lunedì 26 ottobre 2015

AgID cerca personale

AgID cerca personale (scadenza per le candidature il 6 novembre):
- http://www.agid.gov.it/agid/avvisi

La segnalo perché noto un profilo decisamente tecnico delle figure cercate. Mi pare, dai documenti che ho criticato nel tempo, siano anche necessari delle competenze più gestionali (non dirigenziali, ma con competenze per capire gli impatti di alcune misure anche da un punto di vista organizzativo, nelle aziende private che oggi operano nel mercato).

Critico spesso i lavori di AgID, ma credo che molti degli errori siano originati da due cause (ricordo che non so assolutamente nulla dell'organizzazione di AgID): a) il personale con competenze più gestionali è poco numeroso; b) il personale con esperienza reale e capacità (e tempo) di confronto con le aziende private coinvolte è poco numeroso.

Diffamazione via web: sentenza sugli accertamenti

Segnalo, da Altalex, questo articolo dal titolo "Reato di diffamazione mezzo web: l'accertamento è possibile grazie alla tecnica ed alla logica":
- http://www.altalex.com/documents/news/2015/08/25/diffamazione-rilievo-indirizzo-ip.

La Cassazione ha bocciato il ricorso della difesa, che riteneva inadeguate le prove di accusa di diffamazione perché:
- erano stampe delle pagine web in cui l'accusato aveva inserito dei post a nome della moglie con cui era in corso la separazione;
- nessun accertamento era stato fatto direttamente sul pc dell'accusato, ma solo facendo riferimento all'indirizzo IP dal quale erano stati inviati i post;
- l'indirizzo IP usato per inviare i post provenivano da un router (della casa della madre dell'accusato) che però poteva essere stato compromesso da altri.

Non ho letto completamente la sentenza, ma la Corte ha ritenuto completamente accettabile la condanna in quanto gli elementi raccolti sono incontestabili tecnicament, ma anche per un chiaro percorso di carattere logico-deduttivo.

La sentenza l'ho trovata qui:
- http://renatodisa.com/2015/08/12/corte-di-cassazione-sezione-v-sentenza-6-agosto-2015-n-34406-laccertamento-della-responsabilita-per-il-reato-di-diffamazione-commesso-a-mezzo-web-puo-desumersi-dallindividuazion/.

venerdì 23 ottobre 2015

Startup

Si parla molto di startup. Avevo già letto un articolo che diceva che le startup non rappresentano il meccanismo di crescita di un Paese.

Segnalo quindi questo articolo, più recente, che riassume bene la questione:
- http://www.agendadigitale.eu/startup/tante-chiacchiere-sull-innovazione-e-dimentichiamo-cio-che-serve-davvero_1758.htm.

Intrusione nell'email del direttore della CIA

La notizia è pubblica: degli hacker sono entrati nell'email (quella su America On Line, AOL) del direttore della CIA e ne hanno diffuso i contenuti su Wikileaks.

Io vi segnalo questo articolo dal titolo "teen who hacked CIA director's email tells how he did it":
- http://www.wired.com/2015/10/hacker-who-broke-into-cia-director-john-brennan-email-tells-how-he-did-it/.

In estrema sintesi: scoprono che John Brennan ha un cellulare Verizon; chiamano Verizon spacciandosi per colleghi e ottengono delle informazioni; chiamano AOL e, con le medesime informazioni, si fanno dare una nuova password per accedere all'email di Brennan.

Qualche veloce, e semplice, considerazione:
- il direttore della CIA teneva quindi email critiche su AOL?
- spero che questo caso porti ad un innalzamento di sicurezza del meccanismo "reset password" dei fornitori di email.

Un dubbio. Forse a tutto il personale della CIA era stato vietato di usare servizi pubblici per archiviare o scambiare documenti critici. Ovviamente questa regole non si è applicata ai vertici dell'organizzazione... Chissà perché.

giovedì 22 ottobre 2015

VERA 4.1

Il mio foglio di calcolo per un Very easy risk assessment (VERA) relativo
alla sicurezza delle informazioni, ora è alla versione 4.1:
- http://www.cesaregallotti.it/Pdf/Pubblicazioni/2015-VERA-4.1.xlsx.

