lunedì 20 febbraio 2017

Provvedimento su trattamenti dati sul posto di lavoro

Interessante Provvedimento del Garante privacy del 22 dicembre:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5958296.

Un ex dipendente di una società ha fatto reclamo per trattamento non idoneo
dei dati personali.

Ecco alcune lezioni che ne ho tratto:
- quando qualcuno lascia la società, la casella di email va disabilitata
senza permettere la ricezione e l'invio di messaggi;
- conservare le email per 10 anni è eccessivo, a meno che non tale termine
non sia giustificato (in generale, però, andrebbe sempre giustificato il
tempo di conservazione, anche se di molto inferiore ai 10 anni);
- se la Capogruppo gestisce servizi informatici per tutte le società del
Gruppo, tali società devono nominare Responsabile la Capogruppo.

Le 7 tecniche di attacco più pericolose

Il titolo è decisamente troppo enfatico. È una proposta del SANS, presentata
a RSA 2017, di lista:
- https://www.sans.org/the-seven-most-dangerous-new-attack-techniques.

Questa lista diventerà famosa oppure no? Per intanto, elenco gli attacchi:
- ransomware;
- uso del IoT per gli attacchi;
- ransomware per IoT (ti bloccano l'automobile e tu devi pagare per
sbloccarla);
- attacchi ai sistemi industriali di controllo (ICS);
- compromissione dei canali cifrati a causa di deboli generatori di numeri
casuali;
- attacchi dovuti all'uso di servizi web esterni usati come componenti
software;
- attacchi ai database noSQL.

E quindi cosa fare? Non lo dicono.

giovedì 16 febbraio 2017

ENISA Threat Landscape 2016

Quest'anno è Fabio Teoldi, che ringrazio, a segnalarmi la nuova versione
dell'ENISA Threat Landscape:
-
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016.

Questo rapporto è accompagnato da altri due rapporti più specialistici, uno
sull'hardware e uno sulle comunicazioni M2M:
- https://www.enisa.europa.eu/publications/hardware-threat-landscape;
-
https://www.enisa.europa.eu/publications/m2m-communications-threat-landscape
.

sabato 11 febbraio 2017

Prodotti di sicurezza insicuri

Marco Fabbrini mi segnala questo link "a conferma che molti antivirus sono più dannosi che altro":
- http://www.zdnet.com/article/google-and-mozillas-message-to-av-and-security-firms-stop-trashing-https/.

Continuo a copiare quanto mi ha scritto Marco: "Secondo uno studio condotto dai ricercatori di Google, Mozilla, Cloudflare, e di diverse università degli Stati Uniti, un sorprendentemente elevato numero di antivirus e prodotti di sicurezza ficcano il naso nelle connessioni HTTPS ed espongono gli utenti dei browser ad attacchi".

Grazie Marco.

Garante e raccolta dei log di AdS

A seguito di un breve dibattito via email, Pierfrancesco Maistrello mi ha segnalato un Provvedimento del Garante del 2014:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3438899.

Colpevolmente, non l'avevo mai notato e invece è interessantissimo.

Intanto, perché nel merito chiarisce come sono valutati i sistemi di raccolta dei log: "Pertanto, la registrazione solo in locale degli accessi applicativi degli amministratori di sistema – l'unica disponibile finché la società non ha introdotto le misure tecniche necessarie per registrare su Arcsight anche tali tipi di accessi – non soddisfa i requisiti stabiliti dalla citata prescrizione". In altre parole, un'azienda deve prevedere un sistema di raccolta centralizzata dei log o sistemi più complessi (la raccolta centralizzata dei log con strumenti gratuiti come Splunk mi risulta essere la soluzione più economica).

Inoltre, è interessante osservare la lunga disquisizione su come interpretare le FAQ del Garante stesso. Da parte mia, penso che troppo spesso siano più fonte di confusione che altro e il Garante potrebbe anche evitare di farle.

lunedì 6 febbraio 2017

Linee guida DPO in Italiano

Pierfrancesco Maistrello mi ha segnalato che il Garante ha tradotto in italiano e pubblicato le linee guida sul DPO ("Linee-guida sui responsabili della protezione dei dati (RPD)") del WP Art. 29:
- http://www.garanteprivacy.it/rpd.

Ingiunzione a responsabile del trattamento

Pierfrancesco Maistrello, dopo aver letto il mio post in merito ai responsabili del trattamento secondo il GDPR, mi ha segnalato un'ingiunzione a una responsabile interna del trattamento:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/3039524.

Qui la responsabile ha dovuto pagare 10 mila Euro, sulla base della normativa vigente. Se il fatto fosse avvenuto tra un anno e mezzo (dopo il maggio 2018), ne avrebbe dovuti pagare 10 milioni. Come dice Giancarlo Butti (già citato dal mio post precedente:
http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili-privacy.html), chi vorrà accettare una nomina a responsabile?

Post scriptum: grazie a Pierfrancesco Maistrello che mi ha ricordato che l'entrata in vigore del GDPR è maggio 2018 e non maggio 2017, come avevo erroneamente riportato inizialmente.

martedì 31 gennaio 2017

GDPR e nomina dei responsabili privacy

Il Regolamento europeo privacy (GDPR) riporta agli articoli 28 e 29 le modalità di nomina dei responsabili (processor) del trattamento. Queste risultano più precise di quelle previste dal Codice privacy. In particolare, richiede che la nomina avvenga attraverso contratto o da altro atto giuridico.

Tale atto deve riportare:
- oggetto delle attività affidate, includendo la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati;
- clausole di riservatezza;
- garanzia di aver stipulato con il personale con accesso ai dati un obbligo di riservatezza;
- divieto di uso di fornitori da parte del responsabile per il trattamento dei dati senza autorizzazione del titolare;
- impegno, in caso di uso autorizzato di fornitori del responsabile, di prevedere un contratto scritto con riportati i medesimi a cui è soggetto il responsabile;
- le regole da seguire nel trattamento dei dati per controllare i rischi di accesso non autorizzato, divulgazione, mancanza di integrità e indisponibilità dei dati, sia accidentali sia illegali;
- divieto, senza previa autorizzazione del titolare, di trasmettere o conservare i dati in Paesi extra-UE o di fornire accesso a tali dati a personale sito in Paesi Extra-UE;
- l'impegno a verificare periodicamente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento;
- l'impegno a dare seguito alle richieste avanzate dal titolare o dagli interessati per dare seguito all'esercizio dei diritti degli interessati al trattamento dei dati personali in modo da poter dare loro risposta entro 30 giorni dalla richiesta;
- l'impegno a comunicare al titolare eventuali violazioni ai dati personali trattati e fornire assistenza al titolare nel caso in cui si manifestino tali eventi;
- la cancellazione o restituzione dei dati al termine delle prestazioni;
- il diritto di audit da parte del titolare.

Si tratta di clausole molto impegnative e sembrano più applicabili a responsabili esterni che interni. Questo anche considerando quanto scritto da Gianfranco Butti in un articolo su Europrivacy:
- http://europrivacy.info/it/2016/07/19/the-internal-data-processor-and-the-gdpr/.

Se ci pensiamo attentamente non pare logico prevedere responsabili interni e strutturare un'azienda su solo 3 livelli gerarchici (titolare, responsabile e incaricato). È anche vero che il GDPR consente esplicitamente la nomina di responsabili da parte dei responsabili e questo permetterebbe la strutturazione in più livelli. Dall'altra parte, invece, si può immaginare che in un'azienda i ruoli e le responsabilità vengano distribuiti non in conformità agli articoli 28 e 29, ma secondo la "normale" gerarchia interna. Il GDPR, infatti, usa il termine "processor", difficilmente applicabile ad una persona e facilmente applicabile ad un'impresa.

Altri (libro "Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali" di Enrico Pelino, Luca Bolognini, Camilla Bistolfi) confermano questa lettura.

Se letto in questo modo, il GDPR ci imporrebbe un completo ripensamento su come vedere questi concetti.

martedì 24 gennaio 2017

Segreto industriale e misure di protezione

Da Filodiritto segnalo questo articolo dal titolo "Segreto industriale: l'importanza delle misure di protezione":
- http://www.filodiritto.com/articoli/2017/01/segreto-industriale-limportanza-delle-misure-di-protezione.html.

Un ex socio di un'azienda ha usato, per una concorrente, dei progetti preparati per la prima azienda.

La causa successiva ha evidenziato quali misure dovrebbero essere messe in atto da un'azienda per proteggere (e dimostrare di voler proteggere) i propri segreti industriali:
- ricordare ai propri dipendenti e collaboratori della natura delle informazioni e della necessità di mantenere il segreto sia come condizione contrattuale, sia come informazione comunque diretta a collaboratori e dipendenti (art. 98 e 99 del Codice della proprietà industriale, D. Lgs. 30 del 2005);
- predisporre meccanismi per impedire l'accesso ai dati (almeno sotto forma di istruzioni scritte), dove la conservazione su un unico computer personale con accesso controllato da password non pare sufficiente (mentre poteva avere maggiore valore la conservazione su un server "aziendale").

martedì 17 gennaio 2017

Fattura b2b dal 9 gennaio

Dal 9 gennaio è partita la fattura elettronica tra privati. Ecco un articolo di Andrea Caccia e Daniele Tumietto che presenta l'iniziativa e i suoi problemi da un punto di vista teorico e poi pratico:
- http://www.agendadigitale.eu/fatturazione-elettronica/parte-la-fattura-elettronica-tra-privati-ma-e-un-caos-ecco-che-fare_2811.htm.

Eye Piramid

Tutti avete sentito parlare della vicenda dei fratelli Occhionero e di Eye Piramid, i due spioni che hanno raccolto dati dai pc di persone note. Per chi vuole leggere una sintesi della storia, ecco un link:
- http://cybersecurity.startupitalia.eu/53903-20170111-eye-pyramid-the-italian-job-storia-malware-spionaggio-massoneria.

Un'analisi di Trend Micro:
- http://blog.trendmicro.com/trendlabs-security-intelligence/eye-storm-look-eyepyramid-malware-supposedly-used-high-profile-hacks-italy/.

Una sintesi tecnica (e non solo), in Italiano, di Stefano Zanero:
- https://www.facebook.com/raistolo/posts/10155658726324307.

Purtroppo non trovo articoli significativi su come difendersi da questi attacchi. Certo: c'è il pieno di articoli che dicono "state attenti ai file che aprite", ma questo non è niente di nuovo.

Ringrazio Sandro Sanna, che per primo mi ha segnalato la notizia.

Divieto di GPS per i lavoratori

Dalla newsletter di Filodiritto segnalo la seguente notizia: "GPS - Ispettorato Nazionale del Lavoro: è vietato l'utilizzo del sistema GPS sull'auto aziendale senza un accordo sindacale". L'Ispettorato, il 7 novembre 2016, ha infatti pubblicato la circolare 2/2016 in merito all'uso di GPS:
- http://www.filodiritto.com/news/2017/gps-ispettorato-nazionale-del-lavoro-e-vietato-lutilizzo-del-sistema-gps-sullauto-aziendale-senza-un-accordo-sindacale.html.

