martedì 15 ottobre 2019

Lo spamming non è (sempre) reato

Luca De Grazia mi ha segnalato questa notizia dal titolo "Lo spamming non è
reato. Anche dopo Gdpr":
-
http://app.italiaoggi.it/news/lo-spamming-non-e-reato-anche-dopo-gdpr-239371
8.

Luca De Grazia mi dice che il concetto del cosiddetto nocumento era da
considerare anche in precedenza.

Io dico che, da un punto di vista generale, questa sentenza mi lascia
perplesso perché io continuo a pensare che lo spam crei nocumento.
Sicuramente, al di là del mio pensiero, credo sia importante considerare
questa sentenza. Credo anche che sia importante ricordare che l'articolo 130
(comma 3-bis) del Codice Privacy (D. Lgs. 196 del 2003) ammetto il
cosiddetto soft spam.

venerdì 11 ottobre 2019

VERA 5.0

Ho pubblicato il VERA 5.0:
- http://www.cesaregallotti.it/Pubblicazioni.html.

La novità maggiore è che ho messo nello stesso file le cose per ISO/IEC
27001 e per privacy (ISO/IEC 27701).

Qualche altra modifica dalle persone che mi hanno scritto e suggerito (negli
ultimi mesi: Gianluca Dalla Riva, Alessandro Gaspari, Pierfrancesco
Maistrello, Arturo Messina, Nicola Nuti, Simona Persi, Chiara Ponti, Stefano
Posti, Pierluigi Stefli).

Invito tutti a criticare e a farmi avere critiche e suggerimenti.

giovedì 10 ottobre 2019

IEC 62443-4-2 sulla sicurezza dei componenti OT (sicurezza industriale)

Franco Vincenzo Ferrari del DNV GL mi ha suggerito questo articolo dal
titolo "Lo standard IEC 62443-4-2 per la cyber security industriale: le
linee guida". Ho qualche riserva sull'articolo, in particolare sulla
disinvoltura con cui confonde security e safety e sulla sua concentrazione
sui dispositivi (mentre la norma è applicabile a 4 tipi di componenti), però
alcune cose sono decisamente interessanti e ne raccomando la lettura:
-
https://www.cybersecurity360.it/legal/lo-standard-iec-62443-4-2-per-la-cyber
-security-industriale-le-linee-guida/
.

Questa norma riporta i requisiti da considerare per i componenti dei sistemi
informatici industriali. I componenti possono essere:
- applicaizoni software;
- dispositivi integrati (Embedded device; dispositivi specifici, incluse PLC
e sensori);
- pc o server generici;
- componenti di rete.

I requisiti possono poi essere usati per 4 livelli di sicurezza.

La lettura non è semplice e richiede anche di essere accompagnata dalla IEC
62443-3-3. Allo stato attuale, però, sono convinto che le IEC 62443
rappresentino la lettura allo stato dell'arte in materia di sicurezza
informatica industriale (o "OT cyber security", dove però il termine "OT"
non è mai usato dalle 62443).

La pagina ufficiale della norma è:
- https://webstore.iec.ch/publication/34421.

Sentenza: Sì al licenziamento per pc aziendale usato per fini personali

Segnalo questo articolo di Altalex dal titolo "Pc aziendale usato per fini personali? Sì al licenziamento in tronco":
- https://www.altalex.com/documents/news/2019/10/02/pc-aziendale-usato-per-fini-personali-si-al-licenziamento-in-tronco.

La Corte di appello di Roma ha confermato il licenziamento di una lavoratrice per aver navigato su Internet troppo frequentemente e per lungo tempo e aver anche importato un ransomware.

La sentenza è interessante (dovremo anche vedere se ci sarà un intervento della Corte di Cassazione, ma dovremo aspettare anni) perché fornisce indicazioni in merito alle indagini ex post anche in mancanza di informative privacy o simili.

martedì 8 ottobre 2019

NIST: Cybersecurity per le aziende manifatturiere

Il NIST ha pubblicato un documento dal titolo "NISTIR 8183A, Cybersecurity Framework Manufacturing Profile Low Impact Level Example Implementations Guide":
- https://csrc.nist.gov/publications/detail/nistir/8183/final.

E' un malloppo di più di 700 pagine divise in 3 documenti.

Il primo è abbastanza generico: riporta le "solite" misure di sicurezza, senza spiegarne bene gli impatti in ambito industriale (o ICS). Però si cela una piccola sorpresa, scritta in piccolo e nelle tabelle di correlazione con le funzionalità. Infatti, per ogni misura del NIST Cybersecurity framework si leggono degli strumenti per attuare la misura indicata.

Il secondo volume presenta esempi di documenti e strumenti per le aziende manifatturiere in serie, mentre il terzo è dedicato alle aziende manifatturiere di singoli prodotti (la terminologia usata dal NIST è "di processo" e "discrete"). Qui le sorprese e le indicazioni sono tante.

Intanto i modelli di documento. Ci sono modelli per le politiche, per le procedure operative (tutte accorpate in un unico documento), per la valutazione del rischio, per la gestione degli incidenti, per il ripristino e per i contratti con i fornitori.

Non tutto condivido (per esempio l'accorpamento di tutte le procedure operative in un unico documento e l'eccessivo livello di dettaglio suggerito; per esempio anche il modello di valutazione del rischio, che non permette di rilevarne l'utilità, visto che è troppo dedicato al calcolo e non all'uso). Altri sicuramente non condivideranno altre cose. Ma penso che il livello di dettaglio sia né troppo né troppo poco e lascia ampio spazio alla personalizzazione da parte degli utilizzatori. Ritengo notevole lo sforzo fatto da una fonte così autorevole.

Al capitolo 4 si trova un elenco, con descrizione e commenti (e con anche suggerimenti per l'installazione e la configurazione), di strumenti tecnologici per attuare alcune misure. L'elenco include strumenti per la rilevazione dei dispositivi (discovery dell'hardware), per la valutazione del rischio, per il backup, per la raccolta e analisi dei log, per i vulnerability assessment, per i ticket di gestione degli incidenti, di data loss prevention, per la cancellazione sicura. Alcuni sono free, altri sono a pagamento. In tutti i casi, un'utile punto di riferimento.

lunedì 7 ottobre 2019

Marketplace e IVA

Dalla Circolare 8 del 2019 della Borioli & Colombo Associati, Il Drecreto
"crescita", DL 34 del 2019, stabilisce nuove misure in merito alle
comunicazioni IVA dei cosiddetti marketplace:
-
https://www.commercialistatelematico.com/articoli/2019/05/e-commerce-e-decre
to-crescita.html
.

Io non conosco assolutamente questa materia (conosco solo Maremagnum come
marketplace italiano), ma penso che, per il mio lavoro, sia comunque utile
tenerla sotto controllo.

mercoledì 2 ottobre 2019

Sentenza: Hacking etico in Italia: archiviazione per divulgazione di vulnerabilità

Luca De Grazia mi ha segnalato questo interessante sentenza:
- https://www.tomshw.it/altro/tribunale-di-catania-archiviazione-per-un-caso-di-hacking-etico/.

Il GIP di Catania ha reputato infondate le accuse nei confronti di un hacker che aveva segnalato le vulnerabilità di un'applicazione. Insomma, sembra sia la prima sentenza in merito alla "divulgazione responsabile" (o "vulnerability disclosure").

lunedì 30 settembre 2019

Perimetro di sicurezza nazionale cibernetica

Premetto che mi piacerebbe essere contraddetto rispetto a quello che qui scrivo.

E' stato approvato il Decreto Legge 105 del 2019 con titolo "Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica", noto anche come il decreto sul "Perimetro di sicurezza nazionale cibernetica":
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legge:2019-09-21;105!vig=

Ricordo che si tratta di un Decreto Legge e pertanto dovrebbe essere convertito in Legge entro 3 mesi. La conversione potrebbe avvenire con modifiche o non avvenire proprio. E' pertanto necessario prestare le dovute cautele (e magari ristudiare il testo quando sarà definitivo).

Non l'ho letto (anche perché ci sono troppi incroci con altre normative e non vorrei che poi fra 3 mesi questi siano cambiati), ma ho letto con attenzione l'articolo di Stefano Mele:
- https://www.agendadigitale.eu/sicurezza/sicurezza-nazionale-ict-perche-il-decreto-sul-perimetro-fara-la-differenza/.

Giancarlo Caroti (grazie!) mi ha anche segnalato che ora abbiamo anche la brochure istituzionale:
- https://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/la-rete-diplomatica-promuove-il-cyber-made-in-italy.html.

Detto questo, il DL era già stato proposto qualche tempo fa (precedente Governo) come DDL. Ora sembra che si voglia imprimere maggiore velocità al tema e quindi si è preferita la strada del DL, in modo da avere la Legge entro 3 mesi.

Il DL prevede siano indicate le entità che costituiscono il "Perimetro di sicurezza nazionale nel cyberspazio", in modo simile a quanto fatto per la Direttiva NIS che richiedeva fossero identificati gli operatori di servizi essenziali (OSE). Qui, evidentemente, si pensa di estendere l'insieme delle organizzazioni significative da un punto di vista informatico (io, poi, non capisco le differenze tra gli OSE e le organizzazioni previste dal "perimetro", ma non credo sia così importante).

A queste organizzazioni, come già fatto per gli OSE, si impone l'attuazione del Framework per la Cybersecurity del CINI, che ho già criticato e che continuo a non considerare come valido riferimento (l'uso del framework del CINI non è esplicitato, ma credo si nasconda tra i riferimenti ad altre normative.

Questo vuol dire che è esteso l'obbligo (anche con pesanti sanzioni) di applicare delle misure "minime" di sicurezza ad un numero maggiore di organizzazioni rispetto a quelle previste dalla Direttive NIS. Per quanto io critichi lo schema del CINI, ritengo che sia un bene.

Si aggiunge un meccanismo di segnalazione di incidenti. Questa ossessione per la segnalazione degli incidenti non la capisco molto bene. Infatti, per lo meno a livello di grande pubblico, non mi pare di aver visto nessun ritorno utile per la prevenzione degli attacchi (i bollettini dei CIRT italiani nulla dicono in merito; gli unici che mi sembra facciano riferimento a incidenti segnalati sono gli svizzeri di Melani). Ricordo che l'obiettivo dovrebbe essere proprio la prevenzione degli attacchi.

Il DL stabilisce un centro di valutazione dei prodotti informatici (il Centro di Valutazione e Certificazione Nazionale, o CVCN, del MiSE), come peraltro già previsto, seppur parzialmente, dal Cybersecurity Act (e di cui vorrei capire le relazioni con il già esistente OCSI, http://www.ocsi.isticom.it/).

Il DL dà la possibilità al Governo di spegnere una rete in caso di grave incidente. Spero di non vedere mai attuata questa opzione.

Infine introduce la golden power in alcuni settori. Questo non è tema su cui posso dirmi competente, ma permetterebbe di orientare alcuni acquisti in modo da evitare interferenze da parte di altre entità (al momento l'attenzione è concentrata sulla possibilità che la Cina, con il monopolio degli apparati 5G, possa spiare le nostre comunicazioni; credo però che questa misura avrà ulteriori e significativi impatti).

