sabato 30 maggio 2015

Impianti industriali insicuri

Segnalo questo articolo, con link ad un'ulteriore ricerca più approfondita, su quanto sono esposti i sistemi informatici di controllo industriale:
- https://www.linkedin.com/pulse/un-sacco-di-pallini-blu-sullitalia-impianti-esposti-su-enzo-m-tieghi

Confermo che alcune imprese stanno lavorando al miglioramento del loro livello di sicurezza. Evidentemente non abbastanza.

Google Identity Platform

La Google Identity Platform sembra una bella iniziativa di Google: un insieme di programmi per incoraggiare gli sviluppatori a creare apps e siti web più sicuri:
- http://www.cnet.com/news/google-beefs-up-user-identity-safety-net-for-apps/

Chissà quanti ne faranno uso?

Notizia dal Sans NewsBites.

E-mail personali e dati sanitari

Questa me l'ha segnalata Marco Fabbrini, che ringrazio:
- http://www.esanitanews.it/?p=2908.

Se ho capito bene la notizia, si tratta di una cosa buffa e bizzarra: una signora invia un messaggio promozionale a due clienti-amici chiedendo di inoltrarlo ad altri. Essendo però anche amici, aggiunge notizie personali relative alla propria salute. Gli amici, facendole un piacere, inoltrano l'e-mail ai propri contatti commerciali (ritoccando però le cifre dell'offerta), senza però cancellare le notizie personali. La signora se ne risente e fa reclamo al Garante della privacy (chiedendo tra l'altro di riinviare la comunicazione con le cifre originali).

Il provvedimento del Garante:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3966213

Mi viene da pensare che la signora abbia perso un paio di amici. Oltre a ciò, qualche lezione da imparare:
- fate attenzione alle "amiche" (o "amici"), che uniscono notizie professionali a notizie personali e poi non esitano a fare ricorso all'autorità;
- quando inoltrate i messaggi, verificate che non ci siano cose da cancellare;
- se avete dei colleghi-amici, mandate mail separate per cose personali e cose professionali.

La cosa buffa: il Garante ha dovuto richiamare i due "inoltratori selvaggi" chiedendo loro di mandare informative, di non trattare più i dati della signora e di vigilare sull'operato delle proprie persone. Ho capito che dovrò inviare un'informativa a tutte le persone che si comportano da "amici" con me e cancellare ogni e-mail che mi mandano!

BYOD e dispositivi mobili

Da Twitter, Alessandro Vallega ha inoltrato il link a questo articolo dal
titolo "Safeguarding the Public Sector against the Threat of Device Loss":
- http://www.infosecurity-magazine.com/opinions/chris-mayers-chief-secarccitrix/.

In sintesi, il CESG, ossia l'autorità nazionale UK per la sicurezza
informatica, ha pubblicato delle guide sul BYOD e sull'uso di dispositivi
mobili (in verità le guide sono del 2014, ma all'epoca forse ci eravamo
distratti):
- https://www.gov.uk/government/collections/bring-your-own-device-guidance;
- https://www.gov.uk/government/collections/end-user-devices-security-guidance.

Confesso che ho trovato la lettura più complicata di quanto mi aspettassi.
Forse perché il tutto è diviso in più documenti che ho fatto fatica a
collegare tra loro. Oppure perché si tratta di una "alpha release".

martedì 26 maggio 2015

Twitter

Sono su Twitter da metà maggio, dopo che troppe persone mi hanno segnalato quanto fosse importante.

Scriverò solo di cose professionali. In altre parole, non fornirò contenuti diversi da quelli già presenti su blog e newsletter. Solo saranno dei riassunti di 140 caratteri.

Per festeggiarmi, ecco quindi un articolo di Bancaforte su Twitter e su quelli che lo lasciano (o dicono di volerlo lasciare):
- http://www.bancaforte.it/articolo/quelli-che-smettono-di-cinguettare-RB70187w

Data protection officer - Un buon articolo

Finalmente leggo un buon articolo su cosa è e cosa non è il famoso DPO e su quanto valgono le certificazioni professionali attualmente promosse da alcuni enti:
- http://www.filodiritto.com/articoli/2015/05/professioni-non-regolamentate-lo-strano-caso-del-privacy-officer.html

Breve riassunto: ritengo che queste certificazioni siano delle bufale.

Aggiornamento: in sede UNINFO sono in fase di avvio le attività per discutere di uno standard su "Figure professionali operanti nel settore ICT – Profili professionali relativi alla privacy".

