martedì 14 settembre 2010

Vogliamo il CERT europeo!!

Sempre più voci si levano sulla necessità di predisporre adeguate strutture a garanzia della sicurezza informatica negli stati dell'Unione Europea e fanno risaltare, per contrasto, il silenzio e l'immobilità europea, ed italiana in particolare. La mancanza a livello europeo e soprattutto nazionale di un CERT, ovvero, di una struttura che si occupi di prevenzione e gestione degli incidenti informatici è un fatto enorme, soprattutto adesso che moltissimi paesi si stanno attrezzando per giocare un ruolo preminente nelle nuove sfide poste dalla cyberwar.

Ieri, ENISA (European Network and Information Security Agency), l'agenzia europea per la sicurezza informatica con sede a Creta, si è quindi unita al coro lanciando il proprio accorato appello nell'ambito di una manifestazione chiamata Network and Information Security Summer School. 

"L'Unione Europea ha bisogno di un proprio Computer Emergency Response Team (CERT) per gestire a livello comunitario le minacce IT".

L'eurodeputato rumeno Silvia Adriana Jicău ha poi sottolineato: "Il ruolo dell'ENISA deve essere esteso perché viviamo in una società dell'informazione sempre più in rete. All'ENISA deve essere riconosciuta una maggiore importanza come coordinatore internazionale e, in questo quadro, deve fornire un Computer Emergency Response Team per proteggere le istituzioni dell'UE. " L'eurodeputata ha suggerito inoltre che ogni Stato membro dell'Unione realizzi il proprio CERT nazionale entro il 2012.

Che ENISA abbia a cuore la sicurezza europea non c'è dubbio, che metta in campo iniziative interessanti non c'è altrettanto dubbio, che riesca nei suoi intenti, invece, è alquanto incerto. Soprattutto quando si dimostra assolutamente incapace di portare a termine un task semplice semplice come il censimento dei CERT europei. Ho personalmente verificato la parte italiana e ho trovato... un disastro. Le informazioni contenute nella "New, updated '2.0'-version of 'Digital Firebrigades' - CERTs map & inventory" sono vecchie di almeno quattro anni e sono, almeno per l'Italia, del tutto fuorvianti.

Le strutture segnalate per l'Italia sono otto, tutte corredate da link...vediamole da vicino:

CERT-IT, è un'iniziativa dell'università di Milano e, in homepage (ultimo aggiornamento marzo 2010), viene dichiarato: "Computer e Network Security Lab, una struttura di ricerca del Dipartimento di Informatica e Comunicazione della Università degli Studi di Milano. Il focus è la ricerca sulla sicurezza informatica applicata. In particolare, i nostri interessi spaziano dall'analisi delle vulnerabilità, all'analisi di malware e al rilevamento delle intrusioni." 
Insomma niente a che vedere con un CERT

CERT ENEL, uno dei link più esilaranti, nella homepage si legge:"Enel Servizi e Altre attività. L'area Servizi e Altre attività si propone prevalentemente di assicurare servizi di alta competitività alle Società del Gruppo, quali: Attività immobiliari e di facility (quicasa), ecc."  
Insomma niente a che vedere con un CERT

GARR-CERT, effettivamente il CERT del gestore della rete telematica nazionale dell'Università e della Ricerca. Un vero CERT

GovCERT.it, progetto a cui ho avuto l'onore di partecipare, è terminato da tempo e la struttura è stata sostituita da anni dall'ottimo CERT-SPC. Meno male che al CERT-SPC hanno attivato un redirect automatico. 
Insomma, un'altra informazione sbagliata

CERT-Difesa, il CERT dello Stato Maggiore della Difesa. Un vero CERT

CERT-RAFVG, il CERT della Regione Friuli Venezia Giulia. Un vero CERT

SICEI-CERT, il CERT del Servizio Informatico della Conferenza Episcopale Italiana, istituito per supportare le diocesi italiane nella gestione degli incidenti informatici. Un vero CERT (?)

S2OC, il CERT di Telecom Italia, il link punta al portale del servizio clienti Telecom... dove, guardando con molta attenzione, si trova un link al SOC, che contiene una paginetta di descrizione dei servizi. 
Insomma un'informazione vera solo in parte.

Questo è tutto ciò che viene citato per l'Italia, otto CERT, di cui tre assolutamente sbagliati e nessuna informazione utile ad eccezione di quelle fornite dal CERT-SPC, raggiunto per puro caso. 
Insomma un vero disastro!!

1 commento:

glamisonsecurity.com ha detto...

Riprendo questo post un po' vecchiotto perché stavo leggendo questa notizia:

http://www.key4biz.it/Players/Vincitori/2011/04/Cyber_Europe_2010_Rapporto_Enisa_eSecurity_Sicurezza_Informatica_Attacchi_Udo_Helmbrecht_Infrastrutture_Critiche.html

Ovviamente sono subito venuto qui su Punto 1 per saperne di più, ma non mi sembra di trovare articoli a riguardo.

Tu hai qualche dettaglio in più su chi per l'Italia ha partecipato all'esercitazione? Perché alla fine il tema è sempre quello: non c'è un CERT nazionale che possa gestire queste questioni...

Federico

Posta un commento

http://www.wikio.it