Lascio in conclusione una nota formale. Purtroppo sembra che la traduzione pigra di cyber (usato solo come prefisso) con "cibernetica" (che è un'altra cosa) sia diventata la traduzione ufficiale. Queste sono cose che mi lasciano molto sconcertato.

Mio articolo: I rischi della percezione

Ho scritto questo articolo dal titolo "I rischi della percezione":
- https://www.safetysecuritymagazine.com/articoli/i-rischi-della-percezione/.

Si tratta di alcune riflessioni nate leggendo un libro molto interessante.

Note spese: dematerializzazione e conservazione elettronica

In materia di dematerializzazione delle note spese, Luca De Grazia mi ha segnalato la risposta dell'Agenzia delle Entrate numero 388 del 20 settembre 2019. Le risposte della AE si trovano qui:
- https://www.agenziaentrate.gov.it/portale/web/guest/normativa-e-prassi/risposte-agli-interpelli/interpelli.

Un sunto si trova qui:
- https://www.edotto.com/articolo/note-spese-trasfertisti-possibile-la-conservazione-elettronica.

Mi pare di capire, insomma, che venga richiesto un sistema di conservazione.


Però... ho trovato un articolo più critico e mi pare corretto consultarlo:
- https://www.studiofailla.com/note-spese-digitali-e-fisco/.

Un articolo su una precedente risposta dell'Agenzia delle Entrate si trova qui:
- https://www.leggioggi.it/2017/07/31/note-spese-conservazione-diventa-anche-solo-elettronica/.

Mi pare utile seguire questo tema, in quanto stabilisce le basi della conservazione dei documenti, non solo delle note spese.

giovedì 26 settembre 2019

Istruzioni in caso di attacco ransomware

Un mio amico è stato colpito dal ransomware NESA. Ho chiesto aiuto a Glauco Rampogna, soprattutto per orientarmi nella marea di articoli e strumenti disponibili.

Mi sembra giusto condividere (anche per ricordarmene) la sua risposta.

"Se l'intenzione è di rimuovere il ransomware, ci sono molti tool (io uso Malwarebytes), ma per decifrare i files purtroppo non posso esserti di aiuto immediato, a quanto pare non è stata ancora trovata la chiave di Nesa.

Nesa è una variante del Ransomware DJVU/STOP su cui i ricercatori stanno lavorando:
- https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/?p=4442422.

Per recuperare i file, o si hanno copie di backup o shadow, oppure è necessario salvare tutti i files cifrati e attendere la decifratura. Alcuni siti sono aggiornati con le varianti decifrate. Ad esempio:
- https://www.nomoreransom.org/;
- https://noransom.kaspersky.com/.

Per verificare se è uno scherzo (quindi si vedono i file con estensione .nesa, ma in realtà un altro cryptolocker), si possono inviare due campioni su questi siti:
- https://www.nomoreransom.org/crypto-sheriff.php;
- https://id-ransomware.malwarehunterteam.com/index.php".

Non mi resta che ringraziare Glauco.

PS: un altro mio amico mi ha scritto che qualcuno potrebbe pensare che il "mio amico" sono in realtà io. Non è così. Ricordo che in quel caso si dice "mio cugino", non "mio amico".

lunedì 23 settembre 2019

Codice di condotta privacy per i sistemi IT per informazioni creditizie

Chiara Ponti degli Idraulici della privacy ha segnalato che è stato pubblicato il "Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9141941.

Innanzi tutto vedo che stanno uscendo questi codici di condotta previsti dal GDPR. Non mi pare sia stato stabilito un meccanismo per la loro certificazione, ma almeno ci sono e questo è un bene.

Mi pare un po' curioso che vengano pubblicati codici di condotta per la gestione dei sistemi IT in un settore specifico e non più generali. Forse però è questo che il Garante ha avuto come proposta (anche per il rinnovo dei codici preesistenti) e questo può approvare.

Speravo in qualcosa di più interessante, da cui ricavare indicazioni applicabili ad altri ambiti. Invece sono rimasto deluso. Elenco i punti che ho sottolineato:
- come unica misura tecnica precisa, si specifica che "All'atto del ricevimento dei dati, il gestore verifica la loro congruità attraverso controlli di carattere formale e logico"; si richiama nel seguito la necessità di attuare "adeguate misure tecniche ed organizzative" (come da testo del GDPR), ma ancora una volta il Garante si rifiuta entrare nel merito, superando così l'impostazione precedente (quella delle misure minime);
- fanno eccezioni richiami a "modalità di accesso graduale e selettivo", preclusione di "modalità di accesso che permettano interrogazioni di massa o acquisizioni di elenchi di dati personali", verifica periodica degli algoritmi;
- dedica un intero allegato ai tempi di conservazione; forse sono troppo complicati per le finalità della maggior parte delle imprese, però il punto 8 dell'Allegato 2 è applicabile a quasi tutte (tratta dei backup e della conservazione per 10 anni per "difesa di un proprio diritto in sede giudiziaria, amministrativa, arbitrale o di conciliazione (inclusa la fase propedeutica)";
- presenta un esempio di contitolarità (in questo caso tra il gestore e i partecipanti); il Codice presenta alcune clausole (ricorda che i partecipanti accedono con gli strumenti individuati dal gestore e quali persone possono accedere);
- formalmente, il Codice parla di "autonomo titolare", quando alcuni invece dicono di non usare il termine "autonomo" perché il GDPR non lo usa (secondo me, però, l'uso dell'aggettivo rinforza il concetto nel corso della lettura);
- nell'Allegato 3 è presentato un modello di informativa, che ad alcuni potrebbe risultare utile.

venerdì 20 settembre 2019

ISO/IEC 27701, la norma internazionale per certificare la protezione dei dati personali

Dopo aver segnalato miei articoli sulla ISO/IEC 27701, segnalo questo articolo di Fabio Guasconi dal titolo "ISO/IEC 27701, la norma internazionale per certificare la protezione dei dati personali":
https://www.ictsecuritymagazine.com/articoli/iso-iec-27701-la-norma-internazionale-per-certificare-la-protezione-dei-dati-personali/.

In questo articolo sono anche sottolineate le difficoltà per le PMI ad usare questa norma.

Minacce e attacchi: Frode con imitazione (con AI) della voce del CEO

Il Wall Street Journal racconta di una frode perpetrata utilizzando un simulatore di voce (basato su AI) di un CEO di un'azienda. La frode è costata all'azienda 243 mila dollari:
- https://thenextweb.com/security/2019/09/02/fraudsters-deepfake-ceos-voice-to-trick-manager-into-transferring-243000/.

Io penso che ci sia qualcosa di sbagliato se un'azienda fa un bonifico sulla base di un'autorizzazione data al telefono. Qui sembra che il finto CEO abbia segnalato la necessità di rimborsare un fornitore, ma chi ha fatto il bonifico vero e proprio avrebbe dovuto ricevere anche una fattura o simile.

Se ho capito bene il caso, è il classico caso in cui la tecnologia è solo la ciliegina sulla torta di uno sfruttamento di altre e meno tecnologiche vulnerabilità.

Privacy: Medico competente è titolare

Elia Barbujani degli Idraulici della privacy mi ha segnalato una risposta del Garante ad un quesito in merito al medico competente. Purtroppo non trovo questo documento sul sito del Garante.

Ma, in poche parole, il Garante ritiene che il medico competente debba essere considerato autonomo rispetto al datore di lavoro. Il Garante fa riferimento anche ad un ulteriore Provvedimento, che però non ho trovato altrettanto chiaro e che è del 2016:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5149198.

Intanto NON ringrazio Elia perché mi costringe a qualche correzione (ehm ehm ehm).

Su questo però voglio riflettere sui numerosi casi per cui un titolare si sente esente da controlli sulla sicurezza quando trasferisce i dati ad altro titolare. In questo caso specifico, già mi vedo i datori di lavoro non chiedere più alcuna garanzia di sicurezza ai medici competenti.

Questo, a mio parere, è un grave errore. Infatti l'interessato non può decidere di quale medico competente avvalersi ed è costretto ad usare quello scelto dal datore di lavoro. A sua volta il datore di lavoro può scegliere il medico competente e quindi ne è (parzialmente) responsabile. In particolare, deve assicurarsi che il medico garantisca un adeguato livello di sicurezza dei dati. Per questo dovrebbe stipulare un contratto con clasole simili a quelle previste dal GDPR per il rapporto tra titolare e responsabile.

Il DPO esterno deve essere dipendente dell'azienda

Il TAR Puglia ha recentemente annullato un incarico a DPO ad una persona giuridica, in quanto il suo referente (persona fisica) non sembrava "appartenere" ad essa.

Su questo Pietro Calorio degli Idraulici della privacy ha scritto un breve ma esaustivo articolo su LinkedIn:
- https://www.linkedin.com/pulse/quando-il-dpo-%25C3%25A8-una-persona-giuridica-soggetto-che-svolge-calorio.

Pietro cita l'articolo di Giovanni Gallus. Eccolo qui:
- https://www.cybersecurity360.it/news/il-dpo-deve-essere-un-dipendente-non-puo-essere-esterno-il-tar-lecce-fa-discutere/.

UNI/PdR 66:2019 per la certificazione dei professionisti privacy

Chiara Ponti degli Idraulici della privacy mi ha informato che è stata pubblicata la norma UNI/PdR 66 dal Titolo "Raccomandazioni per la valutazione di conformità ai requisiti definiti dalla UNI 11697:2017 "Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza, abilità e competenza"":
- http://store.uni.com/catalogo/index.php/uni-pdr-66-2019.html.

Il comunicato stampa:
http://www.uni.com/index.php?option=com_content&view=article&id=8543%3Atrattamento-e-protezione-dei-dati-personali-ecco-la-uni-pdr-66&catid=171&Itemid=2612.

Non l'ho letta e leggo solo il titolo e mi pare di capire: c'è la UNI 11697 con i requisiti per la certificazione delle figure professionali in materia di privacy e poi queste altre ulteriori raccomandazioni. Secondo me stanno eccedendo in zelo. Ma, ribadisco, lo dico solo leggendo i titoli.

martedì 17 settembre 2019

Articolo sulle assicurazioni IT (da Bruce Schneier)

Su Crypto-gram di settembre 2019 è stato segnalato un articolo dal titolo "Does insurance have a future in governing cybersecurity?". Segnalo il post di Crypto-gram, che ne propone un estratto:
- https://www.schneier.com/blog/archives/2019/09/on_cybersecurit.html.

Faccio un estratto dell'estratto le assicurazioni sono una forma debole di trattamento del rischio perché:
- gli assicuratori, al momento, si concentrano troppo sulle procedure organizzative e troppo poco su quelle tecnologiche;
- gli assicuratori, anzi, richiedono procedure di base e non offrono incentivi reali per investire in sicurezza;
- coprono i costi di risposta agli incidenti (spesso attraverso servizi esterni), ma si tratta di misure post-incidente, meno utili di quelle di mitigazione preventiva (questo anche perché i costi del recupero sono più facili da quantificare).

D'altra parte, dice sempre l'articolo, degli approcci rigorosi e standard migliorerebbero la sicurezza dei clienti. Tali approcci, però, si baserebbero su misure che poi sarebbero soggette alla legge di Goodhart ("quando una misura diventa un obiettivo cessa di essere una buona misura") perché chi deve essere misurato cercherà di migliorare le misure e non di ridurre il rischio.

