Qualche settimana fa ho partecipato ad un interessante evento per CISO. Al di la dell’argomento (per altro estremamente interessante) la cosa simpatica è stata poter discorrere senza vincoli o freni. A tavola (e te pareva che non ne approfittavo per mangiare gratis 🙂 ) tra una chiacchiera ae l’altra si è iniziato a discorrere del difficile rapporto che corre tra il mondo OT ed IT, e di questi con la sicurezza dell’informazione nei suoi vari domini.
è sempre interessante sentire i vari punti di vista e le varie esperienze dalla voce dei protagonisti della nostra vita digitale, ed è interessante come spesso vi sia una comunità di esperienze che ci permette di definire lo stato (povero) della digitalizzazione in Italia.
IT vs OT il peccato originale.
Dall’osservatorio di un CISO è innegabile che OT e IT siano mondi diversi, che usano linguaggi diversi, con diverse esigenze e diverse metriche. Anche i tempi di vita degli oggetti che “vivono” nel mondo OT sono profondamente diversi da quelli che vivono nel mondo IT.
Criticità diverse, lingue diverse, metriche diverse non possono portare ne ad una facile convivenza ne a una facile comunicazione. Il risultato è una estrema diffidenza tra i due mondi, con l’OT che vede nel suo isolamento una forma di salvaguardia dall’invadenza dell’IT. Purtroppo, come già successe ai difensori dei mainframe, il mondo IT ha aumentato la sua pervasività nel mondo IT rompendo un “felice” isolamento che aveva reso i due mondi due cose diverse.
Il mantenimento di posizioni difensive da parte del mondo OT rispetto al mondo IT è comprensibile, ma occorre anche ammettere che il mondo OT si è sviluppato prima ma su esigenze e perimetri estremamente ristretti. L’accesso riluttante di componenti IT in questo mondo ha però aperto una finestra su una evidenza poco amata dall’OT: la senescenza di infrastrutture informatiche progettate senza un reale approccio di sicurezza by design e by default il cui cardine di sicurezza è sempre stato basato sull’isolamento e da un approccio security by oscurity.
Purtroppo questo approccio si è dimostrato, sempre più negli ultimi anni, insufficiente a garantire la sicurezza del mondo OT. Attacchi informatici verso strutture OT si sono moltiplicati con risultati economicamente importanti e non vi sono indicazioni che questo trend sia in diminuzione, anzi.
I criminali informatici non amano rinunziare a potenziali stream di monetizzazione una volta individuati, e la fragilità di molti sistemi OT sulle nuove tecniche di attacco in uso da queste organizzazioni è un canale interessante.
Questa vulnerabilità non è data solo dalla pervasività di sistemi IT nel campo OT, ma anche a fragilità specifiche di sistemi disegnati al di fuori di moderni parametri di sicurezza, non fosse altro per l’età di questi sistemi.
In questo dualismo però l’IT non è senza colpe, se la pervasività è un fatto, cosi come la apertura, la comprensione delle esigenze specifiche dell’OT non è altrettanto diffusa. Il risultato è che l’IT ha replicato, o cerca di replicare, i propri modelli operativi in un ambito differente.
Avendo i due mondi linguaggi diversi, metriche e spesso linee di riporto diverse la comunicazione risulta estremamente difficile e la resistenza tra i due mondi è ancora molto elevata
La sicurezza un ospite incomodo
Dall’osservatorio del ciso esiste però un comune nemico comune sia di OT che di IT, la cui pervasività è percepita come un peso e non come un fattore abilitante al business: la sicurezza dell’informazione.
Infatti la sicurezza o è vista come un sottoinsieme del mondo IT, cosa che alimenta la diffidenza del mondo OT nei sui confronti, o un elemento estraneo a tutto tondo da entrambe.
Ho già parlato in passato del fatto che la sicurezza della informazione è campo diverso dall’IT sia in termini di copertura (la cyber security è solo uno dei domini di riferimento) che in termini logici di indipendenza, controllato e controllore non possono coesistere e, in particolare, non può il controllore (la sicurezza) dipendere dal controllato per ovvi conflitti di interesse. la uscita della sicurezza dell’informazione dal dominio IT ha portato da parte dell’IT una “inimicizia” e la rottura di un rapporto nei confronti di chi si occupa di sicurezza, visto come un ulteriore peso, assieme a compliance.
Le ragioni della inimicizia di IT e OT nei confronti della sicurezza in realtà hanno ragioni più profonde: sistemi disegnati senza tener conto della sicurezza si vedono scoperti proprio nel loro punto di orgoglio, il design. Questo ha portato spesso l’IT (e inizia a vedersi il fenomeno anche nell’OT) a proiettare sulla sicurezza problematiche di design che non competono strettamente alla sicurezza.
Non è possibile pensare che la sicurezza dell’informazione, nei suoi vari domini, assolva a correttore di errori di design ed implementazione, processi incompleti o fallaci, digitalizzazione mal gestita e mal progettata. Eppure, spesso, questa è la richiesta che arriva alla sicurezza quella di coprire, con il proprio budget, errori di design e processo che sono, in realtà, attribuibili ad IT ed OT.
Come è facile immaginare questa “tensione” tra le diverse anime fa leva su questioni economiche e politiche interne all’organizzazione che non sono ne di facile ne di immediata risoluzione.
La percezione della sicurezza informatica come “ostacolo” alle attività di business e non di facilitatore (analogo discorso si può dire per le esigenze di compliance) in realtà è legato al fatto che sicurezza e compliance non sono considerate “ab initio” nel disegno delle infrastrutture ma chiamate ex post a coprire problematiche. Il concetto di disegnare infrastrutture e processi con “privacy e security” inserita “by design” e “by default” è ancora su carta più che reale. E il “business” inteso come la infrastruttura aziendale esterna a IT ed OT non ha competenze o comprensione delle problematiche se non a livello embrionale.
Esempi virtuosi, intendiamoci, ci sono ma sono eccezioni e non la norma. E quando ci sono l’azienda si ritrova un vantaggio competitivo in quanto aumenta la efficienza operativa e riduce i costi di gestione a fronte di un maggiore modesto costo iniziale.
Il prima, l’adesso e il domani
Se il futuro si può considerare da scrivere esiste il problema del pregresso e della gestione del corrente.
Sul passato si può intervenire solo in modalità reattiva, ovviamente, cercando di porre in atto processi e tecnologie che consentano la copertura di sicurezza delle aree più a rischio. Esistono esigenze varie da analizzare, in questo senso mi vengono in mente la microsegmentazione, il controllo degli accessi remoti da parte di operatori esterni, l’accesso remoto in modalità zero trusted, il controllo e monitoraggio di identità e attack pathway.
Per il presente si può pensare alla pianificazione della gestione delle risorse iniziando a definire metriche che aiutino le varie anime della azienda a condividere un approccio risk based che permetta di indirizzare le risorse in maniera più efficiente.
Per il futuro invece occorrerà prima o poi aprirsi ad una collaborazione tra i diversi stakeholder che condividano le esigenze e sappiano sviluppare tecnologie e processi in maniera efficace ed efficiente.
Esiste una soluzione?
La possibilità di riconciliare 6 anime (IT, OT, Sviluppo, Sicurezza, Compliance e Business) pur nella dinamica competitiva delle rispettive esigenze (il budget non è infinito e gli interessi vanno mediati) esiste quando si crea un ponte di comunicazione tra i diversi attori. Questa comunicazione è un elemento che non si crea “a tavolino” o “su carta, ma richiede la effettiva condivisione di attività operative e progetti. Far lavorare in gruppi di lavoro congiunto con obiettivi definiti e misurabili i vari elementi consente di definire una lingua comune che prelude a metriche compatibili e comprensibili.
Ovviamente questo richiede un commitment aziendale forte e una accettazione della sfida da parte dei vari stakeholder che devono accettare di essere “misurati” su questi obiettivi.
Modestamente mi permetterei di suggerire come primo possibile strumento il “cyber range” inteso come esercizio che consideri la attiva e fattiva partecipazione di tutti i vari stakeholders. Come esercizio di “sicurezza” la “simulazione realistica” di un attacco con le relative conseguenze permetterebbe ai vari soggetti di iniziare a capire le conseguenze delle scelte effettuate e di ripensare ad un futuro più ottimizzato. In questo senso la sicurezza potrebbe offrire alla azienda uno strumento di crescita e di creazione di ponti di comunicazione tra le sue diverse anime con la comprensione di cosa potrebbe accadere a causa di un problema di attacco alle infrastrutture (IT) in termini produttivi (OT) e quindi di business, all’immagine (MKTG e comunicazione) e alle ricadute economiche (finance) e legali.
