mercoledì 29 luglio 2015

Privacy e apps

Ivo Trotti di TNS Italia mi ha segnalato questo articolo:
- http://blog.wired.it/dirittifuturo/2013/04/15/privacy-e-app-le-regole-europee.html.

Il documento segnalato, dell'Article 29 Data protection working party, ha titolo "WP 202 - Opinion 02/2013 on apps on smart devices" ed è del febbraio 2013. L'argomento, ovviamente, è: come progettare le app (e i sistemi e processi ad esse correlati) per dispositivi mobili in modo da rispettare la privacy degli utilizzatori.

La notizia è un po' vecchiotta, ma in questo periodo mi sono trovato spesso a discutere con dei clienti in merito a questo aspetto e pertanto mi sembra opportuna.

Per completare, segnalo un mio post di dicembre 2013 con ulteriori link:
- http://blog.cesaregallotti.it/2013/12/studi-sicurezza-apps.html.

ISO/IEC TS 38501:2015 su Governance of IT

Tony Coletta, che ringrazio, mi ha permesso di leggere la norma ISO/IEC TS 38501:2015 dal titolo "Information technology - Governance of IT - Implementation guide".

Si tratta di 19 pagine. Se togliamo la parte introduttiva e la bibliografia, si riducono a 10.

Io segnalo che, prendendo spunto dal nuovo "testo unico" per norme dedicate ai sistemi di gestione (l'attuale ISO/IEC 27001, l'imminente nuova versione della ISO 9001), elenca i fattori che compongono il contesto dell'organizzazione, dividendoli in interni (strategie generali, propensione al rischio, prestazioni, cambiamenti strategici previsti e in corso, relazione tra i processi di "business" e IT, risultati degli audit cultura dell'organizzazione, impegno della Direzione, maturità, livelli di competenza, modello di erogazione dei servii informatici, rapporti con le organizzazioni partner) ed esterni (norme, leggi e regolamenti, tecnologia disponibile e come questa può ridefinire i modelli di organizzazione e la partecipazione delle persone, rischi e opportunità poste dalle nuove generazioni, mercato in cui opera l'organizzazione e concorrenza, aspettative dei clienti e dei consumatori, requisiti delle parti interessate).

Tony, a sua volta, mi ha segnalato l'appendice A, che riporta uno schema molto sintetico (una pagina) di assessment, evidentemente ispirato dalle norme SPICE, in 5 livelli: sconosciuto, non applicato, applicato parzialmente, applicato quasi completamente, applicato completamente.

Regolamenti SPID

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione dei regolamenti AgID per i gestori dell'identità digitale (SPID). Una pagina web per capire di cosa si tratta e trovare i regolamenti è la seguente:
- http://www.agid.gov.it/notizie/2015/07/28/spid-al-il-sistema-laccesso-semplice-sicuro-ai-servizi-line-pa.

Copio la descrizione di SPID fornita da AgID: SPID è la nuova "infrastruttura paese" di login che permette a cittadini e imprese di accedere con un'unica identità digitale, in maniera semplice e sicura, ai ervizi on line della pubblica amministrazione e dei privati che aderiranno.

Il Regolamento tecnico richiede le certificazioni ISO 9001 e ISO/IEC 27001. Ad una prima lettura, le richieste mi sembrano fatte in modo corretto. Finalmente!

Ci sono altre bizzarrie, giusto per non sbagliare, tipo la necessità di prevedere, in certe occasioni, verifiche da parte di due organismi di certificazione.

domenica 19 luglio 2015

Privacy: Linee guida in materia di Dossier sanitario

Pierfrancesco Maistrello mi ha segnalato le nuove "Linee guida in materia di Dossier sanitario" (4 giugno 2015) emanate dal Garante privacy:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/4084632.

Una domanda che ci siamo fatti tutti e due riguarda i rapporti tra queste nuove linee guida e le "Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario" del 16 luglio 2009:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/1634116.

Dovremmo leggerci con attenzione ambedue i provvedimenti e capire quali punti sono stati aggiornati.

Altra riflessione riguarda il termine "Linee guida": visto che poi sono usate come "normative", ci chiediamo perché non le titoli come "prescrizioni".

La guerra sulla crittografia

Segnalo questo lungo articolo (in inglese) su un argomento di attualità:
- http://www.dailydot.com/politics/encryption-crypto-war-james-comey-fbi-privacy/

In poche parole: l'FBI richiede ai produttori di software che fanno uso di meccanismi crittografici di mettere a disposizione delle forze dell'ordine una backdoor.

