Slide background

Linee guida protezione delle banche dati rischio di utilizzo improprio

ID 23007 | | Visite: 252 | Documenti riservati Full PlusPermalink: https://www.certifico.com/id/23007

Linee guida protezione delle banche dati rischio di utilizzo improprio

Linee guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio

ID 23007 | 25.11.2024 / In allegato

Negli ultimi mesi sono emersi diversi casi di utilizzo improprio di banche dati di rilevanza nazionale da parte di soggetti o organizzazioni che, con differenti tecniche e finalità, sono riusciti ad ottenere l'accesso alle informazioni in esse contenute senza averne titolo.

Secondo quanto riportato dai media, tali organizzazioni realizzavano, su mandato dei propri clienti o su richiesta di affiliati, report e dossier contenenti le informazioni abusivamente raccolte.

Le tecniche utilizzate per le attività illecite sarebbero sintetizzabili in 3 modalità principali:

- ottenimento di informazioni tramite presunte attività corruttive riferibili a pubblici ufficiali infedeli;
- installazione di software per il controllo remoto (RAr) in particolare di server utilizzati per erogare servizi verosimilmente in esito alla possibilità di operare sugli stessi, da parte di persone collegate alle aziende coinvolte, in forza di un contratto di manutenzione in essere o similari;
- installazione di software per il controllo remoto (RAT) su postazioni di lavoro aziendali e private con la complicità dei gestori dei sistemi informatici delle aziende clienti.

L'analisi di tali eventi, seppur in presenza di alcune differenze in termini di "intento", "organizzazione" e "capacità" mostrate dai protagonisti delle singole vicende, consente di identificare alcuni punti di sovrapposizione tra le stesse.

Nello specifico:

- la gran parte delle azioni malevole è stata perpetrata, o quantomeno agevolata, dalla possibilità di accesso alle informazioni grazie a permessi assegnati ai protagonisti delle vicende in esito alle loro specifiche attività lavorative;
- limitato utilizzo delle classiche tecniche di compromissione di infrastrutture informatiche, ad esempio, attraverso lo sfruttamento di vulnerabilità software nei sistemi;
- movimento all'interno delle reti e dei sistemi mediante comportamenti ritenuti leciti dai comuni sistemi di protezione (es. M, EDR, Firewall, ecc.) che pertanto risultano inefficaci nella fase di rilevamento;
- limitata efficacia dei sistemi di o/erf/ng predisposti per il rilevamento di comportamenti impropri nell'accesso alle informazioni in particolare in ottica preventiva.

Tali considerazioni consentono di identificare criticità non solo di carattere prettamente tecnico ma legate ad aspetti organizzativi e di governance delle informazioni e nello specifico:

- eccessiva "ampiezza" dei permessi consentiti agli utenti abilitati all'accesso alle informazioni;
- utilizzo di banche dati realizzate anteriormente alla diffusione dei principi di security-by-design, privacy-by-design, zero-trust;
- limitata governance del ciclo di vita dei sistemi e delle applicazioni utilizzate in particolare per la gestione di informazioni sensibili;
- limitata gestione dei processi di sicurezza nella gestione della supply chain;
- ridotta capacità di monitoraggio e auditing di comportamenti impropri da parte di dipendenti infedeli in chiave preventiva;
- limitata disponibilità di personale adeguatamente formato nelle attività di verifica e identificazione di azioni improprie di questa tipologia.

A queste considerazioni si aggiungono quelle relative all'esigenza di specificare con maggiore chiarezza cosa si intende per utilizzo improprio.

Si versa in questa fattispecie allorché:

a) l'utilizzo delle credenziali di accesso legittimamente detenute dall'operatore risulti strumentale al perseguimento di scopi estranei alle necessità funzionali di accesso, quale che sia l'intenzionalità dell'operatore, ivi incluso l'accesso a informazioni che esulano dalla necessità di conoscere ai fini dello svolgimento delle mansioni per le quali tali credenziali sono state assegnate;
b) l'utilizzo delle credenziali di accesso legittimamente detenute è in violazione delle politiche sul loro utilizzo definite dal fornitore del servizio;
c) in tutti casi di utilizzo illegittimo delle credenziali di accesso da parte di altro operatore (o altri operatori) diverso da quello legittimato, in qualsivoglia modo ne abbia ottenuto la disponibilità e per qualsivoglia scopo (che sia estraneo alle necessità funzionali di accesso).

