giovedì 29 agosto 2013

Decreto del fare convertito: wi-fi, fascicolo sanitario, fax

Il DL 69 del 2013 noto come "Decreto del fare" e con titolo "Disposizioni
urgenti per il rilancio dell'economia", è stato convertito in Legge con
modificazioni dalla L. 98 del 2013.

E' possibile leggere la versione consolidata ricercando il DL 69 del 2013 su
www.normattiva.it.

L'articolo 10 sulla liberalizzazione delle wi-fi è stato modificato e ora si
può veramente dire che le wi-fi sono libere: per gli esercizi per cui
l'offerta di accesso non costituisce l'attività commerciale prevalente
(bar, ristoranti, hotel, scuole e altro) non sono più necessarie
registrazioni e le reti non devono più essere effettuati da imprese
abilitate.

Attenzione però che le reti di telecomunicazioni devono comunque rispondere
ai requisiti di sicurezza degli impianti stabiliti dalla Legge 46 del 1990.

Per quanto riguarda il fascicolo sanitario elettronico, il Garante aveva
espresso delle perplessità sul testo originario dell'articolo 17. Ora questo
articolo è stato completamente riscritto.

L'articolo 14 presenta inoltre un'interessante novità. Esso modifica
l'articolo 47 del Codice dell'Amministrazione digitale che già indicava che
"le comunicazioni di documenti tra le pubbliche amministrazioni avvengono
di norma mediante l'utilizzo della posta elettronica". Ora è stato aggiunto
che "E' in ogni caso esclusa la trasmissione di documenti a mezzo fax".
Pare un primo passo verso l'eliminazione del fax e spero che i successivi
siano fatti quanto prima.

mercoledì 28 agosto 2013

Pubblicata la ISO/IEC TR 27019 per l'energy utility industry

Franco Ferrari del DNV Italia mi ha segnalato che il 15 luglio è stata
pubblicata la ISO/IEC TR 27019 dal titolo " Information security management
guidelines based on ISO/IEC 27002 for process control systems specific to
the energy utility industry".

Si tratta di una estensione della 27002 con controlli specifici per chi
offre servizi di energia. Come specificato dalla 27019 stessa, essa è il
recepimento della norma tedesca DIN SPEC 27009:2012-04.

lunedì 26 agosto 2013

ENISA Annual Incident Reports 2012

Dal gruppo LinkedIn "Italian Security Professional" ricevo la notizia della
pubblicazione, il 20 agosto, del "Annual Incident Reports 2012" dell'ENISA:
-
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/Incidents-reporti
ng/annual-reports/annual-incident-reports-2012


Per me, la parte più interessante riguarda l'analisi delle cause degli
incidenti: il 76% degli incidenti sono causati da "errori dei sistemi"; in
questa categoria, se ho capito correttamente anche le tabelle successive,
sono inclusi anche gli errori software, il sovraccarico delle risorse,
eccetera. Io sommerei questo 76% agli "errori umani" (5%), per avere questo
risultato: il 81% degli incidenti è stato determinato da errori umani (si
dovrebbe anche cercare di ragionare sul 13% degli incidenti determinati da
"errori di terze parti", ma i dati non sono sufficienti).

Le conclusioni sono facili da tirare: quando si parla di sicurezza è
necessario riflettere attentamente sulle persone, sulla loro formazione e
competenza (di cui ho già parlato in precedenza), sugli strumenti loro messi
a disposizione e sui processi che devono seguire.

TOR, Lavabit e Silent Circle

Questa estate l'FBI ha arrestato un tizio che diffondeva materiale
pedopornografico attraverso la rete TOR:
-
http://www.tomshw.it/cont/news/tor-non-e-piu-blindata-l-fbi-si-infiltra-e-ar
resta-un-pedofilo/48227/1.html


TOR, come è noto, è un sistema per la navigazione web e l'uso di servizi
Internet in modo anonimo. Come riassunto dall'articolo sopra citato, può
essere usato per scopi legittimi, ma anche per scopi illegittimi.

La cosa interessante, come mi hanno spiegato e come riporta l'articolo, è
che l'FBI ha sfruttato un bug del browser non aggiornato. Insomma: il solito
patch non fatto.

Altra notizia (dal Clusit Group di LinkedIn) riguarda i servizi di e-mail
"sicura" Lavabit e Silent Circle:
-
http://www.technologyreview.com/news/518056/why-e-mail-cant-be-completely-pr
ivate/


Onestamente, non conosco per nulla questi servizi e mi sfugge quale livello
di sicurezza garantiscono (forse riescono a mantenere anonimi anche i
mittenti e destinatari). Però credo che il titolo dica tutto: l'e-mail non
può essere completamente riservata. Detto in parole più popolari: l'unico
modo di mantenere un segreto è non dirlo a nessuno.

NSA vuole tagliare il 90% degli AdS

Dopo il caso Snowden, l'NSA ha deciso di tagliare il 90% dei propri
amministratori di sistema (AdS). Gli attuali AdS, pare, sono in gran parte
fornitori (Snowden incluso) e non interni.

A questo punto mi faccio delle domande, per le quali non ho risposte
definitive:
- dei sistemi automatizzati sono realmente più sicuri rispetto a quelli
manuali? Certamente sono più efficienti e probabilmente più efficaci, ma non
è detto che siano anche più sicuri.
- è una buona iniziativa dire al 90% del proprio personale che sarà
licenziato il prima possibile?
- il personale interno è veramente più affidabile di quello esterno?

Due articoli segnalati da SANS Newsbyte:
-
http://www.nbcnews.com/technology/nsa-cut-system-administrators-90-percent-l
imit-data-access-6C10884390

-
http://www.theregister.co.uk/2013/08/09/snowden_nsa_to_sack_90_per_cent_sysa
dmins_keith_alexander/

Automobili e sicurezza informatica

Oggi le automobili si basano sempre più su dispositivi informatici per il
loro funzionamento. Ovviamente, alcuni hacker si sono dedicati alla ricerca
di vulnerabilità e ne hanno trovate.

L'articolo in inglese (segnalato dal Gruppo LinkedIn del Clusit):
-
http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-ne
w-car-attacks-with-me-behind-the-wheel-video/
.

Una traduzione in italiano (segnalato dal Gruppo LinkedIn del Clusit):
- http://punto-informatico.it/3860499/PI/News/hacker-dell-automotive.aspx.

Ulteriori vulnerabilità sono state individuate nei meccanismi di sicurezza
del sistema di avviamento e un giudice ha imposto una censura alla
pubblicazione della ricerca (dalla newsletter SANS NewsByte):
-
http://arstechnica.com/tech-policy/2013/07/high-court-bans-publication-of-ca
r-hacking-paper/
.

In tutti questi casi mi faccio due domande.
- la prima: voglio avere il diritto di conoscere i dettagli delle
vulnerabilità (con la conseguenza che siano note anche a malintenzionati)
oppure di non vederle pubblicate, ma corrette?
- la seconda: queste ricerche di vulnerabilità sono classificabili come
"ricerche scientifiche", così come i loro autori le classificano?