Ovviamente non è una buona idea (perché la backdoor potrebbe essere individuata anche dai "cattivi", perché ogni porta aperta è una vulnerabilità in più, perché nelle forze dell'ordine ogni tanto si trova una mela marcia, eccetera).

Questo articolo, quindi, ripercorre la vicenda attuale e il passato, citando Zimmerman, Clipper chip e altro.

Multitasking e produttività

Da Twitter (@A1SiteSolutions), segnalo questo articolo su come il multitasking uccida la produttività:
- https://blog.todoist.com/2014/05/13/how-multitasking-slows-your-brain-and-kills-your-productivity/

Trovo interessanti le premesse, ma non tutte le conclusioni (avere due schermi non mi sembra una buona idea; bloccare l'e-mail o i siti social non credo sia efficace: bisognerebbe proprio spegnerli). Ognuno può trovare il metodo che ritiene più opportuno (la pagina segnalata riporta dei link), ma credo sia opportuno essere consapevoli dei problemi del multitasking.

Hacking Team (Post scriptum)

Avevo scritto che la vicenda Hacking Team non è molto interessante per la sicurezza delle informazioni:
- http://blog.cesaregallotti.it/2015/07/hacking-team.html

Non ritratto la convinzione, ma segnalo alcune cose interessanti che ho visto su Twitter:
- @DanielaQuetti segnala un'utilità della vicenda: "Per fortuna c'è hacking team l'estate era diventata noiosa tra caldo e Grecia...;-)";
- un articolo di Francesco Paolo Micozzi sulla valenza giuridica dei software spia (il pezzo ha titolo "Il caso Hacking Team e il rinnovato interesse per i captatori informatici" e si trova qui: http://www.huffingtonpost.it/francesco-paolo-micozzi/caso-hacking-team-captatori-informatici_b_7775152.html);
- Firefox blocca l'avvio automatico di Flash per evitare che le sue vulnerabilità vengano sfruttate (http://twib.in/l/5LkqoMgMG9G);
- @SwiftOnSecurity ricorda i prodotti da installare per evitare gli attacchi: Microsoft EMET; MalwareBytes Anti-Exploit; HitmanPro.Alert (lo sta valutando).

Slide DFA Open Day 2015

Segnalo che sono disponibili le presentazioni del DFA Open Day del 2 luglio 2015:
- http://www.perfezionisti.it/proposte-formative/dfa-open-day-2015/

Alcuni argomenti: i PIN dei cellulari, VoIP Forensics, investigazione di immagini digitali, profilazione online, applicazioni mobile di dating, diritto all'oblio, NodeXL, applicazioni mobile nell'ambito sanitario, standard europeo per lo scambio di digital evidence, Forensic Acquisition of Website.

Buona lettura!

sabato 18 luglio 2015

Pubblicata la ISO/IEC 27042

Segnalo che è stata pubblicata la ISO/IEC 27042 dal titolo "Guidelines for analysis and interpretation of digital evidence". In precedenza avevo dato notizie inesatte sul suo stato di approvazione e me ne scuso. In questo caso, ho visto la notizia della pubblicazione dalla newsletter del BSI.

Le norme ISO/IEC dedicate alla digital forensics sono quindi:
- ISO/IEC 27035 (molto parzialmente) - Information security incident management;
- ISO/IEC 27037 - Guidelines for identification, collection, acquisition, and preservation of digital evidence;
- ISO/IEC 27041 - Guidance on assuring suitability and adequacy of incident investigative method;
- ISO/IEC 27042 - Guidelines for analysis and interpretation of digital evidence;
- ISO/IEC 27043 - Incident investigation principles and processes.

giovedì 16 luglio 2015

Industriale: standard e linee guida per la sicurezza IT

Dalla newsletter di HSC segnalo questa pubblicazione del Clusif dal titolo "Cybersécurité des systèmes industriels: par où commencer? Panorama des référentiels et synthèse des bonnes pratiques":
- http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2014-SCADA-Panorama-des-referentiels.pdf.

Il documento è in francese (e usa troppo il termine "cybersécurité" al posto di "sicurezza informatica"). Il lavoro è notevole: hanno analizzato più di 50 documenti dedicati alla sicurezza informatica in ambito industriale e li hanno categorizzati (in settori industriali, in base al livello di specializzazione, in base al livello tecnico o gestionale, in documenti base o di approfondimento).