Ricordo alcune notizie correlate all'uso di GPS:
- moduli per la richiesta di autorizzazione all'uso di GPS (http://blog.cesaregallotti.it/2016/05/modulo-unificato-per-videosorveglianza.html);
- possibilità di usare il GPS per rilevare abusi o usi illeciti di strumenti aziendali (http://blog.cesaregallotti.it/2015/11/nuovo-statuto-dei-lavoratori-riflessioni.html), forse in contrasto con la recente circolare.

Europa: contro la conservazione dei dati di traffico

Da Filodiritto segnalo la seguente notizia: "Privacy - Corte di Giustizia dell'Unione Europea: gli Stati membri non possono imporre un obbligo generale di conservazione di dati ai fornitori di servizi di comunicazione elettronica":
- http://www.filodiritto.com/news/2017/privacy-corte-di-giustizia-dellunione-europea-gli-stati-membri-non-possono-imporre-un-obbligo-generale-di-conservazione.html.

Non credo che questa sentenza abbia impatti sul nostro Dlgs 109 del 2008, ma vedremo se ci saranno aggiornamenti.

lunedì 16 gennaio 2017

Documenti ENISA su privacy on line, pagamenti elettronici, aeroporti, automobili

Fabio Teoldi, che ringrazio, mi ha segnalato che ENISA a dicembre 2016 e gennaio 2017 ha pubblicato 4 documenti interessanti.

1- "PETs controls matrix - A systematic approach for assessing online and mobile privacy tools": misure da applicare (o da verificare) per assicurare la privacy nei sistemi online (soprattutto siti web e applicazioni per dispositivi mobili):
- https://www.enisa.europa.eu/publications/pets-controls-matrix/pets-controls-matrix-a-systematic-approach-for-assessing-online-and-mobile-privacy-tools.

2- Security of Mobile Payments and Digital Wallets: uno studio di 3 piattaforme (Apple Pay, Google Wally e Android Pay, Samsung Pay) seguito da alcune raccomandazioni (troppo poche, a mio avviso):
https://www.enisa.europa.eu/publications/mobile-payments-security.

3- Securing Smart Airports: un elenco di 44 controlli di sicurezza applicabili ai sistemi informatici per gli aeroporti (ma non solo, a mio parere):
https://www.enisa.europa.eu/publications/securing-smart-airports.

4- Cyber Security and Resilience of smart cars": un elenco di "good practices" soprattutto tecniche (precedute da troppe pagine di analisi), da considerare non solo per le automobili:
https://www.enisa.europa.eu/publications/cyber-security-and-resilience-of-smart-cars/.

domenica 15 gennaio 2017

Certificazione conservatori e SPID

Accredia ha pubblicato le regole per la certificazione dei conservatori e dei gestori SPID, sulla base di quanto concordato con AgID:
- http://www.accredia.it/news_detail.jsp?ID_NEWS=2356&areaNews=95&GTemplate=default.jsp.

Per chi vuole essere qualificato da AgID come conservatore o gestore SPID, rimane il percorso in due fasi: prima una certificazione da parte di un Organismo di certificazione accreditato (da Accredia) e poi la domanda ad AgID.

In questo modo si allineano le procedure per i servizi fiduciari previsti dal Regolamento europeo eIDAS e quelli più specificatamente italiani (SPID e conservazione).

Ringrazio Andrea Caccia per la segnalazione di questa importante notizia.

sabato 14 gennaio 2017

Privacy e Registro delle opposizioni

Oggi la normativa italiana vigente prevede che le chiamate telefoniche per finalità di marketing diretto possano essere fatte ai numeri disponibili su elenchi pubblici (l'elenco del telefono, per intenderci), a meno che l'utente non eserciti il "diritto di opt-out", iscrivendosi al Registro delle opposizioni (io l'ho fatto, ma ancora troppe volte ricevo telefonate indesiderate).

Il nuovo Regolamento europeo sulla privacy (GDPR) non prevede questa possibilità. Quindi, un'azienda che vuol fare marketing diretto telefonico deve lavorare con il consenso degli interessati.

Rimarrà però il solito alibi: "il numero di telefono, forse, non è un dato personale". A questo problema dovrà rispondere, se mai vedrà la luce, il futuro Regolamento ePrivacy, recentemente proposto dalla Commissione europea.

Ringrazio Pierfrancesco Maistrello, che mi ha confermato la mia conclusione, approfondendola.

Privacy: La notificazione al Garante dei trattamenti

Rileggendo il GDPR (Regolamento europeo sulla privacy), mi sono accorto che non ho trovato traccia della "notificazione al Garante" di alcuni trattamenti, prevista dalla precedente Direttiva 95/46/CE.

In effetti, la notificazione risulta un concetto superato ed è sostituito con la Valutazione d'impatto sulla protezione dei dati o Data protection impact assessment (spesso anche indicata con i termini privacy impact assessment o PIA).

Infatti, nei considerando del Regolamento (dall'89) si legge che la notificazione "non ha sempre contribuito a migliorare la protezione dei dati personali".

A questo punto, quindi, i titolari saranno tenuti ad effettuare delle PIA per i trattamenti più critici e, nel caso dovessero rilevare rischi molto elevati, chiedere di propria iniziativa un parare al Garante (supervisory authority).

Ciascun Stato, infine, potrà chiedere che alcuni trattamenti non siano attivati senza il parere favorevole del Garante.

Ringrazio Pierfrancesco Maistrello di Vecomp, perché è lui che mi ha fornito la risposta al mio dubbio.

Atti sottoscritti con Firma Elettronica Avanzata

Andrea Caccia mi ha segnalato il suo articolo dal titolo "Atti sottoscritti con Firma Elettronica Avanzata: il rischio nullità":
- https://www.linkedin.com/pulse/atti-sottoscritti-con-firma-elettronica-avanzata-il-rischio-caccia.

Tratta della validità legale della firma elettronica avanzata e del rischio nullità nel caso in cui un soggetto non fosse in grado, in caso di contenzioso, di dimostrare che la propria soluzione risponda ai requisiti previsti dalle regole tecniche.

È un articolo piuttosto tecnico sulla validità delle FEA dopo la pubblicazione di eIDAS e del nuovo Codice dell'amministrazione digitale. Per chi non è addetto ai lavori, però, questo articolo ricorda che purtroppo l'uso di "nuove tecnologie" ha dei rischi, visto che la legislazione non è (ancora) stabile.

Proposta di nuovo Regolamento privacy sulle comunicazioni elettroniche

Fornisco la notizia (e ringrazio Pierfrancesco Maistrello di Vecomp) che la Commissione Europea vuole proporre un nuovo Regolamento, da affiancare al GDPR (Regolamento europeo sulla privacy) e sostitutivo della Direttiva 2002/58 (Direttiva ePrivacy, nota soprattutto per il Provvedimento sui cookies), in merito alle comunicazioni elettroniche:
- https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications.

Come al solito, i tempi sono incerti e il testo finale potrà essere molto diverso da quello ora proposto. Come per il GDPR, fioccheranno corsi (a pagamento) e consulenti agitati. Io, come già feci per il GDPR (ma senza molto successo), consiglio di aspettare la pubblicazione del testo definitivo.

Per chi vuole approfondire un po' di più sul contenuto della proposta, segnalo questo articolo di Europrivacy:
- http://europrivacy.info/it/2017/01/12/italiano-pronta-la-proposta-di-regolamento-su-privacy-e-comunicazioni-elettroniche/.

Infine, un mio lettore anonimo mi ha segnalato 6 comunicati stampa, tutti del 10 gennaio, della Commissione Europea e pertinenti proposte su privacy, data economy e servizi elettronici ai cittadini. Sia io che il mio lettore preferiamo non dedicare troppo tempo a proposte che poi non si sa bene in che tempi e in che modi finiranno. Però magari altri sono curiosi:
- http://europa.eu/rapid/press-release_IP-17-5_en.htm;
- http://europa.eu/rapid/press-release_IP-17-16_en.htm;
- http://europa.eu/rapid/press-release_IP-17-23_en.htm;
- http://europa.eu/rapid/press-release_MEMO-17-6_en.htm;
- http://europa.eu/rapid/press-release_MEMO-17-15_en.htm;
- http://europa.eu/rapid/press-release_MEMO-17-17_en.htm.

mercoledì 11 gennaio 2017

Procure e fornitori IT privati

La notizia è di fine novembre 2016. Se ho capito correttamente, nel 2015 la Procura di Trieste ha un guasto ai propri server usati per le intercettazioni e chiede aiuto per il recupero di un file al fornitore del servizio di assistenza informatica (Area S.p.A.). La referente di Area S.p.A. riesce a recuperare il file dal proprio pc aziendale. Dopo aver ringraziato, la Procura riflette sul fatto che copie dei file delle intercettazioni sono conservate su pc di persone esterne alla Procura stessa e avvia delle indagini:
- http://milano.corriere.it/notizie/cronaca/16_novembre_29/intercettazioni-pm-server-procure-all-azienda-informatica-5593741c-b5ac-11e6-a2c1-e1ab33bf33ae.shtml.

Due giorni dopo, il Ministero della giustizia invia una circolare alle Procure per chiedere di "alzare la soglia di allerta sulla sicurezza dei sistemi informativi delle intercettazioni":
- http://milano.corriere.it/notizie/cronaca/16_novembre_30/intercettazioni-ministero-pm-80bf5490-b678-11e6-9fa1-de32925f0429.shtml.

A gennaio si tiene presso il ministero un incontro tra i capi delle Procure per discutere del problema e vengono fuori delle preoccupazioni da parte dei presenti in merito all'accesso da remoto dei fornitori privati, alla mancanza di personale interno qualificato presso le Procure, alla mancanza di un albo delle ditte qualificate. Un procuratore si è anche vantato di aver protetto la propria infrastruttura con un "apposito firewall":
- http://milano.corriere.it/notizie/cronaca/17_gennaio_11/intercettazioni-capi-procure-1ec86626-d76d-11e6-94ea-40cbfa45096b.shtml.

Premetto che in passato ho avuto modo di conoscere Area S.p.A. e posso solo dire che: a) ho apprezzato la dichiarazione di Andrea Formenti; b) so che hanno molto a cuore la sicurezza dei dati. Di più non posso dire.

La ragione per cui presento questo caso è che rende pubblico un classico rapporto cliente-fornitore.

Da quanto scritto sui giornali, escludo che Area S.p.A. facesse raccolta dati per finalità di profilazione o simili. Se così fosse, la referente di Area S.p.A. non avrebbe palesato la possibilità di recuperare i dati.