Reperibile anche sulla mia pagina web:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Ringrazio Francesca Lazzaroni di Spike Reply per i contributi.

Mia presentazione ISO/IEC 27001

Introduzione alla ISO/IEC 27001: una mia presentazione per l'Ordine
Ingegneri Pavia (pdf, 1,4MB):
- http://www.cesaregallotti.it/Pdf/Pubblicazioni/2015-Intro-ISMS.pdf

Potete anche trovarla sulla pagina web:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Security scanner

Un articolo di Pete Herzog sui vulnerability scanner
http://darkmatters.norsecorp.com/2015/10/19/the-awesome-truth-about-vulnerability-scanners/.

Il sottotitolo è: "uno strumento altamente tecnologico utilizzato male e
incompreso". In effetti, tratta di funzionalità che non sapevo oggi fossero
incluse in questo strumento. Pete Herzog mi dà (non direttamente) del
vecchio... Oggi questi strumenti non sono più quelli degli inizi.

Un solo difetto dell'articolo: viene citato, quasi per caso, un solo
strumento (Nessus). Avrei preferito qualche esempio in più.

martedì 20 ottobre 2015

Cloud Forensics Capability Maturity Model

CSA ha pubblicato il "Cloud Forensics Capability Maturity Model":
- https://cloudsecurityalliance.org/download/cloud-forensics-capability-model.

Mi dicono che è "un buon lavoro", anche se migliorabile.

Ne raccomando la lettura perché molte indicazioni sono applicabili ad ogni
tipo di fornitore.

venerdì 16 ottobre 2015

Privacy: Statuto dei lavoratori - Modificato articolo 4

Come molte volte preannunciato, è stato modificato l'articolo 4 della Legge 300 del 1970.

Segnalo questo articolo, dove si trovano il link al D. Lgs. 151 del 2015 (articolo 23) che modifica l'articolo 4, il link al commento del Garante privacy (polemico e non certo risolutivo):

Tra l'altro, il Garante non ricorda (e poteva farlo!) le sue "Linee-guida per il trattamento di dati dei dipendenti privati", che rimangono applicabili:

Segnalo anche la comunicazione del Ministero del lavoro del 18 giugno 2015:

Segnalo anche questo articolo di Gabriele Faggioli in merito:

Io ho letto e ho qualche dubbio. Provo a riassumere cosa dice il provvedimento e scrivo qualche commento tratto dalla lettura degli articoli sopra riportati (ricordo però che non sono un legale e la colpa di inesattezze è mia).

Il comma 1 dice, in sostanza, che è possibile utilizzare strumenti di controllo purché si abbiano le opportune autorizzazioni. Gli strumenti di controllo possono essere installati solo per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale. Deduco che le "esigenze produttive" non includano il controllo delle prestazioni del singolo lavoratore, ma solo quelle "generali". Ad ogni modo, l'unica vera novità riguarda l'aggiunta della finalità di "tutela del patrimonio aziendale".

Il comma 2 dice che le autorizzazioni non sono necessarie quando la raccolta dati (e quindi il potenziale controllo) avviene tramite gli "attrezzi di lavoro" (detti "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa") e gli strumenti di registrazione degli accessi e delle presenze. Da notare:

  • gli strumenti di controllo accessi sono principalmente quelli fisici, relativi alle presenze; Faggioli include anche gli strumenti di controllo degli accessi ai sistemi informatici;
  • tra gli attrezzi di lavoro sono da includere sicuramente pc, tablet e cellulari; secondo me, sono anche da aggiungere i sistemi informatici nel loro complesso; in altre parole, il "gestionale aziendale" (tipo SAP, per intenderci, che raccoglie log su chi ha modificato un documento o un record) e l'e-mail sono anch'essi attrezzi di lavoro;
  • la raccolta dati tramite gli "attrezzi di lavoro" prevista da questo comma non comprende gli "attrezzi di lavoro modificati"; in altre parole, se ad un pc o smartphone si aggiungono software di monitoraggio o di localizzazione, questi richiedono autorizzazione.


