Qualche dritta su KASPERSKY.

Come sempre preferisco affrontare con la massima serenità tutte le novità usate da qualcuno per fare cassa.

Il problema di KASPERSKY ad oggi non è dato dal fatto che il produttore possa violare i nostri sistemi, il vero problema è che potrebbe non contunare a dare gli aggiornamenti ed ad essere proattivo.

A mio avviso ho sempre considerato KASPERSKY un prodotto appena mediocre ma non voglio inferire. Continuando come da mia bitudine vi lascio l’articolo 28 DL UCRAINA

ART. 28

(Rafforzamento della disciplina cyber)

Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi

informatici delle amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30

marzo 2001, n. 165, derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di

sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e

aggiornamenti ai propri prodotti appartenenti alle categorie individuate al comma 3, in conseguenza

della crisi in Ucraina, le medesime amministrazioni procedono tempestivamente alla diversificazione

dei prodotti in uso.

Le stazioni appaltanti, che procedono ai sensi del comma 1, provvedono all’acquisto di un ulteriore

prodotto o servizio tecnologico di sicurezza informatica di cui al comma 3 e connessi servizi di

supporto mediante gli strumenti di acquisto messi a disposizione dalle centrali di committenza,

ovvero, laddove non sussistano o non siano comunque disponibili nell’ambito di tali strumenti, ai

sensi dell’articolo 63, comma 1, del decreto legislativo 16 aprile 2016, n. 50. Si applicano le

disposizioni di cui al comma 5, secondo, terzo e quarto periodo del medesimo articolo 63.

Le categorie di prodotti e servizi di cui al comma 1 sono indicate con circolare dell’Agenzia per la

cybersicurezza nazionale, tra quelle volte ad assicurare le seguenti funzioni di sicurezza:….

Quindi se dovete cambiare già ANTIVIRUS fatelo, altrimenti fate una buona analisi e cercate con calma qualche buona alternativa… io ci sono.

NO MARTINI NO PARTY. NO PTICTPA YES SANZIONI.

Sappiamo tutti che l’articolo 41 del Dl 77/21 ha introdotto nel CAD l’articolo 18 bis

Art. 18-bis (Violazione degli obblighi di transizione digitale).

1. L’AgID esercita poteri di vigilanza, verifica, controllo e monitoraggio sul rispetto delle disposizioni del presente Codice e di ogni altra norma in materia di innovazione tecnologica e digitalizzazione della pubblica amministrazione, ivi comprese quelle contenute nelle Linee guida e nel Piano triennale per l’informatica nella pubblica amministrazione, e procede, d’ufficio ovvero su segnalazione del difensore civico digitale, all’accertamento delle relative violazioni da parte dei soggetti di cui all’articolo 2, comma 2. Nell’esercizio dei poteri di vigilanza, verifica, controllo e monitoraggio, l’AgID richiede e acquisisce presso i soggetti di cui all’articolo 2, comma 2, dati, documenti e ogni altra informazione strumentale e necessaria. La mancata ottemperanza alla richiesta di dati, documenti o informazioni di cui al secondo periodo ovvero la trasmissione di informazioni o dati parziali o non veritieri e’ punita ai sensi del comma 5, con applicazione della sanzione ivi prevista ridotta della meta’.

2. L’AgID, quando dagli elementi acquisiti risulta che sono state commesse una o piu’ violazioni delle disposizioni di cui al comma 1, procede alla contestazione nei confronti del trasgressore, assegnandogli un termine perentorio per inviare scritti difensivi e documentazione e per chiedere di essere sentito.

3. L’AgID, ove accerti la sussistenza delle violazioni contestate, assegna al trasgressore un congruo termine perentorio, proporzionato rispetto al tipo e alla gravita’ della violazione, per conformare la condotta agli obblighi previsti dalla normativa vigente, segnalando le violazioni all’ufficio competente per i procedimenti disciplinari di ciascuna amministrazione, nonche’ ai competenti organismi indipendenti di valutazione. L’AgID pubblica le predette segnalazioni su apposita area del proprio sito internet istituzionale.

