Come recentemente ci ha illustrato [1] il dottor Andrea Pirotti, Executive Director di ENISA [2], l’European Network and Information Security Agency, il PSG [3] è un Advisory Board formato da 30 persone di prestigio nell’ambito della Network e Information Security internazionale (NIS) che, a titolo personale e non a nome delle organizzazioni/società che rappresentano, forniscono al Direttore di ENISA consigli e orientamenti tecnico-operativi per la migliore esecuzione del Programma di Lavoro annuale.
Recentemente è stato reso pubblico la “PSG Vision for ENISA” (pdf [4] , 200 K). L’obiettivo del documento è delineare l’evoluzione prevedibile della NIS nei prossimi mesi e di conseguenza ipotizzare le attività che ENISA dovrà fare a riguardo.
Riportiamo, di seguito, alcuni stralci del documento da noi tradotti in italiano. La versione completa, in lingua inglese, è disponibile sul sito dell’agenzia.
Gli obiettivi per ENISA nel 2008
(dall’Executive Summary)ENISA dovrà diventare un punto di riferimento, di eccellenza e di “fiducia”per la sicurezza delle reti e delle informazioni; le prese di posizioni, le opinioni e gli “alert” dell’agenzia dovranno essere costantemente tenuti in considerazione nei principali progetti IT nel settore privato e pubblico.
ENISA dovrà essere riconosciuta, in ambito NIS, come portavoce de-facto degli interessi europei nella cooperazione globale, cercando di sviluppare le relazioni necessarie per portare avanti gli interessi europei, con un ruolo chiaramente definito rispetto alla Commissione ed a ciascun stato membro.
ENISA dovrà essere la forza trainante per la creazione, lo sviluppo e la disseminazione di tecnologie IT sicure e fidate; in tal modo, sia nel settore pubblico che in quello privato, i consumatori saranno facilitati nell’usare le tecnologie digitali senza rischi per la propria sicurezza.
ENISA dovrà diventare il centro riconosciuto di consultazione per le entità dell’Unione europea e degli stati membri.
ENISA non deve:
- rifare lavori già svolti da altri
- competere con le organizzazioni commerciali
- limitarsi solo al livello di “best practices” ma avere viceversa una visione olistica che può essere utilizzata fino in fondo per risolvere i problemi.
Risultati da raggiungere entro il 2008
Quelli che seguono sono i “target deliverable” ai quali ENISA dovrà puntare entro la fine del 2008. Naturalmente questa lista è solo indicativa; ci potrebbero essere altri importanti temi che qui non sono indicati.
- Creare una tavola rotonda - forum per gli stakeholder del NIS al fine di discutere e trovare accordi e soluzioni rispetto alle minacce individuate in questa “Vision”;
- Pubblicare un rapporto annuale senza condizionamenti commerciali e politici
- Pubblicare un “Internet Insecurity Index” annuale o trimestrale per monitorare lo sviluppo ed i progressi nel NIS. (ENISA dovrà gestire tali strumenti con speciale cura e tener conto delle implicazioni politiche dell’ index, specialmente quando sono richieste azioni in caso di guasti od errori).
- Essere co-promoter di conferenze di alto livello in ambito NIS per facilitare lo sviluppo di un “NIS senza frontiere”. ENISA non dovrà organizzare tali conferenze autonomamente ma viceversa selezionare 1-2 conferenze annuali e co-promuovere per mezzo di pubblicità e contributi di alto livello.
- Selezionare e promuovere chiare e pratiche user-guide per gli utilizzatori finali del NIS. ENISA non deve preparare bozze e draft o produrre tale materiale ma supportare I lavori esistenti.
- Facilitare ed indirizzare la sensibilizzazione alla sicurezza di tutti i cittadini EU. I consumatori e gli end user devono cooperare per rendere più sicuri i device, aggiornando i propri sistemi per assicurare che essi siano protetti – e molti hanno una sensibilità ridotta di cosa in effetti sia realmente la sicurezza e del perché sia necessaria e di come capire se in effetti hanno un problema di sicurezza. Come parte delle visione di ENSIA per il 2008 ci deve essere la consapevolezza da parte dei cittadini europei dei benefici della sicurezza delle informazioni e la comprensione di come essi devono comportarsi in qualità di “cittadini elettronici” del 21 secolo.
Problematiche di sicurezza attuali e prevedibili per il prossimo futuro
Rischi e minacce di tipo tecnologico
- Varie forme di malware
- Nuovi e piùpericolosi worm
- Rootkit e botnet
- Attacchi Distributed Denial of Service (DDoS)
- Furto di identità
- Aumento del livello di vulnerabilità del software
- Attacchi alle reti mobili e wireless
- Aspetti di sicurezza legati alle reti peer-to-peer
- SPAM e SPIT (SPAM over Internet Telephony)
Aspetti di sicurezza non correlati direttamente alla tecnologia
- Mancanza di consapevolezza sui temi della sicurezza
- Professionalità dei cyber-criminali
- Aumentata dipendenza delle infrastrutture critiche da Internet e dal networking
Azioni a lungo termine per ENISA
- Cooperare con e coordinare le autorità nazioni in ambito networking ed information security
- Cooperare con gli istituti di ricerca
- Cooperare con i vendor software ed hardware
- Participare agli organismi che fissano gli standard
- Participare ai processi legislative per mezzo di attività di lobby ed opinioni
- Lavorare con le organizzazioni di utenti
- Identificare e promuovere le “best practise” agli stati membri ed alle industrie “end user”
- Lavorare per soluzioni tecnologiche e politiche dell’identity management
- Bilanciare gli sforzi tra gli aspetti di “Information” e “Network” security