giovedì 4 giugno 2020

Considerazioni sul rischio

Ho letto un articolo sulla percezione del rischio COVID-19 e ho pensato che
alcuni spunti possono essere di interesse anche a chi si occupa di sicurezza
delle informazioni e, in generale, di rischi. L'articolo ha titolo "La
società a rischio zero - Abbiamo raggiunto l'immunità di gregge
psicologica?":
- https://www.linkiesta.it/2020/05/rischio-coronavirus-paura/.

Innanzi tutto l'articolo ribadisce il concetto di accettabilità del rischio.
Qui la scala è notevolmente più ampia (si parla di migliaia di vite umane)
di quanto normalmente è richiesto alle organizzazioni che analizzano il
rischio di sicurezza delle informazioni, dei progetti, di qualità o di
efficacia di un sistema di gestione. Però è importante riflettere
sull'accettabilità del rischio anche in altri ambiti.

Altro punto è sintetizzato dalla frase "La percezione del rischio è un
fenomeno sociale" e dal grafico che riporta quanto alcuni rischi sono
percepiti e quanto sono invece oggettivamente pericolosi.

Aggiungo che è interessante osservare come a inizio marzo, quando i numeri
del COVID-19 erano ancora ipotetici, in giro a Milano c'era pochissima
gente; mentre adesso, dopo più di 30.000 morti, le strade sono piene. E'
evidente che la preoccupazione pochi mesi fa era palpabile mentre oggi
genera insofferenza. Sono cose, penso, da considerare anche in ambito
aziendale (fatte le dovute proporzioni) quando si stabiliscono le misure per
affrontare il rischio: quelle più che accettabili oggi potrebbero essere
viste con fastidio (e quindi attuate male) tra pochi giorni.

Un altro spunto riguarda il sondaggio, sempre in merito al COVID-19, fatto
tra studenti di medicina e di economia. Esso ci dice che i primi sono molto
più prudenti dei secondi in merito alla riapertura. Questo può farci ragione
sul fatto che i consulenti (interni ed esterni) e gli auditor i vari
specialisti di sicurezza e privacy sono sempre molto più prudenti dei
dirigenti di un'organizzazione, ma non necessariamente hanno ragione. Credo
sia la dimostrazione del fatto che la ragione sia nel mezzo e sia sempre
necessario mediare tra il rigore proposto dagli specialisti e una maggiore
rilassatezza propugnata dai loro interlocutori. Per fare un esempio, tra chi
propone di avere password di almeno 16 caratteri e chi non le vorrebbe
proprio, la mediazione degli 8 caratteri è proprio quella che viene incontro
ai due punti di vista che necessariamente devono venirsi incontro).

sabato 30 maggio 2020

Le 7 multe più strane per aver violato la privacy e il Gdpr

Glauco Rampogna mi ha segnalato questo interessante articolo dal titolo "Le
7 multe più strane per aver violato la privacy e il Gdpr":
- https://www.wired.it/internet/regole/2020/05/25/gdpr-privacy/.

Il titolo è un po' fuorviante, ma alcune cose sono interessanti, in
particolare la multa per aver usato un normale cassonetto per eliminare i
dati in formato cartaceo.

venerdì 29 maggio 2020

Mio articolo sulla scuola e il falso mito del "tool

Avevo già scritto una breve cosa su come la scuola abbia affrontato male, da
un punto di visto informatico, l'emergenza COVID-19. Ho scritto quindi un
articolo che mi è stato pubblicato con il titolo "Shock digitale per la
scuola, smontiamo il falso mito del tool":
-
https://www.agendadigitale.eu/scuola-digitale/shock-digitale-per-la-scuola-s
montiamo-il-falso-mito-del-tool/
.

Ovviamente commento solo alcuni problemi di tipo informatico (ovviamente ne
vedo altri, ma, come il pasticcere milanese, mi limito al mio mestiere).

Mio articolo su Idiot wind

Tempo fa avevo scritto una cosa breve su un colpo di vento che aveva sparso
i documenti di un'azienda. Ho approfondito un po' la questione e ne ho fatto
un articolo, pubblicato da key4biz:
-
https://www.key4biz.it/idiot-wind-bob-dylan-puo-aiutare-nella-valutazione-de
l-rischio-aziendale/307656/
.

martedì 26 maggio 2020

Linee guida AgID per la sicurezza nel procurement ICT

Franco Vincenzo Ferrari di DNV GL mi ha segnalato la pubblicazione delle "
Linee guida: La sicurezza nel procurement ICT" di AgID:
-
https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_12
2261_725_1.html
.

A parte l'italiano lacunoso ("eleggibile" per tradurre malamente l'inglese
"eligible") o dimenticato ("procurement" al posto di "approvvigionamento"),
il documento è interessante.

All'inizio della lettura mi sembrava riportare le solite cose talmente vaghe
da essere inutili (promuovere competenza e consapevolezza, raccogliere buone
prassi e esperienze, stabilire ruoli e responsabilità, effettuare una
ricognizione dei beni e servizi informatici, classificare i beni e i servizi
informatici). Poi, misura dopo misura, emergono cose più precise e, a mio
parere, utili. Rimane un documento "di base" con alcune cose solo teoriche,
ma anche di questi documenti c'è bisogno.

venerdì 22 maggio 2020

ISO/IEC 21964 sulla distruzione dei supporti - Precisazioni 2 e 3

In merito alla ISO/IEC 21964, Sandro Sanna mi ha inviato un paio di precisazioni.

La prima riguarda la mia previsione che questa norma sarà usata per certificare prodotti o processi. Sandro mi informa che questo sta già succedendo con la DIN 66399 (ossia la norma che è stata recepita come ISO/IEC 21964). Mi ha quindi inviato un link con un esempio:
- https://www.reisswolf.com/en/reisswolf/certifications/din-66399/.

Sandro poi mi segnala che le norme DIN sono già usate in alcune norme. In particolare mi segnala la Decisione (UE, Euratom) 2019/1961, in particolare l'articolo 42 dove indica le modalità di "Distruzione e cancellazione periodiche di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET":
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32019D1961.

mercoledì 20 maggio 2020

ISO/IEC 21964 sulla distruzione dei supporti - Precisazione

Avevo scritto sulle ISO/IEC 21964 sulla distruzione dei supporti:
- http://blog.cesaregallotti.it/2020/05/isoiec-21964-sulla-distruzione-dei.html.

Michele Tassinari, che ringrazio, mi ha segnalato che l'uso dei queste norme in ambito TISAX è già prescrittivo.

In quel caso, la norma di riferimento è la DIN 66399 (la ISO/IEC 21964 è il recepimento della DIN 66399). Però lo schema rimane aperto anche per altri standard.

Nelle 2 norme sono previsti 7 livelli di distruzione.

Per la TISAX, è richiesto il livello 4 per i dati confidenziali e il livello 5 per i dati segreti.

lunedì 18 maggio 2020

Privacy: parere del Garante sul ruolo dell'OdV

Il Garante privacy ha recentemente emesso un "parere sulla qualificazione
soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall'art.
6, d.lgs. 8 giugno 2001, n. 231":
-
https://www.aodv231.it/documentazione_descrizione.php?id=3745&sheet=&tipo=ne
wsletter&Il-Garante-per-la-protezione-dei-dati-personali-sul-ruolo-dell-OdV-
in-ambito-privacy
.

In breve: i membri dell'OdV sono da considerare come "autorizzati". Alcuni
non condividono perché vedono così messa in discussione la sua autonomia, ma
intanto il parere del Garante approfondisce bene questa questione, inoltre a
me sembra logico vedere l'OdV come parte di un'azienda (titolare), anche se
indipendente da tutte le altre funzioni aziendali

Grazie a Pietro Calorio per averlo segnalato agli Idraulici della privacy.
Con gli stessi Idraulici avevamo discusso mesi or sono su questa stessa
questione ed eravamo giunti alla medesima conclusione (per fortuna...).

domenica 17 maggio 2020

ISO/IEC 21964 sulla distruzione dei supporti

Segnalo la norma ISO/IEC 21964 con titolo "Destruction of data carriers". La norma è del 2018, ma solo ora, grazie a UNI che l'ha inserita a catalogo (in lingua inglese) e a Franco Vincenzo Ferrari di DNV GL, ne sono venuto a conoscenza.

La norma è divisa in 3 parti e questo è il link alla prima parte:
- https://www.iso.org/standard/72204.html.

L'argomento è la distruzione dei supporti fisici, quindi non tratta di cancellazione sicura, ma proprio di distruzione o triturazione o tecniche simili.

La prima parte (Principles and definitions) definisce i 7 livelli di sicurezza con cui uno strumento può distruggere i supporti e le 3 classi di protezione a cui potrebbe aspirare un'organizzazione.

La seconda parte (Requirements for equipment for destruction of data carriers) tratta delle tecniche di distruzione per i diversi tipi di supporto, suddivise nei 7 livelli di sicurezza (quindi, per esempio, la carta può essere distrutta da strisce di 12mm a strisce di 1mm e un hard disk può essere reso "inutilizzabile" fino a essere distrutto in particelle di meno di 5 mm quadrati). Sono anche stabilite le specifiche di test delle tecniche.

La terza parte (Process of destruction of data carriers) riporta i requisiti dei processi di distruzione, per le 3 classi di protezione, nel caso in cui il controller provveda autonomomante, si affida a un fornitore presso la propria sede o a un fornitore presso la sede del fornitore.

Le norme usano il termine "shall" e quindi profetizzo facilmente che qualcuno, se non lo ha già fatto, si inventerà una certificazione.

sabato 16 maggio 2020

Sistemi di videoconferenza e sicurezza

Dalla newsletter Crypto-Gram di maggio, segnalo questo post sulla sicurezza delle applicazioni di video conferenza:
- https://www.schneier.com/blog/archives/2020/04/secure_internet.html.

Qui sono segnalati due rapporti, di NSA e Mozilla, sulla sicurezza delle applicazioni di videoconferenza. Confesso che nono mi sono sembrati chiarissimi.

Il rapporto NSA specifica la presenza o meno di alcune funzionalità, ma senza ulteriori spiegazioni o aiuti (ho però trovato interessante che Google assicura la cancellazione sicura solo per le versioni a pagamento).