4. Le violazioni accertate dall’AgID rilevano ai fini della misurazione e della valutazione della performance individuale dei dirigenti responsabili e comportano responsabilita’ dirigenziale e disciplinare ai sensi degli articoli 21 e 55 del decreto legislativo 30 marzo 2001, n. 165. Resta fermo quanto previsto dagli articoli 13-bis, 50, 50-ter, 64-bis, comma 1-quinquies, del presente Codice e dall’articolo 33-septies del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221.

5. In caso di mancata ottemperanza alla richiesta di dati, documenti o informazioni di cui al comma 1, ultimo periodo, ovvero di trasmissione di informazioni o dati parziali o non veritieri, nonche’ di violazione degli obblighi previsti dagli articoli 5, ((7, comma 3, 41, commi 2 e 2-bis, 43, comma 1-bis,)) 50, comma 3-ter, 50-ter, comma 5, 64, comma 3­bis, 64-bis del presente Codice, dall’articolo 65, comma 1, del decreto legislativo 13 dicembre 2017, n. 217 e dall’articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, ove il soggetto di cui all’articolo 2, comma 2, non ottemperi all’obbligo di conformare la condotta nel termine di cui al comma 3, l’AgID irroga la sanzione amministrativa pecuniaria nel minimo di euro 10.000 e nel massimo di euro 100.000. Si applica, per quanto non espressamente previsto dal presente articolo, la disciplina della legge 24 novembre 1981, n. 689. I proventi delle sanzioni sono versati in apposito capitolo di entrata del bilancio dello Stato per essere riassegnati allo stato di previsione della spesa del Ministero dell’economia e delle finanze a favore per il 50 per cento dell’AgID e per la restante parte al Fondo di cui all’articolo 239 del decreto-legge 19 maggio 2020, n. 34, convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77.

6. Contestualmente all’irrogazione della sanzione nei casi di violazione delle norme specificamente indicate al comma 5, nonche’ di violazione degli obblighi di cui all’articolo 13-bis, comma 4, l’AgID segnala la violazione alla struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la transizione digitale ((che, ricevuta la segnalazione)), diffida ulteriormente il soggetto responsabile a conformare la propria condotta agli obblighi previsti dalla disciplina vigente entro un congruo termine perentorio, proporzionato al tipo e alla gravita’ della violazione, avvisandolo che, in caso di inottemperanza, potranno essere esercitati i poteri sostitutivi del Presidente del Consiglio dei ministri o del Ministro delegato. Decorso inutilmente il termine, il Presidente del Consiglio dei ministri o il Ministro delegato per l’innovazione tecnologica e la transizione digitale, valutata la gravita’ della violazione, puo’ nominare un commissario ad acta incaricato di provvedere in sostituzione. Al commissario non spettano compensi, indennita’ o rimborsi. Nel caso di inerzia o ritardi riguardanti amministrazioni locali, si procede all’esercizio del potere sostitutivo di cui agli ((articoli 117, quinto comma, e 120, secondo comma)), della Costituzione, ai sensi dell’articolo 8 della legge 5 giugno 2003, n. 131.

7. L’AgID, con proprio regolamento, disciplina le procedure di contestazione, accertamento, segnalazione e irrogazione delle sanzioni per le violazioni di cui alla presente disposizione.

8. All’attuazione della presente disposizione si provvede con le risorse umane, strumentali e finanziarie gia’ previste a legislazione vigente.

Detto questo forse non è chiaro che le prime sanzioni (fino a 100K) arriveranno proprio per l’inesistenza e l’inadeguatezza dei PTICPA.

INOLTRE SARA’ IMPOSSIBILE ACCEDERE AI BANDI PADIGITALE2026 DEL PNRR SENZA UN PIANO STRATEGICO DATO PROPRIO DA QUESTO DOCUMENTO DI INDIRIZZO.

Vi allego il PIANO TRIENNALE da compilare e le indicazioni dell’AGID.

