2014 (eIDAS)Giovanni Manca................................................................................................ 30

ARTICOLIGestire il cambiamento del software nel sistema informativo sanitarioGiampaolo Franco .......................................................................................... 34

Johari e la PrivacyStefano Gorla ................................................................................................... 38

I cryptolockerFabrizio Fioravanti .......................................................................................... 42

SELEZIONATO DALLA REDAZIONEIl Report McAfee Labs rileva come solo il 42% dei professionisti della sicurezza si affida a informazioni di intelligence sulle minacce condivise............................................ 48

Kaspersky Lab scopre problemi di sicurezza nei sistemi smart di monitoraggio del traffico ............................... 52

La “truffa del CEO” arriva anche in Europa ...................................... 54

Via libera del Parlamento UE, la privacy europea diventa realtà .................................................................................................. 55

SommaRio

REDAZIONEViale Adriatico, 147 - 00141 RomaTel. 06 - 871 82 554 - Fax 06 - 81 82 019E-mail: [email protected]

4 Aprile 2016 ICT Security

S i è conclusa con grandissimo suc-cesso la 7° edizione della CyberCrime Conference tenutasi lo

scorso 12 Aprile presso il Centro Con-gressi Roma Aurelia Antica.937 visitatori, suddivisi nelle due auleparallele, hanno assistito attivamente aicontributi di illustri ospiti e personaggi dialtissimo prestigio come l’Onorevole Do-menico Rossi, Sottosegretario al Mini-stero della Difesa, Rita Forsi, DirettoreGenerale dell’ISCOM del Ministero delloSviluppo Economico, Roberto Di Legami,Direttore della Polizia Postale e delle Co-municazioni, Silvia Portesi, Network andInformation Security – Research andAnalysis Expert at ENISA. A moderare i

due incontri simultanei: Barbara Carfa-gna, giornalista di TV7 e Speciale TG1, ePatrizia Licata, giornalista e collabora-trice di Formiche.net.Nelle tavole rotonde si sono affrontatetematiche attualissime e di estremo in-teresse: “La rete come arma: la conver-genza tra terrorismo e cyber-spazio” e“La cooperazione pubblico-privato tra iSOC e le Istituzioni”.L’ISIS rappresenta senza ombra di dub-bio la principale minaccia terroristica pertutti i Paesi occidentali. Il numero sem-pre più elevato di cittadini europei coin-volti in azioni terroristiche ha portato datempo gli esperti del settore a rifletterein modo più attento e approfondito sui

editoriale

Grande successo per la 7° edizionedel cyber crime conference 2016

Aprile 2016 ICT Security 5

metodi e i mezzi utilizzati da questa or-ganizzazione terroristica per radicalizza-re e plasmare la mente dei futuri martiri.Ciò soprattutto in considerazione dellaloro distanza dai territori di radicalizza-zione delle dottrine religiose e la loro vi-cinanza per nascita e per cultura ai prin-cipi occidentali. In quest’ambito, uno de-gli strumenti maggiormente utilizzati edefficaci, è senza dubbio la rete Internet.La prima tavola rotonda ha approfondi-to queste tematiche mettendo a fuoco ilruolo che internet e le tecnologie hannonella strategia dello Stato Islamico al fi-ne di qualificare al meglio questa minac-cia per delineare possibili soluzioni dicontenimento.Nella seconda tavola rotonda, con i no-stri interlocutori del mondo istituzionale,dell’impresa privata e dei Security Ope-ration Centers (SOC), si sono approfon-dite le procedure con le quali i SOC col-laborano con le istituzioni e il ruolo chequesti centri svolgono nel prevenire ecombattere il cyber crimine: case stu-dies, best practices e difficoltà in questocompito cruciale di monitoraggio dellasicurezza informatica. In modo partico-lare è stato approfondito il nodo dellaprivacy, molte volte considerata l’antitesidella security.Hanno dato il loro contributo scientifico(in ordine alfabetico):Arije Antinori, CRI.ME LAB “Sapienza”Università di Roma, Dip. di Comunicazio-ne e Ricerca Sociale CORIS; StefanoBargellini, Safety, Security, Property andFacilities Director at Vodafone Italia; Isa-bella Corradini, Presidente centro ricer-che Themis Crime; Gerardo Costabile,Head of Security & Safety at Fastweb;Giuseppe Di Somma, Presidente Cifit –Criminology International Forensic Inve-stigation Thechnologies; Paolo Dal Chec-co, consulente informatico forense; LuisaFranchina, Presidente di AIIC; CorradoGiustozzi, Membro del Permanent Stake-holders’ Group di ENISA; Carlo Mauceli,National Technology Officer di Microsoft;Stefano Mele, of Counsel di CarneluttiStudio Legale Associato, Avvocato spe-cializzato in Diritto delle Tecnologie, Pri-vacy, Sicurezza delle informazioni e Intel-

ligence; Alessio Pennasilico, StrategicSecurity Consultant; Gian Luigi Savioli,responsabile Security Monitoring & Inci-dent Handling per Telecom Italia; Giu-seppe Vaciago, Avvocato esperto in di-ritto penale societario e delle nuove tec-nologie; Valerio Vertua,Vice Presidentedi CSA Italy e Presidente di Digital Fo-rensics Alumni; Stefano Zanero, Profes-sore associato, Politecnico di Milano.Numerosi anche gli interventi di aziendeoperanti nel settore, che hanno profilatoscenari ed offerto soluzioni su: protezio-ne delle infrastrutture critiche, accessiprivilegiati, machine learning, protezionedalle nuove minacce, sicurezza dei droni,evoluzione tecnologico-criminale, hac-king back, botnet, cyber risk manage-ment, digital forensics, sicurezza nelcloud e molto altro.Hanno dato il loro contributo (in ordinealfabetico):Francesco Armando, Technical AccountManager Qualys Italia; Gianni Baroni,Amministratore Delegato Gruppo Da-man; Corrado Broli, Country ManagerItaly Darktrace; Michele Fiorilli, Pre-Sa-les Area Manager DGS; Giovanni Gio-vannelli, Senior Sales Engineer SophosItalia; Joseph La Mela, Sales ManagerCentro Sud Cyberark; Valerio Pastore,President, Chief Technology Officer eFondatore di Boole Server; Marcello Ro-meo, Presales Manager Italy, Intel Secu-rity; Marco Zanovello, Program ManagerVar Group, Security Team Yarix; AndreaZapparoli Manzoni, Head of Cyber Secu-rity, KPMG Advisory SpA.Ricordiamo il Patrocinio dell’Agenzia perl’Italia Digitale, del Ministero dello Svi-luppo Economico, dell’ISCOM, di ENISA,del CISdell’Università “Sapienza”, del La-boratorio Nazionale di Cyber Securitydel CINI.Il Cyber Crime Conference è, ora più chemai, acclamato come l’unico evento inItalia che può offrire una formazionecompleta e gratuita a tutti i visitatori, siadal punto di vista teorico che da quellopratico.Prossimo appuntamento: 17° Forum ICTSecurity 19 ottobre 2016 – Centro Con-gressi Roma Aurelia Antica. �


INTRODUZIONE

Oggi la diffusione e la pervasività di reti,infrastrutture, applicazioni, dati e delleloro infinite interfacce con i relativi utiliz-zatori umani rendono sempre più sfuma-ta la linea di demarcazione tra ambito “fi-sico” (Geospace) e “virtuale” (Cyberspa-ce), tra l’interno e l’esterno di un’organiz-zazione, tra fornitore e cliente, tra ambitolavorativo e personale, etc.In conseguenza di ciò, oltre ad una seriedi innegabili vantaggi si determinano an-che inevitabilmente nuovi rischi, i qualidevono essere individuati in modo pun-tuale, monitorati strettamente e gestitiopportunamente. L’evoluzione rapidissi-ma delle minacce che si originano nel/dalc.d. “Cyberspazio”, inteso come nuovoambito di operatività per tutti gli stake-holder della nostra società, dai cittadini aigoverni alle imprese, sta generando unvero e proprio terremoto nella gestionedel rischio, rendendo obsoleti gli stru-menti e le metodologie tradizionali. Questo terremoto si sta estendendo an-che alle attività di Governance, Assuran-ce, Compliance e Sicurezza (fisica e logi-ca), tramite le quali oggi si cercano di im-plementare, con risultati spesso non bril-lanti, contromisure ai nuovi “rischi Cyber”.

Nel giro di pochi anni tutto il settore “Se-curity” nel senso più esteso ne uscirà for-temente trasformato, e chi non potrà onon vorrà anticipare questa fortissimaspinta al cambiamento dovrà farsi caricodi costi crescenti causati da continui at-tacchi, destinati a diventare sempre piùgravi con il passare dei mesi e degli anni. Questo principalmente perché gli attac-canti sono usciti dalla fase “artigianale”ed hanno industrializzato le proprie ca-pacità offensive, automatizzandole congrande capacità tecnica ed amplificandocosì la minaccia “cyber” di ordini di gran-dezza in breve tempo: alla luce di questofenomeno e delle sue implicazioni, già og-gi ogni organizzazione dovrebbe essersidotata di un processo di Cyber Risk Ma-nagement efficace, in base alle proprieesigenze e risorse, pena l’impossibilità difunzionare correttamente e/o sopravvi-vere nel Cyberspazio. E’ opportuno qui sottolineare che “CyberSecurity” non è sinonimo di “Information& Communication Technology Security”dal momento che ormai, a causa dell’ap-plicazione ubiqua delle tecnologie digitalie dell’iper-connessione tra tutti gli ele-menti (sia in termini di estensione che dicomplessità), possono essere colpiti daminacce provenienti dal Cyber Spazio as-

cyber risk manaGementproblemi e opportunità

cyber risk

Andrea ZapparoliManzoni,Board Advisor delCentre for StrategicCyberspace & SecurityScience di Londra

Andrea Zapparoli Manzoni si occupa con passione di ICT Security dal 1997, mettendo a frutto un backgroundmultidisciplinare in Scienze Politiche, Computer Science ed Ethical Hacking. Fa parte dei Consigli Direttivi di As-sintel e di Clusit, è stato membro dell’OSN (Osservatorio per la Sicurezza Nazionale), ed è Board Advisor delCenter for Strategic Cyberspace + Security Science di Londra. Presidente de iDialoghi per oltre 10 anni, dal 2014è Senior Manager della divisione Information Risk Management di KPMG Advisory, con la responsabilità del-l'area Cyber Security. E' spesso chiamato come speaker a conferenze ed a tenere lezioni presso Università, siain Italia che all'estero. E' co-autore del "Framework Nazionale di Cyber Security". Per il "Rapporto Clusit sulla Si-curezza ICT in Italia" da cinque edizioni cura la sezione relativa all’analisi dei principali attacchi di dominio pub-blico a livello globale, ed alle tendenze per il futuro.


set materiali ed immateriali di ogni gene-re, che nella maggior parte dei casi nonsono (solo) Information. A titolo di esempio un attacco realizzatoper vie informatiche ad un “connected ve-hicle” che abbia come esito il ferimento ola morte del conducente rappresenta untipico problema di Cyber Security, dove ilprincipale asset da proteggere è la vitaumana, mentre l’aspetto di protezionedell’informazione, per quanto presente,rimane in secondo piano (in quanto unotra i molti elementi in gioco). D’altra parteun caso del genere non può ricadereesclusivamente nell’ambito di attivitàdella Sicurezza fisica o della Safety, dalmomento che gli strumenti di mitigazionedi un simile rischio sono per lo più di natu-ra logica.

PRESENTAZIONE DELLARUBRICA DEDICATA ALCYBER RISK MANAGEMENT

A causa di questa continua commistione,già oggi inestricabile, tra fisico e virtuale,nella pratica più ancora che nella teorial’approccio tradizionale oggi generalmen-te applicato alla gestione del rischio ITnon può fornire gli strumenti utili ad indi-viduare, monitorare e gestire le minacceche si originano nel Cyberspazio. Questo cambiamento, epocale e rapidis-simo, costringe a rivedere con urgenzanon solo le metodologie ma soprattuttogli aspetti organizzativi, le prassi, le for-mule di collaborazione tra diverse com-petenze e soggetti coinvolti, e sopra ogni

cosa, nel breve termine, ci spinge a modi-ficare il modo di pensare con riferimentoalla gestione di questi nuovi rischi. Scopo di questa rubrica sarà discutereproblemi ed opportunità derivanti dal-l’esigenza di adottare un processo di Cy-ber Risk Management adeguato alle cir-costanze, analizzandone di volta in voltaalcuni aspetti salienti.Anticipando i temi che saranno oggettodei prossimi articoli della rubrica, per po-ter impiantare un processo di Cyber RiskManagement che sia al contempo soste-nibile ed efficace è necessario:• modificare ed espandere la tassonomia

dei rischi per includere i rischi “cyber”nella gestione del rischio tradizionale, alfine di poter disporre di una definizionecondivisa e di una adeguata classifica-zione delle nuove minacce e delle loropossibili conseguenze;

• interpretare i framework, gli standard,le best practices, le normative ed i con-tratti in modo che riflettano questanuova tassonomia e siano in grado direnderla “actionable”, ovvero utile, inquanto applicabile dal punto di vistaoperativo. Un buon primo passo in que-sto senso è il recente “Framework Na-zionale di Cyber Security” presentato aRoma lo scorso 4 febbraio, al quale ab-biamo avuto l’onore di contribuire tral’altro proprio la sezione dedicata al Cy-ber Risk Management, utile per definirei rischi cyber e le relative contromisurema non sufficiente per poterli gestire;

• definire un proprio Cyber Threat Model(modello di rischio) per poterlo confron-


tare con le informazioni sulle minacceprovenienti dall’esterno (cfr punto suc-cessivo) ed aggiornarlo continuamentedi conseguenza;

• dotarsi della capacità, per nulla sconta-ta o facile da acquisire, di poter misura-re in tempo reale la natura, la frequenzae la pericolosità delle nuove minacceemergenti nel/dal Cyberspazio, in mododa poter aggiornare istantaneamentela propria Situational Awareness (alcunichiamano questo macro-processo “Cy-ber Intelligence”, dando luogo a qualchemalinteso tra i non addetti ai lavori), alfine di derivarne una valutazione pun-tuale del rischio corrente rispetto allapropria realtà specifica (consideratoche le minacce “cyber” evolvono conestrema velocità). All’interno di questacomponente rientrano anche le attivitàdi Information Sharing, sia in orizzontale(tra “peers”) che in verticale (p.es. con gliorgani Istituzioni, primo tra tutti il CERTNazionale);

• elaborare ed arricchire queste informa-zioni in merito all’evoluzione delle mi-nacce rispetto al proprio Threat Modelcon un raffronto puntuale rispetto aquanto accade all’interno della propriaorganizzazione (monitorando e misu-rando continuamente i fenomeni internisia dal punto di vista infrastrutturaleche applicativo che dei processi di busi-ness). Ciò deve avvenire in una logica

multidisciplinare dal punto di vista dellecompetenze coinvolte, e trasversale dalpunto di vista dell’organizzazione, ricor-dando che rispetto alla gestione dei ri-schi “Cyber” la suddivisione a “silos” dellestrutture interne è fortemente penaliz-zante: non si tratta, lo ripetiamo, di pro-blemi risolvibili autonomamente e com-piutamente dall’IT o dall’IT Security sen-za la collaborazione del Business, delleRisorse Umane, del Marketing, del Le-gale etc;

• infine, dopo aver fatto tutto il necessarioper comprendere la propria superficie diattacco al fine di prevenire ed anticiparele minacce “Cyber”, dotarsi dei processiutili alla gestione proattiva, rapida e ri-solutiva degli incidenti che comunque siverificheranno, facendo in modo che gliesiti di tali analisi non rimangano circo-scritti agli ambiti tecnici, ma che le “le-zioni apprese” contribuiscano ad ag-giornare il Cyber Threat Model e soprat-tutto vengano rappresentate ad alto li-vello, ai decisori, di modo che possanodisporre di dati reali, dal “campo”, perdefinire a ragion veduta budget e stra-tegie correttive.

Nel prossimo articolo tratteremo di CyberThreats e della loro tassonomia, e di co-me impostare un processo di Cyber RiskManagement dal punto di vista organiz-zativo, tecnologico e delle competenzenecessarie. �

cyber risk


L l Cloud computing e il trasferimentodei dati verso gli USA sono, di fatto,un binomio molto stretto; nell’at-

tuale assetto di mercato è vero, infatti, chela maggior parte dei servizi Cloud si fon-dano su server collocati, appunto, negliStati Uniti o che, comunque, molti fornitoridi servizi Cloud abbiano li la loro sede. In tale ottica assume quindi una grandeimportanza l’accordo EU-USA PrivacySchield (di seguito solo “Privacy Schield”)che dovrebbe assicurare ai cittadini del-l’Unione Europea un trattamento dei datida parte delle aziende americane in con-formità con la normativa europea per latutela del trattamento dei dati (c.d. nor-mativa privacy).Prima però di entrare nel merito di questoprovvedimento è bene ripercorrere, sep-pure in maniera sintetica, gli antefatti chehanno determinato il presente quadrogiuridico-fattuale. Come noto, il 6 ottobre2015, la Corte Europea di Giustizia si èpronunciata sulla causa C–362/14 Maxi-millian Schrems v Data Protection Com-missioner con una sentenza dagli effettidirompenti e che hanno determinato il ve-nir meno del Safe Harbour (ovvero, in ma-niera molto semplicistica, quell’accorto fraUSA e EU in base al quale il trasferimentodi dati verso le società americane cheaderivano a detto protocollo era lecito).

