Discussione Ufficiale News Il caso Accenture squassa l’Agenzia per la cybersicurezza

[nfvblog]

Il caso Accenture squassa l’Agenzia per la cybersicurezza​

Il caso Accenture squassa l’Agenzia per la cybersicurezza è una di quelle cose che ha creato un certo scandalo nella seconda settimana di marzo del 2023, infatti, ancora oggi Europa e più nello specifico l'Italia (prendiamo come riferimento il nostro paese non perché è il più attaccato, ma perché è il nostro e quindi è più semplice parlarne, non è manco quello messo peggio) hanno ricevuto attacchi su attacchi informatici.

1    Introduzione

---

Tra la sera del 6 e la mattinata del 7 marzo sono trapelate alcune informazioni imbarazzanti a dir poco, infatti, si è scoperto tramite i metadati di un PDF inerente al piano nazionale di sicurezza informatica che il suddetto documento non era prodotto dallo staff dell'Agenzia nazionale per la cybersicurezza, nata nel 2020 tramite i fondi istanziati dal governo Conte e in seguito Draghi, dopo aver visto i risultati degli attacchi del 2019 e anche quelli avvenuti lo stesso anno durante la pandemia di COVID 19. Questo ente prevede 800 posti di lavoro (in 6 anni circa, al momento non è ben chiaro quanti impiagati siano all'attivo visto che non si riesce a trovare una cifra congrua ogni articolo dice la sua), tra cui tutto lo staff tecnico che alla carta dovrebbe essere in grado di redigere tutte le direttive interne e che gestiva, e continua a gestire non pochi fondi tanto che si parla di piani con i fondi del Pnrr che alla carta ammontano a circa 623 milioni.

Infatti, gruppi di hackers come gli ormai famigerati "Noname057", in questo caso gruppo filo russo, sono riusciti a fare il buono e il cattivo tempo con le nostre reti statali tramite alle volte espedienti anche ridicoli. Dati alla mano molte delle infrastrutture nazionali sono obsolete e non più in grado di reggere alla minima aggressione. In molti casi con semplici attacchi DDOS intenti a creare un disservizio e alle volte anche di peggio con furti di dati dei cittadini italiani.

2    Le scoperte di Michele Pinassi

---

Effettivamente una bella domanda è "da chi parte lo scandalo?", in questo caso il responsabile di questa scoperta è Michele Pinassi, ex consigliere nel Comune di Siena per il Movimento 5Stelle ed ex capogruppo di Siena5Stelle, attualmente responsabile della cybersicurezza nell'università della stessa città. Egli scrisse sul suo profilo LinkedIn, il seguente post:

Non so quante Nadia Gullo ci siano in Italia e se una di esse è una dipendente dell’Agenzia per la Cybersicurezza Nazionale. Me lo chiedo perché l’unica Nadia Gullo che ho trovato è una Security Consulting Consultant presso Accenture e sarebbe davvero divertente se l’ACN si fosse fatta redarre (redigere, ndR) l’importante documento sul Manuale Operativo della Misura 82 da personale esterno. Probabilmente – conclude -, si sono solamente dimenticati di controllare i metadati del PDF. Oppure è una challenge di una qualche CTF in ambito ACN? Chissà…

Quindi già da queste parole possiamo dedurre quanto lavoro lo staff dell'Agenzia per la Cybersicurezza Nazionale abbia fatto, se non hanno modificato manco l'autore originale del documento. Ricordiamo che comunque è un ente prevede 800 posti di lavoro a libro paga dei contribuenti e se nessuno sa stendere manco un verbale di questo tipo ovviamente vengono dei dubbi a riguardo.

2.1    Reazione dell'ACN allo scandalo

In modo un po' infantile e anche vagamente paraculo, infatti, come siamo stati abituati qui in Italia, quando esce fuori uno scandalo si silura il presidente, infatti, Roberto Baldoni, colui che fondo l'ACN si è dimesso dal suo ruolo. Questa notizia arrivò sul pubblico come una folata di vento in uno rogo ardente, alimentando le fiamme, invece che spegnerle. Il fatto è che molte volte un presidente non sa tutto quello che succede all'interno del suo ente, semplicemente si occupa di amministrare il progetto, quindi magari neanche sapeva di questa manovra brillante dell'ACN.

Tanto che anche il generale Umberto Rapetto ha fatto delle dichiarazioni in questione.

2.2    Le dichiarazioni di Rapetto

Visto che la faccenda risultava abbastanza losca e ridicola anche il generale Rapetto ha deciso di scrivere la sua opinione su Start, affermando

non sussistendo alcun caso di omonimia, il dottor Pinassi è stato costretto a constatare che la signora o signorina in questione lavora nella celeberrima società americana “Accenture” come “Security Consulting Consultant”) la ripetizione tautologica non è un refuso ma una sottolineatura del ruolo consulenziale fatto dalla stessa interessata).

