Cybersecurity per le scuole

Tratto da www.endian.com – 23/07/2024

Nell’era digitale, gli istituti scolastici si trovano ad affrontare una serie di sfide: rigide normative sulla protezione dei dati, gruppi di utenti eterogenei e una varietà di dispositivi diversi sono solo alcuni dei temi che le scuole devono affrontare. Le soluzioni di sicurezza informatica di Endian consentono di soddisfare facilmente tutti questi requisiti.

Le soluzioni Endian possono essere perfettamente integrate in qualsiasi rete e consentono una gestione semplice e flessibile. Gli utenti possono scegliere tra gestione locale o remota, utilizzando un’interfaccia browser o la barra dei comandi. 

La segmentazione della rete garantisce che tutti gli utenti abbiano accesso solo alle risorse di cui hanno realmente bisogno. L’amministrazione suddivisa per utente è compatibile con Windows Active Directory, per cui non è necessario creare nuovi utenti o gruppi. 

Il sistema di filtraggio dei contenuti è uno strumento fondamentale per gli istituti di formazione che mirano a creare un ambiente di apprendimento sicuro. La creazione di policy per lavorare con gruppi di utenti o dispositivi offre la flessibilità necessaria per controllare laboratori informatici, uffici e dispositivi personali. È inoltre possibile monitorare le applicazioni.

Per saperne di più:

I prodotti Endian per una implementazione rapida e funzionale
Come raggiungere i requisiti di sicurezza grazie a Endian

Per richiedere ulteriori informazioni: dircom@argonavis.it

25 Luglio 2024

Cos’è la direttiva NIS 2 e come prepararsi

Tratto da: Blog Kaspersky

Redazione: Alanna Titterington – 23/07/2024

La revisione della direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS 2) è la legislazione europea in materia di sicurezza informatica. NIS 2 aggiorna e integra la direttiva NIS (Network and Information Security) originale, adottata nel 2016, e crea un quadro giuridico per migliorare il livello generale della sicurezza informatica in tutta l’UE.

La direttiva NIS 2 aggiornata si concentra su tre aree principali:

Ampliamento del campo di applicazione: nuovi settori vengono a integrare i sette già inseriti nella direttiva NIS originale

Nuovi meccanismi per la segnalazione dei casi e la condivisione delle informazioni: NIS 2 impone la segnalazione tempestiva di casi significativi

Applicazione più rigorosa della conformità: l’aggiornamento a NIS 2 introduce sanzioni specifiche per la mancata conformità, comprese ammende fino al 2% del fatturato annuo globale

A quali organizzazioni si applica NIS 2? Come accennato in precedenza, la direttiva rivista amplia notevolmente l’ambito di applicazione rispetto alla versione originale del 2016. Inoltre, NIS 2 introduce una classificazione che divide i settori coperti in due categorie:

  • Settori ad alta criticità (Allegato I):
    • Energia (elettricità, teleriscaldamento e teleraffreddamento, gas, idrogeno, petrolio)

    • Trasporti (aereo, ferroviario, marittimo, stradale)

    • Settore bancario

    • Infrastrutture del mercato finanziario

    • Sanità

    • Acqua potabile

    • Acque reflue

    • Infrastruttura digitale

    • Gestione dei servizi ICT (MSP, MSSP)

    • Enti di pubblica amministrazione

    • Settore spaziale

    Altri settori critici (Allegato II):
    • Servizi postali e di corriere

    • Gestione dei rifiuti

    • Fabbricazione, produzione e distribuzione di prodotti chimici

    • Produzione, lavorazione e distribuzione di cibo

    • Settore manifatturiero (dispositivi medici, computer, prodotti elettronici o ottici, apparecchiature elettriche, macchinari, veicoli a motore, altri mezzi di trasporto)

    • Fornitori digitali

    • Ricerca

    • Oltre a classificare i settori, NIS 2 introduce un’ulteriore classificazione di specifici soggetti. Anch’essa si compone di due categorie:

  • Essenziale (Articolo 3.1):
    • Grandi realtà (ricavo annuo superiore a 50 milioni di euro) in settori ad alta criticità

    • Autorità di certificazione, registrar di domini di primo livello e provider DNS, indipendentemente dalle dimensioni dell’azienda

    • Operatori di telecomunicazioni, da medie dimensioni in su (ricavi oltre 10 milioni di euro)

    • Istituzioni di pubblica amministrazione

    • Qualsiasi soggetto appartenente a un settore altamente critico o a un altro settore critico definito da uno Stato membro dell’UE come essenziale


  • Importante (Articolo 3.2):
    • Soggetti di medie dimensioni (ricavo annuo di 10-50 milioni di euro) in settori ad alta criticità

    • Medi e grandi soggetti in altri settori critici

    • Qualsiasi soggetto definito come importante da uno Stato membro dell’UE.

