sabato 5 dicembre 2020

Privacy: sui cookie wall (seconda puntata)

Continuo a occuparmi delle modalità con cui i siti web gestiscono i cookie.
Questo articolo, dal titolo "Cookie: consenso dell'interessato al legittimo
interesse del Titolare" tratta della pratica, ora sempre più diffusa, di
installare cookie sulla base del legittimo interesse e non del consenso:
-
https://www.altalex.com/documents/news/2020/12/03/cookie-consenso-interessat
o-legittimo-interesse-titolare
.

Io aggiungo che molti siti distribuiscono in modo a me incomprensibile le
opzioni sui cookie: in parte sul consenso, in parte sul legittimo interesse.
Forse per confondere l'utente o per altri motivi che non ho approfondito?

Aggiungo inoltre che, in caso di diniego del consenso, il cookie wall mi si
ripresenta ogni volta che ritorno su certi siti. Cosa che non succede a chi
fornisce un consenso positivo. Penso che anche questa sia una pratica
scorretta.

L'articolo mi è stato segnalato da Costanza Mottino degli Idraulici della
privacy e la ringrazio.

sabato 21 novembre 2020

La privacy ai tempi del COVID - Un piccolo caso

Segnalo questo "piccolo" incidente per cui è stato mandato un reclamo (o una
segnalazione di violazione) al Garante.

Penso sia interessante per ricordarci come la privacy richieda attenzione
anche nelle cose apparentemente più semplici.

In una scuola un bambino ha segnalato la propria positività al COVID. Allora
la scuola ha fatto una comunicazione in bacheca raccomandando a tutti i suoi
compagni di classe di fare il tampone e fornendo indicazioni su dove andare.

Però... la circolare in bacheca riportava i destinatari: tutti gli alunni
della classe, tranne il positivo!

venerdì 20 novembre 2020

Guida (parziale) alla privacy nel mondo

Claudio Sartor, che ringrazio, mi ha scritto quanto segue.

Ho letto il suo articolo in merito alle raccomandazioni dell'EDPB per i trasferimenti extra SEE (http://blog.cesaregallotti.it/2020/11/privacy-e-edpb-raccomandazioni-per-i.html). Sebbene al momento anche io non sia al corrente di un sito contenente "tutti i 200 Paesi del mondo con indicate le caratteristiche da considerare quando vi si vogliono esportare dati personali", segnalo il lavoro "Deloitte Asia Pacific Privacy Guide" che almeno indirizza l'area Asia Pacific (APAC):
- https://www2.deloitte.com/nz/en/pages/risk/articles/deloitte-asia-pacific-privacy-guide.html.

In effetti il documento è molto interessante, anche se forse è troppo prudente nell'esplicitare le criticità relative alla privacy e presenti nei Paesi considerati.

sabato 14 novembre 2020

ENISA Guidelines for Securing the IoT

ENISA ha pubblicato nuove linee guida sulla sicurezza dell'IoT dal titolo "Guidelines for Securing the Internet of Things":
- https://www.enisa.europa.eu/publications/guidelines-for-securing-the-internet-of-things.

Introduce alcuni concetti che mancavano dalla precedente "Good practices for security of IoT: Secure Software Development Lifecycle", dedicata al solo software e che segnalai a suo tempo
(http://blog.cesaregallotti.it/2019/11/enisa-good-practices-for-security-of-iot.html). Questa guida tratta di tutti componenti dell'IoT, inclusi quelli fisici.

Commento: apprezzo molto questi lavori di ENISA. Purtroppo però l'organizzazione dei documenti di ENISA rende difficile capire i collegamenti tra loro e questo è un peccato.

Privacy e EDPB: Linee guida sulla privacy by design e by default

Mi hanno segnalato la pubblicazione della versione 2.0 delle "Guidelines 4/2019 on Article 25: Data Protection by Design and by Default":
- https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42019-article-25-data-protection-design-and_en.

La lettura è molto interessante e in qualche modo riassume efficacemente molti concetti del GDPR. Però attenzione che non si tratta di una guida alle misure di sicurezza. Queste sono trattate in modo molto sommario e con un solo esempio al punto 3.8 quando parla di integrità e riservatezza.

Un'altra cosa mi ha dato da pensare ed è il suggerimento di determinare KPI per valutare l'efficacia delle misure privacy. Qui l'EDPB, purtroppo, dà ascolto ai cattedradici e promuove KPI quantitativi e qualitativi, senza però proporne di veramente significativi. Gli esempi per i quantitativi sono: percentuali di falsi positivi e falsi negativi (senza però dire di cosa), riduzione dei reclami, riduzione dei tempi di risposta agli interessati quando esercitano i propri diritti (notare che questi KPI sono dichiarati male, visto che le "riduzioni" sono obiettivi che, inoltre, oltre un certo limite, dovrebbero diventare "mantenimento"). Gli esempi per i qualitativi sono talmente generici che non aiutano molto. Però poi arriva la vera raccomandazione appropriata e applicabile: dimostrare le ragioni per cui le misure scelte si ritengono efficaci (ossia, traduco io, presentare una valutazione del rischio).

Infine: mi fa specie vedere che anche l'EDPB fa un uso inutile e scorretto di iniziali maiuscole, soprattutto quando il GDPR, da questo punto di vista, è corretto.

Comunque sia: raccomando la lettura di queste linee guida per la loro ottima sintesi (38 pagine, inclusive di copertina e indice), il rigore, la completezza e la pragmatica. Al di là delle mie insignificanti critiche, questo è un documento esemplare.

Privacy e EDPB: raccomandazioni per i trasferimenti extra SEE

L'EDPB ha messo in consultazione pubblica le raccomandazioni sui trasferimenti dei dati personali al di fuori dello SEE: "Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data":
- https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en.

Innanzi tutto ricordiamoci che non è ancora un documento ufficiale, ma in consultazione pubblica.

Non tratta solo del trasferimento dei dati negli USA, ma è un'opinione più generale. E sono generali anche le raccomandazioni, tra cui quella di verificare per bene la normativa del Paese importatore, e non sono forniti strumenti semplici da consultare. Ovviamente il sogno sarebbe un sito con tutti i 200 Paesi del mondo con indicate le caratteristiche da considerare quando vi si vogliono esportare dati personali. Devo dire che siamo ancora lontanissimi da questo sogno e organi come l'EDPB dovrebbero farsi carico di queste necessità, visto che non è pensabile che migliaia di aziende (e non parlo dei DPO, le cui competenze sono troppo spesso dubbie sulle basi e quindi non possiamo aspettarci molto quando si tratta di un argomento complesso come questo) si facciano le proprie analisi di adeguatezza così come suggerite.

Grazie a Glauco Rampogna degli Idraulici della privacy per la segnalazione.

Privacy: sui cookie wall

Segnalo questo interessante video di Pietro Calorio su LinkedIn su come funzionano (male) i cookie wall:
- https://www.linkedin.com/posts/pietrocalorio_privacy-dataprotection-eprivacy-activity-6732293325866504192-j1b5.

Il video è artigianale, ma fa vedere chiaramente come sono fatti male i cookie wall. Nella migliore delle ipotesi sono estenuanti per l'utente che li rifiuta. Ne sono testimone ogni volta che vado sui siti di Amazon e molti altri perché ogni volta mi chiedono di confermare le scelte (cosa che non fanno con chi accetta i loro cookie).

mercoledì 11 novembre 2020

Furto di dati a causa di un server AWS mal configurato

La notizia, dal SANS NewsBites del 10 novembre, è che sono stati violati 24,4 GB di dati relativi a ospiti di hotel a causa di un AWS S3 bucket mal configurato:
- https://www.websiteplanet.com/blog/prestige-soft-breach-report/.

Sul SANS ricordano che sono disponibili linee guida per configurare in modo sicuro i server sul cloud. Quello del CIS specifico per AWS:
- https://www.cisecurity.org/blog/cis-benchmarks-september-2020-update/.

La stessa Amazon mette a disposizione strumenti e linee guida per la corretta configurazione e verifica dei server:
- https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html.

Non so esattamente quale errore di configurazione sia stato sfruttato, né so se è stato frutto di distrazione o di incompetenza. Vedo però che ancora molti sottovalutano l'importanza di una corretta configurazione dei server cloud. Allora è bene ripeterlo: la configurazione iniziale dei server cloud non è ottimale per la sicurezza e quindi vanno sempre previste attività di hardening e quindi chi si occupa di questi server deve avere (o acquisire) le necessarie competenze.

giovedì 29 ottobre 2020

Allegati nocivi per email

Mi hanno fatto notare che gli incidenti informatici registrati dovuti ad allegati nocivi alle email hanno avuto come effetto la riconfigurazione di alcuni servizi.

Un buon esempio è la pagina di Actalis che elenca gli allegati vietati per il loro servizio PEC:
- https://www.actalis.it/news-eventi/tipi-di-file-che-non-e-possibile-allegare-ad-un-messaggio-pec.aspx.

MELANI Rapporto semestrale 2020/1

Melani è la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione svizzera. Ogni 6 mesi pubblica un interessantissimo rapporto con indicati eventi, minacce e raccomandazioni relativi alla sicurezza informatico. Io sono estimatore di questo rapporto che ormai da molti anni si conferma pragmatico e preciso.

E' stato pubblicato il rapporto relativo al primo semestre 2020 ed è concentrato su come l'emergenza COVID-19 sia stata sfruttata da malintenzionati:
- https://www.melani.admin.ch/melani/it/home/dokumentation/rapporti/rapporti-di-situazione/rapporto-semestrale-2020-1.html.

Il bello di questo rapporto è che parla anche di molto altro.

Multa per smantellamento scorretto di data center

Lo smantellamento scorretto di un data centre può costare caro:
- https://www.linkedin.com/posts/nicola-vanin-b03a5451_datacenter-morganstanley-rischio-activity-6720715622830944256-XjGS.

Il post non fornisce i dettagli esatti (chi ha dato la multa e quale esattamente è stata la violazione), ma sono interessanti le considerazioni: più difficile della costruzione di un data centre è il suo smantellamento perché può comportare l'interruzione imprevista di attività. Quindi, prima di procedere, è necessario inventariare correttamente le risorse e le loro dipendenze.

Il modello Emmental per valutare gli eventi

Ho trovato divertente questa vignetta che presenta il modello Emmental per la difesa da COVID-19 (i nordamericani, ahinoi, dicono "Swiss cheese"):
- https://t.co/0vFX7vaHIS.

Mi sembra una bella rappresentazione del concetto di "difesa in profondità", per cui un solo livello di protezione non è sufficiente.

Ho poi cercato di approfondire la cosa e ho trovato questo articolo:
- https://blog.enterprisetraining.com/swiss-cheese-accident-causation-model/.

Ed ecco quali sono le lezioni che fornisce il modello Emmental:
- gli incidenti sono spesso causati dalla convergenza di più fattori;
- i fattori possono essere di molti tipi, dai comportamenti scorretti dei singoli a errori organizzativi;
- fattori molto importanti sono gli "errori latenti", che rimangono dormienti fino a quando non sono attivati da errori attivi;
- gli esseri omani sono inclini agli errori e quindi richiedono sistemi ben progettati e realizzati per prevenirli e mitigarli.

Ho letto un altro articolo dal titolo "Revisiting the Swiss cheese model of accidents":
- https://www.researchgate.net/publication/285486777_Revisiting_the_Swiss_Cheese_Model_of_Accidents.

Questo propone un'idea interessante: affinché si verifichi un incidente, devono verificarsi:
- difese inadeguate;
- comportamenti scorretti;
- precursori psicologici per i comportamenti scorretti;
- carenze organizzative (line management deficencies);
- decisioni errate della Direzione.