Il rapporto di Mozilla invece fornisce chiaramente un voto sulla sicurezza (a patto di aprire le schede una per una) ma non sulla privacy. Pertanto è necessario leggere con maggiore attenzione.

Comunque sono interessanti da leggere, visto che questi sistemi sono ormai essenziali in questo periodo di COVID-19.

mercoledì 13 maggio 2020

Articolo su TISAX

A novembre 2019 avevo segnalato TISAX, uno schema relativo ai sistemi di gestione per la sicurezza delle informazioni per il settore automotive. Paolo Sferlazza di Gerico Security mi ha segnalato un suo recente articolo in materia:
- https://www.ictsecuritymagazine.com/articoli/tisax-la-valutazione-del-livello-di-maturita-della-sicurezza-delle-informazioni-nellambito-automotive/.

L'articolo è interessante e approfondisce la questione.

CERT-AgID

Nasce il CERT-AgID. La struttura si occuperà per conto di AgID di mantenere e sviluppare servizi di sicurezza preventivi e attività di accompagnamento utili alle pubbliche amministrazioni per favorire la crescita e la diffusione della cultura della sicurezza informatica:
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/05/07/cert-agid-promozione-sicurezza-informatica-nella-pa.

Il sito web è:
- https://cert-agid.gov.it/.

Questa notizia fa il paio con quella che avevo già dato poco fa sulla nascita del CSIRT italiano:
- https://csirt.gov.it/home.

Ringrazio Franco Vincenzo Ferrari di DNV GL Business Assurance per avermi segnalato la notizia.

Qualche considerazione:
- dal sito e dalla descrizione non mi sono chiarissime le differenze tra CERT-AgID e CSIRT Italia; forse il primo si occupa più di "consulenza", mentre il secondo più di monitoraggio e allerta; se così è, allora trovo fuorviante il nome "CERT" a una struttura che non svolge attività di "risposta" e anche il sito perché molto dedicato alle minacce e alle CVE (non diversamente dal sito del CSIRT Italia);
- c'è un netto miglioramento rispetto a prima, visto che avevamo 2 CERT o CSIRT (CERT PA e CERT Nazionale) e ognuno di essi faceva sia parte reattiva sia parte preventiva, solo che uno era dedicato ai privati e l'altro era dedicato alla Pubblica amministrazione, con ovvia dispersione di competenze senza una vera ragione tecnica (ci si chiede chi avesse pensato a quella suddivisione e quali ragioni tecniche presentato, oltre alla moltiplicazione delle posizioni dirigenziali);
- la documentazione è ancora poca e non datata (!), ma mi sembrano interessanti le linee guida per lo sviluppo sicuro (forse del 2019) e di configurazione del software di base (forse del 2017).

giovedì 7 maggio 2020

Incidente MailUp

La mia newsletter è su MailUp e il 25 aprile 2020 mi è stato comunicato che è stato rilevato un incidente.

Su questo evento ho visto pochissime notizie. Anzi... ho trovato solo questa:
- https://www.cybersecurity360.it/legal/privacy-dati-personali/data-breach-mailup-coinvolto-il-responsabile-del-trattamento-la-lezione-appresa/.

Interessante è il fatto che ritengano "riservate" le comunicazioni inviate, quando però è compito dei titolari fornirle agli interessati.

In sintesi, l'incidente è stato rilevato il 24 aprile e si tratta di "un sofisticato attacco ransomware di elevata intensità". Come in tutti gli attacchi ransomware, i dati sono risultati indisponibili, ma poi MailUp li ha ripristinati entro il 27 aprile. Le analisi inviate non dicono se ci sono evidenze di trasmissione dei dati.

Detto questo, i dati personali di cui io sono titolare sono gli indirizzi email dei destinatari delle newsletter. La loro violazione non presenta un rischio per i diritti e le libertà delle persone fisiche, visto che l'incapacità di ricevere la newsletter può rappresentare sì un disagio, ma non può compromettere i diritti e le libertà delle persone fisiche. Per quanto riguarda la possibile violazione della riservatezza, questa può dimostrare l'interesse dell'interessato verso la qualità, la sicurezza delle informazioni e la privacy, ossia materie che non compromettono i diritti e le libertà delle persone fisiche.

Tutto ciò considerato: non farò alcuna notifica al Garante, ma avviserò comunque gli interessati con la prossima newsletter, riportando quanto qui scritto.

mercoledì 6 maggio 2020

Rapporto semestrale MELANI

Due volte all'anno segnalo il rapporto semestrale della Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI (Svizzera):
- https://www.melani.admin.ch/melani/it/home/dokumentation/rapporti/rapporti-di-situazione/halbjahresbericht-2019-2.html.

Questa edizione mi ha fornito meno indicazioni del solito, forse perché sono troppo concentrato sul COVID-19.

Comunque sia, è sempre un'ottima lettura.

Costituito il CSIRT Italia

Dalla newsletter di DFA segnalo che è stato costituito il CSIRT Italia:
- https://csirt.gov.it/home

Il sito del neonato CSIRT Italia è avaro di informazioni utili, quindi copio (con qualche taglio ed evitando il termine "cibernetico") quanto riportato dal sito del CERT-PA.

Il CSIRT Italia raccoglie le attività in precedenza svolte dal CERT-PA e il CERT Nazionale, rispettivamente dedicate alle pubbliche amministrazioni ed al settore privato.

La decisione rientra nell'ambito del piano di attuazione della Direttiva NIS (Decreto legislativo 18 maggio 2018 n. 65) che – tra le altre misure – prevede anche in Italia la costituzione di un Computer Security Incident Response Team unico (cosiddetto CSIRT).

L'attività dello CSIRT è disciplinata dal DPCM 8 agosto 2019 in materia di "Disposizioni sull'organizzazione e il funzionamento del Computer Security Incident Response Team – CSIRT italiano", pubblicato in Gazzetta Ufficiale l'8 novembre 2019.

In tale quadro, i soggetti pubblici e privati, a partire dalla data menzionata, in caso di incidente informatico o di segnalazione di evento, hanno quale nuovo ed unico interlocutore lo CSIRT Italia, che già riceve le notifiche obbligatorie e volontarie degli operatori di servizi essenziali (cosiddetti OSE) e fornitori di servizi digitali (cosiddetti FSD) ai sensi della Direttiva NIS.

Concludo quindi con un commento personale: spero che la nuova struttura sia più utile delle precedenti, per lo meno nella parte visibile al pubblico, e promuova campagne di informazione più significative, come quelle, per esempio della svizzera MELANI.

mercoledì 29 aprile 2020

Protocollo COVID-19 sui luoghi di lavoro (24 aprile)

Il 24 aprile è stato aggiornato l'aggiornamento del "Protocollo condiviso sulle misure per il contrasto al Covid-19 negli ambienti di lavoro". Si trova qui:
- https://www.lavoro.gov.it/notizie/pagine/sicurezza-sul-lavoro-integrato-il-protocollo-condiviso-sulle-misure-per-il-contrasto-al-covid-19-negli-ambienti-di-lavoro.aspx/.

Ringrazio Daniela Pollino di Pidielle S.p.A. per la segnalazione.

Il protocollo stabilisce anche le modalità di ingresso in azienda, prevedendo il controllo della temperatura. Per questo è necessario quindi prevedere opportune informative privacy.

A questo punto segnalo il modello di informativa proposto dallo Studio Stefanelli. Fa riferimento al precedente protocollo del 14 marzo, ma credo vada bene lo stesso. Segnalo la pagina in cui è disponibile questo documento e anche altri:
- https://www.studiolegalestefanelli.it/it/solidarieta-digitale-smartworking.

Stato delle norme ISO/IEC 270xx - Aprile 2020

Si è appena concluso il 62mo meeting dell'ISO/IEC JTC 1 SC 27. Doveva essere a Sanpietroburgo, ma si è invece tenuto tutto in ambiente virtuale. Esperienza decisamente difficile, ma riuscita (anche se si è confermato che gli incontri fisici sono più efficaci di quelli virtuali).

Hanno partecipato più di 120 delegati da 34 Paesi.

La delegazione italiana era composta da 7 persone, tra cui: Fabio Guasconi (Presidente), Andrea Caccia, Alessandro Cosenza, Stefano Ramacciotti, Daniele Tumietto e me stesso.

Per quanto riguarda le norme del WG 1, non ci sono grosse novità. Mi limito, come al solito, ad indicare lo stato di avanzamento di alcune norme:
- ISO/IEC 27002 (controlli di sicurezza): sono proseguiti i lavori e sono stati fatti molti commenti; per migliorare ulteriormente la qualità della norma, gli esperti hanno ritenuto opportuno "rallentarne" l'uscita, che a questo punto sarà, nella migliore delle ipotesi, ad autunno 2021;
- ISO/IEC 27003 (guida all'uso della ISO/IEC 27001): confermata così com'è;
- ISO/IEC 27005 (sul risk management): sono proseguiti i lavori, ma la pubblicazione della nuova versione è ancora lontana (nella migliore delle ipotesi, sarà nel 2022);
- ISO/IEC 27013 (relazioni tra ISO/IEC 20000-1 e ISO/IEC 27001): sono proseguiti i lavori e si spera di pubblicare ad autunno 2021.

La norma ISO/IEC 27558, con i requisiti di accreditamento degli organismi di certificazione per svolgere gli audit ISO/IEC 27701, è una norma di competenza del WG 1 e del WG 5 (dedicato alla privacy). Per questa norma sono state fatte tre scelte importanti:
- dare un'accelerazione ai lavori in modo da pubblicarla, auspicabilmente, per metà 2021 (non mi dilungo nei dettagli tecnici; dico solo che non sarà un "International Standard", ma una "Technical Specification");
- avviare una richiesta di commenti specifica per il calcolo dei tempi di audit (io qui prevedo un grande macello per poi "accontentarsi" del solito calcolo basato sul numero di persone in ambito);
- sarà numerata ISO/IEC 27006-2; così l'attuale ISO/IEC 27006 sarà numerata ISO/IEC 27006-1.

Per quanto riguarda le norme del WG 5 (privacy), segnalo solo:
- ISO/IEC 29134 (sulla PIA): sarà avviato un lavoro di "correzione".

