giovedì 25 maggio 2017

Sensibilizzazione 02 - Materiale ENISA

In molti mi chiedono se ho in mente video o altro per la sensibilizzazione
del personale. La risposta è sempre quella:
https://www.enisa.europa.eu/media/multimedia/material.

Trovo molto divertenti i video e i disegni.

Sensibilizzazione 01 - L'indovino

Segnalo questo video molto interessante dal titolo "Amazing mind reader
reveals his gift":
https://www.youtube.com/watch?v=F7pYHN9iC9I.

Utile (forse) per ricordare quanto bisogna stare attenti a quello che si
pubblica sul web.

Grazie a Francesca Lazzaroni di Spike Reply.

giovedì 18 maggio 2017

Hacking dei robot industriali

Questa notizia dal titolo "Così i robot industriali possono essere hackerati" mi aveva interessato prima ancora di Wannacry (infatti viene da un Tweet di @carolafrediani del 4 maggio):
http://www.lastampa.it/2017/05/04/tecnologia/news/cos-i-robot-industriali-possono-essere-hackerati-87LOt65ts9mYBhM6dKqIxL/pagina.html.

L'autore pone già la domanda chiave: perché si dovrebbe collegare un impianto industriale a Internet? La risposta sembra ovvia, ma in realtà non considera i problemi che dovrebbero bilanciare tanta innovazione.

Sappiamo bene i rischi dei macchinari industriali, solitamente legati all'aspettativa di vita molto più lunga dei normali PC (e quindi sempre maggiori difficoltà ad essere aggiornati), a cui aggiungere una ancora bassa competenza in materia di sicurezza, la necessità di non avere fermi (e quindi di aggiornarli il più raramente possibile), eccetera.

Dall'articolo non si ricavano notizie su come i produttori di macchine industriali prevedono di migliorare la sicurezza di quanto offrono. E ancora una volta temo che il problema sia legato a competenze e avidità (o, più elegantemente, time-to-market), per cui o non hanno idee o non ne vogliono avere.

Eppure il materiale per studiare il problema c'è e si chiama IEC 62443 e NIST 800-82. Non sono letture emozionanti, ma sono utili. Da queste norme si ricava anche il principio importante per cui le macchine industriali non sono come i giocattoli dei bambini: sono pericolose, non devono essere costantemente aggiornate, non dovrebbero essere esposte su Internet, non dovrebbero neanche essere accessibili da reti esterne.

Oltre a ciò in Italia abbiamo gli incentivi di Industria 4.0, senza che si chiedano dei livelli di sicurezza, nonostante conosciamo da anni il problema (ma, da quello che leggo, temo che i consiglieri dei governi presente e passati non se lo pongano).

Wannacry

Tutti i lettori sanno dell'attacco su Internet di venerdì 12 maggio. Per un riassunto, segnalo alcuni articoli in italiano e in inglese:
- http://www.lastampa.it/2017/05/15/tecnologia/news/quattro-cose-da-sapere-ancora-su-wannacry-JLDQytXsyl3fA1bWoONfCJ/pagina.html;
- https://www.cert-pa.it/web/guest/news?id=8382;
- http://business.scoop.co.nz/2017/05/15/wannacry-provides-important-lessons-for-cyber-security/;
- http://thehackernews.com/2017/05/how-to-wannacry-ransomware.html.

Chi ha avuto la pazienza di leggere almeno un articolo dedicato a Wannacry ha capito che per difendersi da questo worm è necessario aggiornare i pc con le ultime patch (la patch per evitare Wannacry è disponibile da marzo). Incredibilmente, molti non hanno attivo l'aggiornamento automatico.

So bene che è più facile dire che fare e so bene che alcuni non attivano gli aggiornamenti automatici per motivi legittimi (alcuni pc usano ancora windows XP). In questi casi, però, tali pc vanno lasciati su reti ben segregate da Internet.

Ancora una volta, però, non sempre questo è possibile. E le cause ultime sono sempre le stesse: mancanza di competenze e soldi per la sicurezza informatica. Una delle loro prime conseguenze sono filiere di fornitura decisamente compromesse da un punto di vista della sicurezza informatica.

CryptoGram segnala un articolo (https://www.engadget.com/2017/04/21/pacemaker-security-is-terrifying/) su una società che vende dispositivi medici con vulnerabilità segnalate nel 2014.

mercoledì 17 maggio 2017

ISO/IEC 27001 del 2017? Non esiste

Recentemente il sito del CEN (https://standards.cen.eu) ha pubblicato la EN ISO/IEC 27001:2017. Subito dopo la UNI, la NEK (norvegese) e il BSI (britannico) hanno pubblicato la medesima norma con data 2017.

Si tratta della ISO/IEC 27001:2013, con le due correzioni del 2014 e del 2015 (ma il testo non è consolidato; è il testo del 2013 con allegate le due correzioni).

Delle due correzioni ho già scritto nel 2015, al momento della loro pubblicazione:
- http://blog.cesaregallotti.it/2015/12/correzioni-isoiec-27001-e-27002.html.

In realtà, il CEN ha recepito solo a gennaio 2017 la ISO/IEC 27001:2013 e quindi l'ha pubblicata con anno 2017 (e con titolo preceduto da "EN"). Immediatamente UNI, NEK, BSI e chissà chi altri hanno recepito quanto fatto dal CEN e quindi hanno ripubblicato la norma con data 2017 e sigla "EN".

