La partecipazione ai corsi su Information Security e Risk Assessment fino a che punto è utile, visti i risultati nella difesa delle informazioni?
Questa domanda mi è stata posta da una socia. Vorrei rispondere con dati quali-quantitativi. Ho chiesto ai soci, ma ho avuto risposte generiche del tipo “sì, generalmente utili, ma…”. Mi sono allora rivolto ad una recente esperienza didattica che ha visto coinvolto me e diversi soci ANSSAIF. Nel 2020 AGID decise di programmare dei corsi per le PPAA sull’IS e RA quale momento di formazione ed informazione. I corsi furono tenuti da ex dirigenti di grandi aziende ed esperti nei temi e degli standard internazionali da trattare. Gli argomenti spaziarono dalle vigenti normative (GDPR, NISD, ecc.), alle guide emanate dall’AGID ed allo strumento di risk assessment messo a disposizione delle PPAA, oltre soprattutto ai riferimenti agli standard internazionali in materia (ISO27001, 27017, 27018, 22301, 22398, 31000).
In aggiunta, il corso, della durata di 20 ore e totalmente gratuito, prevedeva: - una dimostrazione dal vivo di un attacco hacker, - una esercitazione sulla business continuity, - ed un gioco di ruolo sulla comunicazione con la stampa in caso di un incidente cyber. La simulazione era condotta da una giornalista, e dei volontari, scelti fra i partecipanti, dovevano preparare un comunicato e rispondere alle domande aggressive della stampa. Dopo un periodo di docenza in presenza nel 2019 presso la Regione del Veneto, con la partecipazione di quasi tutti i principali Comuni, e successivamente presso il Comune di Bologna, a causa del Covid da febbraio 2020 ad aprile scorso i corsi furono tenuti a distanza; ad essi parteciparono funzionari, dirigenti e docenti appartenenti a oltre 500 fra Province, Comuni, ASL, Ospedali ed Università.
Considerata l’esperienza dei conduttori, i corsi sono stati anche un momento di scambio di esperienze. Al termine di ciascuna edizione del corso veniva distribuito un questionario per sapere il giudizio sugli argomenti trattati, la durata, la efficacia della docenza. I giudizi sono stati sempre positivi, ma a mio parere un giudizio più interessante dovrebbe derivare da una valutazione sulla loro utilità ed efficacia nel momento del bisogno. Pertanto, onde rispondere meglio alla domanda che mi è stata posta, ho confrontato un elenco degli Enti che mi risulterebbero colpiti recentemente da vari attacchi hacker con l’elenco dei partecipanti ai corsi: purtroppo non ne ho trovati. Peccato, perché se no avrei potuto chiedere loro se la partecipazione al corso avesse consentito di avere un aiuto nella prevenzione e gestione dell’incidente ed in che misura: ciò mi avrebbe consentito di fornire una interessante risposta alla domanda iniziale, ma soprattutto di avere un riscontro sull’efficacia dei corsi e programmare la eventuale correzione degli stessi per le prossime edizioni. Anthony Cecil Wright
Database lasciato dagli americani ora usato dai talebani per il processo di identificazione dei civili che hanno assistito le forze di coalizione internazionale.
