Interpretazione della NIS2 della Commissione europea

Il 18 settembre ho partecipato, come organizzatore, al convegno di DFA su "NIS 2 e non solo - Aspetti pratici e relazioni". In quella occasione, Pierluigi Perri ha fatto riferimento alle "Commission Guidelines on the application of Article 4 (1) and (2) of Directive (EU) 2022/2555 (NIS 2 Directive)".

Grazie a un post su LinkedIn di Stefano Mele (https://www.linkedin.com/posts/stefanomele_direttiva-nis2-chiarimenti-applicativi-della-activity-7108489999695642624-Sp9X) li ho trovati sul web con data di pubblicazione del 14 settembre: https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-4-1-and-2-directive-eu-20222555-nis-2-directive.

Non li ho ancora letti, ma sicuramente sono interessanti.

Riconoscere le minacce deepfake

NSA, FBI e CISA hanno pubblicato un breve (18 pagine) rapporto dal titolo "Contextualizing Deepfake Threats to Organizations": https://www.cisa.gov/news-events/alerts/2023/09/12/nsa-fbi-and-cisa-release-cybersecurity-information-sheet-deepfake-threats.

Scritto bene e sintetico, spiega cosa sono queste minacce.

Un capitolo spiega perché le minacce deepfake possono avere impatti sulle organizzazioni (attaccare l'immagine di persone collegate all'organizzazione, capacità di impersonare qualcuno e quindi frodare qualcuno o avere accesso a dati o sistemi). Si tratta di casi forse rari per molti, ma sicuramente da considerare.

Le contromisure sono legate alla capacità di ciascuno di analizzare il materiale potenzialmente alterato.

 

Whitepaper di ISC2 sulla Business Continuity

Segnalo che ISC2 ha pubblicato il documento "La Business Continuity", che illustra i passi da fare per affrontare questo argomento: https://www.isc2chapter-italy.it/nuovo-whitepaper-sulla-business-continuity/.

Il taglio è didattico e ben fatto.

Ero stato informato della preparazione del documento e ne avevo letto la bozza. Ringrazio invece Franco Vincenzo Ferrari per avermene segnalato la pubblicazione.

 

Social e codice etico dei dipendenti pubblici

Il DPR 62 del 2013 reca il codice di comportamento dei dipendenti pubblici. Con il DPR 81 del 2023 sono stati inseriti aspetti relativi all'uso dei social media. Per questo rimando all'articolo su Altalex: https://www.altalex.com/documents/news/2023/07/11/codice-etico-dipendenti-pubblici-novita-email-social-media-inclusione.

Gli elementi introdotti, che quindi confronterò con quanto da me fatto in passato:

• l'utilizzo di account istituzionali è consentito per i soli fini connessi all'attività lavorativa;
• l'utilizzo di email personali è di norma evitato per attività di servizio, tranne nel caso in cui non si possa accedere all'account istituzionale;
• il dipendente è responsabile del contenuto dei messaggi inviati;
• i dipendenti si uniformano alle modalità di firma dei messaggi indicate dall'amministrazione di appartenenza;
• ciascun messaggio in uscita deve consentire l'identificazione del dipendente mittente e deve indicare un recapito istituzionale al quale il medesimo è reperibile;
• al dipendente è consentito l'utilizzo degli strumenti informatici forniti dall'amministrazione per poter assolvere alle incombenze personali senza doversi allontanare dalla sede di servizio, purché l'attività sia contenuta in tempi ristretti e senza alcun pregiudizio per i compiti istituzionali;
• è vietato l'invio di email che siano oltraggiosi, discriminatori o che possano essere in qualunque modo fonte di responsabilità dell'amministrazione.
• nell'utilizzo dei propri account di social media, il dipendente utilizza ogni cautela affinché le proprie opinioni non siano in alcun modo attribuibili direttamente alla pubblica amministrazione di appartenenza;
• il dipendente è tenuto ad astenersi da qualsiasi intervento o commento che possa nuocere al prestigio, al decoro o all'immagine dell'amministrazione di appartenenza o della pubblica amministrazione in generale.
• le comunicazioni, afferenti direttamente o indirettamente il servizio, non si svolgono, di norma, attraverso conversazioni pubbliche mediante l'utilizzo di piattaforme digitali o social media.

Riferimento pharma per la gestione del rischio

Michaël Hooreman, via LinkedIn, mi ha segnalato il documento "ICH Q9 Quality risk management - Scientific guideline" della European Medicines Agency: https://www.ema.europa.eu/en/ich-q9-quality-risk-management-scientific-guideline.

Il documento presenta approcci di valutazione del rischio che possono essere usati nell'ambito della qualità. A mio parere non solo, perché potrebbero essere benissimo applicati, con qualche aggiustamento, anche alla sicurezza delle informazioni e forse ad altri campi. In tutti i casi, visto che si tratta di approcci validi e diffusi, sarebbe opportuno che chi si occupa di sicurezza delle informazioni li conoscesse, per evitare di fossilizzarsi su un solo modello.

Utile anche per quanto riguarda la sola qualità per capire meglio gli ambiti di applicazione della valutazione del rischio. A mio parere, la ISO 9001, con l'ultima edizione basata sull'HLS, non è molto chiara sull'ambito di applicazione della gestione del rischio (problema riscontrabile su tutte le norme sui sistemi di gestione). Leggendo il testo con tanta attenzione, si trova che la gestione del rischio dovrebbe riguardare solo l'efficacia del sistema di gestione (e quindi trattare solo rischi gestionali), ma molti l'applicano per i rischi più operativi e questo non è necessariamente un male. Questo documento permette di approfondire, seppur sinteticamente, questi aspetti.

Capitolati di gara e requisiti di sicurezza IT

Chiara Ponti ha segnalato un articolo dal titolo "Quali i requisiti di cyber security nei capitolati di gara? Analisi del report condotto da R. Setola con Unindustria, Centro di Competenza Cyber 4.0 e AIPSA": https://www.cybersecitalia.it/quali-i-requisiti-di-cyber-security-nei-capitolati-di-gara-analisi-del-report-condotto-da-r-setola-con-unindustria-centro-di-competenza-cyber-4-0-e-aipsa/25838/.

L'indagine ha coinvolto 32 aziende. Dall'elenco iniziale del report di grande o grandissima dimensione. Quindi i risultati vanno analizzati in quest'ottica.

La lettura del documento è comunque utile per ripassare le misure di sicurezza che possono essere chieste ai fornitori (io dovrò quindi aggiornare la mia lista).

Sanità: attacchi IT e sicurezza dei pazienti

Sandro Sanna mi ha segnalato la pubblicazione Sentinel Event Alert 67 dal titolo "Preserving patient safety after a cyberattack": https://www.jointcommission.org/resources/sentinel-event/sentinel-event-alert-newsletters/sentinel-event-alert-67-preserving-patient-safety-after-a-cyberattack/.

Una lettura interessante, anche se in troppi punti ripete cose note e vaghe (costituite un comitato, designate un gruppo di risposta, fate formazione). Interessante anche perché dimostra la necessità di analizzare i tanti casi che possono presentarsi in un'azienda ospedaliera e le tante possibili soluzioni, non necessariamente informatiche.

ACN e le consulenze gratuite

Francesca Nobilini ha scritto un post su LinkedIn su ACN che cerca collaborazioni gratuite: https://www.linkedin.com/posts/francesca-nobilini_lavora-con-noi-activity-7099309386753306624-jfEy.

Molti, in effetti, si lamentano del fatto che non si tratta certamente di una proposta etica. Aggiungerei anche che il rischio è che "Ciò che costa poco vale anche poco" (frase che trovo attribuita, in italiano, a Baltasar Graciàn, ma che non trovo in spagnolo). Su questo sono molto dispiaciuto di come ACN dimostra di valutare il nostro lavoro.

Dico che essere contattati da ACN per un supporto o un chiarimento sarebbe un onore, così come essere invitati a giornate di studio o convegni. Un impegno non eccessivo e una bella visibilità, oltre alla possibilità di confrontarsi e approfittare della giornata di studio. Questo è quello che facciamo abitualmente e gratuitamente. Ma così come proposto è decisamente poco allettante (e, ripeto, un segnale di scarsa considerazione).

Peccato. Spero in un cambiamento.

Sentenza sull'uso di Dropbox da parte dei dipendenti (approfondimento)

Avevo scritto a luglio di una sentenza sull'uso di Dropbox da parte dei dipendenti (http://blog.cesaregallotti.it/2023/07/sentenza-sulluso-di-dropbox-da-parte.html).

 A questo proposito, segnalo un articolo di approfondimento, segnalatomi da Stefano Gazzella, dal titolo "Disciplinare l’impiego dei servizi di condivisione in cloud per ridurre i rischi legali":              https://www.redhotcyber.com/post/disciplinare-limpiego-dei-servizi-di-condivisione-in-cloud-per-ridurre-i-rischi-legali/.

Installazione "pulita" di Windows

Segnalo questo articolo dal titolo "Windows 11 has made the “clean Windows install” an oxymoron": https://arstechnica.com/gadgets/2023/08/windows-11-has-made-the-clean-windows-install-an-oxymoron/.

Il punto è questo: tutti i produttori di hardware, quando vendono il pc con il sistema operativo incluso, lo fanno con una versione piena di software aggiuntivi spesso inutili se non dannosi (riducono le prestazioni, lo spazio disco e anche la concentrazione dell'utente). Quindi molti installano una versione "pulita" di Windows e questa tecnica prende il nome di “clean Windows install”.

Purtroppo, anche prima di Windows 11 a guardare con attenzione, lo stesso Windows non è "pulito" e installa numerosi software inutili (o, meglio, dannosi).

Ormai lo dicono tutti e lo ripeto: i grandi dell'informatici ormai stanno usando i propri prodotti e servizi per venderci sempre più roba e raccogliere sempre i nostri dati (per venderci roba o venderli ad altri che vogliono venderci roba). Forse un po' il regolamento DSA limiterà l'impatto, ma la direzione è quella da molto tempo e possiamo solo prenderne atto e difenderci come possiamo (a meno di non accettare di essere infelici così come lo siamo per gli effetti del consumismo... ma questi sono temi per filosofi, non per miseri consulenti come me).

