mercoledì 24 dicembre 2014

NIST SP 800-88 Guidelines for Media Sanitization

Il NIST ha pubblicato la prima revisione della guida 800-88, dedicata alla
"cancellazione sicura". La guida si trova qui:
- http://csrc.nist.gov/publications/PubsSPs.html#800-88

Il titolo esatto è "sanitizzazione" (treccani.it lo dà come sinonimo di
"sanificazione", ma questo è derivato dall'inglese "sanification") e
riguarda tutti i dispositivi (carta e altri supporti inclusi).

Devo dire: un po' deludente perché è indicato precisamente come fare la
cancellazione dei cellulari (con tanto di sequenza di comandi da seguire sui
vari sistemi disponibili), ma non quella degli hard disk o delle memorie
USB: non fornisce alcun suggerimento sugli strumenti da utilizzare e segnala
di seguire dei forum o dei siti nei quali non c'è nulla. Forse sono io che
ho sbagliato a cercare?

Dall'altra parte, segnalo che la maggior parte delle volte indica come
sufficiente una passata di zeri; altre volte suggerisce due o tre passaggi.
E se lo dice il NIST, forse è il caso che i fautori delle 7, delle 20 e
delle 37 volte si aggiornino (anche perché quella non è più "cancellazione",
ma "distruzione" del supporto; opzione comunque da scegliere nei casi di
dati particolarmente critici; ma un buon martello è più economico, più
veloce e spiritualmente più soddisfacente).

venerdì 19 dicembre 2014

Ricerca sulla criminalità informatica nelle PMI

Dalla mailing list di Sikurezza.org, segnalo questa ricerca dal titolo "La
criminalità informatica e i rischi per l'economia e le imprese a livello
italiano ed europeo". Non credo che aggiunga molto a quanto già si sa e a
studi già noti (peraltro la ricerca, molto correttamente, li cita), ma
fornisce qualche spunto di riflessione sulle nostre aziende.

La presentazione sulla pagina web è in inglese, mentre la pubblicazione e la
presentazione sono in italiano:
- http://www.unicri.it/in_focus/on/Cybercrime_risks_economy

Home banking: responsabilità parziale in caso di attacco

Enzo Ascione di Intesa Sanpaolo mi ha segnalato questa notizia: per il
tribunale di Caltanisetta, il fatto che l'accesso all'home banking avvenga
"solo" tramite user-id e password (nonostante comunque l'istituto bancario
abbia sollecitato ai clienti l'adozione di un meccanismo di OTP), fa sì che
un accesso abusivo al sistema sia da ritenere colpa dell'istituto bancario
perché avrebbe potuto anche mettere a disposizione un servizio di SMS o
simile.

Questo se ho capito correttamente gli articoli relativi alla sentenza. Ne
propongo due; nel secondo è possibile trovare un link alla sentenza
completa:
- http://www.quotidianodiritto.ilsole24ore.com/art/amministrativo/2014-11-26/c
olpa-parziale-se-cliente-non-nota-l-hacker--194747.php?uuid=ABZqZXIC
;
- http://www.creditofinanzanews.it/2014/12/03/home-banking-responsabilita-parz
iale-del-cliente-che-non-nota-lhacker/


Trovo un po' inquietante il fatto che il giudice dica che la banca (ossia il
fornitore del servizio informatico) "non aveva dimostrato che il cliente non
aveva custodito con diligenza le credenziali d'accesso". Però, ancora una
volta, una sentenza che ribadisce la necessità di predisporre servizi sicuri
sia tecnicamente che funzionalmente.

mercoledì 17 dicembre 2014

Privacy e Dossier sanitario

Dal gruppo Clusit di LinkedIn è stato segnalato questo articolo che riguarda
le difficoltà di un'azienda sanitaria (AS9 ad adeguarsi alle disposizioni
del Garante privacy in materia di fascicolo sanitario elettronico (FSE) fino
a dire che si dovrà tornare alle cartelle di carta:
- http://altoadige.gelocal.it/bolzano/cronaca/2014/12/13/news/privacy-si-torna
-alle-cartelle-di-carta-1.10493365
.

In realtà, l'articolo aiuta molto poco a capire. Ma si può consultare il
Provvedimento del Garante relativo a questa AS:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3325808

La storia: si scopre che una dipendente dell'ospedale consultava le cartelle
cliniche del proprio reparto, fino a diffondere la notizia della
sieropositività di un'altra collega. C'è un processo e si scopre che nella
ASL non c'è alcuna segregazione delle autorizzazioni di accesso alle
cartelle cliniche. Il Garante privacy, a luglio 2014 ha imposto all'AS il
recepimento delle misure di sicurezza per i fascicoli sanitari elettronici,
come previsto dalle "Linee guida in tema di Fascicolo sanitario elettronico
(Fse) e di dossier sanitario" del 16 luglio 2009 [doc web 1634116]. L'AS ha
poi chiesto una proroga dei tempi al Garante e ora sembra che non sia in
grado di completare l'attuazione delle misure.