Io ho sempre avuto dei dubbi sulle assicurazioni di sicurezza IT e qui trovo ulteriori elementi per essere dubbioso.

Mi piace anche il fatto che si sottolinea il fatto che le misure di prevenzione dovrebbero essere preferite a quelle di recupero (e io aggiungo: anche a quelle di monitoraggio).

Conservazione dei dati: criteri e criticità

Segnalo questo articolo di Monica Perego e Chiara Ponti dal titolo "Conservazione dei dati: criteri e criticità (nell’incertezza normativa)":

Monica e Chiara sono due amiche, ma sono soprattutto, a mio parere, molto competenti.

L'articolo è interessante, anche se non condivido con loro la necessità di chiedere al Garante indicazioni "ufficiali": penso che siamo abbastanza grandi per trovare da soli la risposta sui tempi di conservazione.


sabato 14 settembre 2019

Corso di perfezionamento in digiltal forensics (Milano)

Segnalo il Corso di Perfezionamento in Criminalità Informatica e Investigazioni Digitali dell'Università di Milano:
- http://www.forensics.unimi.it/.

Il bando per iscriversi scade il 25 settembre.

Io l'ho seguito anni fa e continuo a pensare sia uno dei corsi più interessanti che abbia seguito, anche se non farò mai un'analisi forense di alcun dispositivo digitale. Ma si impara a conoscere meglio la normativa vigente non solo in materia di digital forensics e alcune tecnologie: conoscenze utili a chi si occupa di sicurezza delle informazioni, sia da un punto di vista tecnico che organizzativo. Il corso, comunque, non richiede particolari competenze tecnico-informatiche.

Ah... sì: sono il presidente dell'associazione degli ex alunni (www.perfezionisti.it; siamo quasi mille), quindi sono decisamente parte in causa.

mercoledì 4 settembre 2019

Nuove ISO/IEC 20000-2 (guida) e 20000-3 (ambito)

Sono stati pubblicati due standard che "completano" la nuova versione della ISO/IEC 20000-1, norma di requisiti sulla gestione dei servizi IT.

Il primo è la guida che accompagna i requisiti ed è la ISO/IEC 20000-2:2019 dal titolo "Information technology -- Service management -- Part 2: Guidance on the application of service management systems":
- https://www.iso.org/standard/72120.html.

Il secondo è la guida per stabilire l'ambito di applicabilità dei requisiti ed è la ISO/IEC 20000-3:2019 dal titolo "Information technology -- Service management -- Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1":
- https://www.iso.org/standard/72121.html.

lunedì 2 settembre 2019

PSD2 - Pubblicazione in Gazzetta ufficiale

Avevo segnalato poco tempo fa la Direttiva PSD2, che le banche hanno sicuramente già trattato, ma che è di interesse per tutti per la richiesta di autenticazione forte fatta a tutti i negozi virtuali:
- http://blog.cesaregallotti.it/2019/06/psd2.html.

Franco Vincenzo Ferrari di DNV GL mi ha segnalato questo articolo dal titolo "Fintech, l'Italia adegua le norme alla direttiva Psd2", relativo ai soli istituti di pagamento e istituti di moneta elettronica:
- https://www.corrierecomunicazioni.it/finance/e-payment/fintech-litalia-si-adegua-alle-nuove-norme-psd2/.

L'articolo sintetizza le disposizioni di vigilanza pubblicate in Gazzetta ufficiale a luglio:
- www.gazzettaufficiale.it/eli/id/2019/08/19/19A05009/sg.

Tra l'altro, queste disposizioni si affiancano a quelle relative alle banche, di cui scrissi a luglio (io confesso di essermi un po' perso):
- http://blog.cesaregallotti.it/2019/08/aggiornamento-delle-disposizioni-di.html.

sabato 31 agosto 2019

Articolo sulle assicurazioni IT (sul ransomware)

Tommaso Assandri, che mi sta tenendo aggiornato sul capitolo delle assicurazioni IT, mi ha segnalato questo articolo (ne avevo già segnalati altri 2 in precedenza) dal titolo "The Extortion Economy: How Insurance Companies Are Fueling a Rise in Ransomware Attacks":
- https://www.propublica.org/article/the-extortion-economy-how-insurance-companies-are-fueling-a-rise-in-ransomware-attacks.

Questo articolo, in gran parte, dice come alle aziende convenga pagare il riscatto richiesto dai ransomware e poi ricevere il rimborso dell'assicurazione, alimentando però la criminalità.

L'articolo presenta anche un'altra analisi: vista la carenza di dati reali su cui basare i calcoli necessari al bilanciamento delle polizze, risulta che le assicurazioni IT sono molto profittevoli per le compagnie di assicurazioni, visto che le loro perdite in questo settore sono solo del 35% (in altre parole: raccolgono 100 di premi e ne spendono 35 in risarcimenti).

venerdì 30 agosto 2019

Privacy e "Non ho niente da nascondere"

Questo mese ho visto richiamata 2 volte la questione della privacy e di chi "non ha niente da nascondere".

Un primo elemento è questo articolo, ormai del 2007, di Daniel J. Solove (da un tweet di @raistolo):
- https://papers.ssrn.com/sol3/papers.cfm?abstract_id=998565.

L'articolo, a mio parere, è vecchio e, a mio parere, non dice nulla di veramente significativo, anche perché allora alcune cose non erano state dimostrate.

Questo video di Duck Duck Go, invece, mi sembra molto più significativo (non riesco a ricostruire da chi io abbia ripreso il retweet):
- https://vimeo.com/352982792.

Per la cronaca: io uso Qwant come motore di ricerca e quasi non uso Facebook (ma uso WhatsApp e limito l'uso di Twitter e LinkedIn alle sole cose professionali), però penso che il video colga i punti salienti del perché il "non ho niente da nascondere" non è un atteggiamento condivisibile.

Progettare l'accessibilità dei servizi IT - Poster

Da un tweet di Daniela Quetti, riporto le sue parole: "segnalo questi bellissimi poster che vanno oltre l'accessibilità definita per legge; dovrebbero essere appesi in qualsiasi luogo in cui si progettano servizi digitali":
- https://ukhomeoffice.github.io/accessibility-posters/.

Io non tratto solo di sicurezza, ma anche di qualità e di gestione dei servizi IT e quindi questa segnalazione non è assolutamente fuori tema. Però voglio ricordare che anche chi si occupa di sicurezza deve pensare all'accessibilità anche nella sua accezione più vasta (che potrei denominare con "comodità"), visto che uno dei principi della sicurezza è il KISS: "keep it simple (and stupid)".

Sull'inutilità delle presentazioni (Power Point)

In molti negano l'utilità di Power Point e io comincio a pensare che abbiano ragione.

Intanto ecco un articolo nato osservando un concorso in cui i partecipanti dovevano replicare un articolo in una presentazione:
- https://www.inc.com/geoffrey-james/harvard-just-discovered-that-powerpoint-is-worse-than-useless.html.

I motivi per cui PowerPoint è inutile (o dannoso) è che cala l'attenzione nei partecipanti se un oratore ripete le cose già scritte (ricordo bene il corso di Algebra all'Università; tanto più che i lucidi (all'epoca si usavano quelli!) ripetevano le cose del libro) e poi le necessità di creare diapositive rende la logica del discorso carente, l'approfondimento nullo.

A mio parere non bisogna neanche esagerare nel rifiuto totale delle presentazioni (lo stesso Bruce Schneier dice che per i corsi deve far uso di presentazioni), però tutto questo fa riflettere (io però continuo a non capire quelli che fanno le offerte in PowerPoint).

martedì 27 agosto 2019

Digital content directive

Da un tweet di @Silvia_Mar_ vedo che è stata approvata la Digital content directive:
- https://ec.europa.eu/info/business-economy-euro/doing-business-eu/contract-rules/digital-contracts/digital-contract-rules_en.

Dovrà essere recepita dagli stati membri entro 2 anni (giugno 2021).

La Direttiva riguarda il commercio elettronico di beni digitali (dalla pagina della European Commission imparo che le precedenti Direttive riguardavano il commercio elettronico di beni fisici) e permette di rispondere a problemi dei clienti finali come file musicali (o ebook o video) comprati che non funzionano su un dispositivo o software che non funzionano più. La Direttiva tratta di prodotti acquistati con denaro o anche gratuiti (spesso acquistati fornendo dati personali).

lunedì 26 agosto 2019

The DPO Handbook (del programma T4DATA)

E' stato pubblicato il "The DPO Handbook: Guidance for data protection officers in the public and quasi public sectors on how to ensure compliance with the European Union General Data Protection Regulation (Regulation (EU) 2016/679):
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9127859.

Il documento è in inglese ed è sponsorizzato dal nostro garante.

Non mi sembra aggiunga ulteriori elementi a quello che sapevamo già. Anzi: forse è un po' troppo generico.

Grazie a Glauco Rampogna per averlo segnalato agli Idraulici della privacy.

Privacy: la richiesta di consenso ai lavoratori può venire sanzionata

Mario Mosca degli Idraulici della privacy ha segnalato questa notizia dal titolo "Privacy, il consenso dei lavoratori a volte non basta":
- www.italiaoggi.it/amp/news/privacy-il-consenso-dei-lavoratori-a-volte-non-basta-2378468.

In sintesi: PWC in Grecia chiedeva il consenso per il trattamento dei dati personali dei lavoratori; questi hanno chiesto l'intervento del Garante (greco), che ha multato PWC.

L'articolo ricorda che il consenso non va chiesto ai lavoratori, in quanto sono in posizione subordinata e non lo darebbero "liberamente" come previsto dal GDPR. Questa posizione è anche nell'Opinione 2 del 2017 dell'Art. 29 WP e ovviamente prevede eccezioni (segnalo che non ho controllato se l'EDPB ha "aggiornato" questa opinione).

Questa notizia mi piace perché sconfessa ancora una volta la linea di pensiero del "non si sa mai". Questa linea, di per se stessa, non è sbagliata, ma spesso introduce un inutile sovraccarico di lavoro e pertanto va scoraggiata.

domenica 25 agosto 2019

ISO/IEC 27102 sulle cyber-insurance

E' stata pubblicata la ISO/IEC 27102:2019 dal titolo "Information security management - Guidelines for cyber-insurance":
- https://www.iso.org/standard/72436.html.

Mi sembra sia un buon documento, che elenca le possibili cose da assicurare:
- responsabilità verso altri;
- costi per rispondere agli incidenti, inclusi i costi diretti (costi di notifica, per il personale, per i consulenti) e indiretti per la perdita di informazioni e quelli per la perdita di immagine;
- ricatti;
- interruzioni delle attività;
- multe e penali per mancato rispetto della normativa vigente;
- multe e penali per mancato rispetto dei contratti;
- danneggiamenti.

Ulteriori elementi sono considerati, incluse le possibili esclusioni.