Per il WG 4, che si occupa di norme più tecniche, mi sono interessato a quelle sull'IoT e sull'industriale (ISO/IEC 24391, Guidelines for IoT domotics security and privacy; ISO/IEC 24392, Security reference model for industrial internet platform; ISO/IEC 27030, che cambierà numero in ISO/IEC 27400, IoT security and privacy – Guidelines; 27402, IoT security and privacy – Device baseline requirements) e sono meno interessato ad altre norme, anche se il titolo sembra promettente, perché temo possano essere troppo fuffose (la nuova edizione della ISO/IEC 27032, Guidelines for Internet security; ISO/IEC 27035, sulla gestione degli incidenti). Ad ogni modo, non sono riuscito a seguire i lavori di nessuna di queste norme e me ne dispiace molto.

Il prossimo meeting sarà a metà settembre a Varsavia (Polonia). Speriamo...

Ringrazio Fabio Guasconi (e non solo...) per avermi segnalato alcuni errori presenti in questo breve articolo.

martedì 28 aprile 2020

Data center Amazon in Italia

Paolo Sferlazza di Gerico Security (che ringrazio) mi ha segnalato questa interessante notizia dal titolo "La nuova Regione AWS in Italia":
- https://aws.amazon.com/it/local/italy/milan/.

Non sono un fan di Amazon, ma bisogna dire che questa mossa ha un impatto interessante per quanto riguarda l'applicazione del GDPR. Sarà anche interessante vedere come questo esempio sarà seguito in Europa e in Italia.

lunedì 20 aprile 2020

Articolo sulla protezione delle piattaforme tecno-industriali

Segnalo questo articolo dal titolo "Protezione delle piattaforme tecno-industriali. Compliance NIS e oltre" di Giulio Carducci:
- https://www.ictsecuritymagazine.com/articoli/protezione-delle-piattaforme-tecno-industriali-compliance-nis-e-oltre/.

L'articolo propone un approccio per la valutazione del rischio relativo alla sicurezza OT (tradotta, molto bene, a mio parere, con "tecno-industriale").

L'articolo ha il pregio di non nascondere i punti di "semplificazione" dell'approccio battezzato IPSEM. Ma questi passaggi sono molto ben spiegati e giustificati, sia facendo riferimento alle caratteristiche peculiari dell'ambiente tecno-industriale, differente da quello "gestionale", sia alle solite caratteristiche del rischio relativo alla sicurezza delle informazioni.

Per la cronaca: Giulio Carducci è stato uno dei miei maestri, ma questo articolo l'ho "scoperto" da solo e mi fa piacere segnalarlo.

Documento ENISA sulla sicurezza del software

ENISA ha pubblicato il rapporto "Advancing Software Security in the EU":
- https://www.enisa.europa.eu/publications/advancing-software-security-through-the-eu-certification-framework.

Sono 16 pagine molto dense.

Infatti da una parte il paragrafo 2.4 "Existing standards and good practices" riporta alcuni documenti significativi relativi allo sviluppo sicuro. In particolare, io non conoscevo per niente l'OWASP ASVS, che ho invece trovato molto interessante (anche se avrei preferito, come al solito, un documento di "progettazione" e non di "verifica"):
- https://owasp.org/www-project-application-security-verification-standard/.


Il capitolo 3, dedicato ai problemi relativi alla sicurezza del software, anche se molto corto, riporta considerazioni che non ho mai trovato altrove. Le raccomandazioni, ossia i successivi passi che ENISA e altre istituzioni europee potrebbero prendere, mi sembrano anch'esse di adeguata profondità
(anzi... evitano proprio di citare la solita "formazione", che è sì importante, ma sembra il rifiugio di chi non ha idee).

domenica 19 aprile 2020

EDPS Web site collector per l'analisi privacy

Ringrazio per questo link Nicola Nuti. L'EDPS ha messo a disposizione uno strumento per analizzare i siti web e la loro conformità relativamente alla protezione dei dati personali.

Questa è notizia non proprio recente. Ma questo articolo che spiega bene come funziona è invece recente:
- http://www.dirittoegiustizia.it/news/23/0000098319/Website_Evidence_Collector_il_tool_gratuito_del_Garante_Europeo_per_la_Protezione_dei_dati_personali.html.

La pagina per scaricare lo strumento è questa:
- https://joinup.ec.europa.eu/solution/website-evidence-collector/releases.

venerdì 17 aprile 2020

Le App per il tracciamento COVID-19 - L'app Immuni

Al volo, ricevo da Glauco Rampogna la notizia che "pare che si siamo, è stata scelta la app di Bending Spoons per l'italia":
- https://www.open.online/2020/04/17/coronavirus-arriva-immuni-app-per-il-tracciamento-dei-contagi-scelta-dal-governo/.

E' la soluzione basta su Blutooth, sulla cui utilità ho parecchi dubbi, come ho già scritto.

Le App per il tracciamento COVID-19 - Mia intervista

Sulla faccenda delle app per il tracciamento COVID-19 mi hanno intervistato per Byoblu:
- https://www.youtube.com/watch?v=hYPu4v4x-n8.

Non credo di aver fatto un bell'intervento (preferisco sempre scrivere al parlare) perché molte cose non le ho dette e ne ho dette altre inutili. Ma mi ha divertito fare questa intervista via Skype e spero di aver presentato le cose in modo equanime, presentando i punti critici senza fare allarmismo o scandalo inutile. Devo dire che la mia analisi preliminare del sito https://www.byoblu.com/ mi aveva fatto temere un approccio scandalistico che invece non ho visto alla prova dei fatti. Anzi: ho notato un atteggiamento attento e professionale.

I commenti al video non mi trovano d'accordo perché buttano tutto in caciara. Ma almeno mi sembra che nessuno mi abbia dato (ancora) del cretino.

giovedì 16 aprile 2020

Le App per il tracciamento COVID-19 - Bruce Schneier

Anche Bruce Schneier (a sua volta citando Ross Anderson) dice la sua sulle applicazioni di tracciamento:
- https://www.schneier.com/blog/archives/2020/04/contact_tracing.html.

Fa un po' di riflessioni sul fatto che l'efficacia di un'applicazione di tracciamento non è provata, che bisognerà affrontare i falsi positivi e i falsi negativi e che, soprattutto, senza un metodo economico, veloce e accurato per verificare lo stato di salute, l'applicazione è inutile. E' la risposta tecnologica a un problema che invece è sociale.

Oh... ci ero arrivato da solo io stesso! O sono particolarmente intelligente (dubito) o ho fatto un po' di esperienza e non mi faccio accecare dalle soluzioni basate sui tool.

Inoltre Bruce Schneier riporta la riflessione di Ross Anderson che dice che tutto nasce da un falso sillogismo (in questo caso, un sillogismo cicliico): qualcosa deve essere fatto e l'applicazione è qualcosa e quindi dobbiamo farlo.

martedì 14 aprile 2020

Le App per il tracciamento COVID-19

Sulle app per il tracciamento della diffusione del COVID-19 ho gà scritto la mia:
- http://blog.cesaregallotti.it/2020/03/corea-del-sud-e-italia-cultura-e.html.

La newsletter Guerre di rete riporta una sintesi degli interventi in materia (ringrazio Glauco Rampogna degli Idraulici della privacy per la segnalazione):
- https://guerredirete.substack.com/p/guerre-di-rete-contact-tracing-a.

Di questo articolo trovo particolarmente interessanti le domande poste:
<< Ma la finalità qual è? E qui la risposta non può essere solo quella di "tracciare i contatti dei contagiati". Una volta raccolti i contatti di un contagiato, cosa succede, a livello individuale, al singolo, ma anche a livello globale? Che procedure sanitarie si attiveranno, e sono in grado di scalare su numeri che potrebbero essere molto consistenti? Come si integrano i dati della app col resto delle misure da prendere e le risorse del sistema sanitario? Con la capacità di fare test o di assistere persone che devono stare isolate? O la si userà solo per mettere in quarantena volontaria e fai-da-te migliaia di persone che secondo la app sono state vicine a un contagiato? e staranno in quarantena in casa con altre persone? e loro come si comporteranno? (Anche sulla cancellazione dei dati, se si dice che verrà fatta al raggiungimento della finalità bisogna specificare quale sia e quando verrà raggiunta). >>

Però l'articolo è molto "giornalistico".

Da un punto di vista più tecnico, segnalo come notevole la ricerca e l'analisi di Paolo Attivissimo (ringrazio sempre Glauco per la segnalazione):
- https://www.zeusnews.it/n.php?c=27995.

Servizi di test malware online

Ho "scoperto", da una sezione del libro "Tecnologia e diritto: Volume III" scritta da Paolo Dal Checco, questi due siti che permettono di verificare i programmi e i file su computer sicuri e remoti, in modo da poter rilevare la presenza di malware:
- https://any.run/;
- https://hybrid-analysis.com/.

Questi siti permettono invece di verificare se un sito web, soprattutto se poco noto, contiene materiale rischioso:
- https://urlscan.io/;
- https://www.virustotal.com/gui/home (questo permette anche di verificare file).

Micromarketing, microtargeting e profilazione

Mi sono trovato spesso a pensare alla profilazione così come espressa dal GDPR e alla segmentazione dei alcune offerte commerciali.

Spesso, molte aziende inviano messaggi pubblicitari a clienti che hanno comprato prodotti simili (che io ho imparato a chiamare "prodotti gemelli", anche se non è un termine riconosciuto) a quello in promozione. Ho sempre pensato che non si tratti di profilazione secondo la definizione del GDPR ("trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica").

A questo proposito ho scoperto il "micro marketing", che invece mi sembra rientri maggiormente nella profilazione. Per approfondire l'argomento, c'è ovviamente la pagina di Wikipedia:
- https://it.wikipedia.org/wiki/Micromarketing.

Per i più interessati, l'articolo, del 2000, "Dalle carte fedeltà a Internet: l'evoluzione del micromarketing" di Lugli e Ziliani si trova on line (io ho trovato anche un pdf):
- https://www.yumpu.com/it/document/view/19497092/dalle-carte-fedelta-a-internet-levoluzione-del-escp-europe.

Sottopongo queste riflessioni a chi si fosse posto le mie stesse domande sulla profilazione.

Libro "Tecnologia e diritto"

Ho finito di leggere i 3 volumi di "Tecnologia e Diritto" di informatica giuridica (il link è al solo primo volume):
- https://shop.giuffre.it/tecnologia-e-diritto-i-fondamenti-d-informatica-per-il-giurista.html.