Del resto il problema non è “se” qualcosa andrà male ma “quando”
Antonio Ieranò, Evangelist cyber Security Strategy, Proofpoint
Nella visione tradizionale, quando pensiamo alla protezione dei dati e alla sicurezza dell’informazione, si tende a considerare le attività di gestione del dato come attività svolte all’interno di un perimetro ben definito e, per questo, con una certa sicurezza intrinseca. Vincoli fisici di accesso alle risorse offrono alcuni livelli di protezione, sia fisica che informatica, spesso considerati robusti.
Nella realtà il passaggio globale a modelli di lavoro ibridi, forzato anche da concause esterne, ha modificato sensibilmente l’ambiente di riferimento che dobbiamo considerare quando si parla di sicurezza dell’informazione. Gli ultimi due anni e mezzo hanno visto decollare le opzioni di lavoro a distanza, il che a sua volta ha aumentato le potenziali superfici di attacco per un’organizzazione. Con un maggiore utilizzo di piattaforme cloud e di collaborazione, le persone sono ora più che mai la più grande superficie di attacco e sono particolarmente vulnerabili lavorando al di fuori della presunta sicurezza dei loro uffici aziendali.
Le reti domestiche non sono protette come le reti dell’ufficio, i dispositivi possono essere condivisi con altri e spesso sono ad uso promiscuo (lavoro e personale). I dati ed i sistemi aziendali sono ora accessibili “in cloud” oltre che nei tradizionali datacenter, e la moltiplicazione di percorsi esterni per accedere ai sistemi e risorse aziendali rappresenta un enorme pericolo. Offre agli attori delle minacce più modi per entrare, ma rende anche più difficile tracciare ciò che i lavoratori stanno gestendo.
Inoltre, le organizzazioni stanno creando e spostando più dati che mai. Ciò a sua volta crea nuove forme di rischio per la sicurezza per le aziende, rendendo difficile capire quando i dati sono a rischio, quale sia il loro valore effettivo e, di conseguenza, implementare i controlli appropriati per mitigare il rischio.
Quindi, come possono le organizzazioni affrontare queste sfide relativamente nuove per la sicurezza dei dati?
Alle prese con rischi aziendali più ampi
La forza lavoro decentralizzata accelera anche i rischi incentrati sulle persone, rendendo la protezione dei dati molto più difficile. Nel 2022, il costo totale medio globale di una violazione dei dati ha raggiunto il massimo storico di 4,35 milioni di dollari, secondo il Cost of a Data Breach Report di IBM Security. Secondo il rapporto, il lavoro a distanza è in parte responsabile dell’aumento dei costi. Il rapporto ha rilevato una “forte correlazione” tra il lavoro remoto e il costo delle violazioni dei dati. Le violazioni, in cui il lavoro a distanza era un fattore, costano in media 1 milione di dollari in più.
Le informazioni di identificazione personale (PII) dei clienti sono il tipo di record più costoso compromesso in una violazione dei dati. E questi dati sono preziosi per gli attori delle minacce per furti finanziari, frodi e altri crimini informatici, il che significa che le minacce continueranno a colpire questo tipo di dati e le autorità di regolamentazione continueranno ad aumentare la pressione sulle organizzazioni per proteggerli meglio.
Il regime normativo in continua espansione è uno dei fattori che fanno aumentare i costi delle violazioni dei dati (si pensi al GDPR) e la necessità di una migliore governance dei dati.
Un solido programma di governance dei dati deve riconoscere questo ambiente in evoluzione e considerarne le implicazioni rispondendo a domande fondamentali, come ad esempio:
Dove vengono archiviati i tuoi dati?
I tuoi dati sono protetti o regolamentati?
Come vengono utilizzati questi dati?
Chi vi ha accesso?
Come vengono protetti questi dati?
Come vengono trasmessi alle terze parti coinvolte?
La sfida Insider
I dati non si perdono ne escono da soli. Le persone perdono dati perché sono le persone che vi accedono. Il dato non sparisce per sua volontà: viene rubato da un utente malintenzionato esterno che si sia impossessato di credenziali di un utente aziendale, perso a causa di un utente negligente o preso da un dipendente malintenzionato, spesso a un concorrente. È importante, ora più che mai, proteggersi dalle minacce interne.
Per calare la questione in termini italiani si faccia riferimento a questi dati:
Il 63% delle organizzazioni italiane ha subito un tentativo di attacco ransomware nell’ultimo anno, con il 44% che ha subito un’infezione riuscita. Solo il 38% ha riottenuto l’accesso ai propri dati dopo aver effettuato il pagamento iniziale del ransomware.
Il 39% delle organizzazioni italiane ha riferito di aver subito perdite di dati a causa di un’azione interna nel 2022.
Il 18% dei dipendenti italiani ha cambiato lavoro nell’ultimo anno. Tra coloro che hanno cambiato lavoro, il 42% ha ammesso di portare con sé i dati.
Molte organizzazioni hanno dovuto riorientare i loro sforzi tecnologici e di sicurezza dagli ambienti di lavoro on-premise a una forza lavoro completamente remota, con il risultato di una miriade di nuovi problemi che devono essere affrontati. Aver adottato strategie di digitalizzazione pensate per un ambiente “chiuso” in un ambito aperto e diffuso come quello attuale ha ulteriormente indebolito i perimetri difensivi del dato, esposto a processi non sempre compatibili con la nuova realtà.
Anche se non possiamo attribuire l’aumento complessivo delle minacce interne a un singolo fattore, il passaggio al lavoro da qualsiasi luogo i sempre più frequenti cambi di lavoro hanno entrambi esacerbato questi rischi. Non c’è dubbio che una forza lavoro dispersa crei una maggiore dipendenza dal cloud, una superficie di attacco significativamente più ampia e un indebolimento della visibilità e dell’efficacia dei controlli di perdita di dati legacy. Inoltre, è più facile che mai condividere ed esporre grandi quantità di informazioni sensibili, sia con noncuranza che con dolo.
Affrontare la sfida dei dati ibridi
Mentre la maggior parte delle aziende è ormai ben abituata al mondo post-pandemia, molte politiche e procedure non sono ancora aggiornate. I controlli in atto per proteggere i dati, ad esempio, sono stati costruiti principalmente attorno alle pratiche di lavoro tradizionali che spesso prevedono passaggi “cartacei” non replicabili remotamente se non con stampa e re-digitalizzazione del documento processato con la relativa moltiplicazione del rischio di esposizione di dati sensibili.
In molti casi, le soluzioni tradizionali di protezione dalla perdita di dati (DLP) si sono concentrate su strumenti e perimetri progettati per mantenere le informazioni sensibili all’interno di un ambiente “chiuso” e gli attori malintenzionati fuori. Questo approccio legacy alla DLP si è concentrato sui dati in uso, in movimento e a riposo, senza molto contesto al di fuori di questo.
Tuttavia, con molte persone che ora operano al di fuori delle tradizionali attività d’ufficio, gli atteggiamenti, i comportamenti e i modi di lavorare sono cambiati. E con esso, anche il modo in cui accediamo e interagiamo con i dati è cambiato. Questo nuovo modo di lavorare richiede un nuovo modo di proteggere i nostri dati sensibili sia dall’esterno che dall’interno. Uno che ponga molta più enfasi sulle persone piuttosto che solo su strumenti e controlli.
Mentre le politiche e le procedure possono essere in ritardo nel nuovo ambiente di lavoro ibrido, lo stesso non si può dire dei criminali informatici. Gli attori delle minacce non hanno perso tempo, prima capitalizzando l’interruzione causata dalla pandemia e ora affinando le loro esche per colpire gli utenti in ambienti nuovi e potenzialmente meno sicuri. E continuano a prendere di mira le persone, ovunque lavorino.
Soluzione DLP tradizionali possono individuare attività sospette, ma non forniscono alcuna consapevolezza comportamentale prima, durante o dopo il movimento rischioso dei dati e offrono poco in termini di analisi dei comportamenti rischiosi degli utenti. In altre parole, gli strumenti legacy non possono aiutarti a rispondere al contesto di “chi, cosa, dove, quando e perché” dietro un avviso. Il risultato è un sovraccarico dei team di sicurezza e una visione minima dell’attività reale.