Mi paiono invece poco approfondite le parti relative alla valutazione dei controlli esistenti. Però credo che non possa essere altrimenti: in caso contrario avrebbero dovuto riscrivere le ISO/IEC 27001 e 27002.

sabato 24 agosto 2019

Privacy: Contitolarità dei tasti "Like" di Facebook

Luca De Grazia mi ha segnalato questa sentenza della Corte di Giustizia UE: il gestore di un sito Internet che utilizzi il pulsante «Mi piace» di Facebook può essere congiuntamente responsabile con il social network della raccolta e trasmissione dei dati personali dei visitatori del suo sito. Per contro, in linea di principio, non è responsabile del trattamento successivo di tali dati effettuato esclusivamente da Facebook.

La sentenza si trova qui:
- http://curia.europa.eu/juris/document/document.jsf?text=&docid=216555&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=5673263.

Mi pare che abbia un senso: un gestore del sito decide se usare o meno i tasti "Like" di Facebook e pertanto è titolare di una prima parte del trattamento e ne deve informare gli utenti (non credo debba fare di più, ma sono sempre pronto ad essere contestato). Per tutto il resto, è responsabile Facebook.

Credo che questa sentenza si debba estendere agli altri pulsanti utilizzabili sui siti (LinkedIn, Twitter, eccetera).

Questa sentenza me ne ricorda un'altra, di un anno fa, per cui un ente (o un'organizzazione, o un'azienda) sono co-titolari con Facebook per le pagine Facebook aziendali:
- http://blog.cesaregallotti.it/2018/06/informativa-per-i-cookies-dei-social.html.

Insomma: l'uso dei social network sembra materia semplice, ma non lo è.

Per quanto riguarda gli utenti, Glauco degli Idraulici della privacy ha segnalato alcune soluzioni (ho cercato di riassumere e quindi gli errori sono miei):
- Shariff (https://github.com/heiseonline/shariff), per i gestori di siti che usano comunque le funzionalità di Facebook, mantenendo la privacy degli utenti;
- Social Share Privacy (http://panzi.github.io/SocialSharePrivacy/) che abilita il caricamento del tasto solo su azione dell'utente.

giovedì 22 agosto 2019

Perimetro di sicurezza cibernetica

Sono in dubbio se dare questa notizia, viste le incerte sorti del Governo, ma lo faccio per completezza. E' stato presentato un Disegno di legge sul "perimetro di sicurezza cibernetica", ossia una sorta di NIS dedicata ad altri servizi. Meglio leggere l'articolo di Corrado Giustozzi su Agenda
Digitale:
- https://www.agendadigitale.eu/sicurezza/perimetro-di-sicurezza-cibernetica-cosi-rendera-litalia-piu-cyber-protetta/.

Personalmente, oltre a deprimermi per l'uso improprio del termine "cibernetico", mi chiedo perché avere la NIS e poi questa (per non parlare del Dlgs sulle infrastrutture critiche): troppa roba e apparentemente confusa.

Dall'articolo vengo poi a sapere che è stato istituito recentemente il "Centro di valutazione e certificazione nazionale" per la valutazione dei prodotti IT, come peraltro previsto dalla Direttiva NIS. Dovremo vedere cosa succederà anche in merito a questi schemi di valutazione, visto che potenzialmente saranno numerosi e si potrà fare fatica a districarsi tra loro.

lunedì 19 agosto 2019

Sicurezza dei micro-services (guida NIST)

Il NIST ha pubblicato la SP 800-204 dal titolo "Security Strategies for Microservices-based Application Systems":
- https://csrc.nist.gov/publications/detail/sp/800-204/final.

La segnalo perché recentemente vedo che questo approccio è sempre più utilizzato e quindi questa guida può essere utile.

Pubblicata la ISO/IEC 27701 (già 27552) sui sistemi di gestione privacy

E' stata finalmente pubblicata la norma ISO/IEC 27552 con un nuovo numero: ISO/IEC 27701. Il titolo è sempre lo stesso: "Security techniques -- Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management -- Requirements and guidelines":
- https://www.iso.org/standard/71670.html.

E' già stata adottata come standard europeo (EN) e pertanto potrà anche essere indicata come EN ISO/IEC 27701.

Tutto quanto detto e scritto finora rimane valido anche dopo la numerazione. In particolare, ricordo un mio articolo:
- https://www.agendadigitale.eu/sicurezza/privacy/gestione-dei-dati-personali-ecco-le-novita-della-norma-iso-iec-27552/.

Dovrò modificare il mio VERA, ma era una cosa già in programma (ho intenzione di fare un unico VERA privacy e 27001; spero di non fare una schifezza).

PS: grazie a Sandro Sanna per avermi segnalato un refuso (avevo scritto nel titolo "17701" al posto di "27701").

domenica 18 agosto 2019

Le immagini della sicurezza (da re-immaginare)

Su Crypto-Gram del 15 agosto è presente un articolo dal titolo "Wanted: Cybersecurity Imagery":
- https://www.schneier.com/blog/archives/2019/07/wanted_cybersec.html.

In poche parole: tutte le immagini e i video sulla sicurezza presentano le stesse figure (tizio con il cappuccio, tizio nel buio che smanetta su una tastiera, lucchetto) e la Hewlett Foundation ha lanciato un concorso per promuovere nuove idee:
- https://www.openideo.com/challenge-briefs/cybersecurity-visuals.

Ho letto la presentazione "Reimagining Visuals for Cybersecurity Design Research" (si trova in fondo alla pagina) e l'ho trovata molto interessante.

Io faccio presentazioni per professionisti e quindi non sono un buon caso da analizzare, però cerco di evitare le solite immagini. Ingenuamente uso mie foto che in realtà non c'entrano molto con la presentazione stessa (nella mia testa un collegamento c'è, ma molto molto tenue); ho visto che in molti non fanno proprio alcuno sforzo (quando invio articoli, li invio sempre con una mia foto che viene regolarmente cambiata, visto che "non si sa mai", con lucchetti, tizi con cappuccio o anche nuvolette) e sarebbe invece bello vedere più fantasia.

Sviluppatori e sicurezza

Su Crypto-Gram del 15 agosto è segnalato un articolo di ZDNet dal titolo "No love lost between security specialists and developers":
- https://www.zdnet.com/article/no-love-lost-between-security-specialists-and-developers/.

Riguarda un'indagine condotta presso gli sviluppatori e i professionisti della sicurezza e Bruce Schneier riporta alcuni dati:
- il 49% dei professionisti della sicurezza (immagino quindi di estrazione sistemistica o reziaria) denuncia fatica nel rendere prioritarie le correzioni delle vulnerabilità presso gli sviluppatori;
- il 68% dei professionisti della sicurezza pensa che meno della metà degli sviluppatori sia capace di individuare le vulnerabilità nel codice prima di passarlo in ambiente di test;
- il 70% degli sviluppatori, dall'altra parte, dichiare di non riceve alcun aiuto o linea guida per scrivere codice sicuro.

Io non sono un gran sostenitore di tutte queste indagini ("survey"), ma penso che queste indicazioni siano molto interessanti.

Furto di identità con email

Da Crypto-Gram del 15 agosto 2019 segnalo questo articolo dal titolo "My job application was withdrawn by someone pretending to be me":
- https://www.bbc.com/news/business-48995846.

In poche parole: un tizio aveva fissato un appuntamento di lavoro con un'azienda, ma qualcun altro ha creato un account gmail con il suo nome e cognome e ha disdetto l'appuntamento.

Questo per ricordarci che oggi pensiamo spesso all'indirizzo email come un "documento di identità", ma che invece non ha alcuna caratteristica di sicurezza. Questo ci ricorda anche che molti attacchi possono richiedere competenze tecnologiche pressoché nulle.

sabato 17 agosto 2019

Aggiornata sezione data breach del Garante

Mi hanno segnalato (privacy, please!) che è stata aggiornata la scheda informativa sulle violazioni dei dati personali del Garante:
- https://www.garanteprivacy.it/regolamentoue/databreach.

Chi è più bravo di me capirà le differenze rispetto a prima. Per intanto penso che questa pagina sia molto utile.

TIA e schema di audit (aggiornamento)

Alessandro Gaspari, poco dopo avermi aggiornato a fine luglio sulle certificazioni TIA (vedere post
http://blog.cesaregallotti.it/2019/08/qualche-considerazione-sulla-tia-942.html), ha visto che pochi giorni dopo (il 7 agosto) che TIA ha lanciato il proprio schema di certificazione, con il supporto dell'ente di accreditamento Certac (a me ignoto):
- https://www.tiaonline.org/press-release/tia-launches-ansi-tia-942-accreditation-scheme-for-certification-of-data-centers-selects-certac-to-manage-program/.

Alessandro mi dice che "questo ovviamente fa cadere le considerazioni precedenti", anche se credo che alcune siano ancora valide.

giovedì 1 agosto 2019

Qualche considerazione sulla TIA-942

Recentemente ho scritto un articolo e fatto una presentazione sugli standard e le certificazioni per i data centre:
- articolo: https://www.ictsecuritymagazine.com/articoli/gli-standard-en-50600-e-iso-iec-ts-22237-per-i-data-center/;
- presentazione: http://www.cesaregallotti.it/Pubblicazioni.html.

A questo proposito Alessandro Gaspari di Euris mi ha scritto in merito alle "certificazioni" sulla TIA-942. Io nel seguito riporto quanto mi ha scritto.

La "certificazione" TIA-942 si dovrebbe in realtà chiamare "dichiarazione di conformità", visto che per la TIA non esiste un percorso di accreditamento. EPI si è inventata un "prodotto": il sito e bollino tia-942.org. TIA-942.org non è quindi un sito ufficiale TIA né la TIA riconosce alcuna Società come ente certificatore. La conformità al momento può essere rilasciata da chiunque, ma ovviamente, avendo promosso bene il servizio tia-942.org il risultato è che tutti finiscono li.

Come richiamato dalla pagina https://en.wikipedia.org/wiki/TIA-942, TIA non offre programmi di certificazione ("The Telecommunications Industry Association does not offer certification programs or certify compliance to TIA standards. In many cases, there are other organizations and consultants that can provide those services. However, TIA does not certify these organizations or consultants").

Per la precisione, EPI ha solo la licenza per erogare la formazione, come dichiarato nel sito ("…have entered into a licensing agreement that allows EPI to build and conduct international certified training courses for the ANSI/TIA-942 Telecommunications Infrastructure Standards for Data Centres. The courses will initially be launched in Asia, but will eventually become available to Data Centre professionals worldwide"):
- https://www.epi-ap.com/content/19/23/TIA_and_EPI_announce_Licensing_Agreement_for_ANSI/TIA-942_Training

A questo proposito, sono interessanti due articoli:
- https://www.capitoline.org/data-centre-audit-2/tia-942-audit-and-certification/;
- https://www.linkedin.com/pulse/standards-v-update-john-booth-mbcs-cdcap/.

Per concludere, Alessandro ci ha tenuto a ricordare che ha fatto la formazione e le relative certificazioni con EPI e che le loro persone sono molto competenti con esperienze internazionali di alto livello. Il punto chiave è quindi che EPI non ha "un'esclusiva" sulle certificazioni TIA-942.

Copertura assicurativa Cyber risk per Consip

Tommaso Assandri, mio lettore, mi ha segnalato che Consip ha assegnato una gara per dare a Sogei una copertura assicurativa sui "cyber risk".