2 giugno e Provvedimento privacy sui cookie

Il 2 giugno 2015 scade il periodo di transizione previsto dal provvedimento del Garante Privacy n. 229 del 4 maggio 2014, il cosiddetto "Provvedimento cookie" applicabile a tutti i siti web.

Non mi dilungo oltre e segnalo questo articolo di Filodiritto, che mi sembra il più completo visto finora:
- http://www.filodiritto.com/articoli/2015/05/cookie-policy-si-avvicina-la-sca
denza-del-2-giugno.html

sabato 23 maggio 2015

Medical Device Security Guidance for Developers

Dal SANS Newbites: è disponibile la pubblicazione "Building Code for Medical
Device Software Security". Si può scaricare da questo breve articolo di
presentazione:
- http://www.scmagazine.com/guidance-meant-to-reduce-the-risk-of-malicious-attacks-on-medical-devices/article/416163/.

Vale la pena osservare che si tratta di una sorta di "SSDLC in sintesi" e non applicabile ai soli dispositivi medici.

Leggendo questo documento si trovano un paio di interessanti link, sempre legati allo sviluppo sicuro.

Il primo è la pagina Cybersecurity di ieee che mette a disposizione alcuni articoli interessanti:
- http://cybersecurity.ieee.org/

Più interessante ancora è la pubblicazione "Avoiding the Top 10 Security Flaws":
- http://cybersecurity.ieee.org/center-for-secure-design/avoiding-the-top-10-security-flaws.html

Il secondo link che segnalo è quello di SAFECode:
- http://www.safecode.org/

Nella sezione "pubblicazioni" ci sono molte cose interessanti, tra cui "Fundamental Practices for Secure Software Development" e "Security Engineering Training".

giovedì 21 maggio 2015

ISO/IEC 20000 e informatica - Altri spunti

Tony Coletta, rappresentante italiano al SC 40, è stato stimolato (come speravo) dal mio breve articolo di metà aprile:
- http://blog.cesaregallotti.it/2015/05/isoiec-20000-e-informatica.html

Quindi, da qui in poi, riporto solo e unicamente le sue parole e lo ringrazio.

La confusione è ancora grande sotto il cielo.

I britannici e comunque anche l'attuale convenor insistono che la ISO/IEC 20000 si applica anche al di fuori dell'IT ma ogni volta che tentano di ufficializzare la cosa, il tentativo viene respinto.

Il WG25 (incaricato, tra le altre cose, della redazione della ISO/IEC 20000-1) è uscito dal SC7 per andare a costituire il SC 40 insieme a quelli della Governance ma JTC1 gli ha imposto il titolo: "SC40 - IT Service Management and IT Governance".

Non possono sfuggire. Fino a quando restano in JTC1 devono rimanere nel dominio Information Technology.

Poi possiamo essere d'accordo o meno che la maggior parte dei requisiti della norma si possono applicare ai servizi in generale ma la norma è stata scritta per l'IT service management.

Nel testo della norma non si dice ogni volta IT Service Management perché "Information Technology" fa parte del titolo in prima pagina quindi è superfluo ripeterlo ogni volta.

D'altronde per essere valida per tutti i servizi, nel working group che l'ha sviluppato, avrebbero dovuto esserci i rappresentanti di tutti gli altri servizi non-IT ma questo non è vero. C'erano solo informatici.

Comunque la cosa si complica ulteriormente se cominciamo a parlare dei servizi "IT enabled", cioè servizi che di per sé non sono servizi IT ma che vengono erogati tramite tecnologie informatiche.

I bambini possono insegnarci la sicurezza delle informazioni

Interessante articolo che rigiro dalla newsletter di Anssaif:
- http://www.key4biz.it/assetprotection-sensibilizzare-i-ragazzi-alla-sicurezza-per-aiutare-anche-gli-adulti/118303/

I bambini e i ragazzini sono delle spugne e, se si spiega loro l'importanza della sicurezza su Internet, stanno attenti. I bambini, l'avrete notato, si arrabbiano quando noi adulti non seguiamo le stesse regole che abbiamo dato loro; insomma, come avere un allarme ogni volta che facciamo qualcosa di
avventato su Internet!

Forse i millennials saranno più bravi dei loro predecessori che scrivono di tutto su Internet senza preoccuparsi delle conseguenze e forse più bravi degli ultra 30enni che o non usano Internet del tutto o lo fanno in modo molto insicuro.