Una moderna soluzione DLP può aiutare a risolvere questo problema. Può aiutare i team IT a individuare e revocare rapidamente app dannose di terze parti e bloccare attori malevoli noti, indirizzi IP dannosi che potrebbero portare alla compromissione dell’account, account potenzialmente già compromessi.
Una soluzione moderna deve adattare costantemente il rilevamento, la prevenzione e la risposta al livello di rischio di un utente e alla sensibilità dei dati a cui accede.
Persone, processi e tecnologia
Una solida strategia per i dati deve includere una combinazione di persone, processi e tecnologia.
Sebbene sia fondamentale mettere in atto i controlli tecnologici corretti, il personale è ancora al centro di qualsiasi potenziale perdita di dati. Sono quelli con accesso privilegiato alle tue reti. Sono quelli che inseriscono le loro credenziali nei tuoi sistemi. Inoltre, con oltre il 90% degli attacchi informatici che richiedono l’interazione umana, sono quelli che hanno maggiori probabilità di esporre i tuoi dati ai criminali informatici.
Ecco perché una moderna soluzione DLP deve tenere conto del comportamento umano, sia in ufficio o fuori.
Sfortunatamente, questo non è il caso di molti sistemi legacy. La maggior parte vedrà qualsiasi comportamento anomalo (ma magari giustificato o obbligato dal contesto in cui opera l’utente) come una bandiera rossa istantanea, che influisce sull’esperienza utente e costa tempo prezioso ai team di sicurezza.
In un momento in cui le pratiche di lavoro “normali” possono significare cose diverse da un giorno all’altro, questo approccio non è più adatto allo scopo. Gli ambienti di lavoro remoti e disparati necessitano di soluzioni in grado di monitorare e prevenire in modo proattivo la perdita di dati tra gli endpoint, tenendo conto del comportamento degli utenti, dell’accesso al cloud e delle app di terze parti.
E tali protezioni adattabili sono solo una parte di un’efficace prevenzione della perdita di dati. Questo approccio incentrato sulle persone deve estendersi anche al tuo programma di formazione. Tutti gli strumenti e i controlli del mondo non bastano da soli. La protezione totale dalla perdita di dati richiede una formazione continua, mirata e adattiva sulla consapevolezza della sicurezza. Formazione che non lascia dubbi sugli utenti sul ruolo che possono potenzialmente svolgere nel ridurre il numero e l’impatto degli attacchi informatici.
Per implementare tutto questo, quindi, non basta solo inserire una “tecnologia salvifica” ma occorre ragionare per livelli adattando le esigenze di sicurezza alle richieste del business, integrando il programma di governance dei dati alle pratiche di sicurezza ed ai processi di compliance.
Un approccio a più livelli consente di passare dallo sviluppo e dalla definizione del programma di governance dei dati alla sua manutenzione e ottimizzazione.
La scoperta, la prima fase di questo approccio, comporta la definizione del controllo iniziale. È qui che si eseguono passaggi quali la qualificazione delle leggi e dei regolamenti applicabili all’organizzazione, la definizione della strategia di protezione dei dati in base ai cicli di vita dei dati, l’identificazione degli utenti a più rischio, l’individuazione dell’impronta digitale, la configurazione dell’inventario globale e l’indicizzazione dei dati.
Nella seconda fase (rilevamento), si sviluppano funzionalità di controllo ottenendo contesto per tutte le attività, l’intento e l’accesso dell’utente; identificare account compromessi e utenti di phishing; e la classificazione di dati sensibili o regolamentati. Stai anche adottando misure per tenere traccia degli incidenti e raccogliere e acquisire dati da tutte le tue fonti.
Infine, l’ultima fase (applicazione) riguarda la crescita delle capacità di controllo completo, come la rimozione di dati da posizioni non sicure, la messa in sicurezza dello scambio dei dati con terze parti, l’applicazione di protezioni dei limiti dei dati, l’implementazione della supervisione completa della conformità e così via.
Suddividendo tutte le grandi domande in passaggi più piccoli e attuabili, stai creando un approccio programmatico che ti aiuta a proteggere i dati in base ai rischi più elevati e ti offre il miglior ritorno sull’investimento. È importante valutare continuamente l’efficacia del programma e ottimizzarlo. Il tuo ambiente è dinamico e le tattiche delle minacce cambiano costantemente.
I criminali informatici di oggi sono in continua evoluzione, prendendo di mira minacce nuove e sofisticate direttamente alle persone. Anche le nostre difese devono evolversi. In caso contrario, questa è una corsa agli armamenti che non possiamo vincere.
Istigato dal buon Alessandro Bottonelli, mio correo in #quellidelfascicolop mi è venuta voglia di puntualizzare un problema di nomenclatura che mi sta a cuore.
I termini Cyber Security e Information Security sono spesso usati in modo intercambiabile. Entrambi sono responsabili della sicurezza e della protezione del sistema informatico da minacce e violazioni delle informazioni e spesso la sicurezza informatica e la sicurezza delle informazioni sono così strettamente collegate che possono sembrare sinonimi e, sfortunatamente, vengono utilizzate come sinonimi.
Se parliamo di sicurezza dei dati, si tratta di proteggere i dati da utenti malintenzionati e minacce. Ora qual è la differenza tra dati e informazioni?
Un punto importante è che “non tutti i dati possono essere informazioni” i dati possono essere informati se vengono interpretati in un contesto e gli viene dato un significato. Ad esempio “250865” è un dato e se sappiamo che è la data di nascita di una persona (la mia) allora è un’informazione perché ha un significato. Quindi informazione significa dati che hanno un significato.
Qual è la differenza tra la information security (sicurezza delle informazioni) e la cyber security (sicurezza informatica)?
La sicurezza delle informazioni e la sicurezza informatica sono campi correlati ma distinti che si concentrano sulla protezione di diversi aspetti dei sistemi informativi e tecnologici di un’organizzazione.
La sicurezza delle informazioni è un campo ampio che comprende tutti gli aspetti della protezione delle informazioni e dei sistemi informativi di un’organizzazione da accesso, uso, divulgazione, interruzione, modifica o distruzione non autorizzati.
I pilastri su cui si basa sono ovviamente:
confidentiality
integrity
availability
cui occorrerebbe aggiungere
non repudiation
authenticity
accountability
La sicurezza delle informazioni include la protezione delle informazioni sensibili, come i dati personali e le informazioni finanziarie, nonché i sistemi e i processi utilizzati per archiviare, trasmettere ed elaborare tali informazioni. All’interno della sicurezza delle informazioni ricadono quindi anche aspetti legati alla protezione del dato sia questo digitale che analogico.
Esempi e inclusione della sicurezza delle informazioni sono i seguenti:
Controlli procedurali
Controlli di accesso
Controlli tecnici
Controlli di conformità
La cyber security, d’altra parte, è largamente un sottoinsieme della sicurezza delle informazioni che si concentra specificamente sulla protezione dei sistemi tecnologici e dei dati di un’organizzazione da attori malintenzionati nel cyberspazio. Ciò include la protezione da attacchi di rete, violazioni dei dati e altri tipi di criminalità informatica. La sicurezza informatica include anche la protezione delle infrastrutture critiche, come centrali elettriche e sistemi finanziari, dagli attacchi informatici che espande il perimetro rispetto la Information security.
Esempi e inclusione della sicurezza informatica sono i seguenti:
Sicurezza della rete
Sicurezza delle applicazioni
Sicurezza nel cloud
Infrastrutture critiche
In sintesi, la sicurezza delle informazioni è un campo ampio che comprende tutti gli aspetti della protezione delle informazioni e dei sistemi informativi, mentre la cyber security si concentra specificamente sulla protezione contro le minacce e gli attacchi informatici. Entrambi sono importanti per garantire la sicurezza e l’integrità dei sistemi informatici e tecnologici di un’organizzazione.
Vabbeh giusto un paio di giorni fa mi son trovato a discorrere di una richiesta di un SOC di mettere 40000 domini in una email-blocklist.
Ho cercato di spiegare che la cosa non ha senso, ma ho trovato una certa rigidità in merito.