I punti salienti della sentenza possono es-sere così sintetizzati:• in virtù delle normative vigenti negli USA,

le società americane, anche se aderential Safe Harbour, devono rivelare i datipersonali in loro possesso alla Autoritàamericane preposte alla sicurezza nazio-nale, se destinatari di specifica richiesta;

• tale incondizionato e generalizzato ac-cesso ai dati è lesivo del contenuto es-senziale del diritto fondamentale al ri-spetto della vita privata e contrasta coni principi sanciti dalla Direttiva europeaper la protezione dei dati 95/46/EC edalla Carta dei diritti fondamentali del-l’Unione europea;

• la mancata previsione di qualsiasi facol-tà per il singolo di esperire rimedi giuridicidiretti ad accedere ai dati personali chelo riguardano o ad ottenerne la rettificao la cancellazione viola il contenuto es-senziale del diritto fondamentale ad unatutela giurisdizionale effettiva, facoltà,questa, che è connaturata all’esistenzadi uno Stato di diritto;

• la decisione della Commissione Europeache attesta che le società aderenti al Sa-fe Harbour degli Stati Uniti garantisconoun adeguato livello di protezione dei datipersonali trasferiti da paesi UE (Decisio-ne 520/2000/EC) è invalida in conside-razione del fatto che priva le autorità na-

privacy shield e cloud

Valerio Vertua, Vice Presidente di CSA Italy e Presidente di Digital ForensicsAlumni

Valerio Vertua: Avvocato Cassazionista con studio in Milano; i settori di attività professionale prevalenti sono: ildiritto tributario, il diritto societario e il diritto dell’informatica e delle nuove tecnologie; è perfezionato in DirittoSocietario ed in Computer Forensics ed Investigazioni Digitali presso l’Università degli Studi di Milano; è compo-nente della Commissione Giustizia Tributaria dell’Ordine degli Avvocati di Milano; è collaboratore della Cattedradi Informatica Giuridica ed Informatica Giuridica Avanzata della Facoltà di Giurisprudenza presso l’Università de-gli Studi di Milano; è Presidente dell’associazione DFA (Digital Forensics Alumni); è co-fondatore e Vice-Presiden-te dell’associazione CSA Italy (Cloud Security Alliance Italy).

cloud security


zionali di controllo dei loro poteri nel casoin cui una persona contesti la compatibi-lità della decisione con la tutela della vitaprivata, delle libertà e dei diritti fonda-mentali delle persone: la Commissionenon aveva la competenza per limitare intale modo i poteri delle autorità nazionalidi controllo;

• spetta quindi alle Autorità nazionali UEper la privacy procedere con le loro valu-tazioni e determinazioni e decidere l’ade-guatezza o meno del livello di protezionedati offerto da un Paese Terzo alla lucesia della Direttiva europea per la prote-zione dei dati 95/46/EC, sia della Cartadei diritti fondamentali dell’Unione euro-pea.

A valle di questa sentenza, il nostro Ga-rante per la protezione dei dati ha emessoil Provvedimento n. 564 del 22 ottobre2015 intitolato Trasferimento dati perso-nali verso gli USA: caducazione provvedi-mento del Garante del 10.10.2001 di rico-noscimento dell’accordo sul c.d. “SafeHarbor” (Pubblicato sulla Gazzetta Uffi-ciale n. 271 del 20 novembre 2015), vie-tando così il trasferimento dei dati perso-nali basato su tale delibera e sui relativipresupposti dal territorio dello Stato versogli Stati Uniti d’America. Rimaneva, quindi,lecito il trasferimento dei dati personaliverso gli Usa se basato sull’adozione diclausole contrattuali standard approvatedalla Commissione Europea o in forza del-le Binding Corporate Rules (BCR) oltre, ov-viamente alle altre ipotesi contemplatedall’art. 43 codice privacy (ad es. il consen-so dell’interessato); così come persistevala possibilità per ogni singola organizza-zione o per ciascun professionista di ri-chiedere al Garante, ex art. 44 codice pri-vacy, una specifica autorizzazione al-l’esportazione dei dati verso un determi-nato soggetto USA (in linea teorica l’even-tuale risposta autorizzativa dovrebbe in-tervenire entro 45 gg. come previsto dallatabella B del Regolamento n. 2/2007 del14 dicembre 2007 del Garante).In questo improvviso quadro di incertezzaper gli operatori europei, interveniva indata 16 ottobre 2015 il WP29 (come notol’Article 29 Working Party o Gruppo di La-voro ex Articolo 29 è l’organismo che riu-nisce i rappresentanti delle Autorità Ga-ranti per il trattamento dei dati di ciascun

Paese europeo) che indicava la fine delmese di gennaio 2016 quale termine perpermettere di trovare un’adeguata solu-zione con le autorità americane. Detto ter-mine, come prevedibile, non veniva peròrispettato.Il 2 febbraio 2016 si giunge alla definizionedi un bozza di accordo, denominato EU-USA Privacy Shield, volto a consentire itrasferimenti di dati personali dall’UnioneEuropea agli Stati Uniti. Questo accordoquadro è composto da una serie di docu-menti fra cui:• i Principi del Privacy Shield;• l’Allegato 1 redatto dall’International Tra-

de Administration (ITA) del Dipartimentodel Commercio americano che regola ilprogramma e descrive gli adempimentiper rendere effettivamente operativo ilPrivacy Shield;

• l’Allegato 2 relativo agli impegni del Di-partimento del Commercio americano inmerito al modello arbitrale previsto dalPrivacy Shield;

• una lettera della Commissione Federaledel Commercio (FTC) che descrive comedarà esecuzione al Privacy Shield;

• una lettera del Dipartimento dei Traspor-ti che descrive come darà esecuzione alPrivacy Shield;

• una lettera dell’Ufficio del Direttore del-l’Intelligence nazionale (ODNI) riguar-dante le garanzie e le limitazioni applica-bili alle Autorità di sicurezza nazionaleamericane;

• una lettera del Dipartimento di Statoamericano con un memorandum che de-scrive il suo impegno ad instituire unnuovo Privacy Shield Ombudsperson perle richieste riguardanti l’ingente attivitàdi intelligence americana;

• una lettera del Dipartimento di Giustiziaamericano concernente le garanzie e i li-miti di accesso ai dati da parte del Go-verno americano per motivi di ammini-strazione della giustizia e di pubblico in-teresse.

Ciò premesso è bene ricordare che la Di-rettiva 95/46/EC prevede la legittimitàdel trasferimento di dati personali versoPaesi extra-UE quando questi assicurinoun adeguato livello di protezione deglistessi ovvero quando il trattamento risulticonforme ai principi ed alla normativa eu-ropea; questo giudizio di adeguatezza è


preso con una decisione della Commissio-ne Europea. Lo scopo precipuo dell’EU-USA Privacy Schield è proprio quello di as-sicurare un adeguato livello di protezionedei dati personali trasferiti, appunto, versogli Stati Uniti.I principi cardine sui cui si fonda questonuovo accordo quadro possono sintetiz-zarsi nei seguenti punti:• l’imposizione di precisi obblighi alle socie-

tà americane che trattano dati personalidi cittadini europei nonché una solidaapplicazione delle regole previste daquesto accordo quadro; questo devequindi essere trasparente e prevederedei meccanismi efficaci di vigilanza, dellesanzioni per i casi di inadempimento edelle condizioni rigorose per trasferimen-ti di dati successivi ad altri partner effet-tuati dalle società che aderiscono a que-sto accordo quadro;

• la previsione di garanzie chiare e di obbli-ghi di trasparenza per i casi di accesso aidati da parte del governo americano;questo principio si fonda su una garanziascritta degli Stati Uniti all’UE in base allaquale gli accessi delle autorità pubblichegovernative americane ai dati dei citta-dini europei saranno soggetti a precisi li-miti, a meccanismi di controllo, al divietodi accesso generalizzato: quindi un ac-cesso solo se necessario e in manieraproporzionata;

• la possibilità per i cittadini europei di ri-correre, in materia di Intelligence nazio-nale, alla figura di un Ombudsman, in-quadrato all’interno del Dipartimento diStato americano, che deve essere indi-pendente dai servizi di sicurezza nazio-nali: l’Ombudsman si occuperà dei recla-mi e delle richieste di informazioni pre-sentate dai singoli cittadini europei eavrà l’obbligo di informarli sul rispettodelle normative in materia; questi impe-gni saranno pubblicati nel U.S. FederalRegister;

• la previsioni di diverse possibilità di ricor-so per garantire l’effettiva protezione deidiritti dei cittadini europei basate sui se-guenti punti: – i reclami devono essere risolti dalle im-

prese americane entro 45 giorni;– dovrà essere disponibile un meccani-

smo di composizione stragiudiziale egratuito delle controversie;

– ci dovrà essere la possibilità per i citta-dini europei di rivolgersi anche alle lororispettive Autorità Garanti nazionaliche collaboreranno con la Commissio-ne Federale per il Commercio per ga-rantire l’esame e la risoluzione dei re-clami proposti dai cittadini europei;

– esisterà, in ultima istanza, la possibilitàdi ricorrere ad un meccanismo di arbi-trato che sfocerà in una decisione ese-cutiva;

– le imprese americane potranno impe-gnarsi a rispettare il parere delle Auto-rità Garanti europee, facoltà che diven-ta un obbligo per le imprese che tratta-no dati inerenti le risorse umane;

• la previsione di un meccanismo di riesa-me congiunto annuale in grado di moni-torare il funzionamento di questo accor-do quadro, ivi compresi gli impegni e legaranzie inerenti l’accesso ai dati per fi-nalità di contrasto alla criminalità e di si-curezza nazionale; questo riesame dovràessere operato dalla Commissione euro-pea e dal Dipartimento del Commerciodegli Stati Uniti con l’intervento di espertidell’intelligence americani e delle Autori-tà Garanti europee.

Attualmente il Privacy Shield è sottopostoad una analisi da parte di un Comitato eu-ropeo composto dai rappresentanti degliStati membri e dal WP29 che dovrà espri-mere il proprio parere prima della decisio-ne finale. Analogamente le Autorità go-vernative americane dovranno compiere ipassi necessari per porre in essere quantodi competenza. In quest’ottica si deve con-siderare quanto previsto dagli USA con ilJudicial Redress Act. Questa norma, fir-mata dal Presidente Obama il 24 febbraiou.s., dovrebbe attribuire il diritto ai cittadi-ni europei di adire le Corti giurisdizionaliamericane per l’esercizio dei diritti in ma-teria di privacy in relazione al trasferimen-to di dati personali verso gli USA; tuttaviaoccorre anche segnalare che per l’applica-zione del Judicial Redress Act è preventi-vamente necessaria l’esistenza dell’accor-do sul trasferimento dei dati e che tale ac-cordo non deve interferire con la sicurezzanazionale.In questa nuova prospettiva di un PrivacyShield ancora da perfezionarsi, si ritieneinteressante proporre, a chiusura di que-sto scritto, alcuni spunti di riflessione sen-

cloud security


za però trarre, volutamente, alcuna consi-derazione:• la Corte Europea di Giustizia, con la sen-

tenza sopra citata, ha ritenuto che l’ac-cesso indiscriminato ai dati, quindi anchequelli dei cittadini europei che, ad esem-pio, utilizzavano e utilizzano servizi clouddi provider americani, da parte delle au-torità americane violasse la Direttiva95/46/EC nonché i diritti della Carta deidiritti fondamentali dell’Unione europea;

• nulla viene detto dalla Corte Europea diGiustizia o dalle Autorità Garanti nazio-nali sull’analogo accesso ai dati dei citta-dini europei effettuato senza distinzionee in maniera massiva da parte delle Au-torità pubbliche dei singoli paesi europei(come emerso, ad esempio, dal c.d. Da-tagate a proposito della Gran Bretagnaed il sistema Tempora);

• le autorità pubbliche americane ritengo-no di poter accedere tranquillamente aidati di server cloud ubicati all’internodell’Unione Europea quando questi sonodi proprietà o sono gestiti da societàamericane (a tale proposito è interes-sante notare la battaglia legale che Mi-crosoft sta portando avanti in merito adun ordine di un Giudice americano di pro-duzione di dati di un cliente salvati su uno

dei suoi server posti in Irlanda, sostenen-do che il Giudice dovrebbe, per accederea detti dati, seguire la strada della roga-toria internazionale prevista dai tratti);

• il secondo comma dell’art. 3 della Diretti-va 95/46/EC prevede espressamenteche Le disposizioni della presente diretti-va non si applicano ai trattamenti di datipersonali “… aventi come oggetto la pub-blica sicurezza, la difesa, la sicurezza del-lo Stato (compreso il benessere econo-mico dello Stato, laddove tali trattamentisiano connessi a questioni di sicurezzadello Stato) e le attività dello Stato inmateria di diritto penale”;

• il nuovo Regolamento UE sulla protezio-ne dei dati personali prevede analoghedisposizioni al considerando n. 14, all’art.2 comma 2 lettera e) ed all’art. 21.

In conclusione, al momento l’EU-USA Pri-vacy Shield non è stato ancora sottoscrit-to né dalle Autorità europee, né da quelleamericane; sarà quindi interessante vede-re nei prossimi mesi lo sviluppo della ma-teria anche in considerazione del fattoche, a breve, dovrebbe entrare in vigore ilnuovo Regolamento UE sulla Data Protec-tion e che l’obiettivo della CommissioneEuropea è quello di rendere effettivo il Pri-vacy Shield per la fine di giugno 2016. �


L e conseguenze di un attacco in-formatico spaziano dal furto disegreti industriali e informazioni

riservate, ai danni reputazionali e laconseguente perdita di business, fino adeterioramenti finanziari o sanzioni am-ministrative. In risposta a questi sinistri ilmondo assicurativo ha creato dei pro-dotti ad hoc.Le polizze cyber risk sono presenti sulmercato da almeno un decennio madalla seconda metà del 2015 hannoavuto una crescita significativa. Si trattadi un prodotto che non ha bisogno dipubblicità, la violazione informatica di

grandi società è ciclicamente sulle primepagine dei giornali. Nel suo ultimo rap-porto di ricerca - A Guide to Cyber Risk:Managing The Impact of Increasing In-terconnectivity - Allianz Global Corpora-te & Specialty prevede prevede che ipremi delle cyberassicurazioni nei pros-simi dieci anni aumenteranno global-mente dagli attuali 2 miliardi di dollariall’anno a più di 20 miliardi, con un tassodi crescita annuale composto superioreil 20%.1

Al momento il mercato è conteso da po-chi grandi attori quali American Interna-tional Group, ACE, Chubb Corp, Zurich

le polizze assicurative cyber: un tassello del complesso mosaicodi risk manaGement

infrastrutture critiche

AIIC - ASSOCIAZIONE ITALIANA ESPERTI IN INFRASTRUTTURE CRITICHE nasce per co-struire e sostenere una cultura interdisciplinare per lo sviluppo di strategie, metodologie etecnologie in grado di assicurare la protezione delle infrastrutture critiche e la loro gestionein situazioni di crisi, di eventi eccezionali o a seguito di atti terroristici.

Luisa Franchina,Presidente di AIIC

Alessandro Pastore

Marco Spada

Luisa Franchina: Ingegnere elettronico con dottorato e post dottorato di ricerca in ingegneria elettronica (Universitàdi Roma la Sapienza) e master in geopolitica (IASD) del Centro Alti Studi Difesa. Ha conseguito la qualifica militareCBRN presso la Scuola di Rieti. E’ stata Direttore Generale della Segreteria per le Infrastrutture Critiche (Presidenzadel Consiglio dei Ministri 2010-2013), Direttore Generale del Nucleo Operativo per gli attentati nucleari, biologici,chimici e radiologici (Dipartimento della Protezione Civile 2006-2010) e Direttore Generale dell’Istituto Superioredelle Comunicazioni e delle Tecnologie dell’Informazione (Ministero delle Comunicazioni 2003-2006). Attualmenteha fondato una azienda che eroga servizi di gestione del rischio, gestione dell’informazione e reporting. Docentepresso master specialistici di alcune università (Sapienza, Tor Vergata, SIOI - scuola della Farnesina, Campus Bio-medico, Bocconi, Università di Milano, ecc.) in temi di sicurezza. Ha pubblicato numerosi articoli e libri su temi di si-curezza e protezione infrastrutture critiche. E’ tra gli autori del Framework Nazionale di Cyber Security.

Alessandro Pastore: Analista di intelligence e sicurezza economica. Tra i suoi ambiti di ricerca rientrano lageopolitica degli scenari internazionali, con particolare riferimento alla guerra culturale e all’analisi e la cri-tica dei nuovi media. Nelle sue recenti pubblicazioni si è occupato del rapporto tra social network, radicaliz-zazione e terrorismo.

Marco Spada: Analista di intelligence per Hermes Bay, dottore in Relazioni Internazionali presso l'Universitàdi Roma Tre con una tesi sul cyberwarfare; attualmente iscritto al Master in Sicurezza delle Informazioni edInformazione Strategica della Sapienza. Attivo in materia di Analisi su Fonti Aperte, Social Media Intelligencee Cyber Threat Intelligence.