Articolo sullo stato del regolamento DSA

E' evidente che i "nuovi" regolamenti europei mi interessano, almeno per capire il contesto in cui lavoro con la sicurezza delle informazioni. Un altro articolo che trovo interessante e utile ha titolo "I piani delle big tech per non sgarrare con il Dsa, la nuova legge Ue sul digitale": https://www.wired.it/article/dsa-google-amazon-tiktok-instagram-facebook-wikipedia-impegni-pubblicita-algoritmi/.

Sono riassunti gli obblighi più importanti del regolamento DSA è come ci stanno lavorando le aziende più significative.

Audit degli algoritmi (per Regolamento DSA)

Segnalo questo interessante articolo dal titolo "Audit degli algoritmi: la normativa UE lo prevede, ma non è ancora chiaro come farlo. Ecco perché": https://www.cybersecurity360.it/legal/audit-degli-algoritmi-la-normativa-ue-lo-prevede-ma-non-e-ancora-chiaro-come-farlo-ecco-perche/.

Riguarda le grandi piattaforme online e i grandi motori di ricerca, chiamati a identificare i rischi relativi all'uso degli algoritmi di raccomandazione e simili.

L'articolo fa riferimento a una bozza di Delegated regulation (https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13626-Digital-Services-Act-conducting-independent-audits_en). In essa trovo molto interessanti le parti relative agli approcci all'audit e al rischio di audit. Sono approcci che, nell'ambito della sicurezza delle informazioni e dei sistemi di gestione ISO sono rarissimamente utilizzati. Per esempio, viene richiesto di distinguere, come rischi di audit, tra rischi inerenti, rischi di controllo e rischi di rilevazione.

Chiarimenti EDPB sulle certificazioni GDPR

EDPB, il 1 agosto, ha risposto a una richiesta di chiarimenti di Accredia in merito alla certificazioni GDPR (mi si permetta di usare questa espressione): https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-accredia_en.

Ringrazio la newsletter Project:IN Avvocati per la segnalazione.

La risposta è molto tecnica e ho dovuto leggerla tre volte per capirla (posso sempre dire che il periodo è vacanziero...) e vorrei segnalare alcuni punti per me significativi, più per gli organismi di certificazioni che sulle organizzazioni che intendono certificarsi:

• EDPB ribadisce che il suo compito è valutare i criteri di certificazione, non le attività di accreditamento, anche nel caso di sigilli europei sulla protezione dei dati (European Data Protection Seal), che sono invece in carico ai Garanti dei singoli Stati membri;
• deve essere stabilito uno "scheme owner", anche perché richiesto dalla ISO/IEC 17065, che può essere anche un organismo di certificazione accreditato (nel caso di Europrivacy, lo scheme owner è Europrivacy stessa); penso che sia chiaro che un organismo di certificazione che lavora da solo rilascerebbe però certificazioni che potrebbero risultare meno interessanti di certificazioni comuni ad altri, come minimo perché si avrebbe una maggiore visibilità;
• gli organismi di certificazione possono quindi adottare, nel caso di Europrivacy, i criteri di Europrivacy per essere accreditati dal proprio garante nazionale (o, se il caso, dal proprio organismo di accreditamento);
• l'accreditamento deve essere dato per ciascuno stato dove l'organismo di certificazione opera dal relativo garante nazionale (o, se il caso, dal proprio organismo di accreditamento); questo diventa ovviamente pesante perché un organismo di certificazione che vuole lavorare nei 27 Stati della UE deve avere 27 accreditamenti, a cui forse aggiungere gli altri 3 Paesi del SSE (chiedo aiuto a chi mi sa rispondere) e non voglio pensare al fatto che la Germania ha in realtà ha più garanti privacy; ma su questo c'è un invito di EDPB a EA per considerare come un organismo di accreditamento nazionale possa collegarsi a più Garanti.

Direi che come mal di testa da rientro dalle vacanze siamo a posto.

NIST Cybersecurity Framework 2.0 in bozza

Il NIST ha pubblicato a inizio agosto la bozza del CSF 2.0: https://www.nist.gov/cyberframework/updating-nist-cybersecurity-framework-journey-csf-20.

Si possono mandare commenti entro il 4 novembre.

Articolo sulla Direttiva CER

In questo periodo sono molto attento alle novità normative europee (NIS2, CER, DORA, oltre al GDPR) e alle loro relazioni reciproche.

Per questo segnalo (dalla newsletter del Clusit) l'articolo "La nuova direttiva CER riconcilia sicurezza fisica e logica": https://www.datamanager.it/2023/07/la-nuova-direttiva-cer-riconcilia-sicurezza-fisica-e-logica/.

L'articolo, come prima cosa, usa il termine "sicurezza cinetica" perché più aggiornato di "sicurezza fisica". Anche qui faccio fatica a capire, ma ritengo comunque utile conoscere i termini usati.

Inoltre chiarisce che "La NIS2 si occupa infatti della sicurezza cyber delle entità critiche e altamente critiche e la CER della loro resilienza rispetto a minacce cinetiche".

ACN, le regole per i servizi cloud e il rispetto "per chi lavora"

Franco Vincenzo Ferrari mi ha segnalato che ACN ha aggiornato i termini della qualificazione dei servizi cloud per la Pubblica Amministrazione: https://www.acn.gov.it/notizie/contenuti/cloud-acn-aggiorna-i-termini-della-qualificazione-dei-servizi-per-la-pubblica-amministrazione.

Niente di troppo significativo, a meno che non siate fornitori della PA.

E' comunque il caso di NON ringraziare ACN per:

• continuare a mettere a disposizione documenti in pdf non editabili, così da impedire il copia-incolla e far perdere tempo alle organizzazioni che devono aggiornare le proprie check list e i propri documenti;
• non aver prodotto il consolidato delle misure da adottare (l'allegato alla Determina 307 del 2023).

VERA 7.1 ITA e ENG

Per allietare le vacanze di tutti, ho caricato il VERA 7.1 (il mio foglio Excel per la valutazione del rischio relativo alla sicurezza delle informazoni) in italiano e in inglese sul mio sito: https://www.cesaregallotti.it/Pubblicazioni.html.  

Il 7.1 in italiano è una correzione del 7.0 già pubblicato, mentre il 7.1 in inglese è la sua traduzione (con l'inglese ero rimasto fermo al 6.0).

 Il VERA 7.1 riporta i controlli della ISO/IEC 27001:2013 e quelli della ISO/IEC 27001:2022.

Morto Kevin Mitnick

E' morto Kevin Mitnick, uno degli hacker più abili. Non un grande tecnico, ma uno con la capacità di inventare tecniche per ingannare le persone e spingerle a svelare password e altri segreti.

Consiglio a chiunque si occupa di sicurezza di leggere il suo primo libro, "L'arte dell'inganno": https://www.feltrinellieditore.it/opera/larte-dellinganno-1-2/. Anche se è del 2002, quindi con riferimenti tecnologici obsoleti, è ancora fondamentale proprio perché la tecnologia non è così importante.

La notizia l'ho appresa da Not Boring Privacy: https://www.instagram.com/p/Cu6GaqXtYnj/?igshid=MTc4MmM1YmI2Ng.

Sito web del US DoC per il Data protection framework

Grazie alla newsletter di Project:IN Avvocati, vengo a conoscenza del sito web del DoC degli USA per il Data protection framework (DPF), ossia per i trasferimenti di dati da UE a USA: https://www.dataprivacyframework.gov/.

 Qui si possono trovare i requisiti per aderire al programma sarà presente la lista dei partecipanti.

INAD, Indice Nazionale dei Domicili Digitali

Segnalo questo comunicato di AgID dal titolo "Nasce INAD, l’Indice Nazionale dei Domicili Digitali": https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2023/06/06/nasce-inad-lindice-nazionale-domicili-digitali.

Non sono uno che aderisce a queste cose immediatamente (anche per attivare la PEC ci ho messo un bel po'), ma penso che questa iniziativa sia molto importante.

Nuovo Privacy shield, ossia "EU-US Data Privacy Framework"

Ci ricordiamo che il Privacy Shield, ossia l'accordo che regolava il traferimento dei dati da Europa a USA, fu invalidato a luglio 2020 (esattamente 3 anni fa). A luglio 2023, dopo esattamente 3 anni (meno qualche giorno) è stato approvato il "EU-US Data Privacy Framework”: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721.

 Il nuovo accordo è stato oggetto di critica. Segnalo questo articolo dal titolo "Perché il nuovo data framework UE-USA avrà vita breve" per un breve commento: https://www.agendadigitale.eu/sicurezza/privacy/perche-il-nuovo-data-framework-ue-usa-avra-vita-breve/.

Io sarò cauto con i miei clienti, spingendoli a mantenere le modalità seguite da qualche anno, ossia dopo la Schrems II, ossia mantenere in Europa i sistemi informatici o, alla peggio, usare fornitori che adottano le SCC.

Sentenza sull'uso di Dropbox da parte dei dipendenti

Segnalo questo articolo dal titolo "Accesso abusivo a sistema informatico o telematico da parte di dipendenti o collaboratori": https://www.altalex.com/documents/2023/07/05/accesso-abusivo-sistema-informatico-telematico-parte-dipendenti-collaboratori.

In pochissime parole (se ho capito giusto): un dipendente aveva aperto una cartella Dropbox (pubblica!) per scambiare i dati aziendali con clienti e colleghi; poi si licenzia e cambia le credenziali alla cartella in modo che l'azienda non possa più accedervi. Alla fine viene ritenuto colpevole.

A questo proposito è ovvio che è discutibile il fatto che l'azienda abbia permesso al dipendente di aprire una cartella non controllata dall'azienda stessa su un sistema di file sharing pubblico. Vanno però anche ricordate le questioni relative alla "proprietà" della cartella: se è usata per l'azienda, sembra che debba rimanre di "proprietà" dell'azienda.

Enisa - Good Practices for Supply Chain Cybersecurity

Davide Giribaldi di Swiss Cyber Com mi ha segnalato la guida di Enisa dal titolo “Good Practices for Supply Chain Cybersecurity” e uscita a fine maggio: https://www.enisa.europa.eu/publications/good-practices-for-supply-chain-cybersecurity

Riporto le considerazioni di Davide, che ringrazio:

“La Guida è riferita solo all’analisi degli operatori essenziali (che poi non si chiameranno più così per la NIS2) e importanti.