Poi mi sono soffermato un attimo e mi son chiesto: io parlo di sicurezza, ma loro?
E mi son ricordato di quando cercavo di spiegare che mettere miliardi di regole su di un firewall dimostra solo di non aver capito come si configura un firewall per fare security 😂😁😎 Che faccio quindi? un update dell’articolo sotto per mettere alcuni punti in chiaro 🙂
Per qualche oscuro motivo una buona parte degli operatori di sicurezza informatica è convinta che gli attaccanti siano essenzialmente degli stupidi e che compiano azioni che riconoscerebbe anche un bambino.
Non riesco a spiegarmi in altro modo la propensione alle liste di blocco, sopratutto quando queste contengono decine di migliaia di entry.
Bloccare delle entry (tipicamente Indirizzi IP o domini) che sono già state individuate come malevoli è un po come chiudere le porte della stalla dopo che ne sono fuggiti gli animali.
Se pur vero che in minima parte certe entry, solitamente legate al perdurare di un attacco, possono essere attive, questo non è per sempre. Ma questo lo avevo spiegato in precedenza.
In compenso la gestione di liste gargantuesche comporta diversi problemi, sia prestazionali che di gestione vera e propria.
Che sia un email security gateway o un firewall tenere un approccio statico ai filtri raramente denota competenze specifiche nella sicurezza informatica.
Detto questo è sempre possibile che vi siano obblighi provenienti da sorgenti che non hanno nessun affinità con la materia, e quindi questo approccio diventa “necessario” alla sopravvivenza.
I motivi possono essere vari: “legali” o “politici” ma sicuramente non tecnici.
Ma proprio per questo difficilmente contestabili, mancando le basi minime di comprensione del fenomeno da parte di chi esegue la richiesta.
Quindi assumiamo che sia necessario, ancorché non sensato, dover implementare sui nostri sistemi statiche, stupide, chilometriche ed inutili liste di blocco. Dobbiamo in qualche maniera essere in grado di sopravvivere alla cosa.
Come sopravviverci?
Pur essendoci su internet diversi servizi di RBL mi soffermo qui sulla esigenza, prima espressa, di soddisfare una richiesta di implementare delle liste di blocco chilometriche all’interno del nostro servizio di sicurezza e non accedere a servizi pubblici di RBL.
Innanzi tutto è necessario ricordare che queste liste sono spesso un inutile accozzaglia di vecchie referenze che poco hanno a che fare col threat landscape corrente, occorre quindi NON affidarsi a queste ultime come unica sorgente di protezione.
In secondo luogo occorre prepararsi ad avere eventuali falsi positivi, nel malaugurato caso che domini legittimi utilizzati in attacchi finiscano in queste liste che probabilmente non sono sempre aggiornate.
In terzo luogo occorre che il security gateway che usiamo sia capace di processare queste liste anche in termini di consumo di risorse.
Il problema è presentato proprio dal fatto che spesso queste liste non sono legate a domini, IP o risorse web usate solo da criminali, ma anche da soggetti legittimi. In questo caso se le liste non sono aggiornate dinamicamente con una certa frequenza rischiamo di bloccare risorse lecitamente usate con le problematiche del caso.
La cosa è nota da anni, ed è il motivo alla base della diminuzione dell’uso delle RBL come strumento di filtro per meccanismo di analisi più efficienti (come ad esempio la reputazione dinamica delle risorse).
Le Real-time blackhole list (RBL) note anche come DNS Block List (DNSBL) sono generalmente liste pubbliche che raccolgono domini o IP che hanno una reputazione come emettitori di email illegittime (spam o peggio). Molti servizi su internet offrono questo tipo di liste ma, per mantenersi decentemente aggiornate, di solito non amano che un singolo utente richieda il blacklisting di un numero molto elevato di voci.
Bloccare un dominio tramite una risorsa pubblica potrebbe generare anche possibili conflitti legali, da qui la attenzione dei gestori di DNSBL alle entry e anche al delisting.
Ma cosa dobbiamo fare, quindi, se qualche illuminato della sicurezza ci chiede di caricare decine di migliaia di entry sui nostri sistemi?
La soluzione potrebbe essere legata alla creazione di una RBL interna.
Sebbene si possa implementare una RBL attraverso un normale DNS server per motivi di performance e di amministrazione è meglio orientarsi a software specifici.
RBL vs Filtri al gateway
La domanda potrebbe essere: perchè non implementare direttamente un filtro al gateway invece di usare risorse esterne?
Ci sono alcuni ottimi motivi per evitare l’approccio diretto al gateway di cui citerò solo 2 banali ed ovvi:
Performance
Amministrazione
Per quello che concerne le performance, difficilmente i security gateway moderni nascono per ospitare liste con diverse migliaia di voci. la ragione è che sono disegnati per fare sicurezza in maniera dinamica, e quindi servizi e risorse sono ottimizzati a quello scopo.
Dal punto di vista amministrativo, analogamente, a meno che non si disponga,come si diceva in precedenza, di un software specifico la gestione di queste liste è manuale e spesso complicata.
Utilizzare un software specifico per la gestione delle liste di blocco invece consente di aggirare i due problemi visti sopra demandando al security gateway la sola chiamata di controllo alla RBL.
Concludendo?
Pur rimanendo convinto che un approccio basato su interminabili block list sia fondamentalmente errato sotto qualsiasi punto di vista, se proprio non puoi fare a meno di implementare una stupidata di questo tipo cerca la via meno dolorosa:
Implementa una RBL o DNSBL interna con cui può parlare il tuo Gateway
Gestisci periodiche verifiche delle entry per evitare che vi possano essere problemi di falsi positivi e legali.
Vediamo se è l’ultima volta che scrivo di queste cose 😂😎🤣 #security#email
Il sysadmin che tanto a lui non succede che scoprano che usa P@ssw0rd come password
Il backup admin che no fa mai un controllo se i backup finiscono con successo
lo stesso soggetto del punto 4 che non ha mai fatto un restore in vita sua
lo sviluppatore che se non uso diritti amministrativi non va il mio software
il tipo del marketing che deve ricevere e cliccare su tutto altrimenti crolla il mondo
il tipo di HR che lui è sopra voi umani e non gli potete mica mettere limiti e controlli
quelli che la segregation of duties non va bene nel lavoro smart dove tutti fanno tutto sopratutto lui.
tu, si tu, non girarti proprio tu
Incomincio ad avere dei seri problemi quando si parla di security, privacy o GDPR. Il problema nasce dal fatto che diventa fin troppo, a me, evidente che ci si ostina a dare alla sicurezza informatica i compiti di pulizia e sistemazione delle dementi idee partorite in ambito IT (e non solo).
Quello che voglio dire è che security operation e it security o cyber security, privacy e GDPR compliance non devono coprire demenze by deign e by default costruite da idee IT deliranti figlie di soggetti che non hanno capito nulla (nella migliore delle ipotesi), di cosa sia la digitalizzazione
Basta dare alla cybersecurity il compito di coprire deficienze e incompetenze di IT, HR, ed altri compartimenti della azienda. Visti lauti stipendi e responsabilità gerarchiche che tutti inizino a prendersi le proprie resonsabilità. Se non volete farlo, tenete presnte che i recenti orientamenti giuridici sono allienati al mio pensiero, ed in caso di probelmi (non se ma quando) avrete da spiegare le vostre illuminate posizioni ed idee davanti ad un giudice.
Non potete pretendere che responabili CISO e Privacy sappiano tutto, e pagarli, e fornirgli risorse, in maniera ridicola.
Pretendete che gli esperti di security e privacy sappiano di programmazione, prodotti, psicologia, business, legge ma poi non gli riconscete competenze e, sopratutto, fate come vi pare indipendentemente dalle loro indicazioni, ammesso e non concesso che abbiate scelto soggetti relamente indipendenti e competenti.
Duro?
Non abbastanza, se dovessi dire quello che realmente penso prrobabilmente alcuni si potrebbero persino offendere: da CISO che riportano a IT o HR o security manager che hanno esperienza SOLO nella configurazione di firewall ho una secuela di acefale bestialità che non si contano.
Non è la prima volta che esprimo questo concetto, ma recentemente con l’esigenza di home-working venuta fuori a causa del covid e con il crescere del ransomware e phishing la cosa ha assunto problematiche bibicle.