Come sempre resto a disposizione per workshop e preventivi personalizzati

SCADENZA STRAORDINARIA ENTRATEL

VI CONSIGLIO DI PRENDERE NOTA DI QUESTO COMUNICATO DELL’AGENZIA DELLE ENTRATE.

21-01-2022 – Rinnovo certificati per adeguamento ai nuovi standard di sicurezza

L’Agenzia delle entrate, ha reso più sicuri i certificati digitali per la firma e cifratura dei documenti informatici da scambiare mediante i canali telematici e l’infrastruttura SID. In particolare, i nuovi requisiti minimi di sicurezza da recepire entro il 30/04/2022 sono:

  • algoritmo di hash: SHA-256;
  • algoritmo di cifratura: AES-256;
  • lunghezza delle chiavi RSA: 4096 bit (cifratura) e 4096 o 2048 bit (firma).

Gli utenti interessati potranno rinnovare i propri certificati utilizzando le applicazioni “Desktop Telematico – Entratel” oppure “Generazione certificati”, mediante le quali è possibile anche verificare l’aggiornamento dei certificati, come di seguito descritto.

  • Desktop Telematico: utilizzare la funzione “Sicurezza – Visualizza certificati” del menù “Entratel”, selezionare il bottone “Dettaglio” dopo aver specificato il certificato da verificare, e verificare che nella cartella “Generale – Certificato selezionato” appaia la dicitura “Chiave Pubblica: Sun RSA public key, 4096 bits”; nel caso la dicitura elenchi un valore diverso, il certificato dovrà essere aggiornato procedendo alla revoca dell’ambiente di sicurezza e alla generazione di un nuovo ambiente di sicurezza;
  • Gestione certificati: utilizzare la funzione “Gestisci ambiente – Visualizza certificati”, selezionare il bottone “Dettaglio” dopo aver specificato il certificato da verificare, e controllare che nella cartella “Generale – Certificato selezionato” appaia la dicitura “Chiave Pubblica: Sun RSA public key, 4096 bits”. Qualora la dicitura descriva un valore diverso, il certificato dovrà essere aggiornato procedendo alla revoca dell’ambiente di sicurezza e alla generazione di un nuovo ambiente di sicurezza.

Eventuali richieste di generazione dei certificati effettuate con una versione non aggiornata delle applicazioni, saranno scartate dal sistema con il messaggio: “Formato della richiesta di iscrizione al registro utenti non valido (K1024). Verificare la versione del software di generazione dell’ambiente di sicurezza”.

In estrema sintesi, la scadenza naturale dell’ambiente ENTRATEL, tre anni, DEVE essere anticipato se i certificati non hanno la chiave di cifratura RSA : 4096 BIT, quindi corriamo ai ripari e muoviamoci in anticipo, già ora, altrimenti sono ……amari.

Come fare:

Come vedete io sono stato fortunato, altrimenti ….procuratevi le credenziali rilasciate dll’ADE e BUON LAVORO.

SICUREZZA INFORMATICA – GUERRA UCRAINA

Il Computer Security Incident Response Team – Italia ha dato alcune raccomandazioni anche per gli enti fuori dal NIS (Network and Information Security).

Solitamente non spingo a fare nuovi investimenti in sicurezza informatica per casi “eccezionali”, ma queste raccomandazioni (almeno la maggioranza di queste) possono essere fatte in economie .

Riporto le racccomandazioni del CSIRT ed invito a rendicontare qualsiasi anomalia da inserire poi nelle MMS di giugno 2022 e magari solo dpo fare investimenti in sicurezza anche grazie al PNRR

Descrizione e potenziali impatti

L’acuirsi delle attività malevole nello spazio cibernetico incrementa la possibilità che le stesse possano generare fenomeni di spillover al di fuori degli assetti direttamente oggetto delle campagne.