Il comma 3 ricorda che è comunque applicabile la normativa privacy e quindi i lavoratori devono essere adeguatamente informati in merito agli strumenti di controllo (anche quelli inclusi nel comma 2). 

Un mio dubbio: se un lavoratore dovesse richiedere il blocco del trattamento, su quale base è possibile continuare il controllo? Forse perché c'è qualche disposizione contrattuale in merito?

Gabriele Faggioli ricorda inoltre delle sentenze della Cassazione dicendo (se riassumo correttamente): se il controllo dei log e delle registrazioni non avviene in modo continuativo (quindi "preventivo", come se fossero delle telecamere), ma solo quando ve ne è la necessità, per esempio a seguito di segnalazione di illecito (quindi "reattivo"), allora questo è permesso (purché questo aspetto sia incluso nell'informativa).

Le sentenze della Cassazione citate da Faggioli con le mie conclusioni:

  • la 4746 del 2002, che validava la prova sull'uso illecito del cellulare aziendale da parte di un lavoratore; oggi questa sentenza rimarrebbe valida in quanto la verifica è stata effettuata ad hoc su una persona precisa (quindi non con strumenti specifici di monitoraggio dell'uso dei cellulari) e solo analizzando gli accessi non autorizzati allo strumento aziendale;
  • la 15892 del 2007, che invalidava delle prove raccolte filtrando con strumenti specifici tutti gli accessi del personale; oggi forse queste prove sarebbero state ritenute valide, purché il personale sia stato adeguatamente informato;
  • la 4375 del 2010, che invalidava delle prove raccolte attraverso strumenti di analisi del traffico Internet; anche oggi queste prove non sarebbero state ritenute valide in quanto gli strumenti usati erano ulteriori a quelli "di base" e non autorizzati (segnalo che da un punto di vista sicurezza sarebbe stato meglio bloccare direttamente i siti web, non raccogliere dati);
  • la 2722 del 2012, che validava delle prove raccolte grazie a meccanismi "di base" dei sistemi informatici (nel caso particolare, l'archiviazione delle e-mail); anche oggi queste prove sarebbero ritenute valide.


Spero di ricevere ulteriori contributi, soprattutto per rispondere alle mie domande.

PS: Questo post consolida (e corregge) altri post già pubblicati, ora cancellati.

giovedì 15 ottobre 2015

Privacy: Safe Harbour non è più valido - 2

Segnalo questo articolo di Gabriele Faggioli in merito:
- www.clusit.it/docs/faggioli_ue_inval_safe_harbor.pdf.

Sembrerebbe che la soluzione sia quella di usare le "clausole contrattuali standard".

giovedì 8 ottobre 2015

Privacy: Safe Harbour non è più valido

Con sentenza del 6 ottobre, la Corte di giustizia dell'UE ha dichiarato nulli gli accordi di Safe Harbour.

La sentenza la trovate nella pagina web con il commento del nostro Garante:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4308245.

Per chi non avesse seguito la questione in passato, gli accordi Safe Harbour, in breve, prevedevano quanto segue: se un'azienda USA dichiarava la propria adesione a questi accordi, automaticamente era consentito il trasferimento di dati personali dalla UE a questa azienda. Molte di queste aziende sono data centre in cui imprese europee archiviano i propri dati (la lista delle aziende Safe Harbour è liberamente accessibile: https://safeharbor.export.gov/list.aspx).

Questi accordi non sono più ritenuti validi perché non impediscono, per esempio e come dimostrato dal caso Snoweden, la sorveglianza da parte di entità quali NSA.

Ora cosa succede? Faccio riferimento ad un articolo segnalatomi da Daniela Quetti di Lispa:
- http://uk.businessinsider.com/european-court-of-justice-safe-harbor-ruling-2015-10.

Ora le organizzazioni europee dovranno seguire le indicazioni delle autorità garanti nazionali. A quanto mi risulta non abbiamo ancora un Provvedimento del nostro Garante privacy.