Insurance e pochi altri. Ma l’aumentocostante della consapevolezza del ri-schio e la spinosa questione della priva-cy, ambito in cui si attende un prossimointervento normativo anche in Italia, so-sterranno una crescita e ramificazionedel comparto. Le previsioni sono confer-mate dal fatto che la fetta di mercato èdecisamente ampia e a oggi meno del10% delle imprese ha una copertura as-sicurativa di questo tipo. Per le restanti90%, in caso di attacco informatico, gliamministratori sono i primi ad esporsi auna composita catena di responsabilità,e visto il crescente numero di casi i ver-tici aziendali non possono ignorare laquestione. Quali procedure devono quindi attivarele aziende per assicurare il loro compar-to cyber? In genere le compagnie assi-curative richiedono la compilazione di unquestionario inerente la valutazione delrischio che permetta di calcolare il pre-mio assicurativo. Le società devono for-nire un attento esame della postura cy-ber che evidenzi la quantità di dati sen-sibili, le policy di protezione di questi, lageolocalizzazione delle sedi, i sistemi difirewall e antivirus, il monitoraggio delleintrusioni, le strategie di backup, leesposizioni sui social network e le stra-tegie di business continuity. Il fatto che iquestionari cambino - anche di molto -da compagnia a compagnia, indica lacomplessità del prodotto e sottolinea lanecessità di una normalizzazione legi-slativa che tenga il passo delle innova-zioni tecnologiche. Un esempio è rap-presentato dai ransomware, quei virusinformatici che prendono in ostaggio i fi-le attraverso tecniche di crittografia echiedono un riscatto in denaro: la giuri-sprudenza italiana non ha ancora pro-

dotto nulla in proposito e in questaeventualità la polizza non garantiscenessuna copertura nel nostro Paese. Parlando poi di costi la situazione è an-cora in via di definizione e in molti casi lecompagnie valutano caso per caso eagiscono in maniera contrattuale. Indi-cativamente, il costo della polizza variain funzione del fatturato del cliente e dellimite di indennizzo scelto.Tra le compagnie più attive sul mercatoitaliano troviamo Allianz AGCS che conla polizza Cyber Protect copre i danniprovocati da un attacco informatico finoa un massimale di 100 milioni di euro.Generali mette sul mercato ConnectedFamily: una polizza domestica, familiareo personale, con uno speciale pacchettodi garanzie legato all’uso di e-commer-ce, social network e internet in generale.Un altro prodotto ancora è quello pro-posto da Axa Mps che inserisce la ga-ranzia cyber risk all’interno del pacchet-to Mia protezione modellato a difesadell’identità digitale. Quest’ultimo pre-vede anche una attività di flooding cheagisce riequilibrando i contenuti del-l’utente colpito da danno reputazionalee impedendo alle informazioni negativedi comparire nelle prime pagine dei mo-tori di ricerca.2

Se all’interno del mondo aziendale il ri-schio residuo di un possibile attacco in-

1 Allianz Global Corporate & Specialty,(2015), A Guide to Cyber Risk: Managing TheImpact of Increasing Interconnectivity, in <http://bit.ly/1YyMUrD > (ultima consultazione19-03-2016).2 Per i dettagli delle singole polizze si vedahttp://bit.ly/1nXqimi; http://bit.ly/1WyhkIf;http://bit.ly/1TWEREK (ultima consultazio-ne 19-03-2016).


formatico può essere trasferito - conqualche riserva come vedremo sotto -alle compagnie assicurative, più com-plessa è la questione che riguarda il ri-schio sistemico relativo al contagio e alpossibile coinvolgimento delle infra-strutture critiche nazionali. La semprepiù diffusa interconnessione al sistemacyber di strutture quali reti idriche edelettriche aumenta esponenzialmente ilpericolo che un attacco informatico lo-calizzato si estenda velocemente con ef-fetti disastrosi per il sistema Paese.Questo è anche il pensiero di JasonHealey della Cyber Statecraft Initiativefor the International Affairs all’AtlanticCouncil che legge il problema della cy-ber security in termini di sicurezza nazio-nale.3

La fondatezza di questa prospettiva vie-ne confermata da un recente report delCentre of Risk Studies dell’Università diCambridge secondo cui un attacco par-ziale alla rete energetica produrrebbeimmediatamente, oltre a una situazionecaotica nei trasporti e una conseguenteriduzione drastica degli introiti commer-ciali, un aumento della mortalità a se-guito della carenza di acqua potabile edella mancata assistenza fornita dallestrutture ospedaliere coinvolte.4

Secondo Allianz Global il costo mondialedel crimine informatico si aggira intornoai 450 miliardi di dollari l’anno, di cui le10 principali economie mondiali rappre-sentano la metà del totale.5 Numeridrammatici che mostrano un serio ri-schio per la stabilità del sistema finan-

ziario e geopolitico mondiale. A questo siaggiunge la preoccupazione di alcunianalisti secondo cui le compagnie assi-curative sottostimano i massimali deidanni aggregati. Infine non dobbiamodimenticare che, a differenza diun’azienda, la sicurezza di uno Stato,che ha nelle infrastrutture critiche unsuo punto nevralgico, non può ragionareesclusivamente in termini di danni eco-nomici. In un periodo in cui il concettostesso di sicurezza nazionale deve fare iconti con il terrorismo, preoccupa sape-re che nell’autunno 2015 lo US Office ofPersonnel Management ha ammessoche gli sono stati sottratti documentiinerenti la sicurezza nazionale tra cui piùdi 5 milioni di impronte digitali di impie-gati federali.6 Fatti come questo sottoli-neano l’importanza di una politica olisti-ca di cyber security che non faccia ec-cessivamente riferimento al sistema as-sicurativo, per non correre il rischio diessere sì assicurati ma per nulla sicuri.


3 Healey J., Rohmeyer P., Sachs M. H., SchmidtJ., Weiss J., Bayuk J. L., (2012), Cyber SecurityPolicy Guidebook, New York, NY, Wiley.4 Risk Management Solutions, Inc. Cam-bridge Centre for Risk Studies, (2016), Ma-naging Cyber Insurance AccumulationRisk, in < http://bit.ly/1pSXlJJ > (ultima con-sultazione 19-03-2016).5 Allianz Global Corporate & Specialty,(2015), cit.6 Sanger D. E., (2015), Hackers Took Finger-prints of 5.6 Million U.S. Workers, Gover-nment Says, in The New York Times SEPT.23, 2015, in < http://nyti.ms/1G3gvOF > (ulti-ma consultazione 19-03-2016).


Per evitare questo errore occorre parti-re dal presupposto che l’assicurazioneentra in funzione solamente se le misurepreventive hanno fallito. Le assicurazionisono da intendersi quindi come un tas-sello dell’analisi del rischio: un mosaicocomposto da fattori tecnici, organizzati-vi e legali, e solamente coniugando i variaspetti in modo complesso e consape-vole è possibile contrastare efficace-mente il rischio, informatico e non solo.In tal proposito negli ultimi anni, il Natio-nal Protection and Programs Directora-te (NPPD) ha organizzato delle tavolerotonde invitando analisti assicurativi,brooker, risk manager, esperti informa-tici, gestori di infrastrutture critiche escienziati sociali per esaminare lo statodel mercato assicurativo della sicurezzainformatica e ragionando su come in-centivare una migliore gestione del ri-schio. L’intento è di far interagire i prota-gonisti del settore pubblico e privatocon lo scopo di proteggere le reti infor-matiche, assistendoli collettivamente eindividualmente e migliorando così la si-curezza informatica complessiva.Il report del NPPD ha identificato trearee in cui sarebbe possibile ottenereuna più robusta copertura, non solo peri danni economici e immateriali ma an-che per quelli tangibili che coinvolgono le

infrastrutture critiche. La prima ha a chefare con la necessità di condividere i datidegli attacchi informatici, una praticapoco diffusa perché mette a repentagliol’immagine della sicurezza aziendale mache può, tramite una condivisione ano-nima, creare un database di vitale im-portanza. Quest’ultimo potrebbe poi es-sere utilizzato dal settore assicurativoper costruire modelli di rischio e simula-zioni più attendibili, così da stabilire unpremio assicurativo preciso anche persistemi complessi come le infrastrutturecritiche. Infine, lo studio sottolinea la ne-cessità di una diffusione capillare dellacultura della gestione del rischio di im-presa che limiti i fenomeni di contagio eriduca al minimo minimo il rischio resi-duo da trasferire sul mercato assicura-tivo.7

Uno dei primi fattori di cyber sicurezzasu cui occorre lavorare è infatti internoalle aziende e ha a che fare con la for-mazione dei dipendenti. La maggiorparte di questi sa poco di sicurezza in-formatica ed è probabile che inavverti-tamente tenga comportamenti a rischio:un dipendente negligente che sbaglia aprendere le adeguate precauzioni espo-ne costantemente il sistema. Negli am-bienti assicurativi è noto il caso di Aonche durante una visita a un cliente hascoperto che un quarto degli impiegatiusava la password di default, che eraappunto “password”, e che quando è sta-ta obbligata a cambiarla con un codicealfanumerico teneva la nuova passwordsu un post-it sotto lo schermo del pc.

7 National Protection and Programs Directo-rate - The Department of Homeland Security,(2014), Insurance Industry Working SessionReadot Report, in < http://1.usa.gov/1nZC0wM> (ultima consultazione 19-03-2016).


Se si trasferisce una parte del rischio auna assicurazione occorre poi conoscerecon precisione la reale copertura garanti-ta dalla polizza. Secondo un report diMarsh più della metà dei CEO britannici ri-tiene che la propria polizza assicurativacopra anche il cyber risk aziendale, ma inrealtà solamente il 10% rispetta del tuttoquesta aspettativa.8 Secondo Adam Tho-mas di Deloitte & Touche LLP, a causa disuperficiali calcoli di pricing, e del fatto cheper avere modelli di rischio assicurativoattendibile occorrono almeno due decen-ni, il mercato delle cyber assicurazioni as-somiglia a un “wild wild west” dove leaziende corrono il serio rischio di trovarsicon polizze che non forniscono una realeprotezione ma addirittura una sensazionedi illusoria sicurezza.9

Occorre quindi un piano olistico di anali-si del rischio cyber che lavora su due li-velli. Il primo è rappresentato dal cyberrisk management e composto da inter-venti diversificati per la messa in sicu-rezza, in locale e in mobilità, in relazionea minacce esterne di natura informaticao di altro tipo. Il secondo livello consistenel trasferimento dei rischi: visto chequesti non sono del tutto eliminabili, i ri-schi residui vengono trasferiti con con-

tratti ad hoc e finalizzati a far fronte alripristino, alle perdite economico-finan-ziarie e alle pretese di terzi.Per stimolare l’integrazione dei due li-velli il legislatore può prendere a esem-pio i Certification Bodies introdotti nelRegno Unito: organismi che garantisco-no l’implementazione delle procedure disicurezza aziendale. Così come nella re-sponsabilità civile auto una compagniaassicurativa può rivalersi sull’assicuratoche non ha sottoposto il veicolo alla pe-riodica revisione, allo stesso modo le so-cietà che intendono sottoscrivere unacopertura cyber e devono garantirestandard di sicurezza interni. Così fa-cendo i meccanismi di rivalsa incentiva-no le aziende a un comportamento vir-tuoso creando un mercato assicurativomirato ma anche limitando la diffusionesistemica del rischio. �


8 Marsh, (2015), Cyber Risk Survey Report, in< http://bit.ly/1H1aWWj > (ultima consultazio-ne 19-03-2016).9 Joyce S., (2016) These roadblocks are slo-wing down the cybersecurity insurance ex-plosion, in Insurance Business America <http://bit.ly/1Rrig2M > (ultima consultazione19-03-2016).


Manca poco, ormai, all’entratain vigore del Nuovo Regola-mento europeo sulla privacy, il

quale apporterà alcune modifiche alladisciplina relativa alla protezione deidati personali. Uno dei campi in cui il Regolamento pre-vede delle novità è quello delle “Misure disicurezza”, sul quale vogliamo sofferma-re la nostra attenzione. Rispetto all’at-tuale Codice Privacy (D.Lgs. 196/2003),che prevede una bipartizione tra misuredi sicurezza minime e idonee (le primespecificatamente individuate agli artt.33-34 e all’Allegato B del Codice stesso,mentre le seconde non ben definite inquanto variano in base a una serie diparametri che devono essere valutatida ciascun titolare del trattamento), lanormativa europea individua un corpusunico di misure di sicurezza che dovran-no essere applicate tenendo conto dello

stato dell’arte e dei costi di attuazione,della natura, dell’oggetto, del contesto edelle finalità del trattamento (compresol’eventuale rischio di varia probabilità egravità per i diritti e le libertà delle per-sone fisiche).Il nuovo regolamento europeo sulla pro-tezione dei dati, infatti, prevede all’art.32, che il titolare del trattamento e il re-sponsabile del trattamento mettano inatto misure tecniche e organizzativeadeguate per garantire un livello di sicu-rezza adeguato al rischio, che compren-dono, tra le altre, altre, se del caso:a) la cifratura dei dati personali e lapseudonimizzazione;

b) la capacità di assicurare su base per-manente la riservatezza, l’integrità, ladisponibilità e la resilienza dei sistemie dei servizi di trattamento;

c) la capacità di ripristinare tempestiva-mente la disponibilità e l’accesso dei

privacy e sicurezza: come cambia lo scenario e i riferimenti normativinel nuovo reGolamento Generalesulla protezione dei dati

conservazione, protezione e sicurezza dei dati

ANORC:Associazione Nazionale per Operatori e Responsabili della Conservazione digi-tale dei documenti) dal 2007 mette in comunicazione conoscenze e bisogni di aziende,enti pubblici, professionisti ed esperti che operano nella Dematerializzazione e Conser-vazione digitale, con lo scopo di garantire ai nuovi archivi digitali durata e immutabilitànel tempo. L’associazione promuove attività di studio e formazione sulle tematiche deldigitale e sostiene un dialogo attivo con le istituzioni centrali (www.anorc.it).

Graziano Garrisi

Graziano Garrisi: Avvocato del Foro di Lecce dal 2008. Fa parte del Digital & Law Department dello Studio Le-gale Lisi, occupandosi principalmente di consulenza legale in materia di privacy e diritto delle nuove tecnologie,nonché nella realizzazione dei modelli organizzativi D. Lgs. 231/2001 e D.Lgs. 196/2003. Socio fondatore emembro del Direttivo di ANORC (Associazione Nazionale per Operatori e Responsabili della Conservazione di-gitale dei documenti) è Socio fondatore anche di ABIRT (Advisory Board Italiano dei Responsabili del Tratta-mento dei dati personali). Relatore in numerosi convegni e autore di pubblicazioni in materia di diritto dellenuove tecnologie. Iscritto all'elenco Anorc Professioni Responsabile Trattamento dei Dati Personali.


dati personali in caso di incidente fisi-co o tecnico;

d) una procedura per testare, verificaree valutare regolarmente l’efficaciadelle misure tecniche e organizzativeal fine di garantire la sicurezza deltrattamento.

A ben vedere, non si tratta di misure disicurezza del tutto nuove rispetto al vec-chio impianto normativo, soprattutto sele confrontiamo con i contenuti del Do-cumento Programmatico sulla Sicurezza(noto anche come “DPS”), che costituivauna misura di sicurezza obbligatoria si-no a qualche anno fa. Una vera novità, invece, è rappresenta-ta dalla “pseudonimizzazione” - che pre-vede che i dati personali non “possanopiù essere attribuiti a un interessatospecifico senza l’utilizzo di informazioniaggiuntive, a condizione che tali infor-mazioni aggiuntive siano conservate se-paratamente e soggette a misure tecni-che e organizzative intese a garantireche tali dati personali non siano attri-buiti a una persona fisica identificata oidentificabile” - e dall’utilizzo della “crit-tografia”.Occorre evidenziare, però, per non in-correre in errore, che il regolamento nonimpone – sempre o in qualunque caso -l’uso della pseudonimizzazione o della

crittografia (l’utilizzo delle locuzioni “trale altre” e “se del caso” è eloquente), maobbliga i titolari o i responsabili del trat-tamento a valutare – caso per caso –quelli che possono essere i rischi inerentia quello specifico trattamento e attuare,di conseguenza, misure per limitare talirischi, come, ad esempio, proprio la ci-fratura e la pseudonimizzazione dei dati(come ribadito nella parte in cui si speci-fica “per garantire un livello di sicurezzaadeguato al rischio”). Pertanto, è neces-sario effettuare, prima, un’analisi di ri-schio (in alcuni casi sarà necessaria unavera e propria “Valutazione d’impattosulla protezione dei dati”) e poi, se è ilcaso, adottare le misure di cifratura opseudonimizzazione.Le restanti indicazioni normative, invece,individuano i requisiti generici di sicurez-za (es. sicurezza di reti e di sistemi d’in-formazione) che un sistema deve soddi-sfare per garantire la compliance priva-cy rispetto alla nuova regolamentazioneeuropea e mettere in sicurezza tuttol’ambiente in cui l’informazione vienetrattata:- riservatezza, ovvero la protezione dei

dati trasmessi o conservati per evitar-ne l’intercettazione e la lettura da par-te di persone non autorizzate;

- integrità, come conferma che i dati


trasmessi, ricevuti o conservati sianocompleti e inalterati;

- disponibilità, come conferma che i datisiano accessibili e i servizi funzioninoanche in caso di interruzioni dovute aeventi eccezionali o ad attacchi di pi-rateria informatica.