Nessuno – annota Rapetto – discute della preparazione della dottoressa Gullo e della bontà del suo elaborato, ma in tanti si domandano se “certe cose” vagamente critiche dovessero essere appaltate all’esterno. Probabilmente l’Agenzia, nonostante le tante decorose candidature finite nel cestino, non ha nemmeno uno specialista che possa provvedere ad una simile incombenza. La magra remunerazione “Bankitalia style” probabilmente non ha ingolosito chi avrebbe potuto far bene quel lavoro oppure non è sufficiente per pretendere dai dipendenti ACN di mettersi all’opera.

L’aver sostituito il documento – conclude Rapetto – con un altro esemplare “ritoccato” con l’eliminazione del nome della Gullo porta a domandarsi se Emilio Fede avrebbe esclamato il fatidico “che figura di mmmerda” per la prima sventurata uscita o per quella della versione corretta.

Da queste sue affermazioni affermazioni si denota come il problema di questa scelta dell'ACN sia più che altro il fatto che stiano delegando un piano di sicurezza nazionale ad una azienda estera (che quindi fa capo ad un altro paese, in questo caso gli Stati Uniti), questo mette in mano al suddetto paese la nostra situazione non rosea a riguardo con comuni che hanno barriere di sicurezza informatica, fatte letteralmente con la carta crespa e la colla vinilica.

3    I dubbi che sorsero all'epoca dei bandi di assunzione

---

Una delle cose che fece storcere il naso a molti quando uscì il bando per l'assunzione degli 800 tecnici (previsti in 6 anni ma già contabilizzati in teoria) all'ACN fu il fatto che veniva valutato solo il voto di uscita dalle superiori o dall'università, non venivano considerate le certificazione degli ISP e delle aziende di telecomunicazioni come (Cisco, Oracle, IBM e tante altre), e non veniva fatta una post selezione per comprendere se le persone in questione fossero formati. Questo è un problema, perché un esperto di cybersicurezza tipicamente è uno che ha fatto anni su anni di pratica e ha un' esperienza forte a riguardo, non è il ragazzino appena uscito dalle superiori oppure il laureato che ha dato due esami di informatica, per svolgere questo mestiere non bastano, dopo aver fatto un percorso di studio bisogna fare corsi e tirocini per diventare idonei, per questo motivo risulta ridicola la modalità di accesso.

4    Video dedicato

---

Visto che non ci sono stati tanti video a riguardo me medesimo e il caro Giulio che voi conoscete come MRPants abbiamo deciso di dare una nostra opinione in merito:

​

Come al solito, a ruota libera considerando l'articolo di startmag.it e anche alcune esperienze di natura personale a riguardo, l'ironia è ben presente e anche quella rabbia è dovuta dal fatto che ci credevamo davvero a questo progetto, ma visto che la cybersicurezza qui in occidente, specialmente in Europa viene visto come un condimento per la pasta ci becchiamo casi simili.

link dell'articolo: https://www.startmag.it/innovazione/agenzia-per-la-cybersicurezza-nazionale-baldoni-accenture/

5    Conclusioni

---

Anche in passato gli enti pubblici hanno fruttato degli appalti, è una cosa normale e per certe cose ha pure senso, in questo caso la critica sorge per il semplice fatto che quello ad esser stato messo ad appalto è la semplice strategia di cybersec nazionale, cosa che si poteva gestire internamente, ovviamente pure io sono d'accordo sul fatto che ogni tanto ci debba essere una supervisione nell'operato dell'ACN da parte di una azienda di consulenze esterna, serve per mantenere alta la qualità delle strategie, ma fornire ulteriori informazioni nazionali potenzialmente sensibili ad un altro paese non è il massimo, lo sapiamo, comunque molti dei nostri dati sono già controllati dagli USA, basta solo pensare a motori di ricerca come Google, i vari social e tanto altro. Ma ci sono dei dati che per convenzione sarebbe meglio non fornire, sicuramente alcuni Metadati sono stati analizzati per questo piano e non fa piacere, e occhio si tratta di semplice premura non di paranoico o similare tutti usiamo servizi che di trasparente hanno poco, ma almeno su questo sarebbe giusto che di trasparenza c'è ne fosse un po' di più.

Sicuramente in caso di ulteriori scoperte il topic sarà aggiornato all'ultima info.

 

[MRPants]

Molto interessante in senso negativo, teniamoci aggiornati perché sicuramente ci saranno risvolti , temo che non sia lunica cosa delegata allaccenture , spero di sbagliarmi ma " se fai venire la donna delle pulizie a casa tua non li fai lucidare solo le maniglie delle porte" , quindi sicuramente ci sarà altro ; ora vorrei capire come hanno intenzione di affrontare la cosa , se pensano di aver sistemato con il siluramento del "capoccia" è peggio di quanto pensiamo .

Fa' riflettere che nonostante i mille discorsi, la cybersec sia ancora ridicolizzata nella sua gravità .

Stay tuned !