Sarebbero da approfondire i "precursori psicologici per i comportamenti scorretti".

Concludo sperando che qualcuno faccia (e me lo faccia vedere!) un disegno altrettanto bello di quello che ho segnalato inizialmente, ma dedicato alla sicurezza delle informazioni.

Guida NIST per la sicurezza dello storage

Il NIST ha pubblicato la SP 800-209 "Security Guidelines for Storage Infrastructure":
- https://csrc.nist.gov/publications/detail/sp/800-209/final.

E' un documento molto tecnico, ma utile a chiunque si occupa di sicurezza. Soprattutto dovrebbe essere noto a chi amministra gli le infrastrutture di storage (anche se queste persone sembrano solitamente disinteressate a documenti di questo tipo).

martedì 27 ottobre 2020

Lo stile di scrittura ISO

Sono molto attratto dalle regole di stile, non solo per ragioni professionali, ma anche per curiosità verso le regole necessarie alla nostra quotidianità (per esempio, sono un cultore de "Il saper vivere" di Donna Letizia). Quindi mi sono letto con molto piacere il "ISO house style" per la redazione degli standard:
- https://www.iso.org/ISO-house-style.html.

Al di là dei miei gusti personali, penso sia corretto usare questo riferimento per controllare meglio la scrittura dei propri documenti: uso delle maiuscole, delle abbreviazioni e degli acronimi, redazione della bibliografia, scrittura delle liste numerate e non numerate eccetera.

Imparare a imparare

Segnalo questo articolo di cui Anna Gallotti (mia sorella) è coautrice. Il titolo è "Imparare ad imparare: Fattori che permettono e facilitano il processo di apprendimento":
- http://share-coach.bmetrack.com/c/v?e=112EEA4&c=98BAC&t=0&l=3ADF5DA4&email=HuT9fCkN5V9LzXF31Fidn0kDNvJcItyC5mrjfCIPaW83Ih4P1WxctQ%3D%3D.

Credo ci siano cose molto interessanti e utili, soprattutto quando bisogna formare su qualità, sicurezza e privacy.

In particolare ho sottolineato questo passaggio: "Se è vero che ci sviluppiamo avventurandoci fuori dalla nostra zona di comfort, dovremmo stare attenti a non andare troppo oltre: l'apprendimento ottimale avviene quando ci troviamo alla giusta congiunzione tra sfida e competenza, dove non siamo appesantiti dall'ansia da una parte o dalla noia dall'altra". E quindi ripenso alle attività di formazione in cui ho fornito troppe tracce teoriche o troppi elementi lontani dalle competenze dei partecipanti.

sabato 24 ottobre 2020

Pubblicato il Regolamento in materia di perimetro di sicurezza nazionale cibernetica

E' stato pubblicato il DPCM 131 del 2020, "Regolamento in materia di perimetro di sicurezza nazionale cibernetica", come previsto dal DL 105 del 2019. Si trova (grazie a Glauco Rampogna degli Idraulici della privacy) sulla Gazzetta Ufficiale:

- https://www.gazzettaufficiale.it/eli/id/2020/10/21/20G00150/sg.

Come per il Regolamento NIS, richiede che alcuni ministeri (e la Presidenza del Consiglio dei ministri) individuino i "soggetti inclusi nel perimetro" e che poi questi rispettino misure di sicurezza, già previste dal DL 105 del 2019 (non mi risulta siano già state pubblicate).

Non c'è molto di più in questo DPCM. Mi lascia molto perplesso l'obbligo, per i soggetti inclusi nel perimetro, di trasmettere "l'architettura e la componentistica relative ai beni ICT" alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico. Infatti o queste informazioni sono critiche, e pertanto non è bene che siano diffuse, oppure un po' inutili, e pertanto si sta chiedendo un inutile e costoso lavoro burocatico ai soggetti (che dovrebbero spendere soldi ed energie in altri adempimenti).

Sull'uso improprio del termine "cibernetica": sbagliare è umano, mentre la perserveranza continua a lasciarmi sbigottito.

giovedì 22 ottobre 2020

ENISA Threat Landscape 2020

Franco Vincenzo Ferrari di DNV GL mi ha segnalato la pubblicazione dell'ENISA Threat Landscape 2020:
- https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends?tab=publications.

Come rendere complicate le cose: bisogna iniziare a leggere "The year in review", che fornisce una guida per orientarsi tra le altre 21 pubblicazioni. La pagina delle pubblicazioni, ovviamente, non le elenca in un ordine logico, ma casuale (per esempio il "The year in review" è presentato come penultimo documento e non come primo). Non è disponibile un unico file con tutti i documenti in ordine.

A questo punto ci metterò troppo tempo a consultarlo e non so se proseguirò nella lettura. Gli altri anni avevo apprezzato il lavoro fatto e quasi sicuramente lo farei anche quest'anno, ma non sopporto questa inutile prolissità e complicazione.

Azure Defender for IoT

Microsoft ha pubblicato una versione per "public review" del suo nuovo prodotto agentless per la sicurezza delle reti IoT e OT:
- https://techcommunity.microsoft.com/t5/microsoft-security-and/azure-defender-for-iot-is-now-in-public-preview/ba-p/1784329.

Non faccio pubblicità a prodotti o aziende, però questo prodotto mi sembra molto interessante. Forse ne esistono di analoghi, ma finora non ne avevo incontrati. Come minimo, vanno capite le funzionalità offerte.

martedì 20 ottobre 2020

Provvedimento verso l'Azienda Ospedaliera Cardarelli - Altre considerazioni

Avevo scritto sul Provvedimento verso l'AO Cardarelli:
- http://blog.cesaregallotti.it/2020/10/provvedimento-del-garante-verso.html.

Con Pierfrancesco Maistrello abbiamo ragionato ulteriormente su alcuni particolari.

Il primo riguarda la multa comminata al fornitore (ossia "responsabile", che però aveva insistito, scorrettamente, per essere identificato come titolare) di 60 mila Euro. Questa multa è più del triplo della cifra (17.135 Euro netti) con cui si era aggiudicato la gara, come ha trovato Pierfrancesco Maistrello sul portale della trasparenza dell'AO.

Quindi, sempre Pierfrancesco Maistrello, suggerisce la frase a effetto: "Se pensate di aver fatto un affare, ricordatevi che non considerare i rischi privacy vi può costare anche 3 volte quello che avete fatturato".

Inoltre conveniamo sul fatto che il ruolo di responsabile è generalmente più conveniente di un'autoinflitta titolarità.

In caso di mancata nomina (ossia di clausole contrattuali tra titolare e responsabile come da Art. 28 del GDPR), che fare? Dopo aver valutato se sia opportuno effettuare lo stesso il trattamento, è comunque opportuno ragionare operativamente "come se" si stesse operando da titolare, quindi ovviando alle mancanze del committente, soprattutto in tema di misure di sicurezza, oltre a segnalare l'anomalia al titolare vero e proprio.

Da parte mia noto che il rischio è solo citato, mentre la valutazione dell'adeguatezza delle misure segue più il principio per cui una violazione dimostra che le misure non sono adeguate. Non sembra che il Garante abbia chiesto una valutazione del rischio né che le aziende coinvolte l'abbiano presentata.

Pierfrancesco pensa che "la valutazione del rischio è un adempimento raro e la fanno solo i più virtuosi". Però, se non viene mai citata dai provvedimenti sanzionatori, almeno per segnalarne la mancanza, l'approccio basato sulla valutazione del rischio sarà ritenuto inutile. Nel Provvedimento verso Unicredit del dicembre 2018 (https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9076378) e in altri se ne fa un accenno, ma molto difficile da cogliere.

Ho guardato i recenti casi di violazione sul sito dell'EDPB e risulta solo un caso in cui l'autorità norvegese rileva che la valutazione del rischio non era stata ancora completata. Negli altri casi che ho guardato (due finlandesi e una danese), non è citata. Per contro, nel celebre caso della multa a British Airways (https://ico.org.uk/action-weve-taken/enforcement/british-airways/), mi sembra sia citata la valutazione del rischio (punto 6.22, parzialmente censurato) e quindi è chiaro che in questo caso l'approccio è considerato.

Purtroppo, infine, non sembra che vengano pubblicati i provvedimenti relativi ai data breach e senza sanzioni. Sarebbero interessanti da consultare per conoscere i casi positivi e poterli prendere come esempio.

giovedì 15 ottobre 2020

NISTIR 8286 sull'integrazione tra Cybersecurity Enterprise Risk Management

Il NIST ha pubblicato il documento NISTIR 8286 "Integrating Cybersecurity and Enterprise Risk Management (ERM)":
- https://csrc.nist.gov/publications/detail/nistir/8286/final.

Stavo per classificarlo come "troppo verboso e senza elementi nuovi (incluso un calcolo del rischio "quantitativo" che quantitativo non è)".

Ma arrivato a pagina 55, ecco un esempio di "Notional Enterprise Risk Register": una tabella in cui sono elencati i rischi identificati, senza che siano esaustivi e con un calcolo semplicissimo per il livello di rischio ("Exposure rating").

Questo esempio ci mostra come una valutazione del rischio possa essere molto semplice, senza dover necessariamente usare software o calcoli complessi. Ovviamente ritengo scorretto l'approccio "non esaustivo" per l'identificazione dei rischi, ma penso sia utile considerare questo esempio.

sabato 10 ottobre 2020

Uso improprio di Excel e perdita di dati

Pietro Calorio degli Idraulici della privacy ha condiviso questa notizia:
- https://www.theguardian.com/politics/2020/oct/05/how-excel-may-have-caused-loss-of-16000-covid-tests-in-england.

Riassunto: la sanità inglese consolidava i dati dei test COVID-19 su un foglio Excel. Però Excel può trattare un massimo di un milione circa di righe (65mila nelle vecchie versioni). Il risultato è che molte righe sono state perse dal foglio usato.

Un bell'esempio di perdita di integrità.

giovedì 8 ottobre 2020

Aggiornamento dei controlli NIST per la sicurezza IT nel manifatturiero

Il NIST ha aggiornato il proprio "Cybersecurity Framework Manufacturing" ed è alla versione 1.1:
- https://csrc.nist.gov/publications/detail/nistir/8183/rev-1/final.

Avrei preferito qualche approfondimento in più sulle specificità del settore manifatturiero (il cosiddetto OT) rispetto all'informatica cosiddetta d'ufficio, ma già questa pubblicazione è molto utile.

lunedì 5 ottobre 2020

Guide to Business Continuity & Resilience di Protiviti

Protiviti ha pubblicato una "Guide to Business Continuity & Resilience":
- https://www.protiviti.com/US-en/business-continuity-faq.

Non mi ha pienamente soddisfatto perché non è abbastanza pragmatica (con esempi e modelli) per essere uno strumento veramente utile e spazia troppo tra argomenti di base e considerazioni avanzate per essere utile a chi la materia la conosce già. La struttura a domande e risposte rende poi il tutto poco chiaro.

Però ci sono alcune cose interessanti, in particolare per i settori considerati (servizi finanziari, sanità, informatica, commercio al dettaglio, energia, manifattura e pubblica amministrazione).

venerdì 2 ottobre 2020

NIST Security and Privacy Controls - Un commento

Avevo segnalato poco tempo fa la pubblicazione dell'aggiornamento della SP 800-53 "Security and Privacy Controls for Information Systems and Organizations":
- http://blog.cesaregallotti.it/2020/09/nist-security-and-privacy-controls.html.

Giulio Boero l'ha letta più approfonditamente di quanto abbia fatto io e mi dice che forse l'aggiornamento di maggior rilievo rispetto alla precedente edizione è l'aggiunta di alcuni controlli volti a contrastare le nuove minacce, come p.e. quelli per la resilienza, la progettazione sicura dei sistemi, il governo della sicurezza e della privacy e della responsabilizzazione.