Quindi cosa rimane? Immagino questo: il fornitore dice al cliente che sarebbe opportuno investire anche in un sistema di backup; il cliente non ritiene invece opportuna questa misura (magari, addirittura, avrà chiesto di toglierla dall'offerta per ridurre i costi); il fornitore, però, sa bene che alla prima difficoltà il cliente gli creerà dei problemi e quindi si arrangia, facendo backup su un'infrastruttura sicura (di questo ne sono certo), anche se per questo deve ricorrere ad un barbatrucco.

E, alla prima difficoltà, il cliente ha creato comunque problemi. Dimostrando anche elevata incompetenza: pensa di risolvere il problema dei backup con "apposito firewall" o con un albo di fornitori; non si chiede perché il fornitore avesse accesso incondizionato da remoto (anche se immagino perché nessuno della Procura avesse voglia di aprire e chiudere porte del firewall per consentire le manutenzioni in emergenza anche di notte); pensa di risolvere il problema, pochi giorni dopo, inviando una circolare (7 pagine che risolvono i problemi) nonostante le medesime procure abbiano chiesto numerose proroghe per adeguarsi alle prescrizioni del 2013 (!) del Garante privacy in materia di sicurezza.

Non so se Area S.p.A. ha comunicato preventivamente alla Procura di Trieste le carenze di sicurezza riscontrate (inclusa la mancanza di un sistema di backup "a regola d'arte"), ma sono convinto che finora la carenza di soldi e di competenze ha dettato le scelte dei clienti. E la colpa, come sempre e nonostante tutto, è dei fornitori.

martedì 10 gennaio 2017

Industria 4.0

Con la Legge di stabilità 2017 (Legge, 11/12/2016 n° 232, G.U. 21/12/2016 per chi volesse cercarla su www.normattiva.it), il Governo ha prorogato un "superammortamento" e stabilito un "iperammortamento" per i beni digitali.

Queste facilitazioni sono applicabili anche a "software, sistemi, piattaforme e applicazioni per la protezione di reti, dati, programmi, macchine e impianti da attacchi, danni e accessi non autorizzati". Questa mi pare una buona iniziativa.

Tutti gli altri investimenti di tipo informatico non sono collegati ad una garanzia di sicurezza informatica e forse questa poteva essere un'occasione per migliorare il livello di sicurezza informatica delle nostre imprese.

Segnalo due articoli di sintesi di Altalex:
- http://www.altalex.com/documents/news/2016/10/17/legge-di-stabilita-2017;
- http://www.altalex.com/documents/news/2016/12/27/legge-di-bilancio-2017-la-tabella-delle-novita.

Ringrazio Edmea De Paoli del TUV Nord per le riflessioni fatte su questa Legge.

venerdì 6 gennaio 2017

Alternative a TrueCrypt

Sophie Hunt mi ha scritto perché in alcuni post ho citato TrueCrypt senza poi fornire aggiornamenti.

Lei stessa si segnala un articolo in cui ne è spiegata la storia e ne sono fornite, con descrizione dei pro e contro, alternative (VeraCrypt, Bitlocker, DiskCryptor, Ciphershed, FileVault 2 e LUKS):
- https://www.comparitech.com/blog/information-security/truecrypt-is-discoutinued-try-these-free-alternatives/.

Misurazioni e pulizie

In questi giorni, mi hanno raccontato un esempio di misurazioni fallaci che mi sembra interessante.

Il personale delle pulizie degli hotel è spesso misurato unicamente in base al tempo (molto basso) impiegato a pulire le camere. Questo però ha creato problemi non tanto di pulizia (gli addetti sono comunque dei professionisti), ma di manutenzione, visto che il personale, considerate le misure, non aveva tempo per segnalare i problemi riscontrati. E i consulenti e gli auditor che sono spesso in albergo sono ben consapevoli di questo problema. In effetti mi è sempre sembrato stupido trovare camere bellissime e ben pulite, ma con lampadine rotte, gli scarichi lenti, le porte cigolanti, le docce piene di calcare.

Alcuni hotel hanno finalmente capito che la velocità e la "misura esatta" non sono tutto, anche se costituiscono un parametro da considerare insieme ad altri (per esempio, le lamentele degli ospiti relative a problemi non segnalati).

Nuova ISO/IEC 27004:2016 sulle misurazioni della sicurezza

È stata pubblicata la ISO/IEC 27004:2016, dal titolo "Information security management -- Monitoring, measurement, analysis and evaluation":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=64120.

Questa norma sostituisce la precedente versione del 2009 e mi trova maggiormente soddisfatto.

In particolare, è stata ridotta moltissimo la parte teorica. In questo modo è più facile interpretare il requisito della ISO/IEC 27001 e cogliere indicazioni su come applicarlo.

Ancora più importanti sono i 35 esempi finali, che forniscono un valido punto di partenza per chi vuole attuare un sistema di gestione per la sicurezza delle informazioni. Ne approfitto per dire che ho apprezzato moltissimo l'idea di dedicare più di metà della norma agli esempi, piuttosto che alla teoria (io poi ho contribuito con qualche esempio, poi migliorato e inserito nel documento finale dal gruppo di lavoro).

In particolare molti di questi esempi suggeriscono un approccio meno fantasioso (e più utile) di alcuni che ho visto negli anni, che prevedevano troppi numeri da presentare alla Direzione, senza interrogarsi sulla loro reale validità. Qui si dimostra che non è necessario seppellire un'azienda sotto troppi numeri, soprattutto quando è di dimensioni ridotte.

Ricordo infine due cose:
1- questa è una linea guida e quindi può essere presa come punto di partenza per riflettere sul tema delle misurazioni della sicurezza; non può essere usata come insieme di requisiti da attuare per la certificazione ISO/IEC 27001 (anche perché gli unici requisiti da attuare sono quelli della ISO/IEC 27001 stessa, non altri);
2- le misurazioni non possono né devono sostituire la conoscenza reale di un'organizzazione; né i manager, né i consulenti, né gli auditor devono dare troppa enfasi a questo aspetto.

martedì 20 dicembre 2016

Chiarimenti sulla "certificazione" di Lead auditor

Segnalo questo articolo di Fabrizio Cirilli dal titolo "Certificazione degli auditor/lead auditor per la ISO/IEC 27001: c'è ancora troppa confusione!":
- http://www.ictsecuritymagazine.com/articoli/certificazione-degli-auditorlead-auditor-la-isoiec-27001-ce-ancora-troppa-confusione/.

Trovo sia importante che quanti richiedono titoli di competenza sappiano di cosa si sta parlando. A mio avviso, Fabrizio ha ben colto il punto.

Nota personale: questo articolo lo lessi a fine novembre su LinkedIn; preso da pigrizia non l'avevo segnalato. Provvedo adesso, seppure un po' in ritardo, grazie ad un tweet di @sramakk, che ringrazio.

Linee guida DPO

Elisa Fontanelli mi ha segnalato la pubblicazione delle "prime linee guida dei Garanti europei", così come proposte dal nostro Garante:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5792160.

La più interessante è quella sui DPO, proposta dal WG Art. 29. In particolare, mi sembrano  importanti alcuni chiarimenti in merito a chi deve obbligatoriamente nominare un DPO.

Alcuni chiarimenti su:
- http://europrivacy.info/it/2017/01/09/dpo-fulfilling-other-tasks-and-conflict-of-interests-in-wp29-guideline-wp243-isaca-frameworks-are-helpful-tools-to-better-define-internal-segregation-of-duties/

sabato 17 dicembre 2016

Parlamento EU e sicurezza nel settore energia

Fabio Teoldi mi ha segnalato quanto segue: il Parlamento Europeo recentemente ha pubblicato il Rapporto "Cyber Security Strategy for the Energy Sector", scaricabile dal sito dello European Parliament Think Tank:
- http://www.europarl.europa.eu/thinktank/en/document.html?reference=IPOL_STU(2016)587333.

Non si tratta di uno studio con consigli per gli operatori, ma rappresenta una base di partenza per approfondire la materia.

giovedì 8 dicembre 2016

ISO 9002 - Linea guida per la ISO 9001

È stata pubblicata la ISO/TS 9002:2016 dal titolo "Guidelines for the application of ISO 9001:2015":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=66204.

Mi è stata segnalata in una conversazione tra auditor DNV GL. Il commento che ha accompagnato la notizia è stato "I contenuti non sono proprio rivoluzionari, ma vale la pena leggerla". Condivido.

sabato 3 dicembre 2016

Pubblicata la ISO/IEC 27011

È stata pubblicata la seconda edizione del 2016 della norma ISO/IEC 27011 dal titolo "Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=64143.

Si tratta di una raccolta di controlli di sicurezza, da aggiungere a quelli della ISO/IEC 27002, per gli operatori di telecomunicazioni..

venerdì 2 dicembre 2016

Elenco dispositivi per la firma elettronica qualificata

Mi segnala Franco Ferrari di DNV GL questo articolo di Andrea Caccia dal titolo "Elenco dei dispositivi certificati per la firma elettronica qualificata (firma digitale)":
- https://www.linkedin.com/pulse/elenco-dei-dispositivi-certificati-per-la-firma-digitale-caccia.

Grazie a tutti e due.

Cybersecurity Playbook

Confesso che tutte e due i termini del titolo della pubblicazione "Cybersecurity Playbook" mi innervosiscono. Però, essendo scritta da Pete Herzog, mi sono sforzato di darle un'occhiata. Si tratta di 27 pagine di raccomandazioni di sicurezza informatica, sintetiche, chiare e ben scritte.

Alcune misure sono anche originali rispetto alle tante pubblicazioni che ci sono in giro.

Ne consiglio la lettura:
- https://www.barkly.com/comprehensive-it-security-plan.

mercoledì 30 novembre 2016

Vulnerabilità nel protocollo NTP

Il protocollo NTP è quello che consente di sincronizzare gli orologi di pc e server in modo che abbiano tutti lo stesso orario (perché è divertente vedere l'orologio di John Belushi in Animal House, ma non averlo nella realtà). Normalmente i sistemi operativi hanno installato un codice open source e freeware con il nome ntpd e realizzato da un gruppo di persone dal nome NTP.org.

Intorno a giugno 2016 hanno scoperto numerose vulnerabilità nel ntpd, con impatto soprattutto sui sistemi operativi Windows.

E a quel punto si scopre che questa storia l'abbiamo già sentita, anche se con protagonisti diversi. Allora il protagonista principale era OpenSSL, ma la storia è ancora quella: si scopre che un protocollo importantissimo e diffusissimo è mantenuto da pochissime persone che non ricevono neanche un supporto economico sufficiente per continuare a lavorarci.

Non commento oltre perché queste storie sono sconfortanti. Ringrazio quindi Marco Fabbrini per avermi segnalato questo articolo:
- http://www.infoworld.com/article/3144546/security/time-is-running-out-for-ntp.html.

