Workday, a human resources organization, has announced it experienced a cybersecurity incident. More than 19,300 individuals are employed at Workplace across North America, EMEA and APJ. The client list contains more than 11,000 companies across a range of sectors, including almost two-thirds of the Fortune 500 companies.

According to the organization’s blog post on the incident, Workday was targeted by a social engineering campaign. The post stated, “In this campaign, threat actors contact employees by text or phone pretending to be from human resources or IT. Their goal is to trick employees into giving up account access or their personal information.”

Malicious actors accessed data from Workday’s third-party CRM platform. However, there is no evidence that customer tenants (or the data inside) were accessed. 

Below, security leaders discuss the implications of this attack. 

Security Leaders Weigh In

Thomas Richards, Infrastructure Security Practice Director at Black Duck:

The rise in social engineering attacks by malicious actors should alarm any organization’s security team. This also demonstrates that the attackers are out of other options and are resorting to more difficult and time-consuming methods to attack these organizations. Every piece of information they gain in these attacks can be used to conduct further campaigns and get closer to their goals. Organizations should put their employees on alert for any suspicious phone calls and texts, reminding them that HR and IT will never directly contact them for that information. 

Chad Cragle, Chief Information Security Officer at Deepwatch: 

This is another reminder that in cybersecurity, breaches rarely happen in isolation, they ripple. Attackers don’t stop at one vendor; they pivot across the ecosystem, looking for the next weak link. Think of it like a row of dominoes, once one falls, the rest are in play. For companies, the takeaway is simple; you can’t just trust your vendor’s perimeter, you need continuous monitoring, strong identity controls, and rapid detection baked into your own environment. Otherwise, you’re betting your business on someone else’s defense.

J Stephen Kowski, Field CTO at SlashNext Email Security+:

The Workday CRM incident shows the same playbook seen in the Salesforce-linked campaigns: social profiles are hijacked or spoofed, users are lured into legit-looking login flows, and stolen tokens or OAuth grants give deep access fast. Block this at the point of click with real-time link and QR inspection across email, mobile, browsers, and chat — plus rapid analysis that catches lookalike domains and phishing kits hosted on trusted platforms. Backstop with identity defenses that detect session theft and MFA bypass, and auto-revoke risky OAuth tokens while enforcing least privilege. Close the loop with live-intel phishing simulations so teams recognize the exact lures being used in these campaigns right now.

Boris Cipot, Senior Security Engineer at Black Duck:

Social engineering is a manipulative attack method that relies on psychology and social interaction skills to deceive victims into releasing sensitive information. Attackers trick victims into performing actions that aid in gaining access to sensitive information, often requiring multiple interactions and “internal” information to appear legitimate.

To protect against social engineering, organizations should establish and enforce strict procedures for handling sensitive information, such as not providing information over the phone, even to high-ranking executives, including the CEO. Employees should be aware of these procedures and understand that they will not be penalized for refusing to provide information or assist someone impersonating a superior.

The victims of the data breach should be careful. Workday should remain cautious and be aware of potential scams, phishing attacks, and social engineering techniques. Although the breached information may be limited to commonly known business data in this case, individuals should still be vigilant to avoid falling prey to further attacks.

Darren Guccione, CEO and Co-Founder at Keeper Security:

The data breach impacting Workday is a perfect illustration of the persistent and evolving risk posed by social engineering tactics targeting third-party platforms. The situation is reflective of a troubling trend across enterprise software vendors, and it appears connected to a broader wave of recent attacks similarly targeting CRM systems at multiple global enterprises via sophisticated social engineering and OAuth-based tactics.

Even when primary systems remain intact, external integration points can serve as gateways for attackers. These third-party ecosystems often are not subjected to the same level of scrutiny and control as the internal environments.

Attackers will therefore impersonate HR or IT personnel via phone and text to trick individuals into granting access or divulging sensitive information. Although the data accessed may appear limited, it can subsequently fuel highly targeted phishing or bespoke social engineering schemes on customers by using their own personal data.

Organizations should therefore view third-party applications, vendor tools and CRM systems as integral extension points of their own attack surface. They should restrict access to what is necessary, and implement Privileged Access Management (PAM), zero-trust architectures and zero-knowledge approaches to limit exposure. They should require all partners and third-party platforms to undergo regular security assessments and continuous monitoring. Employees should be trained with frequent simulation testing in order to raise awareness. It’s also important that organizations deploy continuous monitoring and rapid response in order to flag and attend to any unusual access.

The Workday breach is not an isolated incident — it’s part of a broader, escalating digital threat landscape where malicious actors seek to exploit human trust, third-party tools and misaligned legacy processes. Organizations must treat security as an enterprise-wide discipline, extending beyond the immediate perimeter, into every integration, every external vendor and every employee interaction. 

https://www.securitymagazine.com/articles/101844-security-leaders-respond-to-workday-cyber-incident

Le potenzialità della tecnologia OOC (Organ-on-chip)

La tecnologia organ-on-chip (OOC) sta ridefinendo il panorama della ricerca farmaceutica e cosmetica con il sostegno del progetto UNLOOC(Unlocking the data content of Organ-on-Chips) finanziato dall’Unione europea.

Un team di ricerca internazionale sta sviluppando sistemi e piattaforme avanzate che simulano fedelmente le risposte degli organi umani nella somministrazione di medicine e prodotti farmaceutici.

Questa tecnologia promette alternative più rapide, sicure e affidabili per i test sui farmaci, aprendo la strada a uno sviluppo farmacologico più efficiente, a cosmetici sicuri senza ricorrere alla sperimentazione animale e a nuove, preziose intuizioni scientifiche sulle malattie.

<!-- ARUBA - 300x250 -->

I chip e l’abbandono dei test farmaceutici sugli animali

Addio alla sperimentazione animale? Sarebbe un passo in avanti etico e scientifico

Tradizionalmente, prima che un farmaco possa essere testato sugli esseri umani, è consuetudine effettuare test sugli animali. Tuttavia, oltre alle innegabili questioni etiche, i modelli animali presentano limitazioni significative, tra cui una scarsa predittività per i risultati nell’uomo e un elevato tasso di fallimento nelle sperimentazioni cliniche.

La tecnologia UNLOOC si propone di superare queste sfide, utilizzando direttamente cellule umane.

Replicando le proprietà fisiologiche e funzionali degli organi umani su piattaforme microstrutturate, la tecnologia OOC di UNLOOC offre una comprensione più approfondita delle funzioni organiche e delle interazioni a livello biochimico.

Questo permette di testare in modo più efficace funzionalità e tossicità di diversi farmaci. Come evidenziato in un articolo del Centro per la Ricerca Energetica HUN-REN, partner di UNLOOC, “Questi modelli biologici, creati all’interno di microchip, potrebbero eliminare la necessità di test sugli animali nella valutazione preliminare di composti farmaceutici e ingredienti cosmetici. Allo stesso tempo, consentono una valutazione significativa dell’affidabilità e dell’efficacia di tali test”.

Colmare il divario di genere e aprire alla medicina personalizzata

La tecnologia OOC sta anche giocando un ruolo cruciale nel colmare il divario di genere nella ricerca medica. Storicamente, le donne sono state spesso sottorappresentate nelle sperimentazioni farmaceutiche, ignorando le significative differenze nelle risposte ai farmaci dovute a cicli ormonali, tassi metabolici, risposte immunitarie e distribuzione del grasso.

I farmaci testati esclusivamente su corpi maschili possono avere effetti diversi o inefficaci sulle donne.

