<html>
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<p style="text-align: justify;">Il passaggio sugli IXP è questo
(cfr.
<a class="moz-txt-link-freetext" href="http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6059229">http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6059229</a>):<br>
</p>
<p style="text-align: justify;"><< <span
style="font-size:12px;">Su questo orizzonte si proietta la
nostra idea di protezione dei dati, come strettamente correlata
alla protezione dei sistemi e delle infrastrutture, di cui
abbiamo avuto modo di segnalare le vulnerabilità (anche al
Governo) in varie occasioni.</span></p>
<p style="text-align: justify;"> <span style="font-size:12px;">Significativa,
in questo senso, è in particolare <b>l'attività che abbiamo
svolto rispetto ai principali nodi di interscambio internet
(ixp)</b>, gestiti da consorzi privati, verificando evidenti
criticità nelle misure di sicurezza. </span></p>
<p style="text-align: justify;"> <span style="font-size:12px;">Tali
soggetti mettono a disposizione degli internet service provider
un'infrastruttura di rete comune, cui gli operatori possano
collegarsi per scambiare, in modo paritario, il traffico
telematico.</span></p>
<p style="text-align: justify;"> <span style="font-size:12px;">Dalla
sicurezza di quest'infrastruttura comune e dalla
neutralizzazione del rischio che i gestori degli ixp accedano ai
contenuti del traffico smistato, dipendono quindi non solo la
riservatezza delle nostre comunicazioni, l'efficacia delle
indagini, l'incolumità dei singoli ma la stessa sicurezza
cibernetica, e quindi, una delle principali componenti della
sicurezza nazionale.</span></p>
<p style="text-align: justify;"> <span style="font-size:12px;">Non
a caso, in occasione delle indagini a seguito del Datagate, è
emerso che dati particolarmente rilevanti (per quantità e
qualità) sarebbero stati acquisiti dall'Nsa proprio accedendo ai
centri d'interconnessione telematica.</span></p>
<p style="text-align: justify;"> <b><span style="font-size:12px;">Evidente,
dunque, il rischio correlato alla permeabilità di tali
infrastrutture, imputabile a una loro gestione inadeguata
sotto il profilo delle policy di sicurezza, quale quella che
abbiamo riscontrato in alcuni ixp, caratterizzati da una
notevole vulnerabilità.</span></b></p>
<p style="text-align: justify;"> <b><span style="font-size:12px;">Proprio
per non rendere la fase dell'instradamento verso i provider
del traffico di dati una zona "franca", non governata da
regole, abbiamo indicato ai gestori dei nodi d'interscambio le
cautele minime per elevarne lo standard di sicurezza.</span></b></p>
<p style="text-align: justify;"> <span style="font-size:12px;">Perché
essa va garantita anche nella fase di collegamento tra i sistemi
e le reti, dunque di trasmissione del flusso telematico.</span></p>
<p style="text-align: justify;"> <span style="font-size:12px;">La
sicurezza dei dati dev'essere insomma, sempre di più, un fattore
abilitante per la stessa efficienza delle infrastrutture e un
obiettivo da perseguire fin dalla progettazione dei canali di
comunicazione, in modo da rendere la tecnologia parte della
soluzione, prima che del problema e da responsabilizzare i
privati che di tali infrastrutture abbiano la disponibilità. È
questa anche l'impostazione posta alla base della privacy by
design, richiesta dal Regolamento generale sulla protezione
dati.</span></p>
<p style="text-align: justify;"> <span style="font-size:12px;">Lo
spazio cibernetico, pur essendo un bene d'interesse comune, non
è invece, dal punto di vista dominicale, un bene comune,
appartenendo a una serie di soggetti, imprese o Stati che ne
controllano a vario titolo segmenti, tecnologie e nodi mediante
i quali passano le comunicazioni.</span></p>
<p style="text-align: justify;"> <span style="font-size:12px;">La
dipendenza da chi ha la titolarità di tali infrastrutture rende
vulnerabili e dipendenti dalla loro azione.</span></p>
<p style="text-align: justify;"> <span style="font-size:12px;">Tanto
che i "big tech" come Microsoft e Google starebbero cercando di
rendersi indipendenti con propri nodi e cavi, temendo non solo
la concorrenza ma soprattutto limitazioni e controlli
ingiustificati da parte di terzi.</span></p>
<p style="text-align: justify;"> <span style="font-size:12px;">La
questione degli ixp è, per certi versi, emblematica di quelli
che sono alcuni degli aspetti essenziali della cybersecurity.
>><br>
</span></p>
<br>
<div class="moz-cite-prefix"><br>
<br>
Il 09/03/2017 12:07, SEEWEB - Antonio Baldassarra ha scritto:<br>
</div>
<blockquote
cite="mid:67E41625-2CB8-4A5F-8762-C87A2BB5A35A@seeweb.it"
type="cite">
<pre wrap="">Salve a tutti, sulla cosa si è detto e fatto molto.
Maurizio ha fatto una corretta ricostruzione storica, Valeria (non me ne volere ma apprezzo molto la tua “chiarezza” negli ultimi tempi ;-) ) ha chiarito “a brutto muso” come stanno le cose.
Rimane un fatto di fondo: ho avuto modo di parlare con Dario una sola volta a Bologna e quindi associo il suo articolo ad una faccia ben precisa di una scuola altrettanto ben precisa che fatico a mettere in relazione con la ricerca del sensazionalismo, però magari mi sbaglio.