E non disperate. Alla fine sono riusciti a riparare le vulnerabilità (dal SANS NewsBites):
- http://www.theregister.co.uk/2016/11/23/ntp_patch_time_rolls_around_again/.

lunedì 28 novembre 2016

NIST Systems Security Engineering

Il NIST ha pubblicato la NIST Special Publication 800-160 dal titolo "Systems Security Engineering: Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems":
- http://csrc.nist.gov/publications/PubsSPs.html#800-160.

Un malloppo di 257 pagine. L'ho sfogliato e mi sembra un po' troppo teorico. Ho trovato più interessante l'Appendice G del corpo del documento.

giovedì 24 novembre 2016

Privacy a scuola

Il Garante privacy ha pubblicato un opuscolo dal titolo "La scuola a prova di privacy":
http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5601934.

È soprattutto indirizzato a chi opera nella scuola, ma può essere utile a tutti.

Privacy shield approvato dal Garante

Dalla newsletter del Garante (e una gentile segnalazione di Ivo Trotti di TNS Italia, che ringrazio), segnalo che il Garante privacy italiano ha autorizzato il trasferimento dei dati personali negli USA alle organizzazioni che aderiscono al Privacy shield.

Non ripercorro la storia del Safe Harbor e del Privacy Shield. Ecco quindi la decisione del Garante:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5652873.

Ovviamente non troverete alcun link alla lista delle organizzazioni che hanno aderito al privacy shield. Sarebbe troppo facile. Però una semplice ricerca sul web fornisce il link:
- https://www.privacyshield.gov/list.

Non ho studiato il Privacy shield framework, ma capisco che un'azienda USA può aderire per dati HR (cioè per trattare i dati del personale dipendente) e/o dati non-HR.

sabato 19 novembre 2016

Cloud Adoption & Risk Report Q4 2016

Marco Fabbrini mi ha segnalato il report "Cloud Adoption & Risk Report Q4 2016" della Skyhigh (neanche sapevo che esistesse questa azienda). Il rapporto è presentato da un interessante articolo dal titolo "Cloud use could be putting businesses at risk":
- http://betanews.com/2016/11/17/cloud-use-business-risk/.

È breve e dice cose già note, che però è bene non dimenticare. Per esempio il fatto che le clausole contrattuali sono spesso negative per i clienti: il 69,7% non specifica di chi è la proprietà dei dati, solo l'8,7% assicura di non trasferire i dati a terze parti (qui però bisognerebbe capire le eccezioni), solo il 16% si impegna a cancellare i dati in caso di chiusura del contratto.

L'articolo si conclude ricordando che i siti di conversione di documenti da/a pdf, sebbene spesso ritenuti innocui, sono spesso usati per convertire dati molto critici, ma questi siti hanno clausole di garanzia per i clienti molto deboli (e quindi dovremmo chiederci cosa ci guadagnano offrendo il servizio di conversione).

I più interessati possono scaricarsi il rapporto completo dal titolo :
- https://www.skyhighnetworks.com/cloud-computing-trends-2016/.

Io mi sono solo letto l'estratto presentato nella pagina web e l'ho trovato molto interessante.

Pubblicata la 27035 sulla gestione degli incidenti

Sono state appena pubblicate le nuove norme ISO/IEC 27035 e ne è stata quindi cancellata la versione del 2011.

La nuova ISO/IEC 27035 è divisa in due parti. La prima ha titolo "Principles of incident management":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=60803.

La seconda parte ha titolo "Guidelines to plan and prepare for incident response" (di 145 pagine, ossia molto lunga):
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62071.

Trovo interessante l'appendice C, che propone un esempio di categorizzazione degli incidenti, per gravità e ambito. Non credo sia un esempio ottimale, ma almeno c'è.

Pubblicata ISO/IEC 27050 sull'electronic discovery

È stata pubblicata da poco la ISO/IEC 27050-1 dal titolo "Electronic discovery -- Part 1: Overview and concepts":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=63081.

Le parti 2 (Guidance for governance and management of electronic discovery) e 3 (Code of Practice for electronic discovery) sono ancora in bozza.

venerdì 18 novembre 2016

Dare più privacy per migliori prestazioni

Non so quanto questo articolo (segnalato da Crypto-gram di novembre) dal titolo "Want People to Behave Better? Give Them More Privacy" riguardi effettivamente la sicurezza delle informazioni e la normativa sulla privacy, però mi sembra comunque interessante:
- https://www.psychologytoday.com/blog/the-outsourced-mind/201604/want-people-behave-better-give-them-more-privacy.

In sintesi: se i datori di lavoro e i manager controllano di meno i lavoratori, questi tendono ad auto-organizzarsi in modo più efficiente e lavorare con miglliori prestazioni.

Credo che ciò sia degno di riflessione. Certamente bisogna bilanciare le esigenze di controllo (necessarie) con quelle di auto-gestione e responsabilizzazione delle persone.

giovedì 17 novembre 2016

Segnalazione di copia slide

Settimana scorsa avevo segnalato delle slide su privacy e sanità:
- http://blog.cesaregallotti.it/2016/11/dati-e-sanita.html.

Paola Generali GetSolution mi ha segnalato che le slide da 52 a 105 sono copiate da sue slide già presentate in varie occasioni allo SMAU e dedicate al nuovo GDPR:
- http://www.smau.it/speakers/paola.generali/.

Mi spiace essere stato implicato in una faccenda così e spero sia chiaro a tutti che non approvo in alcun modo il copia-incolla di materiale altrui, anche se liberamente disponibile. Certamente si può cogliere ispirazione per alcune cose (sennò dovremmo iniziare sempre da zero e non ci evolveremmo), però penso che chi diffonde conoscenza debba essere capace di elaborarla autonomamente.

Mio errato riferimento al GDPR

Nell post su PIA e valutazione del rischio in ambito privacy (http://blog.cesaregallotti.it/2016/10/privacy-pia-e-valutazione-del-rischio_28.html) ho fatto un errore: ho indicato che il GDPR (il Regolamento europeo sulla privacy) ha come riferimenti "Regolamento 169/2016", mentre si tratta del 679/2016.

Il post ora è corretto.

Ringrazio Agostino Oliveri (di Sicurdata) e Andrea Praitano (di Business-e) per avermi corretto.

Andrea, poi, in ambito PIA, ricorda che il CNIL francese ha pubblicato dei documenti ben fatti su questo argomento (io li avevo segnalati a suo tempo, ma un promemoria non guasta):
https://www.cnil.fr/en/privacy-impact-assessments-cnil-publishes-its-pia-manual.

sabato 12 novembre 2016

Sicurezza per le piccole imprese

Fabio Teoldi mi ha segnalato la nuova edizione della pubblicazione del NIST "NISTIR 7621 - Small Business Information Security: The Fundamentals". Si trova in questa pagina:
- http://csrc.nist.gov/publications/PubsNISTIRs.html

Mi piace e non solo perché il titolo non riporta "cyber", ma "information".

Potremo discutere lungamente dei controlli inclusi ed esclusi, ma mi sembra un'iniziativa importante, oltre che ben fatta.

Riscaldamento in Finlandia bloccato

Questa notizia l'ho letta sul SANS NewsBites: degli appartamenti in Finlandia sono rimasti senza acqua calda per una settimana perché il sistema di riscaldamendo è stato oggetto di attacco DDOS:
- http://www.theregister.co.uk/2016/11/09/finns_chilling_as_ddos_knocks_out_building_control_system/.

La cosa può far sorridere (Brian Honan, sul SANS NewsBites, commenta: "This brings a whole new definition to a cyber cold war").

Però ci sono lezioni da imparare:
- il sistema, fosse stato progettato correttamente, non doveva bloccarsi in assenza di attacco da Internet (classico caso per cui una funzionalità migliorativa diventa più importante delle funzionalità di base);
- chi ha progettato il sistema non aveva previsto un firewall di controllo accessi da Internet.

venerdì 11 novembre 2016

IT Audit & Cloud

Segnalo la pubblicazione "IT Audit & Cloud" di AIEA:
- http://www.aiea.it/attivita/gruppi-di-ricerca/it-audit-cloud.

Presenta una bella carrellata dei rischi da considerare quando si usano servizi cloud, delle condizioni contrattuali da prevedere e di altre misure pertinenti. Non tratta dettagli tecnici ed è molto breve. Una lettura interessante, insomma.

Normativa e-commerce

Segnalo questi 4 articoli proposti da Altalex sul commercio elettronico e in particolare sul D. Lgs. 70 del 2003. Mi sembra una buona occasione per ripassare.

1- E-commerce B2C: vendere online tra rispetto della normativa e attenzione al cliente:
http://www.altalex.com/documents/news/2016/04/06/e-commerce-b2cvendere-online-tra-rispetto-della-normativa-e-attenzione-per-il-cliente;
2- Se il consumatore cambia idea: il diritto di recesso nell'e-commerce di prodotti:
www.altalex.com/documents/news/2016/07/06/e-commerce-e-diritto-di-recesso;
3- Le controversie online: le ADR del commercio elettronico:
www.altalex.com/documents/news/2016/06/30/controversie-online-adr-commercio-elettronico;
4- Vendita online dei beni alimentari: requisiti, adempimenti e peculiarità:
www.altalex.com/documents/news/2016/10/21/vendita-online-dei-beni-alimentari.
.

mercoledì 2 novembre 2016

Stato delle norme della famiglia ISO/IEC 27000

Il 27 ottobre si è concluso ad Abu Dhabi il 53o meeting dell'ISO/IEC JTC 1 SC 27, il cui WG 1 si occupa delle norme della serie ISO/IEC 27000. Io ho partecipato in qualità di delegato italiano (in tutto la delegazione italiana era composta da 4 persone). I delegati erano in tutto 110 da 29 Paesi.

La buona notizia è che abbiamo finito i lavori sulla ISO/IEC 27003, ossia la guida all'interpretazione della ISO/IEC 27001:2013. Alcuni sperano sarà pubblicata entro fine 2016, io penso che lo sarà per inizio 2017. Questa norma è importante perché ci ha permesso di consolidare alcune decisioni prese per la ISO/IEC 27001. Certamente questa norma risulta pubblicata in ritardo, ben 3 anni dopo la ISO/IEC 27001, però era necessaria.

Sono partiti i lavori per la nuova ISO/IEC 27002, con una prima fase che consiste nell'elaborazione di una "design specification" (utile per evitare successivi ritardi). Nella migliore delle ipotesi uscirà tra 4 anni. Gli esperti hanno deciso di modificare la norma esistente per includere gli aggiornamenti tecnici necessari e per migliorare il testo già esistente (chiunque l'abbia letto con attenzione ha notato ripetizioni, eccessivi approfondimenti in qualche punto, eccessiva sintesi in altri).