Di dubbia interpretazione, invece, appa-re il termine “resilienza” (magari po-tremmo interpretarlo come obbligo diadottare misure volte a limitare l’impat-to di un attacco a una serie di informa-zioni/dati o risorse, evitando il perpe-trarsi di ulteriori danni, o come capacitàdi reazione di un sistema a fronte di unevento che metta a rischio la sicurezzadelle informazioni e dei dati trattati), maè facile comprendere come lo stesso siastrettamente legato anche alle ulteriorimisure indicate alle lettere seguenti c) ed).In particolare, il punto d) delle misure in-dicate all’art. 32, introduce quel princi-pio di “rendicontazione” che prevedel’obbligo del Titolare del trattamento diconformarsi agli adempimenti derivantidalla nuova normativa e di dimostraretale conformità (e, quindi, il rispetto ditutti obblighi in capo allo stesso), anchemediante l’adozione di politiche interne

e di meccanismi atti a garantire il rispet-to del Regolamento stesso. Il titolare deltrattamento, infatti, deve attuare i re-quisiti di sicurezza dei dati e mettere inatto meccanismi per assicurare la verifi-ca dell’efficacia delle misure.Ciò vuol dire che non solo si chiede al Ti-tolare del trattamento (o al suo Respon-sabile) di adottare determinate misuredi sicurezza (previa analisi dei rischi) edimostrarne la conformità alla nuovaregolamentazione europea, ma si chie-de altresì di dimostrare che dette misu-re abbiano effettivamente funzionatodurante il corso dei trattamenti effet-tuati (sulla scorta di quanto avviene nel-la redazione dei Modelli di Gestione eOrganizzazione in base al D.Lgs.231/2001).Appare utile, infine, un confronto con ledisposizioni previste, e ad oggi ancoravigenti, dal d.lgs. n. 196/2003 (Codiceprivacy). L’art. 31 stabilisce che “i datipersonali oggetto di trattamento sonocustoditi e controllati, anche in relazionealle conoscenze acquisite in base al pro-gresso tecnico, alla natura dei dati e allespecifiche caratteristiche del tratta-mento, in modo da ridurre al minimo,mediante l’adozione di idonee e preven-

conservazione, protezione e sicurezza dei dati


tive misure di sicurezza, i rischi di distru-zione o perdita, anche accidentale, deidati stessi, di accesso non autorizzato odi trattamento non consentito o nonconforme alle finalità della raccolta”. Inpiù, ai sensi dell’art. 33 del Codice priva-cy, i titolari del trattamento sono tenutiad adottare le misure minime volte adassicurare un livello minimo di protezio-ne dei dati personali. In particolare, per itrattamenti di dati effettuati con stru-menti elettronici le misure di sicurezzaidonee per garantire la sicurezza dei da-ti personali consistono “nell’autentica-zione informatica, nell’adozione di pro-cedure di gestione delle credenziali diautenticazione, nell’utilizzazione di un si-stema di autorizzazione, nell’aggiorna-mento periodico dell’individuazionedell’ambito del trattamento consentitoai singoli incaricati e addetti alla gestio-ne o alla manutenzione degli strumentielettronici, nella protezione degli stru-menti elettronici e dei dati rispetto atrattamenti illeciti di dati, ad accessi nonconsentiti e a determinati programmiinformatici; nell’adozione di procedure

per la custodia di copie di sicurezza, il ri-pristino della disponibilità dei dati e deisistemi, nell’adozione di tecniche di ci-fratura o di codici identificativi per de-terminati trattamenti di dati idonei a ri-velare lo stato di salute o la vita sessua-le effettuati da organismi sanitari”. Da una rapida comparazione, quindi,possiamo affermare che gli articoli deidue testi legislativi (italiano ed europeo,vecchia e nuova normativa) che affron-tano la tematica delle “misure di sicu-rezza” non sono in antitesi, ma anzi,quanto riportato nel D.Lgs. 196/2003costituisce la base e il punto di partenzaper sviluppare un più completo “DataProtection Program” (sulla scorta delvecchio DPS), finalizzato a consentire altitolare del trattamento di dimostrareche ha adottato un processo complessi-vo di misure giuridiche, organizzative,tecniche, per la protezione dei dati per-sonali, anche attraverso l’elaborazionedi specifici e idonei modelli organizzativi(in relazione ai trattamenti effettuati perle varie finalità perseguite e in base allemodalità e agli strumenti utilizzati). �


DANIMARCA

Il Danish Defence Intelligence Service(DDIS) è l’organo deputato a svolgerecompiti di intelligence estera e militareper il governo danese. Inquadrato all’in-terno delle responsabilità istituzionalidel Ministro della Difesa, il suo MilitarySecurity Department è incaricato delleattività di protezione delle Forze Armateda attacchi di spionaggio, sabotaggio,terrorismo e qualsiasi altra forma di at-tività criminale. Inoltre, sin dalla sua creazione, avvenu-ta nel 2012, il Danish Defence Intelligen-ce Service sovrintende e coordina anchele attività del Centre for Cyber Security:l’autorità indipendente deputata alla‘sicurezza cibernetica’, il cui compitoprincipale è quello di rilevare, segnalaree rispondere agli attacchi informaticicondotti contro la sicurezza nazionale egli interessi della Danimarca.Seppure l’attuale approccio strategicodanese – delineato da ultimo nella cy-

ber-strategy del dicembre 2014 – pre-veda ancora una postura marcatamen-te difensiva, sin dal 2012 la Danish De-fence Commission prima e il “NationalPlan for Cyber Security” del 2013 poiavevano evidenziato la necessità di in-crementare e rafforzare le tecnologie ele capacità militari della Danimarca an-che attraverso la creazione di una spe-cifica unità militare per le attività offen-sive nel e attraverso il cyber-spazio. Pertanto, nel gennaio del 2015, a segui-to di una ulteriore esortazione in tal sen-so del Ministro della Difesa, il governodanese ha previsto di investire entro il2017 circa 74 milioni di dollari per svilup-pare le proprie capacità offensive siamilitari, che di intelligence nel e attra-verso il cyber-spazio.Per raggiungere tale obiettivo, nel mesedi marzo il governo danese ha dichiara-to di aver costituto all’interno del DanishDefence Intelligence Service un’accade-mia completamente focalizzata sullaformazione dei propri esperti di ‘sicurez-

estratto del “cyber strateGy & policy brief (volume 03 - marzo 2016)”

cyber spazio e sicurezza nazionale

Stefano Mele of Counsel di Carnelutti Studio Legale Associato e Socio Fondatore di Moire ConsultingGroup

Stefano Mele è avvocato specializzato in Diritto delle Tecnologie, Privacy, Sicurezza delle Informazioni e Intelli-gence. Lavora a Milano come ‘of Counsel’ di Carnelutti Studio Legale Associato. E’ socio fondatore e Partner delMoire Consulting Group ed è Presidente del “Gruppo di lavoro sulla cyber-security” della Camera di Commercioamericana in Italia. È Coordinatore dell’Osservatorio InfoWarfare e Tecnologie emergenti dell’Istituto Italiano diStudi Strategici ‘Niccolò Machiavelli’ e membro del International Institute for Strategic Studies. È inoltre docentepresso istituti di formazione e di ricerca del Ministero della Difesa italiano e della NATO, nonché autore di nume-rose pubblicazioni scientifiche e articoli sui temi della cyber-security, cyber-intelligence, cyber-terrorism e cy-ber-warfare. Nel 2014, la NATO lo ha inserito nella lista dei suoi Key Opinion Leaders for Cyberspace Security e la rivista For-bes lo ha inserito tra i 20 migliori Cyber Policy Experts al mondo da seguire in Rete.


za cibernetica’. Il primo corso, della du-rata di 4 mesi e mezzo, avrà inizio adagosto di quest’anno e si articolerà inmoduli tesi ad approfondire tanto gliaspetti strategici e legali della materia,quanto soprattutto quelli tecnici inerentisia le attività difensive, che offensive.Il principale impiego di questi futuriesperti sembra essere attualmente le-gato più alle attività di spionaggio elet-tronico del Danish Defence IntelligenceService, che a quelle di cyber-warfaredel suo Military Security Department.Tuttavia, il preciso e chiaro indirizzo poli-tico in tal senso, nonché gli specificicompiti di protezione delle Forze Armateattribuiti al Danish Defence IntelligenceService, così come la presenza al suo in-terno del Centre for Cyber Security, fan-no propendere nel breve periodo versolo sviluppo di percorsi di formazione le-gati anche alle capacità offensive stret-tamente militari e non solo a quelle diintelligence. Come ampiamente delineato nel “CyberStrategy & Policy Brief” di gennaio 2016e più avanti in questo volume (si veda,ad esempio, la parte relativa agli StatiUniti), l’azione del governo danese ap-pare assolutamente in linea con l’ap-proccio strategico di un numero sempremaggiore di Stati a livello internazionale,che ormai da oltre un anno hanno co-minciato a concentrarsi sempre più sullosviluppo di capacità offensive nel e at-traverso il cyber-spazio, tanto per scopidi intelligence, quanto per vere e proprieattività di cyber-warfare.

STATI UNITI

Come approfondito anche nel “CyberStrategy & Policy Brief” di gennaio 2016,gli Stati Uniti continuano a spingeresull’acceleratore dello sviluppo delleproprie capacità militari offensive per ilcyber-spazio. Nel mese di marzo, il corpo dei Marineha istituito il suo Marine Corps Cyber-space Warfare Group. La principale missione di questo Gruppo– già oggi attivo, ma che raggiungerà lapiena operatività solo nel 2017 – è quel-la di addestrare, rafforzare ed equipag-giare le unità operative dei Marine inca-ricate di svolgere missioni sia difensive,che offensive nel e attraverso il cyber-spazio a supporto dello United StatesCyber Command e del Marine ForcesCyberspace Command.Costituito nell’ottobre del 2009, il Mari-ne Corps Forces Cyberspace Commandè, infatti, uno dei quattro pilastri checontribuiscono a formare lo United Sta-tes Cyber Command, insieme al NavyFleet Cyber Command/10th Fleet, l’Ar-my Cyber Command/2nd Army, e l’AirForces Cyber Command/24th Air Force. Delle 123 unità operative e i 4.990 uo-mini per le operazioni militari nel e at-traverso il cyber-spazio attualmente inforza allo United States Cyber Com-mand, sono 13 le unità messe finora incampo dal Marine Corps Forces Cyber-space Command, di cui una già certifi-cata come “Full Operational Capability”.Esse conducono operazioni nel cosid-


detto “quinto dominio della conflittuali-tà” nell’intero spettro delle operazionimilitari e dispiegano una forza di 1000uomini tra personale dei Marine e civili,che dovrebbe salire a circa 1300 uominiproprio entro la fine del 2016. Ciò non di meno, la previsione del gover-no è di riuscire ad avere, entro la fine del2017, tutte le 13 unità del Marine CorpsForces Cyberspace Command certifica-te come “Full Operational Capability”.Ciò comporterà quindi che, entro la finedel prossimo anno, il Marine Corps For-ces Cyberspace Command fornirà alloUnited States Cyber Command ben 1Cyber National Mission Team, 3 CyberMission Team con 1 Cyber Support Teame 8 Cyber Protection Team (di cui 3 com-pletamente dedicati alle sole esigenzedel corpo dei Marine).Tuttavia, il corpo dei Marine non è l’unicoad essere impegnato nello sviluppo del-le proprie capacità per il cyber-spazio.Sempre nel mese di marzo, infatti, an-che l’Air Force Space Command ameri-cano ha annunciato che il proprio siste-ma di arma denominato “CyberspaceVulnerability Assessment/Hunter Wea-pon System” ha raggiunto lo status di“Full Operational Capability”. A dispetto del nome, questa piattafor-ma è deputata esclusivamente alla dife-sa dei sistemi informatici dell’Air Force eal supporto degli United States Cyber

Command Cyber Protection Team econsente di svolgere principalmentevulnerability assessment e valutazionedi conformità dei sistemi, ma anche atti-vità di vera e propria rilevazione delleminacce informatiche provenienti dal-l’esterno. La parte denominata Hunter,infatti, consente di identificare, mitigaree perseguire – entro i confini della retedell’Air Force – le minacce informaticheprovenienti dall’estero che mirano a col-pire le capacità operative di questa For-za Armata e dello United States CyberCommand. Sotto il punto di vista strettamente go-vernativo, invece, alla notizia dello US-CERT che nel 2015 i sistemi informaticidel governo americano hanno soffertoben 77.183 incidenti informatici (il 10% inpiù rispetto all’anno precedente), hafatto eco il Presidente Obama, che il 29marzo, attraverso una lettera al Con-gresso, ha esteso l’efficacia dell’ordineesecutivo emanato ad aprile del 2015dal titolo: “Blocking the Property of Cer-tain Persons Engaging in SignificantMalicious Cyber-Enabled Activities”. Seppure, allo stato attuale, quest’ordineesecutivo non abbia ancora mai trovatoreale applicazione, la recente accusaformale del Dipartimento della Giustiziaamericano nei confronti di un gruppo disette iraniani, imputati di aver condotto– tra il 2011 e il 2013 – una campagna



coordinata di attacchi informatici controil settore finanziario degli Stati Uniti (peril cui approfondimento si rimanda al pa-ragrafo successivo), unita all’immediatoannuncio da parte di Obama dell’esten-sione dell’efficacia di quest’ordine ese-cutivo, parrebbero presagire che il go-verno americano stia valutando la pos-sibilità di emanare sanzioni economichenei confronti del governo di Teheran aseguito di questi attacchi informatici. In conclusione, il governo americanocontinua ad estendere la sua azione po-litica e strategica per il cyber-spazio se-guendo due principali direttrici. La pri-ma, più marcatamente istituzionale,sempre più tesa a rinforzare le difesedei sistemi informatici del governo e adaumentare la consapevolezza di questematerie in tutti gli strati del suo tessutosociale (per il cui approfondimento si ri-manda anche al “Cyber Strategy & Poli-cy Brief” di febbraio 2016). La seconda direttrice, invece, più mar-catamente militare e di intelligence, chevede gli Stati Uniti impegnati a ritmi ser-rati nel continuare a sviluppare le lorocapacità offensive per il cyber-spazio e adimostrare pubblicamente di essere inprocinto di risolvere il problema dell’ano-nimato e dell’incapacità di attribuire unattacco informatico ai suoi autori mate-riali. Ciò, anche al fine di generare deter-renza negli Stati nemici e negli alleati.

STATI UNITI – FOCUS SULLACYBER-DETERRENZA(DALLA SYRIANELECTRONIC ARMY, AGLI HACKER DI STATOIRANIANI E CINESI)

Sin dal 2011, la Syrian Electronic Army,un gruppo di attivisti informatici chesupporta il governo di Bashar Al-Assad,ha fatto ripetutamente parlare di sé peri numerosi cyber-attacchi portati a se-gno soprattutto nei confronti di agenziedi stampa e società tecnologiche occi-dentali. Seppure il valore tecnico di questi attac-chi non abbia mai raggiunto livelli preoc-cupanti, gli effetti di alcuni di essi sonoriusciti a causare danni a volte anchemolto rilevanti.Tra tutti, il principale attacco informaticorealizzato dalla Syrian Electronic Army èsenza dubbio quello del 2013 all’accountTwitter ufficiale dell’agenzia di stampaAssociated Press. Grazie alla sua com-promissione, infatti, utilizzando un sin-golo tweet che annunciava la notizia fal-sa di due esplosioni alla Casa Bianca e ilferimento di Barack Obama, questogruppo di ‘hacktivisti’ è riuscito a farperdere 136,5 miliardi di dollari all’indiceazionario Standard&Poor 500. Una cifradecisamente ragguardevole, considera-


to soprattutto che è stata persa nei treminuti necessari a capire che nessun’al-tra agenzia di stampa stava battendo econfermando quella notizia e che quindiquel tweet annunciava in realtà un’in-formazione completamente falsa.Nel mese di marzo, però, la Syrian Elec-tronic Army è tornata a far parlare di sénon a seguito di ulteriori attacchi infor-matici, ma in conseguenza dell’annuncioda parte del governo americano di averindividuato e aggiunto due dei suoi prin-cipali membri nella lista dell’FBI deimaggiori ricercati per crimini informatici.Ahmad Umar Agha (22 anni, siriano diDamasco, conosciuto su Internet come“The Pro”) e Firas Dardar (27 anni, siria-no di Homs, conosciuto su Internet come“The Shadow”) sono i nomi dei duemembri della Syrian Electronic Army neicui confronti l’FBI ha emanato una ri-compensa di 100.000 dollari ciascunonel caso in cui qualcuno fornisca infor-mazioni che dovessero portare al loroarresto.

