Informazioni personali

Cerca nel blog

Translate

sabato 12 ottobre 2024

The email files: DORA l'esploradora e gli email friends

Antonio Ieranò, #OPEN_TO_WORK

Antonio Ieranò

Security, Data Protection, Privacy. Comments are on my own unique responsibility 🙂

August 28, 2024

A causa di un fastidioso problema nel pubblicare l'articolo la versione pubblicata non corrispondeva a quella proparata. ho dovuto quindi fare delle correzioni al volo. lo rivedrò quando ho tempo. :-(

Parliamoci chiaro: l’email non è mai stata esattamente l’argomento preferito di chi lavora nell’IT, nel compliance, o nella gestione del rischio. Anzi, nella maggior parte dei casi, è considerata un po’ come un animale pericoloso da tenere in gabbia — non perché sia bella o divertente, ma perché potrebbe morderti quando meno te lo aspetti.

La email, una bestia da tenere isolata e sotto controllo.

E chi di noi non ha mai ricevuto quell’email sbagliata, quella che non doveva mai arrivare? O peggio ancora, una multa ben confezionata in una bella lettera di qualche autorità? E così, come un bambino che ha perso il gelato dal cono, ci ritroviamo a piangere sulle nostre tastiere.

Ma infondo l’email è un’apostrofo rosa tra le parole:

“ma te la ho mandata un momento fa, come mai non la hai ancora ricevuta?”

Si perché comunque email, o posta elettronica, è e rimane per molti un corpo a se stante da qualsiasi tentativo di integrazione con il mondo circostante iperconnesso. Anche se la usi per dire al tuo dirimpettaio di scrivania di andare a prendere un caffè (ma per fortuna ora c’è teams per questo) non pensiamo quanto sia collegata a tutte le attività aziendali.

E questo pensiero è comune a te, a chi si occupa di IT, chi si occupa della email, chi si occupa di security, chi si occupa di compliance, chi si occupa di marketing e comunicazione, del DPO (che viene sempre DoPO) chi si occupa di qualcosa. Forse solo chi si occupa di information security (mio male originario) ha magari una vaga parvenza di comprensione del fatto che si parla del principale mezzo di comunicazione INTRA ed EXTRA aziendale, per non parlare della proprietà intellettuale sita nei vostri mail server ed altri dati importanti, sensibili e utili. E contiene una quantità di proprietà intellettuale che nemmeno Indiana Jones saprebbe come gestire.

E con la email meno ancora sono conosciuti, sopravvalutati o, nella maggior parte dei casi, bellamente ignorati corollari come i protocolli di autenticazione (SPF, DKIM, DMARC ne ho parlato in altri email files) o encryption e robaccia come TLS o S\MIME

Ma se pensavate che la email fosse l’unico problema con le email, preparatevi: il mondo delle normative europee, guidato da perfidi legislatori esperti nel rendere la vita più complicata a chi avrebbe ben altro da fare (cosa non si sa ma vabbè), ha deciso che non basta preoccuparsi del GDPR o delle linee guida del Garante della Privacy (quando si sveglia dal torpore).

No, ora dobbiamo affrontare anche il DORA (Digital Operational Resilience Act), che insieme a un corollario di regolamenti come GDPR, PSD2, NIS2, MiFID II, ed eIDAS, aggiunge una nuova serie di sfide per chiunque si occupi della sicurezza delle comunicazioni aziendali.

perfidi legislatori mentre preparano regolamenti e direttive sulla mail a scapito dei poveretti che le gestiscono.

Ed allora visto che sta per entrare in funzione nel 2025 che è alle porte e quindi, come ai tempi del Giggipierre, nel 2025 tutti (o quasi) piangeranno e chiederanno rinvii perché le cavallette, l’alluvione, il terremoto, il meteorite …

… nel 2025 tutti (o quasi) piangeranno e chiederanno rinvii perché le cavallette, l’alluvione, il terremoto, il meteorite …

Cosa è DORA?

DORA l’esploradora e gli email friends (Encryption, TLS, S\MIME, Email security)

No non parlo dell’eroina della nostra infanzia che, nella versione italiana, ti insegnava lo spagnolo e l’inglese esattamente come li parli adesso, o forse peggio!

Il Digital Operational Resilience Act (DORA) è stato adottato dall’Unione Europea nel 2022 e entrerà in vigore a gennaio 2025. È stato progettato per armonizzare le regole e i requisiti relativi alla resilienza operativa per il settore finanziario in tutta l’UE. DORA copre oltre 20 tipi diversi di entità finanziarie e fornitori di servizi terzi ICT, includendo banche, istituti di pagamento, società di investimento, compagnie di assicurazione e persino fornitori di servizi di cloud computing e data center.

Ma DORA non è solo una simpatica raccomandazione, no no! È una normativa imprescindibile che vuole trasformare la cybersecurity e la resilienza operativa del sistema finanziario europeo in un vero e proprio spettacolo pirotecnico. Per raggiungere questo ambizioso traguardo, DORA pretende che le istituzioni finanziarie diventino esperti indiscussi dell’intera infrastruttura IT, inclusi i fornitori terzi (perché chi non ama un po’ di complicazione extra?), e che sappiano scovare ogni singola vulnerabilità e rischio come se fosse un gioco da ragazzi. E non finisce qui! Queste entità devono anche mettere in piedi strategie talmente solide da proteggere i loro sistemi, dati e clienti da qualsiasi tipo di interruzione — e naturalmente, non dimentichiamo la ciliegina sulla torta: la gestione iper-sicura delle email!