Sono ripartiti, dalla fase di design specification, i lavori per la ISO/IEC 27005 sulla valutazione del rischio. Negli ultimi 4 anni gli esperti non hanno trovato un accordo per la modifica di questa norma e quindi si ripartirà da capo, con una nuova impostazione. Come ho già scritto in passato, molti sono d'accordo sulla direzione da prendere (ossia superare la metodologia asset-minacce-vulnerabilità basata sui "censimenti"), ma non hanno trovato il modo per affrontarla. La mia opinione è che in troppi vogliono promuovere la propria idea senza riuscire ad arrivare ad una sintesi di tutte.

Il problema dietro la ISO/IEC 27005 è che la ISO/IEC 27001 promuove l'uso di metodologie meno dettagliate, mentre la ISO/IEC 27005 (che dovrebbe essere una guida all'attuzione della ISO/IEC 27001) promuove invece l'approccio opposto. Anzi, proprio per questo motivo alcuni partecipanti hanno rilevati dei "difetti" nella attuale ISO/IEC 27005 che la mette in conflitto con la ISO/IEC 27001. Francamente, non so cosa pensare e cercherò di capire come questa questione sarà risolta.

Sono partiti o continuati i lavori per altre norme, tra cui la revisione delle ISO/IEC 27007, 27008, 27014, 27017 e 27019, la nuova ISO/IEC 27021, la pubblicazione di linee guida sulla "cyber resilience" (sarà quindi un business continuity per l'IT) e la "cyber insurance" (questa è in uno stadio successivo alla design specification ed è stata avviata la pratica per un "new item proposal"). La ISO/IEC 27015 sarà eliminata.

Infine, si vuole inaugurare una serie ISO/IEC 27100 sulla cyber security. Io continuo a vedere indecisione su cosa voglia dire "cyber security" (in realtà, nessuno vuole dirlo; si parla in pratica solo di IoT e tutti i lavori che ho visto sinora, incluso quello del NIST, parlano di sicurezza IT aziendale). Vedremo.

martedì 1 novembre 2016

Dati e sanità

Pasquale Tarallo mi ha segnalato questa sua presentazione relativa ai dati in ambiente sanitario:
- http://www.slideshare.net/tarallop/healthcare-data-management-67790102.

Mi racconta, tra l'altro, che è rimasto molto colpito dalla scarsa attenzione alla privacy nelle strutture sanitarie. E ha ragione (ci sono passato anche io di recente, anche se per cose decisamente modeste).

Post scriptum del 17 novembre 2016: Paola Generali GetSolution mi ha segnalato che le slide da 52 a 105 sono copiate da sue slide già presentate in varie occasioni allo SMAU e dedicate al nuovo GDPR:


Mantengo questo post con questo post scriptum per ricordare a me stesso e agli altri che certe cose non si fanno. Penso che chi diffonde conoscenza debba essere capace di elaborarla autonomamente.

venerdì 28 ottobre 2016

Privacy: PIA e valutazione del rischio

Sulla newsletter di ottobre 2016 del European data protection supervisor (EDPS) si trova un articolo dal titolo "ISRM and DPIAs: what they are and how they differ". L'articolo si trova a pagina 4 del pdf:
- https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Newsletters/Newsletter_49_EN.pdf.

Secondo l'EDPS, la valutazione del rischio relativo alla sicurezza delle informazioni (ISRM), riguarda solo i rischi di sicurezza, mentre il privacy impact assessment (PIA) è più ampio e include anche i casi in cui potrebbero essere violati i diritti degli interessati.

Il ragionamento, però, non mi convince: quando il Regolamento richiama i rischi, essi riguardano principalmente i trattamenti e i diritti degli interessati. Quindi: quando si parla di rischi in ambito privacy, io non vedo differenza tra ISRM e PIA.

Per i più attenti: il "risk assessment" è una parte del "risk management" e, a rigore, non ha senso paragonare un meccanismo gestionale (ISRM) con uno di valutazione (PIA), ma credo che sia stato fatto un errore terminologico e con ISRM intendano ISRA (information security risk assessment).

L'ISRM è richiesto dal Regolamento Europeo 45/2001, sulla protezione dei dati personali da parte delle istituzioni e degli organismi comunitari (mentre il recente GDPR, ossia il Regolamento 679/2016, riguarda tutte le entità).

L'EDPS ha anche pubblicato a marzo (quindi i riferimenti normativi non sono corretti, visto che il GDPR è stato pubblicato a maggio) una linea guida gli ISRM. Essa è in realtà un riassunto della ISO/IEC 27005:
- https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/16-03-21_Guidance_ISRM_EN.pdf.

Grazie a Pierfrancesco Maistrello per alcuni consigli e precisazioni su questo post. E anche Agostino Oliveri e Andrea Praitano per la correzione all'esatto riferimento del GDPR.

mercoledì 26 ottobre 2016

DDoS con l'IoT

Venerdì 21 ottobre, Internet ha avuto dei problemi. In particolare, molti servizi popolari (inclusi Twitter e Netflix) sono risultati inaccessibili.

Il tutto è successo perché Dyn, un DNS centrale di Internet, è stato oggetto di un attacco DDoS. Fin qui nulla di nuovo, se non l'ulteriore consapevolezza di quanto sia fragile l'infrastruttura informatica su cui oggi basiamo la nostra vita. La novità è che il DDoS è stato scatenato usando i "dispositivi di casa", ossia gli oggetti che compongono l'IoT e che troppi considerano come inoffensivi, le volte che sono consapevoli della loro esistenza.

Due articoli (in italiano e in inglese) che riassumono gli eventi:
- http://www.ilpost.it/2016/10/24/attacco-informatico-venerdi-21-ottobre-mirai-dyn/;
- https://www.wired.com/2016/10/internet-outage-ddos-dns-dyn/.

Un ulteriore articolo:
http://www.darkreading.com/vulnerabilities---threats/root-and-the-new-age-of-iot-based-ddos-attacks-/d/d-id/1327281.

Commento finale: i dispositivi IoT sono quasi tutti sviluppati e mantenuti senza alcuna considerazione per la sicurezza. Dubito saranno mai disponibili delle patches per tutti i dispositivi vulnerabili al malware Mirai, quello usato per infettare i dispositivi e poi lanciare l'attacco a Dyn.

martedì 25 ottobre 2016

CISPE: codice per i fornitori cloud

Enrico Toso di DB Consorzio, che ringrazio, mi ha segnalato questa iniziativa: un codice di condotta per i fornitori di servizi cloud, promosso da Cispe, una coalizione di cloud provider.

L'articolo di partenza:
- http://www.adnkronos.com/soldi/economia/2016/10/02/sicurezza-trasparenza-nel-cloud-nasce-primo-codice-condotta-europeo_yIuOK4YMWtlIkIRgWd2a0L.html.

Il sito del CISPE da cui scaricare il documento:
- https://cispe.net/.

I miei commenti (posto che il documento mi sembra ben fatto):
  • attualmente è disponibile un documento in bozza e questo è un peccato;
  • chissà se tra le molte iniziative sul cloud (incluse quelle promosse da CSA, ma non solo), questa avrà una buona rilevanza.

Videoriprese ai lavoratori che commettono reato

Il caso in breve: dei dipendenti timbravano l'entrata e uscita dal lavoro in orari diversi da quelli reali. Il datore di lavoro ha quindi verificato con delle telecamere e la Cassazione ha approvato il metodo:
- http://www.filodiritto.com/news/2016/videoriprese-cassazione-penale-consentito-al-datore-di-lavoro-riprendere-i-lavoratori-che-commettono-reato.html.

Ecco la ragione: "le garanzie procedurali regolate dall'articolo 4 dello Statuto dei Lavoratori non si applicano qualora il controllo di videoriprese sia effettuato al fine di accertare la commissione di reati: nel caso specifico, il delitto di truffa".

Purtroppo l'articolo non dice se e come era fornita informativa sulle videoriprese.

venerdì 21 ottobre 2016

OWASP Application Security Verification Standard

È disponibile la versione 3.0.1 della OWASP Application Security Verification Standard (ASVS):
- https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project.

Mi sembra una interessante check list per 3 livelli diversi di criticità delle applicazioni. Ovviamente la check list può essere vista "al contrario" ed essere usata non solo per le verifiche, ma anche per gestire i progetti.

Questa mi è stata segnalata da Daniel Halber di HID Global e lo ringrazio.

lunedì 17 ottobre 2016

ISO 37001 sui sistemi anti frode

Massimo Cottafavi di SNAM mi informa della pubblicazione della ISO 37001:2016 dal titolo "Anti-bribery management systems - Requirements with guidance for use":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=65034.

Al momento non ne so altro se non quanto riportato da questo post su LinkedIn (sempre segnalato da Massimo):
- https://www.linkedin.com/pulse/pubblicata-la-norma-iso-370012016-diretta-streaming-di-ciro-strazzeri.

mercoledì 12 ottobre 2016

Privacy, timbrature e GPS

Ringrazio ancora Pierfrancesco Maistrello di Vecomp per avermi segnalato questo recente Provvedimento del Garante dal titolo "Verifica preliminare. Trattamento di dati personali dei dipendenti effettuato attraverso la localizzazione di dispositivi smartphone per finalità di rilevazione delle presenze":
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5497522.

In poche parole, il Garante ha autorizzato l'uso di un sistema alternativo al cartellino per la rilevazione presenze di dipendenti e collaboratori: la persona usa una app dello smartphone per selezionare "entrata" e "uscita"; la app, con il GPS, registra anche la posizione della persona, in modo da verificare che la segnalazione avvenga veramente sul posto di lavoro.

La sentenza è interessante perché stabilisce alcune misure da considerare: aggiornamento dell'informativa, rapporti con il fornitore, tempi di conservazione dei dati (5 anni per le timbrature, il minimo indispensabile per la posizione), la notifica al Garante stesso.

martedì 11 ottobre 2016

Wi-fi pubblico e responsabilità

Segnalo questo articolo dal titolo auto-esplicativo "Chi offre al pubblico un servizio Wi-Fi gratuito non è responsabile per le attività degli utenti":
- http://www.filodiritto.com/articoli/2016/10/chi-offre-al-pubblico-un-servizio-wi-fi-gratuito-non-e-responsabile-per-le-attivita-degli-utenti.html.

Si tratta di una decisione recente della Corte di Giustizia dell'Unione Europea.

Codice deontologico privacy e informazione commerciale

Segnalo che il Garante privacy ha pubblicato il "Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale":
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4298343.

Questo codice deontologico copre un'area non ancora trattata nell'ambito delle comunicazioni commerciali e di marketing, ossia il caso in cui i dati personali siano stati forniti direttamente dagli interessati, magari nell'ambito di altre operazioni.