E' un libro destinato agli studenti dell'Università di giurisprudenza e pertanto molte cose non sono esposte in modo direttamente utilizzabile dalle aziende e molti argomenti non sono di interesse per chi si occupa di consulenza alle aziende. Ma proprio qui sta l'interesse di questi libri: permettono di farsi un quadro generale dell'informatica giuridica e dei suoi temi più significativi.

Penso che proprio la capacità di avere un quadro più generale di un argomento debba essere una caratteristica degli "esperti" e pertanto raccomando la lettura di questi libri.

Ultima nota: tranne i due capitoli sulla blockchain (che si perdono in riflessioni fumosissime), il libro è scritto anche molto bene. Cosa che non guasta...

lunedì 13 aprile 2020

Le scuole e la digitalizzazione forzata (segnalazione)

Sulla scuola e la digitalizzazione ai tempi del COVID-19 ho già scritto:
- http://blog.cesaregallotti.it/2020/03/le-scuole-la-digitalizzazione-forzata-e_31.html.

Sulla privacy, Biagio Lammoglia degli Idraulici della privacy ha segnalato questo articolo di Scuola Informa:
- https://www.scuolainforma.it/2020/03/31/scuola-didattica-online-il-piu-grande-data-breach-della-storia.html.

A chi mastica già di privacy non dice niente di nuovo, ma le conclusioni sono, mutatis mutandis, le mie (ossia che la didattica a distanza andrebbe guidata meglio e non lasciarla alla buona volontà dei singoli).

domenica 5 aprile 2020

Articolo di approfondimento sul CMMC

Segnalo questo articolo di Giustino Fumagalli e Paolo Sferlazza dal titolo "Una nuova frontiera nelle certificazioni di sicurezza cyber: Il CMMC":
- https://www.ictsecuritymagazine.com/articoli/una-nuova-frontiera-nelle-certificazioni-di-sicurezza-cyber-il-cmmc/.

Mi sembra un articolo molto chiaro che permette di capire bene cos'è questo CMMC, anche dal punto di vista tecnico.

Del CMMC avevo già accennato a febbraio 2020, facendo riferimento a due altri articoli in inglese:
- http://blog.cesaregallotti.it/2020/02/cybersecurity-maturity-model.html.

Il modello al momento si trova a questo URL:
- https://www.acq.osd.mil/cmmc/draft.html.

martedì 31 marzo 2020

Le scuole, la digitalizzazione forzata e le solite lezioni

Le scuole, causa la chiusura fisica, sono state "invitate" dal Ministero a usare strumenti di didattica a distanza. Ovviamente qualcuno va in giro a dire che si sta facendo grande opera di digitalizzazione, ma in realtà si sta facendo grande confusione.

La storia, per quanto abbia potuto ricostruire, è semplice e drammatica allo stesso tempo. A fronte dell'emergenza, sono stati identificati degli strumenti per la didattica a distanza e gli istituti sono stati invitati ad usarli. Questo senza che fossero elaborate delle istruzioni per i docenti e i genitori (il solito "armiamoci (male) e partite"), fossero fatte delle analisi per aiutare i docenti a scegliere gli strumenti e delle analisi sulla privacy.

Il Garante ha detto la sua solo il 30 marzo:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9302778.

Molte famiglie si sono ritrovate con la necessità di mettere a disposizione dei figli degli strumenti informatici (so di alcune classi che fanno ore di lezione, ma so anche di famiglie che di digitale hanno solo i cellulari dei genitori che, ahiloro, in questi giorni devono comunque uscire per lavorare, oppure famiglie che hanno due figli, ma non due tablet o pc per far seguire le lezioni online ai due figli se in contemporanea). E chi ha i figli alle elementari ha dovuto registrarli ai sistemi, capire come funzionano e supportarli nel loro utilizzo. Quando, fino a ieri, le comunicazioni arrivavano solo via WhatsApp. Ma tutto questo non è sembrato di interesse a qualcuno, ma avrà come conseguenza che al rientro alcuni saranno allineati, altri saranno indietro e di solita l'arretratezza si accompagna a difficoltà già pregresse.

Ma parliamo anche degli strumenti.

Io ho avuto modo di usare Weschool e Edmodo.

Weschool non capisco perché sia indicato come strumento didattico. Sembra più una piattaforma per scambiarsi messaggi. Ma i software usati per le BBS negli anni Novanta erano meglio: almeno visualizzavano una bandierina sulle discussioni per cui c'erano messaggi da leggere. Weschool non fa questo e, oltra alla "board" non ha altre funzionalità. Quindi... bisogna riguardare tutte le discussioni e vedere se ci sono risposte, se le maestre hanno messo dei commenti e così via. Una a una.

Edmodo è un po' meglio perché, oltre a funzionalità "tipo Facebook", permette agli insegnanti di dare i compiti e farli visualizzare in una sezione apposta, ma solo se sono attivati come "eventi". Le risposte delle insegnanti sono notificate insieme a "tutto il resto" (e chi usa Facebook si può immaginare) e, nella versione per tablet, non è possibile nascondere le notifiche già approfondite.

Insomma: nulla che un uso attento dell'email o di WhatsApp non avrebbe permesso.

Ferruccio Militello, che fa il DPO per alcune scuole, mi conferma che alcune scuole superiori erano già avanti nel processo, ma altre no e hanno dovuto iniziare "in corsa" l'uso di questi strumenti, senza però che i dirigenti scolastici e gli insegnanti abbiano mai ricevuto formazione in materia (e non parliamo della privacy).

Aggiunge Ferruccio (e io appoggio il suo punto di vista): "Vale la pena sottolineare, a mio modo di vedere, che con uno staff importante e strutturato il MIUR avrebbe dovuto pensarci piuttosto che lasciare iniziativa ai singoli".

Io sarei brutale e direi che siamo di fronte alla solita cretinata di voler imporre tecnologia senza farsi domande.

A questo aggiungiamo il caso di Zoom: si è dimostrato che condivide i dati con Facebook (e molti istituti suggeriscono questo strumento per tenere le lezioni):
- https://www.repubblica.it/tecnologia/sicurezza/2020/03/27/news/zoom_l_app_per_videoconferenze_condivide_i_dati_con_facebook-252458567/.

Poi dicono di aver risolto, ma la questione fa rabbrividire:
https://www.repubblica.it/tecnologia/sicurezza/2020/03/29/news/privacy_zoom_ripara_la_falla_di_sicurezza_non_eravamo_a_conoscenza_dei_dati_raccolti_da_f
acebook_-252611458/.

Poi certamente è bello pensare che ci sono strumenti gratuiti da usare, ma si sa che non sono veramente gratuito in quanto pagati con i dati. E qui si parla di dati di minorenni.

C'è anche la solidarietà digitale (https://solidarietadigitale.agid.gov.it), ma questo è un altro argomento su cui dovrei riflettere molto di più: come sono stati selezionati, perché tanti offrono servizi basati sui soliti OTT (Google, Amazon, Facebook, Apple) e perché anche in questo non si sia approfittato per promuovere una digitalizzazione reale.

ISO 22313:2020 sulla business continuity

Franco Vincenzo Ferrari di DNV GL Business Assurance mi ha segnalato la pubblicazione della nuova versione della ISO 22313 dal titolo "Guidance on the use of ISO 22301":
- https://www.iso.org/standard/75107.html.

Non l'ho (ancora) letta e quindi non la commento.

Pubblicata una correzione alla ISO/IEC 27006

Pubblicato l'Amendment 1 della ISO/IEC 27006:2015 ("Requirements for bodies providing audit and certification of information security management systems":
- https://www.iso.org/standard/77722.html.

Poca roba, di (scarso) interesse anche per gli organismi di certificazione. Piccole puntualizzazioni su cose marginali.

Ricordo che la ISO/IEC 27006 è la norma che devono applicare gli organismi di certificazione, non le organizzazioni che intendono certificarsi.

Libro: IoT Security e Compliance

E' uscito il libro "IoT Security e Compliance" della Community for Security del Clusit:
- https://iotsecurity.clusit.it.

Anche io appaio tra gli autori.

lunedì 30 marzo 2020

Corea del Sud e Italia, cultura e tecnologia

Anche io entro in questa amena discussione sull'applicazione usata in Corea del Sud che permetterebbe di tracciare i movimenti delle persone e contrastare il diffondersi del COVID-19. Un articolo tra i tanti, che mi sembra molto esaustivo (grazie a un retweet di @brunosaetta):
- https://www.valigiablu.it/coronavirus-dati-tecnologia/.

Questo articolo, sempre su Valigia Blu, ma da un tweet di @fpietrosanti, parla di Singapore:
- https://www.valigiablu.it/coronavirus-singapore-contact-tracing-tecnologia-privacy/.

Molte critiche. Credo che questo articolo (da un retweet di @gbgallus) riassuma la questione:
- https://www.techeconomy2030.it/2020/03/21/coronavirus-contact-tracing-emergenza-sanitaria-cancella-altri-diritti/.

Il mio commento è che troppo spesso si pensa alla tecnologia senza pensare a tutti gli altri fattori (anche altri dicono, con parole più o meno diverse, questa stessa cosa). Siamo, come al solito, in mano a quelli che ragionano per tool e non per cultura e processi con risultati sempre negativi, come ho già scritto in passato.

Per esempio, ecco alcuni elementi culturali a cui ho pensato e che non ho visto approfonditi:
- nei Paesi asiatici l'uso della mascherina è molto più diffuso anche per le "normali" influenze (guardatevi in giro e pensate a quanti non si mettono la mascherina per non sembrare buffi; una mamma infermiera mi ha detto che sua figlia ha pianto quando l'ha vista con la mascherina);
- nei Paesi asiatici, solitamente, le persone appena possono stanno più distanti che da noi (giusto sabato ho visto uno che a piedi superava un'altra a non più di 5 cm di distanza e mi sono chiesto perché tanta fretta; al supermercato si vede sempre il "corridore" che, evidentemente per tornare a casa in fretta, si avvicina a tutti e senza mascherina);
- nel nostro Paese il richiamo alle regole genera fastidio e anche derisione, piuttosto che solidarietà (venerdì, dal fruttivendolo, mi sono arrabbiato con il garzone che, senza mascherina, continuava a passarmi vicinissimo e, ovviamente, io ho fatto la figura del rompiscatole, non lui quella dello sconsiderato);
- non abbiamo mascherine neanche le volessimo.