Cerchiamo di capirci, l’IT securtity NON ha il compito di coprire e rimediare le idiozie di disegno di reti e processi pensate da persone, quando va bene, in morte cerebrale.
Se non hai disegnato una politica di backup degna di questo nome non è un probelma di security ma un problema di ignoranza assoluta della questione.
Se le tue password amministrative le sanno anche i criceti non è un problema di security, ma di ottusità alla ennesima potenza.
Se nel codice che hai scritto password e database sono accessibili a chiunque non è un problema di security, è un probelma di incompetenza epigastrica su come si deve scrivere codice.
Se i pagamenti possono essere gestiti da una email senza ulteriori controlli, te lo sei cercato perchè evidentemente non hai idea in che mondo vivi o hai disegnato processi VOLUTAMENTE equivoci per coprire comportamenti non leciti.
Basta dare alla security responsabilità di coprire le idiozie di disegno, implementazione e gestione dei processi e funzioni disegnati da cereblolesi di tutti i paesi,
E basta dire che CEO, CFO, o qualsiasi “C” level non hanno le competenze, perchè non regge.
Neanche di fronte alla legge.
Se sai guidare una macchina, ebbene hai appreso componenti giuridiche procedurali e tecniche ben più difficili di pensare in maniera un minimo sensata ai processi della tua azienda. Se sai usare il tuo nuovo TV 8K smart android allora si di informatica abbastanza per capire concetti impossibili come autenticazione, identificazione, autorizzazione. Quindi le scuse sono a 0.
Quandosi dice che la security è un probelma di processo e non di tecnologia significa che se hai disegnato il processo come lo avrebbe disegnato un bambino ritardato di 3 anni, allora il processo (legale) è quello che ti meriti.
Basta buonsimo e comprensione, si abbia il coraggio di dirlo: molti che si occupano dell’it sono dei dementi. Magari bravissimi su un prodotto ma da qui a saper disegnare processi e tecnologie sensate ne corre.
Molti che gestiscono le aziende hanno la stessa compresione del mondo in cui vivono e la relativa digitalizzazione di un paramecio (con rispetto parlando per i parameci) e se poi falliscono piangono senza capire…tutto tranne che prendersi le dovute e pagate responsabilità.
E diciamocelo una volta per tutte, IT e Security non stanno nella stessa lega. O sei parte della soluzione o sei parte del roblema. Non si può pretendere che vi sia la necessaria indipendenza e competenza se si mette la securty sotto l’IT. Nella migliore delle ipotesi se l’IT è sopra la security chi comanda non avrà interesse a capire cosa la security indica.
E, scusatemi se ho l’ardire di dirlo, security ed IT NON sono la stessa cosa, anzi si sfiorano, hanno elementi di overlapping, ma security ed IT hanno anime, conoscenze e scopi diversi.
E se volessi essere cattivo menzionerei il GDPR e i processi di privacy che NON corrispondono all’IT e NEANCHE alla security.
Lo so che chi legge si divide in 2 categorie:
Chi capisce già sa e o si rassegna o si incazza ma non si espone (tranne pochi suonati come me)
Chi non capisce, per lo più, perchè non vuole capire, fino a quando può dare la colpa ad altri…
La realtà è che siamo in un ambito complesso dove la conoscenza specifica di un pezzetto non significa avere la visione di insieme. Ma siccome chi “dovrebbe” avere la visione di insieme si arroga il diritto e l’onere di devidere avendo la visibilità di una minima parte i risultati sono quelli che viviamo oggi.
E siccome chi decide non ammette di aver deciso “male” la colpa, la reponsabilità e e richieste assurde vanno indirizzate su chi non ha ne strumenti ne scopo per risolvere il problema.
in cui si sosteneva che una passphrase era meglio di una password complessa ma corta.
il tutto mostrato da questa tabella.
La discussione che ne è seguita è stata interessante per diversi aspetti, alcuni tecnici alcuni ludici, ma la mia impressione in merito è che si è evidenziato, ancora una volta, come gli esperti di sicurezza informatica amino parlarsi addosso e riferire il tutto alla loro conoscenza ed esperienza.
Un Approccio che va a braccetto, spesso, con la mancanza di capacità di astrazione e contestualizzazione. Ci si concentra sul Bit più che su chi il bit lo subisce.
Ora sgombriamo subito il dubbio su alcuni aspetti:
computazionalmente non credo che vi siano dubbi sul fatto che più lunga è la password più difficile e decifrarla via bruteforce (tentativi iterativi) anche con sistemi misti con dizionari. la questione matematicamente è stata affrontata tramite il concetto di entropia sui dettagli vi lascio l’ottimo post di Paolo Perego: https://codiceinsicuro.it/blog/entropia-password-e-passphrase
tutti concordiamo, spero, che la gestione delle password va al di la della password stessa. L’archiviazione delle password in luoghi sicuri è altrettanto importante quanto la password stessa. Possiamo avere una password lunga a piacere e poi lasciare che sia archiviata dal servizio che usiamo in chiaro, su un database accessibile con poco sforzo su internet. In questo caso la sicurezza è almeno discutibile.
Non tutti coloro che usano password sono tecnici informatici esperti di sicurezza, ma c’è sempre da considerare quella sfigata della massaia di voghera usata come cattivo esempio su tutto.
Il punto 3 è quello che mi da più problemi perchè, nella discussione, mi è sembrato sempre mancare questa percezione su chi usa il servizio.
La sicurezza informatica è spesso relegata all’ambito aziendale, nulla di male per carità, peccato che la digitalizzazione dei servizi, anche ludici, si è oramai diffusa ben oltre tale perimetro e quindi occorre iniziare a pensare al fatto che i ragionamenti di sicurezza vanno fatti sul riferimento dei un utente che non è l’esperto di settore.
Un esempio classico è stata la discussione sul remote working (chi lo chiama smart-working si becca una mia personale sequela di improperi), tutti a sollevare correttissime bandierine sul rischio che dalla casa del lavoratore potesse arrivare il mostro che colpiva l’azienda, nessuno, o quasi (io e pochi altri), a valutare l’impatto del rischio verso le pertinenze domestiche del lavoratore remoto. Anche se, chiariamoci, esistono precisi obblighi anche legislativi ed esiste la responsabilità oggettiva in caso di danneggiamenti alle proprie pertinenze o alla propria riservatezza (GDPR docet).
La discussione sulle password si è svolta in maniera analoga, in pura assenza di contesto che non sia quello della propria personale competenza ed esperienza, al punto di negare un punto banale come quello del punto “1”.
Fatevene una ragione, ma sistemi complessi di gestione password non sono di facile implementazione se allarghiamo la platea al di fuori del perimetro aziendale, e quindi guide e supporto in tal senso per il grande pubblico sono necessarie.
Imporre una lunghezza minima per passphrase di 20 caratteri è differente da dare la password minima a 8. E se pensate che l’utente medio usi password managers da telefonino per gestire password complesse vivete probabilmente su un pianeta diverso dal mio.
Quindi obiettare che non è vero che una password mnemonica più lunga sia più sicura rispetto ad una di 10 con caratteri speciali, lettere maiuscole e minuscole è vero nella misura in cui non si considera l’utilizzatore.
Per chi ha una minima familiarità col social engineering probabilmente queste cose sono note, ma tant’è.
Più le password sono complesse meno l’utente medio è portato ad usarle in maniera univoca, inoltre l’esigenza di ricordarle porta alla loro utilizzazione in maniera semplificata, a tutto vantaggio, ad esempio, di dictionary attack.
Se si da una lunghezza minima questa sarà per lo più quella usata dalla maggior parte degli utenti, aumentare il numero minimo di caratteri in questo senso aiuta più che tante prediche.
Più la password è complicata più aumenta il senso di frustrazione degli utenti e la loro intolleranza, la usability anche se non vi piace va tenuta in contro perchè poi incide sui sistemi di sicurezza in maniera pesante, basta pensare che tutti sono informaticamente savi.
Tra una password di 20 caratteri ed una di 10 c’è un fenomeno psicologico interessante che porta utente a sentire meno il peso di introduzione di una passphrase mnemonica perchè la quantità di caratteri consente anche frasi di senso compiuto più facili da ricordare rispetto ad un astruso set da 10 caratteri.
