In questo periodo sono immerso nella comprensione e schematizzazione di come mettere in atto, non solo dal punto di vista operativo ma anche da quello burocratico, quanto espone la Direttiva NIS2.

Non so quanti lo sanno, ma la scorsa legislatura europea si è composta da una serie di passaggi al fine di regolamentare la cybersecurity in modo strutturato.

immagine da Pixabay

Fino ad oggi, anzi per essere precisi fino ad ottobre 2024, la situazione della sicurezza informatica era sostanzialmente priva di regole. Al limite entravano la GPDR nella casistica in cui venivano sottratti dati personali o sensibili.

Al netto di scemenze che ho dovuto sentire in questi mesi, ad esempio:

il 99% delle aziende è stata hackerata ma non lo sa

direi che per una cosa priva di regole, anche il più fesso del villaggio un Firewall ce l'ha di sicuro, e non mi riferisco a quello del router del provider, che poi tale non lo è.

Ma con questa direttiva il Firewall non basta, occorre andare oltre con tecnologie di controllo del traffico, comportamentale, di ispezione di ogni singolo pacchetto dati, eccetera.

E la questione esce anche dall'ambito più prettamente tecnico, perché persino il top management è coinvolto. Esso deve essere formato e coinvolto nel processo decisionale di strategia sulla cybersicurezza. Ci sono poi le formazioni e il "phishtest" dei dipendenti.

Immagino solo certi titolari d'azienda che hanno una certa età, al di là del fatto che il tempo non ce l'hanno, voglio vedere a spiegargli certe cose che sono complicate persino per me.

C'è poi il bastone che sorregge la carota, ovvero i guai potenziali che si potrebbero passare in determinate situazioni. Tralascio il contesto delle pene pecuniarie oggettivamente esagerate, poiché ci sono situazioni peggiori.

immagine generata con Dall-E

Nel malaugurato caso ci si trovi nel mezzo della bufera a causa di un data breach, una particolare autorità di Stato ha dei poteri di fatto illimitati. E per illimitati intendo proprio il senso etimologico della parola.

Può ad esempio letteralmente buttare fuori non solo i dipendenti di un'azienda, ma persino il titolare, rimuovendolo il tempo necessario a risolvere il problema dal suo ruolo effettivo. Cioè l'azienda è sua, ma non ci può mettere piede poiché inibito anche solo all'accesso.

Evidentemente, come spesso accade, questa regola era stata inizialmente scritta per un contesto di pubblica amministrazione, dove il Direttore viene privato dei suoi poteri seppur in modo temporaneo. Ma poi in qualche modo è rimasta anche per quello che sono le aziende private.

La cosa poi è anche in parte comica, perché per tutta la NIS2 viene citato più volte il fattore temporale, ovvero ripristinare lo stato di operatività nel più breve tempo possibile. Il fatto è che se una autorità butta fuori tutti, compresi i tecnici o i fornitori che quel sistema lo hanno concepito, tra comprendere come sono composte le VLAN, come sono state strutturate le difese, chi era coinvolto e perché, il tempo si dilata in modo smisurato. E aggiungerei pure in modo controproducente, perché bloccando l'Azienda forse era proprio quello a cui i cyber criminali miravano.

Vedremo in futuro come e cosa succede, certo che trovo questa nuova Polizia Informatica alquanto inquietante per il potere di cui dispone.

---

Posted from my blog: https://blog.tosolini.info/

---