Visto che però Dario scrive, riporto testualmente:
"Il Garante è tornato con forza a sottolineare in sede di Commissione Parlamentare le carenze infrastrutturali degli Internet eXchange Point (IXP) nazionali ed ha nuovamente richiamato l’attenzione del Parlamento e del Governo sulle vulnerabilità insite nelle scarse misure di sicurezza adottate dagli IXP a tutela della sicurezza nazionale.”
E questo sarebbe avvenuto il 7 marzo chiedo a Dario: è vero o te lo sei inventato per fare “click baiting”? Perché se è vero il tutto prende una piega totalmente diversa e forse faremmo (intendo gli IXP, non io) a chiedere una audizione per fornire dei chiarimenti.
</pre>
<blockquote type="cite">
<pre wrap="">Il giorno 09 mar 2017, alle ore 10:18, Luca Cicchelli <a class="moz-txt-link-rfc2396E" href="mailto:luca.cicchelli@top-ix.org"><luca.cicchelli@top-ix.org></a> ha scritto:
Buongiorno a tutti,
Confermo le argomentazioni di Maurizio Goretti anche per quanto riguarda TOP-IX.
A seguito delle ispezioni e successive osservazioni del Garante per la protezione dei dati personali sono state messe in atto le azioni segnalate.
Un saluto,
--
Luca
Sent by mobile
</pre>
<blockquote type="cite">
<pre wrap="">On 9 Mar 2017, at 09:24, Maurizio Goretti <a class="moz-txt-link-rfc2396E" href="mailto:m.goretti@namex.it"><m.goretti@namex.it></a> wrote:
Ciao Dario e tutti,
per quanto riguarda il mio contributo come NaMeX Roma penso sia utile dire le seguenti cose, rispondendo ad un passaggio del tuo articolo: “Non sappiamo se e come gli IXP oggetto dell’ispezione abbiano aggiornato le proprie policy di sicurezza dal 2014 ad oggi.”
1) Nel 2014 NaMeX, MIX e TOPIX, hanno avuto una ispezione del Garante per la protezione dei dati personali.
2) A fronte di questa ispezione sono ci sono state inviate una serie di osservazioni relative a delle inadeguatezze che l’ispezione aveva rilevato.
3) Tutte le osservazioni sono state recepite ed implementate entro il 2014.
4) Sempre dal 2014 MIX, NaMeX e TOPIX, prendendo spunto da quanto successo, hanno iniziato una collaborazione con il MISE ISCOM ed hanno sottoscritto un "codice di autoregolamentazione sulle misure di sicurezza presso gli IXP”, costituendo con lo stesso ISCOM un gruppo di coordinamento permanente.
Leggendo l’articolo mi sembra che ci siano delle inesattezze su come vengono riportati gli eventi nel tempo.
Penso che Soro si riferisca alla situazione che il Garante ha trovato prima della ispezione ed abbia voluto sottolineare il ruolo che lo stesso Garante ha avuto nel sanare queste inadeguatezze.
Non penso che abbia detto le inadeguatezze ci siano ancora, perchè ciò non è vero.
Un saluto,
Maurizio.
</pre>
<blockquote type="cite">
<pre wrap="">Il giorno 08 mar 2017, alle ore 19:03, Dario Centofanti <a class="moz-txt-link-rfc2396E" href="mailto:dario@popinga.net"><dario@popinga.net></a> ha scritto:
Ieri si è tenuta a Roma l'audizione di Antonello Soro, Presidente del Garante per la Protezione dei Dati Personali, presso le Commissioni riunite Affari Costituzionali e Difesa della Camera dei Deputati in tema di difesa e sicurezza dello spazio cibernetico.
Nell'audizione sono emersi alcuni aspetti critici che riguardano determinate carenze degli IXP italiani relative alle misure di sicurezza adottate.
Ho quindi scritto su questo argomento un post che vorrei condividere con voi al fine di comprendere meglio la reale situazione della sicurezza di infrastrutture quali MIX, NaMeX e TOP-IX.
<a class="moz-txt-link-freetext" href="https://login.infomedia.it/le-policy-di-sicurezza-degli-ixp-23c8054efe40">https://login.infomedia.it/le-policy-di-sicurezza-degli-ixp-23c8054efe40</a>
Grazie in anticipo per ogni contributo che vorrete anche privatamente fornirmi.
Un saluto
--
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Dario Centofanti <a class="moz-txt-link-rfc2396E" href="mailto:dario@Popinga.NET"><dario@Popinga.NET></a>
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[This email may be signed using PGP keyID 82640439 or S/MIME X.509 certificate]
--
Mailing list info: <a class="moz-txt-link-freetext" href="http://lists.itnog.it/listinfo/itnog">http://lists.itnog.it/listinfo/itnog</a>
</pre>
</blockquote>
<pre wrap="">
--
Mailing list info: <a class="moz-txt-link-freetext" href="http://lists.itnog.it/listinfo/itnog">http://lists.itnog.it/listinfo/itnog</a>
</pre>
</blockquote>
<pre wrap="">
--
Mailing list info: <a class="moz-txt-link-freetext" href="http://lists.itnog.it/listinfo/itnog">http://lists.itnog.it/listinfo/itnog</a>
</pre>
</blockquote>
<pre wrap="">
—
Antonio Baldassarra
<a class="moz-txt-link-abbreviated" href="mailto:antoniob@seeweb.it">antoniob@seeweb.it</a>
</pre>
</blockquote>
<br>
<pre class="moz-signature" cols="72">--
NAMEX - Francesco Ferreri
<a class="moz-txt-link-abbreviated" href="mailto:f.ferreri@namex.it">f.ferreri@namex.it</a>
+39 06.44486386
Via dei Tizii, 6b
00185 Roma, IT
</pre>
</body>
</html>