Nel documento sopra segnalato sono rappresentati i 21 documenti ritenuti più rappresentativi. In un altro documento sono invece analizzati tutti uno per uno:
- http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2014-SCADA-Annexes-Fiches-de-lecture.pdf.

"Merci" ai colleghi francesi.

domenica 12 luglio 2015

Privacy impact assessment

Del Privacy impact assessment (PIA) si parla sempre più diffusamente.

La vigente Direttiva 95/46 richiede di "ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi..." (secondo il testo del nostro Dlgs 196/2003). Il nostro sistema normativo prevedeva inoltre di redigere un Documento programmatico per la sicurezza con un'analisi del rischio relativo alla privacy.

Oggi le bozze di Regolamento Europeo in materia di privacy citano esplicitamente il Privacy impact assessment e alcuni lo stanno già prendendo in considerazione più seriamente dell'analisi del rischio prevista dal famigerato DPS (chissà perché).

Non conosco l'origine del termine, ma una breve ricerca su Google mi ha portato a leggere quelli della Homeland security USA. Essi, anche degli anni 2005-2006 sembrano delle informative estese:
- http://www.dhs.gov/privacy-impact-assessments

In Europa, per quello che è di mia conoscenza, si parla dei PIA dal 2009, quando la Commissione Europea ha emesso "Commission recommendation of 12 May 2009 on the implementation of privacy and data protection principles in applications supported by radio- frequency identification (notified under document number C(2009) 3200) - (2009/387/EC)" in cui si chiede agli operatori di applicazioni RFID di predisporre una "sintesi delle valutazioni degli impatti su privacy e dati " e di descrivere i "rischi verosimili relativi alla privacy, se esistenti, e all'uso di tag nelle applicazioni RFID e le misure che gli individuo possono prendere per mitigare quei rischi":
- https://ec.europa.eu/digital-agenda/en/news/commission-recommendation-12-may-2009-implementation-privacy-and-data-protection-principles

A quel punto, il Art. 29 WP (gruppo collegato alla Commissione Europea) ha emanato delle raccomandazioni per realizzare i PIA, complicando le cose, chiedendo un risk assessment e proponendo una sorta di linea guida abbastanza incompleta ma con una direzione precisa: identificare dei rischi (è proposta una lista di 15 minacce), valutarne gli impatti e la verosimiglianza, assegnare loro un livello (alto, medio, basso), descrivere i controlli di sicurezza, correlarli ai rischi (minacce) e specificare se il rischio risultante è accettable. La documentazione, del 12 gennaio 2011, si trova tra i documenti del WP 29; particolarmente importante è il " Annex: Privacy and Data Protection Impact Assessment Framework for RFID Applications":
- http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm

La situazione è ancora accettabile. Poi la Commissione Europea è passata alle smart grid e nel 2014 ha promosso un modello per realizzare i PIA. Un malloppo di 74 pagine, che promuove una distinzione tra "eventi temuti" e "minacce" (lo studioso che è in me rabbrividisce) e una loro valutazione basata su parametri quali: facilità di identificazione degli interessati, impatti sugli interessati, facilità di riuscità di un attacco, capacità delle minacce di sfruttare le vulnerabilità. Questo per fornire un livello di rischio su 4 livelli, descrivere i controlli e stabilire se sono sufficienti. I documenti (incluso il DPIA template) si trovano qui:
- http://ec.europa.eu/energy/en/topics/markets-and-consumers/smart-grids-and-meters

Le cose peggiorano ancora. Il CNIL (Garante privacy francese), a luglio 2015, ha proposto le proprie linee guida, ovviamente basate sul modello più complicato (quello per le smart grid), introducendo altri concetti un po' a caso come "sorgenti di rischio", anticipando l'analisi dei controlli rispetto all'analisi dei rischi e non fornendo indicazioni utili per correllare rischi e controlli. Sono in francese e in inglese:
- http://www.cnil.fr/linstitution/actualite/article/article/etude-dimpacts-sur-la-vie-privee-suivez-la-methode-de-la-cnil/;
- http://www.cnil.fr/english/news-and-events/news/article/privacy-impact-assessments-the-cnil-publishes-its-pia-manual/.