I vettori principali per condurre tali attività malevole dall’esterno del perimetro delle reti aziendali sono riferibili a:

– utilizzo di piattaforme di comunicazione pubbliche per il rilascio di codice malevolo;

– invio di email di phishing contenenti allegati o link malevoli nel body delle email;

– file malevoli distribuiti tramite piattaforme di condivisione peer to peer;

– sfruttamento di vulnerabilità note nei sistemi internet facing;

– malware rilasciato tramite siti web appositamente creati o compromessi, ad esempio per campagna di watering hole;

– utilizzo di sistemi che possano essere utilizzati per amplificare l’effetto di attacchi DDoS volumetrici (e.g. LDAP e DNS non correttamente configurati).

Per quanto invece concerne lo sfruttamento di asset interni alla rete, particolare attenzione va posta nel rilevamento rapido di anomalie riscontrate nei sistemi di gestione e di networking (in quanto gli stessi in caso di compromissione possono rappresentare dei facilitatori alle attività avversarie) quali:

– sistemi di gestione delle patch;

– sistemi di asset management;

– sistemi di gestione remota;

– sistemi di sicurezza (antivirus, firewall, etc);

– sistemi assegnati agli amministratori;

– sistemi centralizzati di logging, backup, file sharing, storage;

– sistemi per la gestione di un dominio (es. Active Directory, LDAP, etc)

– apparati di rete (router, switch).

Azioni di Mitigazione

Con l’aumentare dei rischi connessi alle attività malevoli in corso nel cyberspazio ucraino, è necessario adottare, se non già fatto, misure di protezione prioritarie che abbraccino i seguenti ambiti:

riduzione della superficie di attacco esterna

riduzione della superficie di attacco interna

controllo stringente degli accessi ai sistemi/servizi

monitoraggio dei log, del traffico di rete e delle attività effettuate dagli account di amministrazione

organizzazione interna per la preparazione e gestione delle crisi cibernetiche

pianificazione della revisione delle proprie infrastrutture IT in ottica Zero Trust

sostenere l’infosharing interno ed esterno.

Di seguito le raccomandazioni di dettaglio

Riduzione della superficie di attacco esterna

  • eseguire l’asset management approfondito di tutti i sistemi direttamente o indirettamente esposti su Internet verificandone Sistema Operativo e software installato (e relativo patch level), servizi in esecuzione, task schedulati, regole di firewalling che ne consentono l’esposizione, sistemi di protezione (AV, EDR, WAF, HIPS, NIPS, Firewall, CDN, etc) e relativo livello di aggiornamento e corretta configurazione, disponibilità di tutto il necessario per la reinstallazione completa del sistema (golden image, codice sorgente, struttura database, etc);
  • assicurarsi che su tutte le componenti di tali sistemi siano implementate le best practice più restrittive in termini di sicurezza, disabilitando inoltre tutte le funzionalità/pacchetti non necessari;
  • eseguire la bonifica di tutti i record DNS non più utilizzati;
  • implementare sui propri DNS autoritativi le seguenti misure: disabilitazione della ricorsività, limitazione della ricorsività ai soli client necessari, implementare il response rate limiting;
  • verificare l’effettiva necessità di esposizione dei sistemi identificati e ove non necessario procedere alla rimozione degli stessi;
  • procedere al patching di tutte le componenti identificate ponendo particolare attenzione ad utilizzare solo fonti verificate per il reperimento del software di aggiornamento;
  • in caso non fosse possibile per limitazioni applicative l’attività di patching valutare la possibilità di disconnettere il servizio/asset, implementare sistemi di virtual patching, segregare in una DMZ dedicata le componenti non aggiornabili consentendo alle stesse esclusivamente le comunicazioni strettamente necessarie al funzionamento del servizio ospitato, innalzare al livello massimo le capacità di logging e monitoraggio di tali sistemi;
  • verificare i flussi di comunicazione disponibili agli asset esposti, riducendoli alle sole comunicazioni essenziali ed innalzando il livello di logging e monitoraggio di tali flussi;
  • inibire, se non strettamente necessario, il traffico in uscita degli assetti esposti su internet.

