ASSOCIAZIONE ITALIANA PER
LA SICUREZZA INFORMATICA

20 luglio 2003

Newsletter CLUSIT

 indice

 

www.clusit.it

 

1. NUOVI SOCI

2. Nuove linee guida dell’OECD

3. Studio sui sinistri informatici in Francia

4. Convegni CLUSIT a SMAU 2003

5. User Management

6. Curiosità dalla Rete

7. EVENTI SICUREZZA

 

1. NUOVI SOCI

Durante l'ultimo mese hanno aderito al CLUSIT le seguenti organizzazioni:

- AIPSA-Associazione Italiana Professionisti Security Aziendale (Milano),
- HOURIL Informatix (Milano),

- Krealab (Modena),

- Marconi Selenia Communications (Abbadia S. Salvatore – SI),

- Schlumberger Sema (Pont Saint Martin – AO),

- SUSE Linux (Castelnuovo R. – MO).

 

2. Nuove linee guida dell’OECD

 

 

Il 21 giugno 2003 l'OECD (Organisation for Economic Co-operation and Development) ha pubblicato nuove linee guida per contrastare le frodi internazionali e lo spam.

Il documento non parla esplicitamente di spam ma, raccomandando ai 30 stati membri dell'organizzazione (tra cui USA e Giappone) di collaborare contro le frodi internazionali, allude chiaramente alla pratica delle email commerciali non richieste.

Le linee guida aiutano a rendere più semplice ai governi membri la raccolta e lo scambio di informazioni utili alle investigazioni oltre a migliorare la cooperazione per l'incriminazione degli spammers e dei responsabili di frodi internazionali.

Il documento "OECD Guidelines for Protecting Consumers from Fraudulent and Deceptive Commercial Practices Across Borders" è disponibile in italiano:

http://www.oecd.org/dataoecd/59/1/1946954.pdf

 

3. Studio sui sinistri informatici in Francia

Il CLUSIF (Associazione francese per la sicurezza dei sistemi di informazione) ha realizzato anche quest’anno uno Studio statistico sui sinistri informatici in Francia. Hanno collaborato all’inchiesta 600 imprese private (industria 25%, commercio 22%, trasporti 10%, servizi 27%, edilizia 9%, telecom 9%) e 100 collettività pubbliche (amministrazioni dello Stato 40%, collettività locali e territoriali 30%, strutture ospedaliere 30%). Il 2002 è stato caratterizzato da due grandi tendenze: l’accelerazione dell’apertura dei sistemi d’informazione e un forte aumento delle infezioni da virus. Benché i mezzi umani, organizzativi e tecnologici siano in progressione, la concezione e la messa in atto di una strategia globale della sicurezza sono ancora troppo marginali. "Facendo un raffronto tra i limitati mezzi messi a disposizione nelle imprese e la forte dipendenza delle stesse dai loro sistemi d’informazione, c’è da chiedersi se si tratti di incoscienza del Management aziendale, di mancanza di tempo o di una consapevole e calcolata accettazione del rischio".

Lo Studio (in francese) è scaricabile da:  https://www.clusif.asso.fr/fr/production/sinistralite/docs/etude2002.pdf

 

4. Convegni CLUSIT a SMAU 2003

(2-6 Ottobre)

"Frodi in Internet: quali difese per il cittadino"

Nell’ambito del convegno verranno illustrate le tecniche più diffuse per truffare gli utenti in internet e le contromisure che possono essere adottate per difendersi.

Verranno illustrate le iniziative messe in atto o in fase di studio da parte del Governo, del Ministero delle Comunicazioni e delle Istituzioni preposte.


"Le iniziative europee nel settore della sicurezza informatica"

Nel convegno verranno passate in rassegna le principali attività in corso in ambito comunitario per promuovere la cultura della sicurezza informatica.

Saranno anche presentate le opportunità di finanziamento previste dalla Commissione Europea nell’ambito del 6° Programma Quadro (2° call), per quanto riguarda le attività di ricerca e sviluppo nel campo della sicurezza informatica.