Emergono sempre più risvolti preoccupanti circa la situazione in Afghanistan: dopo l'abbandono da parte degli Stati Uniti il Paese è ricaduto con estrema rapidità sotto il controllo dei talebani. Gli USA hanno lasciato indietro diverse risorse, ora nelle mani degli integralisti islamici; non solo armi e veicoli, ma anche, diverse attrezzature hi-tech, tra cui scanner biometrici e computer con database di alleati e nemici. Diverse fonti testimoniano che i talebani stiano utilizzando il vasto database di dati biometrici nel processo di identificazione degli afghani che hanno assistito le forze della coalizione internazionale. Questi archivi – che secondo un report avevano un obiettivo di 25 milioni di voci – erano parte di un progetto militare servivano a rintracciare i terroristi, ma ci sono finiti anche i dati di molte persone che collaboravano con l’esercito o con le ambasciate. Da questo deriva la preoccupazione La notizia che questi dispositivi siano caduti in mani talebane l'ha data Intercept tre giorni fa. Oggi ne scrive anche la Bbc, dopo la conferma dei rastrellamenti a Kabul e in provincia. Reuters ha riferito la testimonianza di un residente che ha visto i talebani usare "i dispositivi biometrici". La conferma è arrivata anche da New Scientist The Intercept, ha riportato le parole di alcuni funzionari militari, secondo cui i talebani avrebbero sequestrato dispositivi biometrici noti come HIDE (Handheld Interagency Identity Detection Equipment). Si tratta di piccoli scanner già arricchiti di database, così da eseguire in tempo reale il cosiddetto 'matching' tra impronte delle dita, iride e volto di persone trattenute, per capire da che parte stavano prima dell'ascesa dei terroristi degli ultimi giorni. Human Rights First, ong, ha pubblicato guide in inglese, pashtu e dair su come eludere il riconoscimento basato su dati biometrici. Ma l'ong avverte che ingannare la tecnologia è difficile e rischioso. "Il modo migliore per aggirare il riconoscimento facciale è quello di guardare in basso, e rimanere così. Se vedi una telecamera di qualsiasi tipo, potrebbe in qualsiasi momento essere usata per il riconoscimento facciale. Conviene oscurare o alterare il maggior numero possibile di caratteristiche strutturali del viso, soprattutto la bocca, il naso, gli occhi, la mascella e gli zigomi. Fatelo aggiungendo accessori o cappelli, meglio se entrambi. Ogni alterazione abbassa la possibilità che tu venga identificato, ma non può garantire che tu non lo sia". Valentina Procopio
Libano Dimenticato
Si infiamma il clima, nella già torrida estate, a Beirut dove, secondo quanto riportato dalla Banca mondiale, la nazione dei cedri sta franando in una delle peggiori crisi economiche e finanziarie mai registrate dal 1850. Dopo decenni di casi di corruzione e malversazione mai assopiti, la crisi, oramai divenuta endemica, affonda le sue radici ben prima della pandemia di Covid e della terrificante esplosione di nitrato di ammonio, avvenuta ad agosto del 2020 nel porto della capitale, evento che ha solamente accelerato i processi di sfaldatura economica che vediamo manifestarsi in queste ultime settimane in tutta la loro drammaticità. L'esplosione principale è stata attribuita a 2750 t di nitrato d'ammonio confiscate nel 2014 da parte del governo libanese dalla nave abbandonata M/N Rhosus e depositate nel porto senza misure di sicurezza fino al giorno del disastro. La suddetta unità mercantile, nave da carico di proprietà russa battente bandiera moldava, salpò dal porto Batumi in Georgia diretta a Beira in Mozambico col suo pericoloso carico di ammonio. In ottobre, fu costretta a fermarsi al porto a Beirut dopo aver accusato significativi problemi all’apparato propulsivo. Le autorità di controllo portuale libanesi, dopo un’accurata ispezione del mercantile, hanno valutato il Rhosus non idoneo alla navigazione ed hanno provveduto alla confisca del nitrato. Durante gli anni che hanno preceduto la deflagrazione, numerosi funzionari doganali avevano inviato formali richieste ai giudici chiedendo una risoluzione sulla questione del carico confiscato, proponendo che il nitrato di ammonio venisse espropriato, dato alle Forze armate libanesi o venduto alla Lebanese Explosives per una