Grazie alla possibilità di implementare cellule da specifici gruppi target o persino da singoli pazienti nei sistemi organ-on-chip di UNLOOC, si legge sul sito della Community Research and Development Information Service (CORDIS) della Commissione europea, il progetto sta promuovendo con forza anche l’inclusione di genere nella ricerca e sta rendendo la medicina personalizzata una realtà sempre più vicina.

L’articolo del Centro HUN-REN sottolinea che “In futuro, i dispositivi che imitano i tessuti sviluppati nell’ambito del progetto UNLOOC potrebbero facilitare sperimentazioni di farmaci più rapide e sicure, analizzando campioni di singoli pazienti. A lungo termine, i risultati ottenuti potranno anche supportare la progettazione personalizzata di protocolli farmacoterapeutici, ovvero un’estensione e una traduzione diretta del progetto”.

Un approccio multidisciplinare per il futuro della ricerca

UNLOOC integra diverse discipline all’avanguardia, tra cui microfluidica, applicazioni biologiche, microelettronica, intelligenza artificiale (IA) e tecnologie digitali chiave, per creare prodotti innovativi e aprire nuove strade nello sviluppo di farmaci.

Il progetto si concentra su cinque scenari principali:

• modelli di organi 3D pronti per l’uso che replicano la diversità umana.
• sviluppo di piastre di microtitolazione OOC intelligenti pronte per il mercato.
• progettazione di tessuto epiteliale artificiale per valutare la somministrazione transdermica di farmaci, la penetrazione cutanea, l’assorbenza e la tossicità.
• creazione di una piattaforma per la barriera ematoencefalica accessibile ai laboratori di ricerca biomedica e scalabile per le organizzazioni di ricerca.
• sviluppo di una piattaforma avanzata di polmone su chip per valutare meglio la sicurezza dei nuovi farmaci candidati.

Il progetto UNLOOC è destinato a concludersi nel 2027, lasciando un’eredità significativa nella ricerca scientifica e un impatto duraturo sulla salute umana e sul benessere animale.
La sua visione di un futuro in cui i test sui farmaci sono più etici, efficienti e personalizzati sta rapidamente diventando una realtà tangibile.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/organi-su-chip-per-sviluppare-rapidamente-farmaci-senza-sfruttare-gli-animali/542351/

Engineering, leader nella digitalizzazione dei processi per imprese e Pubblica Amministrazione, è tra le 4 aziende italiane a beneficiare dei finanziamenti IPCEI (Importanti Progetti di Interesse Comune Europeo) nell’ambito dell’iniziativa Tech4Cure, secondo progetto di interesse europeo, finalizzato a sostenere l’innovazione nei dispositivi medici. L’iniziativa prevede per il Gruppo un investimento complessivo di 64,02 milioni di euro, di cui il 70% finanziato da fondi pubblici e il restante 30% interamente sostenuto da Engineering, che rafforza così il proprio ruolo di attore strategico nella costruzione di un’infrastruttura digitale avanzata per la sanità del futuro.

Engineering svilupperà OPOH – One Person One Health, progetto della durata di cinque anni (tre di ricerca e sviluppo e due di prima applicazione industriale su scala), che ha l’obiettivo di trasformare radicalmente l’integrazione dei sistemi di supporto alle decisioni cliniche – Clinical Decision Support (CDS) – facilitando e velocizzando l’introduzione della medicina predittiva, preventiva e personalizzata (3P) nella pratica clinica quotidiana.

I CDS sono strumenti digitali e dispositivi medici, che supportano i professionisti nel prendere decisioni basate su solide evidenze scientifiche aggiornate, anche grazie all’intelligenza artificiale: analizzano, filtrano e organizzano rapidamente grandi quantità di informazioni mediche, ricerche e linee guida cliniche, rendendole rapidamente fruibili ai professionisti sanitari e contribuendo così a ridurre la distanza tra laboratorio e corsia.

<!-- ARUBA - 300x250 -->

Uno strumento fondamentale la cui adozione, tuttavia, è oggi limitata da diversi ostacoli: sono generalmente sviluppati per singole patologie, richiedono certificazioni lunghe e costose, e la loro integrazione nei sistemi sanitari esistenti è spesso complessa e manuale. Questo crea un significativo divario tra le innovazioni elaborate in laboratorio e il loro effettivo utilizzo nella pratica clinica quotidiana, costringendo i professionisti sanitari ad utilizzare strumenti difficili da integrare tra di loro e nella routine clinica. Gap davvero rilevante considerando il complesso contesto in cui i medici si trovano quotidianamente ad operare con centinaia di patologie da gestire, conoscenze e gold standard in continuo aggiornamento

Con il progetto OPOH Engineering, che da oltre 25 anni supporta la trasformazione digitale del settore sanitario, ha l’obiettivo di sviluppare un ecosistema aperto, modulare e interoperabile, basato su CDS certificati (Executable Medical Knowledge) conformi al Regolamento europeo sui dispositivi medici (MDR) e all’AI Act: i dispositivi saranno collegabili dinamicamente tra loro e con le applicazioni sanitarie già in uso, senza necessità di ulteriori interventi di certificazione o di modifiche ai sistemi esistenti. Saranno inoltre realizzati CDS certificati destinati a tre aree cliniche prioritarie: oncologia, malattie neurodegenerative e malattie croniche.

Immaginiamo un medico di medicina generale che deve gestire un paziente con più patologie croniche, ad esempio diabete e ipertensione. Oggi, per ogni condizione, dovrebbe consultare linee guida diverse, aggiornate di continuo, e utilizzare strumenti digitali separati – se disponibili – spesso difficili da integrare nel suo sistema clinico. Con OPOH, invece, lo stesso medico potrà ricevere automaticamente, direttamente nella sua cartella clinica elettronica, raccomandazioni integrate e personalizzate, basate su evidenze scientifiche aggiornate. Questo permetterà decisioni tempestive ed efficaci, migliorando il percorso di cura del paziente.

“OPOH rappresenta un cambio di paradigma nel modo di concepire la medicina del futuro. Con questo progetto puntiamo a colmare in modo concreto e strutturale la distanza tra laboratorio e corsia, favorendo un trasferimento rapido ed efficace dell’innovazione scientifica nella pratica clinica quotidiana” ha sottolineato Fabio Momola, Executive Vice-President di Engineering. “Rappresenta un’opportunità concreta per medici e pazienti: i medici potranno contare su raccomandazioni integrate e personalizzate, basate sull’intera storia clinica e terapeutica del paziente che al contempo beneficeranno di percorsi di cura su misura, più efficaci, aggiornati e fondati sulle migliori evidenze disponibili. Tutto questo sarà reso possibile anche grazie a solide collaborazioni con stakeholder nazionali ed europei, tra cui ospedali, istituzioni pubbliche e associazioni di categoria che supporteranno le fasi di validazione e promozione, oltre a università e centri di ricerca che ci affiancheranno nel superamento delle sfide tecnologiche e cliniche di questo progetto trasformativo”.

L’IPCEI Tech4Cure si distingue per l’importante ruolo di PMI altamente specializzate nello sviluppo di CDS. In questo contesto, Engineering mira a promuovere una stretta sinergia con queste realtà, affinché siano le prime ad adottare e alimentare l’ecosistema OPOH, rendendolo uno strumento realmente abilitante per tutto il sistema sanitario europeo.

L’ecosistema includerà anche un framework open source che consentirà a ricercatori, sviluppatori e aziende di creare nuovi moduli CDS in modo semplice ed efficiente, alimentando un circolo virtuoso di condivisione e aggiornamento continuo delle conoscenze mediche.