Intrusione nel sistema IT di un aereo

La notizia ha fatto il giro del mondo, ma io l'ho presa dal SANS NewsBites: un ricercatore, che si sta dedicando molto alla (in)sicurezza dei sistemi di volo, ha dichiarato di essere riuscito ad accedere a quelli di almeno 14 aerei su cui ha volato. Questo usando il sistema di intrattenimento presente
su molti apparecchi.

Un paio di link:
- http://www.wired.com/2015/05/feds-say-banned-researcher-commandeered-plane/
- http://arstechnica.com/security/2015/05/fbi-researcher-admitted-to-hacking-plane-in-flight-causing-it-to-climb/

Mancano dettagli per capire se si tratta di uno scherzo o di una cosa vera. Io copio, incollo e traduco un tweet, a sua volta riportato dal secondo articolo: "O ha mentito sull'intrusione negli aerei in volo o è veramente riuscito ad accedere ai sistemi di aerei in volo. Tutte e due le opzioni sono inaccettabili da un professionista di sicurezza delle informazioni".

ISO 22313 in italiano

UNI ha pubblicato la versione italiana della ISO 22313 dal titolo "Sistemi di gestione per la continuità operativa: Linee guida".

Non si tratta della ISO 22301 con i requisiti utili anche per la certificazione, che rimane solo in inglese. Trovo bizzarro che abbiano tradotto le linee guida di accompagnamento e non la norma di requisiti, ma tant'è.

La norma, che peraltro non ho trovato illuminante, si può acquistare direttamente da UNI su store.uni.com.

Grazie a Franco Ferrari di DNV GL Business Assurance Italia per la segnalazione.

venerdì 15 maggio 2015

Provvedimento Garante biometria - Errata corrige

Mauro Bert mi ha segnalato che il Garante privacy ha corretto il
"Provvedimento generale prescrittivo in tema di biometria".

L'errata corrige Rettifica alla Deliberazione n. 513 del 12 novembre 2014
recante 'Provvedimento generale prescrittivo in tema di biometria' - 15
gennaio 2015 - doc. web n. 3701432) si trova a questo link:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3701432

Il Provvedimento aggiornato si trova al precedente link:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3556992

Mauro (che ringrazio) riassume: "viene corretta l'errata citazione
eliminando UNI e 2005, ma continuando ad ignorare l'esistenza della UNI CEI
ISO/IEC 27001:2014".

giovedì 14 maggio 2015

Certificazione e bandi di gara

Sandro Sanna mi ha segnalato la "Linee Guida ACCREDIA per i bandi di gara". È un documento molto sintetico in cui sono riportati dei suggerimenti e degli esempi per richiedere ad un fornitore o potenziale fornitore prova di una certificazione:
- http://www.accredia.it/news_detail.jsp?ID_NEWS=1711&areaNews=94&GTemplate=default.jsp

Il documento riporta ulteriori e utili informazioni per esempio su come richiedere un'offerta per un servizio di certificazione.

CSSLP (libro) - Sviluppo sicuro

Da tempo volevo approfondire il tema dello sviluppo sicuro. Ho cercato un libro e ho trovato questo:
- Mano Paul. "Official (ISC)2 Guide to the CSSLP". USA: CRC Press, 2011.

È il libro per la preparazione all'esame CSSLP del (ISC)2 e quindi soffre di qualche limite, il primo dei quali è che un manuale per preparare ad un esame non è la stessa cosa di un libro scritto per altri scopi.

Il libro ha altri limiti, tra cui: errori di inglese (li ho trovati io!) e ripetitività di alcuni argomenti in diversi capitoli (e non sempre sono presentati in modo allineato). Drammaticamente ci sono anche errori tecnici (mi chiedo cosa abbia letto della ISO/IEC 27006, visto che la considera una norma per la "certificazione" del software e non per gli organismi che certificano secondo ISO 9001, 14001 e altri standard per i sistemi di gestione).

Però, in questi tempi in cui parlo con gli sviluppatori di "politiche di sviluppo sicuro" o, più banalmente, di "accorgimenti di sviluppo sicuro", vedo solo: a) sguardo di mucca quando passa il treno; b) i risultati di un vulnerability assessment; c) documenti in cui la parola "sicurezza" è nominata per sbaglio una o due volte senza ulteriori dettagli.

Allora è benvenuto un libro, per quanto mal fatto, che parla di sviluppo sicuro o, in inglese, di secure software development lifecycle (SSDLC).

In questo libro si parte dal "solito" risk management, per poi trattare del ciclo di vita: requisiti, progettazione, codifica, testing (tecnico), accettazione, messa in produzione, conduzione, manutenzione e eliminazione. Ci sono anche capitoli sulla catena di fornitura e sull'acquisizione di software da parti esterne.

