350 mila PaceMakers vulnerabili

Da pochi giorni è stata resa pubblica la notizia di gravi vulnerabilità presenti nel firmware di alcune tipologie di “pacemakers” (le dizioni corrette sono ICDs e CRT-Ds).

Sono state scoperte oltre ottomila vulnerabilità conosciute , il che rende bene l’idea di come sia stata verificata la sicurezza del firmware di questi  dispositivi medicali.

Quando la insicurezza diventa lo standard, e la sopravvivenza delle persone viene messa a rischio, occorre fare uno stop per interrogarsi; come vogliamo procedere, in futuro?
Compriamo un portafortuna e speriamo che capiti sempre a qualcun altro?

Firewall

FireWall, il componente più determinante per la sicurezza I.T.C.

Il termine “firewall” in origine si riferiva a un muro destinato a confinare un incendio all’interno di un edificio; la definizione fu applicata, alla fine degli anni ’80 alla tecnologia di rete che consentiva di  “confinare” una rete locale collegata ad Internet, quando si evidenziarono problematiche afferenti alla sicurezza.

Un FireWall serve a regolare il traffico della rete locale proveniente da e diretto ad Internet; il suo scopo principale è quello di garantire sicurezza ai sistemi collocati dietro al suo perimetro.

Sulla base di regole impostate (policy o ACL) esso, agendo sui pacchetti IP, consente o nega la comunicazione tra le due parti che la richiedono (es. il client locale verso il server remoto); di norma vengono consentite solo le connessioni impostate dalle policy e negato tutto il resto (configurazione deny all).

Successivamente, con la diffusione di ulteriori tipologie di attacco, che veicolavano traffico illecito su connessioni consentite, furono sviluppati FireWall che valutano i pacchetti IP in transito e “capiscono” a quale protocollo o applicazione essi facciano capo; in tale modo è possibile bloccare (o consentire) un determinato tipo di traffico (es. il traffico generato dalle applicazioni p2p) indipendentemente dalle porte utilizzate e dalle regole statiche assentite.

I FireWalls di ultimissima generazione dispongono di ulteriori ed importantissime funzioni di sicurezza, quali Logging & Reporting, AntiMalware e IDS – Intrusion Detection System e/o IPS Intrusion Prevention System.

In ottica GDPR (art. 32 – sicurezza del trattamento) l’installazione e la gestione di un FireWall di terza generazione è assolutamente necessario; la sua installazione non esonera dalle altre misure di prevenzione e sicurezza, come talvolta erroneamente affermato.

Inoltre, per poter prevenire e notificare un eventuale Data Breach qualora eventualmente accada (art. 33 – notifica di una violazione di dati personali all’autorità di controllo) occorre che il FireWall disponga di funzioni IDS, meglio ancora se IPS (Prevention).

Da anni sviluppo e realizzo ApplianceIPsent – che consentono tutto quanto sopra a costi accessibili anche alle piccole realtà.

Ancora truffe informatiche

Ecco una altra notizia che conferma la necessità del nuovo GDPR (e l’applicazione delle misure di sicurezza).
Evidenzio una parte della notizia (tralasciando il linguaggio poco tecnico):

... a quanto sembra, le credenziali per entrare nel suo computer e poi nella sua posta elettronica, tra l'altro, non sono state "prese" attraverso un virus inviato via email, ma dopo essere riusciti ad "intrufolarsi" nella rete Wifi del suo negozio di autovetture ed aver inserito sul PC un trojan per manipolare il programma email e cambiare gli Iban ...

Trattasi di caso esemplare, riguardante un grave Data Breach, causato dalla mancanza dei corretti livelli di sicurezza (della rete wifi ma anche del PC compromesso).

Comunque, le banche debbono fare di più per garantire la sicurezza dei loro correntisti, e quindi dell’intero sistema bancario; talvolta occorrono solo volontà di fare e qualche risorsa.

Percezione della sicurezza informatica

Non esiste nulla di peggio che la devastante percezione della sicurezza, specialmente quando l’azienda è lontanissima da un livello accettabile (la sicurezza informatica assoluta non esiste, specialmente in questo periodo nel quale sono vulnerabili anche i processori).

La scorsa settimana ho udito con le mie orecchie un consulente affermare: “qualora si  installi un FireWall a protezione della LAN, non occorre aggiornare il software di sistema ne installare alcun antivirus sugli elaboratori”.

Si iniziano anche a vedere valutazioni di Risk Assessments, GAP analysis e D.P.I.A. (alcune prodotte ove non serviva) dalle quali si evince che chi le ha predisposte non ha le idee ben chiare su quali siano i rischi che incombono sui trattementi di dati personali (specialmente per gli assets digitali), ne ovviamente le adeguate contromisure da adottare.

GDPR e software house

Il nuovo codice Europeo sulla Protezione dei Dati Personali impatta in modo rilevante sulle organizzazioni che producono software (software house).

In primo luogo, perché dovranno garantire che il software da loro prodotto (o commercializzato) sia compliant ai dettami del GDPR.

I più rilevanti sono quelli derivanti dall’articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita:

  1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
  2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
  3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Quindi il nuovo approccio dettato dal GDPR è basato non più prevalentemente sulla persona ma sulla protezione del dato personale in sé.

Cosa significa Privacy by Design?
Il concetto indica che, in ogni sistema di trattamento, occorre prevenire (prima) invece che intervenire (poi); significa progettare un sistema (ambiente software, servizio SAAS, Cloud Platform, …) che metta alla base delle proprie funzioni la protezione dei dati.
La maggior parte degli incidenti di data security, nel GDPR definiti con il termine poco calzante di Data Breach, derivano da ambienti e sistemi software con bug o vulnerabilità, oppure mal progettati e/o mal configurati.

Cosa significa Privacy by Default?
Il concetto di Privacy by Default determina che per impostazione predefinita i sistemi di trattamento devono trattare i dati personali solo nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati personali; nel definire il periodo strettamente necessario, occorre quindi anche considerare il nuovo diritto all’oblio.

ItaSec18

In questi giorni si svolge un importante evento sulla CyberSecurity, ITASEC18, organizzato da CINI e Politecnico di Milano, insieme al Sistema di informazione per la sicurezza della Repubblica e AssoLombarda, in pratica gli “stati generali” della cybersecurity italiana.

Durante i quattro giorni di lavori, è stato presentato il libro bianco  “Il Futuro della Cybersecurity in Italia” curato da Roberto Baldoni, Rocco De Nicola, Paolo Prinetto; lo scenario, non solo nazionale, per la sicurezza informatica e le linee di intervento, in sintonia con la recente evoluzione della normativa italiana e in sintonia con l’applicazione delle prossime normative europee.

Speriamo che coloro che hanno/avranno compiti istituzionali almeno lo leggano.

Alcuni temi di rilievo sul tavolo:

  • metà delle aziende italiane danneggiate da attacchi;
  • mancanza di talenti nella CyberSec (quelli che ci sono se ne vanno all’estero);
  • il data-breach della piattaforma Rousseau;
  • ethical hacking: white hat vs black hat;
  • serve un piano straordinario sulla cybersecurity;
  • le minacce del prossimo futuro: Botnet, APT e RaaS.

Alcuni interventi:

Affidare esclusivamente all’acquisto di una tecnologia in ottica difensiva la sicurezza informatica di un’azienda è l’errore cui più di frequente si assiste. In presenza di attacchi sempre più human-like limitarsi a questo comporta solo una perdita di denaro.

Uno stato sovrano deve avere controllo totale di alcune tecnologie chiave. Dunque va deciso quali debbano essere sviluppate a livello nazionale e quali invece reperite su mercato estero.