Inoltre, sempre nel mese di marzo equasi contemporaneamente a questavicenda, il Dipartimento della Giustiziaamericano ha formalmente accusato ungruppo di ben sette iraniani, impiegati indue aziende operanti per il governo diTeheran e il suo Islamic RevolutionaryGuard Corps, per aver condotto – tra il2011 e il 2013 – una campagna coordi-nata di attacchi informatici contro il set-tore finanziario degli Stati Uniti. Oltre aquesto, per uno dei sette iraniani l’accu-sa è anche di aver abusivamente gua-dagnato più volte l’accesso ai sistemi in-formatici di comando e controllo di unadiga di New York.Invero, occorre precisare che gli StatiUniti non sono nuovi a questo genere diiniziative. Già nel maggio del 2014, infatti, sempreil Dipartimento della Giustizia americanoaveva formalmente accusato di spio-naggio elettronico cinque membri della‘Unità 61938’ della People’s LiberationArmy (PLA) cinese per aver violato i si-



stemi informatici di sei aziende america-ne alla ricerca di segreti industriali. Seppure sul piano puramente proces-suale sembra ovviamente poco proba-bile che qualcuno degli accusati compa-rirà mai dinanzi ad una corte degli StatiUniti, sul piano politico e strategico, in-vece, l’obiettivo di Washington appareessere molto chiaro e coerente. Infatti, cominciando a perseguire for-malmente gli autori materiali dei criminiinformatici di natura statale o sponso-rizzati da uno Stato, il governo america-no ha anzitutto iniziato a dimostrarepubblicamente le proprie capacità dirintracciare gli autori di quegli attacchi.Ciò significa mandare a livello interna-zionale il messaggio di stare risolvendo ilprincipale problema nel settore dellacyber-security, ovvero l’anonimato el’incapacità di attribuire con certezza laresponsabilità di un attacco informaticoai suoi autori materiali. Peraltro – ed è questo un ulteriore ele-mento fondamentale – l’acquisizione diquesta capacità concorre a colmare unodei principali “vuoti” per il rafforzamentodi una strategia di deterrenza per il cy-ber-spazio che sia realmente efficace. Le peculiarità della rete Internet, infatti,impongono al momento di guardare inmaniera “tiepida” nei confronti dellareale possibilità di attuare una strategiadi deterrenza. Proprio il problema dell’anonimato edella notevole difficoltà nel riuscire a ri-salire con certezza a chi realmente ha laresponsabilità dell’attacco (mancanzadell’elemento difensivo della deterren-za), unito alla conseguente impossibilitàdi poter contrattaccare all’attacco infor-matico subìto (mancanza dell’elementooffensivo della deterrenza) e alla relati-va tranquillità e affidamento da parte dichi attacca sulla mancanza di questi dueelementi (mancanza dell’elemento dellapaura), fa scaturire, come detto, unagenerica e diffusa difficoltà per gli Statinel costruire una strategia di deterrenzaper il cyber-spazio che sia davvero effi-cace.Tuttavia, riuscendo a risolvere il proble-ma dell’anonimato (seppure – almeno almomento – con tempi ancora abba-

stanza lunghi) e contestualmente conti-nuando a consolidare la propria leader-ship internazionale nelle operazioni mili-tari e di intelligence nel e attraverso ilcyber-spazio (peraltro per mezzo di unapostura sempre più marcatamente of-fensiva), gli Stati Uniti ben presto riusci-ranno a generare deterrenza in manieramolto efficace anche nel cosiddetto“quinto dominio della conflittualità”, con-solidando così ancor di più il loro ruolo dimaggiore “cyber-potenza” a livello glo-bale.Per ulteriori approfondimenti e aggior-namenti sulla strategia degli Stati Uniti,si veda anche lo specifico paragrafo inquesto volume e il “Cyber Strategy & Po-licy Brief” di gennaio 2016. �


PREMESSA

La firma elettronica avanzata (FEA) èstata introdotta dalla direttiva1999/93/CE come base per la firmaelettronica qualificata. Questa è realiz-zata se alla FEA si aggiungono un cosid-detto certificato qualificato e la firmaviene creata utilizzando un “dispositivosicuro” che nei fatti è un apparato chepossiede specifiche e ben determinatecaratteristiche di sicurezza.Nel vigente Codice dell’amministrazionedigitale alla FEA viene attribuita una ef-ficacia probatoria quasi uguale a quelladi una firma qualificata. Questa circo-stanza ha determinato una elevata dif-fusione di soluzioni di FEA basate sullatecnologia biometrica della sottoscrizio-ne autografa. Il Regolamento UE910/2014 in materia di identificazioneelettronica e servizi fiduciari per le tran-sazioni elettroniche nel mercato interno(eIDAS) non ha impatti sulla efficaciaprobatoria della normativa italiana. Peraltro con la Decisione di Esecuzione

2015/1506 della Commissione dell’8settembre 2015 vengono stabilite lespecifiche relative ai formati delle firmeelettroniche avanzate e dei sigilli avan-zati (ai sensi dell’eIDAS un sigillo elettronico èdefinito come “dati in forma elettronica,acclusi oppure connessi tramite associa-zione logica ad altri dati in forma elettro-nica per garantire l’origine e l’integrità diquesti ultimi”) che gli organismi del set-tore pubblico devono riconoscere. Questo per garantire le regole ai finidell’applicazione all’articolo 27, paragra-fo 5 e all’articolo 37, paragrafo 5 del Re-golamento eIDAS. Di quanto stabilito inquesta decisione e degli impatti sull’ordi-namento nazionale si parla nei paragrafiseguenti.

LA FEA NEL REGOLAMENTOEIDAS

Nel Regolamento eIDAS la FEA è intro-dotta nell’articolo 3, numero 11) con unrinvio immediato all’articolo 26.

la firma elettronica avanzata(fea) nel reGolamento ue n. 910/2014 (eidas)

biometria e firme elettroniche

Giovanni Manca,Membro del comitatoscientifico di AIFAG

AIFAG: Associazione Italiana Firma elettronica Avanzata Biometrica e Grafometri-ca, promuove e sostiene nel mercato delle firme – caratterizzato ancora da diso-mogeneità - l'adozione di standard sicuri e interoperabili, inoltre stila e fornisce li-nee guida e best practice sull'utilizzo corretto della firma elettronica avanzata, bio-metrica e grafometrica (www.aifag.it).

Giovanni Manca: laureato in Ingegneria Elettronica, svolge attività di consulenza sulle tematiche di demateria-lizzazione e sicurezza ICT. Da circa 25 anni si occupa di attività tecnologiche nel settore dell’ICT avendo spa-ziato nel corso degli anni dal network and system management alle infrastrutture a chiave pubblica (PKI).Ha partecipato alla creazione della prima firma elettronica nella pubblica amministrazione, alla messa in lineadel primo sito internet della fiscalità, al primo progetto pubblico di disaster recovery di dati fiscali, alla proget-tazione della Carta Nazionale dei Servizi e della Carta d’Identità Elettronica. Ha partecipato alla stesura dellepiù importanti normative tecniche sui temi dell’e-government. Attualmente è senior advisor sulle tematiche didematerializzazione e sicurezza ICT per alcune primarie società di settore.


Qui vengono stabiliti i requisiti che unaFEA deve soddisfare:a) è connessa univocamente al firmata-

rio;b) è idonea a identificare il firmatario;c) è creata mediante dati per la creazio-

ne di una firma elettronica che il fir-matario può, con un elevato livello disicurezza, utilizzare sotto il proprioesclusivo controllo;

d) è collegata ai dati sottoscritti in mododa consentire l’identificazione di ognisuccessiva modifica di tali dati.

E’ positivo il fatto che tali requisiti sianopraticamente identici a quelli della diret-tiva 1999/93/CE che il Regolamento eI-DAS abroga dal 1 luglio 2016.In termini di efficacia probatoria il Rego-lamento eIDAS non si esprime perchénon competente in termini di Diritto co-munitario, quindi rimane valido quantostabilito nel CAD.La Decisione di esecuzione 2015/1506 ècruciale per definire il quadro degli stru-menti tecnici necessari ad un trattamen-to transfrontaliero delle firme e dei sigillielettronici avanzati.

LA DECISIONE DI ESECUZIONE 2015/1506

Questa norma secondaria del Regola-mento eIDAS è stata promulgata (comeevidenziato nel considerando (1) ) inquanto “è indispensabile che gli Statimembri si dotino degli strumenti tecnicinecessari al trattamento dei documentifirmati elettronicamente che sono richie-sti quando si utilizza un servizio onlineofferto da un organismo del settorepubblico o per suo conto”.Il Regolamento eIDAS obbliga gli Statimembri che richiedono una FEA per l’usodi un servizio online offerto da un orga-nismo del servizio pubblico, o per suoconto, a riconoscere le firme avanzate, lefirme avanzate basate su un certificatoqualificato e le firme qualificate che han-no formati specifici o formati alternativiconvalidati conformemente a specificimetodi di riferimento.Quanto detto per le firme deve essereapplicato in modo analogo per i sigillielettronici in quanto questi due oggettisono simili dal punto di vista tecnico.


Ai fini dell’interoperabilità transfronta-liera in termini di verifica delle firme e deisigilli devono essere utilizzati i formatidefiniti nella sopra citata Decisione dellaCommissione.Ma nei casi dove per l’apposizione di unafirma o di un sigillo vengano utilizzati for-mati di firma elettronica o di sigillo elet-tronico diversi da quelli comunementesupportati dal punto di vista tecnico, do-vrebbero essere forniti mezzi di convali-da che consentano la verifica transfron-taliera di tali firme o sigilli. Lo Statomembro ricevente deve poter fare affi-damento sugli strumenti di convalida diun altro Stato membro, quindi è neces-sario fornire informazioni facilmente ac-cessibili su tali mezzi mediante l’inseri-mento nei documenti informatici, nellefirme o nei contenitori dei documentielettronici. (Per i contenitori con firmaassociata si deve fare riferimento allaspecifica tecnica ETSI TS 103 174 v.2.2.1).Infine è utile ricordare l’articolo 2, para-grafo 1 della Decisione in esame1. Gli Stati membri che richiedono unafirma elettronica avanzata o una firmaelettronica avanzata basata su un certi-ficato qualificato, secondo quanto di-

sposto dall’articolo 27, paragrafi 1 e 2,del Regolamento (UE) n. 910/2014, rico-noscono formati di firma diversi da quellidi cui all’articolo 1 della presente decisio-ne, a condizione che lo Stato membro incui è stabilito il prestatore di servizi fidu-ciari utilizzato dal firmatario offra agli al-tri Stati membri possibilità di convalidadella firma, idonee ove possibile al trat-tamento automatico.Per concludere la descrizione delle spe-cifiche tecniche si deve citare l’obbligo diriconoscimento per gli Stati membri cherichiedono una FEA o una FEA basata suun certificato qualificato delle specifichetecniche in allegato alla Decisione inesame 2015/1506.Le specifiche di FEA sono per XML, CMS oPDF al livello di conformità B. T o LT (è uti-le ricordare che tali livelli di conformitàsono descritti nelle citate specifiche ETSI.B sta per Basic, T per Trusted time for si-gnature existence e LT per Long Termwith archive time-stamps) o tramite il giàcitato contenitore con firma associata. Nell’allegato della Decisione sono ripor-tati gli estremi delle specifiche tecnicheETSI alle quali è fatto obbligo di attener-si.

biometria e firme elettroniche


CONSIDERAZIONI FINALI

Il quadro comunitario che si va a confi-gurare è quello di una serie di regoletransfrontaliere aventi lo scopo di garan-tire lo scambio di documenti informaticitra Stati membri con il supporto di ade-guate regole di verifica delle firme e dei si-gilli per l’interoperabilità.L’efficacia probatoria della FEA stabilitanel CAD non è influenzata dalle norme UEquindi i progetti di FEA basati su tecnolo-gie biometriche di firma grafometrica nonsono influenzati dall’eIDAS.L’intercambio transfrontaliero di FEA gra-fometriche si scontra con una serie di pro-blematiche di non facile soluzione.Prima di tutto è indispensabile sottolinea-re il fatto che l’efficacia probatoria dellaFEA è di natura esclusivamente naziona-le. Lo Stato membro mittente può inviareuna FEA grafometrica in Italia ma la veri-fica completa sarebbe possibile solamen-te a seguito di richiesta dell’Autorità giudi-

ziaria (Provvedimento prescrittivo513/2014 del Garante per la protezionedei dati personali).Questo è un limite che può essere supera-to mediante accordi specifici tra le parti,ma se il foro competente fosse fuori dal-l’Italia avremmo dei rischi in giudizio chedevono essere attentamente valutati.In ogni caso è utile sviluppare uno stan-dard di interoperabilità europeo in ambitoETSI partendo dalle regole ISO/IEC19794-7 per la firma biometrica.In tal modo ogni firma biometrica, nellemore della richiesta dell’Autorità giudizia-ria, sarebbe verificabile con tutti gli stru-menti di verifica conformi all’ipotizzatostandard ETSI.Per firme e sigilli avanzati conformi allespecifiche tecniche pubblicate nell’allega-to della Decisione 2015/1506 è possibileprocedere senza alcun problema tecnicoo normativo fatto salvo quanto stabilito ineiDAS negli articoli 27 e 37 per i sigillielettronici. �

Se paragonassimo l’Aziendasanitaria ad un corpo uma-no, il software ne rappre-

senterebbe il sistema nervoso cen-trale. Piccoli cambiamenti su talecomponente avrebbero enormeimpatto sugli organi dell’intero si-stema causando rallentamenti,blocchi delle funzionalità, mancan-za di coordinamento e potenzialidanni irreversibili. Una progetta-zione ed una gestione errata delsoftware potrebbero produrreproblematiche di varia entità che,sia valutate singolarmente che inmaniera olistica, andrebbero a co-stituire una seria minaccia al fun-zionamento generale del sistema.Di conseguenza risulta fondamen-tale proteggere questo asset coreadottando specifiche attenzioni,evitando così incidenti e possibilisituazioni di crisi.Negli ultimi anni la centralizzazionedei servizi e dei sistemi informaticidella Pubblica Amministrazione hacomportato da un lato una dimi-nuzione generale degli incidenti,dall’altro un aumento della criticitàdei sistemi stessi e della superficiedi impatto intesa come entità deglieventuali danni. Il potenziamento ela ridondanza delle infrastruttureelettriche, con l’evoluzione e l’au-


Gestire il cambiamentodel software nel sistemainformativo sanitario


mento di velocità e resilienza dellereti di comunicazione, ha eliminatosensibilmente gli incidenti relativi ablackout elettrico ed indisponibilitàdel collegamento di rete. Di conse-guenza il focus delle problematichesi è spostato ad un livello più alto: ilsoftware.Il software è una componente mol-to costosa che frequentemente vaaggiornata, risulta sempre piùcomplessa, interdipendente ed in-dispensabile. Necessita di prote-zione e monitoraggio in quantopresente in tutti i livelli e processiaziendali e in quanto parte piùonerosa dei servizi informatici.Grazie ad esso le strutture interneed esterne delle Aziende sanitariehanno raggiunto un livello di con-trollo ed automazione mai vistoprima. Le nuove tecnologie di dia-gnostica strumentale, la condivi-sione delle informazioni sanitarietra professionisti di strutture di-verse, la dematerializzazione deicertificati di malattia e delle pre-scrizioni farmacologiche, la tele-medicina, nonché i sofisticati si-stemi automatici di monitoraggioed allarme continuano ad appor-tare notevole beneficio all’utenzaAziendale. Può sembrare strano,ma l’utilizzo del software presenta

delle problematiche intrinseche edin prima battuta di difficile risolu-zione. Semplici aggiornamenti, adesempio, possono creare blocchiparziali o totali di funzionamentoed anche perdite di dati. E’ perquesto motivo che un processo co-ordinato di supervisione e gestionedei cambiamenti software risultaindispensabile. Sebbene già datempo sia stata posta attenzionead alcuni aspetti di sicurezza, qualila tutela della privacy ed il rischioclinico, in quanto previsti dalla leg-ge e quindi obbligatori, manca unacorretta gestione del cambiamen-to del software: non esistono infat-ti nelle Aziende sanitarie dei pro-cessi e delle figure ad hoc. Un mi-glioramento in tal senso rendereb-be l’Azienda più in grado di inter-pretare il contesto di cambiamentotecnologico, ottimizzando i costigestionali e disponendo più corret-tamente le risorse. In tal modo, gliincidenti sugli asset core dovreb-bero mostrare una significativa di-minuzione. Non agendo su questoasset i potenziali danni, sia relati-vamente al settore umano (pa-zienti, operatori) che tecnologico(dati d’archivio), possono risultarenon più circoscrivibili ad un livelloaccettabile.

GIAMPAOLOFRANCO

Azienda Provinciale per i Servizi Sanitari

di Trento

Giampaolo Franco: Laureato in Informatica è certificato CISM. Da più di 10 anni esperto di governance, riskmanagement, and compliance presso l’Azienda Provinciale per i Servizi Sanitari di Trento. Si occupa di svol-gere le attività inerenti alla business continuity ed al disaster recovery, analisi dei rischi, privacy compliance,awareness, internal/external audit, incident management, ottimizzazione e controllo di qualità dei processiIT. In passato ha svolto attività di project management, analisi e programmazione di software in ambito ban-cario. E’ stato consulente dell’Università di Trento nella definizione degli aspetti organizzativi e di sicurezzalegati all’introduzione di modelli integrati di didattica digitale nella scuola. Conduce con passione attività diricerca, formazione ed awareness nell’ambito della sicurezza rivolte alla pubblica amministrazione. Dal 2014è membro dell’ISACA VENICE Chapter.