Comunque già ora ci sono delle regole, previste dal nostro Codice privacy (D.lgs 196/2003) che richiedono, tra l'altro, il consenso esplicito da parte degli interessati.

In alternativa, si possono applicare le "clausole tipo" previste dall'autorizzazione del Garante del 2010
(http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1728496).

Mi sto chiedendo quanto tempo avranno le nostre aziende per adeguarsi. Però mi pare di capire che sarebbe meglio aspettare ulteriori decisioni.

Segnalo altri articoli di cui ho trovato riferimento su Twitter:
- http://www.reuters.com/article/2015/10/07/us-eu-ireland-privacy-idUSKCN0S00NT20151007;
- http://www.lastampa.it/2015/10/06/tecnologia/la-sentenza-shock-della-corte-ue-sulla-privacy-spiegata-in-punti-bpu45K0Ha8FRNOYvnbZ5TO/pagina.html.

martedì 6 ottobre 2015

Pubblicata la ISO/IEC 27006:2015

Il 30 settembre è stata pubblicata la nuova versione della ISO/IEC 27006 dal titolo "Requirements for bodies providing audit and certification of information security management systems":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62313.

Si applica solo agli organismi di certificazione.

Non sono pienamente soddisfatto del risultato raggiunto perché:
- la versione del SOA (o Dichiarazione di applicabilità) deve comunque essere presente nei "documenti di certificazione"; in questo caso la dicitura è più vaga, ma l'idea di riportare la versione del SOA sul certificato, ahinoi, è rimasta;
- le giornate uomo minime previste non sono diminuite; qualcuno ha visto margini per essere "creativi" nel calcolo delle giornate uomo, ma la base di partenza è comunque inspiegabilmente elevata.

lunedì 5 ottobre 2015

Rapporti di sicurezza informatica

In questo periodo ho ricevuto notizia di diversi rapporti di sicurezza informatica.

Il primo è "Annual Incident reports 2014" di ENISA, l'agenzia europea per la sicurezza informatica, relativo ai sistemi di telecomunicazione:
- https://www.enisa.europa.eu/activities/Resilience-and-CIIP/Incidents-reporting/annual-reports/annual-incident-reports-2014.

La segnalazione è arrivata da Claudio Telmon, attraverso il gruppo Clusit di LinkedIn. Il suo commento: Ci sono molti dati interessanti, ma uno mi ha colpito particolarmente, da pag. 15 del Report: le gravi interruzioni dovute ad azioni malevole (9%, quasi un decimo) hanno superato quelle dovute ad eventi naturali (5%); e mentre il secondo valore è in calo, il primo è in crescita. Per completezza, la causa principale (66%) sono "system failures". Non che si possano trarre delle conclusioni statistiche "certe" anche per altri contesti, ma noto però che nei piani di BC/DR continuo a vedere tanta attenzione agli eventi naturali, e poca a quelli malevoli.

Il secondo è "The Internet Organised Crime Threat Assessment (IOCTA) 2015" a cura di Europol:
- https://www.europol.europa.eu/content/internet-organised-crime-threat-assessment-iocta-2015.

La segnalazione è arrivata da Mattia Epifani, via mailing list di www.perfezionisti.it. Ad avviso di Mattia, dopo una prima veloce lettura, i fatti salienti sono:
  • valutazione della situazione nelle tre aree ritenute di maggiore interesse da Europol (Cyber Attacks, Online Child Exploitation e Payment Fraud);
  • analisi dei malware che hanno avuto maggiore effetto nell'ultimo anno;
  • grande spazio ai ransomware ma attenzione anche sui RAT; è strano vedere che Dark Comet (che è oramai vecchiotto) e le sue varianti siano ritenute ancora un High Risk (pagina 27);
  • preoccupazione per lo sviluppo delle criptomonete e delle darknet per le attività illegali.