Giulio scrive: << Non mi piace (lo dichiaro apertamente a costo di attirarmi critiche accese) l'approccio alla protezione dei dati personali. Non è aggiungendo la parola "privacy" al titolo del documento, né tantomeno inserendo il termine "privacy" in ogni descrizione di controllo (anche in modo abbastanza opinabile) che si tratta di data protection. Confido nella sibillina frase del NIST, in coda ai punti "to do": "Control mappings to the Cybersecurity Framework and Privacy Framework (available soon)">>.

Provvedimento del Garante verso l'Azienda Ospedaliera Cardarelli di Napoli

Segnalo due provvedimenti del Garante tra loro correlati. Uno verso l'Azienda Ospedaliera Cardarelli di Napoli:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9461168.

L'altro verso il fornitore della stessa AO:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9461321.

Per un riassunto, si può vedere l'articolo nella newsletter del Garante del 30 settembre 2020:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9461344.

Questa sentenze mi interessano perché sono sanzionati:
1- l'uso di informativa "troppo breve";
2- l'uso scorretto della base giuridica del consenso (in questo caso, direi, il consenso è stato usato per il principio "non si sa mai", ma questo non è lecito);
3- l'attribuzione al fornitore di ruolo di titolare, mentre invece è responsabile (purtroppo molti fornitori di servizi si impongono come titolari dei trattamenti, nonostante siano da considerare come responsabili);
4- l'assenza nella documentazione contrattuale delle clausole richieste dall'art. 28 del GDPR (pratica molto diffusa quando la "nomina a responsabile" è vista come cosa a parte rispetto al contratto, a mio parere anche per colpa dei consulenti privacy che troppo spesso cercano di affermarsi come "speciali" e scollegati dal resto delle attività dell'organizzazione);
5- la conseguente assenza di istruzioni dal titolare al responsabile per assicurare la sicurezza dei dati.

Notare infine che al titolare è stato ordinato di pagare una multa di 80 mila euro, mentre al responsabile, anche perché ha agito in modo non previsto dal GDPR, una multa di 60mila euro. Questo dovrebbe ricordare che imporsi come titolare non è sempre la scelta più opportuna.

Guida NSA per i prodotti di autenticazione a più fattori

NSA ha pubblicato una guida dal titolo "Selecting Secure Multi-factor Authentication Solutions":
- https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/2356020/nsa-releases-cybersecurity-guidance-selecting-and-safely-using-multifactor-auth/.

E' sicuramente molto tecnica e le analisi non si concludono con un giudizio sintetico. Per questo va letta con molta attenzione.

Ricordo che il ricorso a strumenti di MFA è sempre più necessario, soprattutto (ma non solo!) per chi ha ampi privilegi sui sistemi e può accedervi da remoto. Purtroppo queste tecnologie sono ancora sottovalutate da molti.

giovedì 1 ottobre 2020

Sentenza sul controllo genitori su cellulari e pc degli adolescenti

Si è diffusa in questi giorni la notizia della sentenza del Tribunale di Parma che dispone che spetta a entrambi i genitori monitorare con costanza smartphone e pc dei figli minorenni anche attraverso filtri di controllo. Ringrazio Luca de Grazia per avermi segnalato la notizia.

Un articolo di giornale:
- https://www.ilsole24ore.com/art/i-genitori-devono-controllare-smartphone-e-pc-figli-adolescenti-ADvHxLn.

Un articolo di stampo più legale:
- https://www.studiocataldi.it/articoli/39789-i-genitori-devono-controllare-pc-e-smartphone-dei-figli-adolescenti.asp.

Non penso che il monitoraggio costante sia una buona strategia educativa, né penso che sia compito di un tribunale imporre strategie educative. E comunque tutto ciò non rientra tra le mie competenze professionali (anche se fare il genitore è comunque una professione).

Mi sembra però una sentenza molto discutibile perché impone misure di monitoraggio (meno efficaci di quelle di prevenzione) e una forma di educazione volta ad abituare i giovani alla vigilanza continua. Roba tipica dei nostri tempi e che continuo a non condividere.

mercoledì 30 settembre 2020

Linee guida EDPB su titolare e responsabile - Un commento

Avevo segnalato la pubblicazione delle linee guida EDPB su titolare e responsabile (http://blog.cesaregallotti.it/2020/09/linee-guida-edpb-su-titolare-e.html). Segnalo questo articolo più analitico:
- https://www.key4biz.it/titolari-contitolari-responsabili-cosa-indicano-le-nuove-linee-guida-edpb/322063/.

Libro sulla ISO 9001:2015

Un mio cliente (Cinzia Alberici di OCS Alberici) mi ha segnalato un buon libro per capire come funziona la ISO 9001:2015. Mi piace segnalarlo anche se dopo quasi 5 anni dalla pubblicazione. Il libro si intitola "UNI EN ISO 9001:2015: Linea guida operativa":
- https://www.edizionidelfaro.it/libro/uni-en-iso-90012015.

Si tratta di un libro molto pragmatico e utile. Forse la parte di pianificazione (in particolare la gestione del rischio relativo all'efficacia del sistema di gestione) è troppo poco approfondita, ma sicuramente questo è un ottimo libro per chi vuole iniziare a conoscere la ISO 9001, essenziale anche a chi si occupa di sicurezza delle informazioni e privacy (molti principi della qualità vanno applicati anche in questi ambiti).

domenica 27 settembre 2020

Consenso e legittimo interesse

Ultimamente sto notando, insieme agli Idraulici della privacy, molti siti web che chiedono il consenso per gli interessi legittimi del titolare (in realtà questo viene proposto come possibile "opposizione al legittimo interesse").

Questi siti elencano delle finalità per cui è richiesto il "normale" consenso e poi delle finalità per cui è dichiarato l'interesse legittimo e per le quali è richiesto all'interessato di esprimere la propria volontà di opporsi (il tipico "opt-out" al legittimo interesse).

Ricordo che consenso e interesse legittimo sono due delle basi legali per cui un titolare può trattare i dati. Se la base legale per una certa finalità è l'interesse legittimo allora, ovviamente, non deve essere richiesto il consenso. Su questo, in effetti, il GDPR presenta due meccanismi tra loro potenzialmente in conflitto.

Esempi che ho recentemente verificato sono https://www.corriere.it/ (Italia), https://www.theguardian.com/international (UK) e https://www.computerweekly.com (USA).

Almeno in alcuni casi, concordo con Pietro Calorio degli Idraulici della privacy secondo cui questa è una pratica per nascondere alcune richieste di consenso e per rendere più difficile il rifiuto, visto che, per questi consensi al legittimo interesse, non viene mostrato il pulsante "rifiuta tutto", come invece succede per i consensi "normali". Queste piattaforme che permettono questo giochino non possono considerarsi privacy by design perché non consentono un trattamento corretto.

 Ringrazio ulteriormente Pietro per avermi segnalato un mio grande errore di interpretazione del GDPR (spero di aver corretto per bene).

Ospedale attaccato da ransomware e morte di una donna

La notizia è circolata in questi giorni. Sandro Sanna me l'ha segnalata per primo con questo articolo:
- https://www.repubblica.it/tecnologia/sicurezza/2020/09/18/news/germania_donna_muore_durante_attacco_ransomware_all_ospedale-267735262/.

E' sicuramente difficile immaginare, progettare e realizzare, per infrastrutture di questo tipo, un piano di continuità operativa che permetta di proseguire le attività critiche anche in assenza di sistemi informatici e di attacchi ransomware. Però non viene neanche citato e questo mi lascia molto perplesso.

Questo articolo, in inglese, mi sembra decisamente più approfondito del precedente:
- https://www.scmagazine.com/home/security-news/ransomware/lessons-from-the-ransomware-death-cyber-emergency-preparedness-critical/.

giovedì 24 settembre 2020

NIST Security and Privacy Controls

Il NIST ha pubblicato l'aggiornamento della SP 800-53 "Security and Privacy Controls for Information Systems and Organizations":
- https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final.

Si tratta di una lettura impegnativa, visto che i controlli sono descritti da pagina 35 a pagina 393. Va detto che sono presenti certe astrazioni, ma, rispetto ad altri, anche molte indicazioni pragmatiche.

sabato 19 settembre 2020

Privacy accountability framework dell'ICO

Antonio Salis (ringrazio) mi ha segnalato l'Accountability framework dell'ICO (il Garante inglese):
- https://ico.org.uk/for-organisations/accountability-framework/introduction-to-the-accountability-framework/.

Devo dire che ad un approccio superficiale non è chiarissimo come usarlo, ma ecco qui:
- ci sono alcune pagine web (menu a sinistra) con spiegati gli aspetti da considerare, ognuno con dei "modi per soddisfare le aspettative" e delle domande a cui si dovrebbe rispondere "sì";
- in un'altra pagina (https://ico.org.uk/for-organisations/accountability-framework-self-assessment/) è possibile scaricare un Excel (Accountability tracker) in cui rispondere ai "modi per soddisfare le aspettative".

A me lascia perplesso: troppe domande che si concretizzano, in realtà, su poche cose e, sui punti meno ovvi, non presentano esempi o spiegazioni per i non addetti. Insomma, mi sembra un altro ennesimo modo di ripresentare il GDPR, senza però reale utilità. Non vorrei essere io troppo schizzinoso.

giovedì 17 settembre 2020

Nuove linee guida AgID sulla gestione dei documenti informatici

A inizio settembre AgID ha pubblicato una nuova edizione delle "Linee Guida sulla formazione, gestione e conservazione dei documenti informatici":
- https://trasparenza.agid.gov.it/archivio19_regolamenti_0_5385.html.

Ho cercato di capire la questione con Franco Vincenzo Ferrari di DNV GL. Grazie a lui, vi segnalo questo articolo che secondo me è il più chiaro e completo in merito ai cambiamenti intervenuti sulla materia, di interesse per il pubblico e per il privato:
https://www.agendadigitale.eu/documenti/conservazione-dei-documenti-ecco-tutte-le-regole-nelle-linee-guida-agid/.

Stato delle norme ISO/IEC 270xx - Settembre 2020

Si è appena concluso il 63mo meeting dell'ISO/IEC JTC 1 SC 27. Doveva essere a Varsavia, ma si è invece tenuto tutto in ambiente virtuale.

La delegazione italiana era composta da 7 persone, tra cui: Fabio Guasconi (Presidente, che ringrazio per avermi segnalato qualche errore in questo mio commento), Alessandro Cosenza e me stesso.

Ricordo che gli stati delle norme sono: WD - CD - DIS - FDIS - IS (pubblicazione).

Per quanto riguarda le norme del WG 1, non ci sono grosse novità. Mi limito, come al solito, ad indicare lo stato di avanzamento di alcune norme
- ISO/IEC 27002 (controlli di sicurezza): sono proseguiti i lavori e la norma è rimasta in stato CD e si spera di pubblicarla a ottobre 2021;
- ISO/IEC 27005 (sul risk management): sono proseguiti i lavori e la norma è rimasta in stato di CD; ancora una volta è oggetto di molte discussioni, e si spera di pubblicarla entro dicembre 2022 (due finale!);
- ISO/IEC 27013 (relazioni tra ISO/IEC 20000-1 e ISO/IEC 27001): sono proseguiti i lavori, passa in stato DIS e si spera di pubblicare entro dicembre 2021.

A breve verranno pubblicate le norme ISO/IC 27101 (sullo sviluppo di framework di cybersecurity) e 27022 (sui processi di sicurezza delle informazioni), ma non ne ho seguito i lavori.