    • La categoria a cui appartiene un soggetto ha implicazioni pratiche significative.

    Le attività dei soggetti classificati come essenziali saranno sottoposte a una supervisione molto più rigorosa e proattiva, che includerà investigazioni inattese, speciali controlli di sicurezza e richieste di prove di conformità. In caso di non conformità con NIS 2, i soggetti essenziali possono incorrere in una multa fino a 10 milioni di euro o fino al 2% del fatturato annuo globale.

    I soggetti classificati come importanti sentiranno meno il fiato sul collo: saranno interessati da controlli meno rigorosi. Per i soggetti importanti le sanzioni sono leggermente più contenute: fino a 7 milioni di euro o fino all’1,4% del fatturato globale annuo.

    Tempistiche di NIS 2

    Si noti che, a differenza del GDPR, NIS 2 è una direttiva dell’Unione Europea, non un regolamento. Ciò significa che gli Stati membri dell’UE sono tenuti per legge a modificare la propria legislazione nazionale entro il termine stabilito. Nel caso di NIS 2, la scadenza è fissata per il 17 ottobre 2024. Inoltre, gli Stati membri dell’UE dovranno stilare gli elenchi dei soggetti essenziali e importanti interessati da NIS 2 entro il 17 aprile 2025.

    Come prepararsi all’attuazione di NIS 2?

    • Valutate se e in che misura i requisiti di NIS 2 si applicano alla vostra organizzazione
    • Indagate in che modo la direttiva NIS è stata recepita nella legislazione nazionale nel vostro Stato membro dell’UE
    • Seguite le raccomandazioni delle autorità nazionali per la sicurezza informatica
    • Valutate e sviluppate misure tecniche, operative e organizzative per la gestione della rete e dei sistemi informativi; rischi per la sicurezza.

    23 Luglio 2024

    Password: la compromissione è un gioco da ragazzi per i cybercriminali

    Tratto da: www.lineaedp.it

    Redazione: Redazione LineaEDP – 21/06/2024

    Gli algoritmi di smart guessing aiutano i cybercriminali a compromettere le password deboli

    Attraverso un nuovo studio, a giugno 2024 Kaspersky ha analizzato 193 milioni di password, che sono state trovate nel dominio pubblico su varie risorse darknet. I risultati dimostrano che la maggior parte delle chiavi d’accesso analizzate non erano sufficientemente forti e potevano essere facilmente compromesse utilizzando algoritmi di smart guessing. Ecco come capire la velocità con cui ciò può accadere:

    • 45% (87 milioni) in meno di 1 minuto.
    • 14% (27 milioni) – da 1 minuto a 1 ora.
    • 8% (15 milioni) – da 1 ora a 1 giorno.
    • 6% (12 milioni) – da 1 giorno a 1 mese.
    • 4% (8 milioni) – da 1 mese a 1 anno.

    Gli esperti hanno ritenuto resistenti solo il 23% (44 milioni) delle chiavi d’accesso e per comprometterle ci vorrebbe più di un anno.

    Inoltre, la maggior parte delle chiavi d’accesso esaminate (57%) contiene una parola del dizionario, il che ne riduce significativamente la forza. Tra le sequenze di vocaboli più popolari, si possono distinguere diversi gruppi:

    • Nomi: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”.
    • Parole ricorrenti: “per sempre”, “amore”, “google”, “hacker”, “gamer”.
    • Password standard: “password”, “qwerty12345”, “admin”, “12345”, “team”.

    L’analisi ha mostrato che solo il 19% di tutte le password contiene gli elementi di una combinazione forte e difficile da decifrare: lettere minuscole e maiuscole, numeri e simboli e non contiene parole standard del dizionario. Allo stesso tempo, lo studio ha rivelato che il 39% di queste chiavi d’accesso potrebbe essere indovinato con algoritmi intelligenti in meno di un’ora.