 

[nfvblog]

Molto interessante in senso negativo, teniamoci aggiornati perché sicuramente ci saranno risvolti , temo che non sia lunica cosa delegata allaccenture , spero di sbagliarmi ma " se fai venire la donna delle pulizie a casa tua non li fai lucidare solo le maniglie delle porte" , quindi sicuramente ci sarà altro ; ora vorrei capire come hanno intenzione di affrontare la cosa , se pensano di aver sistemato con il siluramento del "capoccia" è peggio di quanto pensiamo .

Fa' riflettere che nonostante i mille discorsi, la cybersec sia ancora ridicolizzata nella sua gravità .

Stay tuned !

Sicuramente ad esempio adesso sappiamo il nome del nuovo presidente il dott. Bruno Frattasi, che adesso si prenderà le responsabilità di qualunque casino faccia il suo bellissimo staff tecnico

 

[0xbro]

Non so, sinceramente non lo considererei uno scandalo, mi sembra un po' esagerata come reazione. Alla fine molte grandi aziende ed altrettanti enti pubblici si appoggiano a società di consulenza per risolvere i propri problemi. Ovviamente si firmano severi NdA (Accordo di non divulgazione) e accordi di segretezza, per cui anche se si tratti di informazioni estremamente confidenziali, queste sono maneggiate dalle sole persone preposte a farlo.

Alla fine è una cosa abbastanza logica: uno prova a risolvere il problema con le risorse che ha. Se non le ha, prova ad assumerle, e se non riesce ad assumerle (o i costi non lo permettono), sub-appalta verso un'azienda terza. Se non hai il personale e non riesci nè a risolverti il problema internamente, nè ad assumere chi è in grado di farlo, come fai? Non risolvi il problema e lasci tutto com'è? No, cerchi aiuto fuori, e ci sta.

Poi che le persone che lavorino nell'ACN non abbiano le competenze adeguate è tutto un altro paio di maniche, però proprio per questo: se le persone non sono in grado e tu il lavoro lo devi comunque fare, come fai?

 

[nfvblog]

Non so, sinceramente non lo considererei uno scandalo, mi sembra un po' esagerata come reazione. Alla fine molte grandi aziende ed altrettanti enti pubblici si appoggiano a società di consulenza per risolvere i propri problemi. Ovviamente si firmano severi NdA (Accordo di non divulgazione) e accordi di segretezza, per cui anche se si tratti di informazioni estremamente confidenziali, queste sono maneggiate dalle sole persone preposte a farlo.

Alla fine è una cosa abbastanza logica: uno prova a risolvere il problema con le risorse che ha. Se non le ha, prova ad assumerle, e se non riesce ad assumerle (o i costi non lo permettono), sub-appalta verso un'azienda terza. Se non hai il personale e non riesci nè a risolverti il problema internamente, nè ad assumere chi è in grado di farlo, come fai? Non risolvi il problema e lasci tutto com'è? No, cerchi aiuto fuori, e ci sta.

Poi che le persone che lavorino nell'ACN non abbiano le competenze adeguate è tutto un altro paio di maniche, però proprio per questo: se le persone non sono in grado e tu il lavoro lo devi comunque fare, come fai?

allora se dici che allestisci un team locale devi lavorare con le risorse locali, se non hai il personale lo formi, i fondi previsti erano tanti e se non li gestiscono correttamente è un problema oppure se usi una azienda esterna devi metterla in piano, non puoi farlo di nascosto senza avvisare i cittadini che pagano le tasse sostenendo il progetto. Se ti devi poi appoggiare ad una azienda per fare un piano di sicurezza informatica nazionale ti affidi ad una azienda italiana

 

[0xbro]

allora se dici che allestisci un team locale devi lavorare con le risorse locali, se non hai il personale lo formi

La fai facile: formale 300 persone ad un livello di competenze professionale in poco tempo... fosse facile non esisterebbero le aziende di consulenza e ognuno si risolverebbe i problemi in casa. La verità però è che o sei Google/Meta/ogni altro colosso, oppure ti affidi a professionisti.

se usi una azienda esterna devi metterla in piano, non puoi farlo di nascosto senza avvisare i cittadini che pagano le tasse sostenendo il progetto

Anche su questo non sono d'accordo, o perlomeno è un utopia pensare che le aziende comunichino al 100% di trasparenza i loro piani strategici e di business al pubblico. Non stiamo parlando di un prodotto open-source o di una campagna kikstarter, stiamo parlando di ambiti business. Anche la tua banca è finanziata coi tuoi soldi ma si appoggia a società terze, ma è un problema? No. I più noti marchi del made in italy si appoggiano tutti ad aziende di consulenza, addirittura alcuni enti pubblici lo fanno. Eppure nessuno te lo viene a dire.

e ti devi poi appoggiare ad una azienda per fare un piano di sicurezza informatica nazionale ti affidi ad una azienda italiana