L’esternalizzazione della gestionehardware e software spesso com-porta una gestione incompleta delrisk assessment periodico, un’ado-zione di procedure di comunicazio-ne insufficienti ed un carente mo-nitoraggio e controllo preventivo edetettivo. Una banale minaccia in-formatica potrebbe sfruttare que-ste vulnerabilità e generare ancheun security incident. Dal momentoche le informazioni trattate dai si-stemi informativi sanitari possonoessere catalogate come ‘super-sensibili’, in quanto riferite diretta-mente alla salute della persona, ri-sulta ancor più necessario adotta-re e mantenere alti livelli di sicurez-za e qualità nella gestione dei datie dei processi, istituendo specifichemisure di protezione che tenganoconto delle tecnologie, delle inter-dipendenze tra servizi e delle fina-lità. La perdita di qualità dei datiha un’inevitabile ricaduta trasver-sale nell’organizzazione, creandoun effetto domino di forte impattonegativo dal punto di vista del-l’erogazione dei processi e dellasalute dei pazienti. Tale propaga-zione di errore andrebbe evitataadottando contromisure organiz-zative aziendali, coinvolgendo

maggiormente il reparto IT, obbli-gando le terze parti a misure dicontrollo ed audit tramite stru-menti giuridico/contrattuali ed im-plementando processi organizzati-vi e framework tecnologici orientatialla sicurezza. La gestione delcambiamento del software an-drebbe monitorata centralmente econfigurata come attività on-goinge non one-time, dedicando perso-nale qualificato a definire obiettividi sicurezza, politiche del cambia-mento tecnologico, standard e li-nee guida aziendali. Il referente tecnologico delle UnitàOperative dovrebbe acquisire lecompetenze del Change Managerper interfacciarsi con il Risk Mana-ger e l’Information Security Mana-ger. La politica aziendale dovrebbeinoltre essere orientata verso lagestione del post-cambiamentoper raccogliere e gestire i feedbackdegli utenti ai fini del miglioramen-to continuo. Le problematiche ri-scontrate in tal modo verrebberoindirizzate dai professionisti ai ri-spettivi stakeholders misurando ilgrado culturale degli stessi. La cul-tura del personale interno e deifornitori risulta una componenteessenziale intrinseca ad ogni pro-

cesso, a cui va posta particolareattenzione. La logica di business, utilizzata dacontroparti esterne, normalmentedifferisce da quella dell’Aziendasanitaria; ciò comporta dei rischi,dovuti al gap culturale, che posso-no precludere la creazione di par-tnership professionali inclini allebuone pratiche di sicurezza. Perevitare ciò è necessario un teamdedicato altamente competenteche predisponga opportuni pro-cessi di gestione del rischio delleterze parti.La consapevolezza di queste te-matiche potrebbe crescere edespandersi in maniera capillare,per improntare un livello culturaleed un clima aziendale incline allebuone pratiche di gestione delcambiamento tecnologico. La sicu-rezza non verrebbe più vista comecosto e pesante responsabilità, maverrebbe rivalutata come obiettivoe valore aggiunto.Ogni servizio erogato dall’Aziendasanitaria è costituito, oltre che dalsoftware, anche da ulteriori assetmolto onerosi quali i professionistiutilizzatori, l’hardware, le infra-strutture di rete. Dal punto di vistadell’analisi dei rischi, ognuna di


queste componenti presenta trecaratteristiche fondamentali: • CONFIDENTIALITY. Confidenziali-

tà è l’equivalente di riservatezzao più semplicemente privacy. Lemisure adottate per assicurare laconfidenzialità servono a preve-nire che informazioni riservate esensibili vengano consultate dapersone non autorizzate.

• INTEGRITY. Integrità significamantenere la consistenza, la pre-cisione e l’attendibilità dei datinel loro intero ciclo di vita. I datinon possono essere cambiati danessuna componente del serviziosenza una specifica autorizzazio-ne né alterati a causa di errori.

• AVAILABILITY. Disponibilità signi-fica garantire rigorosamente lacontinuità ed il corretto funziona-mento dei processi che gestisco-no le informazioni. I dati devonoessere disponibili agli utenti se-condo i Service Level Agreement- SLA garantiti dal fornitore odall’Azienda.

Il livello di sicurezza di ogni assetdipende quindi dalla somma diquesti tre parametri. Qualsiasi attodi violazione di un’esplicita od im-plicita politica di sicurezza azien-dale basata su queste tre compo-nenti si definisce incidente di sicu-rezza. Le casistiche principali in cuisi verifica un incidente di sicurezzapossono essere così riassunte: • Tentativi non autorizzati per gua-

dagnare accesso ai dati ed ai si-stemi;

• interruzioni di servizio inattese acausa di guasti od errori;

• interruzioni deliberate della indi-sponibilità dei servizi;

• uso non autorizzato di un sistemaper processare o memorizzaredati;

• cambiamenti alle caratteristichedi un sistema hardware, firmwareo software senza che il proprieta-rio ne sia a conoscenza, o che nonabbia fornito istruzioni in tal sen-so ed opportuno consenso.

Gli aggiornamenti software rien-trano tra le cause principali di inci-dente di sicurezza. Al fine di ridurrei costi di Information Technology edabbattere il rischio tecnologico, mi-tigare il rischio dovuto alla fre-

quente attività di aggiornamentodel software permetterebbe di go-vernare in maggior sicurezza il si-stema informativo sanitario e pro-teggere il raggiungimento degliobiettivi aziendali. �

SUGGERIMENTIBIBLIOGRAFICI

Application security ISO/IEC27034:2011. International Organi-zation for Standardization (ISO) -International ElectrotechnicalCommission (IEC).

Agenzia per l’Italia Digitale (2013):Linee Guida per la razionalizzazio-ne della infrastruttura digitale del-la Pubblica Amministrazione. Pre-sidenza del Consiglio dei Ministri.

European Commission - DG CON-NECT (2015): eHealth projects Re-search and Innovation in the fieldof ICT for Health and Wellbeing: anoverview. Digital Agenda for Euro-pe.

PA Consulting Group (2015): Secu-rity for industrial control systems -Manage third party risks - A goodpractice guide 12/5/2015. CNPI -Centre for the Protection of Natio-nal Infrastructure; CESG – Com-munications - Electronics SecurityGroup UK.

Paul Cichonski, Tom Millar, Tim-Grance, Karen Scarfone (2012):Computer Security Incident Han-dling Guide. National Institute ofStandards and Technology – NIST.

C osa c’entrano i Sigg. Joharie la Privacy o meglio la ge-stione del dato personale?

E cosa è la finestra di Johari?Da Wikipedia: Lo Schema di Johari(o Johari Window) è stato inventatonel 1955 da Joseph Luft e Harry In-gham, che hanno combinato le ini-ziali dei loro nomi. Il riferimentoconcettuale dello schema è colle-gato ad aspetti di comunicazioneinterpersonale e alla dinamica digruppo. Esso definisce le relazioniinterpersonali tra persone in quat-tro quadranti basati su due dimen-sioni. Lo schema è composto da unquadrato, suddiviso in quattro qua-dranti. Nella dimensione orizzontalesi misura il grado di conoscenza chela persona ha di sé stesso in terminidi personalità, atteggiamenti, im-pressioni ed emozioni trasmesseagli altri. Quest’ultimo tipo di cono-scenza può pervenire alla personasolo dall’esterno: per questo unmodo di identificare il valore suquesta scala è la frequenza con cuiil soggetto chiede esplicitamente unfeedback agli altri sul suo compor-tamento e sulle impressioni che hagenerato. La misura verticale inve-ce si riferisce al grado di conoscen-za che gli altri hanno del soggetto.La combinazione di queste due mi-


Johari e la Privacy


sure porta all’identificazione diquattro aree descritte di seguito,dove per informazioni si intendonoa 360 gradi: personalità, conoscen-ze, emozioni e capacità.Il primo quadrante, chiamato “Are-na”, rappresenta le informazioniche sono note sia al soggetto cheagli altri. In questo senso è anchedefinita come area pubblica.Il secondo quadrante, chiamato la“Facciata”, comprende le informa-zioni che la persona conosce di séma che gli altri non sanno: è anchedetta area privata.Nel terzo quadrante, chiamato

“Punto Cieco”, le informazioni sullapersona sono note agli altri, manon alla persona stessa. L’unicomodo che la persona ha per acqui-sire informazioni in questa area cie-ca è attraverso il feedback direttodegli altri (espressamente richiestoo meno).Il quarto quadrante è chiamato“Ignoto”. Rappresenta le informa-zioni sconosciute sia al soggettoche agli altri. Non c’è modo di ac-quisire direttamente le informazionicontenute in questo quadrante, de-finito anche come area dell’incon-scio.

Stefano Gorla: È nato a Milano, (classe 1962) si è laureato in fisica nucleare presso l'Università di Padova.Ha insegnato per qualche anno Matematica e Fisica presso alcuni licei. Attualmente è Privacy Busniss Unit Di-rector c/o una primaria società di consulenza e consulente in contesti aziendali, istituzionali e dei servizi per latutela del dato personale e della conservazione. Formatore accreditato (AIF e Aicq) in ambito tutela del datopersonale e conservazione a norma documentale. Delegato regionale per la Lombardia di ANDIP (AssociazioneNazionale per la Difesa della Privacy), socio A.N.F.I (Associzione Nazionale Finanzieri)e Esaminatore/Componen-te commissione Deliberante CERSA per lo schema Privacy. Ha maturato notevoli esperienze come ResponsabileQualità e Ambiente c/o aziende nei settori servizi e precedentemente come Qualità System Manager e Respon-sabile di un laboratorio di ricerca/linea pilota per componenti optoelettronici. E’ autore di varie pubblicazioni sultema su riviste specializzate, autore di libri e articoli di privacy, energia, astronomia, cosmologia.

STEFANO GORLA Privacy Business Unit

Director - DigitalPreservation Officer

Consultant SeenSolution SRL e

delegato regionaleLombardia Andip


Le informazioni che diamo all’ester-no o che dall’esterno ci provengonopossiamo associarle al trattamentodel Dato Personale. Quanto siamoconsapevoli della diffusione dellenostre informazioni? Quanto e cosavogliamo condividere?Facciamo una trasposizione tra leinformazioni che la Finestra di Jo-hari rappresenta e le informazioniche circolano o vengono trattateall’interno delle organizzazioni, manon limitiamoci solo all’interno maestendiamo al ragionamento anche

verso i Social Network.Dalla finestra di Johari possiamoindividuare quali dati vogliamo con-dividere. Oggi non siamo più nel-l’era della tutela del dato personale(quando oramai è in rete il dato co-me viene gestito?), ma siamo nel-l’era del controllo dei dati personali.Ovvero siamo noi che con un preci-so controllo, decidiamo quali datimettere a disposizione.Possiamo mappare questi aspettiin maniera sintetica come nella fi-gura seguente (la Casa di Johari).

Partendo dal layer più basso (pri-vato o aziendale dove convivono odovrebbero convivere i controlli e lesicurezze logiche sia interne cheesterne) migriamo verso l’alto sulsecondo layer che possiamo defini-re “personale” cioè lo strato relativoa quanto noi comunichiamo i nostridati personali e alle sicurezze utiliz-zate all’interno delle mura domesti-che e non. Il tetto è la finestra di Jo-hari originale che riguarda l’aspettodella comunicazione interpersona-le.

Riportiamo il dettaglio del primo e secondo layer.


Abbiamo quindi due aspetti, unafaccia della medaglia, dedicata altrattamento del dato personaleall’interno delle organizzazione el’altra faccia dedicata ai nostri datipersonali ed a quanto vogliamodiffondere. Da una parte esiste ilTitolare del trattamento e il dlgs196/03 con i provvedimenti del-l’Autorità, dall’altra ci siamo noi esolo noi che dobbiamo aumentarela nostra consapevolezza e con-trollo.Se volessimo riportare su un graficole sicurezze interne ed esterne ot-terremmo una figura di questo tipo.Guardando il grafico sono imme-diate alcune considerazioni.Nel caso ci siamo solo elevate mi-sure di sicurezza interne posso

bloccare e/o rallentare l’attività mapresto il fianco ad attacchi esterni,viceversa se ho solo elevate sicu-rezze esterne posseggo delle altemura di difesa ma gli attacchi pos-sono pervenire dall’interno. In un ottica di tutela aziendale e diCliente la posizione migliore è quel-la di garantire le sicurezze interneed esterne (area verde) con un mixdedicato. Nulla di nuovo è sempre ilrispetto della conformità in meritoal Dlgs. 196/03, ma non sempre ri-sulta così evidente la necessità delrispetto del c.d. Codice. Se ci spostiamo sul secondo livellopossiamo individuare attraversoun modello più semplice che nonanalizzi alcuni aspetti, ad esempiola perdita di immagine, e proiettare

i risultati sulla mappa. Infatti comesono sicuri i nostri pc domestici e lanostra rete? Abbiamo conoscenzadella sicurezza dei siti che visitiamoo delle operazioni che facciamo inrete?Anche in questo caso il Garante èattento e sensibile al problema(compreso il Cyberbullismo) diffon-dendo in rete linee guida dedicate.Il tetto della casa riguarda l’aspettodella comunicazione interpersonaleche in un modo digitale assumeconnotazioni e caratteristiche. Pos-siamo comunicare nascondendocidietro a falsi nickname o comunica-re cose non vere (nessuno ci vede)ma questo aspetto riguarda più lascienza della psicologia e l’attività dicontrollo delle autorità preposte. �

Igiornali e le riviste sono pieniultimamente del termine“cryptolocker” che già nel no-

me manifesta il proprio principio difunzionamento che consiste nelbloccare (lock), tramite un’azionedi cifratura (crypto), i contenuti diun computer. L’aspetto inquietan-te è la richiesta di un riscatto perpermettere all’utente di rientrarein possesso dei dati.Questo tipo di attacchi rientra nelpiù generale gruppo dei ransom-ware (neologismo formato dai ter-mini inglese ransom=riscatto eware abbreviazione di software)che si propongono appunto dichiedere un riscatto a fronte diun’azione di ripristino di accesso alcomputer, ai suoi contenuti, etc.Nonostante il 2015 abbia portatoall’attenzione di tutti questo feno-meno, esso non è nuovo ed è tor-nato ad essere molto diffuso giàdal 2013 anche se le origini risal-gono al lontano 1989. Nel tempo,infatti, questi ransomware sonoevoluti in complessità soprattuttoriguardo alla possibilità di utilizza-re chiavi di cifratura sempre piùcomplesse che rendono in sostan-za inefficace ogni tentativo di re-cupero dei dati.Per difendersi è essenziale sia ca-


I cryptolocker


pire come funzionino e come si dif-fondano questo tipo di attacchi,sia sapere quali precauzioni pren-dere per prevenire i danni oltre ov-viamente a cosa fare in caso di in-fezione.I cryptolocker come la maggiorparte dei tentativi di phishing, va-riante del termine inglese fishing(letteralmente “pescare”), utilizzatecniche di ingegneria sociale perconvincerci a compiere un’azione(scaricare ed aprire un allegatoemail, immettere le credenziali delnostro home banking, fornire i datidella carta di credito ad esempio)che poi si rivela essere una truffa.In passato l’ingegneria sociale

passava attraverso il telefono conil quale un fantomatico tecnicochiedeva urgentemente le creden-ziali per scongiurare un dannoaziendale enorme che magari l’in-terlocutore aveva non intenzional-mente causato usando frasi tipo“mi dia la sua password per con-trollare che non ci siano virus sullaposta”; oggi in genere tutte questetruffe sono legate a messaggiemail che hanno un aspetto rassi-curante per le persone (provengo-no da fonti ritenute affidabili, han-no formati, colori e logo riconosci-bili) che quindi abbassano le difesee non prestano la dovuta atten-zione al vero contenuto che molto

Fabrizio Fioravanti dopo la Laurea in Ingegneria Elettronica e l’abilitazione alla professione di Ingegnere con-segue il Dottorato di Ricerca in Ingegneria Informatica e delle Telecomunicazioni titoli che gli permettono dioperare come consulente prima e come quadro in aziende del settore ICT e della Sicurezza successivamente;nel 2008 approda come IT Manager a POLIMODA nel 2008 dove ancora lavora nello stesso ruolo. Ha al suoattivo pubblicazioni in conferenze e journal nazionali ed internazionali così come contributi a libri nonché un li-bro sulle metodologie di gestione dei progetti software.

FABRIZIO FIORAVANTI


spesso contiene errori o segnaliche se opportunamente analizzatiavrebbero evitato di cadere nellatruffa.Ad inizio 2016 le caselle email dimolti di noi sono state inondate,

ad esempio, da false fatture Tele-com (io personalmente ne ho rice-vute moltissime a cui si sono ag-giunte quelle di equitalia, di sda odi altri mittenti più o meno scono-sciuti) in cui ci invitano a scaricare

una presunta fattura contenuta inun file .zip allegato. Purtroppo questo zip porta ad unainfezione da cryptolocker. In que-sto caso era facile accorgersi dellatruffa in quanto il logo di Telecom

COME CONTRASTARE IL FENOMENOFare attenzione ai dettagli delle emailOgni volta che riceviamo un’email per quanto innocua o sicura ci possa sembrare, non dobbiamo far ca-lare il livello di attenzione. Controlliamo il mittente per vedere se è quello che dichiara di essere, verifichia-mo che non ci siano errori di grammatica, ortografia o termini che sembrano essere usciti da un traduttoreautomatico perché sono un chiaro indice di falsificazione, controllare senza fare click tutti i link della mail everificare che puntino davvero alla pagina che dichiarano, non aprire mai gli allegati ma al limite copiarlisul computer verificando che l’estensione del file sia quella che vi aspettate (se il file si presenza come unpdf ed ha estensione .js o .exe sicuramente è un ottimo candidato ad essere un falso) e se non siete sicuridella fonte contattate il mittente per verificare se vi ha inviato davvero quell’allegato; nel caso di enti o ge-stori che dichiarano di inviarvi documenti collegatevi al loro sito web e scaricate gli eventuali documentisolo da quella fonte. Considerate inoltre che i gestori con cui avete un contratto conoscono il vostro nomee cognome e quindi lo riporteranno nell’email, mentre le false email in genere riportano solo il vostro indi-rizzo email o un estratto del vostro indirizzo email: chi vi conosce vi chiama per nome non “per email”.