L’Email nel Contesto di DORA: Encryption End-to-End, S/MIME e TLS

E qui arriva il cuore del problema: l’email, quel maledetto sistema che tutti usano ma che nessuno osa toccare troppo spesso, viene messa sotto i riflettori. Con DORA, non è più sufficiente sperare che le email arrivino solo alle persone giuste. No, ora bisogna assicurarsi che siano protette, crittografate, sigillate, e che nessuno osi neanche pensare di sbirciare all’interno.

ma come?

* cosa?

come onorevole, come

* innanzi tutto costruiamo un muro alto alto alto fin al soffitto, e poi se vogliamo maggiore sicurezza, scaviamo un fossato con 10, 100, 1000 crocrodrilli …

(semi cit. tribuna politica, telemeno)

mi soffermo, solo per evidenziare come gli argomenti di posta elettronica sono parte del mondo della sicurezza dell’informazione, citando 4 tecnologie tipiche, encryption end to end (anche legacy, con sistemi non standard), S\MIME con certificati che può essere implementato al gateway o end to end, e il vecchio caro TLS (sempre con certificati pubblici) per creare un canale di comunicazione “gateway to gateway” e “mail server to gateway” criptato e l’email DLP

*PS: TLS che non è la stessa cosa di criptare la singola mail*

cosi prendi il regolamento DORA, guardi qui e la e vedi come di colpo ci sono articoli e paragrafi che sembrano far riferimento alla maledetta posta elettronica in maniera indiretta.

ma come parla di comunicazione e dati in movimento, che c'entra con la posta?

guarda ti darei ragione, questi sono folli pensano che uno strumento di comunicazione come la posta elettronica sia un canale di comunicazione. ridicolo. e come canale di comunicazione sostengono anche possa portare dati. io al massimo ci invio le password di sistema e gli allego gli excel con i dati segretissimi, ma scrivo nel subject : “TOP SECRET” mica sono sprovveduto. Che dovrei fare di più?

allora gironzoliamo tra gli articoli di DORA

L’Articolo 7 stabilisce che le entità finanziarie devono utilizzare e mantenere sistemi, protocolli e strumenti di TIC che siano:

a) Idonei alle dimensioni delle operazioni, conformemente al principio di proporzionalità (Articolo 4).

b) Affidabili.

c) Dotati di capacità sufficiente per elaborare accuratamente i dati necessari per le operazioni e la fornitura tempestiva dei servizi, anche in caso di picchi di volume o introduzione di nuove tecnologie.

d) Tecnologicamente resilienti, in grado di gestire le esigenze aggiuntive in condizioni di stress del mercato o altre situazioni avverse.

Riferimenti Indiretti a Tecnologie di Sicurezza

  • Email Security e Encryption: Quando l’articolo parla di sistemi e protocolli che devono essere “affidabili” e “tecnologicamente resilienti”, ciò può includere l’adozione di tecnologie di sicurezza email (come S/MIME o crittografia end-to-end) per garantire la riservatezza e l’integrità delle comunicazioni email, che sono essenziali per la sicurezza delle informazioni e la continuità operativa.
  • DLP (Data Loss Prevention): L’esigenza di sistemi che siano “affidabili” e “dotati di capacità sufficiente” per elaborare dati accurati può implicare l’uso di strumenti di DLP per prevenire la perdita o l’esposizione non autorizzata di dati sensibili, soprattutto durante il transito via email o altre forme di comunicazione elettronica.
  • Protocolli di Autenticazione Email: L’articolo potrebbe essere interpretato come un’indicazione che le entità finanziarie devono adottare protocolli sicuri (come SPF, DKIM, e DMARC) per proteggere le comunicazioni email da frodi e phishing, contribuendo alla “affidabilità” e “resilienza tecnologica” dei loro sistemi.

L’Articolo 8 del DORA riguarda principalmente l’identificazione e la gestione dei rischi informatici legati alle Tecnologie dell’Informazione e della Comunicazione (TIC) nelle entità finanziarie. Pur non menzionando esplicitamente tecnologie specifiche di sicurezza email, crittografia, DLP (Data Loss Prevention) o protocolli di autenticazione email come SPF, DKIM, o DMARC, l’articolo fa riferimento in modo indiretto a pratiche e processi che potrebbero includere queste tecnologie.