La norma con i requisiti di accreditamento degli organismi di certificazione per svolgere gli audit ISO/IEC 27701 era denominata ISO/IEC 27558 e sarà sicuramente rinominata ISO/IEC 27006-2. Sarà pubblicata entro fine anno.

La ISO/IEC 27006-2 sarà una Technical specification. I lavori sono stati fatti molto in fretta al fine di regolamentare quanto prima un mercato potenzialmente molto vasto. Ci sono alcune cose che ho apprezzato, altre meno e altre ancora che saranno migliorate nelle future edizioni, ma per intanto abbiamo una buona norma per avviare le certificazioni ISO/IEC 27701 accreditate.

L'attuale ISO/IEC 27006 sarà numerata ISO/IEC 27006-1 e partiranno i lavori di revisione.

Per quanto riguarda le norme del WG 5 (privacy), segnalo:
- per la ISO/IEC 29134 (sulla PIA) è stato proposto un amendement, ma solo per questioni puramente formali (a mio parere scorrettamente, in quanto non è possibile fare più di 2 Amendement e già altre volte sono stati riscontrati errori sostanziali per cui non era più possibile produrre correzioni);
- ho partecipato, anche se troppo poco, alle interessantissime discussioni sulla norma ISO/IEC 27557 (che uscirà non prima di fine 2022) incentrata sul "rischio privacy organizzativo", distinguendo così tra valutazioni del rischio privacy per l'organizzazione e per gli interessati.

Per il WG 4, che si occupa di norme più tecniche, ho smesso di interessarmi a quelle sull'IoT perché non c'è un vero senso di direzione e i documenti finora prodotti sono troppo teorici. Da questo punto di vista, preferisco seguire, seppur da lontano, i lavori di ENISA.

Il prossimo meeting sarà ad aprile a Sanpietroburgo o nel cyberspazio, a seconda di come andrà l'emergenza COVID.

lunedì 14 settembre 2020

Pubblicato "Un piccolo libro sulla privacy, il GDPR e come attuarlo"

Si intitola proprio così: "Un piccolo libro sulla privacy, il GDPR e come attuarlo".

Lo trovate in formato digitale (consiglio il sito della piattaforma di auto-pubblicazione che abbiamo usato):
- https://store.streetlib.com/it/idraulici-della-privacy/un-piccolo-libro-sulla-privacy-il-gdpr-e-come-attuarlo.

In formato cartaceo (su un'altra piattaforma di auto-pubblicazione che abbiamo usato):
- https://www.lulu.com/it/shop/idraulici-della-privacy-/un-piccolo-libro-sulla-privacy-il-gdpr-e-come-attuarlo/paperback/product-m5gq84.html.

Qualcuno vuole leggere la quarta di copertina? Eccola: "Un libro breve e di taglio pratico (poca teoria, molti esempi) su come applicare il GDPR.

Gli Idraulici della privacy sono un gruppo selezionato di consulenti e  manager in ambito della protezione dei dati personali che quotidianamente si  sporcano le mani per affrontare, se serve anche con spirito da artigiani, le necessità dei propri clienti o colleghi. I membri del gruppo condividono le criticità che incontrano, propongono interpretazioni normative, si scambiano e raccontano esperienze ed elaborano chiavi di lettura sulle più varie e diverse tematiche privacy. Questo confronto costante permette al singolo professionista di arricchire le proprie conoscenze, gli strumenti e le soluzioni a sua disposizione per risolvere anche le situazioni più spinose.

Il ricavato di questo libro, completato nella prima metà del 2020 durante l'emergenza COVID-19, sarà devoluto in beneficenza".

I membri del gruppo (potete poi chiamarci per nome, come per i Beatles): Cesare Gallotti (curatore), Glauco Rampogna (revisore e curatore dell'epub), Stefania Algerio, Elia Barbujani, Fulvia Emegian, Pierfrancesco Maistrello, Ferruccio Militello, Nicola Nuti, Monica Perego, Manuel A. Salvi.

Pubblicata la IEC 62443-3-2 per la valutazione del rischio per i sistemi IACS (OT)

E' stata pubblicata a giugno 2020 la norma "Security for industrial automation and control systems - Part 3-2: Security risk assessment for system design":
- https://webstore.iec.ch/publication/30727.

Essa presenta i requisiti per una valutazione del rischio tecnica dei sistemi informatici industriali (normalmente indicati come OT, ma indicati dalla norma IACS).

Ricordo che la 62443 è divisa in più parti: la prima per i concetti generali, la seconda per i sistemi di gestione, la terza per i sistemi OT e la quarta per le singole componenti.

Trovo interessante l'approccio di questa 62443-3-2 perché richiede di suddividere opportunamente il sistema in sottosistemi, in modo da assicurarne coerenza.

Alcune zone da tenere separate sono: sistemi di business, IACS, sistemi di sicurezza fisica delle persone (safety), dispositivi connessi temporaneamente, i dispositivi wireless, i dispositivi connessi da reti esterne.

Decreto semplificazioni - aggiornamento

Avevo scritto del DL Semplificazioni:
- http://blog.cesaregallotti.it/2020/09/decreto-semplificazioni.html.

Il 10 settembre è stata approvata la conversione in Legge. Bisognerà quindi vedere se e come saranno confermate le misure che avevo segnalato.

Ulteriori riflessioni, quando sarà disponibile su Normattiva (www.normattiva.it) il testo definitivo o quando ci saranno articoli interessanti.

domenica 13 settembre 2020

Linee guida EDPB su titolare e responsabile

L'EDPB ha adottato il 2 settembre le "Guidelines 07/2020 on the concepts of controller and processor in the GDPR":
https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_en.

Sono decisamente importanti e dovrebbero essere sotto mano ogni volta.

Ancora oggi trovo organizzazioni per cui i responsabili sono quelli interni, mentre queste linee guida, per esempio, dicono che il responsabile è un'entità distinta rispetto al titolare.

Al momento in cui scrivo non mi risulta che sia stata ancora preparata una traduzione in italiano.

Il 18 luglio avevo segnalato le linee guida del novembre 2019 sul medesimo argomento dell'EDPS, ma ritengo che queste siano più significative, almeno perché successive.

sabato 12 settembre 2020

Decreto semplificazioni

Il 17 luglio è entrato in vigore il DL 76/2020, detto "DL Semplificazione". Ci sono molte novità in materia di informatica e per queste segnalo l'articolo dal titolo "DL semplificazione 2020 cambia la PA digitale: ecco come":
- https://www.agendadigitale.eu/cittadinanza-digitale/dl-semplificazione-2020-come-cambia-la-pa-digitale/.

Sempre su Agenda Digitale ci sono altri articoli di Manca su questa materia e ne raccomando la lettura a chi ne è interessato.

La cosa più significativa, per me, riguarda i conservatori di documenti (conservazione a lungo termine di documenti digitali). Per questo ho chiesto aiuto a Franco Vincenzo Ferrari di DNV GL che mi ha raccomandato questo articolo dal titolo "DL Semplificazioni e conservazione dei documenti informatici delle PA: cosa cambia":
- https://www.agendadigitale.eu/cittadinanza-digitale/dl-semplificazione-2020-come-cambia-la-pa-digitale/.

In materia di conservazione, mi pare che si possa riassumere la situazione attuale con questo capoverso: "La sostanza delle modifiche necessarie si avrà solo dopo due provvedimenti attuativi in capo ad AgID".

Per intanto io aspetterei di vedere come avverrà la conversione in Legge, visto che spesso questo passaggio porta modifiche significative. Se non erro, questo dovrà avvenire entro metà ottobre.

Analisi Microsoft sul lavoro da remoto

Segnalo questo interessante post di Nicola Vanin su LinkedIn, dove riassume i risultati di un'analisi interna di Microsoft presso il proprio personale in merito al lavoro da remoto (il cosiddetto "smart working"):
- https://www.linkedin.com/posts/nicola-vanin-b03a5451_microsoft-brutale-infinita-activity-6693148405046280192-BNPx.

Aggiungo solo che la ricerca completa di Microsoft si trova qui:
- https://insights.office.com/workplace-analytics/microsoft-analyzed-data-on-its-newly-remote-workforce/.

Chi sta trasmettendo ancora dati personali negli USA?

Segnalo un interessantissimo post di Nicola Vanin su LinkedIn dal titolo "Chi sta trasmettendo ancora dati personali negli USA?":
- https://www.linkedin.com/posts/nicola-vanin-b03a5451_trasmettendo-personali-usa-activity-6701723919822462976-FCHA.

Aggiungo che in effetti le linee guida di European Data Protection Board non aiutano (ancora) bene a capire. A luglio avevano promesso aggiornamenti e spero arrivino presto.

lunedì 7 settembre 2020

US Clean network program

Sandro Sanna mi ha segnalto alcuni articoli in merito all'US Clean network program.

Il primo è in Italiano e ha titolo "Trump firma il decreto che vieta TikTok e WeChat negli Stati Uniti":
http://amp.ilsole24ore.com/pagina/ADR3pLi.

Il secondo è la pagina sull'iniziativa The Clean Network dell'US Department of State, ovviamente favorevole all'iniziativa:
- https://www.state.gov/the-clean-network/.

Il terzo è molto critico sull'iniziativa e ha titolo "The Hidden, Dirty Secrets Behind the US Clean Network Program" (e mi si scusi, ma mi lascia starnito il fatto che l'autore abbia un nome che suona cinese; non metto in dubbio le sue competenze e la sua integrità, ma tutto suona assurdo):
- https://www.globaltimes.cn/content/1197211.shtml.

Pensavo di non aver nulla da dire in merito, anche perché non so nulla in merito. So solo che la guerra sul 5G non è tanto sulla sicurezza, ma economica (visto che ovviamente l'acquisto di apparati 5G fatti negli USA favorirebbe l'industria statunitense!) e che puntare il dito sui social e sugli IM cinesi non toglie i dubbi sui social e sugli IM statunitensi.

Ed è proprio su queste cose che ho un'idea strana nella testa: perché ci facciamo tante paranoie sulla sicurezza dei servizi cinesi (e anche a quelli italiani) e invece diamo tutti i nostri dati agli statuntensi? Le aziende usano sempre più i servizi pubblici e gratuiti, anche per scambiarsi dati molto critici, senza pensare a quanto questi siano oggetto di analisi da parte di soggetti non identificati. Ecco quindi che penso che dovremmo farci un "programma di pulizia informatica" anche in casa e in azienda. Ma non è per niente facile e forse, oggi, impossibile.

Foto del registro accessi (violazioni)

Mi dicono che un'associazione ha denunciato una violazione di dati personali (data breach) al Garante perché un socio ha fotografato il registro degli accessi.

Mi sembra che la decisione di inoltrare la notifica al Garante sia un po' eccessiva, ma sappiamo bene che la paura (ingiustificata, a mio parere, in questo caso) di sanzioni porta a questo e altro.

Però... io in questo vedo alcune piccole lezioni di sicurezza delle informazioni:
- suppongo che il registro fosse cartaceo e quindi questo ci ricorda che la sicurezza delle informazioni e la privacy non riguardano solo i dati digitali e quindi la cybersecurity, ma anche altri dati;
- in molte organizzazioni i registri degli accessi sono usati male, lasciati in mano alle persone che entrano e senza alcun controllo di quanto scrivono e delle successive uscite; in questi casi sarebbe opportuno riflettere sulla loro reale utilità;
- bisognerebbe riflettere sui tempi di conservazione anche per dati di questo tipo.

Requisiti per l'accreditamento degli OdC per le certificazioni GDPR

Il 29 luglio 2020, il Garante per la privacy ha approvato la delibera con titolo "Requisiti aggiuntivi di accreditamento degli organismi di certificazione":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9445086.