"I percorsi di formazione e certificazione per i professionisti della sicurezza informatica"

Nel corso del convegno verrà fatta una panoramica sui percorsi di formazione e certificazione delle diverse figure professionali operanti nel settore della sicurezza ICT.

 

5.  User Management

Ecco i risultati di uno studio realizzato all'inizio del 2003 da Novell Worldwide Services e le Università di Stanford e di Hong-Kong presso 200 organizzazioni tra le 2.000 più
importanti in Europa, Asia e USA.
Più del 20% delle imprese europee ci mettono più di 2 settimane per
sopprimere i diritti di accesso obsoleti; un nuovo assunto deve aspettare
più di 2 giorni per  ottenere i suoi codici di accesso nel 48% delle imprese
e il 15% dei responsabili IT delle imprese non sono assolutamente coscienti
dei rischi legati alla gestione degli user.
Lo studio evidenzia che, anche dove delle regole esistono, spesso non sono
implementati sistemi automatizzati, il che rende la procedura estremamente
difficile da mettere in atto e dunque non applicabile.
Il 54% delle società con meno di 10.000 dipendenti riconoscono che impiegano
più di 2 giorni per reagire alla partenza di un dipendente. Tale percentuale
scende al 32% nelle imprese di oltre 50.000 persone.
Sono solo delle medie: molti sono i casi in cui un ex dipendente conservano
per parecchie settimane l'accesso alla propria posta elettronica o anche
l'accesso fisico (tramite badge) agli uffici.
Le 3 principali cause di questa siruazione generale risultano essere, in
ordine di importanza:
- la mancanza di sensibilizzazione del management e il mancato sostegno in
tal senso della Direzione dell'impresa;
- il timore di andare incontro a spese eccessive e soluzioni troppo
complesse;
- la mancanza di integrazione dei sistemi d'informazione nei processi
dell'impresa.

 

6. Curiosità dalla Rete

Accordo FS-Polizia per proteggere i treni dagli attacchi informatici

Data notizia: 15-07-2003
La progressiva automazione e informatizzazione delle strutture di gestione del
traffico ferroviario e dei sistemi di logistica delle Ferrovie dello Stato, ha
parallelamente aumentato il pericolo di intrusione nei sistemi informatici con
conseguenze sulla funzionalita' e la sicurezza della rete ferroviaria.
Per prevenire tali pericoli, e' stata firmata oggi una convenzione tra il
presidente e amministratore delegato del gruppo Fs, Giancarlo Cimoli, e il
prefetto e capo della Polizia Giovanni De Gennaro. Il progetto mira a proteggere
dagli attacchi la rete informatica delle Ferrovie, che gestisce circa 16.200
chilometri di binari, oltre 2.700 stazioni e la circolazione di circa 9.000
treni al giorno.
L'accordo, siglato nella sede del Dipartimento di Pubblica Sicurezza del
Ministero dell'Interno, ha durata triennale e prevede lo sviluppo di programmi
formativi in materia di sicurezza informatica dedicati al personale della
Polizia Postale e di RFI, la societa' del gruppo che gestisce la rete
ferroviaria.
L'intesa prevede, inoltre, uno scambio continuo di informazioni tra la stessa
RFI e la Polizia Postale per impedire gli attacchi di cracker e per facilitare
l'attivita' investigativa delle forze di polizia.
Con una nota, il gruppo Fs sottolinea che questo accordo si aggiunge alle
attivita' di prevenzione, vigilanza e tutela intraprese negli ultimi anni, sia
nei confronti del patrimonio (stazioni, binari), sia dei viaggiatori.
In particolare si sottolinea l'adozione di sistemi di tele-sorveglianza basati
su telecamere a circuito chiuso e sensori anti-intrusione, di rilevatori di fumo
e dispositivi anti-incendio, tutti collegati con le sale controllo centralizzate
della PolFer e di istituti privati di vigilanza, che dovrebbero permettere di
proteggere tutti i punti sensibili delle stazioni e della rete.