La documentazione di gara si trova qui:
- http://www.consip.it/bandi-di-gara/gare-e-avvisi/gara-cyber-risk-ii-rischio-per-sogei.

Interessante, nella "Documentazione di gara", il documento "All. 4 Cyber Secondo rischio_DEF.pdf" perché finalmente sono riportati rischi informatici veri e propri e non solo quelli relativi a danneggiamenti fisici o furti di apparati o dispositivi.

Segnalo poi che Sogei ha dichiarato di avere ulteriori polizze:
- Frode Informatica-Infedeltà;
- RC professionale II rischio.

Sulle assicurazioni di sicurezza informatica e delle informazioni avevo scritto in precedenza con molte critiche. Penso che le critiche rimangano valide, ma almeno vedo qualcosa di nuovo.

Aggiornamento delle Disposizioni di Vigilanza di Banca d'Italia

La Banca d'Italia, a luglio 2019, ha aggiornato le Disposizioni di Vigilanza per le banche (segnalazione di Enzo Ascione di Intesa Sanpaolo):
- https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c285/index.html.

L'ultimo aggiornamento del 23 luglio 2019 riporta molte indicazioni sulla gestione, la sicurezza e la disponibilità dei sistemi informatici. A me non sembrano indicazioni particolarmente innovative, ma le ho lette molto superficialmente.

Per non impazzire e cercare i singoli cambiamenti, il file "Aggiornamento n. 28 del 23 luglio 2019" riporta solo le parti aggiornate, ossia quelle relative ai sistemi IT.

giovedì 25 luglio 2019

Garante e prescrizioni per i trattamenti dei dati "particolari"

Il Garante ha pubblicato il "Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101 [9124510]":
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9124510.

Riassumendo: si tratta degli obblighi per il trattamento di particolari categorie di dati personali (ex "dati personali sensibili") nei rapporti di lavoro e per scopi di ricerca scientifica e nel caso degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose.

Sostituisce le precedenti autorizzazioni generali, oggi non più previste dal GDPR. Alcune di queste sono state riprese dall'attuale provvedimento, altre no.

Infine l'autorizzazione generale sul trattamento dei dati giudiziari da parte di privati, enti pubblici economici e soggetti pubblici non è "rinnovata" (anche se, a mio parere, qualche chiarimento sarebbe stato necessario, visto gli orrori che vedo in giro).

venerdì 19 luglio 2019

Sanzioni GDPR (Google, Facebook, Marriott e BA) e riflessioni

In questi tempi si moltiplicano le notizie sulle sanzioni milionarie a seguito di violazioni di dati personali.

Google è stata multata per mancanza di trasparenza:
- https://www.bbc.com/news/technology-46944696;
- https://www.agendadigitale.eu/sicurezza/google-e-facebook-con-la-privacy-non-si-scherza-piu-le-prime-avvisaglie-in-europa-e-usa.

E infine Facebook per diverse violazioni:
https://arstechnica.com/tech-policy/2019/07/facebooks-ftc-fine-will-be-5-billion-or-one-months-worth-of-revenue/.

Non ne ho parlato perché in definitiva non aggiungono niente di nuovo sulle "cose da fare".

Mi hanno invece incuriosito molto le vicende della Marriott e della British Airways, ambedue sottoposte a multe miliardarie dall'ICO, ossia il Garante UK.

Un articolo sulla multa alla catena di hotel Marriott:
- http://www.ictbusiness.it/cont/news/nuova-vittima-del-gdpr-maxi-multa-anche-per-marriott-international/43277/1.html.

L'annuncio dell'EDPB sulla multa alla Marriott:
- https://edpb.europa.eu/news/national-news/2019/ico-statement-intention-fine-marriott-international-inc-more-ps99-million_en.

Su questa c'è anche un articolo più tecnico sull'attacco alla Marriott:
- https://www.zdnet.com/article/marriott-ceo-shares-post-mortem-on-last-years-hack/.

Mi pare che quelli della Marriott abbiano dimostrato molta attenzione sulla vicenda e che siano stati loro stessi a renderla pubblica. In altre parole, non mi pare che la multa sia giustificata.

Anzi: quelli della Marriott usavano una tecnologia (IBM Guardium) dedicata a lanciare allarmi relativi a "strane" query sui database. IBM sarà contenta della pubblicità gratuita, ma mi pare interessante sapere che esistono queste tecnologie (temo però che al momento siano molto costose e difficili da mantenere).

Dall'altra parte, l'ICO non si è preoccupata di rilevare gli investimenti fatti da Marriott e il livello di prevenzione adottato, ma, più o meno, ha detto: "poiché avete avuto un incidente, vuol dire che avete sbagliato e quindi dovete pagare". Non mi pare sia questo lo spirito del GDPR. Mi pare piuttosto sia di verificare se l'azienda ha fatto quanto possibile per evitare gli incidenti.

Caso simile è quello della British Airways. Qui il comunicato dell'EDPB sulla multa comminata dall'ICO:
- https://edpb.europa.eu/news/national-news/2019/ico-statement-intention-fine-british-airways-ps18339m-under-gdpr-data-breach_en.

Qui invece un articolo più tecnico che, in sostanza, dice che sarebbe stato molto ma molto difficile identificare l'attacco (sfortunatamente non spiega come prevenirlo in futuro):
- https://www.riskiq.com/blog/labs/magecart-british-airways-breach/.

giovedì 18 luglio 2019

Sistemi operativi per smartphone

Una cosa che mi preoccupa è la massa di dati che sto dando a Google. Sono già migrato a Qwant come motore di ricerca e ora sto cominciando ad usare il loro sistema di mappe (e non abbandono il mio vecchio TomTom).

Per quanto riguarda il cellulare potrei passare ad Apple, ma non sopporto la chiusura dell'iOS. Per Android sono incuriosito dai progetti di sistemi alternativi.

Uno l'ho visto segnalato da Luca Bonesini (mio collega di tanti anni fa). Si tratta del progetto /e/:
- https://e.foundation/.

Un altro progetto l'ho visto più di recente ed è il PostmarketOS:
- https://postmarketos.org/blog/2019/06/23/two-years/.

Dovrei studiare meglio la questione e, soprattutto, aspettare che gli smartphone di casa siano abbastanza obsoleti per fare qualche test. Per intanto mi appunto la questione.

Minacce e attacchi: errore in un'applicazione di 7-Eleven

E' noto che non mi interesso molto delle notizie sugli attacchi, in quanto solitamente non riportano informazioni utili, ma solo generiche.

Questo articolo non è tanto migliore, ma ci ricorda che bisogna prestare molta attenzione anche alle applicazioni per dispositivi mobili:
- https://www.zdnet.com/article/7-eleven-japanese-customers-lose-500000-due-to-mobile-app-flaw/.

In poche parole: il 7-Eleven giapponese ha commissionato un'applicazione che permetteva i pagamenti veloci. Questa permetteva anche di richiedere l'azzeramento della password, e la sua conseguente modifica, senza verificare che il richiedente fosse l'utente titolare dell'account. Il risultato è che degli attaccanti hanno azzerato la password di alcuni clienti e hanno fatto acquisti con i loro soldi.

venerdì 12 luglio 2019

Mia intervista su ISO/IEC 27552

Elia Barbujani mi ha intervistato per Web radio ius law sulla ISO/IEC 27552:
- https://webradioiuslaw.it/speciale-adeguamento-privacy-iso-iec-27552-cosa-cambia-per-le-certificazioni-privacy/.

Notizia dell'ultima ora: forse la numerazione cambierà in ISO/IEC 27701. Giusto per rendere più semplici le cose...

sabato 29 giugno 2019

NIST NISTIR 8228 su IoT

Il NIST ha pubblicato il documento NISTIR 8228 dal titolo "Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks":
- https://csrc.nist.gov/publications/detail/nistir/8228/final.

Tratta dell'IoT in modo generale, senza approfondire i campi di applicazione (industriale, automobili, sanità, eccetera).

A mio pare è più interessante la parte analitica sui rischi, mentre le misure di sicurezza sono espresse in modo troppo generale e approfondimenti li avrei graditi.

lunedì 24 giugno 2019

Mio articolo su fornitori e GDPR

Segnalo questo mio articolo dal titolo "Fornitori, valutazione del rischio e adeguamento privacy: le linee guida":
- https://www.cybersecurity360.it/legal/privacy-dati-personali/fornitori-valutazione-del-rischio-e-adeguamento-privacy-le-linee-guida/.

Ho proposto un metodo semplice per affrontare la questione dei fornitori in relazione al GDPR e una critica all'uso dei questionari purtroppo sempre più diffusi.

sabato 22 giugno 2019

Raccomandazione UE sulla cibersicurezza nel settore dell'energia

Segnalo questo articolo dal titolo "Cybersecurity nel settore energetico, ecco le raccomandazioni della Commissione europea":
- https://www.agendadigitale.eu/infrastrutture/cybersecurity-nel-settore-energetico-ecco-le-raccomandazioni-della-commissione-europea/.

Mi sembra interessante osservare che questa "Raccomandazione UE 2019/553 della Commissione del 3 aprile 2019 sulla cibersicurezza nel settore dell'energia" presenta indicazioni che potrebbero essere considerate anche in altri settori e nell'ambito industriale più generale.

Il link dell'articolo riporta alla raccomandazione in italiano. La pagina con le versioni nelle altre lingue dell'Unione è questa:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32019H0553.

Codice di condotta sulle valutazioni commerciali

Il Garante ha approvato il "Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali", ossia il codice che riguarda le aziende che analizzano le caratteristiche delle aziende per elaborare valutazioni a scopo commerciale:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9119868.

Ho riscritto la definizione di "attività di informazione commerciale", sperando di essere stato chiaro. Ad ogni modo, è possibile usare la definizione "ufficiale". Inizialmente, erroneamente, pensavo si trattasse dei contact centre. La lettura mi ha smentito.

I codici di condotta sono regolati dall'articolo 40 del GDPR. Interessante (come anche da comunicato stampa del Garante) è il ruolo dell'Organismo di monitoraggio (OdM), previsto dall'articolo 41 del GDPR, che dovrà essere valutato in senso all'EDPB.

Ho avuto modo di rileggere il GDPR su queste cose e mi è sembrato strano il meccanismo degli OdM (unici per ciascun codice di condotta), molto differente da quello relativo agli organismi di certificazione (che sono in concorrenza tra loro e controllati da Accredia). Ci sarebbe materia per riflettere.

Per finire, visto che potrei aver scritto sciocchezze (vi prego di segnalarmele), invito a leggere direttamente la newsletter del Garante:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9120035

martedì 18 giugno 2019

Presentazione "Gli standard EN 50600 e ISO/IEC TS 22237 per i data center"

Il 6 giugno ho tenuto una presentazione per un BCI Forum a Milano dal titolo "Gli standard EN 50600 e ISO/IEC TS 22237 per i data center".

Le slide sono disponibili anche dal mio sito:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Presentazione "Come migliorare le proprie competenze"

Il 24 maggio ho tenuto una presentazione per una sessione di studio di AIEA a Milano dal titolo "Come migliorare le proprie competenze".