Infine, lo sviluppo di un portale online fungerà da marketplace clinico digitale dove professionisti sanitari e strutture ospedaliere potranno accedere ai moduli CDS già certificati e pronti all’uso, consentendo un immediato trasferimento della conoscenza scientifica dalla ricerca alla pratica clinica.

Il progetto svilupperà anche quattro applicazioni sanitarie, tutte compatibili con l’ecosistema OPOH:

1. Healthcare Personalisation System – un sistema per i professionisti della salute per definire percorsi di cura personalizzati, integrando raccomandazioni CDS.
2. Citizen’s App – un digital therapeutic per i pazienti, per seguire il proprio piano di cura personalizzato.
3. Multi-omics Tool – uno strumento per genetisti e ricercatori, per l’analisi di dati genomici e molecolari, integrato con i sistemi clinici esistenti.
4. Precision Population Health Tool – un’applicazione per i decisori politici, utile a definire e monitorare politiche sanitarie basate su dati di precisione e CDS.

OPOH è il secondo progetto IPCEI che vede coinvolta Engineering. Il Gruppo, infatti, sta lavorando a Ipcei Next generation cloud infrastructure and services (IPCEI-CIS), progetto di politica digitale e industriale dell’Unione Europea che ha l’obiettivo di creare un’infrastruttura cloud to edge sovrana in linea con i valori degli Stati membri. In quest’ambito, sta sviluppando AVANT, una suite di soluzioni software che sfrutta la potenza del Digital Twin (DT) in vari settori, tra i quali quello manifatturiero, energetico, sanitario, del patrimonio culturale e dei servizi urbani.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/tech4cure-engineering-tra-le-4-aziende-italiane-per-sviluppare-innovativi-dispositivi-medici/543592/

DORA non è solo conformità: è leva per la trasformazione digitale

Secondo l’ultimo rapporto di PwC Luxembourg, “DORA: Laying the Groundwork for Digital Resilience and Transformation”, le istituzioni finanziarie dell’area economica europea non considerano più DORA (Digital Operational Resilience Act) come un semplice obbligo normativo. Sempre più aziende la interpretano come un’occasione per innovare i processi, adottare l’intelligenza artificiale e rafforzare la resilienza digitale.

Il sondaggio, condotto nel marzo 2025 su banche, assicurazioni, gestori patrimoniali e operatori dei pagamenti, mostra una trasformazione in atto: l’84% dei rispondenti ritiene che il mancato uso di strumenti digitali e IA entro cinque anni comprometterà la competitività. Un dato che sottolinea l’urgenza di agire.

L’IA come motore di efficienza

Tra i risultati più rilevanti, emerge che il 49% delle istituzioni si aspetta una riduzione dei costi operativi pari ad almeno il 10% grazie all’intelligenza artificiale. Tuttavia, solo il 12% dichiara di avere già una strategia di gestione dei dati ben strutturata. Il cammino verso una piena maturità digitale è quindi ancora lungo.

<!-- ARUBA - 300x250 -->

Governance ICT e rischio: passi avanti e nodi irrisolti

Sul fronte della governance ICT, l’86% ha introdotto tassonomie di rischio, ma solo il 39% ha sviluppato metodi concreti per quantificare tali rischi. Inoltre, il 55% è ancora impegnato a definire le funzioni ICT critiche, come richiesto da DORA, senza però aver ancora applicato tale metodologia in modo sistematico.

Un altro dato significativo riguarda i fornitori ICT: il 58% delle aziende rileva carenze importanti di conformità nei propri provider, e il 26% prevede di terminare almeno una collaborazione nel 2025 per motivi legati alla non conformità con DORA.

Un cambiamento strutturale

Secondo Olivier Carré di PwC, DORA sta diventando un “catalizzatore di reinvenzione ben calibrata”, mentre Michael Horvath sottolinea come le aziende più lungimiranti non si stiano limitando a rispettare la norma, ma stiano cogliendo l’occasione per integrare la resilienza nelle strategie aziendali, creando valore a lungo termine.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/ai-taglia-costi-il-49-delle-istituzioni-finanziarie-europee-punta-a-riduzioni-sopra-il-10/541105/

La guerra in Ucraina non si combatte solo con armi convenzionali. Fin dall’inizio dell’invasione, e in realtà da anni prima, il cyberspazio è diventato un dominio di conflitto strategico, una frontiera invisibile dove attacchi informatici sofisticati vengono sferrati con la stessa intensità di quelli sul campo di battaglia. Questa “guerra ibrida”, come definita dagli analisti di tutto il mondo, ha trasformato l’Ucraina in un laboratorio a cielo aperto per le più recenti tattiche di cyberguerra. Ma le sue onde d’urto, lungi dall’essere confinate, si propagano con forza in tutta Europa, investendo direttamente le aziende e costringendole a ripensare radicalmente il loro approccio alla sicurezza.

L’escalation delle ostilità ha infatti coinciso con un’impennata di minacce cibernetiche su una scala senza precedenti. L’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA), nel suo ultimo report sul panorama delle minacce, ha evidenziato come gli attori legati a stati-nazione, in particolare la Russia, abbiano intensificato le operazioni contro i paesi membri dell’UE. Si parla di un aumento di oltre il 125% degli attacchi DDoS (Distributed Denial of Service) solo nel primo anno del conflitto, spesso rivendicati da collettivi hacktivisti pro-Russia come Killnet, che hanno preso di mira siti di aeroporti, banche e istituzioni governative in Italia, Germania e Paesi Bassi.

Attacchi cyber Russia-Ucraina: HermeticWiper e malware distruttivi

Non si tratta più di un rischio astratto, ma di una realtà tangibile e distruttiva. La notte prima dell’invasione, l’Ucraina è stata colpita da un attacco wiper devastante, battezzato HermeticWiper, progettato non per rubare dati, ma per cancellarli in modo permanente, rendendo i sistemi informatici inutilizzabili.

Questo malware, scoperto dai ricercatori di ESET e Symantec, è stato solo il primo di una lunga serie (CaddyWiper, DoubleZero, etc.) che ha segnato un cambio di paradigma: l’obiettivo non è il profitto, ma l’interruzione della continuità operativa, il danneggiamento della reputazione e la creazione di caos. Come ha dichiarato Brad Smith, Presidente di Microsoft, nel suo report “Defending Ukraine: Early Lessons from the Cyber War”, “Gli attacchi informatici della Russia contro l’Ucraina dimostrano che la difesa contro un attacco militare richiede ora, per la maggior parte delle organizzazioni, una strategia per proteggersi e difendersi anche nel cyberspazio.”

Le imprese europee, interconnesse in catene di fornitura globali e spesso fornitrici di servizi essenziali, si trovano ora in prima linea, esposte al rischio di “danni collaterali” o prese di mira direttamente. Un attacco a un fornitore di logistica in Polonia o a un produttore di componenti in Germania può avere ripercussioni a cascata su tutta l’economia continentale.

Lezioni dal fronte digitale ucraino

L’incredibile capacità di resistenza dell’Ucraina nel dominio cibernetico offre spunti di riflessione cruciali per qualsiasi organizzazione. Di fronte ad attacchi persistenti e distruttivi, il paese ha implementato strategie innovative che costituiscono un vero e proprio manuale per la resilienza.