Il terzo è l'aggiornamento del rapporto Clusit 2015:
- http://clusit.it/rapportoclusit/

Io avevo già la versione di marzo 2015 e non ho notato cambiamenti. Ad ogni modo, chi non dovesse averlo ancora letto, dovrebbe farlo.

Infine, Vito Losacco mi ha segnalato il Report McAfee Labs sulle minacce" dell'Agosto 2015:

In realtà questo report propone delle riflessioni su alcuni temi e alcuni casi di interesse.

iOS Security paper

La Apple ha pubblicato recentemente un documento dl titolo " iOS Security: iOS 9.0 or later":
- http://www.apple.com/iphone/business/it/security.html.

Gli appassionati di tecnologia lo troveranno interessante.

Io però sono interessato ad un'altra cosa: la cura con cui la Apple ha preparato questo documento. Certamente si tratta di marketing. Ma non è solo questo: è una presentazione dei meccanismi di sicurezza di un sistema hardware e software.

È vero che la Apple dispone di personale preparato e dedicato a questo tema, ma certamente il loro esempio dovrebbe essere considerato dalle aziende produttrici e clienti di hardware e software.

Ringrazio Mattia Epifani per la segnalazione e i link.

Il computer a scuola non aiuta ad imparare il digitale

Questo argomento è lievemente fuori tema rispetto ai soliti qui trattati:
- http://www.techeconomy.it/2015/09/15/ocse-computer-scuola-non-aiuta-ad-imparare-digitale/.

In sintesi: non è detto che gli alunni con maggiore accesso ai sistemi informatici siano più bravi ad utilizzarli. La conclusione: è necessario non solo mettere a disposizione gli strumenti informatici e il tempo per utilizzarli, ma anche "un rilevante livello di preparazione degli insegnanti" su come gestire questo tempo in modo efficace.

Penso che sia il caso di riflettere su questi aspetti perché forse la questione non si ferma alle scuole: nelle aziende il personale, di qualunque età, usa i sistemi informatici in modo continuativo, ma non per questo ne capisce tutte le potenzialità, i limiti e, ovviamente, i rischi.

Articolo su eIDAS

Come noto da precedenti post, eIDAS, il Regolamento europeo relativo ai servizi fiduciari, è un argomento che trovo interessante e degno di attenzione.

Ricordo qui i miei post precedenti:
- http://blog.cesaregallotti.it/2014/12/regolamento-ue-910-del-2014-e-cad_11.html;
- http://blog.cesaregallotti.it/2015/03/spid-identita-digitale.html;
- http://blog.cesaregallotti.it/2015/03/novita-legali-spid-precisazione.html.

A questo punto segnalo un articolo di Andrea Caccia e Daniele Dumietto che, secondo me, rende più chiara la situazione:
- http://www.ildocumentodigitale.com/regolamento-europeo-eidas/.

domenica 4 ottobre 2015

Assicurazione si rifiuta di pagare dopo un attacco

Sono sempre stato perplesso in merito alle assicurazioni relative agli attacchi informatici.

Questo caso, conseguente all'attacco a BitPay, sembra confermare la mia prudenza:
- http://www.networkworld.com/article/2984989/security/cyber-insurance-rejects-claim-after-bitpay-lost-1-8-million-in-phishing-attack.html.

Faccio la sintesi del caso. BitPay è una società che gestisce Bitcoin. Un hacker invia una mail al CFO di BitPay con un link fraudolento a Google. Il CFO usa il link, si connette alla propria e-mail su Google e, ovviamente, l'hacker da quel momento dispone delle credenziali dell'e-mail del CFO. Quindi, con le credenziali del CFO, invia una mail al CEO chiedendogli di inviare dei bitcoin ad un certo conto. Il CEO esegue e, ancora ovviamente, l'hacker si vedere recapitare i bitcoin sul proprio conto.

L'assicurazione si è rifiutata di pagare BitPay perché l'attacco non è avvenuto sui sistemi di gestione dei bitcoin, oggetto dell'assicurazione, ma sul sistema di e-mail.

sabato 3 ottobre 2015

Per AgID l'informatica è ferma agli anni Novanta

Per AgID l'informatica è ferma agli anni Novanta, forse. Forse agli Ottanta.