Proprio il 30 marzo è uscito un articolo sul Corriere della Sera dal titolo "Controlli: 5.000 multati (e 50 positivi in giro)". Il problema non è quindi l'uso delle tecnologie, se una domenica 50 persone positive vanno in giro e 5.000 vanno in giro senza alcuna ragione. Mi spiace, ma forse l'articolo è "bloccato". Ad ogni modo, il link è questo:
- https://www.corriere.it/politica/20_marzo_30/coronavirus-sabato-nero-controlli-5000-multe-quei-50-positivi-spasso-8dae3e98-71f8-11ea-b6ca-dd4d8a93db33.shtml.

Sulla questione delle mascherine, sempre il 30 marzo è uscito un articolo sul Corriere della Sera:
- https://www.corriere.it/dataroom-milena-gabanelli/coronavirus-perche-non-si-trovano-mascherine/7233d98a-71fc-11ea-b6ca-dd4d8a93db33-va.shtml.

Mi vengono poi ulteriori domande sulla reale capacità di usare questi strumenti, su quante persone competenti ci sono in giro per installarli, usarli efficacemente e mantenerli. Visto che già nelle aziende private vedo situazioni imbarazzanti, mi permetto di avere qualche dubbio per un progetto pubblico di questa dimensione (e ho anche dei dubbi sui tempi; ora che sarà tutto pronto spero che l'emergenza sarà finita).

venerdì 27 marzo 2020

Linee guida AgID per usare SPID per firmare

Diego Padovan degli Idraulici della privacy ha segnalato le Linee guida AgID contenenti le "Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell'art. 20 del CAD":
- https://anorc.eu/attivita/firmare-i-documenti-con-spid-emanate-le-linee-guida-agid/.

I destinatari delle Linee Guida sono i fornitori dei servizi SPID. Ma interessa anche chi con SPID ha poco a che fare perché potrà utilizzare SPID per sottoscrivere atti e contratti aventi validità giuridica. Molto utile.

domenica 22 marzo 2020

Corona virus e privacy (quarta parte - una riflessione)

Riccardo Lora degli Idraulici della privacy ha condiviso questa riflessione di Matteo Flora dal titolo "La Guida Completa allo Stato di Polizia":
- https://www.youtube.com/watch?v=rsu-LHNcyEM.

Quindi c'è qualcuno che studia le cose prima di voler importare soluzioni da altri Paesi senza un minimo di analisi!

mercoledì 18 marzo 2020

Corona virus e privacy (terza parte - EDPB)

Il 16 marzo, sempre in merito alla raccolta di dati da parte delle aziende e all'elaborazione dei dati di posizionamento in possesso delle compagnie di telecomunicazioni per fronteggiare l'emergenza COVID-19, l'EDPB ha fatto una dichiarazione:
- https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_it.

Mi è sembrata meno approfondita di quello che speravo.

Ringrazio sempre la mia fonte (anonimizzata).

Corona virus e privacy (seconda parte)

Avevo scritto il 1 marzo sulle fantasiosie interpretazioni privacy ai tempi del COVID-19:
- http://blog.cesaregallotti.it/2020/03/corona-virus-e-privacy.html.

E però non avevo detto che il giorno dopo il Garante aveva fatto un comunicato proprio su questo argomento (ringrazio chi me l'ha segnalato):
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117.

Me ne scuso. Anche perché il Garante, più o meno, era sulla mia stessa linea di pensiero. Dico "più o meno" perché la posizione del Garante è ovviamente più approfondita della mia.

Su questo aggiungo che mi sto ponendo un'altra questione: se una persona è venuta nei locali di un'azienda e si è successivamente accorta di essere infetta e poi telefona all'azienda per segnalare l'evento, come deve comportarsi l'azienda? Io, indicativamente, direi che l'azienda dovrebbe identificare le persone e informare le persone con cui è entrata in contatto. E quindi questa cosa andrebbe prevista e gli interessati informati.

Certo... dovrei cercare di passare dal medico del lavoro. Però la situazione non mi sembra facile.

Detto questo, mi è arrivata notizia che sono arrivate segnalazioni di data breach e anche reclami relativi a persone la cui privacy è stata violata perché positivi al COVID-19 (p.e. attraverso diffusione su social del nome della persona, diffusione dei risultati del test, pubblicazione del provvedimento di isolamento).

Accanto a questo trovo incredibile (e inquietante) il diffondersi delle notizie relative ai magnifici risultati della Corea del Sud che ha usato i dati personali dei cittadini per contrastare efficacemente il COVID-19. Su questo ho i miei dubbi perché non ho sufficienti notizie. Forse dovremo rimandare le valutazioni sull'efficacia degli interventi alla fine dell'emergenza e poi dovremo anche considerare le grandi differenze tra i nostri Paesi, che forse celano ulteriori cause per i risultati ottenuti (ricordo, per esempio, che in certi Paesi è normale indossare la mascherina quando si ha il raffreddore; ma dovremmo anche riflettere sui diversi regimi politici e altre condizioni).

lunedì 16 marzo 2020

Solidarietà digitale

Lo Studio legale Stefanelli & Stefanelli mette a disposizione dei documenti standard, predisposti dai professionisti dello studio, soprattutto relativi alla privacy, utili per riorganizzare i processi interni in questo momento di emergenza per il COVID-19:
https://www.studiolegalestefanelli.it/it.

Iniziativa lodevole. Io adotto uno stile meno formale, ma ho apprezzato molto i modelli predisposti.

domenica 15 marzo 2020

"Pandemic Planning and Implementation for Business Resiliency" dal BCI

Segnalo questa breve pubblicazione dal titolo "Pandemic Planning and Implementation for Business Resiliency" del BCI e scritta da Laura Zarrillo (che ho il piacere di conoscere personalmente):
- https://www.thebci.org/news/coronavirus-pandemic-planning-and-implementation-for-business-resiliency.html.

Ci sono molte indicazioni interessanti.

venerdì 13 marzo 2020

Rapporto Clusit 2020

Il 17 marzo sarà pubblicato il Rapporto Clusit 2020. La pagina dove prenotarlo è (dal 17 marzo!):
- https://clusit.it/rapporto-clusit/.

Il rapporto è sempre interessante, anche se negli ultimi anni è sempre più apocalittico. Ne consiglio la lettura.

martedì 10 marzo 2020

ENISA e linee guida per la sicurezza negli ospedali

Mi hanno segnalato la pubblicazione di questa interessante guida dal titolo "Procurement guidelines for cybersecurity in hospitals":
- https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services.

L'ho trovata molto interessante, anche considerando che molte cose non sono applicabili solo agli ospedali ma a tutti gli ambienti "industriali".

Inoltre ho trovato interessanti la tassonomia di minacce, visto che sono 31 divise in 5 famiglie (molto maneggevoli, ma solo di tipo informatico). Accanto a queste, ho trovato utile la lettura delle sfide (challenge) e delle vulnerabilità (che indica impropriamente come "rischi").

Le misure sono un po' deludenti in quanto alcune troppo generiche, ma forse utili per alcuni lettori non troppo esperti della materia.

Segnalo la misura G 20 (Set gateways to keep legacy systems/machines connected) relativa ai dispositivi obsoleti e vulnerabili.

sabato 7 marzo 2020

Garante, Aruba e la gestione delle prime password e delle credenziali amministrative

Questo Provvedimento del Garante mi piace un sacco (non per Aruba, ma per il contenuto tecnico, ovviamente):
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9283040.

Da una verifica al servizio PEC di Aruba a seguito di alcune segnalazioni di violazioni, il Garante ha identificato 3 criticità:
- al momento dell'assegnazione iniziale della password ai titolari delle caselle di posta, non veniva richiesta la modifica obbligatoria con anche criteri di lunghezza e complessità (questo fino al 25 settembre 2019);
- accesso ai log da Internet di persone che usavano credenziali condivise (e di tipo amministrativo);
- memorizzazione, all'interno dei file di log applicativi, di troppi dati (incluse username e password riportate in chiaro).

Immagino tutti sappiano che queste sono criticità, ma tanti di noi sanno che spesso non sono affrontate per mille motivi (soprattutto di carico di lavoro e perché, ahinoi, inizialmente il servizio non è stato progettato pensando a questo aspetto). Ora il Garante ribadisce che vanno corrette. Non ha dato alcuna multa, ma spero che questo sia sufficiente per tutti.

giovedì 5 marzo 2020

IusLaw WebRadio: tutto sullo smart working

Segnalo la puntata del 2 marzo di IusLaw WebRadio dal titolo "Tutto sullo smart working":
- https://webradioiuslaw.it/speciale-adeguamento-privacy-tutto-sullo-smart-working/.

Riassume molte delle cose che ci stiamo dicendo in questi giorni. Interessante però il fatto che, sebbene sia una puntata nata dalla situazione contingente, cerca di uscire dalla contingenza vera e propria.

Successivamente, molte cose dette a voce sono state ribadide per iscritto:
- https://www.agendadigitale.eu/sicurezza/smart-working-come-garantire-sicurezza-informatica-e-privacy/.

Aggiungo che, quando si parla di smart working, mi piacerebbe approfondire anche le tematiche non di sicurezza, visto che lo strumento può introdurre inefficienze e problemi, che poi si riversano sulla sicurezza. Esempi che mi vengono in mente: come assicurare la presenza di un ambiente "alienante" (ossia che produce ricchezza ai partecipanti grazie alla presenza degli "altri", al contrario degli ambienti "estranianti"), come evitare il senso di solitudine, come educare al movimento fisico. Segnalo che si tratta di cose di cui ho parlato con alcune persone in questi giorni, visto che le stiamo sperimentando direttamente.

BCI Horizon Scan Report 2020

Il BCI ha pubblicato il rapporto "BCI Horizon Scan Report 2020" sui rischi di interruzione delle attività:
- https://www.thebci.org/resource/bci-horizon-scan-report-2020.html.

Non è relativo ai servizi informatici, ma a tutti i tipi di organizzazione.