Molte delle tecniche suggerite (cambi posizionali, uso di semplici algoritmi di sostituzione) NON sono alla portata di molti utenti. E piantiamola di credere che non sia cosi, se candidati manager di una PA si lamentano di un test con problemi di terza media pensate davvero che un utente che usa in maniera ludica il computer si metta a fare certi ragionamenti?
I password manager, estremamente gettonati nel thread che ha dato origine a questo post, altrettanto non sono una garanzia per diversi motivi, al di la dei rischi connessi a quelli cloud va da considerare anche il fatto che molti utenti neanche immaginano cosa siano.
Insomma intavolare una discussione sulle password senza tener in conto chi le password le immette rischia di trovare una soluzione ottima ma inutilizzabile ai più, con le relative conseguenze.
I have been recently interviewed on 5G issues and this made me realize how confusing is the knowledge and understanding about 5G.
Most of the time, when I heard on mainstream media comment about 5G I find form one side apologetic wonders of how this or that vendor with 5G can solve all human problems, form the other side fears related strictly to the fact that 5G today means Chinese or European vendors, for the first time in years the USA is not leading technologically a strategic sector.
even lesser I heard about the link between 5G and IoT and what this means.
Generally speaking, most of the discussions on IoT are focused on devices and not as a system, as well in most of the case I seldom find consideration related to 5G implementation and security. This is quite annoying from my point of view since security in IoT (I wrote about that on The IoT files) is more than the single device security and 5G security issues are not related to Huawei spying us.
And to say the truth from my point of view (Italian and European) would not make much difference if the spy comes from China, Russia, the USA, or the UK.
The first problem I to understand if there is a relationship between IoT and 5G. Well, the relationship is kind of simple: with the current technologies, the IoT is hardly limited due to connectivity, IP and bandwidth issues. 5G aim is to overcome those limitations offering broadband connectivity that can support IoT needs. this will require investment, change of business models and…wait to read this go to my previous IoT articles, I called them the IoT files because there is so much thing to say an article can not cover everything.
Turning back to the point so, 5G is the technology that can glue IoT in terms of connectivity, but what does it mean? Well, when we listen to 5G we listen to how we can create smart cities, how we can connect cars together so they drive better and safer with autonomous drive and so on.
5G is exactly about this, allowing all this to happen.
All typos are because I never read slides back, lol forgive me
Almost everything you heard about IoT requires 5G to become reality because current mobile broadband would not be suited to cover those needs, we are not talking about a test with a few cars that can communicate over 4G but billion of devices somehow interconnected with different priority needs, bandwidth needs, security, and privacy needs.
Basically anything that is recently referred to as “SMART something” and IoT will be bound to a technology that will allow fast, secure and reliable data connections.
As of now, 5G is the answer but, there is a problem, the champions of 5G technology aren’t from the USA and the biggest player is Chinese (Huawei holds the highest number of patents on 5G technology).
All typos are because I never read slides back for proofreading, lol forgive me 😂
This thing that can be irrelevant is actually the big issue at the moment, so big that all serious consideration on 5G is demanded as an afterthought in a second-level line of consideration.
Geopolitical technology and economic issues are at the moment the rising stars, make enough rumor to cloud judgment and to move attention to serious issues.
I am not saying that those are no problems, and I agree nations should try to defend themselves, but targeting the wrong point on 5G will not help to address correctly “ab Initio” the complex problem that 5G will bring home. and the main reason behind this is that if you ask what is 5G, the answer is…just a faster mobile network.
If speed would be the only reason behind 5G I would kindly agree that geopolitical issues are the obstacles, but 5G is not just “speed” is way more and the 5G security issue goes beyond the specifics of the connectivity offered at broadband level but goes into the core of what 5G has been designed for: services.
All typos are because I never read slides back, lol forgive me
we use to think that broadband mobile develope was only more speed, but actually, speed has never been the only target, speed and services always have developed hand in hand.
from a mobile perspective, 1G was offering 2.4 kbps and was designed to allow mobile phones, it was no less, no more than an extension of your home wired phone. Basic voice services and an analog protocol, low bandwidth was all we needed. issues were more at the infrastructure level so no time to bare with things that were not even in customer imagination at that time.
the real revolution arrives with 2G, it’s broadband, it’s digital (GSM, CDMA), can carry data, more stable…a revolution. we were able to send text, see caller number who was not enjoying it? and some mobile phones start to offer even a graphic screen and games (like “snake”). who really care about speed, that actually moved from 2,4 kbps to an astonishing 64 kbps?
The nice thing about 2G is the introduction of the idea that mobile phones can be so much more than a simple device to phone, and text messaging was there to prove it.
You see when the consumer space sees the opportunity for cool kinds of stuff that can make the market big, the vendor will follow. With the pressure of the internet and the new services a new need for data rise up and here you have 3G.
3G was not only tremendously faster than the predecessor but was designed with the need to transfer data.no simple text messages, you can have internet in your phone now.
Again the real difference with 2G was not “speed” but the kind of services you were bringing on board. so as a natural evolution from the old internet we moved to the new one with video, streaming, chatting and so on. A new class of services was required here the need for something more, something new 4G.
And as a matter of fact, besides the speed, the real need for 4G (or the not so cool but hey better than nothing 4.5G) was video capability.
The services drive the speed so the speed is just a consequence of the needs the technology has to address.
But if we limit to consider just the usual way we use the internet (facebook, youtube, YouPorn, LinkedIn, wechat-weixin, WhatsApp, Instagram, ticktock and so on) we could just add some megabytes more to our 4G (is what 4,5G does by the way) but here comes IoT.
IoT brings way more devices on the internet, with their needs in terms of bandwidth, connectivity, quality of services. all of this requires new technology, and being ambitious why then not thinking to make this technology able to address even the LAN\WAN realm?
This is not so stupid, the telcos have always tried to gain space in the LAN\WAN market, money can be a huge driver, the telco activities with the enterprise was related to offering connectivity to internet and voice service. The revenues for analog voice services were hight but VoIP lower dramatically the incomes since it was cheaper putting Telcos in a difficult position. If internet broadband services for home users have been a good business it requires substantial infrastructure investments that are not always covered by the revenues, hence the digital divide.
But 5G can turn all this upside down, justifying the investment that was not so cool, because 5G means all in telcos hands!
All typos are because I never read slides back, lol forgive me
If 5G is the backbone of IoT and Smart X this means an incredibly big market for telcos, since telcos will provide 5G connectivity. this is why telco vendors are so interested in 5G, alas this is a world also where security has always been a secondary issue if not a neglected one, so we cannot expect that security will be addressed correctly if other players will not put their nose in.
From this point of view governments and regulators could play a key role in leveraging security and privacy by design and by default in the 5G world design, alas at the moment all seems to be more focused on boring geopolitical issues than the real stuff
All typos are because I never read slides back, lol forgive me
In the 5G challenges, there are a few that are easy to spot if we understood that 5G is the IoT backbone. Without the lousy arrogance to think to be exhaustive here some that should, at least, taken into serious consideration:
1) fast connectivity between devices, this accordingly to the device\service need. not all IoT devices are born equal in terms of bandwidth, data processing, quality and sensitivity of data an so on, being able
2) segregation of traffic, that means every group of device that are under a specific service instance should have its traffic isolated and protected from the other ones. I would not enjoy my personal photo shared everywhere if the IoT device is my home HDDstorage where I put them. segregation of traffic is the minimum level of security we have to think of when we plan a broadband multiservice environment.
3) Quality of service is a key factor here, even if the bandwidth is incredibly hudge this does not mean that there will be no latency or bandwidth bottlenecks, and some services have to be granted no matter what, telemedicine, telesurgery just to name a couple should be prioritized upon watching youtube.
4) authentication and authorization are not less important, we need in a heterogeneous environment bein able to authenticateand authorize with the correct level of permission every single device on every single service it needs to access and with its user ownership. failing this point will means access to anyone…
5) multivendor environment, this can seem a minor issue but in an ever-growing connected devices-users-services environment being able to reassure all the stuff will work seamlessly is not so easy. maybe someone remembers issues with a famous leading network gear vendor and the nic auto speed detection protocol? standard not always mean standard, but this can open a serious breach to operativity and security if not addressed correctly.
6) not all will be 5G at the beginning, and probably when the legacy world will end we will be on 6G (which will rid of part of the infrastructure leveraging peer to peer connection directly at the device level), 7G with 5G as the old stuff. so 5G will have to deal with ethernet as well as 4G as well as what will come in the future. A gateway between the different technologies is not so simple since service definition can differ.
