Trasparenza tutale cum’è a megliu difesa contr’à l’attacchi cibernetici? Rapportu Ft
I guverni sò stati troppu lenti per insiste à sparte infurmazioni nantu à i ciberattacchi. L'analisi approfondita di u Financial Times
Puderia esse l'ultimu esempiu di un bracconieru digitale diventatu guardianu di ghjocu.
Dopu chì a gang di ransomware AlphV / BlackCat attaccò MeridianLink u mese passatu, i pirate di i pirate anu decisu chì a cumpagnia di software ùn avia micca rispettatu e novi regule di a Cummissione di Securities and Exchange (SEC) per a divulgazione di incidenti cibernetici. Dopu avè infurmatu à l'autorità di vigilanza di sta mancanza, pubblicà una foto di a forma in quale a gang hà evidenziatu stu "prublemu preoccupante", scrive u Financial Times .
I pirate, però, eranu sbagliati.
E regule, chì impone à e cumpagnie di publicà un avvisu publicu in quattru ghjorni da identificà un incidente di cibersegurità "materiale", ùn entreranu in vigore finu à a mità di dicembre.
Ma a mossa hà certamente attrattu l'attenzione: "In quantu avemu discututu chì sta regula aghjusta un altru strumentu à a cassetta di l'uttellu di u pirate, chì rende assai chjaru", dice Erez Liebermann, cumpagnu di l'avucatu Debevoise & Plimpton. "A SEC hà messu i pirate in u sediu di u cunduttore".
QUELLO CHE U NOVU REGULAMENTE PRENDE RIGUARDU À L'ATTACCHI CYBER
I novi rigulamenti spinghjenu i limiti di ciò chì sò generalmente ricunnisciuti e migliori pratiche in a comunità cibernetica: una trasparenza più grande hè un'arma impurtante contr'à l'assaltu di i criminali in linea. Sicondu EY, u numeru cunnisciutu di ciberattacchi hè aumentatu da 75% in l'ultimi cinque anni. U costu di $ 20 miliardi di attacchi di ransomware in 2021 era 57 volte più altu ch'è in 2015. Sicondu Cybersecurity Ventures, u costu di $ 20 miliardi di attacchi di ransomware in 2021 era 57 volte più altu ch'è in 2015 è hè previstu di aumentà più à $ 265 miliardi da 2031.
L'IMPRESE ANCORA RIGUARDU A SICUREZZA IT
Malgradu l'aumentu di l'attività criminali, parechje cumpagnie ùn anu micca chjusu e so porte è e finestri, è parechji bordi ùn sanu micca abbastanza per dumandà perchè. Meno di u 70% di e cumpagnie Fortune 100 listanu e cumpetenze di cibersicurezza in almenu una biografia di u direttore. Solu u 16% hà dettu chì a gestione di risicu include simulazioni o teste di risposta à l'incidentu. "Mi stupisce cumplettamente chì ùn facemu micca e cose basiche", dice un anticu puliticu americanu. "Se l'imprese s'impegnanu in l'igiene cibernetica di basa è anu un back-up intelligente, quasi certamente ùn anu mai un ghjornu veramente cattivu".
RULES SEC IN I STATI UNITI PER L'IMPRESE SFRENDU ATTACCHI CYBER
E regule di a SEC anu suscitatu preoccupazione, ancu da a Càmera di Cummerciu di i Stati Uniti. U limitu di quattru ghjorni per a divulgazione di l'infurmazioni hè sfida è deve esse appiicata in modu ragiunate: datu l'incertezze (è u panicu generale) dopu avè avutu a cunniscenza di una violazione significativa, l'infurmazioni ponu esse parziali o spessu cambiate cum'è diventa cunnisciuta. o gravità. I cunsultanti sustene ancu chì a preoccupazione di l'annunzii puderia distractà da cuntene un incidente, è chì ammette chì un pirate hè "materiale" dà un putere di l'attaccante.
Tuttavia, l'impulsu generale hè di sparte infurmazioni per u bonu di u sistema. In l'esempiu più estremu, a trasparenza radicali è a cullaburazione trà i settori publicu è privatu sò creditu per aiutà à cuntene i ciberattacchi in Ucraina da u scoppiu di a guerra cù a Russia.
COME I GUVERNAMENTI SI MUVENU IN OVENT
In generale, i guverni sò stati troppu lenti per insiste à sparta l'infurmazioni per custruisce una stampa cumpleta di a cibercriminalità è, crucialmente, offre à e cumpagnie un supportu senza ghjudiziu per gestisce l'attacchi o cuntene i danni. I Stati Uniti è l'Unione Europea anu allargatu i requisiti di segnalazione di incidenti à l'autorità per i settori cunsiderati infrastruttura critica. U mese passatu, l'Australia hà prupostu allargà l'equivalente in tutta l'ecunumia.
In parte, e pulitiche di divulgazione ponu cercà di scuraggià i pagamenti di ransomware eliminendu l'opzione di scrive un verificatu (o di trasmette qualchì criptocurrency) è avè tuttu sparisce in silenziu. In l'industria di i servizii finanziarii, chì tende à guidà a strada, u regulatore di u Statu di New York impone à e cumpagnie di notificà è ghjustificà i pagamenti di estorsione.
U SECRETU ùn aiuta micca
U sicretu, in fine, ùn pò aiutà. Ciaran Martin, ex capu di u Centru Naziunale di Cyber Security di u Regnu Unitu, vede un parallelu cù e regule europee di prutezzione di dati: "Per tutti i so difetti, u GDPR hà eliminatu un dirittu assai problematicu per ammuccià un prublema è questu hè statu un pozzu". I Stati Uniti utilizanu sempre di più l'infurmazioni chì ricevenu volontariamente per emette avvirtimenti publichi, cum'è u mese passatu basatu annantu à un rapportu Boeing nantu à u bug Citrix Bleed. I reguli di a SEC avanzanu un passu più in quantu à a rapidità di l'investitori, i clienti è i fornituri seranu avvisati à un novu risicu.
INVESTIMENTI IN CYBER RESILIENCE INCURAGATI
À u minimu, a necessità di capisce rapidamente un attaccu ciberneticu, valutà a so gravità è poi d'accordu nantu à una divulgazione potenzialmente imbarazzante hè trasfurmendu a pianificazione di l'affari per a gestione di incidenti, secondu i cunsultanti. Questu duverebbe incuragisce un focus più grande è l'investimentu in a resilienza, è ancu per assicurà chì e preoccupazioni cibernetiche sò intesu è ben capitu à u cima di l'imprese. Chì, sicuru, hè cumu si deve esse per un bellu pezzu.
(Extrait de la revue de presse étrangère d'Epr Comunicazione)
Questa hè una traduzzione automatica da a lingua italiana di un post publicatu in StartMag à l’URL https://www.startmag.it/cybersecurity/trasparenza-totale-come-miglior-difesa-contro-gli-attacchi-informatici/ u Fri, 08 Dec 2023 06:40:45 +0000.