Il primo rischio, quest'anno, è quello di pandemia, che ha superato quello di interruzione dei servizi informatici. Nulla di sorprendente...

Sanzione del Garante in ambito sanitario

Mi hanno segnalato questo interessante provvedimento del Garante privacy "Ordinanza ingiunzione nei confronti di Azienda Ospedaliero Universitaria Integrata di Verona" del 23 gennaio 2020 (doc web 9269629):
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9269629.

Qui trovo interessante la prima osservazione del Garante (punto 6, primo elemento dell'elenco puntato). La traduco: "vi multo perché avete dimostrato di non aver adottato misure idonee, visto che sin dal 2013 vi dicevo di attuare le misure che, mancando, vi hanno portato ad una violazione di dati personali".

Traduco ulteriormente: meglio seguire le misure segnalate dal Garante.

mercoledì 4 marzo 2020

Si fa presto a dire "smart working"

Da milanese, sono interessato ad alcune cose sul corona virus. Una di queste riguarda il consiglio di attivare il lavoro da casa. Sono numerosi gli articoli e gli interventi che, in sintesi, dicono di pensare alla continuità operativa e di attivare lo smart working. Alcuni più prolissi, altri più sintetici, ma trovo pochi approfondimenti (ho già consigliato una buona pubblicazione svizzera poco tempo fa).

Nella mia vita lavorativa e in questi giorni ho però raccolto alcune indicazioni per cui dire "lavoro da casa" (o, "lavoro agile" o, in inglese, "smart working", anche se non sempre è agile - ci si alza meno dalla sedia e qualcuno ne ha sentito la fatica -, non sempre è da casa e non sempre è furbo) non è così semplice.

Prima: molti contratti non lo prevedono. E allora ringrazio la circolare di Borioli & Colombo che mi ha segnalato il fatto che sono state attivate misure provvisorie per accedere a questo strumento. Ecco il link:
- https://www.lavoro.gov.it/strumenti-e-servizi/smart-working/Pagine/default.aspx.

Interessante ricordarsi dei rischi e la circolare segnala il sito dell'INAIL (che, colpevolmente, non conoscevo per niente):
- https://www.inail.it/cs/internet/attivita/prevenzione-e-sicurezza/conoscere-il-rischio.html.

Seconda: non tutti hanno il pc portatile aziendale; non tutti quelli che ce l'hanno se l'erano portato via il venerdì sera. Ancora peggio: alcuni non hanno proprio un pc in casa (né quello aziendale). E altri ancora non hanno connessioni sufficienti per il telelavoro. Bisognava preventivamente fare un censimento della strumentazione che la persona metterebbe a disposizione e SE è disponibile a farlo. Sono questioni non semplici, su cui alcuni ci stanno lavorando da anni per trovare la giusta quadra tra le esigenze aziendali e quelle dei lavoratori.

Terza: se è richiesto il BYOD con strumenti di emergenza (ossia il pc personale che fino a ieri non era previsto fosse usato per ragioni di lavoro), come configurare questi strumenti? Come la singola persona può installarsi il software per la VPN o il software necessario? E si ricorda tutte le password? Come sopra, questo doveva essere pianificato preventivamente. Devo dire che ho visto aziende molto organizzate per questo tipo di situazione, ma la maggior parte non lo è.

Quarta: se è tutto a posto, l'organizzazione ha la capacità per sostenere tutto il traffico, che prima era interno, da Internet e sulle VPN?

Quinta: ora che la riunione non la facciamo più in una sala riunioni in azienda, riusciremo a farla ognuno in casa propria e con i bambini a casa da scuola?

Ripeto: queste sono questioni che ho visto direttamente e che mi sono state poste da alcuni clienti nel corso degli anni. Sicuramente ce ne sono altre e sarebbe interessante raccoglierle in modo da migliorare le nostre competenze.

Alla fine di questo elenco di possibili problemi, devo dire che molti hanno attivato il "lavoro da casa" con successo e quindi forse alcuni miei dubbi non sono così significativi.

martedì 3 marzo 2020

Manuale per il piano pandemico

Guido Uglietti mi ha segnalato questo interessante manuale dell'Ufficio federale della sanità pubblica della Confederazione Svizzera:
- https://www.bag.admin.ch/bag/it/home/krankheiten/ausbrueche-epidemien-pandemien/pandemievorbereitung/pandemiehandbuch.html.

E' ovvio che i tempi sono questi, ma penso che questo manuale sia fatto bene e completo (anche se, come sempre succede, in ogni situazione emergono casi particolari vari).

lunedì 2 marzo 2020

Articolo sull'accreditamento dei laboratori di VA

Appena pubblicato il mio articolo sull'accreditamento, Paolo Sferlazza di Gerico mi ha segnalato un suo articolo dal titolo "L'accreditamento dei laboratori che effettuano Vulnerabily Assessment":
- https://www.ictsecuritymagazine.com/articoli/laccreditamento-dei-laboratori-che-effettuano-vulnerabily-assessment/.

Mi pare un ottimo approfondimento su questo tipo di accreditamento.

Mio articolo sull'accreditamento

E' stato pubblicato questo mio articolo dal titolo "Accreditamento e certificazioni: regole, metodologie e norme di riferimento":
- https://www.cybersecurity360.it/legal/accreditamento-e-certificazioni-regole-metodologie-e-norme-di-riferimento/.

Mi ha chiesto un po' di lavoro di studio, visto che volevo essere sicuro dei tipi di accreditamento di cui volevo scrivere.

Mi spiace che nei ringraziamenti non appaia Stefano Ramacciotti insieme a Franco Ferrari e Alice Ravizza. Purtroppo per colpa mia e per la mia fretta di inviare l'articolo (anche se quelli di Cybersecurity 360 potrebbero correggerlo senza fatica).

Traduzione in italiano della ISO 22301

E' stata pubblicata la ISO 22301:2019 in italiano. Come spesso succede, visto che il recepimento come norma UNI e la traduzione sono successive al recepimento come norma europea (EN), la norma prende nome UNI EN ISO 22301:2019:
- http://store.uni.com/catalogo/uni-en-iso-22301-2019.

domenica 1 marzo 2020

Corona virus e privacy

Lo confesso... non ce l'ho fatta e ho risposto su LinkedIn a questo articolo dal titolo "Tutelare la privacy sui luoghi di lavoro ai tempi del coronavirus: ecco come":
- https://www.cybersecurity360.it/news/tutelare-la-privacy-sui-luoghi-di-lavoro-ai-tempi-del-coronavirus-ecco-come/.

Purtroppo ho risposto malamente anche ad uno come Luca Bolognini, da cui dovrei solo imparare.E però volevo avere un'occasione per allegare la foto che segue. Non riesco a risalire all'autore, ma spero accetti questa diffusione.


Comunque... come descritto dall'articolo, alcune aziende mandano questionari ai dipendenti, collaboratori e visitatori per chiedere se sono stati in Cina o Codogno o se sentono i sintomi del corona virus. Alcuni consulenti privacy si chiedono quanto tempo conservare questi dati e come fare l'informativa.

La risposta è già nella domanda: il trattamento è completamente inutile e proprio per questo non è possibile stabilire i tempi di conservazione dei dati e come fare l'informativa.

Una risposta più tecnica è che, per il principio di minimizzazione, meglio sarebbe non raccogliere proprio i questionari, visto che ci sono strade alternative. Ossia informare bene le persone e dire loro cosa devono fare. Fare un bello schema, magari ispirandosi alle FAQ del Ministero della salute: http://www.salute.gov.it/portale/nuovocoronavirus/dettaglioFaqNuovoCoronavirus.jsp?lingua=italiano&id=228.

Viene da chiedersi come possa essere venuto in mente alle aziende di raccogliere i dati per proteggere il proprio personale. Infatti saprebbero interpretare le risposte? Se uno dice di essere stato a Codogno, sanno cosa fare? E allora perché chiederlo a tutti e non dire semplicemente cosa devono fare quelli che sono stati a Codogno? E poi, come interpretare i sintomi?

Purtroppo alcuni pensano di fare la cosa "giusta" (e soprattutto coprirsi le spalle) inviando questionari e raccogliendo dati, senza chiedersi cosa farsene veramente e senza fare reale informazione. La burocrazia inutile, purtroppo, sembra sempre una buona soluzione, ma non lo è.

Alcuni si sono lamentati perché il Garante non si pronuncia. Ma il Garante non è competente per dire cosa fare in caso di emergenza in sanità. Quindi non sa dire se è necessario per le aziende raccogliere i dati delle persone (visitatori e dipendenti e simili) per tutelare le aziende. Quindi: prima l'autorità competente (Ministero della salute? Protezione civile? non lo so perché su questo sono assolutamente impreparato) deve dire quali misure intraprendere, poi (o consultanto preventivamente) il Garante dirà la sua nel caso in cui queste misure includano il trattamento dei dati personali.

Se consultato preventivamente, immagino chiederà (come dovremmo fare noi consulenti privacy) se è proprio necessario raccogliere i dati personali o non ci sono altre strade per ottenere gli stessi (o forse migliori) risultati.

PS: qualcuno mi ha detto che dovrei essere meno "massimalista". Sono comunque pronto a sapere se ci sono eccezioni da cosiderare (ossia aziende che devono necessariamente raccogliere dati personali per il corona virus e non possono seguire strade alternative).

martedì 25 febbraio 2020

Successo e insuccesso

Mia sorella scrive di coaching e non sempre riesco a capire l'ambito del suo lavoro. Però molte cose di cui scrive mi incuriosiscono. Questa volta segnalo quindi un articolo di Anna Gallotti e Selika Cerofolini dal titolo "2020: è tempo per una nuova definizione di successo". Credo che non sia pubblicato da qualche parte pubblica.

Provo a mandare questi due link:
- prima parte:
http://share-coach.benchurl.com/c/v?e=F8AD48&c=98BAC&t=0&l=3ADF5DA4&email=Hu
T9fCkN5V9LzXF31Fidn0kDNvJcItyC5mrjfCIPaW83Ih4P1WxctQ%3D%3D
;
- seconda parte:
http://share-coach.benchurl.com/c/v?e=FD7327&c=98BAC&t=0&l=3ADF5DA4&email=Hu
T9fCkN5V9LzXF31Fidn0kDNvJcItyC5mrjfCIPaW83Ih4P1WxctQ%3D%3D
.