Ecco come l’Articolo 8 potrebbe avere riferimenti indiretti:

  1. Identificazione e classificazione dei patrimoni informativi e delle risorse TIC: Questa parte richiede alle entità finanziarie di identificare, classificare e documentare tutte le risorse TIC, comprese quelle utilizzate per la comunicazione. Questo potrebbe includere infrastrutture di posta elettronica e altre tecnologie di comunicazione, implicando che la sicurezza email (inclusi protocolli di autenticazione e crittografia) faccia parte del quadro di gestione dei rischi informatici.
  2. Valutazione delle vulnerabilità e delle minacce: L’Articolo 8, paragrafo 2, richiede alle entità finanziarie di identificare costantemente le fonti di rischio e di valutare le minacce informatiche e le vulnerabilità pertinenti. Questa valutazione include le minacce associate alle infrastrutture di comunicazione, come email e protocolli di trasmissione, dove tecnologie di sicurezza come crittografia end-to-end, S/MIME, DLP e protocolli di autenticazione (SPF, DKIM, DMARC) possono essere considerate misure di mitigazione.
  3. Valutazione del rischio per modifiche significative: L’articolo richiede valutazioni del rischio per ogni modifica significativa delle infrastrutture TIC, processi o procedure. Modifiche a tecnologie di email security o l’implementazione di nuovi protocolli di autenticazione email, crittografia o DLP rientrerebbero in questa categoria.
  4. Gestione delle dipendenze dai fornitori terzi: L’articolo 8, paragrafo 5, richiede che le entità finanziarie identifichino e documentino tutti i processi dipendenti dai fornitori terzi di servizi TIC. Questo può includere fornitori che gestiscono servizi di posta elettronica o sicurezza email, dove tecnologie di email security, encryption, DLP e protocolli di autenticazione sarebbero rilevanti.

Sebbene l’Articolo 8 non menzioni esplicitamente queste tecnologie, la gestione dei rischi TIC e la protezione delle informazioni e delle comunicazioni rientrano nelle pratiche di sicurezza informatica che DORA cerca di rafforzare nelle entità finanziarie. Pertanto, tecnologie come la sicurezza email, la crittografia, DLP e i protocolli di autenticazione email potrebbero essere implicitamente incluse nella necessità di un solido quadro di gestione del rischio informatico delineato nell’Articolo 8.

l’Articolo 9 del DORA fa riferimento, anche se in modo indiretto, a tecnologie di sicurezza delle email, crittografia, prevenzione della perdita di dati (DLP) e protocolli di autenticazione email. Ecco come:

Nel paragrafo 2 troviamo ad esempio:

2.   Le entità finanziarie definiscono, acquisiscono e attuano politiche, procedure, protocolli e strumenti per la sicurezza delle TIC miranti a garantire la resilienza, la continuità e la disponibilità dei sistemi di TIC, in particolare quelli a supporto di funzioni essenziali o importanti, nonché a mantenere standard elevati di disponibilità, autenticità, integrità e riservatezza dei dati conservati, in uso o in transito.

In questo caso encryption (TLS, S\MIME, legacy) e protocolli di email authentication sembrano essere candidati ideali a rispondere alla esigenza dei dati in transito di cui occorre garantire autenticità, ontegrità e riservatezza.

  1. Sicurezza delle Email e Protocolli di Autenticazione: L’Articolo 9, paragrafo 4(d), menziona “robusti meccanismi di autenticazione, basati su norme pertinenti e sistemi di controllo dedicati”. Sebbene non menzioni specificamente protocolli di autenticazione email come SPF, DKIM o DMARC, questi protocolli rientrano nella categoria di “robusti meccanismi di autenticazione” utilizzati per proteggere la comunicazione email. Questi protocolli sono fondamentali per garantire che le email provengano da fonti legittime e per prevenire il phishing e altre minacce basate su email.
  2. Crittografia: L’Articolo 9, paragrafo 4(d), parla anche di “misure di protezione delle chiavi crittografiche di cifratura dei dati”. Questo è un riferimento diretto all’uso della crittografia per proteggere i dati durante la trasmissione e l’archiviazione. In un contesto di sicurezza delle email, questo può includere l’uso di protocolli di crittografia come S/MIME (Secure/Multipurpose Internet Mail Extensions) o TLS (Transport Layer Security) per garantire che le email siano protette durante il transito tra i server.
  3. Prevenzione della Perdita di Dati (DLP): Sebbene l’Articolo 9 non menzioni esplicitamente la prevenzione della perdita di dati (DLP), il riferimento generale alla protezione dei dati e alla prevenzione di accessi non autorizzati (paragrafo 3(b) e 3(c)) implica la necessità di controlli che potrebbero includere soluzioni DLP. Queste soluzioni monitorano, rilevano e proteggono i dati sensibili, impedendo la loro perdita accidentale o la divulgazione non autorizzata, che può includere controlli sulle email per evitare che dati sensibili vengano inviati a destinatari non autorizzati.
  4. Protezione e Continuità Operativa dei Sistemi di TIC: L’Articolo 9, paragrafi 1 e 2, sottolinea la necessità di politiche, procedure e strumenti per garantire la sicurezza, la resilienza, la continuità e la disponibilità dei sistemi TIC (Tecnologie dell’Informazione e della Comunicazione). Questo implica che le entità finanziarie devono adottare tecnologie e pratiche che proteggano tutti i sistemi di comunicazione, compresi i sistemi di email, da attacchi informatici e interruzioni.