Ovviamente, chiunque voglia segnalare altri testi è il benvenuto.

lunedì 11 maggio 2015

Supply Chain Resilience report

Il Business continuity institute mi ha comunicato la pubblicazione del Supply Chain Resilience report 2014:
- http://www.thebci.org/index.php/about/news-room#/pressreleases/businesses-facing-high-costs-of-supply-chain-disruption-1078655

Per scaricarlo chiedono di registrarsi, ma credo che anche fornendo dati falsi si possa accedere al link.

Detto questo, per pigrizia mi sono accontentato di leggere la sintesi, consapevole che ogni report segnala (più o meno) quello che vuole, solitamente per spingere da qualche parte (non mi sorprende infatti che un report sulla "supply chain" inizi dicendo che l'80% degli intervistati hanno avuto, l'anno precedente, dei problemi di filiera di fornitura, né che un report realizzato con il contributo delle assicurazioni Zurich riporti perdite ingenti per questi problemi e sottolinei che il 40% degli intervistati ha dichiarato di non avere stipulato polizze specifiche).

Però qualcosa fa riflettere, soprattutto se ci fermiamo a parlare di informatica: il 53% dei problemi di fornitura è dovuto a interruzioni dei sistemi informatici. Questo mi riporta ad uno dei miei cavalli di battaglia: forse anche questi hanno pensato troppo ai potenziali problemi di sicurezza del cloud e non hanno pensato a quelli posti dai fornitori, anche di informatica, "tradizionali".

Questo report ci ricorda la necessità di analizzare il più possibile l'intera filiera di fornitura e non fermarsi solo al fornitore primario.

venerdì 8 maggio 2015

Privacy e profilazione on-line

Sono state pubblicate le "Linee guida in materia di trattamento di dati personali per profilazione on line". Sono applicabili da chiunque faccia profilazione on line:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3881513

Francamente, non mi pare ci sia nulla di nuovo. D'altra parte, un richiamo su informativa, consenso e diritto di opposizione è sempre benvenuto.

Privacy e lavoratori

Il Garante privacy ha pubblicato il Vademecum 2015 su "Privacy e lavoro" (grazie a Ivo Trotti di TNS per la segnalazione):
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3890025

Oltre a questo, il Consiglio d'Europa in data 1° aprile 2015 ha adottato la Raccomandazione CM/Rec(2015)5 sul trattamento dei dati personali nel contesto dell'occupazione. I datori di lavoro dovrebbero ridurre al minimo i rischi di violazione dei diritti dei lavoratori e delle libertà fondamentali:
- https://wcd.coe.int/ViewDoc.jsp?id=2306625

Questa seconda notizia mi è stata fornita da Enzo Ascione di Intesa Sanpaolo. Enzo si chiede anche come agiranno le imprese che hanno già emesso delle policy interne in conformità al Provvedimento del Garante in materia di utilizzo della posta elettronica e della rete internet (delibera n. 13 del 1° Marzo 2007).

Inoltre si chiede:
- Quanto differiscono queste Recommendation "europee" dalla delibera "italiana" di cui sopra?
- Questa analisi sarà affrontata e pubblicata dal Garante o dovremo farla da soli?
- Come tenere conto delle eventuali differenze?

ISO/IEC 20000 e informatica

Stanno girando da tempo post e articoli sul fatto che forse la ISO/IEC 20000
non riguarda solo i servizi di tipo informatico, ma tutti i servizi.

Ne ho avuto conferma al meeting dell'SC27 e un po' ne sono rimasto sorpreso.

Di questa possibilità ne parlai, assolutamente casualmente, nel 2005 con
Tony Coletta. Ci eravamo messi a discutere sul perché nella norma non
apparisse mai "IT" e se quindi, forse, poteva essere generalizzata. Mi
ricordo che, in effetti, convenimmo sulla sua possibile generalizzazione, ma
non pensavo che questa idea potesse diffondersi.

Ora la cosa è ufficiale o quasi ufficiale.

Sito di confronto delle normative privacy

Stefano Ramacciotti, che ringrazio moltissimo, mi ha segnalato questo sito
che permette di confrontare tra loro le normative privacy di due Paesi:
- http://www.dlapiperdataprotection.com/#handbook/registration-section/c1_IT/c2_NO

Ci ho fatto un breve test e mi è sembrato molto bello.

Rapporto semestrale MELANI

Ogni sei mesi MELANI, la "Centrale d'annuncio e d'analisi per la sicurezza
dell'informazione" svizzera pubblica un rapporto sulla sicurezza delle
informazioni molto ben fatto.