La mia impressione è che evidenzi un aspetto interessante, ovvero la difficoltà non tecnica, ma organizzativa e culturale alla responsabilizzazione delle terze parti. (Fig. 6 pag. 12 del report) dove la certificazione di uno standard (ISO/IEC 27001 ad esempio) viene visto come elemento di garanzia (corretto se si esce dalla logica nota a tutti che spesso, per le PMI, le certificazioni sono pezzi di carta necessari e non una vera e propria filosofia su cui basare la strategia aziendale), ma allo stesso tempo evidenzia difficoltà ad adottare criteri come quello dell’audit sul campo nei confronti dei fornitori.

Molto interessante anche il risultato della verifica sui criteri aziendali considerati per la valutazione dei rischi informatici della catena di fornitura. Tra questi segnalo la “spesa” fatta nei confronti del fornitore, considerato il terzo più importante.

Sia chiaro, più spendo nei confronti di un fornitore, più mi fido dei suoi prodotti e servizi, ma non credo sia un elemento oggettivo di cybersecurity”.

Garante privacy: illecite le email pubblicitarie senza consenso (anche se con il link per disiscriversi)

Il titolo è questo e spiega tutto: "Garante privacy: illecite le email pubblicitarie senza consenso Inserire un link per disiscriversi non rende l’invio lecito": https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9903191#3.

Da ricordare questo link per poterlo mostrare ai tanti che parlano di "consenso soft".

Questionario Clusit per la sicurezza dei fornitori

Il Clusit ha pubblicato un questionario per la selezione di fornitori ICT: https://clusit.it/blog/questionario-per-la-sicurezza-dei-fornitori/.

L'idea è quella di proporre un questionario di riferimento per tutte le organizzazioni che vogliono analizzare i propri fornitori (potenziali e attivi). in merito alla sicurezza informatica.

Questo dovrebbe evitare il proliferare di questionari che, soprattutto ad alcune aziende, richiede troppo lavoro inutile, visto che si assomigliano tutti, ma sono diversi e ciascuno richiede tempo per essere analizzato e per scrivere le risposte.

Applaudo quindi all'iniziativa e la raccomando a tutti.

18 settembre 2023: Convegno su NIS2 e non solo

Io sono membro del direttivo dell'associazione DFA. Abbiamo organizzato un incontro perché negli ultimi anni sono state pubblicate numerose normative dedicate alla sicurezza dei sistemi informatici e delle reti in Italia e in Unione Europea e il numero e la complessità di queste normative ci hanno posto numerosi interrogativi e li vorremmo affrontare, evidenziandone gli aspetti pratici da affrontare e raccogliendo le esperienze già fatte.

L'incontro ha nome DFA Open day e sarà il 18 settembre 2023 a Milano (all'Università Statale di Milano).

Si parlerà di:

• Ambito di applicazione e relazioni tra le normative e ruolo delle autorità di controllo;
• Rischi cyber e come valutarli e affrontarli per rispondere alle normative;
• Gestione degli incidenti e delle notifiche, considerando i diversi ambiti di applicazione delle normative, le diverse autorità da coinvolgere e le diverse regole da seguire;
• Sistemi di certificazione, in particolare quelli che saranno promossi da ACN e ENISA;
• Accordi di condivisione delle informazioni sulla cybersicurezza.

Il link per registrarsi e partecipare (gratuitamente): https://www.eventbrite.it/e/biglietti-nis-2-e-non-solo-applicazione-in-pratica-662307749307.

Gli uomini possono fare tutto (Giugno 2023)

Questa volta, purtroppo, segnalo un insuccesso. Il 5 giugno alle 14 un mio figlio aveva la festicciola di classe a scuola. Il programma prevedeva un'esecuzione dei bambini di qualche canzone con l'ukulele (Yellow submarine e altre) e poi merenda con le cose portate da ciascuno.

Avevo già un appuntamento per quel pomeriggio e il cliente è stato molto gentile e riuscimmo a concordare una bella riduzione del mio impegno. Però, visto che avrebbe avuto un audit dopo qualche giorno, non annullammo completamente l'incontro. Così mi presentai a scuola alle 15, a concerto finito (ma a merenda ancora da cominciare).

Mio figlio mi fece un bel musone (ci tiene alla mia presenza, nonostante pensi ci siano papà sicuramente migliori di me) e, sinceramente, mi spiacque non essere arrivato per tempo.

Poi ho visto una registrazione di 10 secondi del concerto ed era anche carino. Però il dispiacere è un po' diminuito ;-)

Regolamento DORA

Del Regolamento DORA avevo accennato in precedenza. Nel titolo la R sta per "resilienza" e l'ambito di applicazione è il settore finance. A ben vedere, questa resilienza richiede di occuparsi di sicurezza informatica (reti e sistemi informatici).

Per una prima idea del DORA, segnalo questo articolo di novembre 2022: https://www.cybersecurity360.it/legal/regolamento-dora-cosi-leuropa-garantira-la-resilienza-operativa-digitale-per-il-settore-finanziario/.

L'articolo è di Giancarlo Butti che ha recentemente pubblicato il libro "Manuale di resilienza" (https://www.iter.it/prodotto/manuale-di-resilienza/). Non ho letto il libro e quindi non posso dirne alcunché. Conosco Giancarlo e quindi so che sicuramente è molto interessante.

Bozza dell'Artificial intelligence Act approvata dal Parlamento UE

Non mi sono occupato finora delle proposte normative di intelligenza artificiale. Il motivo principale è che si tratta di normative ancora in fase di elaborazione. Adesso la situazione è avanzata ulteriormente e un articolo di Guerre di rete dal titolo "Intelligenza artificiale - AI Act, l’Europarlamento tiene" permette di capire bene la situazione attuale e gli elementi in discussione: https://guerredirete.substack.com/p/guerre-di-rete-ai-act-leuroparlamento.

 Per capire qualcosa di intelligenza artificiale, anche se in modo non approfondito, ricordo la pubblicazione (gratuita) del Clusit dal titolo "Intelligenza artificiale e sicurezza: opportunità, rischi e raccomandazioni": https://iasecurity.clusit.it/. E' di inizio 2021, ma gli argomenti ci sono quasi tutti.

Operazione "Ghost money"

Enos D'Andrea mi ha segnalato la notizia sull'Operazione "Ghost money": https://www.commissariatodips.it/notizie/articolo/operazione-ghost-money/index.html.

In brevissimo: hanno arrestato una gang che rubava soldi semplicemente presentando falsi mandati SEPA alle banche. L'istituto di credito dava disponibilità di una somma prima di verificare la non genuinità della documentazione depositata e, ovviamente, i criminali si affrettavano a bonificare i fondi su altri conti correnti.

Interessante quindi osservare come meccanismi progettati per velocizzare le operazioni possono essere sfruttati per furti.

Minacce e attacchi: bug programmato in visori sportivi

Segnalo questo articolo di Valeria Lazzaroli: https://www.linkedin.com/posts/valeria-lazzaroli_supplychain-cybersecurity-ip-activity-7059467324990341122-tIlx.

In pochissime parole: un visore sportivo si è bloccato (con gioia degli utilizzatori) da un momento all'altro perché non risultava aggiornata la licenza del software (di SWARG) da parte del produttore dell'hardware (ORQA).

Il mio commento (su LinkedIn): intanto bisognerebbe capire se si tratta di un bug o di una funzionalità. Cioè: era previsto dal contratto tra ORQA e SWARG o no? Certamente era un bug per ORQA che sembra caduta essersi sorpresa della cosa.

Ho pensato anche al fatto che adesso il software lo vendono "as a service", non più "as a product" e questo è un problema. Mi spiego meglio.

Questi software si aggiornano da soli, quando vuole il produttore (puoi sempre chiedere che non lo facciano, ma questo comporta altri problemi) e come vuole il produttore. Questo genera rischi di disponibilità (come minimo perché si aggiorna senza preavvisare, bloccando il sistema). Questo modo di fare consente ai produttori di introdurre sistemi di controllo delle licenze come nel caso segnalato.

Ripeto: ci sono pro e contro in questo approccio. Bisogna starci attenti.

Certo è che SWARG poteva lanciare qualche avvertimento che la licenza stava per scadere.

Aggiornamento della ISO/IEC 29134:2023 Guidelines for privacy impact assessment

A maggio 2023 è stata pubblicata la seconda edizione della ISO/IEC 29134:2023 "Guidelines for privacy impact assessment": https://www.iso.org/standard/86012.html.

Ripeto per l'ultima volta quanto già scritto altre volte quando parlavo delle bozze di questa seconda edizione: riporta solo aggiornamenti non significativi rispetto all'edizione precedente. Penso che sia è un peccato, visto che la norma richiederebbe un aggiornamento significativo, basato sull'esperienza maturata in questi anni.

Romania ed Europa

La Romania è in Europa e lo so anche molto bene.

Però in un mio precedente post (http://blog.cesaregallotti.it/2023/05/accreditamento-ukas-non-piu-valido-per.html) l'ho indicata come esempio di Paese extra europeo. Volevo scrivere Albania.

Mi scuso con tutti e ringrazio Toto Zammataro per avermelo segnalato.

Il post l'ho corretto dove ho potuto.

Privacy: DL 48 e semplificazioni in materia di trasparenza

Segnalo che è stato approvato il DL 48 del 2023: https://www.normattiva.it/eli/id/2023/05/04/23G00057/ORIGINAL.

Nell'articolo 26 riporta alcune semplificazioni nelle informazioni da fornire al personale, introdotte dal D. Lgs. 104 del 2022 che a sua volta modificava il D. Lgs. 152 del 1997 (sulle informazioni da fornire ai lavoratori).

Poche cose, ma interessanti:

1. non è necessario copiare le norme, ma è sufficiente citarle; ritengo sia una buona cosa, purché le stesse norme siano facilmente comprensibili, e già il capoverso precedente segnala che spesso non è così;
2. "il  datore di lavoro è tenuto a consegnare  o  a  mettere  a  disposizione  del personale, anche mediante pubblicazione sul  sito  web,  i  contratti collettivi nazionali, territoriali e aziendali, nonché gli eventuali regolamenti aziendali applicabili al rapporto di lavoro";
3. il datore di lavoro è  tenuto  a  informare  il lavoratore dell'utilizzo di sistemi  decisionali  o  di  monitoraggio.