    L’aspetto più preoccupante è che gli aggressori non hanno bisogno di conoscenze approfondite o di attrezzature costose per decifrare le chiavi d’accesso. Ad esempio, un potente processore di un computer portatile è in grado di trovare la combinazione corretta per una password di 8 lettere minuscole o cifre utilizzando la forza bruta in soli 7 minuti. Inoltre, le moderne schede video sono in grado di svolgere lo stesso compito in 17 secondi. Inoltre, gli algoritmi intelligenti per indovinare le password considerano le sostituzioni di caratteri (“e” con “3”, “1” con “!” o “a” con “@”) e le sequenze più diffuse (“qwerty”, “12345”, “asdfg”).

    Alcuni consigli da Kaspersky

    Per migliorare la policy in materia di password, gli utenti possono utilizzare i seguenti semplici consigli:

    • È quasi impossibile memorizzare chiavi d’accesso lunghe e uniche per tutti i servizi utilizzati, ma con un password manager è possibile memorizzare una sola password principale.
    • Utilizzare una password diversa per ogni servizio, in questo modo, anche se uno dei propri account venisse rubato, gli altri non sarebbero coinvolti.
    • Le passphrase possono essere più sicure quando si usano parole inaspettate. Anche se si utilizzano parole comuni, è possibile disporle in un ordine insolito e assicurarsi che non siano correlate. Esistono anche servizi online che aiuteranno a verificare se una password è abbastanza forte.
    • È meglio non utilizzare chiavi d’accesso che possano essere facilmente indovinate a partire da informazioni personali, come date di nascita, nomi di familiari, animali domestici o il proprio nome. Questi sono spesso i primi tentativi che compie un aggressore per indovinare la password.
    • Attivare l’autenticazione a due fattori (2FA). Nonostante non sia direttamente correlata alla forza delle password, l’attivazione della 2FA aggiunge un ulteriore livello di sicurezza. Anche se qualcuno scoprisse la password, avrebbe comunque bisogno di una seconda forma di verifica per accedere all’ account. I moderni gestori di password memorizzano le chiavi 2FA e le proteggono con i più recenti algoritmi di crittografia.
    • L’utilizzo di una soluzione di sicurezza affidabile aumenta il livello di protezione. Monitora Internet e il Dark Web e avvisa se le password devono essere modificate.

    Informazioni sullo studio della vulnerabilità delle password

    La ricerca è stata condotta sulla base di 193 milioni di password pubblicamente disponibili su varie risorse della darknet.

    Nell’ambito del sondaggio, gli esperti Kaspersky hanno utilizzato i seguenti algoritmi per indovinare le chiavi d’accesso:

    • Bruteforce: è un metodo per indovinare una password che consiste nel provare sistematicamente tutte le possibili combinazioni di caratteri fino a trovare quella corretta.
    • Zxcvbn: è un algoritmo di punteggio avanzato disponibile su GitHub. Per una password esistente, l’algoritmo ne determina lo schema. Successivamente, l’algoritmo conta il numero di iterazioni di ricerca necessarie per ogni elemento dello schema. Quindi, se la chiave d’accesso contiene una parola, la sua ricerca richiederà un numero di iterazioni pari alla lunghezza del dizionario. Avendo a disposizione il tempo di ricerca per ogni elemento dello schema, possiamo contare la forza della password.
    • Algoritmo di smart guessing: è un algoritmo di apprendimento. Basandosi sul set di dati delle password degli utenti, può calcolare la frequenza delle varie combinazioni di caratteri. Quindi può generare prove a partire dalle varianti più frequenti e dalle loro combinazioni a quelle meno ricorrenti.

    26 Giugno 2024

    Bitdefender Scamio anche in Italia – Un potente servizio di rilevamento delle truffe basato sull’AI

     
     
     

    Tratto da www.bitdefender.it/news – 26/03/2024

    Bitdefender, leader mondiale della sicurezza informatica, annuncia oggi la disponibilità di Bitdefender Scamio anche in lingua italiana. Si tratta di un servizio gratuito che si occupa di rilevamento delle truffe e progettato per aiutare gli utenti a verificare le minacce fraudolente online distribuite via email, link incorporati, SMS e messaggistica istantanea attraverso l’uso di un chatbot alimentato dall’intelligenza artificiale (AI).

    Le frodi online continuano ad aumentare ogni anno. Secondo un rapporto della Federal Trade Commission (FTC), nel 2022 gli utenti hanno subito perdite pari a 8,8 miliardi di dollari a causa delle frodi, un aumento del 30% rispetto all’anno precedente. Le truffe tramite SMS hanno rappresentato da sole 330 milioni di dollari di perdite, più che raddoppiate. La recente adozione da parte degli hacker dell’IA con modelli linguistici di grandi dimensioni (LLM), per creare contenuti dannosi estremamente difficili da individuare, è destinata a intensificare la sfida contro le frodi online.