1. La Difesa non è più un’Isola: il Potere della Collaborazione Pubblico-Privato: Una delle lezioni più significative è stata l’eccezionale livello di collaborazione tra il governo ucraino e un’ampia coalizione di aziende tecnologiche. Microsoft ha investito oltre 400 milioni di dollari in assistenza tecnologica, aiutando a rilevare le minacce e a migrare i dati governativi. Il team di analisi delle minacce di Google (TAG) ha lavorato incessantemente per smantellare le campagne di disinformazione e avvisare gli utenti di attacchi di phishing orchestrati dal gruppo russo Fancy Bear (APT28). Per le aziende europee, questo si traduce nella necessità di superare una mentalità isolazionista. È vitale partecipare attivamente a piattaforme di condivisione delle informazioni (come gli ISAC) e costruire solide relazioni con i CERT (Computer Emergency Response Team) nazionali e con fornitori di sicurezza. Come sottolineato dal CERT-EU, “La condivisione tempestiva di informazioni su incidenti e vulnerabilità è fondamentale per una difesa collettiva efficace.”
2. Il Cloud come Scudo Strategico: Prima dell’invasione, la legislazione ucraina poneva dei limiti all’archiviazione di dati governativi su cloud pubblici. Questa normativa è stata rapidamente modificata per permettere una migrazione massiva verso infrastrutture cloud distribuite e resilienti di provider come Amazon Web Services (AWS) e Microsoft Azure. Questa mossa si è rivelata decisiva. Quando un missile ha colpito un data center a Kiev, i servizi governativi sono rimasti online perché i dati e le applicazioni erano già stati spostati al sicuro nel cloud, fuori dalla portata fisica degli aggressori. Le aziende europee devono vedere il cloud non solo come uno strumento di efficienza, ma come un pilastro della resilienza, sfruttando la sicurezza integrata, la ridondanza geografica e la capacità di scalare le difese offerte dai grandi provider.
3. Dalla Prevenzione alla Risposta: Prepararsi al Peggio: La natura degli attacchi ha evidenziato che una difesa puramente perimetrale è un’illusione. Gruppi affiliati alla Russia, come Sandworm, hanno impiegato malware come Industroyer2 specificamente progettato per manipolare i sistemi di controllo industriale (ICS) delle centrali elettriche. La lezione è chiara: non è più una questione di se si verrà attaccati, ma di quando e con quale violenza. La resilienza si misura dalla capacità di resistere, limitare i danni e ripristinare le operazioni. Ciò richiede piani di incident response e disaster recovery dettagliati e, soprattutto, testati regolarmente. Eseguire simulazioni di attacchi wiper o ransomware, non solo di furto dati, è oggi fondamentale per verificare la reale capacità di ripristino dai backup (che devono essere immutabili e tenuti offline).

Strategie di resilienza cibernetica per il contesto europeo

Sulla base di queste lezioni, le aziende europee devono adottare un approccio olistico e proattivo, come richiesto anche dalla nuova direttiva NIS2, che alza l’asticella per la gestione del rischio cyber.

• Adottare un’Architettura Zero Trust: Il principio “mai fidarsi, sempre verificare” deve diventare il mantra. L’architettura Zero Trust prevede che nessun utente o dispositivo sia considerato affidabile per impostazione predefinita. Ogni richiesta di accesso alle risorse deve essere autenticata, autorizzata e crittografata sulla base dell’identità e del contesto. Questo approccio segmenta la rete e, come dimostrato in molti incidenti, può impedire a un attaccante che ha rubato una credenziale di muoversi lateralmente per raggiungere i dati critici o sferrare un attacco distruttivo.
• Potenziare l’Intelligence sulle Minacce (Threat Intelligence): Comprendere il “chi, cosa, come e perché” delle minacce è vitale. Investire in servizi di threat intelligence permette di passare da una difesa reattiva a una predittiva. Sapere, ad esempio, che un determinato gruppo sta sfruttando una specifica vulnerabilità (come la CVE-2023-38831 su WinRAR, ampiamente usata in campagne di phishing contro l’Ucraina) consente di prioritizzare le patch e di configurare le difese in modo mirato, prima di essere colpiti.
• Focus sulla Sicurezza della Supply Chain: Gli attacchi non sono sempre diretti. Un report di S&P Global ha rilevato che circa il 40% delle aziende europee ha subito interruzioni operative a causa di problemi di sicurezza informatica nella propria catena di fornitura. È fondamentale mappare la propria supply chain digitale, condurre audit di sicurezza sui fornitori critici e imporre requisiti contrattuali chiari, trasferendo parte del rischio e garantendo standard minimi di protezione.
• Formazione e Cultura della Sicurezza: Il fattore umano resta cruciale. Le campagne di phishing mirate (spear-phishing) sono la porta d’ingresso preferita dagli aggressori. È essenziale investire in programmi di formazione continua, con simulazioni di phishing basate su scenari reali e attuali. Creare una solida cultura della sicurezza, dove segnalare un’email sospetta è considerato un contributo positivo e non un disturbo, è uno degli investimenti più efficaci per aumentare la resilienza complessiva.

La guerra in Ucraina ha segnato un punto di non ritorno, accelerando la fusione tra tensioni geopolitiche e rischi digitali. Per le aziende europee, ignorare queste lezioni significa esporsi a un rischio esistenziale. Costruire una solida resilienza cibernetica è un imperativo strategico non solo per la protezione del proprio business, ma per contribuire alla stabilità e alla sicurezza dell’intero ecosistema economico e sociale del continente.

Fonti:

Microsoft Digital Defense Report (e Report Specifici sull’Ucraina).

ENISA (Agenzia dell’Unione Europea per la Cybersicurezza).

Google’s Threat Analysis Group (TAG).

ESET Research – HermeticWiper: New data wiper malware hits Ukraine.

CERT-EU (Computer Emergency Response Team for the EU Institutions).

S&P Global Market Intelligence.

ICT Security Magazine: le campagne cyber russe in Ucraina: ben oltre un semplice campo di battaglia digitale.

https://www.ictsecuritymagazine.com/notizie/russia-ucraina/

L’avvento e la diffusione massiva dei deepfake – contenuti audiovisivi sintetici generati da algoritmi di intelligenza artificiale – rappresentano una trasformazione paradigmatica nel dominio delle minacce digitali. L’intersezione tra questa tecnologia e le criptovalute, asset digitali intrinsecamente non regolamentati e decentralizzati, ha dato origine a una nuova categoria di attacchi altamente sofisticati, in grado di eludere i tradizionali strumenti di detection e comprometterne simultaneamente sicurezza, reputazione e integrità dei dati.

Genesi tecnologica: GAN, democratizzazione e weaponization

Alla base dei deepfake risiedono architetture neurali di tipo GAN (Generative Adversarial Networks), composte da due reti contrapposte: un generatore che produce contenuti sintetici e un discriminatore che ne valuta la verosimiglianza. L’interazione iterativa tra i due componenti consente al sistema di convergere progressivamente verso risultati indistinguibili da materiale reale, sia a livello visivo che fonetico.

L’accesso pubblico a modelli pre-addestrati (come StyleGAN, DeepFaceLab o Synthesia), la disponibilità di dataset open-source ad alta risoluzione e la potenza computazionale facilmente noleggiabile (GPU-as-a-service) hanno abbattuto le barriere di ingresso, consentendo anche a soggetti non particolarmente esperti di produrre contenuti fake altamente persuasivi. Questo processo di democratizzazione tecnologica ha reso i deepfake uno stratagemma operativo sempre più utilizzato in contesti fraudolenti, con particolare incidenza nel settore crypto.