Riduzione della superficie di attacco interna

  • verificare/implementare la segmentazione della rete assicurandosi che le regole di gestione del traffico client-to-server e server-to-server consentano esclusivamente traffico strettamente necessario al corretto funzionamento delle applicazioni assicurandosi che tali flussi siano definiti, documentati, approvati e monitorati;
  • verificare/implementare una rete segregata per tutto il management degli apparati di rete, storage, infrastrutture di virtualizzazione;
  • verificare tutti gli accessi alla rete Internet rimuovendo, ove possibile, quelli non strettamente necessari, e assicurandosi che offrano capacità di logging e di impostazione di regole di blocco del traffico;
  • verificare che tutte le componenti della rete siano correttamente censite e gestite;
  • irrobustire i controlli effettuati dai sistemi antispam per ridurre la consegna di possibili email di phishing;
  • eseguire sessioni interne di istruzione per il proprio personale in particolare evidenziando i rischi connessi all’apertura di file e link ricevuti tramite sistemi di posta elettronica, sms, instant messaging.

Controllo degli accessi

  • implementare l’autenticazione multifattoriale per i servizi esterni ed interni;
  • verificare/implementare la password policy (min. 12 caratteri alfanumerici, maiuscole minuscole, caratteri speciali), e la lockdown policy, verificando inoltre che le password inserite non siano contenute in databreach pubblici (es. utilizzando il servizio HIBP) e valutando l’opportunità di forzare un reset password complessivo per tutta l’utenza;
  • rimuovere le autorizzazioni legate a gruppi generici (es. Everyone, Domain Users, Autenticated Users) assicurandosi che ogni utente appartenga al corretto gruppo autorizzativo;
  • assicurarsi che venga utilizzato un account di servizio dedicato per ogni differente servizio e che questi siano correttamente documentati;
  • ridurre i permessi concessi agli account di servizio al livello minimo necessario al corretto funzionamento delle applicazioni, rimuovendo ove possibile le autorizzazioni al logon locale e interattivo, l’accesso alle share di rete o a dati critici non necessari;
  • testare con cadenza periodica (in dipendenza in particolare dalla specifica profondità temporale) la funzionalità dei backup.

Monitoraggio

  • innalzare i livelli di monitoraggio in particolare per gli account dotati di privilegi amministrativi e per gli account di servizio, verificando con attenzione i log relativi ai login con successo/falliti, all’accesso alle share di rete, ai logon interattivi e di rete effettuati tramite sessione remota;
  • monitorare i flussi di rete identificando connessioni effettuate verso porte non previste dalle applicazioni;
  • monitorare gli eventi che possono rappresentare attività di scansione o di enumerazione;
  • assicurarsi che i sistemi di logging e raccolta degli stessi siano sempre adeguati in caso di modifiche architetturali e che coprano tutti i sistemi presenti sulla rete;
  • identificare e innalzare il livello di monitoraggio delle componenti di rete/servizio che possono rappresentare punti di snodo per il passaggio tra segmenti differenti;
  • monitorare le proprie reti utilizzando tutti gli indicatori di compromissione disponibili.

Organizzazione

I soggetti e le organizzazioni sono inviati ad analizzare la propria struttura organizzativa nell’ottica di verificare che sia adeguata alla preparazione e gestione di un incidente informatico di impatto elevato sulla propria operatività, da tutti i punti di vista, sia tecnologico, sia di business.

Pianificazione

Oltre alla revisione dei propri piani interni relativi alla gestione degli incidenti informatici (es. Incident response plan) e alla continuità operativa (es. Disaster recovery plan, Business continuity plan), si consiglia, ove già non in essere, l’avvio di un percorso di revisione delle proprie infrastrutture IT che porti all’adozione di paradigmi Zero Trust in grado di innalzare in maniera sensibile la resilienza delle stesse.

Infosharing

La condivisione delle informazioni rappresenta un moltiplicatore importante in termini di protezione dello spazio cibernetico e pertanto si invitano tutti i soggetti a monitorare i canali istituzionali dello CSIRT Italia e a condividere con lo stesso tramite i moduli di segnalazione e la mail info@csirt.gov.it ogni informazione ritenuta d’interesse.