Li ho letti molto superficialmente perché si tratta dei requisiti per gli organismi di certificazione e non per organizzazioni che intendono ottenere un "bollino GDPR". Certamente è utile e interessante sapere che si stanno facendo passi avanti verso l'attivazione di un meccanismo di certificazione, ma questa deve ancora avvenire.

Infatti mancano i "criteri approvati dal Garante o dal Comitato europeo per la protezione dei dati (di seguito "Comitato") in conformità dell'articolo 43, paragrafo 2, lettera b) e dell'articolo 42, paragrafo 5 del Regolamento", ossia i requisiti che devono rispettare i servizi (o i processi o i prodotti) da certificare.

Sottolineo che, con il testo sopra riportato, la Delibera ribadisce il fatto che i criteri devono essere approvati dal Garante o dall'EDPB, non da altre entità (p.e. Accredia, che su questo argomento ha già fatto un passo falso qualche tempo fa).

Quindi: a meno che non lavoriate per un organismo di certificazione, è inutile che vi agitiate. Ovviamente è utile tenere monitorata la situazione.

Ringrazio Monica Perego che, incurante della prossimità a Ferragosto, ha dato la notizia agli Idraulici della privacy il 13 agosto e a Franco Ferrari di DNV GL che invece me l'ha comunicata il 4 settembre.

mercoledì 26 agosto 2020

Valutazione del rischio dei fornitori: strumento del NIST

Il NIST ha recentemente pubblicato il documento NISTIR 8272 "Impact Analysis Tool for Interdependent Cyber Supply Chain Risks":
- https://csrc.nist.gov/publications/detail/nistir/8272/final.

Il documento è accompagnato da un applicativo per Windows, Mac OS e Linux.

Non sono riuscito ad approfondire molto l'approccio perché dovrei soprattutto avere modo di usare lo strumento. Ad una prima lettura mi sembra valido, anche se ho sempre molte riserve quando si tratta di "tool per la valutazione del rischio".

Penso però che possa essere significativo per realtà di grandi dimensioni, coinvolte in numerosi progetti IT o con molti prodotti IT da acquistare e dove l'investimento nell'analisi permette di allocare correttamente le risorse per controllare il rischio; per realtà di piccole o medie dimensioni, dove analisi complesse non forniscono informazioni significative, è sicuramente consigliabile un approccio molto più snello, visto che è più semplice vedere dove il rischio è più elevato e quindi dove investire più risorse per controllarlo.

sabato 25 luglio 2020

Invalidato il Privacy Shield - Parte 3 - Le FAQ dell'EDPB

L'EDPB (ossia l'organismo di cooperazione dei garanti privacy europei) ha pubblicato le FAQ sulla sentenza Schrems II, che pone molti limiti sui trasferimenti di dati personali negli USA:
- https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en.

Grazie a Chiara Ponti degli Idraulici della privacy per aver condiviso il link.

Sicuramente i trasferimenti sotto Privacy shield non sono più validi. Anzi, sono illegali sin dal 16 luglio 2020.

Come ho già scritto, potrebbero essere usate le SCC (Standard contractual clauses o, in italiano, Clausole contrattuali tipo), ma anche quelle hanno dei problemi perché se la legislazione del Paese importatore non offre le garanzie legali presenti in Europa, un contratto tra privati non può migliorare la situazione. Stessa questione per le BCR (Binding corporate rules o, in italiano, norme vincolanti d'impresa).

Mi sembra che i capoversi fondamentali del documento dell'EDPB siano: "The EDPB is currently analysing the Court's judgment to determine the kind of supplementary measures that could be provided in addition to SCCs or BCRs, whether legal, technical or organisational measures, to transfer data to third countries where SCCs or BCRs will not provide the sufficient level of guarantees on their own. The EDPB is looking further into what these supplementary measures could consist of and will provide more guidance".

Traduco: se non sanno loro cosa fare per assicurare la validità delle SCC e BCR anche in Paesi con legislazione che non assicura un adeguato livello di protezione ai dati personali, io aspetto che lo sappiano e ce lo dicano.

Infine non mi pare dica niente sulle società di servizi informatici statunitensi che però assicurano l'uso di data center in Europa. E' sufficiente questa garanzia sull'uso di data center in Europa o no? Bisogna infatti dire che molti contratti con questi grandi fornitori di servizi IT non assicurano il completo rispetto della locazione geografica, come indicato dall'analisi di EDPS sui servizi Microsoft (che avevo già segnalato a suo tempo):
- https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html.

giovedì 23 luglio 2020

Un piccolo libro sulla privacy, il GDPR e come attuarlo

Speravo di pubblicare un libro sulla privacy prima della fine di luglio in modo da fornire una lettura per il mare ai più temerari. Purtroppo non ce l'ho fatta.

Il libro non è mio, ma degli Idraulici della privacy, di cui faccio parte. E' partito da una mia idea e io ho l'onere di pubblicarlo materialmente (lo farò su Streetlib, come il mio "Sicurezza delle informazioni"), ma è un prodotto collettivo.

Quindi questo messaggio è una forma di provino, come si chiamavano un tempo.

Il librino non produrrà niente di troppo originale, ma vuole essere decisamente pratico e indicare una strada per applicare il GDPR almeno nei casi più comuni. Io mi sono divertito molto a partecipare perché ho avuto modo di imparare cose che avevo trascurato o, in alcuni casi, capito male.

Infine, e questa è la cosa più importante, il ricavato andrà tutto in beneficenza. Il libro è nato durante la clausura e questa esperienza ci ha fatto capire che, se possiamo, dobbiamo aiutare chi ne ha bisogno. Non abbiamo ancora deciso a chi, ma lo decideremo tutti insieme.

Quindi: spero di potervi invitare ad acquistare il libro, disponibile in tutti i negozi online, in formato epub e pdf (e forse cartaceo) dai primi di agosto.

Invalidato il Privacy Shield - Parte 2

Sulla caduta del Privacy Shield avevo già scritto poco tempo fa.

Pierfrancesco Maistrello mi ha segnalato il sito di Schrems, ossia quello che ha provocato la caduta:
- https://noyb.eu/en/next-steps-eu-companies-faqs.

Qui si pongono molti problemi. Insomma, mentre alcuni dicono che è sufficiente usare le SCC o verificare se il fornitore assicura l'uso di server in Europa, perché, essendo società statunitensi, rientrano nel FISA 702 che è una della cause per cui il Privacy Shield è caduto.

Aggiungo che anche i servizi applicativi sono colpiti da questa sentenza: Salesforce, Hubspot, MailChimps, tutte le email su Google, Sharepoint e OneDrive, WeTransfer e così via. E penso che anche i servizi di Zoom, GoToMeeting e compagnia che ci hanno tenuto compagnia durante la clausura
siano colpiti.

Potrei sempre sbagliarmi.

Su Web Ius Law c'è un podcast con Alessandro Del Ninno:
- https://webradioiuslaw.it/speciale-adeguamento-privacy-tutto-quello-che-volevi-sapere-sulle-clausole-contrattuali-standard/.

Luca Bolognini e Giovanni Ziccardi hanno fatto un podcast di 90 minuti (grazie sempre a Pierfrancesco Maistrello per il link):
- https://zerodays.podbean.com/e/luca-bolognini-spiega-da-zero-il-caso-schrems-ii-e-il-trasferimento-dei-dati-allestero-nel-gdpr/.

Venerdì 24 alle 14 ci sarà un ulteriore podcast sempre con Luca Bolognini e Giovanni Ziccardi (non so come sarà accessibile dopo quella data):
- https://www.istitutoitalianoprivacy.it/2020/07/22/open-webinar-sugli-impatti-della-sentenza-della-corte-di-giustizia-ue-schrems-ii/.

Io purtroppo sono più un lettore che un ascoltatore e quindi non ho approfondito a sufficienza la questione. Spero che:
1- il Garante si esprima in merito per aiutare a capire e agire;
2- qualcuno scriva articoli significativi sulla questione (per il momento non ne ho visti, ma se qualcuno me li segnala gliene sarò grato).

mercoledì 22 luglio 2020

Privacy: organismi di monitoraggio dei codici di condotta

Sandro Sanna mi ha segnalato il fatto che il Garante ha stabilito i requisiti di accreditamento degli organismi di monitoraggio dei codici di condotta:
- https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9432569.

Sandro nutre il timore che questi codici di condotta potrebbero poi essere utilizzati malamente come certi certificati.

Io penso che il rigore con cui opereranno gli Odm dipenderà da come il Garante li controllerà. Se sono controllati con superficialità dagli OdM, allora questi codici di condotta saranno applicati malamente.

Il mio timore è che le regole non prevedono un controllo molto significativo degli OdM: mi pare soprattutto di tipo documentale e non c'è alcun impegno in merito alle verifiche che il Garante si propone di fare sul campo, solo possibilità generiche nel caso emergano elementi che richiedono dei  controlli. Mi pare anche che manchino regole in merito alla gestione delle  non conformità rilevate dal Garante.

Io sono abituato alle regole degli organismi di certificazione dei sistemi  di gestione, quindi questo approccio mi lascia perplesso. Ma chissà che invece non sia più efficace.

sabato 18 luglio 2020

Linee guida EDPS su titolare, responsabile e contitolare

Ricordavo la pubblicazione di Linee guida su titolare, responsabile e contitolare, ma non riuscivo più a trovarle. Poi ho scoperto il perché: pensavo fossero state pubblicate dall'EDPB o dal precedente WP 29, mentre erano state pubblicate dall'EDPS (ossia, per farla breve, dal DPO delle istituzioni europee).

Il documento ha titolo "EDPS Guidelines on the concepts of controller, processor and joint controllership" e si trova qui (in inglese, francese e tedesco):
- https://edps.europa.eu/data-protection/our-work/publications/guidelines/concepts-controller-processor-and-joint_en.

Inizialmente le avevo ignorate in quanto ovvie. Però poi ci si trova sempre davanti ai "casi particolari" e queste linee guida possono tornare utili.

Ringrazio Glauco Rampogna che le ha (ri)segnalate agli Idraulici della privacy.

Invalidato il Privacy Shield per i trasferimenti dei dati negli USA

Notizia importantissima, è l'invalidamento del Privacy Shield. Per trasferire i dati negli USA (principalmente per usare i grandi fornitori di servizi informatici o di supporto) era ritenuta adeguata l'adesione al Privacy Shield dell'organizzazione ricevente. Nel 2015 era già stato invalidato il protocollo Safe Harbour, predecessore del Privacy Shield.

La sentenza completa della Court of Justice of the European Union del 16 luglio 2020 è qui (grazie a Gianluca Dalla Riva degli Idraulici della privacy):
- https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62018CJ0311.

Il comunicato dell'EDPS conferma l'appoggio alla posizione presa, ma non illumina su cosa fare:
- https://edps.europa.eu/press-publications/press-news/press-releases/2020/edps-statement-following-court-justice-ruling-case_en.

Per capire cosa fare, si possono leggere i comunicati stampa della Corte stessa:
- Italiano: https://curia.europa.eu/jcms/jcms/p1_3117876/en/;
- Inglese: https://curia.europa.eu/jcms/jcms/p1_3117870/en/.

In sostanza: usare le clausole contrattuali tipo.

Ci vorrà del tempo prima che i fornitori di servizi informatici stabiliti negli USA adeguino le proprie condizioni contrattuali alle clausole contrattuali tipo (qualcuno mi aiuterà, spero, a capire perchè abbiano fatto tutto il pasticcio del Privacy Shield piuttosto che usare le clausole contrattuali tipo). Fino a quel momento non si potranno usare servizi siti negli USA.

