L’Agenzia francese per la sicurezza dei sistemi informativi (ANSSI) ha realizzato una guida allo scopo di fornire alle industrie una metodologia per la protezione dei propri sistemi informatici.
Oltre al documento principale l’ANSSI ha pubblicato anche un secondo documento contenente ”casi pratici“.
Maîtriser la SSI pour les systèmes industriels – Guide securite industrielle
I francesi continuano a fare cose eccellenti in ambito c-mf.
La loro cyber-strategy, a mio avviso, è indubbiamente la migliore e la più completa tra tutte quelle rilasciate pubblicamente (… e non parlo solo di EU, ma a livello internazionale).
Non conosco praticamente per niente il francese e il documento l’ho letto a sprazzi quindi, nel caso, infierite pure su di me
Ad ogni modo mi sembra solo un ulteriore manualetto (magari anche buono) di sicurezza informatica for dummies. Di strategia (N.B.: sono una schiappa pure in questo campo…) ne vedo molta poca.
i miei 4 cents (sapete, la spending review…)
Gio’, ma in questo caso ritengo che l’obiettivo dell’ANSSI fosse proprio quello di preparare un manuale, semplice, per illustrare i principi pratici della materia. Non si tratta di policy o di strategia, insomma.
Chiedo venia, mi sono espresso malissimo
Intendevo dire che non vedo una strategia nel (voler) “preparare un (altro) manuale – semplice – per illustrare i principi pratici della materia” del quale – all’interno del settore specifico e ai vari livelli di approfondimento – non è che se ne sentisse proprio la mancanza… Ma su questo dovrebbe forse intervenire Jack nostrum che ha, molto più di me, il “polso” della materia.
Ad ogni modo quel che si legge alla pagina “missions” dell’ANSSI fa sembrare un minimo “fuori scala” un siffato documento (o, diversamente, la mission stessa…).
Insomma – lo dico? – mi sembra una pensata molto simile a quella del “glossario*”…
Ecco l’ho detto: ora questo post si autodistruggerà entro circa 800 megacicli di clock del vostro processore
* – che comunque dobbiamo ancora vedere
Tra l’altro la mia ipotesi “glossar-pubblicistica” sembra essere avvalorata dal taglio degli altri contributi scientifici presenti sul sito (Thèses e Articles scientifiques) che sono invece piuttosto… “carrozzati”
l’ho letto velocemente e male. ma non ho trovato il divieto di usare tastiere wireless e wifi. Isolare fisicamente il sistema dalla rete deve essere il primo passo, poi viene il resto. proteggersi da un attacca dall’interno è tutto un’altro discorso, l suggerimento di blindare i cavi mi sembra impraticabile
saluti
a proposito di cyberstrategie in Francia, mi era sfuggito questo articolo tradotto sul sito dell’istituto di alti studi di geopolitica.
cosa ne pensate di questo approccio?
http://www.geopolitica-rivista.org/16206/cyberspazio-le-tre-ere/
Sultano,
l’articolo da te segnalato non fa altro che inserirsi nel dibattitto – davvero molto acceso – che sta dominando soprattutto da un paio di mesi a questa parte negli U.S., ovvero se sia opportuno o meno cercare di costituite e far ratificare una Convenzione internazionale in materia di c-mf.
L’America spinge molto di più per crearne una che abbia ad oggetto le cyber-weapon, mentre l’articolo si concentra di più sui diritti umani, tant’è che richiama la Convenzione di Ginevra.
A mio modestissimo avviso, l’ultilità pratica di una simile Convenzione, soprattutto nel settore delle cyber-weapon, è prossima allo zero.
Da un punto di vista strettamente giuridico e di forma, invece, direi che si potrebbe discutere sulla loro utilità e magari arrivare anche ad intravedere una ragione per cui è opportuno che comunque venga scritta e, se possibile, ratificata.
Posso chiederti il perchè?