7) in particular, the existing mobile environment and LAN/WAN battlefield should be carefully considered, form one side we still have 3G, form the other side LAN\WAN vendor will fight back to keep their domains intact. so will be an interesting battle where again, standards and regulators could drive a little light at the end of the tunnel (hoping it is not the train)
and more could be mentioned but if I want to continue better to stop with this list.
if you are here to read means you are interested in the subject, I am impressed and thankful 🙂
So the backbone for IoT will be, at least at the beginning, 5G network wich, just to be clear, is still on implementation. If we think of what is IoT definition:
The Internet of Things (IoT) refers to the ever-growing network of physical objects that feature an IP address for internet connectivity, and the communication that occurs between these objects and other Internet-enabled devices and systems.
we can try to assume then that internet connectivity will be more and more 5G
All typos are because I never read slides back, lol forgive me
which should now clarify why speed is just one of the many issued of 5G and why 5G is not just bare connectivity but something should manage services. so now we should understand what this “service” word means here.
Basically a service is a mix of devices, connectivity, data, process and users that can be grouped somehow. There can be thousands, millions, billions of services under this simple definition (i know is mine but worth everyone to understand the point).
the main point is that services are not all the same: HTTP browsing can be a service under 5G and video broadcasting as well, the 2 are different in nature and in terms of requirements.
All typos are because I never read slides back, lol forgive me
different services require different needs and for once speed can be a good example to understand the point: what is speed?
the very concept of speed can vary from service to service, so consider the automotive and smart road ideas. In this scenario, we will have a small piece of critical data exchanged from one car to another and/or the infrastructure that has to be processed and transmitted as fast as possible. seems easy but we should consider that the cars are moving and the traffic can be largely unpredictable (I don’t know when someone will decide to get into the car to go somewhere, I can not predict if external issues will modify viability as crossing pedestrian, not in the dedicated areas, problems with the state of the road, holes, weather, flood, heartquake, superman vs batman and so on)
So here speed means very low latency, quick authentication and authorization, fast address resolution, and reliability at least. probably I should add geolocation and other critical missing point but I think we have an idea.
On the same hands if I have to move a big chunk of data, well speed means mainly bandwidth, QoS and conflict resolution if more agents/objects/users are trying to move the same os nearby data. so if you are trying to align your data center with your new cloud one and you want to move some Coperbyte of data and as well your neighborhood want to do this well we have to manage the bandwidth somehow…
Of course, if the need is just to browse and watch movies your needs are focused (remember we are in 5G) on DNSresponse and video-voice sync.
But since in a billion IoT devices there can be billions of services that at the moment do not exist, we need to create an environment able to define the need in advance (or wait for 6G for new services implementation).
so broadening the argument here 5G for IoT should, at least:
1)Segregate different services
A different class of services should be independent one to the other
Services should be arbitrary and the service set required should be one of the services definition parameters
2)Allow QoS for critical ones
Not all services are the same, internet browsing is not a running truck on a highway, a surgical operation is not like watching porn on your phone
•Smart devices like smartphones use a double connection wifi internal/sim external
•…
We know if we want to see what we have in our local storage we move data internally (At least we hope so) our gateway to the internet is our router which (should) provide some basic security stuff as firewalling and a minimum authentication at least for wifi internal connectivity. We live in a private network where connectivity is basically ethernet and wi-fi and we go on the internet with a natted address shared by all devices. Probably we have some devices that do not have a real internet exposition, other that goes just to search updates, some that connect to a web service to allow you to check and configure things and finally some that go to the internet by themselves for unknown reason (Alexa like, ROTFL). Ah, do not forget your smartphone that has both wi-fi and your 4G\4.5G connection with apps to manage both your internal LAN and the web interfaces of your LAN devices.
what 5G will change here? of course everything absolutely everything.
Everything is already on the internet
•All devices are able to connect directly to the 5G network and have public addresses
•Providers of 5G connectivity can be different and bound to users and/or device
•Devices need to know their «internal» realm in order to understand which device can be trusted or not for internal communication
•Different 5G providers have to guarantee device interoperability, segregation and security as devices were in a segregated LAN
•Internet communication should be controlled and monitored as it was a single one
Autonomous driving and smart roads are actually as fun as home networks but for the opposite reason, here we are talking about something does not exist yet, and the few test and implementation, by all means, are not a serious example of what means interaction of IoT vehicles.
the reality at the moment is simple:
•Cars do not talk to each other
•Cars do not talk to the road infrastructure
•Roads use sensors for limited scope (traffic light, street light)
•Limited information is provided by broadband connectivity (as Radio Traffic where available)
•Internet connectivity provided by car SIM or smartphone
•Some app can connect to the internet and provide indications as navigators do
•Some apps can provide autonomous analysis of traffic
•Different car-service interact with road infrastructure
•Cars and car devices are equipped with 5G capabilities from different 5G providers
•They need to be bound with the owner\owners
•They need to recognize trustable information data source
•They need to interoperate independently from the 5G provider
•They need to cover the services even when crossing country borders
•…
with 5G is clear the need for fast reliable ubiquitous and vendor\provider independent connectivity.
maybe we should expect virtual sim configured to comply driver need, but what if 2 or more people share the same car? and what kind of interaction with your smartphone and other smart devices?
let explore some consideration on the most slippery of the 3rd example, trying to move from LAN\WAN to 5G (the telcos’ dream)
What we have today (more or less):
•There is an internal (LAN) and an outside
•internal services are protected by firewalls and other security technologies
•Connectivity is provided through NIC or WI-Fi using TCP/IP protocol leveraging usually private addressing and natting to reach outside resources
•Internal resources are accessible directly internally or through a web service\web interface externally
•Resources external to the LAN are accessible trough router/firewall upon natting and authentication/authorization
•Users external to the LAN connect to the internet through mobile broadband or through Wifi
•To connect to internal resources users are identified and connected through VPN or other secure means to the LAN
•…
do I really need to describe what is the current situation? lol 🙂
what would change with 5G?
•Almost all devices are 5G connected
•Connectivity is provided by different 5G providers and can be public (using public infrastructure) or private (5G infrastructure is local)
•Interoperability has to be guaranteed regardless 5G provider or device manufacturer
•Interoperability has to be guaranteed with LAN/Ethernet previous environment
•Segregation of the internal devices has to be guaranteed as in a LAN
•Security devices should be able to work seamlessly regardless of the hybrid LAN/5G environment
•Mobile users should be able to be part of the internal network for the services in use even if they are using their own device
•…
this scenario requires a careful understanding since we have all the security problems we have in a normal network implementation plus the fact all devices can reach the internet directly and are directly exposed because of their addressing, segmentation requires multiple levels since some segment can be internally nested to others (something like we today use VLAN) and all this should communicate with the legacy world, since it is not credible an immediate takeover of 5G against LAN\WAN. Moreover, all legacy security world should be able to interoperate with the new one.
this kind of scenario is compatible with a full cloud adoption less agile with hybrid or full local implementations.
Here security and privacy issues rise up to the next level since the disintegration of the concept of LAN, started with the introduction of mobile users and BYOD, extend to almost every node but with less clear control of what is going on.
5G security, if we understand some of the implications I mentioned before, embrace a way larger concept than what people generally think. Here we are not just thinking how to secure an encrypted communication channel, which is, by the way, a clear basic requirement, but extend on how to broker, manage and control services that run on 5G.
I do not have an easy answer to this, I have seen different proposals to address such problems, as an example a central security service broker that takes into account all the request and, accordingly to rules, AI, magic and tricks solve everything.
Manca un anno al GDPR Doom’s Day e ovviamente siamo ancora impreparati ad affrontare la cosa.
Non lo dico io, ovvio, ma lo dicono le statistiche. E se i nostri amici al di la delle alpi sono messi non benissimo leggendo queste statistiche, vi lascio immaginare come siamo messi noi.
Siccome è un po che mi occupo della faccenda devo dire che mi sembra evidente che la comprensione di cosa sia il GDPR latita tra i responsabili aziendali, e le idee su come implementarlo sono spesso poche ma ben confuse.