Usare utenti non amministratori In tutti i sistemi operativi, gli utenti possono essere di 2 tipi: limitati o amministratori. Il sistema operativoalla creazione di un utente vi chiede sempre se volete che sia limitato o amministratore: scegliete limitatoper l’utente di uso quotidiano e create un amministratore per le operazioni di installazione o simili che ef-fettuate solo sporadicamente. Gli utenti limitati non hanno accesso in modifica a tutte le cartelle di siste-ma e ai profili presenti sullo stesso computer degli altri utenti. Per questo motivo l’utente che utilizzatenormalmente dovrà essere di tipo limitato perché se fosse amministratore, i danni del cryptolocker po-trebbero essere ancora più estesi [giusto consiglio in generale, ma in realtà la maggior parte dei ransom-ware acquisisce i privilegi di admin] Ho volutamente semplificato, ma acquisiscono poteri di admin soloquelli che sfruttano exploit noti del SO ospite, in genere (come ho verificato in moltissimi casi) non sonoin grado di lavorare come admin.

Accesso controllato ai dati in cloudAccedete ai dati in cloud tramite le app specifiche per farlo o via web, non usate le utility che vi semplifi-cano la vita mappando, ad esempio, come disco E: il vostro spazio su google drive o altro provider, perchéquesto sicuramente semplifica per voi l’accesso a quei dati, ma dobbiamo tenere conto che semplifica an-che al cryptolocker l’accesso agli stessi dati.

Tenere un backup “fuori linea”Sicuramente la prima regola per difendersi da qualunque tipo di attacco o danno ai dati contenuti nelcomputer consiste nell’avere un backup dei dati stessi e cioè una copia di sicurezza dei dati. Se teniamoquesto backup ad esempio su un disco USB sempre connesso al computer, esso non sarà al sicuro dalcryptolocker, infatti, se l’utente può scrivere su quel disco, lo potrà fare anche il cryptolocker. Avere unbackup “fuori linea” significa quindi tenerlo in un posto normalmente non accessibile al nostro utente: di-sco USB che stacchiamo alla fine del backup e riponiamo altrove, spazio in cloud cui accediamo solo viaapp o browser e salvataggi effettuati da software specifici che archiviano la copia di sicurezza in spaziper i quali il nostro utente non ha permessi di modifica.


era quello vecchio, il numero tele-fonico era errato ed al posto del-l’usuale immagine di un bottonerosso rettangolare era presenteun link oppure un testo contenenteerrori (tipo “il fattura attaccato”),senza contare il fatto che Telecomsi rivolge a me come “Gentile Fa-brizio Fioravanti” e non come“Gentile [email protected]” . I se-gnali per evitare di cadere nellatruffa quindi c’erano tutti, ma il te-sto quasi usuale, il formato della

mail e il logo riconoscibile hannotratto in inganno moltissime per-sone che ignorando tali segnali, sisono quindi fidate di un contenutoapparentemente innocuo: questaè appunto la frontiera attuale del-l’ingegneria sociale in cui si pre-senta in un contesto apparente-mente noto e tranquillizzante unelemento truffaldino che sfuggealla nostra attenzione perchéspesso non curiamo con la neces-saria attenzione i dettagli.

Analizziamo come opera un cryp-tolocker, semplificandone i pas-saggi, con l’aiuto della seguenteimmagine in cui è stata rappre-sentata la falsa email inviata sulnostro computer contenente unallegato che in genere non è ilcryptolocker, ma un downloader(un programma apparentementeinnocuo che scarica il cryptolockerstesso) che una volta scaricatomanda in esecuzione il vero e pro-prio cryptolocker che invia a un

COME LIMITARE I DANNI SE SIAMO STATI ATTACCATI

Supponendo di non voler pagare il riscatto, cosa è bene fare per limitare i danni causati?Dando per scontato che i file cifrati ormai sono persi, si tratta solo di limitare i danni. Come prima cosastaccare il computer dalla rete e spengerne la rete wireless, in modo da non avere connessioni attivecon altri computer nelle vicinanze, poi spengere immediatamente il computer, fotografando magarilo schermo per avere memoria del cryptolocker che ci ha attaccato.A questo punto se siete dei tecnici potete procedere in autonomia, altrimenti contattate un tecnicoche possa aiutarvi ad eliminare il cryptolocker.Nel caso vogliate operare da soli, la prima cosa da fare è di riavviare il computer in “modalità provvi-soria” che non manda in esecuzione il file infetto. La modalità provvisoria più sicura è quella senza re-te e senza interfaccia grafica, ma tutte le modalità sono corrette.Da un altro computer potete scaricare uno dei tool che fanno pulizia del cryptolocker (avere fotogra-fato lo schermo vi aiuta nell’identificare il tool che elimina la vostra infezione), anche se in genere i filedel cryptolocker sono nella cartella temporanea dell’utente ed in esecuzione automatica ed una voltaeliminati fermeranno il propagarsi dell’infezione a nuovi documenti.Una volta fermato il cryptolocker dobbiamo fare i conti con i danni che ha provocato. Se abbiamo unbackup dei soli dati o anche di tutto il computer precedente all’infezione, possiamo ripartire ripristi-nando quello che abbiamo salvato, altrimenti possiamo sperare di recuperare le copie di sicurezza deifile conservate ad esempio nelle cosiddette “shadow copy” di windows che se abilitate in maniera op-portuna permettono tramite tool gratuiti scaricabili dalla rete di ripristinare i file da esse.A questo punto possiamo copiare i file criptati (hanno tutti la stessa estensione, e possiamo quindi in-dividuarli facilmente con una ricerca) su un disco esterno per non perdere la speranza di trovare untool che li recuperi in futuro, ma ad oggi non ci sono risposte certe ed affidabili al problema.Se il vostro utente era amministratore e il cryptolocker ha attaccato anche le cartelle di sistema, e nonavete un backup completo da ripristinare la cosa migliore è forse quella di salvarsi tutti i dati e ripor-tare il computer alla configurazione di fabbrica per ripulirlo da eventuali malfunzionamenti. (Consi-glierei in ogni caso di ripristinare il sistema da zero).


server sulla rete la richiesta di ge-nerazione di una coppia di chiavi dicifratura in cui la chiave pubblicaviene consegnata al cryptolocker,mente la chiave privata rimane alsicuro sul server degli sviluppatoridel cryptolocker.Il sistema forte di cifratura a chia-ve pubblica/privata prevede, in-fatti, che con la chiave pubblicachiunque possa cifrare (e quindirendere non accessibile) un file,ma solo chi ha la chiave privatariesce a decifrare il contenuto. Ilmeccanismo è lo stesso utilizzatoad esempio da alcuni programmidi posta elettronica per cifrare imessaggi email (sistema GPG adesempio).Una volta ottenuta la chiave pub-blica, il cryptolocker comincia a ci-frare file (in genere immagini, do-cumenti, musica) cui l’utente colle-gato al computer ha accesso sututti i dischi mappati sul computer.Questo significa che non solo an-

drà a colpire i documenti sul profi-lo dell’utente e sul disco C:, matutti i documenti sui dischi cuil’utente ha accesso in modifica. Sequindi ad esempio avete connessoun disco USB anch’esso sarà og-getto di attacco, così come in unarete aziendale saranno a rischiotutte le unità su server di retemappate per il vostro utente. Ilproblema potenzialmente potreb-be non fermarsi alle unità discodel computer o a quelle della retelocale, ma se avete installato sulcomputer una delle utility che vipresenta un disco in cloud (sia es-so google drive, dropbox, o altro)come un’unità disco del computeranche i documenti ivi contenuti sa-ranno oggetto di attacco. Per assicurarsi che il malcapitatoutente si accorga di cosa sta ac-cadendo il desktop è rimpiazzatocon una immagine su cui comparela chiave pubblica ed una richiestadi pagamento che può essere in

valuta (euro, dollari, ad esempio) oin bitcoin; il Bitcoin è una monetadigitale che può essere possedutae trasferita ad altri in manierapseudo-anonima; la natura vir-tuale della moneta, l’assenza diorgani preposti al suo controllo el’architettura della rete atta a so-stenerne le transazioni impedi-scono il blocco della sua circola-zione nonché limitano di molto lepossibilità della svalutazione vistoche l’immissione di valuta è con-trollata e stabilità a priori con unaformula dipendente dal tempo,rendendola appetibile oltre cheuna serie assolutamente lecita dioperazioni anche per operazioniche hanno bisogno di essere oc-cultate. Anche se il riscatto puòsembrare a volte piccolo per chinon conosce la valuta virtuale (1bitcoin ad esempio) dobbiamo ri-crederci valutando il fatto che at-tualmente il valore del bitcoin è dicirca 350€.


Quello che lascia letteralmente abocca aperta leggendo uno deirapporti di Symantec (SymantecWebsite Threat Report Part-12015) sono i numeri riguardanti iransomware in genere e più inparticolare quelli dei crypto-ran-somware. Secondo tale rapporto,infatti, fra il 2013 e il 2014 siamopassati da 4.1 milioni di attacchi a8.8 milioni di attacchi di tipo ran-somware duplicando quindi il nu-mero di attacchi rispetto al prece-dente anno.L’esplosione dei crypto-ransom-ware è invece ancora più strabi-liante essendo passati dai circa8000 del 2013 agli oltre 370.000del 2014 con un incremento ap-prossimativo di 45 volte.L’esplosione nei numeri è proba-bilmente proporzionale all’aumen-to del guadagno da parte di que-ste cybergang che bloccando i do-cumenti per noi importanti (docu-menti e fatture aziendali) o a noicari (immagini, video e documenti

personali) fanno leva sulla neces-sità da parte nostra di voler entra-re di nuovo in possesso del mate-riale cui non possiamo più accede-re.La realtà dei fatti, con il maggiornumero di cryptolocker moderni, èche risulta impossibile recuperare ipropri dati senza avere la chiaveprivata conservata sul server re-moto che è in mano alla cyber-gang. I tentativi a forza bruta han-no scarsa probabilità di successoo richiedono dei tempi enormi suun computer tradizionale. In assenza di contromisure pre-ventive (backup fuori linea, salva-taggi in cloud, shadow copy, etc)l’unica possibilità per tentare di re-cuperare i documenti sembra pro-prio essere quella di pagare, cosache molti hanno fatto in questi ul-timi anni fornendo così ai criminaliinformatici dietro queste azioninuovi fondi per sviluppare ulterioritecniche di attacco sempre più so-fisticate.

Il pagamento purtroppo non ga-rantisce di rientrare in possessodei nostri documenti poiché i ser-ver su cui sono conservate le cop-pie di chiavi cambiano velocemen-te, talvolta vengono bloccati dagliinvestigatori rendendo impossibilel’accesso alla tanta agognatachiave privata. Inoltre chi ci garantisce che dopoun’azione di tipo criminale qualebloccare i nostri documenti si ab-bia a che fare con una controparteche mantiene la parola data? Molto spesso, infatti, ci esponiamoa rischi ancora maggiori pagandoe se anche si decide di farlo (cosache sconsiglio) è necessario adot-tare delle misure particolari qualiad esempio quelle di usare unacarta di credito “usa e getta” che ilsistema bancario offre, oppure dicomprare i bitcoin sulle piattafor-me di trading ufficiali invece di se-guire i link del cryptolocker, per poitrasferire i bitcoin all’indirizzo checi hanno comunicato. �


• Solo il 42% dei professionisti di sicurezzainformatica intervistati dichiara di utilizza-re informazioni condivise sulle minacce in-formatiche

• Gli intervistati percepiscono che i maggioriostacoli alla condivisione dell’intelligencesulle minacce informatiche sono le policyaziendali (54%), le normative di settore(24%) e la mancanza di informazioni sucome potrebbero essere utilizzate (24%)

• McAfee Labs ha registrato una crescita dinuove minacce ransomware del 26% nelquarto trimestre 2015

• Nel quarto trimestre 2015 i ricercatorihanno osservato un aumento del 72% dinuovi campioni di malware mobile trime-stre su trimestre

Intel Security ha rilasciato il Report sulle mi-nacce McAfee Labs: marzo 2016, che valutagli atteggiamenti di 500 professionisti di si-curezza informatica a proposito della con-divisione dell’intelligence delle minacce in-formatiche (CTI-Cyber Threat Intelligence),esamina il funzionamento interno del RAT(tool di amministrazione remota) Adwind eregistra picchi di ransomware, malwaremobile, oltre a fornire una panoramica sullasituazione complessiva del malware nelquarto trimestre del 2015. Nel 2015, Intel Security ha effettuato unsondaggio che ha coinvolto 500 professio-nisti della sicurezza operanti in una vastagamma di settori in Nord America, Asia-

Pacifico e in Europa per valutare la consa-pevolezza relativamente alla condivisione diintelligence sulle minacce (CTI), il valorepercepito di queste attività per la sicurezzaaziendale, e quali fattori possono ostacola-re una sua maggiore implementazione nellestrategie di sicurezza. Gli intervistati hannofornito un quadro prezioso della situazionee sulle potenziali opportunità dall’introdu-zione della CTI nelle aziende: • Valore percepito e adozione. Del 42% degli

intervistati che hanno dichiarato di fare ri-corso alla condivisione di intelligence sulleminacce, il 97% ritiene che consenta loro difornire una migliore protezione alla pro-pria azienda. Il 59% giudica che la condivi-sione sia “molto preziosa” per la propriaazienda, mentre il 38% la considera “ab-bastanza di valore.”

• Intelligence specifica per settore. Un quasiunanime 91% di intervistati si è dichiaratointeressato all’intelligence sulle minacceinformatiche specifica per settore, con il54% che si è detto “molto interessato” e il37% “in qualche modo interessato.” Settoricome quelli dei servizi finanziari e delle in-frastrutture critiche potrebbero benefi-ciare maggiormente di un approccio allaCTI per settori verticali, data la natura al-tamente specializzata delle minacce cheMcAfee Labs ha rilevato indirizzate a que-sti due settori di importanza fondamenta-le.

Il Report McAfee Labs rileva come solo il 42%dei professionisti della sicurezza si affida a informazioni di intelligence sulle minacce condiviseUn’indagine condotta su 500 professionisti della sicurezza valutal’adozione e il valore percepito della condivisione dell’intelligencesulle minacce nella sicurezza informatica in azienda; nuovi picchidi ransomware del 26% nel quarto trimestre 2015

SELEZIONATO DALLA REDAZIONE


• Disponibilità a condividere. Il 63% degli in-tervistati si è espresso positivamente cir-ca la possibilità di andare al di là della solaricezione di dati di CTI e di voler contribuirerealmente mettendo a disposizione i pro-pri dati, a patto che siano condivisi all’in-terno di una piattaforma sicura e privata.Tuttavia, l’idea di condividere le proprie in-formazioni è vista in modo differente, conil 24% per cui è “molto probabile” mentreper il 39% rimane “piuttosto probabile”.

• Tipi di dati da condividere. Alla domandasu quali tipi di informazioni sulle minaccesarebbero disposti a condividere, gli inter-vistati hanno fatto riferimento a dati rela-tivi al comportamento del malware (72%),seguiti dalla reputazione di URL (58%), re-putazione di indirizzi IP esterni (54%), re-putazione di certificati (43%) e reputazio-ne di file (37%).

• Ostacoli alla diffusione della CTI. Quandoè stato chiesto il motivo per cui non hannoattuato politiche di CTI nelle loro imprese,il 54% degli intervistati ha identificato nel-le policy aziendali una delle ragioni princi-pali, seguita dalle normative di settore(24%). Il resto degli intervistati le cui azien-de non condividono report di dati si sonodetti interessati, ma hanno bisogno dimaggiori informazioni (24%), o esprimonoperplessità sul fatto che i dati possano es-sere ricondotti alla società o a loro stessicome individui (21%). Questi risultati evi-denziano una mancanza di esperienza, odi conoscenza delle varietà di opzioni di in-tegrazione di CTI oggi disponibili, oltre auna scarsa conoscenza delle implicazionilegali della condivisione di CTI.“Data la determinazione dimostrata dai cri-minali informatici, la condivisione di CTI di-venterà uno strumento importante perspostare l’ago della bilancia della sicurezzainformatica dalla parte di coloro che si fan-no carico della protezione”, ha dichiaratoVincent Weafer, vice presidente del gruppoMcAfee Labs di Intel Security. “Ma la nostraindagine suggerisce che per affermarsi laCTI deve superare le barriere delle policyorganizzative, le restrizioni normative, i ri-schi associati con la fiducia e la poca cono-

scenza dello strumento, prima che il suopotenziale possa essere pienamente realiz-zato”.Il report di questo trimestre prende in esa-me anche il funzionamento del RAT (Remo-te Administration Tool) Adwind, un Trojanbackdoor basato su Java in grado di colpirevarie piattaforme che supportano Java.Adwind, tipicamente, si propaga attraversocampagne di email spam con allegati cari-chi di malware, pagine web compromesse edownload guidati. Il report McAfee Labs il-



lustra un rapido aumento del numero dicampioni di file .jar identificati dai ricercato-ri di McAfee Labs come Adwind, pari a7.295 nel quarto trimestre 2015, con unbalzo del 426% rispetto ai 1.388 registratinel primo trimestre del 2015.