Silendo,
a mio avviso, le cyber-weapon hanno, tra le altre, alcune caratteristiche fondamentali che devono essere prese in considerazione se si deve analizzare la reale efficacia PRATICA di una “Convenzione sugli armamenti cyber” .
Principalmente ne vedo due, ovvero:
1. Sono facilmente contenibili/occultabili in supporti di memoria anche molto piccoli e/o conservabili in cloud su server potenzialmente sparsi in giro per il mondo, ivi compresi Paesi che non hanno ratificato la Convenzione;
2. Possono essere fatte sviluppare e/o acquistate “as is” da altri Stati, che non hanno ratificato la Convenzione e che magari mettono anche a disposizione la botnet di lancio.
Insomma, se per arricchire l’uranio ho bisogno di centrali vistose e di materiali da reperire non tanto comuni, la immaterialità delle informazioni (di cui sono costituite anche le cyber-weapon) agevola fortemente la possibilità di occultare il proprio arsenale in tutte le fasi della sua creazione (ricerca dei “componenti”, studio, sviluppo, realizzazione, test e attacco).
Quindi, a mio avviso, da un punto di vista strettamente PRATICO, una Convenzione del genere non fermerebbe la creazione dei “cyber-arsenali” da parte degli Stati interessati.
Differente è il punto di vista “formale” e giuridico, dove una simile Convenzione sicuramente sarebbe un eccellente primo passo e punto di partenza verso la regolamentazione giuridica della materia condivisa e accettata.
Ciò che in pratica la totalità delle attuali cyber-strategy pubbliche pongono tra i “goal” fondamentali da raggiungere.
Thanks!
Giovanni,
sotto il punto di vista tecnico – perchè è di questo che si parla, come giustamente hai evidenziato tu – il Governo francese sta seguendo la stessa impostazione adottata da tempo soprattutto da America e Giappone.
Ovvero è lo stesso Governo che, attraverso i suoi enti competenti per funzione, emana anche le regole tecniche da seguire.
Un po’ come succede in Italia, nel piccolissimo, con le “misure minime di sicurezza” previste dal Garante per la protezione dei dati personali all’interno del c.d. Codice della privacy e del suo allegato B, in cui si delinea la soglia di sicurezza al di sotto della quale nessuna azienda può scendere per operare correttamente il trattamento dei dati personali dei clienti e dei dipendenti.
Mah oddio Jack… evito di cadere nella tentazione della facile critica all’ “allegato B” che poverino gliene si può dire di tutti i colori (“La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri” è la prescrizione più tecnica che contiene…).
Ma l’inghippo secondo me è proprio quello: l’indicazione di uno “standard minimo” di sicurezza e la relativa prescrizione di “minime” regole tecniche (tecnicistiche) correlate.
Si preoccupano tanto per i sistemi e zero dell’informazione (in quanto tale). Vuol forse dire che portando ad un certo (minimo) livello di sicurezza i sistemi poi l’informazione è automaticamente al sicuro? O al sicuro almeno tanto quanto lo sono i sistemi?
E ad ogni modo se in termini, stavolta si, di sicurezza informatica stiamo ancora a discutere se e come usare le “chiavette” USB o il wireless (nelle sue varie declinazioni in termini di protocolli e bande di frequenza) io la vedo preoccupante assai…
Ci era sfuggita la strategia olandese?!?!
In alcunse istanze europee si parla già di modello olandese in riferimento alla larga cooperazione messa in atto tra privati e pubblico, civile e difesa. A notare la grande importanza data all intelligence.
la traduzione su un blog gagliardo
http://blog.cyberwar.nl/2012_07_01_archive.html
Ciao Sultano,
no che non ci è sfuggita. Anzi…
Io più che altro prenderei l’Olanda come modello di velocità nel realizzare quanto stabilito a livello governativo.
A Jack non sfugge nulla…
Siete al top ragazzi!
allo stesso tempo mi chiedo perchè dalle nostre parti ci si mette tanto ad elaborare una strategia in questo campo (“digital domain” alla olandese)…