Accenture avrà anche sede legale in Irlanda/USA, ma solo in Italia ha più di 4 sedi sparse tra nord e sud con centinaia di consulenti, legali e manager italiani, tutto questo solo per il settore della cyber-sicurezza. Non mi sembra ci sia tutta questa differenza rispetto all'appoggiarsi a Reply. Inoltre le "Big 4" sono tutte straniere, quindi se vuoi una potenza di fuoco meritevole devi appoggiarti a loro (che poi operano comunque in tutto il globo, Italia compresa. Non è che non conoscono nulla dell'Italia, al loro interno sono tutte frazionate per region, per cui ci sarà una core-unit specifica per l'italia)

 

[nfvblog]

La fai facile: formale 300 persone ad un livello di competenze professionale in poco tempo... fosse facile non esisterebbero le aziende di consulenza e ognuno si risolverebbe i problemi in casa. La verità però è che o sei Google/Meta/ogni altro colosso, oppure ti affidi a professionisti.


Anche su questo non sono d'accordo, o perlomeno è un utopia pensare che le aziende comunichino al 100% di trasparenza i loro piani strategici e di business al pubblico. Non stiamo parlando di un prodotto open-source o di una campagna kikstarter, stiamo parlando di ambiti business. Anche la tua banca è finanziata coi tuoi soldi ma si appoggia a società terze, ma è un problema? No. I più noti marchi del made in italy si appoggiano tutti ad aziende di consulenza, addirittura alcuni enti pubblici lo fanno. Eppure nessuno te lo viene a dire.


Accenture avrà anche sede legale in Irlanda/USA, ma solo in Italia ha più di 4 sedi sparse tra nord e sud con centinaia di consulenti, legali e manager italiani, tutto questo solo per il settore della cyber-sicurezza. Non mi sembra ci sia tutta questa differenza rispetto all'appoggiarsi a Reply. Inoltre le "Big 4" sono tutte straniere, quindi se vuoi una potenza di fuoco meritevole devi appoggiarti a loro (che poi operano comunque in tutto il globo, Italia compresa. Non è che non conoscono nulla dell'Italia, al loro interno sono tutte frazionate per region, per cui ci sarà una core-unit specifica per l'italia)

Si, lo so che richiede tempo, allora dai una data precisa per la formazione e poi inizia a lavorarci, nessuno è perfetto, il fatto è che comunque devi essere onesto nelle dichiarazioni, fu questo il motivo per cui il presidente è stato cambiato e come detto speriamo per il futuro che questo ente abbia la possibilità di formulare quanto meno i piani esecutivi da solo, ovviamente ogni tanto come detto anche nel video, è giusto che una azienda di consulenza supervisioni l'operato per poter garantire la qualità delle manovre

 

[fennek]

Non mi sembra ci sia tutta questa differenza rispetto all'appoggiarsi a Reply

Sono d'accordo su tutto il tuo messaggio (chiaramente non si tratta di lavoro opensource, appoggiarsi a ditte esterne è sempre valido, etc etc), tranne su questo.

Gli US hanno diritto di accedere a qualsiasi dato di qualsiasi azienda che fa capo a un'azienda americana. Per questo, in certi ambiti critici, la digital sovereignty è fondamentale.
Nessuno mette in dubbio la preparazione di Accenture, e neanche il fatto che chi lavora in Italia non gliene frega niente di condividere dati con gli US.

Ma gli US non sono un alleato affidabile, come abbiamo visto più e più volte, e certi argomenti fondamentali per la sicurezza nazionale dovrebbero essere gestiti da aziende italiane. Se proprio non riesci, da consorzi europei.

Questo non vuol dire che dobbiamo essere autarchici su tutto: chiaramente se Accenture gestisce il sistema antifrodi di qualche banca va bene, possiamo fidarci abbastanza degli americani, ma quando parliamo di sicurezza nazionale, e facciamo un threat model, io credo che gli US siano da considerare una possibile minaccia, in alcuni contesti.

 

[JunkCoder]

Gli US hanno diritto di accedere a qualsiasi dato di qualsiasi azienda che fa capo a un'azienda americana. Per questo, in certi ambiti critici, la digital sovereignty è fondamentale.
Nessuno mette in dubbio la preparazione di Accenture, e neanche il fatto che chi lavora in Italia non gliene frega niente di condividere dati con gli US.

Ma gli US non sono un alleato affidabile, come abbiamo visto più e più volte, e certi argomenti fondamentali per la sicurezza nazionale dovrebbero essere gestiti da aziende italiane. Se proprio non riesci, da consorzi europei.

Questo non vuol dire che dobbiamo essere autarchici su tutto: chiaramente se Accenture gestisce il sistema antifrodi di qualche banca va bene, possiamo fidarci abbastanza degli americani, ma quando parliamo di sicurezza nazionale, e facciamo un threat model, io credo che gli US siano da considerare una possibile minaccia, in alcuni contesti.

