Sicurezza

Traduzione del discorso del commissario EU Viviane Reding sulle sfide della privacy

Ho tradotto in italiano, per il sito www.democratici-digitali.com,  il discorso tenuto da Viviane Reding, Commissario EU per le Telecomunicazioni ed i Media in occasione del Data Protection Day del 28 gennaio 2010, Parlamento Europeo, Bruxelles. La traduzione è disponibile anche in formato pdf e doc.

Viviane ha parlato di Social Network, protezione dei dati, RFID, SWIFT e molto altro ...

Le sfide: 

  • È necessario chiarire l’applicazione pratica di alcune regole e principi chiave (come il consenso e la trasparenza).
  • È necessario assicurare che i dati personali siano protetti indipendentemente dalla locazione del data controller.
  • È necessario promuovere le Privacy Enhancing Technologies (PETs) anche grazie all’introduzione di nuovi principi in evoluzione (quali la ‘privacy by design’).
  • Dobbiamo rafforzare le sanzioni.
  • È necessario incorporare i principi fondamentali della protezione dei dati per coprire tutte le aree di competenza EU, compresa la cooperazione di polizia e giudiziaria in materia di criminalità e le relazioni con i paesi extra EU. 

Link: traduzione in italiano

Altre traduzioni di Agatino Grillo

 

COBIT: "Obiettivi di controllo IT per Basilea II" disponibile la traduzione in italiano, liberamente scaricabile

Ho tradotto in italiano "IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance" di ISACA con il patrocinio di ISACA Roma.
"Obiettivi di controllo IT per Basilea II - L’importanza della Governance e del Risk Management per la Compliance" è liberamente scaricabile dal sito di ISACA Roma  in formato pdf ; la versione word della traduzione (disponibile per gli associati ISACA o per chi ne avesse bisogno per finalità di studio, di ricerca o accademiche) può essere richiesta al sottoscritto (nome.cognome chiocciola gmail.com).
Ecco i link:

  • "Obiettivi di controllo IT per Basilea II - L’importanza della Governance e del Risk Management per la Compliance" versione in italiano (pdf, 727 K, 98 pp.)
  • "IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance" versione originale in lingua inglese (pdf dal sito di ISACA International, solo per gli associati)

Ricordo, per chi fosse interessato, che nel 2008 ho anche tradotto “Obiettivi di controllo IT per la Sarbanes-Oxley” sempre di ISACA (liberamente scaricabile da qui, in pdf, 904 K, 120 pp ).
Di seguito l’ Executive Summary e l’indice di "Cobit per Basilea II".

AG-Vocabolario: 

"Aspetti economici del crimine online" di Tyler Moore, Richard Clayton e Ross Anderson (traduzione in italiano)

Nota: questo articolo contiene la traduzione in italiano (in formato html) dell'articolo "The Economics of Online Crime" di  Tyler Moore, Richard Clayton e Ross Anderson, pubblicato sulla rivista Journal of Economic Perspectives - Volume 23, numero 3 - Estate 2009 – pagine 3 - 20

http://www.aeaweb.org/permissions.php
Copyright © 1998, 1999, 2000, 2001, 2002, 2003, 2004, 2005, 2006, 2007, 2008, 2009 by the American Economic Association.

Permission to make digital or hard copies of part or all of American Economic Association publications for personal or classroom use is granted without fee provided that copies are not distributed for profit or direct commercial advantage and that copies show this notice on the first page or initial screen of a display along with the full citation, including the name of the author. Copyrights for components of this work owned by others than AEA must be honored. Abstracting with credit is permitted.
The author has the right to republish, post on servers, redistribute to lists and use any component of this work in other works. For others to do so requires prior specific permission and/or a fee. Permissions may be requested from the American Economic Association Business Office.

È permesso fare copie digitali e cartacee di parti o dell’intero contenuto delle pubblicazioni dell’American Economic Association esclusivamente per uso personale o per uso didattico a condizione che le copie siano gratuite e non utilizzate per fini di lucro o per ottenere vantaggi commerciali anche indiretti e che ciascuna copia contenga nella prima pagina, o sulla schermata iniziale, questo avviso con la citazione completa dell’opera e dei suoi autori. G,li eventuali diritti di terze parti, diverse da AEA, richiamate in questo documento devono essere garantiti. Sono permesse sintesi che riportino i corretti riferimenti.
L’autore ha il diritto di ripubblicare, anche elettronicamente, distribuire a liste ed usare qualsiasi parte di questo documento anche in altri lavori; per tutti gli altri tale possibilità richiede una preliminare autorizzazione e/o il pagamento di una fee. Le autorizzazioni possono essere richieste all’American Economic Association Business Office.