Ultimo attore: il ISO/IEC JTC1 SC27 WG5 che sta redigendo la ISO/IEC 29134, ora in stato di Committee Draft (cioè, nella migliore delle ipotesi, richiede altre 2 riletture tecniche e uscirà a fine 2016). Questa proposta ha un grande pregio: torna a chiedere un'analisi del rischio basata su due parametri (verosimiglianza e impatto).

Procedo con le conclusioni. Sono convinto della necessità delle analisi del rischio, ma quando vedo un eccesso di complicazione rabbrividisco perché capisco che la teoria (o la furbizia) sta prendendo il sopravvento sulla pratica. Spero che in questo campo non prendano troppo piede le interpretazioni "sbagliate" (come, per esempio, sono state quelle sulla custodia delle password e sul DPS iper-complicato, per citare quelle più ovvie).

Ringrazio Alessandro Cosenza di BTicino, che mi ha fornito molti dei riferimenti sopra citati.

sabato 11 luglio 2015

Hacking Team

Può un blog o una newsletter o un twittatore che si occupano di sicurezza informatica non parlare di Hacking Team? Quindi lo faccio brevemente.

Segnalo un articolo in italiano e sintetico:
- http://www.massimomelica.net/hacking-team-spy-che-storia-di-cacca/

Quindi riassumo:
- un'azienda italiana vende armi (informatiche) a Governi anche non democratici;
- un'azienda di sicurezza informatica è stata vittima di un riuscito attacco informatico;
- sono disponibili su Internet dei nuovi exploit (ossia programmi che automatizzano alcuni attacchi informatici).

C'è qualche novità degna di discussione in blog, newsletter o tweet? Mi pare di no.

Certamente si può parlare di etica ("non si lavora con governi non democratici!"), di sociologia ("come è possibile che degli italiani brava gente lavorino per dei governi non democratici?"), di situazioni comico-avventurose ("lo spione è stato spiato con le sue stesse armi, ah ah ah") o della diffusione incredibile di tecniche di attacco informatico (per questo ho già segnalato la presentazione di Ramacciotti e Paganini). Ma sono tutti argomenti o non pertinenti o troppo ribaditi per dedicarci altro tempo.

Qualche lezione, comunque, è emersa. Per esempio che alcuni exploit di Hacking Team si applicavano a smartphone sbloccati (a seguito di jailbreak) e quindi è sconsigliato fare il jailbreak (per iPhone) e il rooting (per Android) del proprio smartphone. Ma anche questa è cosa nota è stra-nota.

E anch'io ho scritto troppo su questa storia. A meno che qualcuno non voglia segnalarmi degli articoli un po' più interessanti di quelli che ho già visto.

FDIS ISO 9001:2015

È disponibile la FDIS della futura ISO 9001. Ringrazio Franco Ferrari di DNV GL per avermelo segnalato. Ci saranno quindi le votazioni e ne è prevista la pubblicazione finale per il 22 novembre.

Le novità rispetto alla ISO 9001:2008 sono tante. E ne segnalo solo alcune.

La prima è relativa alla "valutazione del rischio", che sostituisce le azioni preventive. Il testo non è di facilissima comprensione (anche se chi ha già lavorato sulla ISO/IEC 27001:2013 lo conosce bene). Richiederà qualche aggiustamento al sistema di gestione per la qualità e all'approccio al sistema stesso. Come per gli "indicatori" introdotti dalla ISO 9001:2000, ci vorrà un po' di tempo perché organizzazioni, consulenti e auditor trattino queste novità correttamente. Nel frattempo, spero che nessuno faccia danni introducendo troppo fuffaware.

Altre novità riguardano la terminologia: "persone" al posto di "risorse umane", "informazioni documentate" al posto di "procedure documentate" e "registrazioni" e così via.

In alcuni casi, queste novità danno luogo a difficoltà di lettura. Per esempio, bisogna stare attenti a distinguere tra il mantenimento di informazioni documentate (ossia avere procedure documentate) e la conservazione di informazioni documentate (ossia avere registrazioni).

In molti si stupiranno della riduzione di procedure e registrazioni. In realtà bisogna prestare attenzione a non esagerare ed eliminare tutti i documenti. Forse però questa novità imporrà di vedere le procedure qualità come vere procedure o istruzioni e non come carta da fare per la certificazione. D'altra parte, sono numerosi i casi in cui le "vere" istruzioni non coincidono con le procedure presentate agli auditor. D'ora in avanti, sarà sempre più evidente la differenza tra la "carta per gli auditor" e i "documenti necessari".