Sarebbe una policy perfettamente logica e sensata (e già presa con la Cina) ma anche ipocrita da parte loro visto che siamo già colonizzati, non lo dico a caso: le informazioni vengono condivise di continuo tra le agenzie e si è visto dai vari scandali come sorvegliano il mondo intero, se volessero davvero le informazioni contenute in quei documenti le otterrebbero anche se l'azienda è italiana senza problemi, chiedendole o meno. D'altra parte come si fa a evitarlo se Google, Apple, AMD, Intel sono nelle tasche, nelle auto e nelle case di tutti gli Italiani (anche di coloro che lavorano presso acn)?

 

[fennek]

D'altra parte come si fa a evitarlo se Google, Apple, AMD, Intel sono nelle tasche, nelle auto e nelle case di tutti gli Italiani (anche di coloro che lavorano presso acn)?

Non so te, ma io non ho i progetti degli Eurofighter in casa

Battute a parte, ogni azienda che si rispetti e si occupa di sicurezza nazionale dovrebbe avere un "high-side", sicuro, e un "low-side", insicuro.

La casa del dipendente è insicura per definizione: anche se non ha nessun device, non è protetta dalle forze armate: un qualsiasi break-in la comprometterebbe.

Appunto per questo bisogna avere policy ben chiare, che proteggono i dati più sensibili. Per questo credo che sia stato un errore assegnare ad Accenture questo manuale operativo: un manuale operativo efficace si basa anche sul sapere cosa viene protetto: quindi Accenture ha avuto accesso almeno ai "metadati" di cose che, secondo me, gli americani non hanno interesse a sapere.

Poi eh, sono chiacchiere da bar, ma la mia opinione è che alcune cose andrebbero trattate con un po' più di attenzione.

 

[nfvblog]

Sarebbe una policy perfettamente logica e sensata (e già presa con la Cina) ma anche ipocrita da parte loro visto che siamo già colonizzati, non lo dico a caso: le informazioni vengono condivise di continuo tra le agenzie e si è visto dai vari scandali come sorvegliano il mondo intero, se volessero davvero le informazioni contenute in quei documenti le otterrebbero anche se l'azienda è italiana senza problemi, chiedendole o meno. D'altra parte come si fa a evitarlo se Google, Apple, AMD, Intel sono nelle tasche, nelle auto e nelle case di tutti gli Italiani (anche di coloro che lavorano presso acn)?

Sicuramente, forse mi sono espresso male io, il senso è che una azienda per la sicurezza informatica nazionale dovrebbe quanto meno saper stimare dei verbali, è quello lo scandalo, poi tutti gli enti pubblici appaltano, ma almeno sulle funzioni basilari sarebbe meglio sistemarle internamente. Comunque sono contento per il successo che sta facendo la discussione.

 

[nfvblog]

Non so te, ma io non ho i progetti degli Eurofighter in casa

Battute a parte, ogni azienda che si rispetti e si occupa di sicurezza nazionale dovrebbe avere un "high-side", sicuro, e un "low-side", insicuro.

La casa del dipendente è insicura per definizione: anche se non ha nessun device, non è protetta dalle forze armate: un qualsiasi break-in la comprometterebbe.

Appunto per questo bisogna avere policy ben chiare, che proteggono i dati più sensibili. Per questo credo che sia stato un errore assegnare ad Accenture questo manuale operativo: un manuale operativo efficace si basa anche sul sapere cosa viene protetto: quindi Accenture ha avuto accesso almeno ai "metadati" di cose che, secondo me, gli americani non hanno interesse a sapere.

Poi eh, sono chiacchiere da bar, ma la mia opinione è che alcune cose andrebbero trattate con un po' più di attenzione.

Per l'appunto, per il resto l'ACN non si critica la collaborazione ma il fatto che anche per le operazioni più basilari e anche riservate si sono fatti guidare passandogli delle info che gli Americani non dovrebbero avere

 

[JunkCoder]

Non so te, ma io non ho i progetti degli Eurofighter in casa

Battute a parte, ogni azienda che si rispetti e si occupa di sicurezza nazionale dovrebbe avere un "high-side", sicuro, e un "low-side", insicuro.

La casa del dipendente è insicura per definizione: anche se non ha nessun device, non è protetta dalle forze armate: un qualsiasi break-in la comprometterebbe.

Appunto per questo bisogna avere policy ben chiare, che proteggono i dati più sensibili. Per questo credo che sia stato un errore assegnare ad Accenture questo manuale operativo: un manuale operativo efficace si basa anche sul sapere cosa viene protetto: quindi Accenture ha avuto accesso almeno ai "metadati" di cose che, secondo me, gli americani non hanno interesse a sapere.

Poi eh, sono chiacchiere da bar, ma la mia opinione è che alcune cose andrebbero trattate con un po' più di attenzione.

Si chiaro, non volevo suggerire opzioni paranoiche e queste restano chiacchere da bar su un argomento interessante. Nel mio messaggio volevo solo sottolineare come la strategia cyber del nostro paese sia legata indissolubilmente con USA e Europa e che non potrebbe nascondersi da loro nemmeno volendolo, nel contesto geopolitico e tecnologico attuale.