Analisi del nuovo CAD

Segnalo, dopo averne segnalati altri, questo articolo sul nuovo CAD (grazie a Franco Ferrari di DNV GL):
- http://www.agendadigitale.eu/egov/c-era-una-volta-la-pec-la-norma-cad-la-svaluta_2526.htm.

Andrea Caccia riassume le ragioni delle modifiche al Codice dell'amministrazione digitale (CAD) e si concentra sul futuro della PEC.

Assicurazioni sulla sicurezza ICT

Segnalo questo articolo dal titolo "Le nuove polizze di copertura assicurativa sul Cyber Risk":
- www.altalex.com/documents/news/2016/09/23/le-nuove-polizze-di-copertura-assicurativa-sul-cyber-risk.

Sono sempre perplesso in merito a questo tipo di assicurazioni, e ne ho già scritto in passato
(http://blog.cesaregallotti.it/2016/03/studio-sulle-assicurazioni-informatiche.html,
http://blog.cesaregallotti.it/2015/12/lo-stato-delle-cyber-assicurazioni.html,
http://blog.cesaregallotti.it/2015/10/assicurazione-si-rifiuta-di-pagare-dopo.html,
http://blog.cesaregallotti.it/2014/07/le-assicurazioni-relative-agli.html e
http://blog.cesaregallotti.it/2012/08/assicurazioni-e-sicurezza-informatica.html).

Questo articolo ha il pregio di presentare degli esempi reali di polizze (anche se mi pare di vedere anche un po' di pubblicità).

Misure minime di AgID per la PA

Più di uno (cito Pierfrancesco Maistrello di Vecomp, ma anche la mailing list di sikurezza.org e Franco Ferrari di DNV GL) mi hanno segnalato la pubblicazione delle "Misure minime per la sicurezza ICT delle pubbliche amministrazioni" dell'AgID:
- http://www.agid.gov.it/notizie/2016/09/26/misure-minime-sicurezza-informatica-pubbliche-amministrazioni.

Le ho lette e non mi sono piaciute. Innanzi tutto perché sono ricavate dal Cyber Security Framework (CSF) del NIST, su cui ho già espresso delle perplessità. Poi perché ritengo che queste "misure minime" siano un riassunto mal fatto dei controlli del CSF.

Infatti, come mi dice Pierfrancesco:
1- queste misure minime non sono veramente "minime" e contengono cose oggi irrealizzabili (e, aggiungo io, forse inutili) come il DLP;
2- propone una valutazione delle misure per un livello "minimo", "standard" e "alto" senza indicare esattamente come stabilirlo.

Infine io aggiungo una cosa già detta tempo fa: negli anni, con fatica, la Pubblica amministrazione si è avvicinata alla ISO/IEC 27001; non capisco che senso abbia aggiungere un altro schema.

Report semestrale Cisco sulla sicurezza

Segnalo il "Report semestrale sulla cybersecurity 2016" di Cisco del luglio 2016 (mi diverto a segnalare che la data è solo nell'ultima pagina):
- http://www.cisco.com/c/m/it_it/offers/sc04/2016-midyear-cybersecurity-report/index.html.

Nulla di nuovo, molto tecnico e con qualche pubblicità. Però ritengo sia fatto bene e vale la lettura. Ho trovato particolarmente interessante le pagine dal titolo "Gli attacchi di ransomware nella sanità servono da lezione per tutti i settori" e "Consigli per la sicurezza": due brevi riassunti delle vulnerabilità e delle azioni più importanti.

lunedì 26 settembre 2016

Neuroscienza e leadership

Ho avuto modo di leggere sul numero Q3 2016 di "Continuity", rivista del BCI, due articoli interessanti:
- The neuroscience of crisis leadership;
- Making the call.

Li segnalo perché mettono in ordine gli errori più frequenti che facciamo, non necessariamente in occasione di crisi:
- atteggiamento di attacco e difesa per paura di sbagliare;
- incapacità di prendere decisioni perché la realtà è troppo diversa da quanto previsto;
- impulsività, che è certo utile, ma deve essere mitigata dal calcolo;
- cattiva comunicazione.

Il secondo articolo elenca un insieme alternativo di errori personali:
- pregiudizio causato dalle aspettative (expectancy bias);
- pregiudizio orientato alla conferma (confirmation bias);
- decisioni prese sulla base di quanto già nelle nostre menti (availability heuristic);

e di gruppo (ricerca del consenso, sottovalutazione dei meno esperti, carisma di un leader).

Per leggere questi articoli (e anche altri, che però mi sono sembrati meno interessanti), è necessario scaricare il pdf della rivista da questa pagina:
- http://www.thebci.org/index.php/continuity.

venerdì 23 settembre 2016

Dossier sul nuovo CAD

Segnalo questa serie di articoli del Forum PA dal titolo "Dossier: Speciale Cad. Inizia la fase attuativa, l'analisi di FPA e dei nostri esperti":
- http://www.forumpa.it/speciale-cad-inizia-la-fase-attuativa-lanalisi-di-fpa-e-dei-nostri-esperti.

Normativa: Garante privacy e "strumenti per rendere la prestazione lavorativa" (parte 3)

Appena scritto la "parte 2" di questo post, ecco che mi è arrivata notizia della disponibilità del materiale dell'incontro organizzato da Tech & Law Center dal titolo "Controllo del lavoratori, cyber espionage e tutela del segreto industriale":
- http://techandlaw.net/ita-13-settembre-2016-controllo-del-lavoratori-cyber-espionage-e-tutela-del-segreto-industriale/.

Io ho apprezzato soprattutto il materiale di Jacopo Giunta.

Vendor Security Alliance

Da Dark Reading Weekly leggo che società come Uber, Dropbox e Twitter hanno costituito la Vendor Security Alliance (VSA):
- http://www.darkreading.com/vulnerabilities---threats/vulnerability-management/uber-dropbox-other-tech-leaders-team-up-to-boost-vendor-security-/d/d-id/1326926?.

L'idea sembrava buona, ma poi leggo che "ogni anno, VSA collaborerà con degli esperti per pubblicare un questionario in modo che le società possano determinare il proprio livello di rischio".

Un altro questionario? Ancora? Secondo me, non servirà a niente. Però potremo leggerlo dal 1 ottobre sul loro sito:
- https://www.vendorsecurityalliance.org/.

Dico questo perché non è il fornitore che deve valutare il proprio livello di rischio, ma sei tu che devi valutarlo e sulla base di questo stabilire le misure di sicurezza da chiedere ai fornitori. E quindi non bisogna inviare un questionario ai fornitori, ma istruzioni precise, e poi agire opportunamente (cambiando il fornitore, dando al fornitore il tempo di adeguarsi, accettare la situazione) nel caso il fornitore non attui quanto richiesto.

Normativa: Garante privacy e "strumenti per rendere la prestazione lavorativa" (parte 2)

Avevo dato notizia del Provvedimento del Garante privacy che trattava, tra gli altri, degli "strumenti per rendere la prestazione lavorativa":
- http://blog.cesaregallotti.it/2016/09/garante-privacy-e-strumenti-per-rendere.html.

Dal mio commento, in cui sottolineavo il punto relativo agli "strumenti per rendere la prestazione lavorativa", ho avuto modo di scambiare delle opinioni con Giuseppe Bava di Data Management.

Giuseppe intanto mi ha segnalato che il Provvedimento ricorda anche che:
- l'indirizzo MAC è da ritenersi una dato personale;
- le strutture IT non devono memorizzare dati senza finalità precise e plausibili e non devono conservarli per un tempo troppo lungo.

Ma alla fine abbiamo convenuto che sarebbe auspicabile che il Garante aggiorni le Linee guida sull'uso dell'email e Internet sul posto di lavoro, in modo da fornire ulteriore chiarezza sul tema.

mercoledì 21 settembre 2016

IoT Security framework

Dal SANS NewsBites del 20 settembre trovo la notizia che il Industrial Internet Consortium (IIC) ha pubblicato un Industrial Internet Security Framework (IISF). Questo documento riporta indicazioni per sviluppatori e utenti.

Il documento lo trovate qui:
- http://www.iiconsortium.org/IISF.htm.

Ho cominciato a leggerlo, ma l'ho trovato molto verboso e con poche indicazioni veramente pratiche. Vedo anche molti controlli "organizzativi" (politiche, processi). Intendiamoci: il documento è pieno di spunti interessanti, ma una maggiore sintesi e schematicità avrebbe giovato.

NIST e l'autenticazione via SMS - Precisazioni

Giampiero Raschetti della Banca Popolare di Sondrio mi ha scritto in merito al post che segnalava che il NIST ora "depreca" l'uso degli SMS per l'autenticazione a due fattori nella bozza della nuova versione della SP 800-63. Il mio post:
- http://blog.cesaregallotti.it/2016/08/nist-e-lautenticazione-via-sms.html.

Giampiero mi ricorda che il testo del NIST "depreca" l'uso di SMS o voce attraverso rete PSTN, vista la sua vulnerabilità. Se non capisco male, quindi, l'uso di SMS via GSM non è da scoraggiare.

Giampiero mi ricorda i rischi relativi all'utilizzo di SMS via cellulare, che sono comuni a tutti gli strumenti di autenticazione a due fattori basati su dispositivi mobili, inclusi dunque anche OTP di qualsivoglia natura.

Lo ringrazio per la precisazione.

domenica 18 settembre 2016

Attenzione a Internet!

Non avrei voluto scrivere del caso di Tiziana Cantone: una persona che ha inviato via Internet un suo film hard a degli amici, che a loro volta l'hanno diffuso fin tanto che tale film è diventato di pubblico dominio e la sua protagonista non ha retto la situazione (complici anche gli sberleffi di ogni tipo e un giudice che le ha chiesto 20mila euro di spese processuali quando lei ha chiesto ai social network di cancellare i video) e alla fine si è suicidata.

Ne scrivo perché si tratta di un caso che ci riguarda tutti perché troppo spesso usiamo Internet e i suoi servizi senza renderci veramente conto di quanto siano pubblici e pervasivi.

Ricordiamo in futuro questo caso, non per sbeffeggiare una persona che ha fatto sì una sciocchezza ma l'ha pagata troppo cara, ma per ricordarci e ricordare che ogni foto e ogni video e ogni commento e ogni post che lasciamo su Internet o inviamo via email è come se fosse appeso in una bacheca accessibile al pubblico e che a pagarla sono sempre i meno forti (vi ricordate uno dei casi della Sony, di cui parlai quasi due anni fa su http://blog.cesaregallotti.it/2015/01/una-riflessioen-sullattacco-alla-sony.html, che ha visto la diffusione delle email degli impiegati "normali"?).

E però sembra che qualcosa stia cambiando, forse finalmente una nuova sensibilità si sta diffondendo: una 18enne ha accusato i suoi genitori perché avevano pubblicato le sue foto da bambina su Facebook:
- http://fusion.net/story/347880/sue-your-parents-for-embarrassing-you-on-facebook/.

