Le normative sono ancora necessarie per imporre l’adozione delle misure di sicurezza informatica
Le normative sono ancora indispensabili per garantire l'effettivo rispetto delle misure di sicurezza informatica
Le normative sono ancora necessarie per assicurarsi che le organizzazioni siano obbligate ad adottare misure progettate per rafforzare il loro posizionamento in termini di sicurezza informatica.
Singapore questa settimana ha rilasciato delle guide che secondo loro aiuteranno le organizzazioni, comprese le piccole e medie imprese (PMI), a comprendere meglio i rischi associati all’utilizzo dei servizi cloud e ciò che loro, così come i fornitori di servizi cloud, devono fare per garantire ambienti cloud sicuri.
Inoltre: 6 semplici regole di sicurezza informatica che puoi applicare ora
Le due “guide complementari” sulla sicurezza cloud servono a facilitare l’adozione degli standard nazionali di sicurezza informatica, Cyber Essentials e Cyber Trust, sviluppati dalla Cyber Security Agency (CSA) di Singapore, che ha annunciato il lancio durante la sua conferenza annuale Singapore International Cyber Week.
Pubblicate insieme alla Cloud Security Alliance, le guide complementari sono state sviluppate in stretta collaborazione con tre fornitori di servizi cloud: Amazon Web Services (AWS), Google Cloud e Microsoft, che hanno fornito informazioni e statistiche di mercato pertinenti. I fornitori di cloud hanno anche “convalidato” i contenuti forniti dalle guide complementari, ha affermato la CSA.
- I migliori proiettori economici che puoi acquistare adesso
- Il nuovo programma di YouTube significa più soldi per i creatori e ...
- La barra degli indirizzi di Google Chrome ottiene una migliore corr...
Le guide delineano i rischi e le responsabilità specifiche dell’organizzazione legate al cloud e i passaggi da intraprendere per proteggere i propri ambienti, compresa la formazione del personale e i meccanismi per monitorare i servizi cloud utilizzati. I documenti includono anche guide specifiche per i fornitori di servizi cloud come AWS, Microsoft e Google, che sono organizzate in base alle misure per gli standard di Cyber Essentials e Cyber Trust.
Inoltre: Le principali 9 minacce alla sicurezza mobile e come evitarle
“[Una] confusione comune quando le organizzazioni utilizzano il cloud è la divisione delle responsabilità tra loro come utenti del cloud e quelle dei loro fornitori di cloud”, ha detto la CSA. “In un’implementazione cloud, esiste una responsabilità condivisa e potrebbe essere che le organizzazioni non siano pienamente consapevoli delle aree di loro competenza. Ciò potrebbe aumentare la probabilità di configurazioni errate, attacchi malevoli e/o violazioni dei dati”.
Disponibili gratuitamente, le guide si prevede che aiuteranno il 27% delle aziende di Singapore che utilizzano i servizi di cloud computing, ha dichiarato l’agenzia governativa, citando uno studio del 2022 dell’Infocomm Media Development Authority (IMDA).
Singapore questa settimana ha anche compiuto ulteriori passi per ampliare un’iniziativa nazionale di etichettatura di sicurezza per includere i dispositivi medici, con il lancio di un sandbox con cui i produttori possono testare i loro prodotti. I partecipanti al sandbox forniranno poi un feedback sui requisiti e sui processi di applicazione, in base ai quali i dispositivi saranno valutati nell’ambito dello schema di etichettatura medica previsto per il lancio in una data successiva.
Inoltre: Cos’è il dark web? Ecco tutto ciò che devi sapere prima di accedervi
Il sandbox avrà una durata di nove mesi e i feedback saranno utilizzati per ottimizzare il flusso di lavoro operativo e i requisiti dello schema, se necessario, ha affermato la CSA. Il sandbox è stato lanciato in collaborazione con il Ministero della Salute, l’Autorità delle Scienze della Salute e Synapxe.
La CSA ha osservato che il 15%, o oltre 16.000 dispositivi medici presenti nelle istituzioni sanitarie pubbliche locali, sono collegati a Internet, i dispositivi medici sono sempre più collegati agli ospedali e alle reti domestiche. Questo può aumentare i rischi di sicurezza informatica, dove le falle di sicurezza nel software utilizzato per le diagnostiche cliniche, ad esempio, possono essere sfruttate per generare diagnosi errate. I dispositivi medici non protetti possono anche essere oggetto di attacchi di rifiuto del servizio, impedendo così ai pazienti di ricevere cure.
Questa attrezzatura può anche essere sfruttata da hacker malintenzionati per violare la rete di un ospedale, il che può causare perdite di dati o il blocco della rete.
Con l’ampliamento dello schema di etichettatura della sicurezza per includere dispositivi medici, i produttori saranno incentivati ad incorporare la sicurezza nel design del loro prodotto e gli operatori sanitari potranno prendere decisioni più informate sull’uso di tali dispositivi, secondo CSA. Lo schema comprende quattro valutazioni, ciascuna delle quali riflette test aggiuntivi sui quali il prodotto è stato valutato.
Anche: Le vittime del ransomware continuano a pagare, preparandosi anche agli attacchi potenziati dall’IA
Il sandbox permetterà ai produttori di dispositivi di testare i loro prodotti in base a varie valutazioni, tra cui l’analisi binaria del software, i test di penetrazione e la valutazione della sicurezza.
Tuttavia, iniziative di questo tipo e altre migliori pratiche di sicurezza possono andare solo fino a un certo punto se vengono offerte solo come linee guida e consigli, invece che come regole obbligatorie che le aziende devono adottare.