La notizia mi ha colpito perché, nel Provvedimento del Garante, è scritto
che l'AS ha chiesto aiuto ad una società di consulenza nel 2013 (4 anni dopo
la pubblicazione delle linee guida e 6 anni dopo la costituzione dell'AS
dalla fusione di 4 AS pre-esistenti!): certamente la privacy non è stata una
priorità!

Altra notizia molto simile mi è arrivata da CINDI e riguarda invece l'Emilia
Romagna:
- http://www.privacyofficer.pro/dossier-sanitario-elettronico-a-prova-di-privacy/

Sicurezza IT nel settore energia

Dal Gruppo Clusit su LinkedIn segnalo questo whitepaper dedicato alla
sicurezza informatica nel settore "produzione":
- http://download.schneider-electric.com/library/downloads/WW/en/document/998-
2095-07-21-14AR0_EN


Ovviamente, è concentrato sul settore energia. Colgo allora l'occasione per
ricordare il Quaderno Clusit numero 7 dal titolo "Introduzione alla
protezione di reti e sistemi di controllo e automazione (DCS, SCADA, PLC,
ecc.)", che ho riletto recentemente e mi è sembrato molto utile, anche se
del 2007. Lo si può scaricare dal seguente link:
- http://www.clusit.it/download/index.htm

Certificati digitali gratuiti

Su Crypto-Gram del 15 dicembre, Bruce Schneier ha segnalato una nuova
Certification Authority che fornisce certificati digitali gratuiti: Let's
Encrypt, progetto a cui partecipano EFF, Mozilla, Cisco, Akamai e
l'Università del Michigan.

Leggendo il blog di Bruce Schneier, alcuni partecipanti (con toni ovviamente
critici, come si conviene quando si partecipa a forum!) hanno segnalato
altre CA gratuite. Ecco quindi l'elenco:
- Let's Encrypt: https://letsencrypt.org;
- CAcert: http://wiki.cacert.org;
- StartSSL: https://cert.startcom.org.

Tutte offrono certificati per web server (Let's Encrypt propone anche
l'aggiornamento automatico); CAcert permette anche di usare dei certificati
per l'e-mail. Ovviamente non si tratta di certificati digitali utili per
apporre firme digitali come previsto dalla normativa italiana in vigore.

Qualche breve riflessione:
1- forse saranno meno numerosi i siti web con i certificati scaduti; c'è da
chiedersi perché vengono inizialmente attivate delle funzionalità di
sicurezza (cifratura con certificato digitale) per poi non mantenerle;
2- oggi quasi nessuno si preoccupa più di cifrare le e-mail e quindi,
ahinoi, non farà notizia la disponibilità di certificati digitali gratuiti
per questo servizio.

NIST SP 800-53 - Assessing Security

Il NIST ha pubblicato la versione 4 della "Special Publication (SP) 800-53
A, Assessing Security and Privacy Controls in Federal Information Systems
and Organizations: Building Effective Assessment Plans".

Il link:
- http://csrc.nist.gov/publications/PubsSPs.html#800-53ar4

Si tratta di un librone in pdf di 487 pagine. Di queste, quasi 400
costituiscono l'elenco dei controlli da verificare. Si tratta quindi di una
lettura quanto meno esaustiva.

martedì 16 dicembre 2014

Richieste di responsabili sicurezza

Dal Crypto-gram di dicembre, segnalo questa notizia che traduco:

<< Questo articolo segnala che le richieste di Chief Information Security Officers eccede di gran lunga l'offerta:


Non ho neanche verificato l'articolo, ma mi pare interessante il commento di Bruce Schneier, che sottoscrivo per quanto mi riguarda: << Non mi sorprende. E' un lavoro duro: budget sempre insufficiente, e si è sempre criticati quando si è inevitabilmente attaccati. E richiede un insieme difficile di competenze: abbastanza competenze tecniche per capire la sicurezza IT e sufficienti abilità gestionali per navigare tra i dirigenti. Non vorrei mai un lavoro così>>.

venerdì 12 dicembre 2014

Aggiornamento sul Regolamento europeo sulla privacy

Alessandro Cosenza di BTicino mi ha segnalato il seguente articolo:
- http://www.diritto24.ilsole24ore.com/art/avvocatoAffari/mercatiImpresa/2014-
12-11/regolamento-europeo-privacy-ancora-discussione-162857.php


Riassumo: bisogna aspettare e non fare nulla, al momento, poiché l'entrata
in vigore richiederà almeno 2 anni e mezzo. Insomma, le stesse cose che vado
dicendo da tempo, ma in modo molto più preciso.