Chi invece usa servizi gestiti dagli USA ma su server in Europa (ossia, se ha scelto l'opzione dei server in Europa per esempio per i servizi IaaS e PaaS di Google, AWS e Azure) dovrebbe essere già a posto, ma sono pronto a essere smentito.

giovedì 16 luglio 2020

Rapporto EDPS sulle DPIA fatte nelle istituzioni europee

Segnalo questo articolo dal titolo "DPIA, ecco come la fanno le istituzioni europee: le best practice nel rapporto dell'EDPS":
- https://www.cybersecurity360.it/legal/privacy-dati-personali/dpia-ecco-come-si-fa-nei-paesi-europei-le-best-practice-nel-report-delledps/.

Il rapporto completo si trova sul sito dell'EDPS:
- https://edps.europa.eu/data-protection/our-work/publications/reports/edps-survey-data-protection-impact-assessments-under_en.

Trovo interessante il fatto che le DPIA siano lunghe mediamente 16 pagine. Mi sembrano poche e ne sono contento, dato che vedo spesso applicato il principio del "più pagine sono, meglio è".

EDPS ha poi analizzato come è recepito il proprio modello di DPIA. Io l'ho riguardato:
- https://edps.europa.eu/data-protection/our-work/publications/guidelines/accountability-ground-provisional-guidance_en.

Devo dire che questa guida è molto orientata all'analisi del rispetto dei principi del GDPR, più che all'analisi del rischio. Comunque da considerare.

lunedì 13 luglio 2020

Analisi EDPS sui prodotti e servizi Microsoft

L'EDPS (ossia, semplificando, il DPO delle istituzioni della UE) ha pubblicato un rapporto dal titolo "Outcome of own-initiative investigation into EU institutions' use of Microsoft products and services":
- https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html.

In fondo è possibile trovare il link al pdf.

In sostanza l'EDPS ha analizzato i contratti con Microsoft e ha trovato molte carenze per quanto riguarda l'applicazione del GDPR. Le cose più significative, a mio parere, sono:
- possibilità di Microsoft di aggiornare unilateralmente e senza preavviso i termini e le condizioni (addirittura Microsoft agisce come titolare);
- carenza di adeguate calusole sul diritto di audit.

C'è anche altro. Penso che, probabilmente, analisi sugli altri grandi fornitori di informatica (p.e. Amazon o Google) darebbero risultati altrettanto significativi. Rimane quindi da sperare che questo rapporto produrrà significativi miglioramenti in tutti i contratti per prodotti e servizi forniti da questi grandi attori.

Ringrazio Franco Vincenzo Ferrari di DNV GL per avermi segnalato il documento.

martedì 7 luglio 2020

Sugli SLA

Roberto Beneduci di CoreTech mi ha citato in un suo video in cui spiega gli SLA:
- https://www.linkedin.com/comm/feed/update/urn%3Ali%3Aactivity%3A6685576120831623168.

Mi rendo conto che siamo alla pubblicità reciproca (lui cita me, io cito lui; io gli gratto la schiena se lui la gratta a me o, per tirare fuori il latino, do ut des). Però mi piace molto questo approccio di presentazione di servizi e prodotti attraverso la diffusione di conoscenza, segno anche di curiosità personale e di un certo tipo di entusiasmo non comune.

Insomma: è anche pubblicità, ma di quella che a me piace e quindi spudoratamente, per questa volta, mi associo.

domenica 5 luglio 2020

Ancora sulle nuove regole per i servizi fiduciari

Poco tempo fa avevo segnalato un aggiornamento delle regole Accredia sulle certificazioni eIDAS, ossia quelle per i fornitori di servizi fiduciari regolamentati dal Regolamento eIDAS (per esempio di firme digitali e marche temporali).

Sempre a questo proposito segnalo un articolo dal titolo "Firma elettronica, le regole europee e nazionali per la conservazione dei dati", che approfondisce ulteriormente la questione:
- https://www.key4biz.it/firma-elettronica-le-regole-europee-e-nazionali-per-la-conservazione-dei-dati/312300/.

Nuove Direttive per i consumatori in ambito digitale

Segnalo questo articolo dal titolo "New Deal For Consumers, come prepararsi alle nuove regole":
- https://www.key4biz.it/new-deal-for-consumers-come-prepararsi-alle-nuove-regole/311782/.

Imparo quindi che nel 2019 furono pubblicate due Direttive che a loro volta richiederanno, entro luglio 2021, delle modifiche al Codice del comumo (D. Lgs. 205/2006).

Copio e incollo: "Le direttive fanno parte del cosiddetto "New Deal for Consumers", un insieme di prescrizioni finalizzato a modernizzare le regole di protezione dei consumatori in vista e in funzione della vertiginosa espansione dell'evoluzione digitale, che attraversa l'automazione delle attività e dei processi di business, le catene di approvvigionamento e gli stessi prodotti e servizi".

Questo è un articolo molto di base. Spero di avere l'opportunità di trovare ulteriori articoli più approfonditi.

sabato 27 giugno 2020

Guida ENISA sulla pseudoanonimizzazione

Pubblicata la guida ENISA sulla pseudoanonimizzazione, per chi ancora non la conoscesse. Versione in inglese, italiano e francese (grazie a Nicola Nuti degli Idraulici della privacy):
- https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices.

Registro dei Provvedimenti privacy presi in cooperazione tra autorità

Glauco Rampogna degli Idraulici della privacy ha segnalato la pubblicazione del registro contenente le decisioni prese dalle autorità nazionali di vigilanza con la procedura di cooperazione one-stop-shop (articolo 60 del GDPR):
- https://edpb.europa.eu/our-work-tools/consistency-findings/register-for-article-60-final-decisions_en.

Non è di facilissima consultazione perché le "istruzioni" non sono fornite (dopo un po' però si capisce che "LSA" è la leading supervisory authority", "CSA" sono le "concerned supervisory authority" e così via).

Non mi sembra però siano decisioni significative. Sicuramente è però importante vedere l'applicazione della procedura di cooperazione.

lunedì 15 giugno 2020

Aggiornamento certificazioni eIDAS

Andrea Caccia, che ringrazio molto, mi ha segnalato la nuova Circolare tecnica DC N° 05/2020 di Accredia:
- https://www.accredia.it/documento/circolare-tecnica-dc-n-05-2020-circolare-per-laccreditamento-a-fronte-del-regolamento-europeo-910-2014-eidas/.

Essa estende la certificazione a tutti i servizi fiduciari previsti dal regolamento eIDAS e fornisce un aggiornamento di tutti i riferimenti agli standard ETSI pertinenti.

Privacy: assicurazioni (e non solo) sono titolari

Il Garante privacy ha risposto a un quesito relativo al ruolo soggettivo delle compagnie di assicurazione. La risposta è nel documento "Ruolo soggettivo dell'impresa assicurativa nell'ambito dei bandi di gara per l'affidamento dei servizi assicurativi":
- https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9169688.

In sostanza, se un'organizzazione stipula assicurazioni per il proprio personale, l'assicuratore è da considerare titolare del trattamento. Questo perché l'organizzazione non può creare assicurazioni e quindi questo trattamento non può essere considerato come esternalizzato.

Possiamo quindi dedurre che lo stesso discorso valga anche per le banche e per gli organismi di certificazione, visto che un'organizzazione (a meno gli ovvi casi in cui sia essa stessa una società di assicurazioni, una banca o un organismo di certificazione) non può autonomamente erogare questi servizi e quindi l'assicurazione, la banca, l'OdC non trattano i dati "per conto" (o in qualità di "delegato") del titolare.

Ovviamente questa risposta del Garante non permette di risolvere altri casi "complessi", come quelli relativi alle singole persone (p.e. medico del lavoro) o società particolari come i fornitori di connettività o le poste. Però è già un ottimo spunto.

Si osserva anche che il caso delle assicurazioni (che io ho esteso a banche e OdC) riguarda un mercato molto regolamentato e vigilato. Pertanto anche le misure di sicurezza sono regolamentate e vigilate. La stessa cosa non si può dire per gli altri settori, dove non c'è regolamentazione stringente e relativa vigilanza, e io ribadisco la mia convinzione: anche nel caso di trasferimento ad altro titolare, il titolare mittente deve avere garanzie precise in merito al livello di sicurezza fornito dal destinatario e non può limitarsi a dire che il destinatario è titolare e quindi sono fatti suoi, visto che può scegliere tra diverse opzioni.

Ringrazio Diego Padovan per aver segnalato questa notizia agli Idraulici della privacy.

DPIA per Immuni

Il Garante della privacy ha pubblicato un documento dal titolo "Valutazione d'impatto sulla protezione dei dati personali presentata dal Ministero della Salute relativa ai trattamenti effettuati nell'ambito del sistema di allerta Covid-19 denominato "Immuni" - Nota sugli aspetti tecnologici":
- https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9357972.

Al di là dell'argomento ormai trito e ritrito, penso che sia utile osservare i punti toccati per avere un'idea di come sono affrontati gli aspetti più criti da parte del Garante.

Il documento non riporta dettagli sulla DPIA, né su come è stata fatta e questo è un peccato perché sarebbe stato interessante.

Ringrazio Stefania Algerio per la segnalazione agli Idraulici della privacy.

GDPR developer's guide del CNIL

Il CNIL (ossia il Garante privacy francese) ha pubblicato una GDPR developer's guide:
- https://www.cnil.fr/en/gdpr-developers-guide.

Ci sono cose molto interessanti e molto puntuali, inclusi link a piattaforme, a presentazioni più dettagliate, a documenti di approfondimento.

Al momento gli approfondimenti sono disomogenei e quindi, per esempio, sono presentati gli strumenti di gestione della configurazione del software e le linee guida di codifica sicura per C e C++, ma sono accennati ma non elencati strumenti di controllo automatico del codice prima della messa in produzione.

Però il CNIL permette di contribuire e quindi credo che in qualche futura versione questi aspetti saranno ben approfonditi.

Sicuramente quello che c'è merita già un approfondimento (io ho trovato molti punti) ed è sicuramente molto di più di quanto vedo in giro.

Ringrazio Glauco Rampogna per aver segnalato questa iniziativa agli Idraulici della privacy.

giovedì 11 giugno 2020

Privacy e piano cessazione dei servizi

Un argomento spesso non trattato è il piano cessazione dei servizi informatici (e non solo). Un piano in cui prevedere alcune azioni di comunicazione ai clienti e utenti, di passaggio o meno delle consegne ad altro fornitore, di cancellazione o restituzione dei dati.

Un settore in cui questo piano è necessario è quello dei servizi fiduciari eIDAS (firma digitale e compagnia, per intenderci) e anche quello di conservazione dei documenti. Per questo, ENISA nel 2017 aveva pubblicato delle linee guida dal titolo "Guidelines on Termination of Qualified Trust Services":
- https://www.enisa.europa.eu/publications/tsp-termination.

AgID aveva pubblicato una bozza per discussione delle linee guida per il piano di cessazione del servizio di conservazione:
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2019/11/22/consultazione-linee-guida-il-piano-cessazione-del-servizio-conservazione.

Il Garante privacy ha segnalato alcune carenze:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9347287.

Ripeto: sono questioni da considerare per tutti i servizi e quindi vale la pena approfondirle.

Chiuso il sito del Gutenberg Project

Segnalo questo articolo dal titolo "La Procura di Roma ha bloccato l'accesso a Project Gutenberg, la più grande biblioteca di internet":
- https://thesubmarine.it/2020/05/25/procura-roma-bloccato-accesso-project-gutenberg/.

A parte il mio fastidio personale perché l'ho usato per leggere alcuni capolavori (e anche cose noiose, per la verità), penso che la notizia metta in luce alcuni problemi di Internet e, potenzialmente, di sicurezza delle informazioni e continuità (senza voler estendere oltre queste riflessioni): la scelta di un unico giudice può comportare l'inaccessibilità di un sito di pubblica utilità. Oggi è toccato ad un sito utile, ma non critico; domani chissà.