L’Articolo 10 del DORA, come riportato nel testo ufficiale, riguarda l’individuazione di attività anomale, problemi di prestazione della rete TIC (tecnologie dell’informazione e della comunicazione), incidenti connessi, e potenziali punti di vulnerabilità nelle entità finanziarie. Mentre l’articolo non menziona direttamente tecnologie specifiche di sicurezza email, crittografia, DLP (Data Loss Prevention) o protocolli di autenticazione email, esso fa riferimento a pratiche e meccanismi di individuazione che potrebbero implicare l’uso di tali tecnologie.

Ecco come l’Articolo 10 potrebbe essere collegato indirettamente a queste tecnologie:

  1. Meccanismi per Individuare Attività Anomale: L’individuazione tempestiva di attività anomale (Articolo 10, Paragrafo 1) potrebbe includere il monitoraggio del traffico email per identificare tentativi di phishing, malware o altri tipi di attacchi che sfruttano la posta elettronica. Strumenti di sicurezza email come filtri anti-spam, sistemi di rilevamento di anomalie, e tecnologie di autenticazione email (SPF, DKIM, DMARC) potrebbero essere utilizzati per identificare email sospette.
  2. Test Periodici dei Meccanismi di Individuazione: L’obbligo di test periodici dei meccanismi di individuazione (Articolo 10, Paragrafo 1) potrebbe includere la verifica dell’efficacia delle tecnologie di sicurezza email e crittografia per assicurarsi che funzionino correttamente e proteggano adeguatamente le comunicazioni.
  3. Molteplici Livelli di Controllo e Allarmi Automatici: L’implementazione di molteplici livelli di controllo e meccanismi di allarme automatico (Articolo 10, Paragrafo 2) potrebbe essere correlata all’uso di tecnologie come DLP per prevenire la perdita di dati sensibili tramite email. Questi sistemi potrebbero inviare avvisi quando vengono rilevati tentativi di esfiltrazione di dati o altre attività sospette via email.
  4. Monitoraggio dell’Attività degli Utenti e Anomalie: Il monitoraggio dell’attività degli utenti e delle anomalie (Articolo 10, Paragrafo 3) può implicare il controllo delle comunicazioni email per individuare comportamenti anomali, come accessi non autorizzati o l’invio di informazioni sensibili senza crittografia adeguata.
  5. Controllo delle Comunicazioni per Verificarne la Completezza: Il riferimento al controllo delle comunicazioni per verificarne la completezza e individuare errori (Articolo 10, Paragrafo 4) potrebbe essere applicato alle email per assicurare che le informazioni trasmesse siano accurate e complete. Questo potrebbe includere l’uso di tecnologie di autenticazione e crittografia per garantire l’integrità dei messaggi.

L’Articolo 11 del DORA riguarda la Risposta e Ripristino all’interno del quadro per la gestione dei rischi informatici. Questo articolo si concentra principalmente sulla pianificazione, attuazione e test dei piani di continuità operativa e di risposta agli incidenti informatici per garantire la resilienza operativa delle entità finanziarie.

Nella sua formulazione, l’Articolo 11 non fa riferimento diretto a tecnologie specifiche di sicurezza delle email, crittografia (encryption), prevenzione della perdita di dati (DLP), o protocolli di autenticazione delle email. Tuttavia, alcune delle disposizioni possono essere considerate indirettamente rilevanti per queste tecnologie:

  1. Piani di continuità operativa delle TIC: L’Articolo 11 richiede alle entità finanziarie di predisporre e mantenere piani di continuità operativa delle tecnologie dell’informazione e delle comunicazioni (TIC). In questo contesto, proteggere le comunicazioni aziendali, incluse quelle via email, diventa essenziale per garantire la continuità operativa durante e dopo un incidente informatico. Questo potrebbe implicare l’uso di tecnologie di sicurezza delle email e crittografia per proteggere le informazioni sensibili durante gli attacchi.
  2. Risposta agli incidenti e ripristino: L’articolo sottolinea la necessità di rispondere rapidamente e in modo appropriato agli incidenti connessi alle TIC e di attuare misure di contenimento. Anche se non menziona specificamente la sicurezza delle email, proteggere i canali di comunicazione, inclusi quelli email, è una parte cruciale della risposta agli incidenti per evitare la compromissione dei dati e delle comunicazioni.
  3. Comunicazione e gestione delle crisi: Le entità finanziarie devono stabilire azioni di comunicazione e gestione delle crisi che garantiscano la trasmissione di informazioni aggiornate. In questo contesto, l’uso di protocolli di autenticazione delle email (come SPF, DKIM e DMARC) e tecnologie di crittografia (come S/MIME e TLS) potrebbe essere considerato per garantire che le comunicazioni interne ed esterne siano sicure e autentiche durante le crisi.
  4. Test dei piani di continuità operativa e di ripristino: L’Articolo 11 richiede alle entità finanziarie di testare periodicamente i piani di continuità operativa e di ripristino, inclusi scenari di attacchi informatici. Questo potrebbe includere testare la resilienza delle infrastrutture di comunicazione, comprese le misure di sicurezza delle email, per garantire che le informazioni sensibili siano protette durante le interruzioni operative.