Il 2014/II uscito a fine aprile 2015 riporta in parte i "soliti" attacchi di
virus, intrusione, eccetera. In parte ci sono articoli su un attacco ad un
impianto industriale in Germania, ad aziende norvegesi del settore
petrolifero, alla navigazione aerea, eccetera. Il rapporto si trova a questo
indirizzo:
- http://www.melani.admin.ch/dienstleistungen/archiv/01598/index.html?lang=it

La cosa interessante è che per ogni tipo di attacco sono riportate
sinteticamente le misure di sicurezza da considerare. Per gli impianti
industriali si fa anche riferimento ad una pubblicazione specifica dal
titolo "Misure di protezione dei sistemi industriali di controllo (ICS)":
- http://www.melani.admin.ch/dienstleistungen/00132/01557/index.html?lang=it

Stato delle norme ISO/IEC 27000

Venerdì 8 maggio si è concluso a Kuching (Malesia) il meeting semestrale del
WG1 dell'ISO/IEC JTC1 SC27 che ha, tra le altre cose, la responsabilità di
redigere le norme della serie ISO/IEC 27000. A questo incontro hanno
partecipato circa 127 esperti in rappresentanza di circa 27 Paesi. Oltre ai
lavori del WG1, si sono svolti i lavori degli altri gruppi di lavoro
dedicati agli standard di sicurezza delle informazioni e sicurezza
informatica.

La delegazione italiana, per tutti i 5 gruppi di lavoro, era composta da 3
persone, incluso me e il Presidente dell'SC 27 italiano Fabio Guasconi (di
Bl4ckSwan).

Passo quindi in rassegna rapidamente cosa è successo.

ISO/IEC 27001: è stata apportata una correzione marginale al testo.

ISO/IEC 27003 ("interpretazione" della ISO/IEC 27001): c'è stata una lunga
discussione per avere un testo "di qualità". Io ho partecipato attivamente
alle discussioni e sono emerse cose interessanti. Purtroppo, la ricerca di
qualità rallenterà la pubblicazione della norma (che ora prevedo sarà a metà
o fine 2016).

ISO/IEC 27004 (sulla misurazione di un sistema di gestione per la sicurezza
delle informazioni): hanno cercato di rendere il testo sempre più "pratico"
e meno "teorico". Come italiani siamo riusciti ad inserire molti esempi di
misurazioni e a bloccare alcune idee molto belle in teoria ma irrealizzabili
nella pratica.

ISO/IEC 27005 (sulla gestione del rischio): la norma avanzava molto
lentamente perché si cercava di aggiornarla con troppe idee (ahinoi, spesso
troppo teoriche ma non rigorose). È stato deciso di ritornare all'edizione
del 2011 e apprortare solo le modifiche necessarie ad allinearla alla nuova
ISO/IEC 27001:2013 dove necessario. Questo comunque non velocizzerà i tempi
e la nuova edizione della ISO/IEC 27005, forse, uscirà nel 2017.

ISO/IEC 27006 (regole per la certificazione ISO/IEC 27001): la discussione
ha riguardato soprattutto il numero minimo di giornate di audit, osservando
che la nuova tabella di riferimento per questo calcolo diventerà "normativa"
e non più "informativa". Come spesso succede, interessi diversi partivano da
esigenze diverse e si è cercato di raggiungere un compromesso. Le
discussioni più accese sono state tra auditor, ossia tra quelli molto
scrupolosi che vorrebbero avere sempre più tempo per gli audit e quelli che
non ritengono necessario verificare sul campo l'attuazione delle misure di
sicurezza che non ritengono utile un audit lungo, avendo in effetti non
molte cose da vedere. Come al solito, il giusto starebbe nel mezzo; speriamo
di averlo trovato.

Delle altre norme oggetto di questo meeting (ISO/IEC 27007, 27008, 27010,
27013, 27017, 27019, 27021) non ho seguito le discussioni.

Ho seguito anche una breve riunione in merito ad un possibile futuro e
ulteriore standard sul cloud. Ormai il numero di standard sul cloud è così
elevato che è quasi ridicolo (se poi pensiamo che per gli "altri" fornitori
non sono quasi disponibili delle buone linee guida). Una delegata ha chiesto
di presentare, per il prossimo incontro di ottobre, dei casi pratici che non
possono essere affrontati con gli standard attualmente disponibili. Ho
apprezzato molto questa richiesta, soprattutto perché ci aspettiamo che non
ne sarà presentato nessuno.