EON_635

9 Nuovo Rapporto NIST e suggerimenti di protezione Con l’obiettivo di aiutare gli utenti di applicazioni IoT a proteggere se stessi, i propri dati e le proprie reti da poten- ziali compromissioni, anche il NIST (National Institute of Standards and Technology), lo scorso giugno, ha pubbli- cato il primo di una serie di documenti (NISTIR 8228), principalmente indirizzato alle agenzie federali e ad al- tre grandi organizzazioni che stanno incorporando dispo- sitivi IoT nei propri ambienti di lavoro. Il rapporto NISTIR 8228 considera i rischi di se- curity e privacy nel contesto dei prodotti IoT: dai termo- stati intelligenti, ai dispositivi controllabili con la voce che, pur non possedendo un’in- terfaccia tradizionale come la tastiera, sono comunque connessi in rete e restano visibili, e sfruttabili dai crimi- nali informatici. Distinguendo i dispositivi IoT dai computer convenzionali, e sottoline- ando le tipologie di rischi a cui danno adito, il documen- to suggerisce agli utenti di perseguire tre categorie di obiettivi di mitigazione dei ri- schi di alto livello: per prima cosa occorre proteggere la security del dispositivo, im- pedendo che possa essere utilizzato per condurre attac- chi; secondo, è necessario proteggere la sicurezza dei 2019, n. 105 su Disposizioni urgenti in materia di perime- tro di sicurezza nazionale ci- bernetica . Il decreto parla di “straordinaria necessità e ur- genza di un sistema di organi, procedure e misure, che con- senta una efficace valutazio- ne sotto il profilo tecnico del- la sicurezza degli apparati e dei prodotti, in linea con le più elevate e aggiornate misure di sicurezza adottate a livello internazionale” e riguarda an- che disposizioni in materia di valutazione della presenza di fattori di vulnerabilità in grado di compromettere l’integrità e la sicurezza delle reti che supportano i servizi di comu- nicazione a banda larga basa- ti sulla tecnologia 5G. In tale scenario, il perimetro di sicu- rezza nazionale cibernetica, come si legge all’Art. 1, ha l’o- biettivo di “assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle am- ministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipen- de l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il manteni- mento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, in- terruzione, anche parziali, ov- vero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”. dati, incluse le informazioni d’identificazione personale; terzo, bisogna proteggere la privacy delle persone. AI e machine learning, i pro e contro per la security Interrogativi contrastanti sor- gono anche in merito al ruo- lo di Intelligenza artificiale (AI) e machine learning (ML) sul campo di battaglia della cybersecurity: ossia, in qua- le misura queste tecnologie possono essere amiche o nemiche della sicurezza ci- bernetica? Da un lato, il potenziale di AI e ML è così elevato che sa- rebbe ingenuo credere che i criminali informatici non lo utilizzino come arma per rafforzare la potenza degli attacchi. Usando meno ri- sorse, AI e ML sono in gra- do di automatizzare il lavoro svolto dagli esseri umani per sviluppare, coordinare ed estendere la portata di un attacco cyber; ma sono anche in grado di originare nuove tipologie di minacce, più imprevedibili, e d’indivi- duare le vulnerabilità di reti e sistemi molto più rapida- mente e meglio di un opera- tore umano. D’altra parte, però, sono anche in corso di svilup- po strumenti e tecniche di cybersecurity supportate da AI e ML che potrebbero pro- durre un importante impatto sulle strategie di protezione. In particolare, AI e ML sono utilizzabili in vari modi per difendere la cybersecurity: il loro potenziale si estende dall’individuazione e previ- sione delle minacce ciber- netiche per la mitigazione dei rischi; ai meccanismi di protezione e autenticazione delle password; al controllo e prevenzione dei tentativi di frodi; all’identificazione delle topologie di rete per la creazione di politiche di sicu- rezza adeguate nelle diverse organizzazioni. EON EWS n . 635 - NOVEMBRE 2019 Ormai la cybersecurity è sempre più strategica anche a livello di sicurezza nazionale (Fonte: Pixabay) Seco Group acquisisce il 100% di InHand Electronics Seco , con il supporto di FII Tech Growth , partecipata dal- la Cassa Depositi e Prestiti, annuncia la sottoscrizione del contratto di acquisizione di InHand Electronics , società basata in Maryland, specia- lizzata in soluzioni embed- ded a basso consumo e in software destinato a pro- duttori (OEM) di dispositivi portatili, Internet of Things (IoT) e strumenti wireless. InHand Electronics si foca- lizza nella progettazione e produzione di single board computer a basso consumo e sistemi portatili per appli- cazioni industriali, militari/di- fesa, medicali, trasporti, info- tainment ed apparecchiature per operazioni sul campo. L’acquisizione, che sarà fina- lizzata una volta che il CFIUS (Comitato sugli investimenti esteri negli Stati Uniti) avrà approvato la richiesta, collo- ca Seco tra i principali forni- tori di tecnologie embedded nel mercato nord americano. Percepio RTOS Training, un ausilio per lo sviluppo software Percepio ha annunciato la disponibilità di “Percepio RTOS Training”, una serie di corsi online focalizzati sullo sviluppo software per appli- cazioni IoT ed embedded. Questa serie prevede inizial- mente due corsi – Principi fondamentali dei sistemi operativi real-time (RTOS Fundamentals) e Tecniche RTOS avanzate (Advanced RTOS Techniques) – che sa- ranno tenuti da Jacob Benin- go, un esperto nel settore del software embedded. Nel pri- mo corso, che ha per ogget- to i principi fondamentali dei sistemi operativi real-time, saranno trattate tematiche di base quali task, sincronizza- zione e gestione della memo- ria, mentre il secondo corso, più avanzato, sarà focalizza- to su temi quali design pat- tern (schema progettuale) di sistemi embedded, tecniche di debugging e sviluppo in funzione della sicurezza del progetto. I corsi sono di- sponibili sul web store della società o attraverso la sua rete di distribuzione globale, al costo di 995 dollari (895 euro). brevi brevi brevi brevi brevi brevi brevi brevi brevi brevi brevi brevi brevi brevi R EPORT