L’Articolo 13 del DORA, intitolato “Apprendimento ed evoluzione,” non menziona direttamente tecnologie specifiche di sicurezza email, crittografia (encryption), prevenzione della perdita di dati (DLP), o protocolli di autenticazione email. Tuttavia, tratta concetti che possono avere un riferimento indiretto a queste tecnologie all’interno del contesto più ampio della gestione della resilienza operativa digitale e della sicurezza informatica.

Possibili Riferimenti Indiretti

  1. Raccolta di informazioni sulle vulnerabilità e minacce informatiche: L’Articolo 13, paragrafo 1, afferma che le entità finanziarie devono avere la capacità di raccogliere informazioni relative a vulnerabilità, minacce informatiche, e incidenti legati alle TIC (Tecnologie dell’Informazione e della Comunicazione). Questo potrebbe includere il monitoraggio delle minacce associate alla sicurezza delle email, come phishing, malware trasmesso via email, e attacchi di spoofing che sfruttano la mancanza di autenticazione email (SPF, DKIM, DMARC).
  2. Analisi e miglioramenti post-incidente: Nei paragrafi 2 e 3, si richiede alle entità finanziarie di condurre analisi dopo un grave incidente legato alle TIC e di implementare miglioramenti nelle operazioni e nelle politiche di continuità operativa. Questo può includere valutazioni delle misure di sicurezza email, come l’uso di crittografia end-to-end per garantire la riservatezza delle comunicazioni email e l’implementazione di protocolli di autenticazione per prevenire email spoofing.
  3. Monitoraggio e valutazione dei rischi informatici: Il paragrafo 4 indica che le entità finanziarie devono monitorare l’evoluzione dei rischi informatici, comprese le frequenze e i tipi di attacchi informatici. Anche se non specifica le tecnologie, questo implica la necessità di strumenti di sicurezza come la crittografia, la prevenzione della perdita di dati, e protocolli di autenticazione delle email per rilevare, prevenire e mitigare i rischi associati.
  4. Formazione e sensibilizzazione sulla sicurezza delle TIC: Nel paragrafo 6, viene evidenziata l’importanza della formazione sulla sicurezza delle TIC e sulla resilienza operativa digitale per tutti i dipendenti e dirigenti. Questa formazione potrebbe includere aspetti della sicurezza email, l’uso della crittografia, protocolli di autenticazione email e le pratiche di prevenzione della perdita di dati.
  5. Aggiornamenti tecnologici e gestione dei rischi: Il paragrafo 7 sottolinea che le entità finanziarie devono monitorare gli sviluppi tecnologici pertinenti per comprendere i potenziali effetti sulle esigenze di sicurezza delle TIC e sulla resilienza operativa digitale. Questo potrebbe implicare un focus indiretto sulle tecnologie di sicurezza email come parte delle misure di gestione dei rischi.

L’Articolo 14 del DORA riguarda principalmente la comunicazione in relazione alla gestione dei rischi informatici e agli incidenti connessi alle tecnologie dell’informazione e della comunicazione (TIC). L’articolo delinea i requisiti per i piani di comunicazione delle crisi e le politiche di comunicazione sia per il personale interno che per i portatori di interessi esterni.

Analizzando il contenuto dell’Articolo 14, non ci sono riferimenti diretti o espliciti a tecnologie di sicurezza email, crittografia, DLP (Data Loss Prevention), o protocolli di autenticazione email (come SPF, DKIM, o DMARC). Tuttavia, ci sono riferimenti indiretti e impliciti alla necessità di proteggere le informazioni durante le comunicazioni, specialmente durante la gestione delle crisi o la divulgazione di informazioni su incidenti TIC:

  1. Piani di Comunicazione delle Crisi: L’articolo menziona che le entità finanziarie devono predisporre piani di comunicazione delle crisi che consentano una divulgazione responsabile delle informazioni riguardanti incidenti TIC o vulnerabilità. Anche se non menziona specificamente la sicurezza delle email, la necessità di divulgazione responsabile implica che le comunicazioni, inclusi eventuali messaggi di posta elettronica, dovrebbero essere protette e gestite in modo sicuro.
  2. Politiche di Comunicazione Interna ed Esterna: L’articolo richiede che le entità finanziarie attuino politiche di comunicazione per il personale interno e per gli stakeholder esterni. Questo può implicare l’uso di protocolli sicuri per garantire che le informazioni sensibili non vengano divulgate in modo inappropriato. Le tecnologie di crittografia e autenticazione email possono essere utilizzate per proteggere queste comunicazioni, seppur non menzionate esplicitamente.
  3. Gestione delle Comunicazioni su Incidenti TIC: L’articolo richiede che ci sia almeno una persona responsabile della strategia di comunicazione per gli incidenti TIC, il che implica la necessità di comunicazioni sicure e protette per evitare fughe di dati o altre problematiche legate alla sicurezza delle informazioni.

L’Articolo 15 del DORA, intitolato “Ulteriore armonizzazione di strumenti, metodi, processi e politiche di gestione del rischio informatico”, non menziona direttamente le tecnologie di sicurezza email, crittografia, prevenzione della perdita di dati (DLP) o i protocolli di autenticazione email come SPF, DKIM o DMARC. Tuttavia, c’è un riferimento indiretto che potrebbe includere questi aspetti nel contesto più ampio della sicurezza delle TIC (Tecnologie dell’Informazione e della Comunicazione).

