Il 13 settembre il risultato di una ricerca di Vectra AI, inizialmente mirata ad analizzare il sistema di eliminazione degli account disabilitati su MS Teams, ha mostrato una vulnerabilità nella gestione dei token di autenticazione delle app di Microsoft Teams per Windows, Mac e Linux. I ricercatori scrivono che le le applicazioni archiviano i token di autenticazione in chiaro, rendendo possibile un attacco da parte di un utente che ha un semplice accesso al medesimo sistema, senza necessariamente dover accedere con i privilegi di amministratore. Se l’attaccante dovesse arrivare a conoscere il token di autenticazione di Teams potrebbe effettuare tutte le operazioni dell’utente su Teams e aggirare il sistema di autenticazione a due fattori in alcune circostanze. Sembra che il problema abbia origine nella logica di funzionamento di Electron, un framework di sviluppo utilizzato per le applicazioni di MS Teams e molte altre. Il consiglio dei ricercatori è valutare l’utilizzo dell’ applicazione web di MS Teams (via browser) finché Microsoft non rilascerà un aggiornamento.
Il SANS institute ha pubblicato la ricerca 2022 nella quale si esaminano i metodi utilizzati dai professionisti della sicurezza IT per rilevare le minacce informatiche nel modo più efficace. Tra le altre cose, ai partecipanti e stata chiesta un’autovalutazione del grado di maturità dei sistemi di rilevazione delle minacce e una motivazione sintetica della valutazione. In molti casi le aziende si reputano non ancora completamente mature, in particolare per quanto riguarda la sensibilizzazione e la formazione del personale. In relazione agli strumenti utilizzati, c’è una crescita dei sistemi di vulnerability management che riflette la consapevolezza del fatto che gli attaccanti possano sfruttare vulnerabilità note per introdursi nei sistemi.
I dati mostrano una collegamento tra le organizzazioni che si considerano non ancora adeguate quanto a metodi per la rilevazione e quelle insoddisfatte dei sistemi adottati. La cosa non sorprende, poiché in molti casi la scelta degli strumenti e delle tecnologie di difesa viene fatta prima di definire i processi e le metodologie relative.
In sintesi, quanto emerge sui temi principali è:
il 51% dei partecipanti ritiene non ancora adeguati i propri sistemi di rilevazione delle minacce
il 68% delle organizzazioni manca di adeguata formazione del personale
il 62% utilizza strumenti di ricerca sviluppati internamente
il 48% vorrebbero migliorare l’efficacia dei propri metodi in relazione all’uso di strumenti in cloud
il 25% delle organizzazioni esternalizza le attività di analisi delle minacce
il 68% delle organizzazioni che misurano le capacità di ricerca delle minacce ritengono di avere migliorato la propria “posizione” in termini di sicurezza tra il 25% e il 75%
quasi la metà delle organizzazioni che adottano un sistema di ricerca delle minacce hanno notato un aumento dell’accuratezza nei risultati con una diminuzione dei falsi positivi
NB: Le aziende rappresentate per circa il 37% hanno meno di 1.000 dipendenti (considerate “small” in nordamerica), nel 18% dei casi hanno tra 1.000 e 5.000 dipendenti, nel 26% tra 5.000 e 50.000 e nei restanti casi più di 50.000. Nel 31% dei casi si tratta di imprese del settore finanziario / bancario, nel 26% di imprese del settore IT o di fornitori di servizi di cybersicurezza.
GLI OSTACOLI ALLA DEFINIZIONE DI UNA STRATEGIA EFFICACE Diversi partecipanti non ritengono di avere strategie di rilevazione delle minacce pienamente efficaci. I motivi sono:
Mancanza di competenze all’interno dello staff (68%)
Processi non ben definiti (48%)
Problemi di budget (48%)
Limiti degli strumenti disponibili (47%)
Qualità o quantità dei dati disponibili (31%)
Mancanza di informazioni sulle minacce (20%)
Mancanza di dati standardizzati (19%)
Mancanza di sostegno da parte del management (15%)
GLI STRUMENTI UTILIZZATI E IL LIVELLO DI SODDISFAZIONE Quali sono i tools più utilizzati dai partecipanti?