Criptovalute come ambiente operativo favorevole

Le criptovalute, per loro natura pseudonime e irreversibili, costituiscono un ambiente ideale per monetizzare truffe basate su deepfake. La mancanza di intermediari istituzionali, la possibilità di creare wallet anonimi, l’assenza di controlli KYC stringenti e la facilità di trasferimento transfrontaliero dei fondi offrono ai threat actor un vettore d’uscita efficace e difficilmente rintracciabile. Questo ha favorito la nascita di una vera e propria economia illecita parallela, alimentata da attori che operano nel dark web offrendo servizi di deepfake-as-a-service, clonazione vocale, identità sintetiche e moduli di attacco end-to-end.

Casistiche operative: analisi di campagne fraudolente

Tra il 2023 e il 2025, si è assistito a una crescita esponenziale delle campagne fraudolente che impiegano deepfake per veicolare falsi schemi di investimento. Secondo il report Unit42 di Palo Alto Networks, numerosi video deepfake raffiguranti figure pubbliche – Elon Musk, giornalisti della CNN, esponenti politici europei – sono stati utilizzati per indurre utenti a cliccare su link malevoli integrati in falsi articoli di notizie o segmenti video simulati in formato telegiornale.

Nel caso documentato da RMIT FactLab, un deepfake di Elon Musk – con sincronizzazione labiale e intonazione vocale generata da modelli TTS (text-to-speech) neurali – promuoveva un presunto servizio di trading automatizzato denominato “Quantum AI”, incoraggiando gli utenti a investire 400 dollari con la promessa di ritorni garantiti. Il link associato, apparentemente riconducibile a una testata giornalistica (9news.com.au), reindirizzava a un dominio fraudolento, strutturato per mimare un portale d’informazione autorevole e contenente script malevoli per il tracciamento degli input utente e l’acquisizione di seed crypto.

In Canada, il fenomeno ha assunto dimensioni sistemiche. Il Canadian Anti-Fraud Centre ha registrato centinaia di casi in cui i deepfake venivano impiegati per promuovere presunti “AI trading bots” con promesse di guadagni mensili elevatissimi (fino a 27.000 CAD/mese). Le vittime – tra cui figure come Mohammad Haque e Stephen Henry – sono state indotte a trasferire fondi verso wallet fraudolenti riconducibili a operazioni criminali internazionali.

Superamento dei tradizionali modelli di attacco

I deepfake rappresentano un’evoluzione rispetto alle tecniche classiche di phishing e spear-phishing. Mentre queste ultime si basano su manipolazioni testuali o visive relativamente semplici, i deepfake generano un ambiente percettivo immersivo, sfruttando la componente audiovisiva per abbattere le difese cognitive dell’utente.

La possibilità di generare in tempo reale identità artificiali coerenti (volto, voce, comportamento) rende obsoleti molti controlli biometrici standard. Alcuni attori malevoli sono stati in grado di aggirare processi di autenticazione video-KYC e sistemi antifrode basati su riconoscimento facciale, impiegando deepfake dinamici in sessioni di verifica bancaria live.

Impatto economico e reputazionale

Il danno economico associato a queste truffe è sostanziale. Secondo Deloitte, entro il 2027 le perdite globali associate all’uso fraudolento dei deepfake potrebbero superare i 40 miliardi di dollari. Nel solo 2024, in Canada, si stima che 190 milioni di CAD siano stati persi in truffe crypto abilitate dall’IA generativa. Queste cifre, già allarmanti, potrebbero essere significativamente sottostimate in virtù della forte sottodenuncia da parte delle vittime.

A livello reputazionale, l’effetto è altrettanto grave: la diffusione virale di video contraffatti associati a figure istituzionali può compromettere la fiducia degli stakeholder, generare crisi reputazionali e innescare dinamiche di disinformation. Il rischio reputazionale colpisce anche le imprese, i cui brand vengono talvolta co-optati nei contenuti fake, generando un impatto diretto sulla customer trust e sulle metriche ESG.

Tecniche di detection: stato dell’arte

Il riconoscimento dei deepfake rappresenta una sfida in continua evoluzione. Oltre agli approcci empirici (analisi visiva di incongruenze nel labiale, movimenti oculari, artefatti di rendering), si stanno affermando tecnologie di deepfake forensics basate su:

• Analisi dei micro-movimenti facciali (Action Unit Discrepancy);
• Texture inconsistenze tramite reti convoluzionali (CNN);
• Confronti semantici tra transcript audio e modelli linguistici di coerenza;
• Verifica della fingerprint biometrica e del modello vocale (voiceprint).

Strumenti commerciali (es. Deepware, Sensity Sentinel, Attestiv) e soluzioni open-source (es. DeepfakeDetector, FaceForensics++) impiegano queste tecniche per assegnare punteggi di affidabilità e individuare contenuti manipolati. L’evoluzione futura sarà probabilmente dominata da sistemi di detection adversarial-aware, in grado di apprendere e adattarsi a manipolazioni sempre più impercettibili.

Misure difensive: architettura multilivello

Una protezione efficace contro i deepfake in ambito crypto richiede un approccio integrato, che combini misure tecniche, procedurali e comportamentali:

Per le organizzazioni:

• Controlli a due canali su operazioni critiche (es. verifica via voce umana e conferma via canale fisico separato)
• Autenticazione biometrica multifattoriale + behavioral analytics
• Training periodico del personale tramite simulazioni deepfake-based phishing
• Integrazione con threat intelligence feeds specializzati in social deception
• Sandboxing di contenuti audiovisivi non verificati

Per gli utenti individuali:

• Restrizione dei contenuti multimediali pubblici (evitare sovraesposizione di immagini e video personali)
• Verifica sempre incrociata di offerte di investimento con fonti istituzionali
• Utilizzo di strumenti di verifica video (es. InVID, Forensically, Hive Moderation)
• Approccio diffidente a contenuti con linguaggio pressante o ritorni economici improbabili

Conclusione: la resilienza cognitiva come prima linea di difesa

Nel nuovo scenario digitale dominato da manipolazioni percettive e identità sintetiche, la fiducia – non più nei contenuti, ma nei processi di validazione – diventa l’elemento cruciale per garantire sicurezza e trasparenza. Il deepfake non è solo una minaccia tecnica: è una sfida epistemologica, che impone un ripensamento delle strategie di autenticazione e dell’alfabetizzazione digitale.

L’adozione congiunta di tecnologie di detection avanzata, protocolli procedurali resilienti e cultura della verifica può costituire una barriera efficace contro un fenomeno destinato a crescere. La battaglia contro i deepfake non sarà vinta con la sola tecnologia, ma con una società digitale capace di riconoscere la realtà anche quando essa viene ingegnosamente imitata.

Fonti:

F. Arruzzoli, Deepfake – significato, storia e evoluzione, ICT Security Magazine (23/07/2024).

F. Arruzzoli, Deepfake, una reale minaccia alla cybersecurity, ICT Security Magazine (10/12/2024).

L. Graham, “Elon Musk used in fake AI videos to promote financial scam”, RMIT FactLab (15/08/2023).

M. Rizzuto, “Crypto-scam hosts pop-up livestream featuring a deepfaked Elon Musk”, DFRLab – Atlantic Council (25/09/2024).

The Emerging Dynamics of Deepfake Scam Campaigns on the Web, Palo Alto Networks Unit42 (29/08/2024).

A. Cruciani, “Deepfake, truffe in aumento con l’AI generativa. Perché siamo tutti a rischio e come difendersi”, Corriere della Sera (25/02/2024).