corretta e sicura gestione. I morti furono più di 200, 7mila i feriti, 300 mila gli sfollati. I danni, secondo le stime della Banca Mondiale, ammonterebbero ad oltre 4,2 miliardi di dollari. Tra luglio e agosto del 2021, la situazione economica e sociale ha subito una vertiginosa nuova caduta. La carenza di combustibile destinato ad alimentare le centrali del Libano ha raggiunto un livello di guardia, il tutto in un contesto di grave crisi di liquidità che dura ormai da due anni. L’importazione del carburante è garantita dagli anticipi del Tesoro, versati dalla Banca del Libano. Ma quest’ultima sta ritardando l’apertura di linee di credito destinate a finanziare l’approvvigionamento di carburante per salvare le sue riserve in dollari. La situazione ha costretto l’Elettricità del Libano (EDL), l’ente pubblico responsabile della fornitura di energia elettrica, a razionare fortemente la sua produzione. Di fronte al razionamento statale, sono subentrati i generatori di corrente privati. Tuttavia, il Libano ha già sperimentato nella storia recente la necessità di ricorrere a privati per far fronte ai tagli statali: il deficit di produzione di EDL risale a molto prima della crisi attuale. Secondo la Banca mondiale, nel 2018, il razionamento quotidiano variava già da tre a undici ore, con importanti disparità tra una regione e l’altra. Il problema non ha colpito solo i privati, ma anche, e molto duramente, le aziende, i ristoratori e gli ospedali. La situazione è diventata insostenibile in un paese in bancarotta, inadempiente sul proprio debito in valuta estera nel marzo 2020 e che è ancora alle prese con 2 milioni di rifugiati siriani presenti sul territorio in uno stato che comprende una popolazione complessiva di 6 milioni di abitanti. L’intera regione è dunque al centro di un piano di riforme a cui la comunità internazionale condiziona l’attribuzione di un piano di assistenza finanziaria da parte del Fondo monetario internazionale (FMI). Ma l’erogazione di tali aiuti è ben lontana dal trovare via libera: il Libano sta ancora aspettando la formazione di un nuovo governo, a quasi un anno dalle dimissioni dell’esecutivo di Hassane Diab, dopo l’esplosione nel porto di Beirut. Il Libano presenta una peculiare suddivisione, tra le varie confessioni religiose presenti nel paese, delle più alte cariche dello Stato. Tale sistema, fu adottato nel 1943 con il Patto Nazionale e successivamente rivisitato con gli Accordi di Ta’if che seguirono la lunga Guerra Civile del 1975-90. Con gli Accordi di Ta'if furono infine riequilibrati i rapporti di forza per l'Assemblea tra le confessioni maggiori previsti dal Patto Nazionale del 1943, in modo che il numero di deputati musulmani fosse, dalle successive elezioni, pari al numero di deputati cristiani, e aumentando i poteri e le prerogative del primo ministro a scapito del presidente della repubblica. Il premier incaricato del Libano, Saad Hariri, si è sfilato dal formare un nuovo esecutivo ed ha rimesso il mandato nelle mani del presidente Michel Aoun. Gli osservatori internazionali hanno duramente criticato la posizione delle due più alte cariche ed entrambi si sono accusati a vicenda di aver fatto fallire le trattative. A tal proposito, Il Consiglio dell'UE ha adottato nelle ultime settimane una serie di misure restrittive specifiche per il Libano, con la possibilità di imporre sanzioni nei confronti di figure di spicco responsabili di contrastare in modo sistematico la formazione di un esecutivo libanese. Nel mentre, Il debito pubblico ha superato del 180% il Pil e la recessione degli ultimi tre anni ha comportato una riduzione del 40% del reddito pro capite. L’annuncio della rinuncia di Hariri, ha determinato un nuovo crollo valutario della sterlina libanese, il secondo in un biennio, e il mandato esplorativo è ora affidato al secondo uomo più ricco del Libano: il miliardario sunnita Najib Mikati, già due volte primo ministro in passato. Un arduo compito, se si considera, come sopra richiamato dagli Accordi di Ta’if, che per legge ognuna delle 17 confessioni debba avere un incarico governativo. Viene naturale riflettere come questo meccanismo, se da un lato ha permesso la risoluzione della guerra civile, dall’altro appare come