Comunque, se e quando sarà approvato questo Regolamento, spero che tutti si
ricordino dei cosiddetti esperti che ne hanno annunciato l'approvazione nel
2013, poi a inizio 2014, poi a fine 2014, e così via. Tutto per vendere
corsi e consulenze basate sul "forse".

giovedì 11 dicembre 2014

Regolamento UE 910 del 2014 e CAD

Franco Ferrari del DNV GL mi ha segnalato il Regolamento UE 910 del 2014 "in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva1999/93/CE". Esso è noto anche come eIDAS "electronic IDentification Authentication and Signature" e disciplina le modalità di apposizione della firma elettronica a convalida di documenti con valore probatorio. Il regolamento è entrato in vigore dal 17 settembre e sarà applicabile dal 1° luglio 2016.

I "servizi fiduciari" riguardano il mutuo riconoscimento attraverso mezzi elettronici e sono: firme elettroniche, sigilli elettronici, marche temporali, servizi di consegna, autenticazione di siti web".

Su http://eur-lex.europa.eu/ è possibile ricercarlo e scaricarlo.

Ho chiesto aiuto a Franco Ruggieri che mi ha scritto quanto segue. << La UE ha fatto una cosa buona: adeguare le normative sulla firma elettronica, stabilite nel lontano 1999 con la Direttiva 1999/993/CE. Con questo Regolamento UE 910/2014 si aggiorna qualche cosa sulle firme elettroniche, si inseriscono i "sigilli elettronici", cioè le firme elettroniche delle persone giuridiche, si apre la strada a qualcosa che assomiglia alla nostra PEC, si parla di time stamping, di authentication, e roba del genere.

Inoltre, sulla base dei pasticci dovuti alle diverse interpretazioni della Direttiva 1999/93/CE, hanno deciso di emettere un Regolamento. A differenza di una Direttiva, che deve essere recepita dagli Stati Membri della UE, un Regolamento entra in vigore automaticamente in tutti gli EUMS, il che dovrebbe consentire finalmente l'interoperabilità. E, poiché un Regolamento non può che essere una specie di legge primaria, stanno già lavorando intensamente agli implementing acts (atti attuativi). >>

A questo punto gli ho chiesto cosa ne sarebbe stato del Dlgs 82/2005, ossia il CAD (Codice dell'Amministrazione Digitale). La risposta: << Il CAD non sarà abrogato, perché tratta sì di eIDAS, ma anche di altre cose. Alcune parti dovranno essere eliminate o modificate. Dobbiamo avere notizie da AgID>>.

Ho chiesto lumi anche ad Andrea Caccia, nella speranza di mettere insieme più risposte e, forse, capirci qualcosa. Andrea dice che <<se il Parlamento non modifica il CAD, dal 1 luglio 2016 ci penserà il Regolamento a farne uno spezzatino: resterà in vigore solo ciò che non è in contrasto col Regolamento>>.

Andrea ha anche illustrato, in occasione della 10a riunione del SC27 di UNINFO alcune slide, confermando la partecipazione ai lavori di ETSI (ai cui lavori partecipa, tra gli altri, proprio Andrea Caccia).

Anche il sotto-comitato ISO/IEC JTC1 SC27 ha stabilito di occuparsi della materia con l'aggiornamento di un vecchio Technical Report del WG4, il TR14516 col nuovo titolo "Guidelines for use and management of Trust Service Provider"

Una cosa che mi sono segnato dalla presentazione di Andrea Caccia è questa: in base all'articolo 20 del Regolamento, "I prestatori di servizi fiduciari qualificati sono sottoposti, a proprie spese almeno ogni 24 mesi, a una verifica da parte di un organismo di valutazione della conformità" ... "ai sensi... del regolamento (CE) n. 765/2008 accreditato a... effettuare la valutazione della conformità del prestatore di servizi fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati", "in base agli standard che la Commissione indicherà nei propri decreti attuativi in base all'articolo 20 (3)".

In Italia, quindi, Accredia dovrebbe promuovere questo schema di certificazione dei Trust service providers (TSP). Nulla impedisce di affidarsi ad organismi accreditati da altri organismi non italiani. EA (European Cooperation for Accreditation), a cui Accredia aderisce, ha già approvato un piano di migrazione predisposto da ETSI. Gli organismi di accreditamento si devono predisporre tra novembre 2014 e maggio 2015, mentre gli organismi di certificazione dovranno migrare da giugno 2015 a luglio 2016 (si preferiscono organismi con già esperienza di certificazioni rilasciate su standard ETSI). Ne vedremo delle belle...

Per intanto, Andrea suggerisce di leggere la presentazione di Riccardo Bianconi del 1 dicembre, che si può trovare a questo link (poi cliccare su "Convegno - Roma, 1 e 2 dicembre 2014"; anche le altre presentazioni sono di interesse):
- http://www.euronotaries.eu/news-ed-eventi/rassegna-stampa/