Riferimenti Indiretti nell’Articolo 15:

  • Punto (a) menziona la necessità di specificare ulteriori elementi nelle strategie, politiche, procedure, protocolli e strumenti in materia di sicurezza delle TIC. Questo include salvaguardie contro intrusioni e l’uso improprio dei dati, preservando disponibilità, autenticità, integrità e riservatezza dei dati, e l’inclusione di tecniche crittografiche. Sebbene non menzioni esplicitamente l’email, la crittografia e la sicurezza dei dati possono riguardare anche le comunicazioni email, soprattutto considerando l’importanza di proteggere i dati in transito.
  • Punto (b) parla di sviluppare componenti per controlli sui diritti di gestione dell’accesso, il monitoraggio dei comportamenti anomali e i modelli di utilizzo della rete. Anche in questo caso, mentre non si fa menzione diretta dei protocolli di autenticazione email, i controlli sugli accessi e il monitoraggio delle attività di rete possono includere la sicurezza delle email nel loro scopo più ampio.
  • Punti (c), (d), (e), (f), e (g) si concentrano su ulteriori specifiche per la continuità operativa, la risposta agli incidenti, e la gestione del rischio informatico. Questi punti potrebbero riguardare aspetti della sicurezza email in termini di garantire la continuità e la sicurezza delle comunicazioni anche in caso di interruzioni o incidenti.

L’Articolo 16 del DORA, non menziona direttamente tecnologie specifiche come la sicurezza delle email, la crittografia, DLP (Data Loss Prevention), o i protocolli di autenticazione delle email (come SPF, DKIM, DMARC). Tuttavia, fa un riferimento indiretto a concetti che potrebbero includere queste tecnologie.

Analisi dell’Articolo 16 in relazione alle tecnologie menzionate:

  1. Paragrafo 1, lettera c): Questo paragrafo sottolinea l’importanza di “sistemi, protocolli e strumenti di TIC solidi, resilienti e aggiornati” per ridurre al minimo l’impatto dei rischi informatici e proteggere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati nei sistemi informatici e di rete.
  2. Paragrafo 3, lettera b): Questo paragrafo parla della specificazione degli elementi relativi ai “sistemi, protocolli e strumenti per ridurre al minimo l’impatto dei rischi informatici” per garantire la sicurezza delle reti e preservare la disponibilità, autenticità, integrità e riservatezza dei dati.
  3. Paragrafo 1, lettera h): Questo paragrafo menziona la necessità di programmi di formazione e sensibilizzazione sulla sicurezza delle TIC per il personale e la dirigenza.

L’Articolo 17 del DORA, che riguarda il “Processo di gestione degli incidenti connessi alle TIC”, non fa riferimento diretto e specifico alle tecnologie di email security, crittografia (encryption), Data Loss Prevention (DLP), o ai protocolli di autenticazione email (come SPF, DKIM, DMARC). Tuttavia, esso si concentra su un quadro più ampio di gestione degli incidenti informatici che potrebbero coinvolgere indirettamente queste tecnologie.

Riferimenti Indiretti

  1. Processo di gestione degli incidenti connessi alle TIC (Paragrafo 1 e 2): L’Articolo 17 stabilisce che le entità finanziarie devono definire, stabilire e attuare un processo di gestione degli incidenti connessi alle TIC per individuare, gestire e notificare tali incidenti. Questo implica che tutte le tecnologie utilizzate dalle entità finanziarie per proteggere la loro infrastruttura TIC, incluse le tecnologie di email security, crittografia, DLP, e protocolli di autenticazione email, potrebbero rientrare in questo processo se sono coinvolte in un incidente.
  2. Monitoraggio e trattamento degli incidenti (Paragrafo 2): Il paragrafo sottolinea l’importanza di monitorare e trattare gli incidenti connessi alle TIC in modo coerente e integrato. Ciò include la necessità di identificare e affrontare le cause principali di tali incidenti e prevenire il loro ripetersi. Le tecnologie di sicurezza delle email e crittografia potrebbero essere componenti critiche di un sistema più ampio di monitoraggio e risposta agli incidenti.
  3. Procedure di risposta agli incidenti (Paragrafo 3f): La necessità di stabilire procedure di risposta agli incidenti per attenuarne l’impatto e garantire la continuità operativa e la sicurezza dei servizi può coinvolgere indirettamente tecnologie di email security e crittografia. Ad esempio, se un incidente coinvolge l’uso di email come vettore di attacco (come phishing o attacchi malware), le tecnologie di protezione delle email e i protocolli di autenticazione diventano rilevanti nella risposta all’incidente.

L’Articolo 18 del Digital Operational Resilience Act (DORA) non menziona direttamente le tecnologie specifiche di sicurezza delle email, crittografia, DLP (Data Loss Prevention) o protocolli di autenticazione delle email come SPF, DKIM, o DMARC. Tuttavia, fa riferimento in modo indiretto e più generale a concetti che potrebbero includere questi aspetti come parte di un approccio più ampio alla gestione della resilienza operativa e alla risposta agli incidenti informatici.