una costrizione, una empasse che impedisce al paese di risalire l’impervia situazione finanziaria. Sul fronte dei rapporti internazionali, il presidente francese Emmanuel Macron, il primo leader straniero a recarsi tra le macerie di Beirut a seguito dell’esplosione, ha garantito sostanziosi aiuti e, contestualmente, chiede alla politica libanese un ‘Nuovo Patto’ per la stabilità e la costruzione di un governo stabile e di larghe intese per il paese. Non sorprende l’attivismo dell’Eliseo, da sempre interessato alla regione per via dei legami storici e culturali comuni che hanno interessato i due paesi; ma dietro la regia francese si cela l’intenzione di riaffermarsi come attore occidentale principale nella macro regione, a scapito dell’ingombrante Turchia di Erdogan. Infine, non certo per minore importanza rispetto alle precedenti motivazioni, l’azione di Parigi rientra nella visione comune europea di contenere nuove instabilità in un Mediterraneo già pieno di fronti di incertezza. Francesco Severoni
L'importanza delle esperienze laterali. Riflessioni di una delle nostre socie giovani
Il mio nome è Francesca Natale e dopo una laurea in giurisprudenza e un Master di secondo livello in Cyber security lavoro presso una società di consulenza come consulente per la digital transformation la cybersecurity & compliance. La posizione che attualmente ricopro non la considero un punto di arrivo ma quanto di più simile ho cercato di creare per unire due grandi passioni: il diritto e le nuove tecnologie. Durante il percorso universitario ho cercato di approfittare di tutte le iniziative che la mia università e la mia città mettessero a disposizione.
Al terzo anno sono entrata in ELSA (the European Law Student Association) partecipando alla rifondazione dell’ente locale come Vice presidente Seminari e Conferenze. In questa veste ho istituito, insieme ai miei compagni, una summer school dedicate al Media Law e focalizzata sull’approfondire, in un’ottica europea, il diritto alla privacy, l’anonimato su internet e la tutela dell’identità digitale. Parallelamente a questa esperienza ho fatto un Erasmus per conoscere più a fondo l’Europa nel cuore delle sue istituzioni cioè a Strasburgo. L’ambiente con cui sono entrata immediatamente a contatto è stato un ambiente internazionale, vivace e aperto dove ciò che mi ha colpito immediatamente sono state le esperienze di giuristi provenienti letteralmente dall’altra parte del mondo. Entrare a confronto con coetanee e coetanei brasiliani, indiani, georgiani che avevano già fatto esperienze presso l’ufficio di un Giudice, presso un grosso studio legale e che di ritorno dall'Europa avevano già ricevuto l’approvazione per un internship in azienda non nego che mi avesse fatto sentire particolarmente indietro sia in termini di esperienza legale sia in termini di maturità di ragionamento. Fino ad allora ciò a cui mi ero dedicata era stato limitato a un ambito accademico dove la voglia di imparare non era direttamente proporzionale alla capacità degli insegnanti di stimolare e farci uscire dalla nostra zona di comfort.
Ritornata in Italia ho quindi iniziato a svolgere tirocini curriculari in ambito giudiziario e amministrativo imparando tanto ma sviluppando una maggiore propensione alla commistione di esperienze e a non restare nella giurisprudenza in senso stretto. Ho lavorato poi in ambito assicurativo e bancario per mantenermi agli studi e mi sono avvicinata al mondo del fintech e del diritto delle nuove tecnologie.
Da qui il grande interrogativo: sono disposta ad accettare l'innovazione anche nel lavoro allontanandomi dal tradizionale percorso giuridico e imboccando una strada laterale?
Sì, certo. Durante l'università siamo abituati a pensare in compartimenti stagni, come se non fosse possibile mescolare le carte in tavola e aprirsi a settori molto distanti da ciò che ci viene insegnato. Il mio messaggio è che cambiare o aggiungere esperienze diverse/distanti dalla tradizione può arricchire e rendere fruttuoso ogni percorso. Sono le esperienze laterali che si fanno che permettono di dare un contributo positivo nelle attività quotidiane che si svolgono.
In bocca al lupo a tutti gli studenti e a chi sta imboccando le stradi laterali,
Francesca
|