Innanzi tutto bisogna considerare che il successo è un mito moderno. Viviamo nell'"illusione della meritocrazia", per citare il filosofo Alain de Botton, dove non solo riteniamo che le possibilità di scalare la vetta siano infinite, ma anche che, poiché è possibile, dobbiamo farlo, nel modo in cui ci dicono di farlo.

Però nessuno può avere successo in tutto, e sicuramente non sempre, indipendentemente da ciò che ci dicono. Il tempo per la famiglia paga spesso il prezzo di una carriera brillante ad esempio, ed è difficile essere popolari mantenendo una incrollabile integrità. La buona notizia è che possiamo scegliere quali sono le nostre priorità.

L'articolo dice altre cose interessanti. Per quanto riguarda gli argomenti di cui mi occupo, possiamo trarre questa sintetica lezione (se già non l'avessimo presa da altre parti): non si può avere la sicurezza perfetta, la qualità perfetta, la privacy perfetta, eccetera. Dobbiamo toglierci queste illusioni e decidere quali sono le priorità.

Cybersecurity Maturity Model Certification (CMMC)

Avevo già incontrato il CMMC durante la lavorazione del libro sull'IoT che sarà presentato al prossimo Security summit (o chissà quando, visto il corona-panico). Franco Vincenzo Ferrari di DNV GL Business Assurance mi ha poi inoltrato un link interessante.

Ma andiamo con ordine. Il primo link che propongo è quello dal titolo "Understanding Cybersecurity Maturity Model Certification (CMMC)":
- https://www.securityorb.com/featured/understanding-cybersecurity-maturity-model-certification-cmmc/.

Qui capisco quanto segue:
- chi vorrà lavorare con il DoD degli USA dovrà conseguire questa certificazione;
- la certificazione è basata su 5 livelli;
- a gennaio era prevista la pubblicazione del materiale anche a scopo di formazione.

Il secondo articolo (grazie a Franco) ha titolo "Cybersecurity Maturity Model Certification (CMMC) Levels" e presenta più dettagli:
- https://securityboulevard.com/2020/01/cybersecurity-maturity-model-certification-cmmc-levels/.

Il terzo URL (grazie ancora a Franco) è quello delle FAQ ufficiali:
- https://www.acq.osd.mil/cmmc/faq.html.

Quindi gli USA stanno producendo il loro schema proprietario di sicurezza informatica, promuovendo ulteriormente schemi in contrasto con quelli ISO o simili. Chi non ha poteri politici, come me, potrà solo guardare come la situazione si evolverà.

Conservazione dei documenti informatici, cloud e blockchain

Segnalo questo articolo di Andrea Lisi di ANORC dal titolo "La conservazione dei documenti informatici non si fa in cloud o in blockchain":
- https://anorc.eu/attivita/la-conservazione-dei-documenti-informatici-non-si-fa-in-cloud-o-in-blockchain/.

Il titolo dice già tutto e quindi non commento ulteriormente, ma ne raccomando la lettura.

lunedì 24 febbraio 2020

Nuova versione della ISO/IEC 27002 sugli audit agli ISMS

Franco Vincenzo Ferrari di DNV GL Business Assuranche mi ha segnalato la pubblicazione della ISO/IEC 27007:2020 dal titolo "Guidelines for information security management systems auditing":
- https://www.iso.org/standard/77802.html.

Non grandi cambiamenti rispetto alla precedente versione, a parte l'allineamento alla ISO 19011:2018, di cui scrissi a suo tempo:
- http://blog.cesaregallotti.it/2018/07/nuova-iso-190112018-guida-per-laudit.html.

sabato 22 febbraio 2020

Sistema di gestione e Gdpr: integrare Mop e Mog

Segnalo questo articolo dal titolo "Sistema di gestione e Gdpr: integrare due modelli (Mop e Mog) per evitare sanzioni":
- https://www.agendadigitale.eu/sicurezza/privacy/sistema-di-gestione-e-gdpr-integrare-due-modelli-mop-e-mog-per-evitare-sanzioni/.

L'hanno scritto due persone che stimo molto e che propongono sempre idee molto interessanti.

giovedì 20 febbraio 2020

Cifratura dei backup iPhone e Android

Da Crypto-Gram del 15 febbraio, segnalo questi due articoli sulla cifratura dei backup degli iPhone. Il primo ha titolo "Apple dropped plan for encrypting backups after FBI complained":
- https://www.reuters.com/article/us-apple-fbi-icloud-exclusive-idUSKBN1ZK1CT.

Il secondo ha titolo "Apple may have ditched encrypted backups, but Google hasn't":
- https://www.androidcentral.com/apple-may-have-ditched-encrypted-backups-google-hasnt.

Mi pare che i titoli dicano già tutto sulla questione della cifratura dei backup degli smartphone. Io sono sempre stato restio a fare i backup del mio cellulare (anche per la ridotta quantità di dati), ma a questo punto riconsidererò la cosa per l'Android.

mercoledì 19 febbraio 2020

Poster dell'NSA sulla sicurezza (anni 50 e 60)

Da Crypto-gram del 15 febbraio, segnalo i "NSA Security Awareness Posters":
https://www.schneier.com/blog/archives/2020/01/nsa_security_aw.html.

Sono 136 poster. Alcuni sono un po' datati, ma altri sono decisamente interessanti.

Compromissione delle password dei dispositivi IoT

Da Crypto-Gram del 15 febbraio 2020 segnalo questo articolo dal titolo "Half a Million IoT Device Passwords Published":
- https://www.zdnet.com/article/hacker-leaks-passwords-for-more-than-500000-servers-routers-and-iot-devices/.

Un hacker ha pubblicato le password di accesso a mezzo milione di dispositivi accessibili via Telnet e con password o di fabbrica (quindi mai cambiate dall'utilizzatore) o molto semplici.

Tutto questo dimostra, ancora una volta, come questi dispositivi sono progettati e sviluppati, visto che fanno uso di protocolli da tempo considerati insicuri e non prevedono procedure affinché gli utenti li installino in modo sicuro senza fatica.

lunedì 17 febbraio 2020

01- 18 marzo 2020: mio intervento su IoT al Security summit

Il 18 marzo interverrò al Security summit di Milano (un altro intervento, del 19, l'ho già segnalato).

L'intervento, alle 9.30, riguarda il libro "IoT Security e Compliance: gestire la complessità e i rischi", che sarà pubblicato in quei giorni:
- https://securitysummit.it/agenda-details/520.

PS: il Security summit è slittato in date in cui ho già un impegno non modificabile e pertanto quasi sicuramente non ci sarò.

venerdì 14 febbraio 2020

19 marzo 2020: mio intervento su ISO/IEC 27701 al Security summit

Il 19 marzo alle 16.10 interverrò al Security summit di Milano su "Certificazione della protezione dei dati personali":
- https://securitysummit.it/agenda-details/532.

Io cercherò di spiegare in pochissimi minuti la ISO/IEC 27701. Sento già la musichetta di Mission impossible...

giovedì 13 febbraio 2020

VERA 5 in inglese

Ho caricato la versione in inglese di VERA 5.

La trovate qui insieme alla versione in italiano aggiornata alla 5.0.1 (ho corretto un piccolo refuso):
- https://www.cesaregallotti.it/Pubblicazioni.html.

sabato 8 febbraio 2020

Primi ammonimenti sulle violazioni di dati personali

Questa notizia l'avevo presa sotto gamba: la Provincia di Trento ha inviato un'email alle famiglie con bambini non in regola con l'obbligo vaccinale con i nominativi in chiaro (ossia non nel campo bcc o ccn):
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9261234.

La newlsetter del Garante l'aveva infatti messa sotto il titolo "Salute: Garante, no alla e-mail con più indirizzi in chiaro" e non mi sembrava potesse dire cose nuove o inaspettate. Ma qualcuno mi ha fatto notare che il titolo sarebbe potuto essere "Primi ammonimenti su data breach" e la cosa, credo, si fa molto più interessante perché fornisce un'idea di come il Garante intende approcciare le situazioni.

giovedì 6 febbraio 2020

EN 16234-1: 2019 - Quadro e-Competence (e-CF)

E' stata pubblicata la nuova versione dell'e-CF. La notizia me l'ha data la newsletter I see T di Uninfo:
- https://uninfo.it/index_pages/news/focus/1580812766424.html.

Ricordo che e-CF permette di classificare le competenze in ambito informatico e può servire per la ricerca di determinate competenze, come peraltro promosso da AgID.

Io non sono un grande fan di questa iniziativa perché la trovo un po' troppo elaborata. Ciò non ostante, penso che sia comunque utile conoscerla, visto che è alla base anche di norme italiane relative ai profili professionali in ambito sicurezza (UNI 11621-4) e privacy (UNI 11697).

lunedì 3 febbraio 2020

Le peggiori password del 2019

La pagina "Here are the most popular passwords of 2019":
- https://nordpass.com/blog/top-worst-passwords-2019/.

Mi rendo conto che la pagina è soprattutto utile a NordPass, produttore di uno strumento di password management che non conosco e che non posso né raccomandare né sconsigliare, ma si tratta sempre di una buona risorsa.

In passato l'iniziativa era di TeamsID, altro Password manager (o è lo stesso che ha cambiato nome? non ho proprio verificato), ma quest'anno non l'ha ripetuta.

sabato 1 febbraio 2020

Mean Time to Hardening

Niccolò Castoldi mi ha segnalato questo interessante articolo dal titolo "Mean Time to Hardening: The Next-Gen Security Metric":
- https://threatpost.com/mean-time-hardening-next-gen-security-metric/151402/?mc_cid=9b25b37c64&mc_eid=e2b3a4cb20.

Ho i miei dubbi sull'applicabilità di quanto scritto, ma è indubbiamente interessante il ragionamento sui tempi da rispettare per l'hardening: 24 ore (che lo stesso autore ritiene molto sfidanti).

Antivirus Avast free e la rivendita dei dati

Aldo Colamartino mi ha segnalato questo interessante articolo:
- https://www.ilsoftware.it/articoli.asp?tag=Avast-nell-occhio-del-ciclone-la-versione-free-rastrella-i-dati-degli-utenti_20626.

