|
|
|
 |
|
|
| |
Notiziario Marketpress di
Lunedì 01 Marzo 2004
|
|
| |
|
|
| |
Pagina5 |
|
| |
ALLA RSA CONFERENCE 2004 SULLA SICUREZZA INFORMATICA ANNUNCIATI I RISULTATI DEL SECONDO “INDICE ANNUALE DELL’INSICUREZZA INTERNET” |
|
| |
|
|
| |
Milano, 1 marzo 2004 – Nel corso della Rsa Conference 2004 sulla sicurezza informatica, che si chiude oggi a San Francisco, sono stati resi noti i risultati del secondo “Indice Annuale dell’Insicurezza Internet”, una sintesi dei principali eventi legati alla sicurezza riportati da varie fonti nel corso del 2003 ed elaborati da Rsa Security (organizzatrice della Conferenza) allo scopo di verificare l’andamento generale della sicurezza It. L’internet Insecurity Index è suddiviso in sei macroaree: Hacking, Attacchi e Falle; Minacce; Crimini e Frodi via Internet; Utenti Internet e Isp; Industria della Sicurezza Informatica; Pubblica Amministrazione. Maggiore il punteggio registrato in una determinata categoria, maggiore il livello di non sicurezza. Nel 2003, il punteggio globale è stato “6”. Il punteggio globale finale dell’Indice 2004 è stato “7”, il che indica che il panorama della sicurezza informatica è peggiorato rispetto all’edizione 2003. I risultati di quest’anno sono sintetizzati di seguito. Hacking, Attacchi e Falle: Il numero di incidenti riportati al centro di coordinamento del Cert è cresciuto del 40% nel 2003. Nell’agosto 2003, le aziende hanno assistito a un rapido propagarsi degli attacchi da virus: si stima che virus quali “Blaster” e “So Big” - responsabili di oltre 2 milioni di infezioni - siano costati alle aziende circa 3,5 miliardi di dollari. 15 Stati Usa hanno emanato nuove leggi anti-spam nel 2003, portando a 38 il totale di Stati che ora hanno una qualche forma di legislazione in materia. Il Congresso Usa ha inoltre emanato il Can-spam Act 2003. L’attività legislativa, tuttavia, non pare ad oggi aver introdotto un’apprezzabile differenza nel bersagliamento da spam. Punteggio: 8 (lo stesso dell’anno scorso) Minacce: Una recente indagine promossa da Business Software Alliance e dalla Information Security Systems Association ha rilevato che il 65% dei professionisti della sicurezza ritiene che la propria organizzazione potrebbe subire un attacco informatico nei prossimi 12 mesi. Lo sfruttamento delle vulnerabilità risulta accelerato. Tre anni fa, l’intervallo tra la scoperta di una vulnerabilità e il suo sfruttamento da parte degli hacker era in media di 500 giorni. Oggi è inferiore a 40. Ad esempio, la vulnerabilità sfruttata dal worm Blaster è stata individuata meno di 30 giorni prima dell’apparizione del worm. Punteggio: 8 (lo stesso dell’anno scorso) Crimini e Frodi via Internet: Il furto di identità si è collocato al vertice dell’Indice dell’anno scorso quale crimine via Internet a più rapida crescita. La situazione appare immutata anche quest’anno e questo crimine si posiziona come il più segnalato alla Commissione Federale per il Commercio degli Stati Uniti. Le frodi via Internet contano oggi per il 55% delle oltre 500.000 segnalazioni all’agenzia, rispetto al 45% dell’anno precedente. Gli hacker hanno continuato ad aver successo nell’introduzione di virus del tipo Cavallo di Troia tramite gli allegati email. Virus di questo tipo consentono agli hacker di prendere il controllo del computer della vittima e installarvi virus e materiale pornografico o comunque illegale. Punteggio: 8 (in crescita rispetto al 7 dell’anno scorso) Utenti Internet e Isp: Nella porzione dell’Indice dedicata a utenti Internet e Isp, tema comune è un’insufficiente gestione dei patch (aggiornamento software che rimedia agli errori di programmazione di un software): molte sono le persone e le aziende che lamentano di non poter garantire che i loro computer dispongano dei patch più aggiornati resi disponibili dalle società di software – come si è visto nel caso del worm Blaster – né di aver preso le più semplici misure in grado di prevenire che traffici dati dannosi attraversino le loro reti. Information Security Provider, Internet Service Provider e amministratori di rete si dividono la colpa e l’industria di settore riconosce che i patch dovrebbero essere più semplici da installare e distribuire. Le esigenze di rafforzamento della sicurezza delle aziende sono inversamente proporzionali al desiderio di semplificare l’accesso ai dati da parte degli utenti. Più le aziende tentano di aumentare la sicurezza, più l’accesso ai dati diviene macchinoso per gli utenti e più questi ultimi indeboliscono senza volerlo il sistema di sicurezza, ad esempio annotando astruse password su post-it appiccicati agli schermi dei Pc oppure perdendo le password e inondando quindi gli help-desk di richieste di riemissione. Appare evidente come la sicurezza debba divenire più trasparente per gli utenti. Punteggio: 6 (come l’anno scorso) Industria della Sicurezza Informatica: La parola frustrazione riassume adeguatamente lo stato d’animo della maggior parte degli utenti nei confronti della sicurezza di Internet nel 2003. I gruppi di influenza propongono di tutto: da leggi che consentano ai clienti di intentare causa alle aziende colpevoli di avere dei buchi nella sicurezza a nuovi sistemi di tracciamento che rendano impossibile l’utilizzo del web in forma anonima. Il web, però, è un media che supera i confini nazionali e che quindi limita la capacità di applicare e far rispettare qualsiasi legge. Le organizzazioni chiedono a gran voce di essere liberate dai sovraccarichi amministrativi legati alla necessità di gestire più identità digitali su sistemi diversi e sono alla ricerca di sistemi in grado di risolvere questo problema e di rendere le aziende conformi a nuove leggi e normative quali – negli Usa – il Sarbanes-oxley Act e l’Health Insurance Portability and Accountability Act (“Hipaa”). Lo scorso novembre, Microsoft ha annunciato il varo dell’Anti-virus Reward Program, supportato da un finanziamento iniziale di 5 milioni di dollari e mirato ad aiutare la forza pubblica a identificare e assicurare alla giustizia coloro che diffondono worm, virus e altri tipi di codice malicious su Internet. Microsoft ha offerto una ricompensa di 250.000 dollari a chi contribuisce a individuare i responsabili dei virus “Blaster,” “So Big” e “My Doom”. Punteggio: 6 (in crescita rispetto al 4 dell’anno scorso) Pubblica Amministrazione: La politica per la sicurezza informatica degli Stati Uniti (la National Strategy to Secure Cyberspace) è stata sottoposta a diverse critiche. Una coalizione di aziende pubbliche e private ha dichiarato di essere in procinto di svelare un’architettura e degli strumenti in grado di “guarire” le vulnerabili reti della nazione. Il primo frutto del loro lavoro è atteso il prossimo marzo. In un discorso rivolto ai rappresentanti dell’industria It, il segretario del Superministero per la sicurezza interna degli Stati Uniti Tom Ridge ha sottolineato come oggi tutto, dalla rete per l’energia elettrica alle transazioni bancarie alle telecomunicazioni dipenda da reti sicure e affidabili e come i gruppi terroristici “sanno, proprio come noi, che poche righe di codice sono in grado di causare disastri pari a quelli di una scarica di bombe”. Punteggio: 6 (era 4 l’anno scorso)
|
|
| |
|
|
| |
<<BACK
|
|
|
|
|
|
|
|