Aspetti economici del crimine online

 

Tyler Moore, Richard Clayton e Ross Anderson

Tyler Moore è ricercatore presso il Center for Research on Computation and Society (CRCS), Harvard University, Cambridge, Massachusetts. Richard Clayton è ricercatore in ambito privato e Ross Anderson è professore di Security Engineering presso il Computer Laboratory dell’Università di Cambridge, in Inghilterra. Le loro email sono rispettivamente: tmoore@seas.harvard.edu, Richard.Clayton@cl.cam.ac.uk e Ross.Anderson@cl.cam.ac.uk.

 

L’economia della sicurezza è diventata, di recente, una disciplina accademica in forte crescita; questo filone di ricerca ha avuto inizio nel 2001 dall’osservazione che errati o insufficienti incentivi economici possono spiegare il fallimento dei sistemi di sicurezza almeno quanto i fattori tecnici (Anderson, 2001). Spesso infatti i sistemi informativi sono controllati da infrastrutture i cui responsabili hanno interessi divergenti per cui l’analisi microeconomica e la teoria dei giochi giocano un ruolo importante nello studio dell’affidabilità dei protocolli di sicurezza e delle tecniche di crittoanalisi. L’approccio “economico” non solo fornisce un modo più semplice ed efficace per analizzare i problemi della sicurezza delle informazioni in ambiti quali la privacy, lo spam ed il phishing ma fornisce agli studiosi anche  un quadro di riferimento su temi quali l’affidabilità, i conflitti di interesse ed il crimine. Dal 2002 si svolge ogni anno il Workshop on the Economics of Information Security (WEIS): oggi questo ambito di ricerca coinvolge oltre 100 ricercatori e riunisce insieme ingegneri della sicurezza, economisti ed anche avvocati e psicologi. Per un’analisi generale ed un survey sulla economia della sicurezza in termini generali si veda Anderson e Moore (2006).
Questo studio si focalizza in particolare sugli aspetti del crimine online che, dal 2004, si è trasformato in una vera e propria impresa economica. Prima di tale data la maggior parte delle minacce online era rappresentata da hacker dilettanti che si dedicavano al defacement dei siti web ed allo sviluppo di codice pericoloso per lo più per potersi vantare delle proprie azioni. Ai “vecchi tempi”, la frode elettronica era per lo più un’attività da retrobottega, a carattere familiare e molto inefficiente: il tipico “frodatore” gestiva un piccolo business integrato verticalmente. Il criminale, ad esempio, acquistava uno strumento per programmare le carte di credito ed apriva poi un negozio nel quale accettava i pagamenti con carta di credito; in tal modo poteva quindi copiare illegalmente le carte che poi sfruttava facendo acquisti illegali o prelevando somme ai bancomat. Similmente di solito la frode elettronica riguardava gli addetti al call-center che rubavano le password e le facevano usare ad un complice. Oggi invece siamo in presenza di veri e propri network criminali – una sorta di nuovo mercato nero nel quale i criminali commerciano tra loro e dove si è creata una netta specializzazione di ruoli (Thomas e Martin, 2006). Proprio come nella fabbrica di spilli di Adam Smith, la specializzazione ha portato ad un incredibile guadagno di produttività anche se in questo caso si parla di codici segreti di bancomat invece che di manufatti in metallo. Come è illustrato nella tabella 1, chiunque sia in grado di raccogliere carte bancomat o di credito, PIN e codici di accesso per l’electronic banking può adesso rivenderli attraverso broker anonimi con tariffe che vanno dai $0,40 fino ai $20,00 per ogni carta e da $10 fino a $100 per ogni account bancario (Symantec, 2008). Le tariffe richieste per appropriarsi dell’identità digitale di qualcun altro (nominativo, social security number, data di nascita) variano da $1 fino a $15. I broker a loro volta vendono le credenziali agli specialisti del riciclaggio di denaro sporco che sono in grado di nascondere il denaro e ripulirlo.
Un modus operandi comune consiste nel trasferire il denaro dal conto bancario della vittima a quello di un “mulo” (money mule). I muli sono di solito persone ingenue raggirate sulla reale provenienza del denaro, indotte ad accettarlo e poi a trasferirlo a loro volta a qualcun altro. I criminali li assoldano per mezzo di annunci di lavoro via e-mail o su siti specializzati come Craigslist o Monster (Krebs, 2008a), che offrono la possibilità di lavorare da casa come “transaction processor” o “sales executive”. Ai “muli” viene raccontato che il denaro che riceveranno è la contropartita di merci già vendute o di servizi già resi e che il loro incarico consiste nel trattenere una commissione e girare il resto della somma usando sistemi di pagamenti “non revocabili” quali i sistemi di money transfer tipo Western Union. Ma se il mulo ha girato il denaro attraverso tali money transfer e la frode viene alla luce allora il mulo diventa personalmente responsabile dei fondi che ha inviato. I “cassieri” criminali (cashier) usano il denaro rubato anche per pompare il prezzo delle azioni di piccole società minori nelle quali hanno investito e spesso “ripuliscono” il denaro ricevuto dai “muli” attraverso servizi sul web come il poker online e le aste su Internet.
Anche la raccolta delle password bancarie è diventato un lavoro specializzato. I “phishermen” fanno copie dei veri siti web delle banche e inducono i clienti incauti ad autenticarsi con le proprie credenziali autentiche sui falsi siti ed in tal modo si impossessano dei numeri di conto corrente, delle password e delle altre credenziali. Questi phishermen si servono a loro volta di “spammer” per convincere i clienti incauti a utilizzare i loro siti fasulli attraverso l’invio di e-mail che spacciano come email proveniente dalla vera banca. Sia gli spammer sia i phishermen usano software maligno come il “malware” che è progettato esplicitamente per infettare i computer delle persone che lo usano; per spingere le vittime ad usare questi software dannosi si fa credere loro che si tratti ad esempio di programmi innocui o li si convince a visitare uno dei tre milioni di siti infetti (Provos, Mavrommatis, Rajab e Monrose, 2008). L’emergere di un mercato del malware che genera profitti indica che questo software maligno non viene più scritto da teenager alla ricerca di notorietà ma da vere e proprie aziende criminali (firm) che dispongono di budget per la ricerca, lo sviluppo ed il testing. Queste “firm” sono in grado addirittura di assicurare ai propri clienti criminali che i loro prodotti non sono intercettabili dai software antivirus ed offrono aggiornamenti quando gli antivirus diventano in grado di intercettarli (Schipka, 2007).