__________

SOMMARIO

1. Analisi del contesto

2. Criticità emerse

3. Contesto normativo

4. Possibili azioni di contrasto
4.1 Controllo degli accessi
4.2 Applicazioni di principi e buone pratiche di sviluppo sicuro dei sistemi e delle applicazioni
4.3 Gestione del ciclo di vita dei sistemi e delle applicazioni
4.4 Gestione rischi e sicurezza della catena di approvvigionamento
4.5 Monitoraggio e auditing
4.6 Formazione del personale

A. Elenco delle misure di sicurezza

...

Fonte: Agenzia per la cybersicurezza nazionale

Descrizione Livello Dimensione Downloads
Allegato riservato Linee guida protezione delle banche dati rischio di utilizzo improprio.pdf
ACN Novembre 2024
9286 kB 2

Tags: Abbonati Full Plus Cybersecurity

Articoli correlati

Più letti Full Plus

Indirizzi operativi redazione PUMS comuni dai 50 000 ai 100 000 abitanti
Lug 31, 2024 526

Indirizzi operativi redazione PUMS comuni dai 50.000 ai 100.000 abitanti

Indirizzi operativi redazione PUMS comuni dai 50.000 ai 100.000 abitanti ID 22353 | 31.07.2024 / In allegato Indirizzi operativi per la redazione del Piano Urbano di Mobilità Sostenibile (PUMS) per i comuni dai 50.000 ai 100.000 abitanti Il documento si rivolge ai Comuni con popolazione compresa… Leggi tutto
UN Regulation No 129 GUide
Ago 31, 2024 366

UN Regulation No 129 Guide

UN Regulation No 129 Guide ID 22493 | 30.08.2024 Increasing the safety of children in vehicles - For policymakers and concerned citizens Collegati[box-note]Regolamento UNECE n 129Regolamento UNECE n. 44Decreto 15 maggio 2014Direttiva di esecuzione 2014/37/UED.Lgs 285/1992 | Codice della… Leggi tutto
Circolare Ministero dell Interno del 29 novembre 2024 Revisione biennale tachigrafo
Dic 02, 2024 250

Circolare Ministero dell'Interno del 29 novembre 2024 / Revisione biennale tachigrafo

Circolare Ministero dell'Interno del 29 novembre 2024 / Revisione biennale del tachigrafo e aspetti sanzionatori ID 23050 | 02.12.2024 / In allegato Circolare Ministero dell'Interno del 29 novembre 2024 - Richiesta chiarimenti sulla revisione biennale del tachigrafo e aspetti sanzionatori (Circ. n.… Leggi tutto

Ultimi archiviati Full Plus

Circolare Ministero dell Interno del 29 novembre 2024 Revisione biennale tachigrafo
Dic 02, 2024 250

Circolare Ministero dell'Interno del 29 novembre 2024 / Revisione biennale tachigrafo

Circolare Ministero dell'Interno del 29 novembre 2024 / Revisione biennale del tachigrafo e aspetti sanzionatori ID 23050 | 02.12.2024 / In allegato Circolare Ministero dell'Interno del 29 novembre 2024 - Richiesta chiarimenti sulla revisione biennale del tachigrafo e aspetti sanzionatori (Circ. n.… Leggi tutto
UN Regulation No 129 GUide
Ago 30, 2024 366

UN Regulation No 129 Guide

UN Regulation No 129 Guide ID 22493 | 30.08.2024 Increasing the safety of children in vehicles - For policymakers and concerned citizens Collegati[box-note]Regolamento UNECE n 129Regolamento UNECE n. 44Decreto 15 maggio 2014Direttiva di esecuzione 2014/37/UED.Lgs 285/1992 | Codice della… Leggi tutto
Indirizzi operativi redazione PUMS comuni dai 50 000 ai 100 000 abitanti
Lug 31, 2024 526

Indirizzi operativi redazione PUMS comuni dai 50.000 ai 100.000 abitanti

Indirizzi operativi redazione PUMS comuni dai 50.000 ai 100.000 abitanti ID 22353 | 31.07.2024 / In allegato Indirizzi operativi per la redazione del Piano Urbano di Mobilità Sostenibile (PUMS) per i comuni dai 50.000 ai 100.000 abitanti Il documento si rivolge ai Comuni con popolazione compresa… Leggi tutto
Lug 10, 2024 951

Circolare n. 40 del 20 aprile 1939

Circolare n. 40 del 20 aprile 1939 ID 22223 | 10.04.2024 / Circolare completa testuale allegata riservata Abbonati Full Plus Accertamento generale dei fabbricati urbani e formazione del nuovo Catasto edilizio urbano Il Regio decreto legge in corso di pubblicazione e che si allega alle seguenti… Leggi tutto