Le slide sono disponibili anche dal mio sito:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Credo che i soci AIEA possano vedere il video. Gli altri potranno anche farne a meno senza problemi.

Strumenti per la sicurezza applicativa

Credo che gli strumenti per la sicurezza delle applicazioni software siano tra i meno considerati, anche se oggi sempre più necessari.

Tutto ha un'origine storica: inizialmente la sicurezza era solo una questione di infrastruttura informatica, non delle applicazioni. Per quanto oggi tutti siano consapevoli che non è più così (e da tempo) c'è ancora carenza di reale competenza, anche sugli strumenti che si possono utilizzare. Come consulente e auditor chiedo sempre se sono usati strumenti per il controllo del software: quasi mai sono usati strumenti per il controllo della sicurezza, qualche volta sono usati quelli per il controllo della qualità e spesso non è usato niente (anzi... sono guardato con sorpresa).

Non mi proclamo esperto e quindi non so giudicarlo appieno, ma segnalo questo articolo dal titolo "10 Hottest DevSecOps Tools You Need To Know About":
- https://www.crn.com/slide-shows/security/10-hottest-devsecops-tools-you-need-to-know-about/1.

Dovrebbe essere utile almeno come punto di partenza.

sabato 15 giugno 2019

Caso pratico di phishing di successo: i 15 milioni di Tecnimont.

Fabrizio Monteleone di DNV GL mi ha segnalato questo articolo dal titolo "Truffa del Ceo alla Tecnimont: falsa mail del capo fa partire un bonifico da 18 milioni di dollari":
- https://milano.fanpage.it/truffa-del-ceo-alla-tecnimont-falsa-mail-del-capo-fa-partire-un-bonifico-da-18-milioni-di-dollari/.

Il caso di phishing mirato (o "truffa del CEO") è da manuale e vale la pena ricordarla come caso di studio. Non è la prima (ne ho trovate altre con una semplice ricerca su Qwant) e per questo andrebbe usata come esempio per tutti.

venerdì 14 giugno 2019

Pubblicato il Cybersecurity Act

Franco Vincenzo Ferrari di DNV GL mi ha segnalato la pubblicazione del Cybersecurity Act sulla Gazzetta ufficiale dell'Unione europea.

Ora l'atto in italiano si chiama ufficialmente "Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»)" ed è scaricabile da qui:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32019R0881.

Hanno tradotto con il brutto termine "cibersicurezza" e non con il termine sbagliato di "sicurezza cibernetica". C'è speranza.

Qualche mese fa avevo già segnalato un articolo (che usa malamente il termine "cibernetico" e non approfondisce gli schemi di certificazione dei prodotti):
- https://www.agendadigitale.eu/sicurezza/cybersecurity-act-ecco-cosa-ci-aspetta-dopo-la-direttiva-nis/.

Avevo anche segnalato il comunicato stampa del Consiglio della UE, con alcuni punti significativi del provvedimento:
- https://www.consilium.europa.eu/it/press/press-releases/2018/12/19/eu-to-become-more-cyber-proof-as-council-backs-deal-on-common-certification-and-beefed-up-agency/.

mercoledì 12 giugno 2019

NIST Secure Software Development Framework (SSDF)

Il NIST ha pubblicato la bozza di un documento dal titolo "White Paper: Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)":
- https://csrc.nist.gov/publications/detail/white-paper/2019/06/11/mitigating-risk-of-software-vulnerabilities-with-ssdf/draft.

Temevo fosse il solito documento "fai valutazione del rischio e arrangiati (noi autori, in realtà, non sappiamo niente di tecnologia, ma possiamo scrivere tomi su tomi sulla valutazione del rischio e sui processi)". Invece ho trovato alcuni elementi interessanti, anche se non c'è tantissima tecnologia. Però la sintesi aiuta.

In bibliografia ho trovato il riferimento ad un documento dal titolo "Fundamental Practices for Secure Software Development: Essential Elements of a Secure Development Life Cycle Program":
- https://safecode.org/news/safecode-publishes-fundamental-practices-secure-software-development-essential-elements-secure-development-life-cycle-program/.

Un altro documento abbastanza breve (38 pagine), in cui mi pare ci siano consigli pratici che non trovo facilmente in giro.

E questo documento mi ha fornito il link al "SEI CERT Coding Standards":
- https://wiki.sei.cmu.edu/confluence/display/seccode/SEI+CERT+Coding+Standards.

Penso non ci siano scuse per chi scrive in C, C++, Java, Perl e Android.

Se posso segnalare dei difetti: i siti, alla fine, si concentrano soprattutto sulla parte di codifica e poco sulla parte funzionale e su quella architetturale.

Mio articolo sulla ISO/IEC 27552 sui sistemi di gestione privacy

Segnalo la pubblicazione del mio articolo "Gestione dei dati personali, ecco le novità della norma ISO/IEC 27552":
- https://www.agendadigitale.eu/sicurezza/privacy/gestione-dei-dati-personali-ecco-le-novita-della-norma-iso-iec-27552/.

Devo dire che, rileggendolo, non mi sembra scritto bene. Spero che almeno sia chiaro.

venerdì 7 giugno 2019

GDPR e questioni aperte

Segnalo questo interessante articolo di Agenda Digitale dal titolo "GDPR, i rinvii alla Corte di Giustizia Ue: i principali nodi da sciogliere":
- https://www.agendadigitale.eu/sicurezza/privacy/gdpr-i-rinvii-alla-corte-di-giustizia-ue-i-principali-nodi-da-sciogliere/.

L'articolo elenca i casi ora in esame presso la Corte di Giustizia UE. Questi, pertanto, ci forniscono alcune indicazioni su alcuni dubbi interpretativi e su cosa ci potrebbe aspettare in futuro.

giovedì 6 giugno 2019

PSD2

Un articolo di ictBusiness.it mi ha ricordato l'importanza che la Direttiva sui servizi di pagamento potrebbe avere. Infatti, tra le altre cose, è richiesto ai negozi virtuali di prevedere l'autenticazione forte dei clienti. L'articolo di ictBusiness.it si concentra su questo aspetto e sul fatto che ancora molte imprese sono in ritardo con gli adeguamenti dei propri siti di e-commerce:
- http://www.ictbusiness.it/cont/news/acquisti-online-aziende-europee-in-ritardo-sulle-nuove-norme/43134/1.html.

La PSD2 ha ulteriori impatti. A questo proposito ho trovato questo articolo su Agenda Digitale molto completo (anche troppo, per le mie competenze):
- https://www.agendadigitale.eu/cittadinanza-digitale/pagamenti-digitali/psd2-quello-ce-sapere-norme-interchange-fee-sicurezza/.

mercoledì 5 giugno 2019

Topi e indisponibilità

Sandro Sanna mi ha segnalato questa notizia dal titolo "Topi rosicchiano la fibra, mezza provincia di Belluno rimane senza web":
- https://www.ilmattino.it/napoli/cronaca/topi_fibra_provincia_senza_web_belluno_oggi_ultime_notizie-4536425.html

Non un notizione, ma ci ricorda di controllare, nell'ambito della manutenzione, la derattizzazione (che può anche prevedere l'uso di vernici particolari sui cavi). Anche questa è sicurezza delle informazioni...

martedì 4 giugno 2019

GDPR: la crittografia non basta

Segnalo questo breve articolo di Alessandro Vallega dal titolo "GDPR e sicurezza, vogliamo dirci la verità? L'encryption non basta":
- https://www.cybersecurity360.it/soluzioni-aziendali/gdpr-e-sicurezza-vogliamo-dirci-la-verita-lencryption-non-basta/.

In poche e buone parole dice quello che emerge da questi 12 mesi di attuazione del GDRP: per pigrizia e incompetenza, in tanti richiedono l'applicazione della crittografia (in modo generico, senza indicare né come né dove) solo perché citata (non richiesta obbligatoriamente!) dal GDPR, senza pensare ad altre misure probabilmente prioritarie.

Sebbene conosca personalmente Alessandro, ho avuto notizia di questo articolo dalla newsletter del Clusit del 31 maggio 2019.

domenica 2 giugno 2019

VERA per privacy - versione gamma

Ho aggiornato il VERA per privacy, usando i controlli della ISO/IEC 27552 al posto di quelli della ISO/IEC 29151.

Infatti la ISO/IEC 29151 è per soli titolari, mentre la ISO/IEC 27552 è rivolta a titolari e responsabili, oltre ad essere meglio organizzata, grazie anche alle esperienze accumulate nei 2 anni di utilizzo.

La ISO/IEC 27552 è al momento in fase di final draft, però i controlli finali saranno quelli (al limite mi sono sbagliato con la numerazione).

Per la versione GAMMA, grazie a: Nicola Nuti, Simona Persi, Chiara Ponti.

Il VERA 4.4 privacy GAMMA è scaricabile da qui:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Dopo l'estate vorrei creare un VERA 5.0 per privacy e per 27001 (vorrei cercare di fare un unico file, in modo che uno lo possa usare per la sola ISO/IEC 27001, la sola privacy o per tutte e due contemporaneamente). Quindi: chiunque ha suggerimenti è pregato di farmeli avere.

PS: sono consapevole che "versione gamma" non è mai usata (a meno di eccezioni che non conosco), ma dopo la versione beta ho trovato questa soluzione.

Plugin QWAC per Firefox

Glauco Rampogna (professionista della sicurezza delle informazioni e della privacy) mi ha segnalato che AgID ha pubblicato un plug-in per Firefox per validare i Qualified Website Authentication Certificates (QWAC):
- https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/2019/05/31/The+Agency+for+Digital+Italy+brings+online+security+to+the+next+level.

Il nome divertente (QWAC) vuol dire che per Regolamento (e non per fiducia "nel sistema") è possibile validare i certificati SSL di un sito web.

Glauco ha commentato: "per una volta pare che siamo i primi".

Per il resto, io ho installato il plug-in e prossimamente vedrò come lavora.

Mio articolo su ITIL 4

E' stato pubblicato su ICT Security magazine il mio articolo dal titolo "ITIL 4 Foundation":
- https://www.ictsecuritymagazine.com/articoli/itil-4-foundation/.

Nulla in più di quanto avevo già scritto sul blog.

ENISA Industry 4.0 - Cybersecurity Challenges and Recommendations

Sandro Sanna mi ha segnalato la pubblicazione del breve (13 pagine) studio di ENISA dal titolo "Industry 4.0 - Cybersecurity Challenges and Recommendations":
- https://www.enisa.europa.eu/publications/industry-4-0-cybersecurity-challenges-and-recommendations.

Le raccomandazioni (riassunte da me) sono:
- allineare le competenze in materia di IT e OT (segnalo che è scritto che le persone in ambito OT devono adattarsi alle innovazioni, me, ma non è esplicitato che gli "esperti" di IT devono capire le caratteristiche dell'OT, per esempio in termini di sicurezza delle persone e lunghezza del ciclo di vita dei prodotti);
- prestare attenzione alle regole stabilite (solitamente incomplete) e alla necessità di fornire fondi alla sicurezza;
- incoraggiare con incentivi la sicurezza;
- prestare attenzione ai prodotti per industria 4.0 perché il loro ciclo di vita è la composizione di quello dei prodotti IT e OT;
- chiarire le responsabilità tra gli attori di industria 4.0;
- prestare attenzione al fatto che gli standard in materia di industria 4.0 sono frammentati;
- gestire la sicurezza considerando tutta la filiera di fornitura;
- prestare attenzione all'interoperabilità e alla sicurezza dei prodotti industria 4.0.

giovedì 30 maggio 2019

Garante e formazione gratuita per DPO

Il Garante ha lanciato il progetto T4DATA, ossia eventi di formazione gratuita per DPO del settore pubblico e privato.