Attaccato l'ospedale San Raffaele... forse

Interessante questa notizia: Lulzsec e Anonymous dicono di aver bucato la rete del San Raffaele di Milano a metà marzo. Il San Raffaele nega. Vedremo come andrà a finire. Lancio una mia ipotesi: la data mi suggerisce che tutti (inclusi i referenti dell'IT) al San Raffaele fossero troppo occupati sul COVID-19 e la segnalazione è stata dimenticata. Forse non è andata veramente così, ma forse questo sarà quello che diranno.

Solitamente non fornisco notizie di attacchi perché non forniscono informazioni veramente utili. Qui invece penso che sia un caso interessante da monitorare.

Segnalo quindi l'articolo "Cosa sappiamo del data breach all'ospedale San Raffaele di Milano":
- https://www.wired.it/internet/web/2020/05/22/san-raffaele-lulzsec-anoymous/.

martedì 9 giugno 2020

Zoom e la crittografia a pagamento

Zoom ha deciso che le video conferenze saranno cifrate solo per i clienti a pagamento:
- https://www.wired.com/story/zoom-end-to-end-encryption-paid-accounts/.

L'articolo suggerisce di biasimare la scelta di Zoom. Altri, in particolare gli editor del SANS NewsBites, sono meno critici perché ritengono che anche altri parametri siano da considerare, come per esempio la sicurezza dell'interfaccia client. In questo caso, Zoom permette conferenze con molti partecipanti, mentre altri strumenti limitano il numero di partecipanti.

Questa è una questione da studiare con attenzione. Va però detto che alcune soluzioni apparentemente più sicure sono anche più instabili.

NIST NISTIRs 8259 e 8259A sull'IoT

Il NIST ha pubblicato due documenti:
- NISTIR 8259A dal titolo "IoT Device Cybersecurity Capability Core Baseline"; URL https://csrc.nist.gov/publications/detail/nistir/8259a/final;
- NISTIR 8259 dal titolo "Foundational Cybersecurity Activities for IoT Device Manufacturers"; URL https://csrc.nist.gov/publications/detail/nistir/8259/final.

Li ho guardati velocemente e mi sembra siano troppo generali.

giovedì 4 giugno 2020

Considerazioni sul rischio

Ho letto un articolo sulla percezione del rischio COVID-19 e ho pensato che alcuni spunti possono essere di interesse anche a chi si occupa di sicurezza delle informazioni e, in generale, di rischi. L'articolo ha titolo "La società a rischio zero - Abbiamo raggiunto l'immunità di gregge psicologica?":
- https://www.linkiesta.it/2020/05/rischio-coronavirus-paura/.

Innanzi tutto l'articolo ribadisce il concetto di accettabilità del rischio. Qui la scala è notevolmente più ampia (si parla di migliaia di vite umane) di quanto normalmente è richiesto alle organizzazioni che analizzano il rischio di sicurezza delle informazioni, dei progetti, di qualità o di efficacia di un sistema di gestione. Però è importante riflettere sull'accettabilità del rischio anche in altri ambiti.

Altro punto è sintetizzato dalla frase "La percezione del rischio è un fenomeno sociale" e dal grafico che riporta quanto alcuni rischi sono percepiti e quanto sono invece oggettivamente pericolosi.

Aggiungo che è interessante osservare come a inizio marzo, quando i numeri del COVID-19 erano ancora ipotetici, in giro a Milano c'era pochissima gente; mentre adesso, dopo più di 30.000 morti, le strade sono piene. E' evidente che la preoccupazione pochi mesi fa era palpabile mentre oggi genera insofferenza. Sono cose, penso, da considerare anche in ambito aziendale (fatte le dovute proporzioni) quando si stabiliscono le misure per affrontare il rischio: quelle più che accettabili oggi potrebbero essere viste con fastidio (e quindi attuate male) tra pochi giorni.

Un altro spunto riguarda il sondaggio, sempre in merito al COVID-19, fatto tra studenti di medicina e di economia. Esso ci dice che i primi sono molto più prudenti dei secondi in merito alla riapertura. Questo può farci ragione sul fatto che i consulenti (interni ed esterni) e gli auditor i vari specialisti di sicurezza e privacy sono sempre molto più prudenti dei dirigenti di un'organizzazione, ma non necessariamente hanno ragione. Credo sia la dimostrazione del fatto che la ragione sia nel mezzo e sia sempre necessario mediare tra il rigore proposto dagli specialisti e una maggiore rilassatezza propugnata dai loro interlocutori. Per fare un esempio, tra chi propone di avere password di almeno 16 caratteri e chi non le vorrebbe proprio, la mediazione degli 8 caratteri è proprio quella che viene incontro ai due punti di vista che necessariamente devono venirsi incontro).

sabato 30 maggio 2020

Le 7 multe più strane per aver violato la privacy e il Gdpr

Glauco Rampogna mi ha segnalato questo interessante articolo dal titolo "Le 7 multe più strane per aver violato la privacy e il Gdpr":
- https://www.wired.it/internet/regole/2020/05/25/gdpr-privacy/.

Il titolo è un po' fuorviante, ma alcune cose sono interessanti, in particolare la multa per aver usato un normale cassonetto per eliminare i dati in formato cartaceo.

venerdì 29 maggio 2020

Mio articolo sulla scuola e il falso mito del "tool"

Avevo già scritto una breve cosa su come la scuola abbia affrontato male, da un punto di visto informatico, l'emergenza COVID-19. Ho scritto quindi un articolo che mi è stato pubblicato con il titolo "Shock digitale per la scuola, smontiamo il falso mito del tool":
- https://www.agendadigitale.eu/scuola-digitale/shock-digitale-per-la-scuola-smontiamo-il-falso-mito-del-tool/.

Ovviamente commento solo alcuni problemi di tipo informatico (ovviamente ne vedo altri, ma, come il pasticcere milanese, mi limito al mio mestiere).

Mio articolo su Idiot wind

Tempo fa avevo scritto una cosa breve su un colpo di vento che aveva sparso i documenti di un'azienda. Ho approfondito un po' la questione e ne ho fatto un articolo, pubblicato da key4biz:
- https://www.key4biz.it/idiot-wind-bob-dylan-puo-aiutare-nella-valutazione-del-rischio-aziendale/307656/.

martedì 26 maggio 2020

Linee guida AgID per la sicurezza nel procurement ICT

Franco Vincenzo Ferrari di DNV GL mi ha segnalato la pubblicazione delle "Linee guida: La sicurezza nel procurement ICT" di AgID:
- https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_122261_725_1.html.

A parte l'italiano lacunoso ("eleggibile" per tradurre malamente l'inglese "eligible") o dimenticato ("procurement" al posto di "approvvigionamento"), il documento è interessante.

All'inizio della lettura mi sembrava riportare le solite cose talmente vaghe da essere inutili (promuovere competenza e consapevolezza, raccogliere buone prassi e esperienze, stabilire ruoli e responsabilità, effettuare una ricognizione dei beni e servizi informatici, classificare i beni e i servizi informatici). Poi, misura dopo misura, emergono cose più precise e, a mio parere, utili. Rimane un documento "di base" con alcune cose solo teoriche, ma anche di questi documenti c'è bisogno.

venerdì 22 maggio 2020

ISO/IEC 21964 sulla distruzione dei supporti - Precisazioni 2 e 3

In merito alla ISO/IEC 21964, Sandro Sanna mi ha inviato un paio di precisazioni.

La prima riguarda la mia previsione che questa norma sarà usata per certificare prodotti o processi. Sandro mi informa che questo sta già succedendo con la DIN 66399 (ossia la norma che è stata recepita come ISO/IEC 21964). Mi ha quindi inviato un link con un esempio:
- https://www.reisswolf.com/en/reisswolf/certifications/din-66399/.

Sandro poi mi segnala che le norme DIN sono già usate in alcune norme. In particolare mi segnala la Decisione (UE, Euratom) 2019/1961, in particolare l'articolo 42 dove indica le modalità di "Distruzione e cancellazione periodiche di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET":
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32019D1961.

mercoledì 20 maggio 2020

ISO/IEC 21964 sulla distruzione dei supporti - Precisazione

Avevo scritto sulle ISO/IEC 21964 sulla distruzione dei supporti:
- http://blog.cesaregallotti.it/2020/05/isoiec-21964-sulla-distruzione-dei.html.

Michele Tassinari, che ringrazio, mi ha segnalato che l'uso dei queste norme in ambito TISAX è già prescrittivo.

In quel caso, la norma di riferimento è la DIN 66399 (la ISO/IEC 21964 è il recepimento della DIN 66399). Però lo schema rimane aperto anche per altri standard.

Nelle 2 norme sono previsti 7 livelli di distruzione.

Per la TISAX, è richiesto il livello 4 per i dati confidenziali e il livello 5 per i dati segreti.

lunedì 18 maggio 2020

Privacy: parere del Garante sul ruolo dell'OdV

Il Garante privacy ha recentemente emesso un "parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall'art. 6, d.lgs. 8 giugno 2001, n. 231":
- https://www.aodv231.it/documentazione_descrizione.php?id=3745&sheet=&tipo=newsletter&Il-Garante-per-la-protezione-dei-dati-personali-sul-ruolo-dell-OdV-in-ambito-privacy.

In breve: i membri dell'OdV sono da considerare come "autorizzati". Alcuni non condividono perché vedono così messa in discussione la sua autonomia, ma intanto il parere del Garante approfondisce bene questa questione, inoltre a me sembra logico vedere l'OdV come parte di un'azienda (titolare), anche se indipendente da tutte le altre funzioni aziendali

Grazie a Pietro Calorio per averlo segnalato agli Idraulici della privacy. Con gli stessi Idraulici avevamo discusso mesi or sono su questa stessa questione ed eravamo giunti alla medesima conclusione (per fortuna...).

domenica 17 maggio 2020

ISO/IEC 21964 sulla distruzione dei supporti

Segnalo la norma ISO/IEC 21964 con titolo "Destruction of data carriers". La norma è del 2018, ma solo ora, grazie a UNI che l'ha inserita a catalogo (in lingua inglese) e a Franco Vincenzo Ferrari di DNV GL, ne sono venuto a conoscenza.

La norma è divisa in 3 parti e questo è il link alla prima parte:
- https://www.iso.org/standard/72204.html.

L'argomento è la distruzione dei supporti fisici, quindi non tratta di cancellazione sicura, ma proprio di distruzione o triturazione o tecniche simili.

La prima parte (Principles and definitions) definisce i 7 livelli di sicurezza con cui uno strumento può distruggere i supporti e le 3 classi di protezione a cui potrebbe aspirare un'organizzazione.

La seconda parte (Requirements for equipment for destruction of data carriers) tratta delle tecniche di distruzione per i diversi tipi di supporto, suddivise nei 7 livelli di sicurezza (quindi, per esempio, la carta può essere distrutta da strisce di 12mm a strisce di 1mm e un hard disk può essere reso "inutilizzabile" fino a essere distrutto in particelle di meno di 5 mm quadrati). Sono anche stabilite le specifiche di test delle tecniche.

La terza parte (Process of destruction of data carriers) riporta i requisiti dei processi di distruzione, per le 3 classi di protezione, nel caso in cui il controller provveda autonomomante, si affida a un fornitore presso la propria sede o a un fornitore presso la sede del fornitore.

Le norme usano il termine "shall" e quindi profetizzo facilmente che qualcuno, se non lo ha già fatto, si inventerà una certificazione.

sabato 16 maggio 2020

Sistemi di videoconferenza e sicurezza

Dalla newsletter Crypto-Gram di maggio, segnalo questo post sulla sicurezza delle applicazioni di video conferenza:
- https://www.schneier.com/blog/archives/2020/04/secure_internet.html.

