Accredia / Prove / Cybercrimini, nuovi test di laboratorio per la sicurezza di cittadini e imprese

Cybercrimini, nuovi test di laboratorio per la sicurezza di cittadini e imprese

Notizia
05 novembre 2018

Attiva da tempo in ambito Protezione Dati Personali, per la qualifica dei servizi, dei professionisti e dei sistemi di gestione, Accredia è pronta a ricevere le domande di accreditamento dei laboratori per le prove di Vulnerability Assessment.

Furti di identità, frodi bancarie o, più semplicemente, interruzioni di funzionalità dei servizi online: solo nel 2017 sono stati circa 2,9 miliardi i cosiddetti cybercrimini. I settori che hanno registrato il maggior numero di violazioni della sicurezza sono i servizi finanziari, l’ICT, la manifattura e il commercio al dettaglio.

Nonostante questo, molte imprese e consumatori non sembrano ancora consapevoli dei rischi che derivano dagli attacchi informatici, che non riguardano solo i grandi database industriali o bancari. Anche attraverso i semplici oggetti “connessi” presenti nelle nostre case (computer, smart tv, sensori d’allarme, ecc.) infatti, possono essere registrati in maniera illecita informazioni sui nostri spostamenti e sulla nostra vita privata, per commettere reati o truffe di vario genere, ovvero – con le parole del Regolamento UE 679/2016 – per comportare “discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale”.

L’Unione europea è intervenuta con rigore sul tema, sia con il citato Regolamento UE 679/2016, il cosiddetto GDPR (General Data Protection Regulation) sia con una proposta di Regolamento europeo, il Cybersecurity Act, che prevede il rafforzamento dell’ENISA, l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione. E, infine, con la costituzione di un sistema comune europeo di certificazione della cybersicurezza, per il quale sarà utilizzato l’accreditamento come mezzo di qualifica e di sorveglianza degli organismi di certificazione. Questi ultimi dovranno operare in conformità alla norma ISO/IEC 17065, e dovranno avvalersi di laboratori di prova accreditati secondo la norma ISO/IEC 17025 per l’effettuazione dei test.


Le certificazioni accreditate per la privacy


Accredia è attiva da tempo in ambito privacy rilasciando accreditamenti secondo le norme ISO/IEC 17065, ISO/IEC 17024 e ISO/IEC 17021-1. Questo ha permesso di qualificare lo schema proprietario ISDP©10003:2015 – che riguarda la certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali a fronte del GDPR – e gli organismi che attestano la competenza del Data Protection Officer a norma UNI 11697:2017, professionista obbligatorio in tutte le aziende pubbliche e in quelle private che trattano dati sensibili. Viene accreditata anche la certificazione a norma ISO/IEC 27001, sui sistemi di gestione per la sicurezza delle informazioni, integrata con le linee guida ISO/IEC 27018 per i servizi cloud, mentre è appena stata pubblicata la nuova Prassi di Riferimento UNI 43:2018 “Linee Guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 GDPR”, elaborata da un tavolo di lavoro condotto da UNI con la partecipazione di Accredia e delle altre parti interessate che rappresentano il mercato e le relative competenze e interessi.


Le prove di laboratorio per la cybersicurezza


Il Dipartimento laboratori di prova, in particolare, è pronto a ricevere domande di accreditamento a fronte della norma ISO/IEC 17025 da parte di laboratori che effettuano il “Vulnerability Assessment”, un test fondamentale che viene eseguito su infrastrutture informatiche, più o meno complesse, per verificarne la sicurezza.

Le prove di Vulnerability Assessment sull’oggetto o il sistema in esame, sono finalizzate alla ricerca di possibili caratteristiche o difetti (falle di sicurezza, dette “vulnerabilità”), che potrebbero permettere a terzi di acquisire illegittimamente il controllo di un’infrastruttura e carpire o manipolare le informazioni come, per esempio, i numeri delle carte di credito memorizzate in un computer o le immagini di una videocamera di sorveglianza. O, ancora, di prendere il controllo dell’oggetto o del sistema e compiere azioni che vanno dalle più semplici – come aprire un cancello o disinserire un sistema d’allarme, effettuare un acquisto o un trasferimento di denaro – sino ad azioni dannose e pericolose a livello di sicurezza pubblica – come far bloccare un’auto in corsa o bloccare il funzionamento di una centrale di produzione dell’energia o manipolare il governo delle valvole di processo di un impianto industriale.

Una prova di Vulnerability Assessment consiste in un esame esaustivo del sistema e dei software installati, e produce un rapporto di prova che contiene l’elenco di tutte le falle di sicurezza individuate, classificate secondo il loro grado di pericolosità.  I Vulnerability Assessment vengono eseguiti sia con l’ausilio di appositi tools (strumenti informatici di analisi), sia con azioni specialistiche dirette. La grande variabilità degli oggetti e dei sistemi che possono essere sottoposti a queste prove rende particolarmente critico il fattore umano: la competenza e l’esperienza dei tecnici che effettuano le prove è essenziale al fine di ottenere risultati completi e affidabili.

L’accreditamento di un laboratorio secondo ISO/IEC 17025 garantisce il possesso dei requisiti di competenza tecnica, dotazione strumentale, garanzia di corretta esecuzione delle procedure di prova, correttezza e completezza dei rapporti di prova rilasciati ai clienti dai laboratori che effettuano Vulnerability Assessment e, non ultimo, il continuo aggiornamento degli stessi allo stato dell’arte. Durante l’audit di accreditamento, infatti, gli ispettori e gli esperti tecnici di Accredia si recano presso la sede del laboratorio e, se necessario, presso quella di clienti dove vengono eseguite le prove, per verificare il rispetto dei requisiti previsti dalla norma e osservare il personale del laboratorio nell’esercizio delle sue funzioni, esaminandone i documenti di qualifica e intervistandolo per accertarne la competenza tecnica.

Se questo processo di valutazione ha esito positivo, viene rilasciato un accreditamento valido per le tipologie di prova descritte nell’allegato tecnico al certificato di accreditamento, che sono state oggetto di valutazione, e il mantenimento dei requisiti viene regolarmente verificato, a cadenza almeno annuale, con ripetizione dell’audit e di tutte le verifiche accessorie.