Il primo evento sarà ad Ancona il 7 giugno e poi ce ne saranno altri. Sono anche previsti webinar:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9113500.

Provvedo a diffondere la notizia, anche perché l'iniziativa mi sembra molto
meritoria.

lunedì 20 maggio 2019

Manuale sul diritto europeo in materia di protezione dei dati - ed. 2018

Nicola Nuti degli Idraulici della Privacy e Franco Vincenzo Ferrari di DNV GL mi hanno segnalato la pubblicazione del "Manuale sul diritto europeo in materia di protezione dei dati - edizione 2018" da parte del Council of Europe:
- https://publications.europa.eu/en/publication-detail/-/publication/5b0cfa83-63f3-11e8-ab9c-01aa75ed71a1/language-it.

giovedì 16 maggio 2019

ITIL 4 Foundation - I contenuti

Poco tempo fa avevo annunciato la disponibilità dell'esame ITIL 4 Foundation:
- http://blog.cesaregallotti.it/2019/04/itilv4-solo-foundation.html.

Dopo aver letto il manuale di ITIL 4 Foundation, posso dire che mi è piaciuto. Il primo motivo è perché è breve e mette già a disposizione le informazioni di base del modello ITIL, senza doverle estrarre da volumi più ampi. Il secondo motivo è perché tecnicamente è molto più convincente, coerente e utile delle ultime 2 versioni (ITILv3 e ITIL 2011). Riporto quindi nel seguito i miei appunti sulle parti tecniche.

Ora il modello ruota intorno a 3 elementi chiave: le attività del SVS (Service value system), le pratiche e i principi.

Le attività del SVS sono 6: pianificazione, miglioramento, coinvolgimento (engage), progettazione (design) e transizione, ottenimento o realizzazione, consegna e supporto (in precedenza, ITIL ruotava intorno alle 5 fasi di strategia, progettazione, transizione, esercizio, miglioramento continuo).

Sono anche trattate le 4 "dimensioni della gestione dei servizi", ossia le vecchie 4 P, anche se con nome leggermente diverso.

Le "pratiche" corrispondono ai "processi" delle precedenti versioni. Sono 34 divise in generali, di servizio e tecniche. Si vede quindi che non sono diminuite. L'idea è però quella di fornire indicazioni in merito agli aspetti della gestione dei servizi, non di presentare un modello unitario e coerente di queste pratiche. Mi permetto di tradurre così: dopo averci tormentati con i processi e la loro importanza, dopo averne creati troppi, dopo non essere riusciti a diminuirli, gli autori di ITIL hanno rinunciato a dare una visione dei processi come sistema (ossia a correrlarli tra loro) e li hanno chiamati "pratiche".

Se pure molte indicazioni sono interessanti, è in effetti difficile capire le relazioni tra le pratiche di "service design" e "change control" (non mi pare siano spiegate) e tra le pratiche di "release management" e "deployement management" (anche se per queste è fornita una spiegazione).

Sulle pratiche, segnalo poche cose:
- rinuncia al termine "risorse umane" per "forza lavoro e talenti" (workforce and talent);
- sottolinea che il CMS (configuration management system) è importante, ma non è necessario che sia di dettaglio e che è possibile averne più di uno (questo ricordando certi consulenti che promuovono un unico CMS o CMDB o Asset inventory, evidentemente senza avere idea di cosa sono veramente);
- ricorda che i processi di controllo dei change possono essere distinti per ambienti distinti (in molti pensavano ad un unico change manager per tutti i change);
- rinuncia (per lo meno a livello di foundation) al change manager e al CAB (change advisory board), ricordando solo che vanno previsti diversi livelli di autorizzazione per i change;
- riduce notevolmente l'importanza della pratica di "change control" rispetto a quanto in precedenza era importante il processo di change management (lo cita solo una volta nei 4 esempi forniti in Appendice A);
- usa il termine "continuity" per eventi di elevato impatto, contrariamente ad altri (per esempio il BCI) che invece lo usano anche per incidenti di impatto minore.

Per ogni pratica, sono indicati gli impatti sulle 6 attività del SVS. Questo punto spesso non mi è risultato chiaro e, anzi, alcune relazioni non mi hanno trovato d'accordo. Si tratta sicuramente di un tentativo di correlare il modello SVS con le 34 pratiche. Come spesso succede, i tentativi di correlare modelli diversi risultano difficili e il risultato non è buono.

I principi sono 8. Sono trattati all'inizio e poi quasi dimenticati. Di questi, anche come conclusione di questa analisi superficiali, vorrei ricordarne 3:
- il primo è la promozione della "progressione iterativa con riscontri" ossia dell'approccio Agile, criticando, in qualche modo, chi ha cercato di adottare ITIL con un approccio di reingenierizzazione dei processi (si ritorna, insomma, al Kaizen promosso nell'ambito della qualità);
- il secondo è di "partire da dove si è", ossia di essere consapevoli del proprio stato prima di iniziare attività di miglioramento; questo lo ricordo perché include, finalmente, una critica alle misurazioni e un richiamo all'importanza del monitoraggio;
- il terzo principio che ricordo è quello di "rendere semplice e pratico", spesso dimenticato da manager, consulenti e auditor; la frase che mi sono segnato è: "Simplicity is the ultimate sophistication".

Ora dovrò sostenere l'esame. Le differenze rispetto a ITIL 2011 sono molte e molti consigliano di seguire il corso completo. Io ho preferito studiare da solo il manuale. Spero di non aver fatto una scelta sbagliata.

venerdì 10 maggio 2019

Mia intervista per Coretech

CoreTech, nella persona di Roberto Beneduci (Founder & CEO), mi ha invitato a tenere un intervento al suo convegno annuale (CoreTech Summit) sul tema della business continuity.

Mi hanno quindi fatto un'intervista "preventiva" pubblicata su LinkedIn. Per chi vuole ascoltarmi (e ascoltare anche Roberto) per poco più di 12 minuti, il link è questo (mi pare che questo video sia visibile anche senza accedere a LinkedIn):
- https://www.linkedin.com/feed/update/urn:li:activity:6531774727407562752.

Pubblicazione ISO/IEC 27050-2

Seppur con grande ritardo, segnalo che a settembre 2018 è stata pubblicata la ISO/IEC 27050-2:2018 dal titolo "Information technology -- Electronic discovery -- Part 2: Guidance for governance and management of electronic discovery":
- https://www.iso.org/standard/66230.html.

Non mi pare aggiunga alcunché a quanto già noto, visto che è soprattutto una norma di tipo "gestionale" e non tecnico.

In sostanza, senza fornire molti dettagli, dice di prevedere regole in merito a: archiviazione, identificazione delle prove, dichiarazioni e comunicazione, gestione del rischio, monitoraggio e rendicontazione.

martedì 7 maggio 2019

Controllo dei lavoratori, Statuto lavoratori, penale e civile

Franco Vincenzo Ferrari di DNV GL Business Assurance Italia mi ha segnalato un articolo dal titolo "Cassazione penale: utilizzabili le riprese di un impianto di video-sorveglianza non conforme alla normativa privacy":
- https://www.forensicsgroup.eu/2019/05/cassazione-penale-utilizzabili-le-riprese-di-un-impianto-di-video-sorveglianza-non-conforme-alla-normativa-privacy/.

Si tratta di una sentenza della Cassazione, per cui si possono usare in un processo penale delle prove raccolte da strumenti di monitoraggio non coerenti con l'art. 4 dello Statuto dei lavoratori. Infatti questo riguarda il diritto privato e non il penale.

martedì 30 aprile 2019

CSA IoT Security Controls Framework

Il Cloud Security Alliance (CSA) ha pubblicato una lista di misure di sicurezza da prevedere per l'IoT dal titolo "CSA IoT Security Controls Framework":
- https://cloudsecurityalliance.org/artifacts/iot-security-controls-framework.

Questa lista è accompagnata da una guida "CSA Guide to the IoT Security Controls Framework":
- https://cloudsecurityalliance.org/artifacts/guide-to-the-iot-security-controls-framework/.

Per scaricare i documenti è necessario registrarsi (ma è possibile farlo anche usando dati totalmente inventati).

Il tutto sembra destinato soprattutto a organizzazioni che vogliono usare dispositivi IoT.

La lista non è certo agile, visto che si tratta di 160 controlli. Il suo utilizzo richiede la capacità di adattarla alle proprie esigenze (io, per esempio, trovo eccessivamente numerosi i controlli dedicati alla valutazione del rischio; però sono contento che alla gestione degli incidenti siano dedicati solo 2 controlli). Può comunque essere utile a chiunque voglia produrre o usare dispositivi o sistemi per l'IoT.

La notizia l'ho vista inoltrata da un post di LinkedIn di Laura  Zarrillo (che a sua volta ha fornito un link di continuitycentral.com). Per vederlo è necessario essere iscritti a LinkedIn:
- https://www.linkedin.com/feed/update/urn:li:activity:6528994891962425344

Gli standard EN 50600 e ISO/IEC TS 22237 per i data center

Ho scritto un breve articolo di compilazione sullo standard ISO/IEC TS 22237 sui data center. Si tratta, se posso semplificare e quindi essere criticato, della "risposta europea" al "Tier Standard: Topology" dell'Uptime Instititue e all'ANSI TIA-942.

Infatti la ISO/IEC TS 22237 nasce dalle norme europee EN 50600.

Il mio articolo:
- https://www.ictsecuritymagazine.com/articoli/gli-standard-en-50600-e-iso-iec-ts-22237-per-i-data-center/.

Bollettino MELANI 2/2019

Il rapporto semestrale della Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI (della Confederazione Svizzera) è a mio parere uno dei documenti più interessanti. Segnalo quindi il rapporto relativo alla seconda metà del 2018, uscito in questi giorni:
- https://www.melani.admin.ch/melani/it/home/dokumentation/bollettino-d-informazione/melani-halbjahresbericht-2-2018.html.

I temi "caldi" sono l'IoT, la «fake sextortion» e la compromissione delle utenze di Office 365.

domenica 28 aprile 2019

Microsoft e il cambio delle password

Sul SANS NewsBites del 26 aprile trovo la notizia che Microsoft riconosce l'inutilità di forzare il cambio delle password:
- https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/.

Questo in realtà si trova in un'idea per la prossima versione delle Security baselines di Windows: non avere più come default la richiesta di cambio periodico delle password.

Questa posizione è la stessa assunta dal NIST quasi due anni fa e di cui avevo già parlato all'epoca:
- http://blog.cesaregallotti.it/2017/08/del-nist-e-della-lunghezza-e.html.