Ho parlato in articoli precedenti diffusamente sul GDPR in tono lieve e talvolta ironico, ci provo ancora, anche se confesso che incomincio a provare un vago senso di inquietudine quando parlo di questi argomenti.
iniziamo dai alcuni errori di comprensione comuni
Il Bestiario GDPR
Il GDPR mi impedisce di collezionare i dati personali
lo ho sentito dire parecchie volte, ed ovviamente la risposta più corretta a questa osservazione è:
…ma la finiamo di dire pirlate?
Il GDPR è un regolamento che impone regole stringenti di gestione e processo dei dati personali, ma non ne impedisce ne la raccolta ne l’utilizzo. il punto è: sappiamo che ti servono, ma devi proteggere l’identità delle persone legate ai dati che hai raccolto.
Il GDPR è una roba IT, non mi interessa
e si …
…ma le multe le paghi tu non l’IT
Ovviamente tutto quello che non ci piace diventa un problema IT, peccato che l’IT sia impattata dal GDPR in maniera strumentale. Mi spiego meglio, l’IT deve implementare quelle misure che qualcuno decide debbano essere implementate per garantire il rispetto della normativa, ma non è l’IT che decide cosa implementare.
Il GDPR è una roba da avvocati, l’IT non centra
Ovviamente duale al precedente esiste la versione IT che si declina con un
ma a me cosa importa di sta roba?
peccato che una corretta implementazione dei dettami del GDPR imponga anche all’IT a ripensare i propri processi ed iniziare a gestire le cose in maniera adulta.
Io Faccio HR non mi devo occupare di queste cose
Ora notoriamente la mia posizione nei confronti della moderna interpretazione delle funzioni HR è abbastanza “critica” (lo so è un eufemismo).
…Il GDPR fa riferimento ai dati personali, ma anche quelli dei dipendenti…mi spiace ma ci sei dentro fino al collo caro HR manager…
Purtroppo per gli amici HR il GDPR non fa distinzioni tra clienti, fornitori o dipendenti. il GDPR si occupa di preservare le libertà fondamentali dell’individuo, essere impiegato non ne inficia né gli obiettivi né gli obblighi. Si, le funzioni HR devono tenere conto del GDPR.
e via scemenzando ne ho sentite fin troppe, anche da sedicenti personaggi che si offrono come esperti. Ok Ok loro dicono lo stesso di me 🙂
GDPR e Processi
Il primo che dovrebbe preoccuparsi del GDPR non è altri che il Board della azienda. La corretta implementazione del GDPR richiede infatti la esplicita presa in carico della azienda della implementazione della conformità alla nuova legge.
Nel dettato del GDPR viene esplicitato diverse volte che spetta all Data Controller di fare le valutazioni inerenti a quale sia il rischio legato alla getione dei dati personali tenendo presente da un lato le esigenze del business dall’altro le libertà individuali da proteggere.
In altre parole il motore della analisi è il Business. e questo non è un dominio che attiene all’IT ma al board della azienda.
l’implementazione del GDPR richiede che si sia in grado di fare una valutazione di Business dell’impatto del processo di raccolta ed elaborazione di dati personali. è il business che determina anche come devono essere gestiti e protetti questi dati.
Il soggetto utilizzato nella nomenclatura GDPR per fare queste valutazioni è il Data Controller. Il responsabile ultimo del trattamento, il CEO della azienda.
in altre parole chiedere alle funzioni IT di gestire il GDPR è come chiedere ad un pilota di progettare una macchina.
Alla fine della fiera la corretta implementazione della normativa richiede la definizione di processi definiti tracciabili e sicuri che consentano di gestire tutta la vita del dato personale all’interno della azienda. questo comporta:
la definizione delle responsabilità all’interno della struttura (ruolo che spetta per definizione al management)
la definizione del livello di rischio accettabile in relazione all’attività aziendale ed alla natura dei dati raccolti (che secondo il GDR spetta al management aziendale)
la implementazione di misure correttive atte a minimizzare il rischio ANCHE dal punto di vista informatico, cosa che richiede l’intervento delle funzioni IT e di sicurezza
Data Controller e Data Processor
Non si può capire cosa sia il GDPR senza aver capito appieno chi è il Data controller, chi è il Data processor e come gira il fumo 🙂
Data Controller
chi cavolo è il data controller?
Il Data controller secondo il GDPR è il responsabile del trattamento dei dati, insomma quello che decide:
che dati raccogliere
per cosa utilizzarli
valutare e gestire il rischio (attraverso lo strumento della DPIA)
In quanto responsabile, spetta al Data Controller (il CEO aziendale o chi per lui) definire quale sia il livello di rischio accettabile e quindi quali siano le misure di mitigazione corrette da mettere in piedi tenendo presente i vincoli dettati dal GDPR.
Questo non significa che altre funzioni aziendali non siano coinvolte nel processo di definizione; HR, MKTG, Sales ed IT sono componenti attive del processo. Ma alla fine la decisione spetta a chi ha la responsabilità, e questa ricade, secondo il GDPR, sul Data Controller in quanto è l’owner delle attività di business e quindi l’unico che possa valutare, come richiede GPR esposizione e rischio.
Data Processor
Ma allora chi o cosa cavolo è un data processor?
Il data Processor altri non è che chi materialmente si occupa delle attività di raccolta e processo dei dati. In quest’ottica, ad esempio, il data processor può essere sia l’operatore marketing che fa le interviste telefoniche e raccoglie i dati, che la struttura IT che gestisce la struttura informatiche che questi dati manipola e gestisce seguendo le istruzioni impartite dal Data Controller..
Mentre il Data controller è una funzione aziendale interna, il data processor può essere anche una entità esterna. è il caso di servizi offerti da terzi: dai cloud providers, alle agenzie di marketing la variabilità dei data processor dipende da come i dati ed il business è stato disegnato ed implementato.
Essendo il Data controller chi decide quale sia il livello di rischio accettabile e quindi le opportune misure di mitigazione il processo di implementazione del GDPR non può partire dai data processor che invece sono le funzioni “implementative”.
Per esemplificare al data controller spetta la definizione dei parametri di business e il livello di rischio accettabile. questo comporta assumersi la responsabilità di come i dati vengono raccolti, gestiti e protetti.
Al Data processor invece spetta l’implementazione operativa delle misure di sicurezza richieste dal Data controller e le operazioni generiche di gestione dei dati.
Insomma il GDPR non dice che devi usare encryption, ma dice che spetta al Data Controller decidere se questa sia una misura adatta a proteggere le libertà individuali associate an un non corretto uso dei dati raccolti in funzione degli imperativi di business.
ovviamente il Data Controller è libero di andare dalle funzioni IT per chiedere:
si può fare?
quanto costa?
ma non spetta all’IT decidere in seno alla implementazione o meno della misura.
Altri aspetti del GDPR richiedono attività che coinvolgono un corretto disegno della struttura manageriale e di reporting che sono di delicata implementazione vista la storica sclerosi delle strutture manageriali italiane storicamente avverse a qualsiasi cambiamento. ma questo è un punto su cui il GDOR non transige, pur non dando indicazioni specifiche richiede l’esplicita responsabilità aziendale nei confronti della implementazione del dettato di legge. alcuni vincoli tuttavia sono esplicitati in termini di legislazione locale anche in italia, ad esempio come si sta definendo la figura del DPO che, è chiaro dal dettato del GDPR, non ha responsabilità diretta sulla implementazione del GDPR che rimane in toto al data controller, e che deve avere il garantito livello di autonomia ed indipendenza dalle altre funzioni aziendali (il che taglia fuori, ad esempio, it managers, sales managers o ruoli simili).
L’inversione dell’onere della prova
Un aspetto probabilmente non ancora ben digerito della nuova normativa è il concetto sottointeso di inversione dell’onere della prova.
Spetta al Data controller dimostrare di essere compliant al GDPR in caso di controlli e o di incidenti.
in altre parole:
sei colpevole se non dimostri la tua innocenza
Questo significa che gli obblighi indicati dal GDPR non sono formali ma sostanziali, e la loro implementazione deve essere formalmente dimostrabile, altrimenti, indipendentemente che ci si sia comportati bene o meno, si è formalmente e sostanzialmente non conformi e quindi perseguibili a termini della normativa.
Insomma non possiamo “ciurlare nel manico” più di tanto, ma siamo obbligati a mettere in piedi processi dimostrabili in maniera chiara, attraverso documentazione, reporting, funzioni aziendali correttamente definite.