Notizia appresa dalla circolare di B&C tax.

NIST SP 800-124 sulla sicurezza dei dispositivi mobili

Segnalo la pubblicazione della rev. 2 della SP 800-124 "Guidelines for Managing the Security of Mobile Devices in the Enterprise" del NIST: https://csrc.nist.gov/publications/detail/sp/800-124/rev-2/final.

Ottima.

Gli uomini possono fare tutto (Maggio 2023)

15 maggio. Anche oggi ho iniziato tardi un corso. Accompagno a scuola il piccolo, poi incontro una mamma di un compagno di classe del grande e ci scambiamo idee su come affrontare i compiti. La discussione mi interessa e il tempo passa...

Spero che i partecipanti al corso non mandino un reclamo (il corso finirà mercoledì).

Interpretazione della Corte di giustizia UE su dati pseudonimizzati e anonimi

Segnalo questo post sulla a decisione T-557/20 del 26 aprile 2023 della Corte di Giustizia UE su dati pseudonimi e anonimi: https://www.linkedin.com/posts/maria-grassetto-1a8bb25b_cge-activity-7060175275069779968-LAWc.

Copio biecamente dalla newsletter di Project:IN Avvocati: In estrema sintesi, secondo la Corte occorre ragionare sulla posizione del "ricevente" il dato personale, per indagare sia egli sia - o meno - in grado di identificare il soggetto cui quell’informazione si riferisce, e quindi effettui un "trattamento" di dato personale.

Sicurezza informatica e Codice degli appalti

Segnalo questo articolo dal titolo "La cyber security entra nel Codice Appalti: perché è un cambio di passo fondamentale": https://www.agendadigitale.eu/sicurezza/la-cyber-security-entra-nel-codice-appalti-perche-e-un-cambio-di-passo-fondamentale/.

Non sapevo che il Codice degli appalti fosse stato cambiato e fosse stata aggiunta questa aggiunta. Poche parole, se ho capito bene, ma molto importanti.

Accreditamento UKAS non più valido per gli appalti pubblici

Il titolo è "Appalti pubblici, Brexit taglia fuori i soggetti accreditati Ukas per le certificazioni": https://ntplusdiritto.ilsole24ore.com/art/appalti-pubblici-brexit-taglia-fuori-soggetti-accreditati-ukas-le-certificazioni-AELxQIND.

La notizia l'avevo vista da un post di LinkedIn di Fabrizio Cirilli (ma il suo link puntava a una pagina del sito del Sole 24 ore con cookie wall), poi me l'ha rimandata Franco Ferrari e allora ho cercato e trovato un link senza cookie wall.

In sostanza: i certificati accreditati da enti non europei non sono reputati validi per partecipare a gare di appalti pubblici. Infatti l'interpretazione dovrebbe riguardare anche i certificati accreditati in Albania, India, USA, Svizzera, eccetera. Non ho indagato se anche gli organismi di accreditamento dello SEE ma non della UE sono esclusi (Islanda, Liechtenstein e Norvegia).

Privacy: Pagina informativa del Garante sui Dark Pattern

Il Garante ha attivato una pagina informativa sui dark pattern, ossia sulle tecniche per fare in modo che un utente prenda decisioni "inconsapevoli o non desiderate", rinunciando quindi, in ambito privacy, alle limitazioni relative alla raccolta e trattamento dei propri dati personali: https://www.garanteprivacy.it/temi/internet-e-nuove-tecnologie/dark-pattern.

La pagina fa riferimento alle "Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them" dell'EDPB, aggiornate a febbraio 2023.

La notizia l'ho letta sulla newsletter di Project:IN Avvocati.

Su questo argomento ero completamente digiuno e questa pagina mi ha aiutato a capire alcune cose. Devo dire che la pagina informativa riassume quanto riportato nelle linee guida dell'EDPB. Queste, invece, approfondiscono le varie tecniche di dark pattern, ma senza esempi concreti e pertanto, in alcuni casi, alcune cose mi sono oscure.

Una versione in italiano dei dark patterns individuati da EDPB è qui: https://www.cyberlaws.it/2022/dark-patterns/.

I dark pattern sono però cose più generali e non riguardano solo la privacy. Ho trovato, per esempio, questo interessante articolo: https://www.drcommodore.it/2018/08/03/dark-pattern-cosa-sono-come-riconoscerli-e-perche-ci-controllano/. 

Cassazione: assolta Poste Italiane per phishing

Segnalo questo articolo dal titolo "Phishing, perché la Cassazione ha assolto Poste Italiane e condannato i correntisti?": https://www.cybersecitalia.it/phishing-la-cassazione-se-cliente-truffato-la-banca-non-responsabile/24214/.

 Ringrazio Maurizio Tardanico che l'ha segnalato su una chat a cui partecipo.

 Incollo una parte significativa del testo per dare una prima idea: "la Cassazione ha stabilito che la banca o l’istituto di credito non ha responsabilità nel furto di denaro dei correntisti avvenuto con operazioni di phishing, se ha adottato un sistema di sicurezza tale da impedire a terzi l’accesso al conto corrente e se i clienti stessi hanno fornito i codici di accesso ad estranei, ovviamente, senza esserne consapevoli, perché truffati".

Sicurezza delle informazioni: la nuova ISO/IEC 27005 sulla valutazione del rischio

Segnalo un mio articolo sulla nuova ISO/IEC 27005 sulla valutazione del rischio: https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-la-nuova-iso-iec-27005-sulla-valutazione-del-rischio/.

Approfondisce quanto avevo già detto in precedenza in altre occasioni.

Come sempre, sono disponibile al confronto nel caso qualcuno voglia discutere le mie posizioni.

Privacy: sanzionata la raccolta ingannevole del consenso per marketing

Provvedimento del Garante per "trattamento di dati personali mediante l’uso di pratiche ingannevoli, e in particolare per uso di dark patterns capaci di spingere l’utente a fornire il proprio consenso per finalità di marketing e di comunicazione dei dati a terzi" (ringrazio la newsletter di Project:IN Avvocati per il riassunto): https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870014.

Lo segnalo perché è interessante osservare che la raccolta del consenso ingannevole (o forzato, in alcuni casi) è stata sanzionata. Così questo provvedimento mi tornerà utile per convincere qualcuno a fare le cose un po' meglio...

Stato degli standard ISO/IEC 270xx - Aprile 2023

In aprile si sono conclusi i meeting semestrali del WG 1 e del WG 5 del ISO/IEC JTC 1 SC 27. Si tratta dei gruppi che seguono le norme ISO/IEC 27001, 27002, 27005 eccetera e le norme sulla privacy, inclusa la ISO/IEC 27701.

Per quanto riguarda il WG 1, le attività si sono svolte online e, in realtà, il meeting è servito a sintetizzare le attività svolte in altri incontri da ottobre.

Si sono avviati i lavori per la revisione di ISO/IEC 27000 (panoramica sui SGSI), 27003 (guida alla 27001) e 27004 (sulle misurazioni). Si tratta di norme molto importanti.

Si è poi deciso di non avviare i lavori per una nuova ISO/IEC 27001, anche se la versione del 2022 era stata approntata rapidamente per aggiornare l'Annex A seguendo alla nuova ISO/IEC 27002 e recepire le modifiche all'HLS.

Ci è stato comunicato che, a livello IAF (ossia l'ente che promuove e controlla le attività di accreditamento), sono stati uniti i gruppi che si occupano di ISO/IEC 27001 e ISO/IEC 20000 per ottenere una maggiore coerenza negli accreditamenti relativi alla sicurezza dei dati e all'informatica. Viene da ridere, pensando che molti vorrebbero che la ISO/IEC 20000-1 si occupi di servizi in generale e che la ISO/IEC 27001 non si occupa solo di sicurezza informatica (o cybersecurity).

Per quanto riguarda le attività del WG 5, che si occupa di privacy, sono proseguiti i lavori per la ISO/IEC 27006-2 (ossia le regole di accreditamento). Sono stati avviati i lavori per una norma sulla privacy e intelligenza artificiale (ISO/IEC 27091). Ho notato poi molto lavoro per gli standard relativi alla verifica dell'età.

Importante, a mio avviso, è il lavoro in fase di conclusione per la ISO/IEC 27701, ossia la norma per la certificazione dei sistemi di gestione per la privacy (estensione della ISO/IEC 27001). Infatti la norma passa in stato di FDIS e quindi entro fine anno dovrebbe uscirne la versione aggiornata. Non bisogna aspettarsi nulla di nuovo se non l'allineamento alle ISO/IEC 27001:2022 e ISO/IEC 27002:2022.

Su questo fronte, i lavori per l'aggiornamento della ISO/IEC 27018 (privacy per fornitori di servizi cloud, estensione della ISO/IEC 27002) procedono a rilento.

Sarà pubblicata una nuova versione della ISO/IEC 29134 sulla DPIA, ma riporterà solo aggiornamenti non significativi rispetto all'edizione attuale (su questo avevo già scritto in passato che è un peccato, visto che la norma richiederebbe un aggiornamento significativo, basato sull'esperienza maturata in questi anni.

Security-by-Design and Default Principles del CISA

Ottimo documento del CISA (Cybersecurity & infrastructure security agency degli USA) dal titolo "Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default": https://www.cisa.gov/news-events/alerts/2023/04/13/shifting-balance-cybersecurity-risk-security-design-and-default-principles.

In poche pagine (15 in tutto, incluso indice e fuffa introduttiva) sono riportati e spiegati i principi di sviluppo e ingegnerizzazione sicuri.

Gli uomini possono fare tutto (Aprile 2023)

"BUCATO. Ingiustamente considerato lavoro pesante, malinconico, riservato alle donne, e in special modo alle donne di servizio. In realtà ogni uomo, aiutato dalle conquiste della scienza (nailon e saponi schiumosi), dovrebbe lavare la sera quanto indossò di giorno. E ogni donna dovrebbe consacrare le sue economie all'acquisto, rateale, di una lavatrice elettrica, liberandosi, una volta per sempre, dalla tirannia delle lavandaie".

Pochi giorni fa lessi questa voce del "Dizionario del successo dell'insuccesso e dei luoghi comuni" di Irene Brin (del 1986, ma i brani sono del 1954 e 1965).