Non è il primo caso di questo tipo, ma mi pare interessante che proprio attraverso un prodotto di sicurezza siano trattati con tanta disinvoltura i dati degli utilizzatori.

Sempre più prodotti propongono agli utenti di inviare i dati a scopi di "analisi delle prestazioni", ma è ovvio che forse questa non sia l'unica finalità.

ENISA on-line tool for the security of data processing

Giulio Boero e Pierfrancesco Maistrello mi hanno segnalato il "ENISA on-line tool for the security of data processing":
- https://www.enisa.europa.eu/risk-level-tool.

Bisogna poi premere sull'icona "Evaluating the level of risk for a personal data processing operation".

Riporto il commento di Giulio Boero, che condivido:

<<
Questo tool mi pare molto "dritto allo scopo" (come un po' l'approccio dell'ENISA ultimamente, senza troppi fronzoli e molto pragmatico) e anche graficamente gradevole.

E' basato fondamentalmente su due punti:
- un self-assessment calibrato sui controlli ISO/IEC 27001:2013 per "vedere" il posizionamento di un'organizzazione rispetto al trattamento dei dati personali; alla fine si può anche esportare un report abbastanza utile;
- un tool che verifica il rischio sul trattamento dei dati personali a partire dalle classiche domande RID fino ad arrivare a quesiti più verticali riguardanti la relazione tra il dato personale trattato e la criticità rispetto al settore di business dell'organizzazione. Forse la formula finale (la classica threat*impact = risk) poteva essere migliorata, ma come detto l'idea di fondo è che questo tool sia utile e costituisca una buona (ottima?) base di partenza; ed è qualcosa che forse mancava e di cui si sentiva il bisogno.
>>

Riporto anche il commento di Pierfrancesco Maistrello e dico che condivido anche questo:

<<
Il tool non permette di valutare l'abbattimento del rischio in relazione alle misure adottate.

In sintesi, lo strumento dice:
1. ecco qui un processo documentato e dimostrabile di valutazione del rischio;
2. a fronte dei risultati, ti sforno una lista di misure che applicherai.
>>

Io aggiungo due cose a cui bisogna stare attenti:
1- i calcoli sono tutti basati sul massimo e le formule sono molto ma molto più semplici di quanto la presentazione fa immaginare; approvo l'approccio, ma si rischia di rimanere delusi;
2- per la valutazione delle minacce, sono fatte tante domande intermedie, ma alla fine chiede una valutazione complessiva; il meccanismo non è quindi automatico; ancora una volta: nulla di male ma si rischia la delusione.

Non mi resta che ringraziare Giulio e Pierfrancesco per la segnalazione.

Linee guida EDPB su videosorveglianza

L'EDPB ha pubblicato la versione finale delle "Guidelines 3/2019 on processing of personal data through video devices". A luglio aveva pubblicato una prima versione per consultazione pubblica:
- https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en.

Al momento non mi sembra disponibile la versione in italiano.

Dopo una prima lettura, segnalo alcuni aspetti per me degni di nota:
- non è sempre richiesta la PIA, soprattutto per i casi tipici in cui è usata la videosorveglianza (ossia la sicurezza, con un numero limitato di persone che accedono ai video in tempo reale o registrati); da osservare che neanche il "Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d'impatto" del nostro Garante impone la PIA per ogni tipo di videosorveglianza;
- è lungamente trattata la "eccezione per scopi domestici";
- sono altrettanto lungamente trattate le basi legali per il trattamento, ma è chiaro che in molti casi queste non possono includere il consenso;
- non tratta, purtroppo, il caso di pubblicazione di video di eventi;
- include, e questo è importante, un capitolo sul trattamento di dati biometrici (riconoscimento facciale), che potrebbe essere considerato anche più in generale e non solo per i video;
- sulle informative propone un nuovo modello rispetto a quello del Garante (ma nulla vieta di adattare il precedente) e richiede che sia disponibile un'informativa più dettagliata rispetto a quella minima sul cartello;
- stabilisce che, per la video sorveglianza, 72 ore di conservazione sono normalmente sufficienti e che un tempo più lungo debba essere giustificato (ricordiamoci che il nostro Garante ha stabilito che il tempo "normale" è di 24 ore e il massimo non dovrebbe essere superiore ai 7 giorni);
- sono suggerite misure di sicurezza non molto dissimili da quelle del Provvedimento italiano del 2010, ma comunque, in alcuni casi, più dettagliate.

Comunicato stampa Patch AI

Non faccio pubblicità nel mio blog e nella mia newsletter, ma questa volta c'è il mio nome su un articoletto del Sole 24 Ore:
- https://www.diritto24.ilsole24ore.com/art/avvocatoAffari/newsStudiLegaliEOrdini/2020-01-31/stefanelli-stefanelli-fianco-patchai-la-compliance-materia-gdpr-144610.php.

Quando mai mi ricapiterà?

sabato 25 gennaio 2020

Il DPO deve essere un legale (ma forse anche no) - Puntata AGCM

Sulla questione del DPO avvocato, si è inserita anche l'Autorità garante della concorrenza. Nel bollettino 1/2020 si trova infatti la decisione AS1636:
- https://www.agcm.it/pubblicazioni/bollettino-settimanale/2020/1/Bollettino%201/2020.

In breve: "l'Autorità auspica che le amministrazioni in indirizzo valutino con attenzione i requisiti da inserire nei propri bandi per la selezione dei RPD al fine di evitare restrizioni all'accesso alle selezioni che possano risultare sproporzionate e ingiustificate". In particolare dice: "con specifico riferimento al requisito dell'iscrizione all'albo professionale degli avvocati, esso appare discriminatorio e non giustificato".

Grazie a Pierfrancesco Maistrello per averlo segnalato agli Idraulici della privacy.

giovedì 23 gennaio 2020

NIST privacy framework

Avevo visto la notizia in giro, ma l'ho guardato grazie all'insistenza di Giancarlo Caroti. Si tratta del NIST privacy framework:
- https://www.nist.gov/privacy-framework.

Ho purtroppo visto confermate le mie ipotesi iniziali.

La prima riguarda la complessità: in tempi in cui molte persone devono capire cosa fare, si trovano misure le "Risk Assessment" e "Risk Management Strategy", le cui differenze sono ovvie, ma, allo stato pratico, non utili. Questo mi intristisce di più, perché dimostra quanto sia cambiato un ente che apprezzavo tantissimo per i suoi documenti pragmatici.

Ma questo è un ulteriore effetto dell'ampliamento della platea dei "professionisti della sicurezza e della privacy": per dimostrare di essere degno di questo titolo è necessario dimostrare sempre maggiore sofisticazione, dimenticando che la semplicità è la più alta espressione di sofisticazione. Ma questo si nota anche nell'uso a sproposito del termine "ecosistema", che è sì evocativo, ma scorretto e non degno di tecnici che, soprattutto in questi casi, dovrebbero usare "sistema".

Altra causa va ricercata nel fatto che il NIST è un organismo di supporto alle organizzazioni degli Stati Uniti, solitamente più grandi di quelle europee (e infatti adesso è ENISA quella che si sta distinguendo per le cose pragmatiche).

Ad ogni modo, a parte le mie elucubrazioni, vale sempre la pena leggere questo documento. Le misure di sicurezza, per quanto complicate, possono essere di aiuto.

domenica 19 gennaio 2020

Ispezioni GDPR della GdF (un resoconto)

Alberto Bonato mi ha reso partecipe di alcune ispezioni relative al GDPR condotte dalla Guardia di finanza..

Intanto è riuscito a prendere appunti sulla check list usata, che riporto:
1) struttura ed organizzazione della società;
2) titolarità dei trattamenti;
3) distribuzione delle funzioni;
4) tipologia e natura dei dati (inclusi videosorveglianza e dati biometrici);
5) modalità di acquisizione dei consensi;
6) numero degli interessati;
7) registro dei trattamenti;
8) responsabili (esterni);
9) DPO;
10) lista dei soggetti autorizzati, istruzioni fornite e loro formazione, con messa a disposizione delle eventuali nomine ad incaricati);
11) periodo di conservazione dei dati personali (oppure i criteri);
12) procedure per i diritti degli interessati;
13) comunicazione di dati a terzi, presupposti di legittimità, categorie dei soggetti destinatari e finalità del trattamento dei destinatari;
14) modalità con cui è fornita l'informativa;
15) misure tecniche e organizzative;
16) eventuali certificazioni.

Sono un po' perplesso sul 10, ma si tratta di una check list, non di un requisito.

Il 15, a sua volta, si suddivide in:
- eventuale pseudo-anonimizzazione e cifratura;
- capacità di assicurare riservatezza, integrità e disponibilità;
- capacità di ripristino in caso di incidente fisico o tecnico;
- procedura per testare, verificare e valutare regolarmente le misure;
- principali applicazioni;
- controllo accessi (userid e password; strong authentication);
- audit interni e presso responsabili;
- eventuali alert sui sistemi;
- eventuale backup.

Si noti come siano importanti backup e controllo accessi.

In merito al punto 12 sui diritti degli interessati, la GdF ha approfondito le procedure per dare modo all’interessato di esercitare i propri diritti, chiedendo anche se fossero stati predisposti moduli automatizzati o cartacei che l'interessato potesse compilare. Ma, come dice Alberto, "si è trattato di un confronto tutto verbalizzato e che poi seguirà risposta dal Garante".

Da osservare che hanno chiesto una relazione sul sistema informatico e hanno anche chiesto di accedere ai database per verificare la corrispondenza con il registro ai trattamenti.


In merito ad aziende con trattamento di dati sanitari, si sono soffermati sulla figura del DPO, chiedendo come il titolare fosse in grado di provare la effettiva attività del DPO. Hanno anche chiesto se esistesse una procedura "per tenere traccia dei problemi inerenti il trattamento di dati personali", ossia sulla gestione del registro delle violazioni.

I controlli hanno avuto durata tra i 3 e 4 giorni, con inizio verso le 9 del mattino e chiusura verbali intorno alle 22/23 di notte.

Ho chiesto ad Alberto come si fossero comportati gli ispettori e mi ha detto che si sono dimostrati gentili, corretti e professionali. Ho pensato che invece alcuni auditor ISO si comportano in modo ben diverso e sono contento di sapere che le nostre forze dell'ordine si siano dimostrate inappuntabili.