Sistemi di alert o prevenzione automatizzati quali IDS/IPS, SIEM, Endpoint detection and response (83%)
Piattaforme di terze parti che sviluppano sistemi di ricerca delle minacce (66%)
Gli impianti di videosorveglianza, sia domestici che aziendali, sono sempre più diffusi anche per la diminuzione del costo dei dispositivi. Si tratta tuttavia di sistemi che, se non utilizzati correttamente, espongono a rischi sia chi li attiva e li gestisce che chi entra nel raggio di azione. Una recente indagine di Federprivacy e Ethos Academy evidenzia come solo nell’8% dei casi le persone che entrano in un esercizio dotato di videosorveglianza vedono anche l’obbligatorio cartello con le informazioni di base previste dalla normativa.
Le persone che stanno per entrare nel raggio d’azione di una videocamera devono sempre essere informate (ex art. 13 del Regolamento) che stanno per accedere in una zona videosorvegliata, anche in occasione di eventi e spettacoli pubblici (ad esempio, concerti, manifestazioni sportive) e a prescindere dal fatto che chi tratta i dati sia un soggetto pubblico o un soggetto privato.
Nel corso dell’ultimo anno nella UE sono aumentate le sanzioni, sia a esercizi pubblici che a soggetti privati, per le installazioni non conformi. Per i privati, è importante considerare che gli apparecchi di videosorveglianza devono coprire zone di limitate agli spazi di pertinenza esclusiva, non possono coprire aree comuni.
Alcune recenti sanzioni
In Germania (gennaio 2022) un negozio di elettronica è stato sanzionato per 16.000 euro per avere installato un impianto che riprendeva sistematicamente le zone di lavoro del personale, i clienti, gli apparecchi esposti e le aree di pertinenza dell’esercizio con finalità di protezione del patrimonio aziendale e di perseguimento di atti vandalici. L’autorità di controllo tedesca ha rilevato le seguenti irregolarità:
l’impianto era stato installato senza la preventiva valutazione di impatto da parte del titolare (art. 35 del GDPR);
le immagini venivano archiviate per un periodo di tempo superiore rispetto al necessario, in violazione dei principi di minimizzazione (art. 5(1) del GDPR);
la registrazione delle aree di lavoro del personale non era necessaria per perseguire le finalità stabilite dal titolare, anche in questo caso in violazione del principio di minimizzazione (art. 5(1) del GDPR).
In Spagna (luglio 2022) l’autorità di controllo ha sanzionato un istituto scolastico per avere installato un impianto senza esposizione dei dati identificativi e di contatto del titolare del trattamento, in violazione delle norme sull’esercizio dei diritti degli interessati che, in questo caso, non saprebbero a chi avanzare le richieste al titolare. La sanzione ammontava a 3.000 euro.
Ancora in Spagna (agosto 2022) l’autorità ha sanzionato un esercizio commerciale per 1.700 euro per avere attivato delle videocamere di sorveglianza senza avere esposto alcuna informazione sul trattamento dei dati personali.
L’autorità spagnola (settembre 2022) ha sanzionato anche diverse persone fisiche per avere installato videocamere in modo non conforme. Le ultime sanzioni (300 euro e 2000 euro) sono state comminate ad due persone che avevano attivato videocamere di sorveglianza che, nel primo caso, visualizzavano anche la strada di accesso ad una proprietà confinante e nel secondo aree di pubblico passaggio.
Anche nelle abitazioni private l’installazione di videocamere di sorveglianza deve seguire delle regole precise, nella pagina tematica del sito del Garante si possono trovare le istruzioni da seguire per non rischiare sanzioni.
Anche nelle abitazioni private è obbligatorio seguire delle regole precise, nella pagina