Risultati e riflessioni sulla famigerata gara di defacement
Data notizia: 10-07-2003
Gli organizzatori dell'ormai troppo celebre gara di cracking dello scorso
week-end hanno pubblicato la lista dei vincitori.
I risultati sono visibili sul sito www.defacers-challenge.com, e indicano come
vincente il team brasiliano 'Perfect.br', che avrebbe totalizzato 152 punti,
piu' del doppio dei secondi classificati .
I media di tutto il mondo hanno contribuito dapprima a demonizzare questo
evento, di per se' abbastanza insignificante, scatenando una sorta di timor
panico per il pericolo di defacement, spingendo addirittura molti amministratori
di server Web a mettere off-line per un giorno i propri contenuti. Passata la
paura, tutti a gareggiare per definire un "flop" il concorso tra cracker,
raccontando che nessun sito rilevante sarebbe stato violato.
Il vero fallimento, pero', non e' stato quello della ridicola competizione (una
gara che si basa sul numero e sull'esoticita' dei siti violati, e non sulla
difficolta' di superamento dei sistemi di sicurezza non puo' che riguardare solo
server notoriamente vulnerabili), ma quello dell'informazione, che se ha avuto
l'effetto di spaventare molti per un giorno non ha colto l'occasione per
promuovere una vera politica di sicurezza. Con il triste risultato che ora molti
di coloro che hanno tremato e non sono stati colpiti, si sentono meno
vulnerabili e rimanderanno ulteriormente il momento in cui dovranno seriamente
occuparsi della sicurezza dei propri sistemi.
Fonte :
www.securityflop.it/

 

7.  EVENTI
SICUREZZA

 

(Tutti i dettagli sulle manifestazioni sono disponibili sul sito clusit alla voce EVENTI)

22-26 settembre 2003, Milano

Mastercourse Security Manager.

29 settembre-2 ottobre 2003, Milano

Certified Course "Responsabile Protocollo Informatico".

2-6 ottobre2003, Milano

SMAU 2003.

6-10 ottobre 2003, Roma

Seminari "Internet Security: minacce e contromisure"e "Wireless Network Security".

9-10 ottobre 2003, Roma

Global Security Conference II, organizzata da IBM Italia.

20-22 ottobre 2003, Montreux (CH)

SecurIT Summit.

27 ottobre 2003, Milano

1° Congresso Nazionale degli Operatori della Sicurezza Privata.

30-31 ottobre 2003, Londra (UK)

Compsec 2003.

4 novembre 2003, Roma

Forum ICT Security.

7 novembre 2003, Roma

Convegno internazionale a conclusione del progetto europeo eAWARe.

10-14 novembre 2003

Seminari "Usare Certification Authorities (CA) e Public Key Infrastructures (PKI) per proteggere le vostre informazioni" e "Network Intrusion Detection".

13 novembre, Roma

2a Giornata Mondiale della Qualità in Sanita.

17-19 novembre 2003, Milano

ISACA Network Security Conference.
28 novembre 2003, Roma
Nell’ambito di "Prevenzione Italia" si terrà un Seminario CLUSIT dal titolo:

"La pianificazione delle emergenze e la gestione delle crisi".

1-4 dicembre 2003, Milano

Corso IIR Certified network security manager.

11-13 febbraio 2004, Milano

INFOSESCURITY Italia 2004

Per cancellarsi dalla mailing-list inviare una e-mail a info@clusit.it

specificando nel Subject: REMOVE con l'indirizzo e-mail da eliminare

CLUSIT - ASSOCIAZIONE ITALIANA PER LA SICUREZZA INFORMATICA*

Dipartimento di Informatica e Comunicazione - Università degli Studi di Milano

Via Comelico 39 - 20135 MILANO  -  cell. 347.2319285

* associazione senza fini di lucro, costituita il 4 luglio 2000 

© 2003 Clusit - Vietata la riproduzione

Clausola di esclusione della responsabilità e informazioni relative al Copyright: http://www.clusit.it/disclaimer.htm