    Bitdefender Scamio è un chatbot personale per il rilevamento delle truffe che offre una seconda verifica sui potenziali tentativi di frode analizzando email, SMS, immagini, singoli link e persino codici QR. Gli utenti devono semplicemente inserire i contenuti dubbi in Scamio e descrivere in modo colloquiale le modalità con cui sono stati ricevuti. Scamio fornisce un verdetto in pochi secondi, insieme a raccomandazioni su ulteriori azioni (“eliminare” e/o “bloccare il contatto”, ad esempio) e misure preventive per proteggersi da quel tipo di truffa in caso di tentativi futuri.

    Oltre all’avanzata intelligenza artificiale, Scamio si avvale delle tecnologie di protezione, prevenzione e rilevamento delle minacce di Bitdefender per massimizzare le percentuali di rilevamento delle scansioni, integrate da un’innovativa decodifica del contesto per fornire verdetti basati sulla comprensione di circostanze particolari. Questo è molto efficace per i tipi di frode complessi, come il social engineering, che possono eludere le normali forme di rilevamento.

    Scamio è semplice da usare, supporta qualsiasi dispositivo o sistema operativo ed è consultabile tramite browser web o tramite Facebook Messenger dopo una rapida configurazione dell’account. Incorpora un’avanzata elaborazione del linguaggio naturale (NLP) per comprendere e interpretare accuratamente le conversazioni degli utenti (anche le sfumature linguistiche e sottigliezze tipicamente utilizzate nelle truffe). Scamio è completamente gratuito e non richiede alcun download o accesso precedente a un prodotto Bitdefender.
     

    Disponibilità

    Bitdefender Scamio è ora disponibile in lingua italiana e può essere utilizzato gratuitamente da chiunque. Per maggiori informazioni o per provare Scamio, basta accedere al seguente link: https://www.bitdefender.it/solutions/scamio.html

    14 Giugno 2024

    Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali

    Tratto da www.garanteprivacy.it – Newsletter del 10/04/2024

    Parere favorevole del Garante Privacy ad Anac su 14 quattordici schemi standard di pubblicazione che dettano le regole che le Pa devono seguire per rispettare gli obblighi di trasparenza online.

    Gli schemi, previsti dal decreto trasparenza (d. lgs. n. 33/2013) tengono conto delle diverse osservazioni formulate dall’Ufficio.

    Per garantire la riservatezza degli interessati ed evitare il rischio di eventuali sanzioni per violazione della normativa privacy, le Pa dovranno limitarsi, fra l’altro, a pubblicare nella sezione “amministrazione trasparente” dei rispettivi siti web solo dati necessari, come ad es., il numero di telefono, l’indirizzo email e pec dell’ufficio – e non i dati del dipendente – cui il cittadino può rivolgersi per richieste all’amministrazione. E negli esiti dei concorsi pubblici dovranno pubblicare il nome, il cognome, (la data di nascita, in caso di omonimia) e la posizione in graduatoria dei vincitori e degli idonei dichiarati vincitori a seguito dello scorrimento della graduatoria. Inoltre, nella pubblicazione dei dati riguardanti i pagamenti, le Pa dovranno oscurare i dati identificativi dei destinatari di benefici economici inferiori a mille euro nell’anno solare e in ogni caso se dalla pubblicazione è possibile ricavare informazioni relative allo stato di salute o alla situazione di disagio economico-sociale.

    Nel dare il proprio parere positivo sugli schemi standard di pubblicazione, il Garante tuttavia ha chiesto ad Anac di innalzare il livello di tutela. Ad esempio, nel caso di pubblicazione dei dati relativi alla valutazione della performance e alla distribuzione dei premi al personale, le Pa devono evitare di pubblicare dati troppo dettagliati che possano identificare il dipendente e l’ammontare del premio erogato (o non erogato) a suo favore. Potranno invece pubblicare i dati riferiti all’ammontare complessivo dei premi stanziati e all’ammontare dei premi effettivamente distribuiti. Il Garante invita, inoltre, a valutare l’opportunità di prevedere un periodo transitorio per consentire alle pubbliche amministrazioni di uniformarsi progressivamente e gradualmente alle nuove modalità di pubblicazione sui siti web istituzionali.

    11 Aprile 2024

    Blog & News

    Categorie