Mi venne in mente che pochi mesi fa, "l'informatico" di un mio cliente mi raccontava che rifiuta la lavatrice, ma provvede a lavarsi, in autonomia e quotidianamente come vuole la Brin, i vestiti usati durante la giornata.

ISO 9001 Auditing Practices Group

L'ISO 9001 Auditing Practices Group esiste da 20 anni e io non avevo proprio idea che potesse esistere. Il suo sito è: https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html.

Si tratta di un gruppo informale ma ufficiale all'interno dell'ISO.

Sul sito si trovano interessanti linee guida su come condurre audit e su cosa verificare nell'ambito della ISO 9001.

Zero Trust Maturity Model Version 2 del CISA

Il CISA (Cybersecurity & infrastructure security agency degli USA) pubblica cose interessanti. Recentemente, Aprile 2023, ha pubblicato la versione 2 del "Zero Trust Maturity Model": https://www.cisa.gov/zero-trust-maturity-model.

 Le misure sono illustrate in modo molto sintetico e confesso che non tutto mi è chiaro (per esempio, non capisco perché nel livello "tradizionale" (ossia il più basso) si parli di identity store centralizzati all'interno di un'agenzia senza accennare a quelli esterni, presenti invece nel livello "iniziale", come se nel tradizionale non si possa immaginare l'uso di sistemi esterni.

 Rimane un documento che, a mio avviso, vale la pena studiare.

EN 17799 e certificazioni privacy

Fabio Guasconi ha tenuto un interessantissimo webinar per il Clusit dal titolo "EN 17799, impatto e nuove prospettive sulle certificazioni GDPR" (https://clusit.it/webinar/). Per accedere a slide e video bisogna essere soci Clusit (cosa che continuo a raccomandare).

Chi non fosse socio Clusit può studiarsi le slide (senza video!) presentate da Luciano Quartarone, sempre sullo stesso tema, nell'ambito dell'incontro "Le norme tecniche avanzano": https://securitysummit.it/eventi/milano-2023/sessioni/le-norme-tecniche-avanzano.

Le slide contengono anche un mio intervento sulla ISO/IEC 27005, di cui ho già parlato altrove, e l'intervento, molto interessanto, anche se molto tecnico, di Stefano Ramacciotti sulla recente versione 4 dei Common Criteria.

Le norme tecniche avanzano (e ISO/IEC 27005)

Il 16 marzo 2023, al Security summit di Milano, ho parlato nella sessione "Le norme tecniche avanzano". Io mi sono concentrato sulle novità della ISO/IEC 27005. La presentazione è qui: https://securitysummit.it/eventi/milano-2023/sessioni/le-norme-tecniche-avanzano.

Entro fine aprile dovrebbe uscire un articolo in cui approfondisco i concetti (anche se, in realtà, li ho espressi anche in altre occasioni).

Il blocco di ChatGPT

Io so qualcosa di privacy e so molto poco di intelligenza artificiale (tutto quello che so viene da un bel libro, "Intelligenza artificiale e sicurezza: opportunità, rischi e raccomandazioni", gratuito, della Clusit community for security, che si trova su https://iasecurity.clusit.it/).

Per questo non ho niente da dire sull'argomento, ma posso segnalare articoli sulle persone che ho apprezzo molto in questi due campi.

Intanto la notizia in brevissimo la si trova sulla newsletter #13/2023 di Project:IN Avvocati: https://www.linkedin.com/pulse/132023-italia-chiude-durgenza-chatgpt-mentre-arriva.

Per quanto riguarda l'intelligenza artificiale, segnalo questo, dal titolo "Non è possibile fermare l'AI, solo rincorrerla" da Notizie.ai di Luca Sambucci: https://www.notizie.ai/non-e-possibile-fermare-lai-solo-rincorrerla/.

Per la privacy, vorrei segnalare un'intervista a Elia Barbujani su Repubblica.it, ma c'è il cookie wall e non mi rimane che segnalare invece un suo post su LinkedIn: https://www.linkedin.com/posts/elia-barbujani_chatgpt-i-dubbi-dellesperto-lo-stop-activity-7048302886803386368-Eazv.

Infine, imperdibile il commento di Not Boring Privacy: https://t.me/notboringprivacy/531.

D. Lgs. 24 del 2023 sul whistleblowing

E' stato approvato il D. Lgs. 24 del 2023 sul whistleblowing. Per saperne di più, preferisco rimandare direttamente a un articolo di Agenda digitale: https://www.agendadigitale.eu/documenti/whistleblowing-ce-la-legge-tutto-cio-che-aziende-e-pa-devono-fare-per-adeguarsi/.

Il cosiddetto whistleblowing riguarda le segnalazioni di violazioni di disposizioni normative nazionali o dell'Unione europea che ledono l'interesse pubblico o l'integrità di un'amministrazione pubblica o di un ente privato. La normativa disciplina la protezione delle persone che segnalano queste violazioni nel caso in cui ne siano venute a conoscenza in un contesto lavorativo pubblico o privato.

Si interseca con privacy e sicurezza delle informazioni, anche se la materia mi sembra, in generale, molto poco tecnica. Però è bene sapere che c'è.

Su Normattiva il testo sarà disponibile dal 1 aprile.

Schemi di certificazione europei

Copio direttamente dalla newsletter Project:IN Avvocati (sempre ottima) questa notizia: L'ENISA (Agenzia per la Cybersicurezza dell'UE) ha annunciato lo scorso 19 marzo il lancio di una nuova piattaforma il cui obiettivo è promuovere e diffondere informazioni sui sistemi di certificazione UE in materia di cybersicurezza. Più in particolare, la piattaforma consentirà agli utenti di condividere informazioni sugli schemi di certificazioni attualmente in fase di sviluppo, tra cui anche l'EUCS (Cybersecurity Certification Scheme for Cloud Servies).

Aggiungo il link alla piattaforma, che è in realtà una pagina web con le informazioni relative alle certificazioni (che sono ancora in fase di sviluppo e quindi, per ora, dobbiamo solo monitorarne l'avanzamento): https://certification.enisa.europa.eu/.

D. Lgs. 26 del 2023 sul Codice del consumo

Il D. Lgs. 26 del 2023 recepisce la Direttiva (UE) 2019/2161 e modifica il Codice al consumo.

Mi sembra che tratti di attività commerciali online, ma non di sicurezza delle informazioni. Ci sono anche richiami al GDPR e al D. Lgs. 196, ma non mi sembrano significativi. Comunque sia, segnalo un articolo in merito: https://www.altalex.com/documents/2023/03/20/codice-consumo-rinnova-raccogliere-sfide-mercati-digitali.

Su www.normattiva.it il D.Lgs. 26 e il Codice del Consumo (D. Lgs. 206 del 2005) saranno disponibili dal 2 aprile, data di entrata in vigore del D. Lgs. 26.

Rapporto Clusit 2023

E' stato pubblicato il rapporto Clusit 2023:
- https://clusit.it/rapporto-clusit/.

Un altro, che ringrazio, mi ha segnalato le cose per lui più interessanti. Ne approfitto e le segnalo:
- Pag. 157: "Nel 2021 le organizzazioni che hanno pagato il riscatto hanno recuperato mediamente solo il 61% dei propri dati, rispetto al 65% del 2020, mentre solo il 4% è riuscita a recuperare l'intera quantità di risorse inficiate. (fonte: Sophos "The State of Ransomware 2022")

- Pag. 159: [traduco io, Cesare, il testo] Il gruppo cyber-criminale Lockbit ha specificatamente richiesto ai propri affiliati di non cifrare i dati quando sono attaccati i settori maggiormente critici, come quello sanitario. Vedi anche il codice di condotta del gruppo DarkSide
https://krebsonsecurity.com/2021/05/a-closer-look-at-the-darkside-ransomware-gang/.

- Pag. 180: Indagine ironica "Quanto potrebbe essere devastante la violazione laddove si verificasse nel loro archivio dati cloud": Il 29% ha risposto "Ci sarebbe l'armageddon", il 15% "Mi darei malato quel giorno", il 9% "Darei la colpa ad un tirocinante" [...]

- Pag. 184: "Il modo più risoluto di proteggere i dati nel cloud è quello di rimuoverli dal cloud."

- Pag. 191: "Negli anni le disposizioni normative ed extra-normative hanno sopperito parzialmente alla carenza culturale delle organizzazioni, suggerendo o imponendo l'introduzione di sistemi di sicurezza, processi e tecnologie col fine di evitare il verificarsi di incidenti con potenziali ripercussioni anche a livello sociale." --> Mi piace questa prospettiva della legge come aiuto e non come imposizione.

- Pag. 195: Il 35% delle grandi organizzazioni ha sviluppato un proprio framework ad-hoc; il 6% usa la metodologia FAIR con analisi quantitativa del rischio.

- Pag. 251-258: Direttiva NIS2 spiegata molto bene [qui mi dice che non sapeva che crittografia e cifratura fossero concetti diversi, ma penso che ci sia un errorino nel testo della Direttiva]. 

 - Pag. 313-329: Enumera bene i rischi della IA, tra l'altro fa riferimento a Microsoft Failure Modes:
https://learn.microsoft.com/en-us/security/engineering/failure-modes-in-machine-learning.

NIS 2 e frammentazione normativa

Segnalo questo articolo dal titolo "Nel labirinto delle norme Ue sulla cybersicurezza: come districarsi nella Direttiva NIS2":
https://www.agendadigitale.eu/sicurezza/nel-labirinto-delle-norme-ue-sulla-cybersicurezza-criticita-attuali-e-scenari-futuri/.

Questo articolo mi conforta perché conferma le difficoltà di lettura della NIS2 e non solo.

Per ora, in attesa di implementing acts, recepimenti italiani, chiarimenti europei e italiani (inclusi quelli di ACN), io suggerisco di iniziare a ragionare sui controlli dell'Allegato B del DPCM 81 del 14 aprile 2021. Alcuni di questi controlli richiedono un certo tempo per essere realizzati e anche costi elevati. E' vero che c'è tempo, ma sicuramente partirei ad analizzare questi controlli, in modo da potersi attivare prontamente nel caso venissero confermati (è vero che sono orginati dal Framework Nazionale, di cui era responsabile Baldoni, ora non più Direttore di ACN, però al momento questo è quello che abbiamo).