Mi spiego. La Circolare AgID 65 del 2014 riguarda l'accreditamento per le attività di conservazione dei documenti informatici e non distingue tra i 3 elementi fondamentali di un servizio IT: attività burocratiche e amministrative, sviluppo e manutenzione dell'applicazione, conduzione dei sistemi informatici.

La circolare stabilisce: "Il conservatore può affidare ad altro conservatore accreditato le attività a supporto del processo di conservazione limitatamente a quelle che riguardano le infrastrutture per la memorizzazione, trasmissione ed elaborazione dei dati".

In altre parole, se un'azienda conosce il processo e mantiene l'applicazione non può usare i servizi di amministrazione dei sistemi (e il CED) di un esterno, a meno che questo non sia accreditato a sua volta come conservatore. Quindi, questo professionista esterno deve essere bravo a gestire il CED, ad amministrare i sistemi, a sviluppare un'applicazione complessa, a gestire un processo di conservazione sostitutiva.

Oggi, però, le aziende sono spesso specializzate in un solo di questi compiti (chi conosce le aziende specializzate nello sviluppo sa bene che, spesso, una delle prime cose da fare per migliorarne la sicurezza è proprio quella di far gestire i sistemi ad altri).

Pensate che io sia paranoico? Pensate che in realtà quelli di AgID non la pensino così?

Purtroppo questa mia accusa nasce da casi reali.

Ulteriore considerazione: la medesima disposizione non si applica allo sviluppatore del software. Sebbene l'applicazione sia fondamentale, chi la mantiene non deve essere necessariamente accreditato, a differenza di chi gestisce i sistemi. Come negli anni Ottanta-Novanta, quando le vulnerabilità applicative erano poco considerate.

La circolare di AgID, quindi, doveva essere scritta decisamente meglio, tenendo conto di un concetto che oggi si applica a quasi tutti i settori: la catena di fornitura.

Nota finale: non penso che i conservatori accreditati ad oggi siano deboli in uno dei settori indicati. Ma le aziende di questo tipo sono necessariamente molto poche.

venerdì 2 ottobre 2015

Uscita la nuova ISO 9001:2015

Il 23 settembre è infine uscita la ISO 9001:2015 (anche se la data riportata dalla norma è il 15 settembre), di cui ho già parlato in altri post.

La pagina dell'ISO:
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62085.

La pagina UNI per la versione italiana (già disponibile):
- http://store.uni.com/magento-1.4.0.1/index.php/uni-en-iso-9001-2015.html.

Complimenti al BSI e al BSI Italia per la celerità con cui hanno inviato la notizia.

Per quanto riguarda i tempi di transizione: il 15 settembre 2018 tutti i certificati ISO 9001:2008 non saranno più validi e quindi le organizzazioni dovranno adeguarsi entro quella data. Gli Organismi di certificazione dovranno rendere disponibili regolamenti con maggiori dettagli.

Segnalo (grazie a Franco Ferrari di DNV GL) anche la seguente pagina di Accredia con molti chiarimenti:
- http://www.accredia.it/news_detail.jsp?ID_NEWS=1962&areaNews=95&GTemplate=default.jsp.

Nella pagina Accredia trovate anche dei documenti, in inglese, di chiarimento elaborati dal gruppo ISO (ISO/TC 176/SC 2) responsabile dello sviluppo della ISO 9001. Gli stessi documenti si trovano anche nella ISO TC/176/SC2 Home Page (che però è meno chiara della pagina Accredia):
- http://isotc.iso.org/livelink/livelink/open/tc176SC2public.

Ci tengo a sottolineare che questi documenti riportano pochi chiarimenti su come effettuare l'analisi del rischio richiesta dalla ISO 9001. Pertanto non esiste una "via giusta". Vedere anche un altro post:
http://blog.cesaregallotti.it/2015/09/iso-9001-e-risk-thinking.html.

Nota: aggiorno con questo il post, ora cancellato, del 24 settembre.