 

[nfvblog]

Sono d'accordo su tutto il tuo messaggio (chiaramente non si tratta di lavoro opensource, appoggiarsi a ditte esterne è sempre valido, etc etc), tranne su questo.

Gli US hanno diritto di accedere a qualsiasi dato di qualsiasi azienda che fa capo a un'azienda americana. Per questo, in certi ambiti critici, la digital sovereignty è fondamentale.
Nessuno mette in dubbio la preparazione di Accenture, e neanche il fatto che chi lavora in Italia non gliene frega niente di condividere dati con gli US.

Ma gli US non sono un alleato affidabile, come abbiamo visto più e più volte, e certi argomenti fondamentali per la sicurezza nazionale dovrebbero essere gestiti da aziende italiane. Se proprio non riesci, da consorzi europei.

Questo non vuol dire che dobbiamo essere autarchici su tutto: chiaramente se Accenture gestisce il sistema antifrodi di qualche banca va bene, possiamo fidarci abbastanza degli americani, ma quando parliamo di sicurezza nazionale, e facciamo un threat model, io credo che gli US siano da considerare una possibile minaccia, in alcuni contesti.

Si si, nessuno mette in dubbio la preparazione di Accenture come detto pure nel post la signora che ha stimato il verbale ha fatto il suo lavoro, il fatto è un altro, perché ok, per alcuni aspetti potevamo anche appoggiarci ad Accenture o una azienda esterna per i controlli, ma per redigere il suddetto verbale mi pare un po' eccessivo, Ok, capisco anche @0xbro per il fatto che il team al momento non possa essere perfettamente competente e in qualche modo dobbiamo arrancare, ma almeno potevano esplicitare questa cosa o comunque dichiarare il suddetto lavoratore esterno assunto per l'impiego se non è stata implicata tutta l'azienda in questione, più che altro per la facciata che noi italiani abbiamo dato per questa cosa, dobbiamo riconoscere questo limite, se l'ACN non è formata magari dovremmo rivedere un po' il sistema scolastico e anche i criteri di valutazione per accedere al posto, come abbiamo già detto più volte con @MRPants siamo rimasti delusi proprio perché credevamo nel progetto e continuiamo comunque a sperare per il futuro.
Non so che immagine vi abbia dato il post, ma come sempre come tutti gli "scandali" se così li vogliamo chiamare è proprio che sono caotici, ringrazio tutti per aver dato il proprio parere per quanto sicuramente tranne alcuni differenti dal mio, tanto su queste cosa sapremo davvero la verità tra una decina danni quando tutti gli implicati non saranno più tenuti a tenere il silenzio per la propria immagine, quindi comunque tranne i fondi che sono contrassegnati e il tetto massimo di impiego del concorso tutto l'altro al momento è abbastanza speculativo, perché non ho trovato due articoli che riportassero effettivamente lo stesso dato preciso.

 

[CrazyMonk]

ma almeno potevano esplicitare questa cosa o comunque dichiarare il suddetto lavoratore esterno assunto per l'impiego

Qualsiasi ente che si rivolge all'esterno per richiedere servizi che non può svolgere in prima persona non è tenuto a dare spiegazioni su ciò alla gente, tranne che agli organi di controllo competenti preposti per questo, i quali devono assicurarsi che tutte le operazioni siano svolte in modo legale e trasparente. La Regione, per esempio, spesso finanzia degli enti esterni di sua proprietà o meno per richiedere servizi e non ha il vincolo di informare la popolazione di questo perché esistono già degli organi di controllo. I patronati, per esempio, si appoggiano per l'espletazione dei loro servizi ad enti esterni come l'Agenzia delle Entrate oppure ai servizi SPID delle poste. La stessa cosa vale anche per l'INPS, che recentemente ha adottato un sistema di IA per filtrare le domande di pensionamento e proporre ai dipendenti solo la gestione delle pratiche che sono valide, dal punto di vista dei requisiti. Chi pensate che abbia sviluppato questa Intelligenza Artificiale? L'INPS? È Ovvio che si sono rivolti a qualche esterno per commissionare il lavoro. Il punto è che non puoi fare tutto da solo e se per fare bene il tuo lavoro sei costretto a chiedere aiuti esterni, allora ben venga. La cosa fondamentale è che l'ente/istitutuzione riesca, poi, a raggiungere gli obiettivi prefissati...nel caso dell'ACN la sicurezza informatica a livello nazionale. Il come è stato fatto non spetta saperlo alla gente perché sono questioni interne dell'azienda, a meno che non ci siano stati risvolti illegali, ma questo è un altro caso. Google spiega ai propri utenti come svolge il proprio lavoro? Non credo. E lo stesso discorso vale per tutte le altre aziende. Quello che deve interessarci, alla fine, è la qualità dei servizi che vengono erogati. È importante, poi, valutare attentamente a chi si chiede la consulenza, in quanto la riservatezza dei dati sensibili è fondamentale. Concordo con alcuni sul fatto che trasferire dei dati sensibili ad aziende estere non è tanto una buona idea, ma convengo con altri utenti che L'America, se vuole, certi dati se li prende ugualmente o chiedendoli oppure prendendoseli. Non possiamo neanche lontanamente immaginare i magheggi che fanno i governi e i servizi segreti. Ci sono stati casi storici, in passato, in cui i servizi segreti hanno minato la stabilità della loro stessa nazione per conto di altre nazioni: si parla di doppio gioco, triplo gioco addirittura e chi più ne ha ne metta. Poi si aggiunge il fatto che multinazionali come Google si sono insinuate ormai nei dispositivi elettronici di ogni Italiano e quindi anche in quelli dei dipendenti "importanti" di certe aziende che detengono dati sensibili come diceva @JunkCoder. Poi bisogna tenere conto di quello che ha detto il caro @fennek : a questo punto niente è sicuro, ed in effetti è proprio così, però questo non ci esonera dal compito si scegliere procedure di sicurezza che tutelino le nostre aziende. Insomma la questione non è facile e le nostre chiacchiere stanno piuttosto a zero perché ci sono dinamiche che non conosciamo e probabilmente non conosceremo mai. È complicato raggiungere il giusto compromesso tra sicurezza e raggiungimento di determinati obiettivi, soprattutto in questi casi, perciò io ci penserei un attimino prima di definire questa questione uno "scandalo". Mi sembra un po' troppo semplicistico. Saluti.