Europol Innovation Lab, Facing reality? Law enforcement and the challenge of deepfakes (Gen. 2024).

https://www.ictsecuritymagazine.com/notizie/deepfake-truffe-crypto/

Sempre più startup legate all’AI nella Silicon Valley stanno abbracciando il modello lavorativo ‘996’, una pratica controversa importata dalla Cina che prevede turni dalle 9 del mattino alle 9 di sera per sei giorni a settimana, per un totale di 72 ore.

Se in Asia questo regime ha generato polemiche e mobilitazioni contro forme di ‘schiavitù moderna’, negli Stati Uniti sta guadagnando terreno come standard tacito per le aziende in rapida espansione tecnologica, con molti imprenditori che lo considerano essenziale per competere a livello globale.

Secondo diverse testimonianze, tra cui quella di Adrian Kinnersley, recruiter e imprenditore nel settore HR, sempre più imprese richiedono ai candidati una disponibilità esplicita a rispettare il 996 prima ancora di essere intervistati. Il fenomeno viene spinto da una cultura che celebra il sacrificio totale per il successo, rifacendosi a miti come Steve Jobs o Kobe Bryant.

<!-- ARUBA - 300x250 -->

Alcune aziende, come Rilla, dichiarano apertamente nei loro annunci di lavoro le aspettative di oltre 70 ore settimanali, offrendo in cambio pasti quotidiani anche nei weekend, nel tentativo di mantenere alta la produttività.

Ciononostante, emergono visioni divergenti: mentre alcuni fondatori giustificano il modello come inevitabile nei primi anni di vita di una startup, altri, come Amrita Bhasin di Sotira, ritengono inaccettabile estenderlo ai dipendenti non dirigenziali.

Questo ritorno all’estremismo lavorativo segna un netto cambio di rotta rispetto alla narrativa pandemica che enfatizzava il benessere e l’equilibrio. La crescente adozione del 996 solleva interrogativi su sostenibilità, salute mentale, giustizia sociale e sul futuro stesso dell’ethos tecnologico occidentale.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/le-startup-ai-della-silicon-valley-adottano-il-controverso-orario-di-lavoro-996-cinese/542229/

La sicurezza hardware rappresenta oggi un pilastro fondamentale nell’architettura dei sistemi informatici moderni, fornendo un livello di protezione intrinseco che trascende le tradizionali soluzioni software-based. Con l’escalation delle minacce informatiche e la crescente sofisticazione degli attacchi, tra cui vulnerabilità zero-day e compromissioni della supply chain, l’implementazione di meccanismi di sicurezza basati su hardware si configura come una necessità imprescindibile.

L’evoluzione del panorama delle minacce informatiche ha evidenziato limiti intrinseci delle soluzioni puramente software, particolarmente vulnerabili ad attacchi che compromettono il sistema operativo o l’hypervisor. L’analisi dei dati relativi alle vulnerabilità sfruttate nel 2024-2025 rivela un trend preoccupante: il 45% delle vulnerabilità note sfruttate (KEV) nell’ultimo trimestre sono state weaponizzate entro 24 ore dalla loro divulgazione pubblica.

Trusted Platform Module: fondamenti crittografici e implementazioni

Architettura e specifiche tecniche

Il Trusted Platform Module (TPM) costituisce il paradigma di riferimento per la sicurezza hardware-based. Il TPM è un microcontrollore specializzato progettato per fornire funzionalità di sicurezza hardware-based, includendo meccanismi fisici di sicurezza multipli per garantire resistenza alla manomissione e impedire al software malevolo di compromettere le funzioni di sicurezza del TPM.

Le specifiche del Trusted Computing Group definiscono il TPM come un chip in grado di memorizzare in modo sicuro artefatti utilizzati per autenticare la piattaforma, inclusi password, certificati e chiavi di crittografia. L’implementazione del TPM 2.0 introduce significativi miglioramenti rispetto alla versione precedente:

• Algoritmi crittografici intercambiabili: capacità di utilizzare algoritmi differenti per contrastare minacce specifiche
• Gestione avanzata delle chiavi: supporto per utilizzo condizionale e limitato delle chiavi crittografiche
• Autenticazione multifattoriale: integrazione con PIN, dati biometrici e GPS

Implementazioni platform-specific

Le implementazioni del TPM variano significativamente in base all’architettura hardware: Intel Platform Trust Technology (PTT) rappresenta un’estensione firmware che supporta i requisiti Microsoft TPM, mentre AMD Firmware TPM (fTPM) costituisce la tecnologia firmware equivalente per processori AMD.

La categorizzazione dei TPM in base all’implementazione comprende: TPM discreti (chip dedicati con maggiore sicurezza e resistenza alla manomissione), TPM fisici integrati nel CPU principale, TPM firmware-based operanti nell’ambiente di esecuzione trusted del processore, e TPM software-based che non forniscono sicurezza aggiuntiva.

Hardware Security Modules: certificazioni e standard industriali

Conformità FIPS 140-2 e FIPS 140-3

Gli Hardware Security Modules rappresentano la più elevata espressione di sicurezza crittografica hardware-based, con certificazioni FIPS 140-2 che definiscono quattro livelli crescenti di sicurezza: livello 1 (sicurezza base crittografica), livello 2 (evidenza di manomissione), livello 3 (rilevamento e risposta alla manomissione, autenticazione identity-based), livello 4 (resistenza alla manomissione e protezione da fallimenti ambientali).

L’evoluzione degli standard di certificazione ha portato a significativi miglioramenti: Amazon Web Services KMS ha recentemente ottenuto la certificazione FIPS 140-2 Security Level 3, mentre precedentemente operava a livello 2 overall con specifiche sezioni a livello 3.

HSM FIPS 140-2 e FIPS 140-3: massima espressione della sicurezza hardware

Le soluzioni HSM-as-a-Service rappresentano un paradigma innovativo che combina la sicurezza hardware con la scalabilità cloud, offrendo HSM dedicati attraverso modelli subscription-based e architetture multi-cluster distribuite geograficamente per garantire alta disponibilità e bassa latenza.

I fornitori leader del settore implementano architetture HSM che supportano sia elaborazione payments che general-purpose, con validazione FIPS 140-2 Level 3 e PCI HSM, offrendo API vendor-neutral e capacità di virtualizzazione per ecosistemi multi-applicazione.

Secure Enclaves e architetture Trusted Execution

Apple Secure Enclave Architecture

Il Secure Enclave di Apple rappresenta un sottosistema sicuro dedicato integrato nel system-on-chip, isolato dal processore principale per fornire un livello aggiuntivo di sicurezza. Include un Boot ROM dedicato che stabilisce l’hardware root of trust, un motore AES per operazioni crittografiche sicure ed efficienti, e memoria protetta.

L’architettura include componenti specializzati: il Secure Enclave AES Engine progettato per resistere alle informazioni leaked attraverso timing e Static Power Analysis, il Public Key Accelerator per operazioni crittografiche asimmetriche con supporto RSA ed ECC, e implementazioni di crittografia formalmente verificate per garantire correttezza matematica.

Implementazioni industriali

Le soluzioni industriali di Secure Enclave includono IP personalizzabili per diverse architetture SoC, con supporto per Post Quantum Cryptography, certificazioni ai massimi standard industriali (SESIP, FIPS, Common Criteria EAL5+/EAL6+), e conformità alle normative di sicurezza funzionale automotive ISO 26262 ASIL B & D.