Poi comincerei a ragionare sulla procedura di gestione degli incidenti per recepire le richieste normative.

Alla valutazione del rischio penserò solo quando usciranno indicazioni precise. Spero proprio che non promuovano un approccio basato sui singoli asset perché sarebbe una cosa assurda (ricordo che è un'impostazione degli anni Ottanta, tratta dal CRAMM, software stand-alone usato dalle grandi società di consulenza che lo facevano popolare dai ragazzini per fatturare giornate di consulenza; il CRAMM adesso non è neanche più mantenuto). Spero che qualcuno con competenze pratiche si renda conto che è un approccio dispendioso che non dà risultati utili.

Altra cosa è invece verificare l'implementazione delle misure su ciascun asset, ma, appunto, non è valutazione del rischio.

Io qui ho fornito la mia idea. Mi piacerebbe sapere cosa ne pensano gli altri.

Sicurezza informatica di base

Pierluigi Stefli di Datapro Srl mi ha segnalato due iniziative per fornire indicazioni sulla sicurezza informatica. Si tratta di materiale di base, destinato soprattutto ai "non professionisti della sicurezza".

Il primo è Barry: https://www.ibarry.ch/it/. Trovo interessante la parte relativa ai controlli di sicurezza, che mette a disposizione strumenti utili.

Il secondo è S-U-P-E-R: https://www.s-u-p-e-r.ch/it/. In questo c'è anche un quiz per verificare il proprio livello di comprensione.

Nuovo direttore di ACN

L'Agenzia per la cybersicurezza nazionale ha cambiato direttore. E' uscito Roberto Baldoni, è arrivato Bruno Frattasi.

Andrea Maria Tacchi di DNV mi diede la notizia a inizio marzo e mi segnalò questo articolo:
https://www.wired.it/article/baldoni-agenzia-cybersicurezza-dimissioni-soldi-pnrr/.

A qualcuno interessa il mio parere? Quasi sicuramente no e quindi lo riassumo: a) non ho apprezzato molte scelte di Baldoni, a partire dalla promozione del NIST CSF per fare il "Framework Nazionale per la Cybersecurity e la Data Protection", ma non ne ho seguito le gesta e quindi non ho altre critiche da fare; b) criticai all'epoca le richieste eccessive per i profili professionali richiesti, ma ancora una volta si tratta di poche cose; c) vedo che ACN pubblica bollettini e raccomandazioni, come tutte le cose sono migliorabili, ma mi sembrano buone iniziative; d) il resto sono lotte di potere e spero che ACN continui a lavorare e migliorare.

PS: dimentica un'altra critica a Baldoni: l'uso del termine "sicurezza cibernetica" (come se in inglese esistesse la cybernetics security).

Migrazione newsletter

La newsletter è spedita da anni con MailUp, offerta da Team Quality S.r.l. (per questo ringrazio Gianpiero Fuselli). Voglio provare a spedirla con Substack, dove adesso trovate la newsletter di febbraio:
- https://infosecandquality.substack.com/.

Questo mese proverò a migrare gli iscritti e quindi invito quanto non vogliono usare Substack di disiscriversi quanto prima.

La ragione della migrazione è che ho qualche problema con lo spam e molti non ricevono la newsletter per motivi a me oscuri e che non posso neanche indagare fino in fondo in quanto uso una parte limitata di MailUp. Altra ragione è che chi proprio lo desidera può contribuire economicamente alla newsletter. Non penso che riceverò alcunché, ma è un esperimento che mi incuriosisce.

Giusto per chiarire: non ho intenzione di attivare le pubblicità o roba simile.

Ricordo poi che la newsletter arriva anche via LinkedIn, ma vorrei dare un'alternativa a quanti non gradiscono registrarsi su quel social network.

Per chi vuole la soluzione più pulita possibile dal punto di vista privacy, la newsletter è sempre caricata sul mio sito (https://www.cesaregallotti.it/Newsletter.html), ospitato su un'infrastruttura italiana, gestita da una società italiana con sede a Milano (www.coretech.it), certificata ISO/IEC 27701 e non solo.

Infine: chiunque voglia aiutarmi o darmi consigli è benvenuto (prego di scrivermi via email).

WhatsApp e i messaggi rubati

Claudio Sartor mi ha segnalato la notizia dei messaggi WhatsApp resi pubblici nonostante la crittografia end-to-end:
- https://attivissimo.blogspot.com/2023/03/centomila-messaggi-whatsapp-spasso-ma.html.

Il fatto è che un politico aveva esportato i propri messaggi per darli a una giornalista a cui aveva chiesto di scrivere un libro, usando anche quei messaggi per ricostruire eventi. La giornalista, scorrettissima, ha pensato fosse più corretto rendere pubblici i messaggi per dimostrare che il Governo inglese era impreparato a gestire l'emergenza COVID nel 2020 (non certo una notiziona).

Claudio segnala che questa notizia serve per ricordarci "un principio spesso dimenticato nella sicurezza delle informazioni: il segreto non è soltanto questione di tecnologia, ma dipende anche dai fattori umani".

Vulnerabilità in Jenkins

Jenkins è uno strumento molto diffuso per la continuous integration del software. Si tratta quindi di un "software di supporto". E' stata identificata una vulnerabilità grave in una versione precedente ma ancora in uso:
- https://www.securityweek.com/jenkins-server-vulnerabilities-chained-for-remote-code-execution/.

Lo riporto perché è importante ricordarsi di prestare attenzione alle vulnerabilità presenti anche nei software di supporto.

Notizia presa da SANS NewsBites.

Gli uomini possono fare tutto

La mia amica Viviana, con cui parlo anche delle questioni organizzative con i bambini, mi ha chiesto di ritagliarmi un angolino della mia newsletter e del mio blog per raccontare come un uomo, ossia io, riesce a dedicarsi alla famiglia senza per questo essere discriminato, come invece succede alle donne.

Infatti succede che, quando io chiedo di finire le riunioni alle 16 per poter andare a prendere il figlio a scuola, tutti sono disponibili e, anzi, mi fanno i complimenti per l'impegno. So di casi in cui, quando lo chiede una donna, questa è troppo spesso ignorata (nei casi peggiori anche con sbuffi o commenti poco simpatici).

Io sono un libero professionista con competenze, a torto o ragione, riconosciute. Questo mi dà margini di manovra diversi da una dipendente. Però ho fatto anche un'altra riflessione: oggi molti vogliono dimostrare che le donne possono fare tutto (la serie Lida Poët è uno degli ultimi esempi), ma questo è solo un lato della medaglia, che permette ancora di spingere le donne a fare cose che "gli uomini non fanno" e, quindi, piano piano, a relegarle in quel ruolo. Invece siamo in tanti che stiriamo, ci occupiamo della lavatrice, aiutiamo i bambini con la scuola (per non dire dei bisogni al gabinetto), eccetera. Ovviamente, tranne Marco Mazzetti, solo una cosa non possiamo fare, ma è solo una.

E allora ho pensato che ogni mese potrei raccontare qualcosa che mi è successa e che dimostra che un uomo può far tutto. Non vorrò per niente essere auto-celebrativo (nel caso, vi chiedo di richiamarmi all'ordine), perché faccio tante cose senza infamia e senza lode, come quasi tutte le donne. Solo che le faccio e senza drammi. E forse è il caso di raccontarlo.

Un semplice episodio mi permette di ringraziare il gruppo di traduzione della ISO/IEC 27001 e ISO/IEC 27002, che mi ha permesso di partecipare ai lavori, e senza rimostranze, anche quando accompagnavo i bambini a karate, al calcio, al Catechismo e dai dottori, scollegandomi dal pc e ricollegandomi dal cellulare, restando assente per alcuni minuti se dovevo rispondere a qualcun altro.

Ho iniziato così, un 8 marzo. Cercherò di continuare ogni mese e di rimanere nelle poche righe (molte meno di questo primo episodio).

Diritto alla riparazione

Claudio Sartor mi scrive: sebbene laterale rispetto alla sicurezza delle informazioni propriamente intesa, ti segnalo questo interessante articolo su come una funzionalità, nata per mettere in sicurezza i dispositivi in caso di furto o smarrimento, si riveli un boomerang per il mercato della seconda mano:
- https://www.guerredirete.it/apple-scuote-il-movimento-sul-diritto-alla-riparazione/.

Ringrazio Claudio e sottoscrivo l'interesse per l'articolo che, più in generale, pone all'attenzione un caso di bilanciamento tra la sicurezza e le altre esigenze.

Esempi di notifiche di incidenti (buone e cattive)

Segnalo (dopo averlo visto dal SANS NewsBites) questo articolo dal titolo "Best and worst data breach responses highlight the do's and don'ts of IR":
- https://www.csoonline.com/article/3689169/data-breaches-some-of-the-best-and-worst-among-recent-responses.html.

Riassuntone: in caso di incidente, la cosa migliore è notificare tempestivamente ai propri clienti in modo completo e trasparente e con i giusti dettagli tecnici, evitando di minimizzare.

Libro sulla supply chain

"Supply Chain Security: l'importanza di conoscere e gestire i rischi della catena di fornitura" è il titolo dell'ultimo lavoro della "CLUSIT Community for Security", di cui faccio parte:
- https://supplychainsecurity.clusit.it/.

I contributi sono tanti e quindi il libro è pieno di cose interessanti. Io ho partecipato alla parte di cura e quindi spero che troviate convincente come i contributi sono stati consolidati.

Vademecum sull'uso dei social media

Il Consultative Council of European Judges (CCJE, o Consiglio consultivo dei giudici europei del Consiglio d'Europa) ha adottato a dicembre 2022 la "Opinion No. 25 (2022) on freedom of expression of judges". Essa riporta anche indicazioni sull'uso dei social media:
- https://www.coe.int/en/web/ccje/-/freedom-of-expression-of-judges-consultative-council-of-european-judges-adopts-new-opinion.

La notizia, di per sé, non sarebbe particolarmente significativa. Però sono rimasto incuriosito da un articolo in italiano che ne riassume i contenuti dal titolo "I magistrati e i social media: regole di continenza, partecipazione e decoro":
- https://www.altalex.com/documents/news/2023/02/20/magistrati-social-media-regole-continenza-partecipazione-decoro.