 

[nfvblog]

Qualsiasi ente che si rivolge all'esterno per richiedere servizi che non può svolgere in prima persona non è tenuto a dare spiegazioni su ciò alla gente, tranne che agli organi di controllo competenti preposti per questo, i quali devono assicurarsi che tutte le operazioni siano svolte in modo legale e trasparente. La Regione, per esempio, spesso finanzia degli enti esterni di sua proprietà o meno per richiedere servizi e non ha il vincolo di informare la popolazione di questo perché esistono già degli organi di controllo. I patronati, per esempio, si appoggiano per l'espletazione dei loro servizi ad enti esterni come l'Agenzia delle Entrate oppure ai servizi SPID delle poste. La stessa cosa vale anche per l'INPS, che recentemente ha adottato un sistema di IA per filtrare le domande di pensionamento e proporre ai dipendenti solo la gestione delle pratiche che sono valide, dal punto di vista dei requisiti. Chi pensate che abbia sviluppato questa Intelligenza Artificiale? L'INPS? È Ovvio che si sono rivolti a qualche esterno per commissionare il lavoro. Il punto è che non puoi fare tutto da solo e se per fare bene il tuo lavoro sei costretto a chiedere aiuti esterni, allora ben venga. La cosa fondamentale è che l'ente/istitutuzione riesca, poi, a raggiungere gli obiettivi prefissati...nel caso dell'ACN la sicurezza informatica a livello nazionale. Il come è stato fatto non spetta saperlo alla gente perché sono questioni interne dell'azienda, a meno che non ci siano stati risvolti illegali, ma questo è un altro caso. Google spiega ai propri utenti come svolge il proprio lavoro? Non credo. E lo stesso discorso vale per tutte le altre aziende. Quello che deve interessarci, alla fine, è la qualità dei servizi che vengono erogati. È importante, poi, valutare attentamente a chi si chiede la consulenza, in quanto la riservatezza dei dati sensibili è fondamentale. Concordo con alcuni sul fatto che trasferire dei dati sensibili ad aziende estere non è tanto una buona idea, ma convengo con altri utenti che L'America, se vuole, certi dati se li prende ugualmente o chiedendoli oppure prendendoseli. Non possiamo neanche lontanamente immaginare i magheggi che fanno i governi e i servizi segreti. Ci sono stati casi storici, in passato, in cui i servizi segreti hanno minato la stabilità della loro stessa nazione per conto di altre nazioni: si parla di doppio gioco, triplo gioco addirittura e chi più ne ha ne metta. Poi si aggiunge il fatto che multinazionali come Google si sono insinuate ormai nei dispositivi elettronici di ogni Italiano e quindi anche in quelli dei dipendenti "importanti" di certe aziende che detengono dati sensibili come diceva @JunkCoder. Poi bisogna tenere conto di quello che ha detto il caro @fennek : a questo punto niente è sicuro, ed in effetti è proprio così, però questo non ci esonera dal compito si scegliere procedure di sicurezza che tutelino le nostre aziende. Insomma la questione non è facile e le nostre chiacchiere stanno piuttosto a zero perché ci sono dinamiche che non conosciamo e probabilmente non conosceremo mai. È complicato raggiungere il giusto compromesso tra sicurezza e raggiungimento di determinati obiettivi, soprattutto in questi casi, perciò io ci penserei un attimino prima di definire questa questione uno "scandalo". Mi sembra un po' troppo semplicistico. Saluti.