Analisi dell’Articolo 18 in relazione alle tecnologie menzionate:

  1. Incidenti connessi alle TIC e perdite di dati: Paragrafo 1(d) dell’Articolo 18 menziona “le perdite di dati derivanti dall’incidente connesso alle TIC, in relazione alla disponibilità, autenticità, integrità o riservatezza dei dati”. Questo criterio implica la necessità di proteggere i dati durante la trasmissione e l’archiviazione, che è direttamente correlato all’uso di tecnologie di crittografia e protocolli di autenticazione delle email. La crittografia, sia a livello di canale (TLS) che a livello di messaggio (S/MIME), e i protocolli di autenticazione delle email come SPF, DKIM e DMARC sono essenziali per garantire la riservatezza e l’integrità delle comunicazioni email, prevenendo perdite di dati e accessi non autorizzati.
  2. Criticità dei servizi e impatto economico degli incidenti: Paragrafi 1(e) e 1(f) richiedono la classificazione degli incidenti TIC anche in base alla criticità dei servizi colpiti e all’impatto economico. Gli incidenti che coinvolgono compromissioni dei sistemi di posta elettronica o la divulgazione non autorizzata di informazioni finanziarie tramite email potrebbero avere un impatto significativo sulla continuità operativa e sull’economia dell’entità finanziaria.
  3. Norme tecniche di regolamentazione: Paragrafo 3 si riferisce all’elaborazione di progetti di norme tecniche di regolamentazione comuni per specificare ulteriormente i criteri di classificazione degli incidenti TIC. Sebbene questo non menzioni esplicitamente le tecnologie di sicurezza delle email, potrebbe includere orientamenti che riguardano la protezione delle comunicazioni e dei dati in transito, che sono pertinenti per la sicurezza delle email e l’uso di tecnologie di crittografia.
  4. Norme internazionali e orientamenti ENISA: Paragrafo 4 menziona che, nell’elaborare le norme tecniche, le AEV devono considerare le norme internazionali e gli orientamenti pubblicati dall’ENISA (Agenzia dell’Unione Europea per la cybersicurezza). Gli orientamenti dell’ENISA spesso includono raccomandazioni sull’uso di protocolli di sicurezza email, crittografia, e altre misure di protezione dei dati, che potrebbero essere considerati parte del quadro normativo per la resilienza operativa.

L’Articolo 19 del DORA, intitolato “Segnalazione dei gravi incidenti TIC e notifica volontaria delle minacce informatiche significative”, non fa un riferimento diretto a tecnologie di sicurezza delle email, crittografia (encryption), prevenzione della perdita di dati (DLP) o protocolli di autenticazione delle email come SPF, DKIM, o DMARC.

Tuttavia, l’articolo tratta argomenti correlati alla gestione delle minacce e degli incidenti informatici, che potrebbero coinvolgere indirettamente tecnologie come la crittografia e le misure di sicurezza delle comunicazioni. Ecco alcune considerazioni:

  1. Segnalazione di Gravi Incidenti TIC: Le entità finanziarie devono segnalare incidenti gravi relativi alle tecnologie dell’informazione e della comunicazione (TIC) all’autorità competente. Questa procedura implica che le entità finanziarie mantengano un adeguato livello di sicurezza informatica e controllo sulle loro infrastrutture TIC per poter rilevare e segnalare tempestivamente tali incidenti.
  2. Notifica Volontaria di Minacce Informatiche: Le entità finanziarie possono notificare, su base volontaria, le minacce informatiche significative. Questo potrebbe includere incidenti che coinvolgono compromissioni via email, come phishing, attacchi man-in-the-middle, o altre forme di attacco che potrebbero essere mitigati o rilevati attraverso tecnologie di sicurezza delle email.
  3. Comunicazione e Trasmissione Sicura delle Informazioni: L’articolo menziona la necessità di notifiche iniziali e relazioni dettagliate da parte delle entità finanziarie alle autorità competenti. Sebbene non si riferisca esplicitamente a tecnologie di sicurezza delle email, la natura delle informazioni trasmesse potrebbe richiedere misure di sicurezza, come l’uso di protocolli sicuri per la trasmissione di dati sensibili.
  4. Impatto sugli Interessi Finanziari dei Clienti: Se un incidente TIC ha un impatto sugli interessi finanziari dei clienti, le entità finanziarie devono informarli senza indebito ritardo. Questo potrebbe coinvolgere l’uso di comunicazioni sicure per garantire che le informazioni sensibili dei clienti non siano compromesse durante la notifica dell’incidente.

L’Articolo 20 del DORA, intitolato “Armonizzazione dei modelli e dei contenuti per la segnalazione,” si concentra principalmente sulla standardizzazione dei formati, modelli e procedure per la segnalazione degli incidenti gravi connessi alle tecnologie dell’informazione e della comunicazione (TIC) e la notifica delle minacce informatiche significative. L’obiettivo è garantire un approccio coerente alla segnalazione degli incidenti TIC in tutta l’Unione Europea, in consultazione con l’ENISA (Agenzia dell’Unione europea per la sicurezza informatica) e la BCE (Banca Centrale Europea).