Attività generale delle minacce:• Il ransomware accelera di nuovo. Dopo il

leggero rallentamento registrato a metàanno, il ransomware è tornato a crescererapidamente, con un aumento trimestre

su trimestre del 26% nel quarto trimestre2015. Il codice ransomware open source eil ransomware-as-a-service continuano asemplificare la diffusione degli attacchi, lecampagne Teslacrypt e CryptoWall 3 con-tinuano ad ampliare la loro portata, e lecampagne ransomware continuano adessere economicamente redditizie.Un’analisi effettuata in ottobre 2015 rela-tivamente al ransomware CryptoWall 3 sè addentrata nelle opportunità finanziariedi tali campagne, e i ricercatori di McAfeeLabs hanno rilevato come da una singolacampagna sono stati movimentati 325milioni di dollari di pagamenti di riscattoda parte delle vittime.

• Il malware mobile torna a salire. Il quartotrimestre del 2015 ha visto un aumentodel 72% trimestre su trimestre di nuovicampioni di malware mobile, da cui sievince come gli autori di malware stianocompilando nuovi malware più veloce-mente.

• Il Rootkit crolla. Il numero di nuovi campio-ni di malware rootkit è sceso precipitosa-mente nel quarto trimestre, proseguendouna tendenza già evidenziata per questotipo di attacchi. McAfee Labs attribuisceuna parte di questo declino, che ha avutoinizio nel terzo trimestre 2011, all’adozionedi processori Intel® a 64 bit e di MicrosoftWindows a 64 bit. Si tratta di tecnologieche includono funzionalità di sicurezza co-me Kernel Patch Protection e Secure Boot,che insieme contribuiscono a una miglioreprotezione contro minacce di tipo rootkitmalware.

• Alti e bassi del malware in generale. Dopotre trimestri di calo, nel quarto trimestre, ilnumero totale di nuovi campioni di mal-ware ha ripreso la sua ascesa, con 42 mi-lioni di nuovi codici dannosi scoperti, il 10%in più rispetto al trimestre precedente e ilsecondo valore più elevato mai registratoda McAfee Labs. In parte, la crescita nelquarto trimestre è stata trainata da 2,3milioni di nuovi campioni di malware mo-bile, pari a 1 milione in più rispetto al terzotrimestre.



• Declino dei file firmati binari dannosi. Il nu-mero di nuovi file binari dannosi firmati èsceso ogni trimestre nel corso del 2015, fi-no a raggiungere nel quarto trimestre il li-vello più basso dal secondo trimestre2013. McAfee Labs ritiene che il calo puòessere attribuito in parte al fatto che ivecchi certificati diffusi in modo significati-vo nel mercato nero o sono in scadenza osono stati revocati man mano che leaziende migrano verso funzioni di hashingpiù forti. Inoltre, le tecnologie come SmartScreen (parte di Microsoft Internet Explo-rer ma adottata anche in altre sezioni diWindows) rappresentano ulteriori stru-menti di fiducia che potrebbero rendere lafirma di codici binari dannosi meno van-taggiosa per gli autori di malware.

Una copia completa Report sulle minacceMcAfee Labs: marzo 2016 e per ulteriori in-formazioni sugli argomenti trattati e sul pa-norama delle minacce del quarto trimestre2015, è disponibile all’indirizzo http://www.mca-fee.com/March2015ThreatsReport. Per un elenco di suggerimenti per la sicu-rezza e di indicazioni su come aziende e sin-goli utenti possono proteggersi dalle mi-nacce evidenziate in questo report trime-strale, si prega di visitare i siti: EnterpriseBlog e Consumer Safety Tips Blog. “Se la stessa indagine venisse fatta in Italiaprobabilmente la percentuale dei profes-sionisti di sicurezza informatica che dichiaradi utilizzare informazioni condivise sulle mi-nacce informatiche sarebbe inferiore, per-ché nel nostro paese non esiste ancora unacorretta sensibilizzazione in merito” affer-ma Davide Baldinotti, General Managerdella Unit J.Soft di Computer Gross “di con-

seguenza le persone tendono ad esserescettiche e a non avere fiducia nella condi-visione e comunicazione dei dati, conside-randole una minaccia anziché un’opportu-nità. Tuttavia noi siamo molto positivi” –continua Baldinotti – “in pochi anni abbia-mo già avuto ottimi risultati insieme aglioperatori di canale che hanno deciso dipuntare su questo trend di mercato. Attra-verso un grande lavoro di sensibilizzazionedel nostro Team qualificato, aggiornato especializzato, i partner hanno dimostratosempre più interesse e proattività su tuttigli aspetti della Security. Attraverso un por-tafoglio di offerta integrato e complemen-tare, oltre al valore intrinseco delle soluzioniIntel, stiamo lavorando per diffonderemaggior conoscenza e consapevolezza sul-le numerose opzioni di integrazione di Cy-ber Threat Intelligence che oggi sono dispo-nibili. Ci sono tutte le basi per essere confi-denti di riuscire a contribuire a veicolarenon solo l’importanza, ma anche l’urgenzadella condivisione e della comunicazione deidati e delle informazioni”.La nostra indagine suggerisce che per af-fermarsi la condivisione di Intelligence delleminacce deve superare alcune barriere, tracui le policy aziendali e la poca conoscenzadello strumento,” ha dichiarato FerdinandoTorazzi, Regional Director di Italia e Grecia,Intel Security. “Alcuni di questi ostacoli co-minciano a cadere e, parallelamente, l’usodelle CTI diverrà un componente essenzialedelle difese di un’azienda, perché i datistrutturati e arricchiti consentono di rispon-dere più rapidamente e con una visione mi-gliore sugli eventi attuali e di prevedere glieventi futuri.” �


www.mcafee.comwww.computergross.it


Nel tentativo di studiare i problemidi sicurezza delle infrastrutture ditrasporto delle smart city e offrire

suggerimenti su come affrontarli, un esper-to del Global Research & Analysis Team(GReAT) di Kaspersky Lab ha condotto unaricerca sul campo su alcuni sensori stradaliche raccolgono informazioni sul flusso deltraffico cittadino. Di conseguenza, Kaspe-srsky Lab ha scoperto che i dati raccolti eprocessati dai sensori possono essere sen-sibilmente compromessi. Ciò potrebbe in-fluenzare le decisioni future delle autoritàcittadine sullo sviluppo delle infrastrutturestradali.Le infrastrutture di trasporto delle moder-ne megalopoli rappresentano un sistemamolto complesso, che comprende diversigeneri di sensori del traffico e stradali, tele-camere e persino semafori intelligenti. Tuttele informazioni raccolte da questi dispositivivengono trasferite e analizzate in temporeale dalle autorità dedicate. Le decisionisulle future costruzioni stradali e sulla pia-nificazione delle infrastrutture di trasportopossono basarsi su queste informazioni. Sei dati vengono compromessi, possono com-portare per la città una perdita di milioni didollari.In particolare, se qualcuno ottenesse acce-so fraudolento alle infrastrutture di tra-sporto, potrebbe accadere quanto segue:• I dati ottenuti dai sensori stradali potreb-

bero venire compromessi nel tentativo disabotarli o di rivenderli a terze parti;

• Modifica, falsificazione o persino elimina-zione di informazioni critiche;

• Demolizione dell’equipaggiamento esi-stente;

• Sabotaggio del funzionamento dei servizidell’autorità cittadina.

Un esperto di Kaspersky Lab ha recente-mente condotto a Mosca una ricerca su unarete di sensori stradali che raccolgono in-formazioni sul flusso del traffico – in parti-colare sul numero di veicoli che transitano, illoro tipo e la velocità media. Queste infor-mazioni vengono trasferite al centro di co-mando dell’autorità cittadina. Le autoritàincaricate del controllo del traffico ricevonole informazioni e le utilizzano per supporta-re e aggiornare una mappa del trafficostradale in tempo reale. La mappa, in cam-bio, può servire come fonte di informazioniper la costruzione di un sistema stradalecittadino o persino per automatizzare ilcontrollo dei semafori.Il primo problema di sicurezza scoperto dalricercatore è il nome del vendor chiaramen-te impresso sulla scatola del sensore. Que-sta informazione fondamentale ha aiutatoil ricercatore di Kaspersky Lab a scoprireonline ulteriori informazioni su come operail dispositivo, che software utilizza, e cosìvia. Il ricercatore ha scoperto che il softwa-re utilizzato per interagire con il sensore,così come la documentazione tecnica, era-no disponibili sul sito del vendor. Infatti, ladocumentazione tecnica spiegava moltochiaramente che comandi potessero essereinviati da terze parti al dispositivo.Semplicemente camminando vicino al di-spositivo, il ricercatore è stato in grado diaccedervi via Bluetooth, in quanto non erastato implementato alcun processo di au-tenticazione affidabile. Chiunque, con un di-spositivo abilitato Bluetooth e un softwareche usa il metodo forza bruta per scoprirele password con diverse varianti, può con-nettersi a un sensore stradale in questomodo. Ma cosa fare in seguito?Usando il software e la documentazione

Kaspersky Lab scopre problemi di sicurezza nei sistemi smart di monitoraggio del traffico



tecnica, il ricercatore è stato in grado di os-servare tutti I dati raccolti dal dispositivo.Ha inoltre potuto modificare il modo in cuiil dispositivo raccoglie nuove informazioni:ad esempio cambiando il tipo di veicoloregistrato da macchina a camion o cam-biando la velocità media del traffico. Diconseguenza, tutte le nuove informazioniraccolte erano false e non applicabili in ri-sposta ai bisogni della città.“Senza le informazioni raccolte da questisensori, l’analisi del traffico in tempo realee i conseguenti adeguamenti del sistemadi trasporto cittadino non sarebbero pos-sibili. Questi sensori possono essere usatiin futuro per realizzare un sistema di se-mafori intelligenti e per decidere che ge-nere di strade dovrebbero essere costrui-te e come il traffico dovrebbe essere or-ganizzato, o riorganizzato, in determinatearee della città. Tutte queste problemati-che implicano che il funzionamento deisensori e la qualità dei dati raccolti do-vrebbero essere accurati e stabili. La no-stra ricerca ha illustrato quanto sia sem-plice compromettere questi dati. È fonda-mentale affrontare ora queste minacceperché in futuro potrebbero interessareuna parte maggiore delle infrastrutturedelle città”, ha commentato Denis Legezo,

Security Researcher del Global Researchand Analysis Team (GReAT) di KasperskyLab.Kaspersky Lab consiglia di applicare alcu-ne misure per aiutare a impedire un at-tacco informatico condotto con successocontro i dispositivi dell’infrastruttura ditrasporto. Esse includono:• Rimuovere o nascondere il nome del

vendor sul dispositivo, in quanto essopuò aiutare un criminale a trovare glistrumenti per accedere al dispositivo;

• Cambiare i nomi di default del dispositivoe celare gli indirizzi MAC del vendorquando possibile;

• Usare due livelli di autenticazione sui di-spositivi con connessione Bluetooth eproteggerli con password forti;

• Cooperare con i ricercatori di sicurezzaper scoprire e risolvere le vulnerabilità.

Per avere ulteriori informazioni sulla sicu-rezza del settore dei trasporti, è possibileleggere il blogpost su Securelist.itLa ricerca è stata condotta in relazionecon il supporto offerto da Kaspersky Laball’iniziativa Securing Smart Cities. Per ul-teriori informazioni sui problemi di sicurez-za informatica attuali e futuri delle smartcity e su come risolverli, visitare SecuringSmart Cities. �



Anche l’FBI ha pubblicato un alert suldrammatico aumento delle truffeBusiness Email Compromise, capa-

ci di frodare aziende in tutto il mondo perun valore di 2,3 miliardi di dollari. Ora i la-boratori Trend Micro, leader globale nellasicurezza per il cloud, certificano il loro in-cremento in Europa. Queste truffe non di-scriminano gli obiettivi e colpiscono ogni ti-po di azienda indipendentemente dalla suagrandezza. L’ultima a colpire in maniera piùrapida e massiccia è la frode che è statadenominata “La truffa del CEO”, che vede itruffatori identificarsi con dirigenti di alto li-vello. L’obiettivo di questa frode è entrare inpossesso dell’account email di una figuraexecutive dell’azienda per deviare sommedi denaro a conti fraudolenti. Facendo finta nella maggior parte dei casidi essere il CEO dell’azienda, i criminali sonoin grado di spostare i soldi aziendali attra-verso richieste di trasferimento di denaroad altri membri dell’azienda. L’attacco uti-lizza tecniche di ingegneria sociale, nel mo-mento in cui i truffatori hanno bisogno diottenere l’indirizzo email del dirigente. I laboratori Trend Micro avvisano che leoperazioni di monitoraggio de “La truffa del

CEO” hanno rilevato una crescita degli at-tacchi diretti alle aziende europee dall’iniziodel 2016, in contemporanea con una dimi-nuzione dell’interesse per gli obiettivi in USAe Canada. Questo tipo di truffa ricorda lo spear phi-shing, con la differenza che il malware è op-zionale o addirittura assente. Il cyber crimi-nale tenta di creare un messaggio email ilpiù credibile e familiare per ridurre al mini-mo i sospetti nel destinatario. Le soluzioni Trend Micro sono in grado diproteggere le aziende di tutte le dimensionida attacchi di questo tipo, attraverso latecnologia di Social Engineering AttackProtection. Questa tecnologia è integrata nelle soluzio-ni InterScan Messaging Security e HostedEmail Security e fornisce un ulteriore livellodi protezione attraverso il controllo delle in-testazioni delle email, delle tattiche di socialengineering, dei comportamenti contraf-fatti e il rilevamento di malware correlati al-le truffe. Queste soluzioni sono fornite attraverso lecapacità di sicurezza email ed endpointdella Trend Micro Smart ProtectionSuites e Network Defense. �

La “truffa del CEO” arriva anche in EuropaI criminali fingono di essere il CEO dell’azienda per muovere i soldi aziendali



Giornata storica per l’UE con l’ap-provazione definitiva del nuovoRegolamento Privacy, che aiuterà i

cittadini a recuperare il controllo dei pro-pri dati personali e a creare un livello diprotezione elevato ed uniforme in tutti gliStati membri dell’Unione Europea per unpieno sviluppo dell’economia digitale.Con il voto finale del Parlamento Europeo,avvenuto a Strasburgo durante la sedutaplenaria di oggi, termina così un percorsodurato più di quattro anni, in cui è stataoperata una completa revisione della nor-mativa UE sulla protezione dei dati, persostituire una direttiva targata “CE” cherisaliva al lontano 1995, quando internetera ancora agli albori.Il nuovo Regolamento, che in Italia pren-derà il posto dell’attuale Codice della Pri-vacy (Dlgs 196/2003), è stato concepitoper dare ai cittadini un maggiore controllosulle proprie informazioni personali in unmondo ormai digitalizzato da smartphone,social media, internet banking e trasferi-menti globali.“Questo è un grande successo per il Parla-mento UE e un fiero ‘sì’ ai diritti dei consu-matori e alla libera concorrenza nell’eradigitale - ha affermato Jan Philipp Al-brecht nel comunicato ufficiale della UE - Icittadini saranno in grado di decidere lorostessi quali dati personali vogliono o no

condividere. Il nuovo regolamento, forniràanche chiarezza per le imprese attraversola definizione di una singola legge in tuttal’UE, creando fiducia, certezza del diritto, euna concorrenza più equa”.Le norme emanate oggi, prevedono nuovedisposizioni sul diritto all’oblio, sul consen-so chiaro ed informato al trattamento deidati personali, sul diritto di trasferire i dati


Via libera del Parlamento UE, la privacy europea diventa realtàVoto finale del Parlamento UE che ha portato oggi a compimento unpercorso durato più di 4 anni per l’emanazione di nuove regole sullaprotezione dei dati personali. Maggiori diritti per i cittadini per creare lafiducia necessaria per l’economia digitale in Europa. Multe fino a 20milioni di euro o al 4% del fatturato annuo per i trasgressori. Previsionedella figura di un responsabile per vigilare sull’effettivo rispetto delleregole. Bernardi: “Come nel caso dei privacy officer anglosassoni, ruolocruciale anche per implementare business senza infrangere le regole”


ad un altro fornitore di servizi, e quello diessere informati quando i propri dati sonostati violati, ma anche sull’obbligo per leimprese di utilizzare un linguaggio chiaro ecomprensibile nelle informative sulla pri-vacy, con multe che potranno arrivare finoa 20 milioni di euro o al 4% del fatturatoannuo dei trasgressori.“Con il Regolamento approvato oggi, l’UEdetta nuove e più stringenti regole chenon devono essere recepite come un pesoda parte delle imprese, perché in realtà èstato finalmente dato ordine per un mer-cato digitale finora dominato indiscrimi-natamente dai colossi del web americani,che ora dovranno invece rimboccarsi lemaniche per allinearsi - ha commentatoNicola Bernardi, presidente di Federpriva-cy - Un’altra nota positiva, è la previsione

della figura di un responsabile della prote-zione dei dati, che avrà il compito di vigila-re che la propria azienda rispetti effetti-vamente le regole, fungendo da punto dicontatto sia con gli interessati che conl’Autorità Garante. Ma questo ruolo saràcruciale anche perché, come avviene nelcaso dei privacy officer nei paesi anglo-sassoni, questa figura potrà fornire con-sulenza al management per utilizzare cor-rettamente i dati personali per implemen-tare le proprie attività di business senzaperò infrangere le regole.”Il regolamento sarà pubblicato a brevenella Gazzetta ufficiale dell’Unione Euro-pea, ed entrerà in vigore 20 giorni dopo.Le nuove disposizioni saranno diretta-mente applicabili in tutti gli Stati membridue anni dopo tale data. �


ict security n.135 - aprile 2016 sicurezza informatica – garante per la protezione dei dati...

Documents