è pressoché impossibile sapere tutta la verità sul caso e sicuramente magheggi che normalmente vengono fatti negli appalti e in tanto altro sono un qualcosa di assurdo, quindi comunque spariamo sulla croce rossa, come detto qui fu uno scandalo per l'immagine che l'ACN ha dato di se prima di quel momento, fine

 

[Hackth3w0rld]

Dico la mia, purtroppo molte volte in Italia, chi comanda(non sempre eh però diciamo che molte volte l'ho visto) non capisce un ca*** di quella determinata materia(non è sempre così ma tendenzialmente molte posizioni sono così ricoperte perchè magari esperti in altro ma hanno quel "grado") e sono più decisioni politiche(intese non come politica nazionale ma politica di quel momento) le quali poi si ripercuotono a ruota su tutto l'apparato... Io non dico di dover mettere tutti con certificazioni importanti... ma almeno che ne so qualcuno con la ejpt(per il penetration tester) o che abbia delle competenze importanti, qualcuno con la laurea in ingegneria informatica e/o cyber security, qualche master in materia e che gli facciano fare quello èer il quale sono pagati, soprattutto se alla fine non comporta grandissime spese di budget... e, invece, nella mia nemmeno troppo breve esperienza lavorativa (non in cybersecurity ma in "informatica" generica che è ancora peggio, fino ad ora anche se sai una cosa e dici guarda che qui si deve fare così perchè questo è così pure magari tentando di spiegare concetti elementari poi alla fine c'è sempre qualcun altro che prende le decisioni finali... magari con una persona vogliono fare cose che ci vorrebbe un team che ci lavori un anno è normale che devono affidarsi ad altri, giusto o sbagliato.

 

[nfvblog]

Dico la mia, purtroppo molte volte in Italia, chi comanda(non sempre eh però diciamo che molte volte l'ho visto) non capisce un ca*** di quella determinata materia(non è sempre così ma tendenzialmente molte posizioni sono così ricoperte perchè magari esperti in altro ma hanno quel "grado") e sono più decisioni politiche(intese non come politica nazionale ma politica di quel momento) le quali poi si ripercuotono a ruota su tutto l'apparato... Io non dico di dover mettere tutti con certificazioni importanti... ma almeno che ne so qualcuno con la ejpt(per il penetration tester) o che abbia delle competenze importanti, qualcuno con la laurea in ingegneria informatica e/o cyber security, qualche master in materia e che gli facciano fare quello èer il quale sono pagati, soprattutto se alla fine non comporta grandissime spese di budget... e, invece, nella mia nemmeno troppo breve esperienza lavorativa (non in cybersecurity ma in "informatica" generica che è ancora peggio, fino ad ora anche se sai una cosa e dici guarda che qui si deve fare così perchè questo è così pure magari tentando di spiegare concetti elementari poi alla fine c'è sempre qualcun altro che prende le decisioni finali... magari con una persona vogliono fare cose che ci vorrebbe un team che ci lavori un anno è normale che devono affidarsi ad altri, giusto o sbagliato.

Allora, ormai è chiaro che questa agenzia sarà un connubio tra piccoli scandali e alle volte inefficienza, tipicamente la cosa che preoccupa è il come verranno investiti i soldi dei contribuenti visto che comunque, ricordiamoci che sono soldi nostri e visto che pressione fiscale abbiamo il diritto di sindacare sulla gestione c'è e come. Comunque anche i percorsi di cybersec universitari sono all'acqua di rose, purtroppo se vuoi farti esperienza davi fartela da te, facendo dei test a casa tua o peggio pagandoti i test in laboratorio con tanto di un istruttore che ti aiuti a capire gli aspetti pratici tra exploit legati al software, all'hardware oppure allo standard.

 

[Not an engineer]

Due terzi delle aziende dislocate nel nostro paese - specialmente quelle di consulenza - sono estere.

Le poche aziende italiane rimaste chiedono servizi di consulenza alle aziende estere.

Le poche aziende italiane rimaste usufruiscono dei servizi offerti dai provider esteri.

Le *informazioni sensibili - e non - delle aziende italiane sono ovunque tranne che in Italia.

*per informazioni si intende un po' qualsiasi cosa.

Questo non è problema!

Ok! L'ACN non ha operato bene su alcune cose (sono d'accordo) ma
noi abbiamo una reale idea di cosa vuol dire gestire un qualcosa di così grande e complesso?
considerando

• Pressioni da parte delle forze politiche
• Pressioni da parte delle aziende
• Assenza di personale
• Mancanza di esperti italiani nel mercato del lavoro - specialmente se si parla di Governance
• Tempistiche strette
• ecc

Su altri aspetti - CERT e Compliance alle norme UE - mi pare che l'ACN operi bene.

Personalmente mi piace vedere il bicchiere mezzo pieno.
Vi lascio con queste mie considerazioni personali sperando in ulteriori spunti per ulteriori riflessioni.

 

[NioSciax]

Certo che almeno poteva rimuovere il proprio nome, immagino che non ne passerà delle belle neanche lei, per il resto, in Italia tutti si rivolgono ad enti esterni, figuriamoci poi su sezioni statali convenzionati dai cittadini