Autenticazione FIDO2 e sicurezza passwordless

Protocolli e standard

FIDO2 rappresenta l’evoluzione degli standard di autenticazione, combinando WebAuthn con Client to Authenticator Protocol (CTAP) per abilitare l’autenticazione passwordless attraverso crittografia a chiave pubblica. I Secure Elements forniscono l’ambiente di esecuzione sicuro necessario per la gestione delle chiavi crittografiche, garantendo che le chiavi private non possano essere estratte o duplicate.

L’implementazione FIDO2 sostituisce le password deboli con autenticazione hardware-based forte utilizzando crittografia asimmetrica, supportando una singola chiave di sicurezza per migliaia di account senza segreti condivisi. Microsoft Entra ID richiede attestazione per le chiavi di sicurezza FIDO2, con requisiti specifici per certificazione FIDO2, verifica utente obbligatoria, chiavi resident e estensioni HMAC secret o PRF.

Implementazioni hardware

Le chiavi di sicurezza FIDO2 utilizzano secure enclaves per proteggere le chiavi private, che non abbandonano mai il dispositivo. Durante l’autenticazione, la chiave privata firma un nonce ricevuto dal server, permettendo la verifica attraverso la chiave pubblica memorizzata. Questo meccanismo impedisce attacchi adversary-in-the-middle.

Minacce emergenti e vulnerabilità hardware

Supply Chain Attacks

Gli attacchi alla supply chain rappresentano una delle minacce più insidiose per la sicurezza hardware. L’attacco SolarWinds del 2020 ha dimostrato come compromettere il processo di sviluppo software possa impattare oltre 18.000 clienti e 250 organizzazioni. L’attacco NotPetya del 2017, che ha causato danni stimati in 10 miliardi di dollari, ha utilizzato software contabile ucraino compromesso come vettore di distribuzione.

Gli attacchi alla supply chain si manifestano in diverse forme: attacchi software che compromettono il codice sorgente, attacchi hardware che manipolano componenti fisici durante la manifattura o distribuzione, e attacchi firmware che compromettono il software di basso livello durante il processo di aggiornamento.

Vulnerabilità hardware recenti

L’analisi delle vulnerabilità hardware del 2024-2025 evidenzia problematiche significative nei chipset Qualcomm con vulnerabilità di autorizzazione incorretta che permettono corruzione della memoria attraverso esecuzione di comandi non autorizzati nel micronode GPU. Vulnerabilità nei sistemi GRUB2 attraverso la versione 2.12 non utilizzano algoritmi constant-time per grub_crypto_memcmp, permettendo attacchi side-channel.

Strategie di implementazione e best practices

Approcci proattivi alla sicurezza

La gestione proattiva delle vulnerabilità diventa critica considerando che il 62% degli attacchi web nel 2024 sfrutta vulnerabilità non patched, con un tempo medio di contenimento di 73 giorni. L’implementazione di architetture Zero Trust e l’adozione di hardware security modules certificati rappresentano componenti essenziali per una strategia di sicurezza resiliente.

Integrazione con ecosistemi esistenti

L’integrazione di soluzioni di sicurezza hardware richiede un approccio olistico che comprenda: valutazione comprensiva dei rischi vendor, implementazione di autenticazione multi-fattoriale robusta, deployment di HSM con oltre 150 integrazioni documentate, e utilizzo di framework di gestione delle chiavi versatili che supportino l’intero ecosistema di sicurezza.

Conclusioni e prospettive future

La sicurezza hardware si configura come elemento imprescindibile nell’architettura dei sistemi informatici moderni, offrendo protezione intrinseca contro minacce sofisticate che superano le capacità delle soluzioni software tradizionali. L’implementazione sinergica di TPM, HSM, Secure Enclaves e protocolli FIDO2 costituisce un framework di sicurezza robusto e resiliente.

L’evoluzione verso architetture passwordless e l’integrazione di tecnologie Post Quantum Cryptography rappresentano le frontiere emergenti della sicurezza hardware, promettendo un futuro in cui la sicurezza sia embedded by design nei sistemi informatici.

L’adozione di standard industriali rigorosi, l’implementazione di processi di certificazione indipendenti e lo sviluppo di architetture zero-trust hardware-based costituiscono le basi per la costruzione di sistemi informatici intrinsecamente sicuri e resistenti alle minacce emergenti del panorama cyber contemporaneo.

Fonti

CISA Known Exploited Vulnerabilities Catalog

Help Net Security – What 2024 taught us about security vulnerabilities

CVE Details – Security vulnerabilities published in 2024

Dark Reading – Vulnerability Exploitation Is Shifting in 2024-25

Security Boulevard – Impact of Unpatched Vulnerabilities in 2025

SOCRadar – Top 10 Exploited Vulnerabilities of 2024

Microsoft Learn – Trusted Platform Module Technology Overview

Microsoft Support – What’s a Trusted Platform Module (TPM)?

Intel – What Is a Trusted Platform Module (TPM)

Trusted Computing Group – Trusted Platform Module (TPM) Summary

Dell Support – How to Enable TPM 2.0 on Dell Computers

TechTarget – What is a Trusted Platform Module (TPM)?

Beyond Identity – What Is The TPM and Why Is It Important?

Cryptomathic – The Trusted Platform Module Explained

Corbado – Best FIDO2 Hardware Security Keys in 2025

Apple Support – Secure Enclave

The Volt Post – Secure Elements, FIDO2, passwordless authentication

Microsoft Security – What Is FIDO2?

Yubico – FIDO2 Passwordless Authentication

Tiempo Secure – TESIC Secure Enclave IP

Eric on Identity – Choosing a FIDO2 Security Key

Hardware Security SDK – WebAuthn/FIDO2

Microsoft Learn – Microsoft Entra ID attestation for FIDO2 security key vendors

Utimaco – Introduction to hardware security modules (HSM): FIPS 140-2 tested and certified

Utimaco – FIPS 140-2

Fortanix – FIPS 140-2 Level 3 Hardware Security Module (HSM)

Entrust – What is a Hardware Security Module (HSM)?

AWS Security Blog – AWS KMS now offers FIPS 140-2 validated cryptographic modules

AWS – AWS KMS HSMs upgraded to FIPS 140-2 Security Level 3

Entrust – FIPS 140-2 & 140-3 Certification

Thales – FIPS 140-3

Futurex – Hardware Security Modules (HSMs)

Beyond Identity – Software Supply Chain Attack Methods

Fortinet – SolarWinds Supply Chain Attack

TechTarget – SolarWinds hack explained

NPR – How Russia Used SolarWinds To Hack Microsoft, Intel, Pentagon

GoodAccess – Supply chain attacks: How to defend against them

Aqua Security – SolarWinds Attack: Play by Play and Lessons Learned

Cisco Outshift – Top 15 software supply chain attacks: Case studies

U.S. GAO – SolarWinds Cyberattack Demands Significant Federal Response

SANS Institute – What You Need To Know About the SolarWinds Supply-Chain Attack

https://www.ictsecuritymagazine.com/articoli/sicurezza-hardware/

h3 { font-weight: bold; font-size: 18px; color: #C72026; } .w3-panel:after,.w3-panel:before { content: “”; display: table; clear: both } .w3-panel { padding: 5px; margin-top: 16px; margin-bottom: 16px } .w3-card { box-shadow: 0 2px 5px 0 rgba(0,0,0,0.16),0 2px 10px 0 rgba(0,0,0,0.12) }

Here at Security magazine, our mission is to bring valuable insights and expert perspectives from security leaders straight to our readers — and listeners — in every way we can. One of the most dynamic ways we do that is through The Security Podcasts.

Alongside our monthly eMagazine and daily web content, The Security Podcasts offer in-depth conversations with top voices in cybersecurity and physical security across a range of industries. These professionals share real-world stories, leadership lessons and timely analysis on the evolving landscape of threats and trends.

