venerdì 28 ottobre 2016

Privacy: PIA e valutazione del rischio

Sulla newsletter di ottobre 2016 del European data protection supervisor (EDPS) si trova un articolo dal titolo "ISRM and DPIAs: what they are and how they differ". L'articolo si trova a pagina 4 del pdf:
- https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Newsletters/Newsletter_49_EN.pdf.

Secondo l'EDPS, la valutazione del rischio relativo alla sicurezza delle informazioni (ISRM), riguarda solo i rischi di sicurezza, mentre il privacy impact assessment (PIA) è più ampio e include anche i casi in cui potrebbero essere violati i diritti degli interessati.

Il ragionamento, però, non mi convince: quando il Regolamento richiama i rischi, essi riguardano principalmente i trattamenti e i diritti degli interessati. Quindi: quando si parla di rischi in ambito privacy, io non vedo differenza tra ISRM e PIA.

Per i più attenti: il "risk assessment" è una parte del "risk management" e, a rigore, non ha senso paragonare un meccanismo gestionale (ISRM) con uno di valutazione (PIA), ma credo che sia stato fatto un errore terminologico e con ISRM intendano ISRA (information security risk assessment).

L'ISRM è richiesto dal Regolamento Europeo 45/2001, sulla protezione dei dati personali da parte delle istituzioni e degli organismi comunitari (mentre il recente GDPR, ossia il Regolamento 679/2016, riguarda tutte le entità).

L'EDPS ha anche pubblicato a marzo (quindi i riferimenti normativi non sono corretti, visto che il GDPR è stato pubblicato a maggio) una linea guida gli ISRM. Essa è in realtà un riassunto della ISO/IEC 27005:
- https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/16-03-21_Guidance_ISRM_EN.pdf.

Grazie a Pierfrancesco Maistrello per alcuni consigli e precisazioni su questo post. E anche Agostino Oliveri e Andrea Praitano per la correzione all'esatto riferimento del GDPR.

mercoledì 26 ottobre 2016

DDoS con l'IoT

Venerdì 21 ottobre, Internet ha avuto dei problemi. In particolare, molti servizi popolari (inclusi Twitter e Netflix) sono risultati inaccessibili.

Il tutto è successo perché Dyn, un DNS centrale di Internet, è stato oggetto di un attacco DDoS. Fin qui nulla di nuovo, se non l'ulteriore consapevolezza di quanto sia fragile l'infrastruttura informatica su cui oggi basiamo la nostra vita. La novità è che il DDoS è stato scatenato usando i "dispositivi di casa", ossia gli oggetti che compongono l'IoT e che troppi considerano come inoffensivi, le volte che sono consapevoli della loro esistenza.

Due articoli (in italiano e in inglese) che riassumono gli eventi:
- http://www.ilpost.it/2016/10/24/attacco-informatico-venerdi-21-ottobre-mirai-dyn/;
- https://www.wired.com/2016/10/internet-outage-ddos-dns-dyn/.

Un ulteriore articolo:
http://www.darkreading.com/vulnerabilities---threats/root-and-the-new-age-of-iot-based-ddos-attacks-/d/d-id/1327281.

Commento finale: i dispositivi IoT sono quasi tutti sviluppati e mantenuti senza alcuna considerazione per la sicurezza. Dubito saranno mai disponibili delle patches per tutti i dispositivi vulnerabili al malware Mirai, quello usato per infettare i dispositivi e poi lanciare l'attacco a Dyn.

martedì 25 ottobre 2016

CISPE: codice per i fornitori cloud

Enrico Toso di DB Consorzio, che ringrazio, mi ha segnalato questa iniziativa: un codice di condotta per i fornitori di servizi cloud, promosso da Cispe, una coalizione di cloud provider.

L'articolo di partenza:
- http://www.adnkronos.com/soldi/economia/2016/10/02/sicurezza-trasparenza-nel-cloud-nasce-primo-codice-condotta-europeo_yIuOK4YMWtlIkIRgWd2a0L.html.

Il sito del CISPE da cui scaricare il documento:
- https://cispe.net/.

I miei commenti (posto che il documento mi sembra ben fatto):
  • attualmente è disponibile un documento in bozza e questo è un peccato;
  • chissà se tra le molte iniziative sul cloud (incluse quelle promosse da CSA, ma non solo), questa avrà una buona rilevanza.

Videoriprese ai lavoratori che commettono reato

Il caso in breve: dei dipendenti timbravano l'entrata e uscita dal lavoro in orari diversi da quelli reali. Il datore di lavoro ha quindi verificato con delle telecamere e la Cassazione ha approvato il metodo:
- http://www.filodiritto.com/news/2016/videoriprese-cassazione-penale-consentito-al-datore-di-lavoro-riprendere-i-lavoratori-che-commettono-reato.html.

Ecco la ragione: "le garanzie procedurali regolate dall'articolo 4 dello Statuto dei Lavoratori non si applicano qualora il controllo di videoriprese sia effettuato al fine di accertare la commissione di reati: nel caso specifico, il delitto di truffa".

Purtroppo l'articolo non dice se e come era fornita informativa sulle videoriprese.

venerdì 21 ottobre 2016

OWASP Application Security Verification Standard

È disponibile la versione 3.0.1 della OWASP Application Security Verification Standard (ASVS):
- https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project.

Mi sembra una interessante check list per 3 livelli diversi di criticità delle applicazioni. Ovviamente la check list può essere vista "al contrario" ed essere usata non solo per le verifiche, ma anche per gestire i progetti.

Questa mi è stata segnalata da Daniel Halber di HID Global e lo ringrazio.

lunedì 17 ottobre 2016

ISO 37001 sui sistemi anti frode

Massimo Cottafavi di SNAM mi informa della pubblicazione della ISO 37001:2016 dal titolo "Anti-bribery management systems - Requirements with guidance for use":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=65034.