Garante privacy e "strumenti per rendere la prestazione lavorativa"

Massimo Cottafavi di SNAM e Pierfrancesco Maistrello di Vecomp mi hanno segnalato (quasi in contemporanea) questa sentenza del Garante privacy. La situazione è simile a tante altre: i dipendenti di un'azienda (un'università, in questo caso) si lamentano dei monitoraggi relativi alla navigazione Internet:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5408460.

Però qui il Garante parla degli "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa", di cui si parla nel nuovo (del 2015) articolo 4 dello Statuto dei lavoratori (Legge 300 del 1970) e di cui ho parlato in precedenza. Il punto chiave del Provvedimento del Garante è il 4.3.

Se ho capito giusto, il Garante dice che gli strumenti di monitoraggio e tracciamento dell'uso dei servizi Internet non sono da considerare "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" e pertanto non possono essere utilizzati senza accordi sindacali o autorizzazione della Direzione territoriale del lavoro.

ISO 22301 in italiano

Questa volta sembra proprio che la notizia sia vera: è finalmente uscita la versione ufficiale UNI in italiano della ISO 22301:2012, ossia la norma dedicata alla continuità operativa (o "business continuity", per chi è abituato all'ingelse):
- http://store.uni.com/magento-1.4.0.1/index.php/uni-en-iso-22301-2014.html.

Mi chiedo perché ci siano voluti 4 anni per pubblicare questo testo, ma ora è una domanda inutile. Buona lettura e grazie a Franco Ferrari di DNV GL per la notizia!

Nuovo CAD

Con il D.Lgs. 179 del 2016 è stato modificato il D.Lgs. 82 del 2005, ossia il CAD, ossia il Codice dell'amministrazione digitale, importante perché regola la gestione dei documenti digitali, non solo nella Pubblica amministrazione. Le modifiche si sono rese necessarie per allineare il CAD al Regolamento eIDAS (EU 910/2014).

È possibile leggere il nuovo CAD ricercandolo su www.normattiva.it.

Grazie ai tweet di Daniele Tumietto, che segnala questo articolo di analisi:
- http://www.mysolutionpost.it/blogs/socialmediamente/ragone/2016/09/codice-amministrazione-digitale.aspx.

Andrea Caccia, invece, analizza gli impatti che il nuovo CAD ha sulla PEC, ossia la Posta elettronica certificata. Non sembrano impatti positivi:
- https://www.linkedin.com/pulse/pec-la-fine-dellincantesimo-andrea-caccia.

Altri articoli usciranno nei prossimi giorni e ne darò notizia.

martedì 23 agosto 2016

Firme elettroniche nel mondo

Stefano Ramacciotti mi ha segnalato (commentandola come non molto scientifica né approfondita, ma comunque interessante) la seguente presentazione relativa alle firme elettroniche nel mondo:
- https://www.esignlive.com/resource-center/electronic-signature-laws-around-the-world/.

Se non riuscite a sopportare il fatto che si tratta di una presentazione commerciale o se volete confrontarvi direttamente con le legislazioni nazionali, segnalo che la presentazione riporta il seguente sito:
- http://193.62.18.232/dbtw-wpd/textbase/esiglaws.htm.

Il problema di questo sito è che elenca sì la normativa nazionale pertinente per ogni Paese (anche se per l'Italia mancano tutti i provvedimenti tecnici), ma non dice come consultarla. Però faccio i complimenti al Institute of Advanced Legal Studies (IALS), School of Advanced Study, University of London, che ha avviato questo lavoro.

Per quanto riguarda la presentazione, Andrea Caccia mi ha segnalato che, quando tratta delle "certificate signature", sostiene erroneamente l'equivalenza tra una firma elettronica basata su certificato e la firma qualificata.

Linee guida NIST sul BYOD

Il NIST ha pubblicato due documenti dedicato al BYOD e, in generale, al lavoro da remoto.

La prima è la SP 800-46 Revision 2, Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security. Il link diretto:
- http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-46r2.pdf.

La seconda è la SP 800-114 Revision 1, User's Guide to Telework and Bring Your Own Device (BYOD) Security. Il link diretto:
- http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-114r1.pdf.

La pagina web dove sono annunciate queste due pubblicazioni:
- http://csrc.nist.gov/news_events/#pub2and3.

La prima è rivolta alle aziende, la seconda ai "lavoratori remoti". Mi chiedo quali "lavoratori remoti" si possano leggere il malloppo tecnico di 44 pagine proposto dal NIST.

Io sono un estimatore delle SP del NIST: chiare ed esaustive. Purtroppo negli ultimi anni non posso aggiungere l'aggettivo "sintetiche".

Intendiamoci: sono ottime per chi non conosce l'argomento. Ma chi lo conosce già, e vorrebbe verificare la completezza delle proprie competenze, è costretto ad affrontare un testo molto didattico e poco sintetico (e anche i "riassumento" sono un po' troppo verbosi).

Comunque sia, chiunque si occupa di sicurezza delle informazioni dovrebbe leggerle.

NIST e l'autenticazione via SMS

Da Crypto-gram di Bruce Schneier leggo che il NIST ora "depreca" l'uso degli SMS per l'autenticazione a due fattori nella bozza della nuova versione della SP 800-63:
- https://pages.nist.gov/800-63-3/sp800-63b.html.

Nella newsletter Bruce Schneier fornisce alcuni link ad alcuni articoli:
- https://techcrunch.com/2016/07/25/nist-declares-the-age-of-sms-based-2-factor-authentication-over/
- http://www.eweek.com/security/nist-says-sms-based-two-factor-authentication-isnt-secure.html;
- https://threatpost.com/nist-recommends-sms-two-factor-authentication-deprecation/119507/;
- http://fortune.com/2016/07/26/nist-sms-two-factor/.

Alcuni di questi articoli citano come alternative (ma dovrei capire meglio quanto sono ancora in fase di studio) il Code Generator di Facebook o il Google Authenticator o il Google Promt. Ovviamente ci sono anche il RSA SecurID (con token o meno), i dongle (un po' difficili da usare sui dispositivi mobili) e le caratteristiche biometriche (anch'esse difficili da usare su molti dispositivi).

Vedremo. Per intanto è brutto vedere che una misura di sicurezza che positivamente ma lentamente si stava diffondendo è già obsoleta.

Cambiare password è improduttivo

Avevo già segnalato un articolo contrario al troppo frequente cambio di password.

Ma in agosto Bruce Schneier ha asserito che è una cosa che dice da anni e segnala il seguente articolo:
http://arstechnica.com/security/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/.

Io lo dico solo da qualche mese, ma penso sia il caso di rifletterci.

Ovviamente, le password che non si cambiano devono essere accompagnate da meccanismi quali: blocco (o allarme che si possa distinguere dal phishing) dopo pochi tentativi sbagliati, lunghezza di almeno 16 caratteri, complessità elevata.

Schneier e IoT

Trovo sempre piacevole leggere Bruce Schneier. Questo è un suo articolo sui rischi dell'Internet of Things:
https://motherboard.vice.com/read/the-internet-of-things-will-cause-the-first-ever-large-scale-internet-disaster.

Credo dica cose originali e interessanti. Certamente ignorate dai produttori e utilizzatori di dispositivi (anche se non capisco perché entusiasmarsi per una lavatrice che posso governare a distanza).

PS: Pier Francesco Massida su LinkedIn mi ha fatto notare come i rischi dell'IoT siano al centro del nuovo romanzo giallo di Jeffrey Deaver "The steel kiss". Non apprezzo molto Deaver (indulge in troppi finti finali), ma apprezzo il fatto che abbia colto il problema.

ISO/IEC 20000-6

Tony Coletta mi ha segnalato la prossima pubblicazione della ISO/IEC 20000-6 dal titolo "Requirements for bodies providing audit and certification of service management systems". In altre parole, si tratta delle regole per gli organismi di certificazione che offrono certificazioni ISO/IEC 20000-1. Ora lo standard si trova in stato di bozza finale:
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=64681.

Lettura consigliata solo agli organismi di certificazione.

mercoledì 27 luglio 2016

Perfezionisti e ottimalisti

Segnalo questo articolo di Anna Gallotti (sì... è mia sorella!):
- http://share-coach.com/ita/articoli.php?id=73&read=storia

Lo trovo interessante perché riguarda due aspetti fondamentali per chi si occupa di processi aziendali:
1- quando gli interlocutori sono perfezionisti rallentano l'attuazione di quanto necessario (ovviamente, qui non si sta parlando di "resistenza al cambiamento", che è altra materia); certamente è importante considerare le loro questioni, ma bisogna stare attenti a non bloccare tutto per essere perfetti;
2- i perfezionisti tendono a nascondere gli errori (e criticare quelli altrui), con l'ovvio risultato che poi non si migliora.

venerdì 22 luglio 2016

ISO/IEC 33072 sui processi della sicurezza delle informazioni

Tony Coletta, delegato italiano al ISO/IEC SC 7 WG 10, mi ha informato della recente pubblicazione del nuovo standard ISO/IEC 33072 ddal titolo "Process capability assessment model for information security management":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=70803.

Si tratta, in poche parole, di una riscrittura della ISO/IEC 27001 descrivendone i processi e controlli come processi valutabili secondo la scala di capability, da 0 a 5, descritta nella ISO/IEC 33020. Per chi è abituato ad un'altra terminologia, ormai vecchia, traduco dicendo che si tratta di un modello per la valutazione della maturità del sistema di gestione per la sicurezza delle informazioni.

Si tratta di una lettura non veloce (194 pagine!) e impegnativa. Dubito che un esercizio di questo genere sia veramente utile per migliorare la sicurezza delle informazioni, soprattutto considerando che in troppe organizzazioni vedo processi talmente mal gestiti che raggiungere un livello di capacità pari ad 1 sarebbe già un bel risultato.

venerdì 15 luglio 2016

Sulle misure minime

Pierfrancesco Maistrello di Vecomp mi ha scritto un'interessante riflessione sulle misure minime.

Intanto mi ricorda che le misure minime sono considerate obsolete da tempo, come dimostrano anche le due segnalazioni del garante:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/3531329;
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/4575782.

E questo mi sembra pacifico. Aggiungo che in alcuni casi erano obsolete anche nel 2003.

Pierfrancesco mi ricorda che l'articolo 36 del Codice Privacy riporta: "Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di cui al presente capo, è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie e il Ministro per la semplificazione normativa, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore".

Pierfrancesco non ironizza, come tutti, sul fatto che l'aggiornamento dal 2003 al 2016 non c'è mai stato. Ma dice: "Sembra quasi una garanzia di immutabilità, dato che il ministro per le innovazioni e le tecnologie non si chiama neanche più così!".