Here’s a quick look at some of our latest episodes — tune in to hear what today’s security leaders are saying, straight from the source.

Promoting Wellness Among Security Teams in the Midst of Crisis

In this episode of The Security Podcasts featuring Danielle Weddepohl, Director of Public Safety and Emergency Management at George Brown College, we discuss how to promote wellness among security teams — especially in the event of a crisis.

“With furthering wellness, we really need to think about first starting with the security industry and our institutions, really understanding the strategic value that security and risk mitigation plays in our organization. It needs to be understood by senior leadership and woven into the fabric of daily operations, so the trickle-down impact about how security is understood, embedded into institutional culture, and respected then percolates into our daily operations.” – Danielle Weddepohl, Director of Public Safety and Emergency Management at George Brown College

Making Security Decisions in an Unstable or Chaotic Environment

In this episode of The Security Podcasts featuring Dave Coxe, CEO and Co-Founder of ID Dataweb, we discuss how leaders can make security decisions in unstable or chaotic environments.

“As business environments change — whether they’re driven by external policies, internal policies, or new technology — everybody has a huge a unique perspective on this. So, if they feel threatened by a change in any of these factors and policy, or if they’re being bought, for example, or integrated into another enterprise, there’s always going to be a lot of chaos associated.”– Dave Coxe, CEO and Co-Founder of ID Dataweb

CISO Strategies: Modern Challenges and How to Overcome Them

In this episode of The Security Podcasts featuring Jordan Avnaim, Chief Information Security Officer at Entrust, we discuss strategies CISOs can implement to overcome modern challenges.

“Long gone are the days when the CISO was on the blaming end of security incidents. Cybersecurity, more than ever, is a necessity for any modern business. This means there’s no such thing as as too much communication or or too much support when it comes to leveraging fellow executives, and also your board members too. With nearly a quarter of cybersecurity leaders wanting to quit due to stress, executive leadership must work together to share the responsibility of ensuring the organization’s security posture, especially as threats rise in frequency and sophistication, the regulatory frameworks continue to evolve, and our resource constraints continue to rise.” – Jordan Avnaim, Chief Information Security Officer at Entrust

Multi-Site Mastery: Strategies for Effective Risk Assessments

In this episode of The Security Podcasts we sit down with Mark Landry, National Accounts Director at AMAROK, to discuss navigating multi-site risk assessment effectively.

“In order to approach your risk assessment, especially when you’ve got vast or disparate geographies – meaning you’ve got a location in Portland, Maine and location in Portland, Oregon – you have to be able to accurately convey the risk across both of those locations that have very different risk profiles just due to the nature of where they are located,” Landry says. “How do we approach the assessments across these multiple sites? The first thing you need to do as a security professional is understand the goals and the objectives of the business.” – Mark Landry, National Accounts Director at AMAROK

https://www.securitymagazine.com/articles/101823-security-isnt-static

Two events are altering the world of Public Key Infrastructure (PKI): the shortening of SSL/TLS certificate lifespans and the transition to post-quantum cryptography (PQC). In new research from Sectigo/Omdia, it is revealed that a majority of organizations are unprepared for this future, as only 19% feel very prepared for the upcoming change to 47-day certificate renewal cycles, and a mere 15% are extremely confident in the organization’s ability to integrate PQC and avoid major disruption. 

Rik Turner, Chief Analyst, Cybersecurity at Omdia comments, “Perhaps because they have been around for three decades, it’s like TLS certs have kind of been absorbed into the ‘plumbing’ that simply makes IT work, at least in the perception of many of our respondents. That’s why it feels like not enough of them are aware of the 47-day issue that’s barreling down the pike towards them, and don’t seem to have thought through the need for automation that it is going to impose on their organization.”

Key findings from the report include: 

• Most organizations (96%) are concerned about how shorter SSL/TLS certificate lifespans will impact business. 
• 95% are at least partially dependent on manual processes for certificate management, as only 5% have filly automated the process. 
• 28% possess a complete certificate inventory; 13% are extremely confident they are tracking all certificates. 
• A majority of organizations (98%) have experienced or anticipate they will experience difficulties with PQC implementation, and 92% expect to encounter a barrier of some kind. 
• Few (14%) have completed a full assessment of quantum-vulnerable systems.

Turner remarks, “It seems to me that there are two reasons not to simply wait till Q-Day. One is that technology has the ability to surprise us: witness the absolute explosion in AI adoption since ChatGPT was launched on an unsuspecting world in November 2022. The other is the suspicion that the bad guys aren’t waiting. In other words, threat actors may be harvesting your most heavily encrypted data now, in the expectation of being able to decrypt it as soon as they get their hands on a QC. And of course, if they are backed by nation-states, they’ll gain access to one long before the average company does.”

Below, security leaders share their insights. 

Security Leaders Weigh In 

Tim Mackey, Head of Software Supply Chain Risk Strategy at Black Duck:

Regulations, such as the EU Digital Operational Resilience Act, require businesses to prioritize cybersecurity activities based on risks to business operations. Expired or revoked certificates break the trust between clients and the underlying services — whether those clients are end users with browsers or encrypted channels between API powered business partners. Shortening expiration windows help reduce the potential impact of encryption key misuse while also promoting the use of automated key management systems.

Ben Volkow, Co-Founder and CEO at QIZ Security:

PQC migration is shaping up to be one of the biggest IT and cybersecurity challenges of the coming decade. The urgency isn’t just about the quantum threat — it’s also about untangling the cryptographic ‘jungle’ created over the last decade. We see the quantum risk as the catalyst for a new era of cryptography management — one that aligns with recent IT architecture shifts, the rise of AI, and the accelerating pace of advanced cyber threats.

PQC migration is already falling behind the pace of threat evolution — from rapid quantum advancements to the ‘harvest now, decrypt later’ risk and tightening regulatory timelines. What’s even more concerning is the lack of dedicated, automated tools — most migrations today are slow, service-heavy, and lack standardized frameworks.

The PQC risk is real, and most organizations are already behind the curve. But PQC migration isn’t just a defensive necessity — it’s a strategic opportunity to modernize cryptography management, much of which still relies on outdated architectures and concepts. This is a chance to align with today’s distributed IT models, AI-driven operations, and the risks of  next-generation cyber threats.

PQC migration is both the greatest cryptographic risk and the biggest modernization opportunity of the decade — one that demands we move from outdated, fragmented crypto management to AI-driven, automated, and quantum-ready security.

Trey Ford, Chief Strategy and Trust Officer at Bugcrowd:

Effective certificate management is a root of trust for online systems, both in B2B and B2C operations, increasingly so in the modern cloud-native era.

Automated Certificate management environment (ACME) integrations have powered so much of the cloud-native movement, machine-to-machine authentication and IAM infrastructure relies heavily on automated provisioning and management, and Lets-Encrypt has brought this into the mainstream.

The implementation of PQC has a variety of complications that companies and technology providers will need to test for — larger certificates, heavier cryptographic processing loads, new ciphers and libraries to support them. Increased compute, thanks to heavier crypto in PQC, will add power and time sensitivity demands — requiring heavy testing and planning for implementation.

PQC addresses both components of the parkerian hexad (confidentiality and possession) as the load required to decrypt captured exchanges over time will be much higher, leading to more resilient, and thus higher trust and confidence in the safety of those communications.

https://www.securitymagazine.com/articles/101840-96-worry-shorter-ssl-tls-certificate-lifespans-will-impact-business