AG-Vocabolario: 

ISACA: Obiettivi di controllo IT per la Sarbanes-Oxley liberamente scaricabile in italiano

Il 23 ottobre 2008 ISACA International ha annunciato che il volume "Obiettivi di controllo IT per la Sarbanes-Oxley", traduzione in italiano di "IT Control Objectives for Sarbanes-Oxley" è liberamente scaricabile, in formato pdf (qui, 904 K, 120 pp) dal sito ISACA e dal sito ITGI (IT Governance Institute).

AG-Vocabolario: 

Individuazione delle infrastrutture critiche informatiche di interesse nazionale

Sulla Gazzetta Ufficiale del 30 aprile 2008 è stato pubblicato il decreto del 9 gennaio 2008 che individua, per l’Italia, le infrastrutture critiche informatiche di interesse nazionale. Di seguito una sintesi dei principali articoli del decreto.

AG-Vocabolario: 

Wikinotizie: intervista a Corrado Giustozzi, il Nightgaunt, su sicurezza, privacy ed intelligiochi

Wiki@Home (wiki at home ) è il progetto che l'associazione Wikimedia Italia (corrispettivo italiano della Wikimedia Foundation ed unica detentrice in Italia del diritto all'utilizzo dei loghi wikimedia, wikipedia etc) dedica alle interviste a personaggi enciclopedici; il 9 marzo 2008 è stata pubblicata l'intervista che ho fatto a Corrado Giustozzi, il Nightgaunt  (e che in parte riutilizza materiale già pubblicato su questo sito e su IsacaRoma Newsletter). Buona lettura a tutti.

NIST: Computer Security Incident Handling Guide (versione definitiva)

 Il 7 marzo 2008 il Computer Security Resourcer center (CSRC) del National Institute of Standards and Technology (NIST) ha pubblicato la versione definitiva della propria guida per la gestione degli incidenti informatici. Si tratta del Computer Security Incident Handling Guide (pdf,1.9 M, 147 pp), segnalato anche sul blog di Marco Misitano.

AG-Vocabolario: 

Governance e flussi informativi – come cambia il mestiere del Security Manager

 Ieri 4 marzo 2008 la Banca d'Italia ha emanato le nuove disposizioni di vigilanza in materia di organizzazione e governo societario delle banche (pdf, 575 K, 16 pp), disposizioni commentate qui  da Cristina Cellucci per Compliancenet. Un capitolo di tali disposizioni riguarda i "flussi informativi” (capitolo 5, pag, 15) ove si legge: "le banche devono porre specifica cura nello strutturare forme di comunicazione e di scambio di informazioni complete, tempestive e accurate tra gli organi con funzioni di supervisione strategica, di gestione e di controllo, in relazione alle competenze di ciascuno di essi, nonché all’interno di ciascun organo; presidi organizzativi andranno approntati per evitare il rischio di divulgazione impropria di notizie riservate. (...) La predisposizione di flussi informativi adeguati e in tempi coerenti con la rilevanza e la complessità delle informazioni è necessaria anche per la piena valorizzazione dei diversi livelli di responsabilità all’interno dell’organizzazione aziendale." Detto in altri termini aumenterà, almeno nelle istituzioni finanziarie (gruppi bancari ed assimilabili) l'attenzione alla riservatezza, integrità e disponibilità delle informazioni necessarie per un corretto governo societario. In una parola: serve IT Governance.

AG-Vocabolario: 

Anche il Senato approva la ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica

Il 27 febbraio 2008 il Senato della Repubblica ha approvato in maniera definitiva la "Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno" (pdf , 43 K, 7 pp).

AG-Vocabolario: 

Pages