Ricordo che "si ritiene preferibile lasciare liberi gli utenti di scegliere le proprie password, purché di almeno 8 caratteri e non presenti in una blacklist di password troppo facili". Purtroppo non sembra che i futuri sistemi Windows automatizzeranno queste blacklist. Anzi, il post di Microsoft dichiara che è compito degli utilizzatori realizzare le blacklist o meccanismi di autenticazione a più fattori (multi-factor authentication).

Di primo acchito, non mi pare un miglioramento (sappiamo quanto siano spesso superficiali molti amministratori di sistema; semplicemente non attueranno niente di più di quello previsto dalle baseline). Inoltre mi lascia sempre perplesso l'assenza di riflessioni sull'abitudine di molti utilizzatori aziendali di scambiarsi le password e delle possibili contromisure alternative al cambio periodico delle password. C'è però la riflessione sul fatto che oggi i sisitemi MFA, con la diffusione degli smartphone, siano sempre più economici e facili da usare.

martedì 23 aprile 2019

ENISA Maturity Evaluation Methodology for CSIRTs

L'ENISA ha pubblicato un documento dal titolo "ENISA Maturity Evaluation Methodology for CSIRTs" (è l'aggiornamento di un documento del 2017):
- https://www.enisa.europa.eu/publications/study-on-csirt-maturity-evaluation-process.

Non mi piacciono molto i modelli di maturità, questo dà comunque indicazioni utili per costruire un computer security incident response team (ricordo, a questo proposito, anche la guida dell'ETSI per costruire un SOC, di cui avevo scritto a suo tempo: http://blog.cesaregallotti.it/2019/01/guida-etsi-per-un-soc.html).

mercoledì 17 aprile 2019

ITIL 4 (solo Foundation)

Axelos (la società che mantiene ITIL) da tempo aveva annunciato la pubblicazione prevista per il 2019 di ITIL 4, ossia la nuova edizione di ITIL (ricordo che la precedente edizione era la ITIL 2011, a sua volta un aggiornamento minore di ITILv3 e segnalo che si divertono molto a cambiare il modo di indicare le versioni):
- https://www.axelos.com/best-practice-solutions/itil/what-is-itil.

Interessante il fatto che al momento non risulta pubblicato ITIL 4, per lo meno come lo intenderemmo dopo aver visto i 5 (non agili) volumi di ITILv3 e ITIL 2011. Risulta pubblicato solo il manuale per sostenere l'esame ITILv4 Foundation.

L'esame è disponibile dal 28 febbraio:
- https://www.axelos.com/certifications/itil-certifications/itil-foundation-level.

Da quanto è scritto sul sito di Axelos, ITILv4 ruoterà interno al concetto di "sistema del valore del servizio" (service value system, SVS) e si concentrerà sulla "co-creazione del valore attraverso le relazioni determinate dal servizio". Il SVS rappresenta come i componenti e le attività possono lavorare insieme per facilitare la creazione del valore attraverso i servizi.

Tanti bei paroloni (appare, ma non l'ho riportato, anche "olistico", che è un indicatore del livello di fuffa di un testo). Ho i miei timori.

PS: ho scritto una breve analisi del manuale di ITIL 4 Foundation: http://blog.cesaregallotti.it/2019/05/itil-4-foundation-i-contenuti.html. 

sabato 13 aprile 2019

Mio articolo su sicurezza e selezione del personale

Segnalo questo mio articolo dal titolo "Sicurezza e selezione del personale":
- https://www.ictsecuritymagazine.com/articoli/sicurezza-e-selezione-del-personale/.

Si tratta di alcune mie riflessioni sulla materia. Sicuramente alcuni non concorderanno con alcune mie posizioni; nel caso, sono aperto a ricevere controdeduzioni.

15 aprile 1999-2019: 20 di consulenza in sicurezza delle informazioni

Il 15 aprile 1999 iniziai a lavorare come consulente di sicurezza delle informazioni.

Più che altro, entrai negli uffici di Securteam di Milano e mi diedero da studiare ITSEC e la metodologia aziendale Defender (dopo pranzo ebbi anche un abbiocco!).

Erano altri tempi: la BS 7799 (oggi ISO/IEC 27001) era roba per pochi, il DPR 318 non era ancora stato pubblicato, la prima certificazione italiana in materia di sicurezza delle informazioni non era stata neanche pensata e si pensava che "sicurezza delle informazioni" fosse un'espressione più significativa di "sicurezza informatica" (e non si parlava proprio di "cyber-security"). Per contro c'era già chi parlava di "visione olistica della sicurezza" e "sicurezza a 360 gradi".

Fui assunto da Securteam grazie all'apprezzamento che ebbi da Giulio Carducci dopo il colloquio fissato grazie all'invio del mio CV "a pioggia" (in cui dicevo che non sapevo quasi nulla di sicurezza delle informazioni, ma avevo fatto la tesi su crittorafia e crittanalisi). E poi negli uffici di Securteam trovai Maurizio (il responsabile dell'ufficio di Milano), Andrea, Laura, Donatella e Nino. Li anonimizzo perché è da tanto che non li sento, anche se sento che un filo di amicizia "silenziosa" ci leghi ancora tutti.

A loro va tutto il mio affetto e la mia stima e i miei ringraziamenti. Mi insegnarono a lavorare nel rispetto dei clienti, a studiare come un pazzo per svolgere al meglio il mio lavoro, a confrontarmi con i colleghi e a divertirmi a fare consulenza. Mi insegnarono anche che quella era la mia strada: loro lo avevano capito, mentre io nutrivo ancora dubbi.

venerdì 12 aprile 2019

Approvato il EU Cybersecurity Act

Alessandro Cosenza di BTicino mi ha segnalato che il 9 aprile, il Consiglio UE ha approvato definitivamente il Cyber security Act. La pagina ufficiale del Consiglio con l'atto:
- https://www.consilium.europa.eu/it/press/press-releases/2019/04/09/legislative-acts-adopted-by-the-general-affairs-council/

Dalla pagina è possibile scaricare il testo definitivo e accedere al comunicato stampa (di dicembre, ma evidentemente ancora valido):
- https://www.consilium.europa.eu/it/press/press-releases/2018/12/19/eu-to-become-more-cyber-proof-as-council-backs-deal-on-common-certification-and-beefed-up-agency/.

Nei prossimi giorni sarà pubblicato in Gazzetta Europea. Ricordo che si tratta di un Regolamento e pertanto non deve essere recepito dai singoli Stati membri.

Ora credo che il punto più importante da guardare per il futuro riguarderà gli schemi di certificazione che saranno promossi, senza sottovalutare le attività di miglioramento della sicurezza promosse da ENISA.

mercoledì 10 aprile 2019

Stato delle norme ISO/IEC 27xxx - Aprile 2019

La prima settimana di aprile 2019 a Tel Aviv (Israele) si è concluso l'incontro semestrale del ISO/IEC JTC 1 SC 27, ossia del comitato che si occupa della redazione delle norme della serie ISO/IEC 27000.

Al WG 1 (quello che si occupa della ISO/IEC 27001 e delle norme ad essa collegati) i registrati erano 143; al WG 5 (quello che si occupa di norme relative alla privacy) i registrati erano 139. La delegazione italiana era composta da ben 4 persone distribuite tra i WG 1, 4 e 5 (ringrazio quindi Fabio Guasconi, Alessandro Cosenza e *dato anonimizzato* per avermi aiutato anche con questa mia relazione).

Durante questo meeting, molte norme erano o in stato troppo avanzato o in stato troppo arretrato e quindi le discussioni erano relative o ai dettagli editoriali o all'impostazione del documento. In generale, quindi, poco interessanti.

Come sempre, segnalo le cose a mio parere più interessanti. Infatti i temi sono stati molto numerosi.

Per quanto riguarda le norme legate alla ISO/IEC 27001:
- la ISO/IEC 27001 per il momento non si tocca, ma nel prossimo futuro sarà aggiornata per essere pubblicata intorno al 2021 per includere la nuova lista dei controlli, per recepire le nuove richieste editoriali per tutti gli standard (p.e. la richiesta di avere termini e definizioni all'interno dello stesso documento, mentre oggi sono nella ISO/IEC 27000) e per discutere dell'utilità della Dichiarazione di applicabilità;
- per la ISO/IEC 27002, la discussione ha riguardato soprattutto quali controlli includere, quali eliminare e quali unire; si spera di affrontare discussioni più tecniche dal prossimo meeting;
- la ISO/IEC 27005 è ritornata al via e quindi la discussione ha riguardato l'impostazione; su questa norma, segnalo che il BSI ha pubblicato un suo aggiornamento; per quanto sono riuscito a leggere sembra interessante;
- per la ISO/IEC 27006, si sono affrontate alcune correzioni per la sua futura versione; purtroppo non ho seguito i lavori precedenti e, quindi, non ho contribuito come avrei voluto;
- per la ISO/IEC 27013, si è discusso della necessità di avviare il lavoro, visto che il gruppo che si occupa della ISO/IEC 20000 sta già pubblicando una norma simile (ISO/IEC 20000-7, che include anche riferimenti alla ISO 9001.

Il WG 1 si occupa anche di norme che richiamano più direttamente la cyber-security. In particolare, la ISO/IEC 27102 (sulle cyber-insurance) sarà promossa in "bozza finale" e quindi sarà pubblicata, dopo un ulteriore giro di controllo editoriale, a cavallo del 2019-2020.

Il WG 4 ha discusso di argomenti su cui pubblicare standard (al momento i lavori sono però molto indietro):
- IoT e domotica (in particolare la ISO/IEC 27030, linea guida su rischi, principi e controlli per la sicurezza e la privacy di IoT; attualmente al terzo working draft); per tutti i lavori IoT c'è una forte sinergia con l'SC 41;
- modello per i sistemi industriali.

Per quanto riguarda le norme legate alla privacy, segnalo che si sono conclusi i lavori sulla ISO/IEC 27552 (la norma per certificare i "sistemi di gestione per la privacy") e sarà pubblicata, probabilmente, entro giugno. Però manca una norma di supporto alla certificazione. Un'idea sarebbe quella di estendere la ISO/IEC 27006 (che a sua volta è un'estensione della ISO/IEC 17021 per la ISO/IEC 27001); per discutere compiutamente dell'argomento, si è avviata una richiesta di contributi che si concluderà tra 6 mesi (su questo penso che per il momento si potrebbe usare la ISO/IEC 17021; inoltre segnalo che al momento non è previsto l'uso della ISO/IEC 17065, come richiesto dal GDPR e pertanto bisognerà valutare la questione (in questi mesi cercherò di capire meglio come funziona la certificazione dei prodotti)).

Altri lavori di interesse per quanto riguarda la privacy:
- proseguiti i lavori sulla ISO/IEC 29184 sull'informativa e il consenso online;
- proseguiti i lavori anche su ISO/IEC 27045 dal titolo "Big data security and privacy – Processes" (per definire modelli di riferimento, valutazione e maturità del processo per il dominio della sicurezza e della privacy dei big data); altre norme legate ai big data sono le ISO/IEC 20546 e 20547.

Infine, importantissimo e sempre relativamente alla privacy, è con orgoglio che segnalo che un membro della delegazione italiana (quello anonimo!) è editor della norma ISO/IEC 27555, sulla cancellazione dei dati personali.

Il prossimo meeting sarà a ottobre a Parigi.