Al momento non ne so altro se non quanto riportato da questo post su LinkedIn (sempre segnalato da Massimo):
- https://www.linkedin.com/pulse/pubblicata-la-norma-iso-370012016-diretta-streaming-di-ciro-strazzeri.

mercoledì 12 ottobre 2016

Privacy, timbrature e GPS

Ringrazio ancora Pierfrancesco Maistrello di Vecomp per avermi segnalato questo recente Provvedimento del Garante dal titolo "Verifica preliminare. Trattamento di dati personali dei dipendenti effettuato attraverso la localizzazione di dispositivi smartphone per finalità di rilevazione delle presenze":
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5497522.

In poche parole, il Garante ha autorizzato l'uso di un sistema alternativo al cartellino per la rilevazione presenze di dipendenti e collaboratori: la persona usa una app dello smartphone per selezionare "entrata" e "uscita"; la app, con il GPS, registra anche la posizione della persona, in modo da verificare che la segnalazione avvenga veramente sul posto di lavoro.

La sentenza è interessante perché stabilisce alcune misure da considerare: aggiornamento dell'informativa, rapporti con il fornitore, tempi di conservazione dei dati (5 anni per le timbrature, il minimo indispensabile per la posizione), la notifica al Garante stesso.

martedì 11 ottobre 2016

Wi-fi pubblico e responsabilità

Segnalo questo articolo dal titolo auto-esplicativo "Chi offre al pubblico un servizio Wi-Fi gratuito non è responsabile per le attività degli utenti":
- http://www.filodiritto.com/articoli/2016/10/chi-offre-al-pubblico-un-servizio-wi-fi-gratuito-non-e-responsabile-per-le-attivita-degli-utenti.html.

Si tratta di una decisione recente della Corte di Giustizia dell'Unione Europea.

Codice deontologico privacy e informazione commerciale

Segnalo che il Garante privacy ha pubblicato il "Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale":
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4298343.

Questo codice deontologico copre un'area non ancora trattata nell'ambito delle comunicazioni commerciali e di marketing, ossia il caso in cui i dati personali siano stati forniti direttamente dagli interessati, magari nell'ambito di altre operazioni.

Analisi del nuovo CAD

Segnalo, dopo averne segnalati altri, questo articolo sul nuovo CAD (grazie a Franco Ferrari di DNV GL):
- http://www.agendadigitale.eu/egov/c-era-una-volta-la-pec-la-norma-cad-la-svaluta_2526.htm.

Andrea Caccia riassume le ragioni delle modifiche al Codice dell'amministrazione digitale (CAD) e si concentra sul futuro della PEC.

Assicurazioni sulla sicurezza ICT

Segnalo questo articolo dal titolo "Le nuove polizze di copertura assicurativa sul Cyber Risk":
- www.altalex.com/documents/news/2016/09/23/le-nuove-polizze-di-copertura-assicurativa-sul-cyber-risk.

Sono sempre perplesso in merito a questo tipo di assicurazioni, e ne ho già scritto in passato
(http://blog.cesaregallotti.it/2016/03/studio-sulle-assicurazioni-informatiche.html,
http://blog.cesaregallotti.it/2015/12/lo-stato-delle-cyber-assicurazioni.html,
http://blog.cesaregallotti.it/2015/10/assicurazione-si-rifiuta-di-pagare-dopo.html,
http://blog.cesaregallotti.it/2014/07/le-assicurazioni-relative-agli.html e
http://blog.cesaregallotti.it/2012/08/assicurazioni-e-sicurezza-informatica.html).

Questo articolo ha il pregio di presentare degli esempi reali di polizze (anche se mi pare di vedere anche un po' di pubblicità).

Misure minime di AgID per la PA

Più di uno (cito Pierfrancesco Maistrello di Vecomp, ma anche la mailing list di sikurezza.org e Franco Ferrari di DNV GL) mi hanno segnalato la pubblicazione delle "Misure minime per la sicurezza ICT delle pubbliche amministrazioni" dell'AgID:
- http://www.agid.gov.it/notizie/2016/09/26/misure-minime-sicurezza-informatica-pubbliche-amministrazioni.

Le ho lette e non mi sono piaciute. Innanzi tutto perché sono ricavate dal Cyber Security Framework (CSF) del NIST, su cui ho già espresso delle perplessità. Poi perché ritengo che queste "misure minime" siano un riassunto mal fatto dei controlli del CSF.

Infatti, come mi dice Pierfrancesco:
1- queste misure minime non sono veramente "minime" e contengono cose oggi irrealizzabili (e, aggiungo io, forse inutili) come il DLP;
2- propone una valutazione delle misure per un livello "minimo", "standard" e "alto" senza indicare esattamente come stabilirlo.

Infine io aggiungo una cosa già detta tempo fa: negli anni, con fatica, la Pubblica amministrazione si è avvicinata alla ISO/IEC 27001; non capisco che senso abbia aggiungere un altro schema.

Report semestrale Cisco sulla sicurezza

Segnalo il "Report semestrale sulla cybersecurity 2016" di Cisco del luglio 2016 (mi diverto a segnalare che la data è solo nell'ultima pagina):
- http://www.cisco.com/c/m/it_it/offers/sc04/2016-midyear-cybersecurity-report/index.html.

Nulla di nuovo, molto tecnico e con qualche pubblicità. Però ritengo sia fatto bene e vale la lettura. Ho trovato particolarmente interessante le pagine dal titolo "Gli attacchi di ransomware nella sanità servono da lezione per tutti i settori" e "Consigli per la sicurezza": due brevi riassunti delle vulnerabilità e delle azioni più importanti.