Qui sono segnalati due rapporti, di NSA e Mozilla, sulla sicurezza delle applicazioni di videoconferenza. Confesso che nono mi sono sembrati chiarissimi.

Il rapporto NSA specifica la presenza o meno di alcune funzionalità, ma senza ulteriori spiegazioni o aiuti (ho però trovato interessante che Google assicura la cancellazione sicura solo per le versioni a pagamento).

Il rapporto di Mozilla invece fornisce chiaramente un voto sulla sicurezza (a patto di aprire le schede una per una) ma non sulla privacy. Pertanto è necessario leggere con maggiore attenzione.

Comunque sono interessanti da leggere, visto che questi sistemi sono ormai essenziali in questo periodo di COVID-19.

mercoledì 13 maggio 2020

Articolo su TISAX

A novembre 2019 avevo segnalato TISAX, uno schema relativo ai sistemi di gestione per la sicurezza delle informazioni per il settore automotive. Paolo Sferlazza di Gerico Security mi ha segnalato un suo recente articolo in materia:
- https://www.ictsecuritymagazine.com/articoli/tisax-la-valutazione-del-livello-di-maturita-della-sicurezza-delle-informazioni-nellambito-automotive/.

L'articolo è interessante e approfondisce la questione.

CERT-AgID

Nasce il CERT-AgID. La struttura si occuperà per conto di AgID di mantenere e sviluppare servizi di sicurezza preventivi e attività di accompagnamento utili alle pubbliche amministrazioni per favorire la crescita e la diffusione della cultura della sicurezza informatica:
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/05/07/cert-agid-promozione-sicurezza-informatica-nella-pa.

Il sito web è:
- https://cert-agid.gov.it/.

Questa notizia fa il paio con quella che avevo già dato poco fa sulla nascita del CSIRT italiano:
- https://csirt.gov.it/home.

Ringrazio Franco Vincenzo Ferrari di DNV GL Business Assurance per avermi segnalato la notizia.

Qualche considerazione:
- dal sito e dalla descrizione non mi sono chiarissime le differenze tra CERT-AgID e CSIRT Italia; forse il primo si occupa più di "consulenza", mentre il secondo più di monitoraggio e allerta; se così è, allora trovo fuorviante il nome "CERT" a una struttura che non svolge attività di "risposta" e anche il sito perché molto dedicato alle minacce e alle CVE (non diversamente dal sito del CSIRT Italia);
- c'è un netto miglioramento rispetto a prima, visto che avevamo 2 CERT o CSIRT (CERT PA e CERT Nazionale) e ognuno di essi faceva sia parte reattiva sia parte preventiva, solo che uno era dedicato ai privati e l'altro era dedicato alla Pubblica amministrazione, con ovvia dispersione di competenze senza una vera ragione tecnica (ci si chiede chi avesse pensato a quella suddivisione e quali ragioni tecniche presentato, oltre alla moltiplicazione delle posizioni dirigenziali);
- la documentazione è ancora poca e non datata (!), ma mi sembrano interessanti le linee guida per lo sviluppo sicuro (forse del 2019) e di configurazione del software di base (forse del 2017).

giovedì 7 maggio 2020

Incidente MailUp

La mia newsletter è su MailUp e il 25 aprile 2020 mi è stato comunicato che è stato rilevato un incidente.

Su questo evento ho visto pochissime notizie. Anzi... ho trovato solo questa:
- https://www.cybersecurity360.it/legal/privacy-dati-personali/data-breach-mailup-coinvolto-il-responsabile-del-trattamento-la-lezione-appresa/.

Interessante è il fatto che ritengano "riservate" le comunicazioni inviate, quando però è compito dei titolari fornirle agli interessati.

In sintesi, l'incidente è stato rilevato il 24 aprile e si tratta di "un sofisticato attacco ransomware di elevata intensità". Come in tutti gli attacchi ransomware, i dati sono risultati indisponibili, ma poi MailUp li ha ripristinati entro il 27 aprile. Le analisi inviate non dicono se ci sono evidenze di trasmissione dei dati.

Detto questo, i dati personali di cui io sono titolare sono gli indirizzi email dei destinatari delle newsletter. La loro violazione non presenta un rischio per i diritti e le libertà delle persone fisiche, visto che l'incapacità di ricevere la newsletter può rappresentare sì un disagio, ma non può compromettere i diritti e le libertà delle persone fisiche. Per quanto riguarda la possibile violazione della riservatezza, questa può dimostrare l'interesse dell'interessato verso la qualità, la sicurezza delle informazioni e la privacy, ossia materie che non compromettono i diritti e le libertà delle persone fisiche.

Tutto ciò considerato: non farò alcuna notifica al Garante, ma avviserò comunque gli interessati con la prossima newsletter, riportando quanto qui scritto.

mercoledì 6 maggio 2020

Rapporto semestrale MELANI

Due volte all'anno segnalo il rapporto semestrale della Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI (Svizzera):
- https://www.melani.admin.ch/melani/it/home/dokumentation/rapporti/rapporti-di-situazione/halbjahresbericht-2019-2.html.

Questa edizione mi ha fornito meno indicazioni del solito, forse perché sono troppo concentrato sul COVID-19.

Comunque sia, è sempre un'ottima lettura.

Costituito il CSIRT Italia

Dalla newsletter di DFA segnalo che è stato costituito il CSIRT Italia:
- https://csirt.gov.it/home

Il sito del neonato CSIRT Italia è avaro di informazioni utili, quindi copio (con qualche taglio ed evitando il termine "cibernetico") quanto riportato dal sito del CERT-PA.

Il CSIRT Italia raccoglie le attività in precedenza svolte dal CERT-PA e il CERT Nazionale, rispettivamente dedicate alle pubbliche amministrazioni ed al settore privato.

La decisione rientra nell'ambito del piano di attuazione della Direttiva NIS (Decreto legislativo 18 maggio 2018 n. 65) che – tra le altre misure – prevede anche in Italia la costituzione di un Computer Security Incident Response Team unico (cosiddetto CSIRT).

L'attività dello CSIRT è disciplinata dal DPCM 8 agosto 2019 in materia di "Disposizioni sull'organizzazione e il funzionamento del Computer Security Incident Response Team – CSIRT italiano", pubblicato in Gazzetta Ufficiale l'8 novembre 2019.

In tale quadro, i soggetti pubblici e privati, a partire dalla data menzionata, in caso di incidente informatico o di segnalazione di evento, hanno quale nuovo ed unico interlocutore lo CSIRT Italia, che già riceve le notifiche obbligatorie e volontarie degli operatori di servizi essenziali (cosiddetti OSE) e fornitori di servizi digitali (cosiddetti FSD) ai sensi della Direttiva NIS.

Concludo quindi con un commento personale: spero che la nuova struttura sia più utile delle precedenti, per lo meno nella parte visibile al pubblico, e promuova campagne di informazione più significative, come quelle, per esempio della svizzera MELANI.

mercoledì 29 aprile 2020

Protocollo COVID-19 sui luoghi di lavoro (24 aprile)

Il 24 aprile è stato aggiornato l'aggiornamento del "Protocollo condiviso sulle misure per il contrasto al Covid-19 negli ambienti di lavoro". Si trova qui:
- https://www.lavoro.gov.it/notizie/pagine/sicurezza-sul-lavoro-integrato-il-protocollo-condiviso-sulle-misure-per-il-contrasto-al-covid-19-negli-ambienti-di-lavoro.aspx/.

Ringrazio Daniela Pollino di Pidielle S.p.A. per la segnalazione.

Il protocollo stabilisce anche le modalità di ingresso in azienda, prevedendo il controllo della temperatura. Per questo è necessario quindi prevedere opportune informative privacy.

A questo punto segnalo il modello di informativa proposto dallo Studio Stefanelli. Fa riferimento al precedente protocollo del 14 marzo, ma credo vada bene lo stesso. Segnalo la pagina in cui è disponibile questo documento e anche altri:
- https://www.studiolegalestefanelli.it/it/solidarieta-digitale-smartworking.

Stato delle norme ISO/IEC 270xx - Aprile 2020

Si è appena concluso il 62mo meeting dell'ISO/IEC JTC 1 SC 27. Doveva essere a Sanpietroburgo, ma si è invece tenuto tutto in ambiente virtuale. Esperienza decisamente difficile, ma riuscita (anche se si è confermato che gli incontri fisici sono più efficaci di quelli virtuali).

Hanno partecipato più di 120 delegati da 34 Paesi.

La delegazione italiana era composta da 7 persone, tra cui: Fabio Guasconi (Presidente), Andrea Caccia, Alessandro Cosenza, Stefano Ramacciotti, Daniele Tumietto e me stesso.

Per quanto riguarda le norme del WG 1, non ci sono grosse novità. Mi limito, come al solito, ad indicare lo stato di avanzamento di alcune norme:
- ISO/IEC 27002 (controlli di sicurezza): sono proseguiti i lavori e sono stati fatti molti commenti; per migliorare ulteriormente la qualità della norma, gli esperti hanno ritenuto opportuno "rallentarne" l'uscita, che a questo punto sarà, nella migliore delle ipotesi, ad autunno 2021;
- ISO/IEC 27003 (guida all'uso della ISO/IEC 27001): confermata così com'è;
- ISO/IEC 27005 (sul risk management): sono proseguiti i lavori, ma la pubblicazione della nuova versione è ancora lontana (nella migliore delle ipotesi, sarà nel 2022);
- ISO/IEC 27013 (relazioni tra ISO/IEC 20000-1 e ISO/IEC 27001): sono proseguiti i lavori e si spera di pubblicare ad autunno 2021.

La norma ISO/IEC 27558, con i requisiti di accreditamento degli organismi di certificazione per svolgere gli audit ISO/IEC 27701, è una norma di competenza del WG 1 e del WG 5 (dedicato alla privacy). Per questa norma sono state fatte tre scelte importanti:
- dare un'accelerazione ai lavori in modo da pubblicarla, auspicabilmente, per metà 2021 (non mi dilungo nei dettagli tecnici; dico solo che non sarà un "International Standard", ma una "Technical Specification");
- avviare una richiesta di commenti specifica per il calcolo dei tempi di audit (io qui prevedo un grande macello per poi "accontentarsi" del solito calcolo basato sul numero di persone in ambito);
- sarà numerata ISO/IEC 27006-2; così l'attuale ISO/IEC 27006 sarà numerata ISO/IEC 27006-1.

Per quanto riguarda le norme del WG 5 (privacy), segnalo solo:
- ISO/IEC 29134 (sulla PIA): sarà avviato un lavoro di "correzione".

Per il WG 4, che si occupa di norme più tecniche, mi sono interessato a quelle sull'IoT e sull'industriale (ISO/IEC 24391, Guidelines for IoT domotics security and privacy; ISO/IEC 24392, Security reference model for industrial internet platform; ISO/IEC 27030, che cambierà numero in ISO/IEC 27400, IoT security and privacy – Guidelines; 27402, IoT security and privacy – Device baseline requirements) e sono meno interessato ad altre norme, anche se il titolo sembra promettente, perché temo possano essere troppo fuffose (la nuova edizione della ISO/IEC 27032, Guidelines for Internet security; ISO/IEC 27035, sulla gestione degli incidenti). Ad ogni modo, non sono riuscito a seguire i lavori di nessuna di queste norme e me ne dispiace molto.

Il prossimo meeting sarà a metà settembre a Varsavia (Polonia). Speriamo...

Ringrazio Fabio Guasconi (e non solo...) per avermi segnalato alcuni errori presenti in questo breve articolo.