Poi Pierfrancesco mi cita la relazione 2015 del Garante da poco pubblicata: "permangono numerose le violazioni delle misure minime di sicurezza; ciò, nonostante si tratti di adempimenti di non particolare complessità, in vigore da più di dieci anni, che dovrebbero essere stati oramai "metabolizzati" sia dalle imprese che dagli enti pubblici. Deve essere nuovamente segnalata la ormai indifferibile esigenza di aggiornare il Disciplinare tecnico in materia di misure minime di sicurezza, All. B al Codice in vigore dal 2003, le cui prescrizioni appaiono in buona parte non più adeguate allo stato dell'evoluzione tecnica, anche alla luce della ormai consistente esperienza maturata dall'Autorità in sede di controllo. Tale revisione dovrebbe essere ispirata a criteri di semplificazione, rispetto ad adempimenti di natura prettamente burocratica oggi previsti dalle disposizioni, e di maggiore effettività delle misure, prevedendo adeguati accorgimenti tecnici che intervengano in modo progressivo in funzione della quantità e della qualità dei dati, nonché della complessità della struttura tecnologica utilizzata e del numero di incaricati che vi hanno accesso".

Conclude quindi dicendomi "credo che l'abrogazione delle misure minime vigenti sia quantomeno auspicabile".

A me non resta che sottoscrivere e ringraziarlo per questa analisi approfondita.

mercoledì 13 luglio 2016

Standard ETSI per eIDAS

Segnalo questo articolo di Daniele Tumietto che elenca gli standard ETSI necessari all'attuazione di quanto previsto dal Regolamento eIDAS sull'identificazione elettronica e i servizi digitali fiduciari:
- https://www.linkedin.com/pulse/etsi-publishes-european-standards-support-eidas-eseals-tumietto.

Link Diretto alla lista di ETSI:
- https://portal.etsi.org//TBSiteMap/ESI/ESIActivities.aspx.

Privacy shield approvato

Il 12 luglio, più o meno, entra in vigore il Privacy shield, ossia il nuovo accordo USA-EU che sostituisce Safe Harbour, invalidato qualche tempo fa.

Questo accordo permette il trasferimento di dati personali da EU a USA, evitando una serie di adempimenti da parte delle aziende europee. Le aziende USA che vogliono importare dati personali (pensate per esempio ai tanti fornitori di servizi IT, in particolare quelli di hosting e cloud), dal 1 agosto potranno aderire ad un protocollo del U.S. Department of Commerce, in modo simile a quanto avveniva con Safe Harbour.

Al momento non sono riuscito a capire cosa dice il protocollo né in quale sito poter vedere quali aziende aderiscono.

Quindi segnalo qualche link esplicativo (grazie a tweet di @Leilyllia, @roberta_zappala). Segnalo che le traduzioni automatiche in italiano sono piuttosto divertenti:
- http://europa.eu/rapid/press-release_IP-16-2461_en.htm;
- http://europa.eu/rapid/press-release_STATEMENT-16-2443_en.htm;
- http://www.dimt.it/2016/07/12/via-libera-al-privacy-shield-per-la-protezione-dei-dati-trasferiti-tra-ue-e-usa/.

Non mancano le critiche. Joe McNamee, Executive Director of European Digital Rights , ha detto chee questo accordo sarà presto giudicato illegale. Ma non è il solo (grazie a tweet di @edri, @alexsib17, @madmaus:
- https://edri.org/privacy-shield-privacy-sham/;
- http://arstechnica.co.uk/tech-policy/2016/07/privacy-shield-to-be-dragged-across-finish-line-sources/;
- http://www.infosecurity-magazine.com/news/privacy-shield-approved-expected.

Nota: alcuni di questi articoli sono precedenti al 12 luglio, quando l'accordo è diventato operativo.

Anche questa volta mi congedo con un tweet di @DailyPratchett. Terry Pratchett era un genio della letteratura (a mio immodesto avviso) e forse pensava a questo Privacy shield: "The innocent would have nothing to fear, d'you think? I wouldn't bet tuppence".

App per smartphone rischiose

Trovo interessante il caso di Pokemon GO, un gioco per smartphone Android molto popolare e scaricato più di WhatsApp e Snapchat. Il fatto è che l'applicazione chiede permessi quasi totali per accedere ai dati presenti sullo smartphone. E, ovviamente, gli utenti li danno!

I creatori di Pokemon GO hanno scaricato questi dati e pensano di farci qualcosa? Oppure si tratta veramente di un errore di programmazione?

Il problema è che troppi utenti danno piene autorizzazioni alle app per cellulare, senza preoccuparsi delle conseguenze. Anche quando usano cellulari aziendali!

Due articoli, uno in italiano e uno in inglese (grazie ai tweet di @NowSecureMobile e di @roberta_zappala):
- https://www.nowsecure.com/blog/2016/07/12/pokemon-go-security-risks-what-cisos-and-security-pros-need-to-know/;
- [ITA] http://www.ansa.it/sito/notizie/tecnologia/software_app/2016/07/12/pokemon-go-primi-grattacapi-sicurezza_f8fb97f7-13ca-459e-8899-f5e45d065076.html.

Ma anche altre app sono assai rischiose. Segnalo questo articolo di Paolo Perego su Flash Keyboard:
- https://codiceinsicuro.it//blog/quando-la-spia-e-la-tastiera-del-tuo-smartphone-il-caso-flash-keyboard/.

Videosorveglianza: dove va posta l'informativa

Notizia da tweet di @a_oliveri dal titolo "Privacy - Cassazione Civile: l'informativa in materia di videosorveglianza va sempre posta prima del raggio d'azione della telecamera":
- http://www.filodiritto.com/news/2016/privacy-cassazione-civile-linformativa-in-materia-di-videosorveglianza-va-sempre-posta-prima-del-raggio-dazione-della.html.

Penso che il titolo dica già tutto.

Licenziato chi sta troppo tempo su Facebook

Notizia da tweet di @a_oliveri dal titolo "Licenziato chi sta troppo tempo su Facebook":
- http://www.ilsole24ore.com/art/norme-e-tributi/2016-07-08/licenziato-chi-sta-troppo-tempo-facebook-163506.shtml.

Penso che l'articolo dica già tutto in estrema sintesi e credo sia molto interessante per capire come sono interpretate alcune attività di indagine, per quanto artigianali e condotte senza strumenti sofisticati.

Penso che rimanga da vedere se verrà presentato ricorso in appello e poi, forse, in Cassazione e, quindi, i risultati di questi ricorsi.

martedì 12 luglio 2016

ISO 27799:2016: sicurezza nella sanità

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione della nuova versione del 2016 dell ISO 27799 dal titolo "Health informatics -- Information security management in health using ISO/IEC 27002":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62777.

La lettura (confesso che ho sfogliato rapidamente) ha degli alti e dei bassi. Gli alti sono rappresentati da considerazioni in merito alle specificità del settore della sanità (per esempio la gestione delle emergenze), un elenco di minacce da considerare e una guida per l'attuazione della sicurezza delle informazioni.

La mia critica principale riguarda proprio questa guida per l'attuazione, che trovo un po' rigida e "vecchia maniera" e quindi difficile da seguire da quelle strutture che oggi non hanno un approccio ben strutturato alla sicurezza delle informazioni.

domenica 10 luglio 2016

Abrogazione misure minime privacy?

In questi giorni leggo e sento che saranno abrogate le misure minime per la privacy, a causa dell'entrata in vigore del Regolamento europeo sulla protezione dei dati personali.

In realtà, quanto riportato dal Codice privacy italiano (D. Lgs. 196 del 2003) rimane in vigore, purché non in conflitto con il Regolamento. È vero che le misure minime non sono richieste dal Regolamento europeo, ma la loro obbligatorietà, prevista dall'ordinamento italiano, non è in conflitto con esso.

Ovviamente il Parlamento dovrebbe emendare il Codice privacy per evitare confusione e armonizzare completamente la normativa italiana con quella europea (problema che oggi abbiamo con il Codice dell'amministrazione digitale, che non è ancora stato modificato considerando quanto previsto dal Regolamento eIDAS). Probabilmente le misure minime saranno cancellate, ma fino ad allora sono ancora in vigore.

Ho chiesto aiuto a Pierluigi Perri, della Facoltà di Giurisprudenza Università degli Studi di Milano, che ringrazio. Mi ha confermato quanto da me capito. E, anzi, aggiunge: "Il Regolamento espressamente demanda agli Stati membri la definizione delle sanzioni penali (cfr. Considerando n. 149) per cui, visto che allo stato attuale delle cose la violazione delle misure minime è punita penalmente, nulla vieta che vengano riproposte dal nostro Legislatore, in quanto non contrastano con le previsioni di cui all'art. 32 del Regolamento".

giovedì 7 luglio 2016

Come rubare un profilo Facebook senza essere esperti informatici

Questo articolo mi interessa perché dimostra ancora una volta come certe "misure di sicurezza" siano in realtà delle bufale:
- http://attivissimo.blogspot.it/2016/07/come-rubare-un-profilo-facebook-senza.html.

Un malintenzionato ha convinto facilmente Facebook di dargli le credenziali di un altro utente. È bastato inviare una scansione di un documento di identità (falso, in questo caso; ma è facile ottenere una scansione della carta di identità di qualcuno, visto che tutti la richiedono).

Certamente non è facile pensare a meccanismi più sicuri, ma dovremmo farlo.

mercoledì 6 luglio 2016

Direttiva NIS

È stata approvata la Directive on Security of Network and Information Systems (NIS Directive).

Segnalo dei link (grazie ad una segnalazione di Pierfrancesco Maistrello di Vecomp e ad un tweet di @francescotozzi9):
- http://europa.eu/rapid/press-release_MEMO-16-2422_en.htm;
- http://www.europarl.europa.eu/news/en/news-room/20160701STO34371/Cyber-security-new-rules-to-protect-Europe's-infrastructure.

Dal memo della Commissione europea sintetizzo ulteriormente:
- ogni Stato dovrà redigere una strategia sulla sicurezza informatica, dovrà istituire un'autorità relativa, designare uno o più Computer Security Incident Response Teams (CSIRTs);
- gli Stati dovranno collaborare e stabilire un programma di lavoro, condividere informazioni in merito alle minacce;
- la Direttiva riguarda aziende dei settori energia, trasporto, bancario, infrastrutture finanziarie, sanità, fornitura acqua, infrastrutture digitali.

Comunque la Direttiva (a differenza di un Regolamento), per essere completamente applicabile in Italia, deve essere tradotta in Decreto legislativo entro maggio 2018. E quindi è bene studiarla, ma consapevoli che il D. Lgs. potrà avere delle peculiarità a cui stare attenti.

PS: altro link, in italiano, lo segnalo da un tweet di :
- http://www.europarl.europa.eu/news/it/news-room/20160701IPR34481/Sicurezza-online-il-PE-approva-nuove-norme-contro-gli-attacchi-informatici