Riferimenti Indiretti alle Tecnologie di Sicurezza delle Email, Crittografia, DLP e Protocolli di Autenticazione delle Email

Sebbene l’Articolo 20 non menzioni esplicitamente tecnologie specifiche di sicurezza delle email, crittografia, DLP (Data Loss Prevention), o protocolli di autenticazione delle email (come SPF, DKIM, DMARC), esso può essere interpretato come riferito in modo indiretto a queste tecnologie per le seguenti ragioni:

  1. Segnalazione di Incidenze Gravi TIC e Minacce Informatiche Significative: L’articolo specifica la necessità di segnalare incidenti TIC gravi e minacce informatiche significative. Considerando che molte minacce informatiche possono essere perpetrate via email (come phishing, spoofing, malware trasmessi via allegati email, ecc.), le tecnologie di sicurezza delle email diventano rilevanti. Per esempio, un incidente che coinvolge un attacco di phishing o la compromissione di un account email potrebbe richiedere la segnalazione, e le misure di protezione come l’autenticazione email e la crittografia potrebbero essere utilizzate per mitigare tali rischi.
  2. Garanzia della Riservatezza e dell’Integrità delle Comunicazioni: Quando si tratta di segnalare incidenti TIC o notificare minacce informatiche, è essenziale che le comunicazioni tra le entità finanziarie e le autorità competenti siano sicure. Ciò potrebbe richiedere l’uso di tecnologie di crittografia (come TLS per proteggere le email durante la trasmissione) e protocolli di sicurezza (come S/MIME per la firma digitale e la crittografia end-to-end delle email).
  3. Proporzionalità e Coerenza nella Segnalazione degli Incidenti: L’articolo sottolinea l’importanza della coerenza nella segnalazione degli incidenti TIC, tenendo conto del profilo di rischio e della complessità delle entità finanziarie. Questo implica che, a seconda del profilo di rischio e delle operazioni dell’entità, potrebbe essere richiesto l’uso di misure di sicurezza adeguate, come le tecnologie di sicurezza delle email e DLP per prevenire la perdita di dati durante le segnalazioni.

In conclusione, mentre DORA non menziona esplicitamente ogni singola tecnologia di crittografia, è chiaro che le sue linee guida richiedono un elevato livello di protezione per tutte le comunicazioni finanziarie. Con encryption end-to-end, S/MIME, e TLS, possiamo garantire che anche le email più banali siano trattate con la stessa serietà di un lingotto d’oro.

Ma non fermiamoci qui. Ricordiamo anche che DORA non è l’unica normativa con cui dobbiamo fare i conti. GDPR, PSD2, NIS2, MiFID II, ed eIDAS aggiungono ulteriori strati di complessità che richiedono misure di sicurezza rigorose per le comunicazioni email e altre interazioni digitali. Ogni regolamento è una sfida, ma con le giuste tecnologie di crittografia e le procedure di sicurezza in atto, possiamo navigare queste acque tempestose senza troppo panico.

Per ulteriori dettagli, vi consiglio di consultare il testo completo del DORA sul sito ufficiale dell’Unione Europea.

Regolamenti Esterni a DORA

E per quelli che amano davvero il brivido della conformità, ecco un breve riassunto dei regolamenti che completano il quadro normativo europeo:

  1. GDPR (Regolamento Generale sulla Protezione dei Dati): Impone obblighi rigorosi sulla protezione dei dati personali, compreso l’uso di crittografia per email contenenti dati sensibili.
  2. PSD2 (Payment Services Directive 2): Richiede misure di sicurezza avanzate per proteggere le transazioni e le comunicazioni elettroniche, inclusa l’autenticazione forte del cliente.
  3. NIS2 (Network and Information Systems Directive): Stabilisce misure per un elevato livello comune di sicurezza delle reti e dei sistemi informativi nell’Unione.
  4. MiFID II (Markets in Financial Instruments Directive II): Impone obblighi di trasparenza e di reporting, inclusa la protezione delle comunicazioni elettroniche.
  5. eIDAS (Electronic Identification and Trust Services Regulation): Stabilisce un quadro per i servizi fiduciari elettronici, inclusi i certificati digitali per S/MIME.

Con tutto ciò, preparatevi a una lunga serie di riunioni, corsi di formazione, e — perché no? — anche qualche lacrima di frustrazione. Ma alla fine, tutto si risolverà: l’importante è non dimenticare mai l’importanza delle email… soprattutto quelle che mordono!

della serie the email files vedi anche:

email-files-encryptio-patronum

email-files-dora-lesploradora-e-gli-email-friends

mail-files-se-40000-blocklist-vi-sembran-pochi

email-files-edizione-speciale-la-posta-ai-tempi-della-guerra

email-files-la-posta-secondo-la-posta

email-files-blocklisting-la-sottile-arte-di-farsi-del-male

email-files-safelisting-poi-non-lamentarti

sempre sulle email:

ma-ti-serve-davvero-la-posta-elettronica

Nessun commento:

Posta un commento