Altra eliminazione importante è il manuale qualità, che negli ultimi anni era diventato sempre più un esempio di "carta da auditor" che non diceva nulla, frutto di un'errata interpretazione della norma.

Ulteriore eliminazione è il responsabile della qualità, in realtà già assente dalle ultime versioni, che richiedevano la presenza di un membro dell'Alta Direzione come referente per la qualità (mentre spesso il Responsabile per la qualità, nella migliore delle ipotesi, era un quadro o un primo livello). La responsabilità del sistema di gestione per la qualità è la Direzione, punto e basta.

Non ho accennato a molte cose. La norma è impostata in modo molto diverso da prima e un breve articolo non può esaurire l'elenco delle novità. Usciranno libri, si faranno corsi e presentazioni, si scriveranno articoli. Ancora una volta: tutti da leggere o seguire con attenzione, anche per evitare di incappare in interpretazioni fantasiose.

domenica 5 luglio 2015

Storia dell'insicurezza su Internet

Una serie di tre interessanti articoli del Washington Post sulla storia dell'insicurezza di Internet:
- http://www.washingtonpost.com/sf/business/2015/05/30/net-of-insecurity-part-1/;
- http://www.washingtonpost.com/sf/business/2015/05/31/net-of-insecurity-part-2/;
- http://www.washingtonpost.com/sf/business/2015/06/22/net-of-insecurity-part-3/.

Certo: è giornalismo, quindi l'attenzione è più sulle storie (la nascita di Internet, il protocollo BGP e il gruppo L0pht), ma il tutto è accurato e interessante.

A chi piacciono gli schemi, segnalo anche questo elenco di "date importanti":
- http://www.washingtonpost.com/graphics/national/security-of-the-internet/history/.

Prego di notare la ragione di fondo dell'insicurezza di Internet: volevano fare le cose in fretta e che funzionassero e la sicurezza era vista come un ostacolo; alla peggio, si sarebbero fatte le correzioni necessarie in un secondo tempo. Ancora oggi, purtroppo, questo è l'approccio.

venerdì 3 luglio 2015

Lombardia Informatica e privacy

Marco Fabbrini mi ha segnalato questo articolo:
- http://www.ilfattoquotidiano.it/2015/06/22/sanita-lombardia-appalti-milionari-poca-sicurezza-il-lato-oscuro-della-privacy-digitale/1782904/

In poche parole, un rapporto riservato di audit è uscito dalla società Lombardia Informatica; questo rapporto riguarda il sub-fornitore Santer e riporta 56 non conformità anche piuttosto gravi.

Ci ho messo un po' a inoltrare questa notizia per almeno due motivi. Il primo è un conflitto di interessi che non intendo spiegare; il secondo è che l'articolo è evidentemente scandalistico e volevo capire meglio quanto prenderlo per buono. Osservate, per dirne una, che la Regione paga a Santer 600 mila Euro al mese per il servizio, che comunque deve avere dei costi elevati a causa dei volumi del lavoro, mentre l'articolo li fa risultare dedicati alla sicurezza; inoltre la diffusione di un rapporto del genere mi fa pensare a manovre di potere che poco hanno a che fare con la sicurezza delle informazioni. Chiunque ha le (poche) competenze per interpretare gli estratti del rapporto capisce che non tutti i rilievi sono necessariamente gravi (per esempio, nessuna delle mancanze è in realtà prescritta dalle misure minime dell'allegato B del Codice privacy, ma così viene fatto credere).

Che dire poi la nota finale sul fatto che l'audit è stato fatto pagare a Santer Reply? Ottima per il "uomo della strada", ma ridicola per chi mastica la materia e sa perché il rischio si "condivide" con i fornitori, non si "trasferisce" ai fornitori.

L'effetto, quindi, è quello di vedere un bambino che urla come un ossesso per un taglietto al dito. La situazione, seppure non così drammatica, rimane inquietante e spero ritorni sotto controllo (essendo io stesso lombardo), perché un taglietto trascurato può avere conseguenze molto gravi.

User experience Vs. Design

Grazie a Marco Fabbrini per avermi segnalato questa meravigliosa foto sulle sfide tra user experience e design:
- https://twitter.com/arjunsethi/status/613473156469145600