Ecco, dovessi scrivere una linea guida per l'uso dei social media, partirei da qui. Perché è chiaro che l'ambito dei giudici è particolarmente rigido, e quindi da qui si possono trarre indicazioni utili anche per altri ambiti.

Accredia e schema di accreditamento Europrivacy

Accredia ha pubblicato la Circolare tecnica DC N° 12/2023 con titolo "Avvio accreditamento, ambito PRD, schema di certificazione EuroprivacyTM/®":
- https://www.accredia.it/documento/circolare-tecnica-dc-n-12-2023-avvio-accreditamento-ambito-prd-schema-di-certificazione-europrivacytm/.

In pochissime parole, se ho capito bene, Accredia ha avuto il mandato da Europrivacy per accreditare, a livello italiano, gli organismi di certificazione che intendono offrire servizi di certificazione Europrivacy, ossia relativi alla sicurezza delle attività di trattamento dei dati personali. Il meccanismo è stato concordato a livello EA, ossia di accreditamento europeo e quindi coinvolgerà anche gli altri Paesi.

Deduco, in poche parole, che il percorso di certificazione secondo gli articoli 42 e 43 del GDPR si farà di più facile accesso, visto che potranno essere coinvolti i "soliti" organismi di certificazione, secondo modalità già note dall'esperienza ISO 9001, ISO/IEC 27001 e altre. Va comunque ricordato che quelle citate sono certificazioni di sistemi di gestione, mentre la certificazione Europrivacy è di processo o servizio, quindi con significative differenze.

Ringrazio Luca Tommasella di DNV Italia per avermi segnalato la cosa.

"Interoperable EU Risk Management Toolbox" di ENISA

Sulla newsletter di Project:IN Avvocati vedo che ENISA ha pubblicato il documenti "Interoperable EU Risk Management Toolbox":
- https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-toolbox.

Non mi è piaciuto perché riprende l'approccio della ISO/IEC 27005:2018 (ricordo che è stata pubblicata la versione del 2022), ossia quello basato su asset-minacce-vulnerabilità. Però questo approccio si ha unicamente nell'ambito della sicurezza delle informazioni e fu inventato negli anni Ottanta, quando l'informatica era completamente diversa da quella attuale (e quando gli asset erano molto pochi). Oggi non ha senso pensare all'interoperabilità di analisi basati su meccanismi vecchi e unici per una certa materia.

Detto questo, trovo invece molto interessanti le appendici III - Toolbox threat taxonomy (perché permette di verificare la completezza del proprio approccio), IV - Toolbox impact scale (perché si può prendere come riferimento per il proprio approccio; una scala per la probabilità di accadimento è al paragrafo 2.3.1.4).

Segnalo infine che le scale per impatto e probabilità sono su 5 valori, mentre si consiglia solitamente di prevedere un numero pari di valori, in modo da evitare che venga scelto il valore di mezzo, che non darebbe indicazioni utili.

Il futuro di SPID (e della CIE)

Da Project:IN Avvocati, segnalo questo articolo di Wired dal titolo "I contratti per gestire Spid stanno per scadere. E non c'è un accordo per rinnovarli":
- https://www.wired.it/article/spid-convenzione-scaduta-2022-governo-cie/.

Importante per cercare di capire cosa ci riserva il futuro, anche se pronostico un qualcosa di urgenza per proprogare ulteriormente le convenzioni.

La mia preoccupazione è che la CIE richiede l'attivazione del NFC sul cellulare e non sono sicuro che sia così diffuso. Però non ho dati in merito. Bisogna anche dire che il meccanismo è più complicato perché, oltre al cellulare (come necessario per SPID) bisogna avere sotto mano anche la carta di identità e le complicazioni, solitamente, non aiutano.

Va anche detto che io ho ancora la carta di identità cartacea valida fino al 2025 e mi disturba doverne anticipare la sostituzione. Ma me ne farò una ragione ;-)

Best Cyber Insights of 2023

Claudio Sartor mi ha segnalato questo post su LinkedIn:
- https://www.linkedin.com/posts/the-cyber-security-hub_best-cyber-insights-of-2023-activity-7028992138247827456-LPVI.

Si tratta di una raccolta (se ho fatto bene il calcolo, sono 8 schemi per 168 pagine, per un totale di 1.344 report) di report di sicurezza. Con il termine "report", qui intendo un grafico o una statistica. Per esempio, in prima pagina si trova la percentuale delle organizzazioni che forniscono dettagli sugli attacchi e le vittime e la dimensione delle vittime di ransomware (oltre ad altri 6 schemi). Tutti i dati sono raccolti da altri report, come correttamente segnalato.

Claudio mi scrive: "la una miniera di informazioni pazzesca da diffondere".

Io, personalmente, la trovo eccessiva e non riesco a orientarmi (confermo così che io non riesco a ragionare su troppe informazioni). Però sono sicuro che altri sapranno trarre molti benefici da questa raccolta e per questo ringrazio Claudio.

NIST Cybersecurity Framework 2.0 in lavorazione

Da Crypto-gram del 15 febbraio, segnalo che sono iniziati i lavori per l'aggiornamento del NIST Cybersecurity Framework:
- https://www.nist.gov/cyberframework/updating-nist-cybersecurity-framework-journey-csf-20.

Pubblicazione prevista per l'inverno 2024 (immagino quindi che intendano i primi 3 mesi del 2024).

E' noto che non sono un grande amante del CSF perché preferisco l'uso di standard internazionali, aggiornati attraverso processi aperti; non posso però negare l'impatto positivo di questo framework.

Regole di transizione alla ISO/IEC 27001:2022

Accredia ha approvato il 25 gennaio 2023 la circolare con le regole di transizione delle certificazioni ISO/IEC 27001:2013 alla ISO/IEC 27001:2022:
- https://www.accredia.it/documento/circolare-tecnica-dc-n-04-2023-transizione-certificazioni-accreditate-iso-iec-27001-e-adeguamento-accreditamenti-odc-schema-ssi-isms/.

Per le organizzazioni, riprende esattamente quanto già previsto dalla circolare IAF MD 26 del 2022. Quindi "L'attività di adeguamento deve prevedere una durata minima di 0,5 giorni/uomo aggiuntivi se effettuata attraverso un audit di sorveglianza o con un audit dedicato".

Ancora sui Google Analytics

La storia dei Google Analytics ormai è vecchia, ma un cliente in questi giorni mi ha chiesto chiarimenti e, proprio proprio a proposito, Guido Scorza dell'Autorità Garante Privacy mi ha fatto il piacere di pubblicare un articolo dal titolo "Google Analytics, Scorza: Ecco cosa devono sapere le aziende":
- https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-scorza-ecco-cosa-devono-sapere-le-aziende/.

ISO 31700: mio brevissimo articolo di presentazione

Segnalo questo mio brevissimo articolo dal titolo "Privacy by design: requisiti e casi d'uso della norma ISO 31700":
- https://www.riskmanagement360.it/analisti-ed-esperti/privacy-by-design-requisiti-e-casi-duso-della-norma-iso-31700/.

L'8 febbraio c'è stato un convegno di presentazione della norma, ma purtroppo era tutto basato sul "come siamo stati bravi a concludere il lavoro".

Numero degli utenti UE per i servizi digitali

Mi sono imbattuto (grazie inizialmente a Project:IN Avvocati) in questa notizia "Digital Services Act: Commission provides guidance for online platforms and search engines on publication of user numbers in the EU":
- https://digital-strategy.ec.europa.eu/en/news/digital-services-act-commission-provides-guidance-online-platforms-and-search-engines-publication.

Se ho capito correttamente, il DSA (Regulation (EU) 2022/2065) riguarda gli intermediary services e i motori di ricerca. Questi, per l'art. 24, devono pubblicare i dati sul numero degli utenti dei servizi nella UE ogni 6 mesi, a iniziare da settimana prossima (par. 2) e su richiesta del Digital Services Coordinator o della Commissione (par. 3).

Io però non ho alcun cliente che fa questo mestiere e quindi non ho approfondito. Come diceva qualcuno, però: sapevatelo.

Libro "Sicurezza Informatica - Spunti ed Approfondimenti"

Segnalo che è liberamente scaricabile il libro "Sicurezza Informatica – Spunti ed Approfondimenti" di Andrea Pasquinucci:
- https://www.ictsecuritymagazine.com/pubblicazioni/.

Si tratta di una raccolta di 5 articoli, molto ampi, di sicurezza (Sicurezza Hardware e Confidential Computing; Sicurezza dei router, WAF e QUIC; DNSSEC; password e MFA; Crittografia post quantum). Sono molto tecnici, ma anche molto affascinanti, oltre che istruttivi.

Gli elementi difficili per gestire la sicurezza delle informazioni

Martedì 24 gennaio ho presentato, per i Cyber Security Angels, "Gli elementi difficili per gestire la sicurezza delle informazioni". Le slide sono qui:
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2023-GallottixCSA.pdf.

Il video è qui:
- https://www.youtube.com/watch?v=w51N1BGPG5o.

Si tratta di alcune riflessioni sugli elementi che risultano più ostici alle organizzazioni per cui lavoro.

Tecniche di infezione basate sull'uso di social network

Segnalo questo bollettino di ACN (grazie a un tweet di Filippo Bianchini) dal titolo "Tecniche di infezione basate sull'uso di social network":
- https://www.csirt.gov.it/contenuti/tecniche-di-infezione-basate-sulluso-di-social-network-bl01-221129-csirt-ita.

Spiega bene come funziona lo spear phishing e penso che una buona lezione, anche se già nota, rimanga sempre utile.

E poi sono contento di vedere che ACN pubblica buone cose. Spero solo che continui a farlo e sempre di più.

Dispositivi (e smartphone) a scuola

Mi rendo conto che sono leggermente fuori tema, però il discorso sugli "smartphone a scuola" introduce molti elementi importanti anche per chi si occupa di qualità e sicurezza nelle aziende e, in generale, nelle organizzazioni.

Intanto un link (grazie a un tweet di Filippo Bianchini) a un articolo dal titolo "Quando la disinformazione arriva dal Ministero dell'Istruzione e del Merito: il caso dei dispositivi elettronici a scuola":
- https://www.valigiablu.it/cellulari-scuola-circolare/.