Molti professionisti della tecnologia e CISO faranno riferimento a guide e guarderanno le migliori pratiche del settore, ma ciò può andare solo fino a un certo punto se vengono offerte solo come consigli, anziché come regolamenti, ha detto Karan Sondhi, vice presidente e CTO del settore pubblico per il fornitore di sicurezza, Trellix.
Iniziative come il programma di etichettatura della sicurezza, ad esempio, servono come strumento informativo e non come obblighi, ha dichiarato Sondhi in un’intervista a ENBLE, a margine della conferenza.
Harold Rivas, che ricopre il ruolo di CISO presso Trellix, concorda e afferma che lo schema di etichettatura aiuta nelle decisioni di acquisto e sensibilizza sui potenziali rischi. Offre ad i decisori un motivo per considerare alternative e serve come punto di riferimento per le migliori pratiche validate in modo indipendente, ha detto Rivas.
In definitiva, ci dovrebbero essere obblighi chiari per spingere l’industria verso risultati chiari, ha detto Rivas.
Questi requisiti, ad esempio, potrebbero includere una corretta strategia di gestione delle patch e un sistema di monitoraggio robusto, ha affermato Sondhi. Tali requisiti dovrebbero essere supportati da piani di implementazione, in modo che i protagonisti del mercato abbiano le tempistiche necessarie per garantire la conformità, ha aggiunto.
Riconoscendo che ci potrebbe essere una reazione negativa per quanto riguarda i costi e il tempo di commercializzazione, ha dichiarato che i regolamenti non devono essere eccessivamente complessi. Inoltre, possono fare riferimento a organi di standardizzazione incaricati di fornire ulteriori dettagli e di aggiornare l’adozione delle migliori pratiche quando necessario. Ciò libererà i governi dall’obbligo di tenere il passo con i cambiamenti di mercato e, invece, si concentreranno nell’obbligare requisiti di alto livello, ha sottolineato.
L’applicazione è anche un buon punto di partenza quando il percorso verso la resilienza cibernetica può essere lungo e pieno di complessità.
Le organizzazioni nei settori della tecnologia operativa (OT), in particolare, hanno ecosistemi che devono essere gestiti in modo diverso dalle infrastrutture IT, ha detto Sondhi. Avranno bisogno di stabilire un inventario di tutti i loro sistemi e dispositivi OT e di assicurare che anche gli strumenti dei fornitori terzi siano protetti e integrati in modo da avere una chiara visibilità su tutta la loro catena di fornitura.
I governi, inclusi Singapore e gli Stati Uniti, ora stanno aiutando i settori OT e CII (infrastrutture di informazioni critiche) a gestire queste questioni, ha affermato Rivas. Il percorso, tuttavia, è lungo e richiederà tempo, ha detto.
I governi possono facilitare l’applicazione di determinati requisiti dell’industria, consentendo a tutti i partecipanti del settore di adattarsi gradualmente, ha detto Sondhi. Ad esempio, le organizzazioni che forniscono servizi correlati al governo, come i contatori intelligenti, devono dimostrare di avere un chiaro inventario dei loro sistemi e un programma di gestione delle patch. Le aziende che violano i requisiti specificati in questi accordi contrattuali dovrebbero essere penalizzate, ha detto.
Tali quadri normativi di regolamentazione generale contribuiscono a promuovere azioni concrete e a tutelare sia le organizzazioni che i cittadini, ha dichiarato Rivas.
Una resilienza informatica robusta è essenziale, soprattutto perché alcuni di questi settori sono esposti a crescenti minacce.
Le organizzazioni del settore pubblico dell’Asia-Pacifico, ad esempio, hanno dovuto respingere in media quasi 3.000 attacchi a settimana negli ultimi sei mesi, secondo Vivek Gullapalli, CISO per l’Asia-Pacifico presso Check Point Software Technologies.
Il settore dell’istruzione e della ricerca ha registrato il numero più elevato di attacchi settimanali, con una media di 4.057 attacchi per ciascuna organizzazione negli ultimi sei mesi, seguito dal settore sanitario con 2.958 attacchi e dal settore governativo e militare con 2.882 attacchi.
Inoltre: Cos’è il phishing? Tutto ciò che devi sapere per proteggerti dagli scammer
La digitalizzazione aumenta la loro superficie di attacco e il ransomware rappresenta una grave minaccia con la sua capacità di bloccare intere reti, ha affermato Gullapalli. Questi rischi hanno spinto i governi a proteggere le loro infrastrutture critiche di informazione e i settori OT.
Ha inoltre aggiunto che alcuni di questi settori sono ancora emergenti, dove le nazioni intelligenti stanno ancora sviluppando tecnologie emergenti come veicoli senza conducente, telecamere intelligenti e altri dispositivi Internet of Things (IoT).
Man mano che l’infrastruttura OT sottostante continua a evolversi, diventerà complesso gestire l’intero ecosistema. Ad esempio, potrebbe essere necessario adottare un approccio diverso per applicare le patch di sicurezza ai dispositivi OT. E con la crescente domanda di connettività, le organizzazioni dovranno capire quali dispositivi sono interconnessi e, quindi, richiedono ulteriori protezioni di sicurezza e strumenti integrati.
Dato che la gestione delle infrastrutture talvolta si sovrappone tra settori pubblici e privati, sarà necessario stabilire un adeguato quadro normativo per proteggere l’intero ecosistema OT, ha affermato.
Ci sono ancora molte cose da imparare e saranno necessari approcci differenti, ha detto Gullapalli. In mezzo a questa continua evoluzione, ha sottolineato la necessità di continuare le conversazioni e la collaborazione tra governi, produttori di dispositivi OT e attori della sicurezza per colmare le lacune.