Poi un video di un incontro dal titolo "Incontro aspettando lo smartphone" tenuto presso una scuola. Per chi non si occupa di bambini e ragazzi è comunque interessante la prima parte (dal minuto 10 all'ora) perché fornisce dati interessanti sugli effetti o i non-effetti dell'uso dello smartphone:
- https://www.youtube.com/watch?v=ndYFEGrRDYc.

Penso ci siano alcune cose significative:
- le diverse tipologie di attenzione che impongono gli strumenti digitali, che vanno considerate attentamente;
- il livello di distrazione che gli strumenti introducono;
- il fatto che vedere violenza non ci fa diventare più violenti, ma più impauriti.

Insomma, ci sono cose che fanno riflettere. Non ho ancora ben sedimentato queste riflessioni, ma so che ci sono.

Rapporto EDPB sui cookie banner

Segnalo questo articolo dal titolo "Cookie, quali regole rispettare: i Garanti privacy chiariscono i dubbi":
- https://www.agendadigitale.eu/sicurezza/privacy/cookie-quali-regole-rispettare-i-garanti-privacy-chiariscono-i-dubbi/.

Il titolo è un po' troppo enfatico, comunque è utile leggere l'articolo perché riassume quanto emerge dal "Report of the work undertaken by the Cookie Banner Taskforce" di EDPB, pubblicato il 18 gennaio 2023:
- https://edpb.europa.eu/our-work-tools/our-documents/report/report-work-undertaken-cookie-banner-taskforce_en.

Mio articolo sulle competenze per la sicurezza delle informazioni

Segnalo questo mio articolo dal titolo "Sicurezza delle informazioni: come formare le competenze che servono":
- https://www.agendadigitale.eu/cultura-digitale/competenze-digitali/sicurezza-delle-informazioni-le-competenze-necessarie-e-le-opportunita-di-formazione/.

Mi sono molto divertito a scriverlo e spero sia di interesse.

Tassonomia incidenti ACN

ACN ha elaborato una tassonomia di incidenti informatici per le notifiche da parte delle organizzazioni del Perimetro di Sicurezza Nazionale Cibernetica:
- https://www.acn.gov.it/notizie/contenuti/si-rafforza-il-perimetro-nazionale-di-sicurezza-cibernetica.

La tassonomia, in Allegato A della Determina del 3 gennaio 2023, si trova al momento in Gazzetta ufficiale (grazie a Franco Vincenzo Ferrari per avermela segnalata) ed è previsto venga pubblicato sul sito di ACN del CSIR Italia:
- www.gazzettaufficiale.it/eli/id/2023/01/10/23A00114/sg.

I tipi di incidente sono raggruppati in sole 15 categorie e già questa mi sembra una buona notizia. Per il resto, bisognerà valutare la bontà di questo elenco tra qualche tempo, dopo che sarà stato effettivamente utilizzato.

Arrestare gli amministratori di sistema

Da Crypto-gram di gennaio, segnalo questo articolo dal titolo "Albanian IT staff charged with negligence over cyberattack":
- https://apnews.com/article/iran-europe-middle-east-albania-tirana-39fce9b5fe112a43f8b35a533b6d29e8.

Il procuratore ha chiesto l'arresto di 5 amministratori di sistema per mancate verifiche degli aggiornamenti e del software antivirus. Questo avrebbe poi portato al successo alcuni attacchi dall'Iran.

Come dice Bruce Schneier, poi bisognerà arrestare anche i manager delle società che producono software perché non pubblicano abbastanza velocemente le patch e gli sviluppatori perché ci sono bug nel software.

Certamente è un metodo per migliorare il livello di sicurezza informatica.

I rischi umani di sicurezza informatica

Segnalo questo articolo da un tweet di Rebus dal titolo "Errori, stanchezza, computer smarriti: quando il fattore umano mette a rischio la sicurezza informatica":
- https://www.wired.it/article/fattore-umano-sicurezza-informatica/.

Nulla di nuovo, ma è bene ripassarlo.

A mio parere, poi, troppi puntano sulla formazione e la consapevolezza delle persone, ma queste sono, per nostra natura, inaffidabili. Io ritengo che la sicurezza debba essere innanzitutto tecnologica, da ovviamente affiancare a quella umana. Continuo a dirlo: già le persone non bloccano i propri dispositivi e, se possono, non impostano una password; figuriamoci stare attenti.

Regolamenti DORA e Direttive DORA, NIS2 e CER

Si è molto parlato negli ultimi tempi della prossima pubblicazione delle normative in oggetto. Una breve sintesi si trova in questo articolo:
- https://formiche.net/2022/12/regolamento-tre-direttive-ue-cyber/.

La più importante è la Direttiva NIS2 2022/2555, di cui già scrissi in precedenza e che dovrà essere recepita dagli Stati membri entro fine 2024:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555

Importante è il Regolamento DORA 2022/2554, per il settore finanziario:
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022R2554.

Il DORA è accompagnato dalla Direttiva 2022/2556 per allineare le direttive esistenti al Regolamento:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2556.

Infine la Direttiva CER 2022/2557 sulle infrastrutture critiche (che abroga la precedente Direttiva 2008/114/CE):
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2557

Per quest'ultima devo ancora capire bene come si interseca con la NIS2. Mi sembra di capire che stabilisca ulteriori misure per alcuni soggetti particolarmente critici, oltre a quanto stabilito dalla NIS2. Ho trovato questo articolo:
- https://www.dirittobancario.it/art/la-direttiva-cer-sulla-resilienza-dei-soggetti-critici/.

ISO/IEC TS 22237 sui data center, certificazioni e accreditamento

Segnalo questo mio articolo dal titolo " Standard ISO/IEC TS 22237 per i data center: i punti critici nello schema di certificazione Accredia":
- https://www.cybersecurity360.it/soluzioni-aziendali/standard-iso-iec-ts-22237-per-i-data-center-i-punti-critici-nello-schema-di-certificazione-accredia/.

Mi pare che il titolo annunci già a sufficienza il contenuto. Mi piacerebbe ricevere commenti.

Attacco a LastPass

LastPass è uno dei più noti password manager e poco prima di Natale è stato compromesso:
- https://www.wired.com/story/lastpass-breach-vaults-password-managers/.

L'articolo segnala strumenti alternativi (oltre a essere critico su alcune pratiche di sicurezza e di comunicazione di LastPass).

Dal rapporto di LastPass (https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/), sembra che sia stato compromesso un loro repository su cloud in agosto (in cui erano conservati i backup), da cui i criminali hanno ricavato informazioni per un ulteriore attacco a fine novembre. Se ho capito correttamente, l'uso di MFA non era previsto.

Questa storia è importante per ricordarci che strumenti di sicurezza molto utili portano con se anche diversi rischi. Oltre che per ricordarci che è meglio usare il MFA.

Notizia presa dal SANS NewsBites.

NIS2 approvata

E' stata approvata dal Consiglio UE la Direttiva NIS2, che sostituirà la Direttiva NIS:
- https://www.consilium.europa.eu/en/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council-adopts-new-legislation/.

L'articolo indica anche i prossimi passi: la Direttiva sarà pubblicata sulla Gazzetta europea e poi dovrà essere adottata dagli Stati membri entro fine 2024 (o inizio 2025).

Nel frattempo sono stati pubblicati alcuni articoli di approfondimento. Segnalo questo, anche se pubblicato prima dell'approvazione da parte del Consiglio UE:
- https://www.agendadigitale.eu/sicurezza/nis-2-approvata-gli-effetti-su-aziende-e-pa/.

Va anche detto che, per l'Italia, dovremo vedere come sarà modificato il D. Lgs. 65 del 2018, quello che recepisce la NIS (ricordo che le Direttive, a differenza dei Regolamenti europei, per essere applicabili, devono essere recepite dagli Stati membri).

EN 17640 sulla certificazione dei prodotti ICT

Segnalo questo articolo di ICT Security Magazine dal titolo "Sicurezza dei prodotti ICT: dall'Unione Europea arrivano nuovi criteri di valutazione":
- https://www.ictsecuritymagazine.com/notizie/sicurezza-dei-prodotti-ict-dallunione-europea-arrivano-nuovi-criteri-di-valutazione/.

Al momento non mi risultano attivi schemi di certificazione dei prodotti ICT per il cyber security act e per il NIS. E mi risulta anche oscura l'organizzazione degli standard relativi. Ci arriveremo, ma per adesso mi sembra tutto oscuro (anche se accompagnato da annunci pieni di entusiasmo).

Digital resignation

Segnalo questo interessante articolo dal titolo "Digital resignation: Non dobbiamo per forza cedere i nostri dati alle Big Tech: ecco i servizi a prova di privacy":
- https://www.agendadigitale.eu/sicurezza/privacy/non-dobbiamo-per-forza-cedere-i-nostri-alle-big-tech-ecco-i-servizi-a-prova-di-privacy/.

Nulla di tecnico, ma espone bene alcuni concetti che penso siano essenziali per chi si occupa di privacy e protezione dei dati personali.

Convegno Accredia sulle certificazioni di cybersecurity

Accredia il 14 novembre 2022 ha promosso il convegno "Come gestire il rischio informatico? Il contributo dell'accreditamento e della certificazione alla cybersecurity nazionale". Sono stati pubblicati i materiali presentati:  

- https://www.accredia.it/pubblicazione/come-gestire-il-rischio-informatico-il-contributo-dellaccreditamento-e-della-certificazione-alla-cybersecurity-nazionale/.

Il Quaderno presenta 128 pagine molto fitte, mentre la presentazione le riassume. Utile per capire cosa c'è e cosa ci potrà essere (anche se rimango perplesso sulla spinta a sviluppare schemi nazionali di certificazione).

Guide per lo sviluppo sicuro di NSA

Dalla newsletter Crypto-Gram segnalo che NSA ha pubblicato due guide per lo sviluppo sicuro.

Il primo ha titolo "Software Supply Chain Guidance for Developers":
- https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3146465/nsa-cisa-odni-release-software-supply-chain-guidance-for-developers/.

Il secondo ha titolo "Software Supply Chain Guidance for Suppliers" (che purtroppo ha le prime 22 pagine su 45 in formato foto e non testo):
- https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3204427/esf-partners-nsa-and-cisa-release-software-supply-chain-guidance-for-suppliers/.

Si tratta di cose note, ma ben approfondite.