Questo è un problema del meccanismo di recepimento dei vari standard. Non riportano la data iniziale dello standard, ma la data del recepimento. Così fu pubblicata la ISO/IEC 27001:2013, poi le italiane UNI e CEI l'hanno recepita solo nel 2014 e hanno quindi pubblicato la UNI CEI ISO/IEC 27001:2014, poi l'EN l'ha recepita nel 2017 e ha pubblicato la EN ISO/IEC 27001:2017, poi, ancora una volta, le italiane hanno recepito quanto recepito dall'EN e hanno pubblicato la UNI/CEI EN ISO/IEC 27001:2017. Ma si tratta sempre della stessa roba.

Vi fa venire il mal di testa? Anche a me. Soprattutto perché temo vedremo errori e incomprensioni nei bandi di gara, nelle richieste di offerta, eccetera.

Solo una nota: per la ISO 9001 i vari enti di normazione sono decisamente più attenti e infatti esiste la ISO 9001:2015, la EN ISO 9001:2015 e la UNI EN ISO 9001:2015, tutte con lo stesso anno. Forse reputano che la 27001 non richiede la medesima attenzione.

lunedì 8 maggio 2017

Guida al GDPR del Garante

Guida al GDPR del Garante:
http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali.

Tutte le sezioni riportano due paragrafi: "Cosa cambia" e "Cosa non cambia". Mi sembra un'ottima iniziativa.

Grazie a Pierfrancesco Maistrello della segnalazione.

Segnalo che, nella sezione "Approccio basato sul rischio", il Garante dà un'interpretazione in contrasto con quanto io avevo indicato in questo post:
http://blog.cesaregallotti.it/2016/07/abrogazione-misure-minime-privacy.html.

In particolare, il sito del Garante dice quanto segue. "Non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure "minime" di sicurezza [...]. Tuttavia, facendo anche riferimento alle prescrizioni contenute, in particolare, nell'Allegato B al Codice, l'Autorità potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni".

Semplifico: le misure minime non saranno più applicabili, ma forse ne introdurranno di simili.

Concludo: considerando che le misure minime sono riportate anche in diversi Provvedimenti del Garante (e la loro mancata applicazione è correlata a sanzioni penali), io continuo a considerarle come riferimento essenziale e comunque, prima di darle per non-più-applicabili, aspetto vengano approvate le modifiche al Dlgs 196 e ai Provvedimenti.

UNI 11621 e AgID: Profili professionali per l'ICT

Pensavo di aver già dato la notizia: è stata pubblicata la UNI 11621:2016 dal titolo "Attività professionali non regolamentate - Profili professionali per l'ICT" e si può comprare su http://store.uni.com.

La norma è in 4 parti:
- Parte 1: Metodologia per la costruzione di profili professionali basati sul sistema e-CF;
- Parte 2: Profili professionali di "seconda generazione";
- Parte 3: Profili professionali relativi alle professionalità operanti nel Web;
- Parte 4: Profili professionali relativi alla sicurezza delle informazioni.

Personalmente ritengo la lettura di queste norme di difficile comprensione. Però potranno essere utilizzate per "certificare" le competenze da organismi di formazione.

AgID ha ripreso queste norme e le ha pubblicate come "Linee guida per la qualità delle competenze digitali nelle professionalità ICT". Si possono reperire (insieme ad una più approfondita documentazione su come sono state costruite) su http://open.gov.it/linee-guida-competenze-ict/.

giovedì 4 maggio 2017

Certificazioni privacy per aziende (e BS 10012)

Dopo la sbornia delle certificazioni DPO, ora sta partendo quella sulle certificazioni aziendali. Su quelle del DPO ho già parlato (male) in precedenza.

Le certificazioni privacy aziendali attuali sono un'altra aberrazione.

Iniziamo con il "caso Pharmasoft". Pharmasoft è un organismo di certificazione che è riuscito a farsi accreditare da Accredia un servizio di certificazione privacy, sulla base di una norma ISDP© 10003:2015, non pubblicamente disponibile. Un mio amico ha chiesto come ottenere questa norma e gli hanno detto che la forniscono solo ai loro partner e clienti; già questo dovrebbe indurre prudenza a chi vorrebbe certificarsi.

Per quanto ne so, il nostro Garante privacy non ha mai sostenuto l'uso di questa certificazione (in realtà credo che proprio non abbia apprezzato).

In effetti, il GDPR promuove le certificazioni privacy, ma "in base ai criteri approvati dall'autorità di controllo (ossia dal Garante privacy) o dal comitato dei Garanti" (ho alterato per semplificare il testo dell'articolo 42). Pare quindi che la norma ISDP© 10003:2015 non rappresenti "criteri approvati" dal Garante, tranne che da Accredia.

Purtroppo Accredia, in questo caso, non credo abbia fatto l'interesse del mercato.

Personalmente, dico che bisogna aspettare notizie dal Garante, non da altri. Mi risulta anche che il Garante si stia confrontando con le altre autorità garanti europee proprio per stabilire come approvare e promuovere i "criteri".

Oltre a tutto ciò, segnalo (grazie ad Andrea Praitano di Business-e) che il BSI ha pubblicato da poco un aggiornamento della BS 10012 dal titolo "Data protection — Specification for a personal information management system":
http://shop.bsigroup.com/ProductDetail?pid=000000000030339453.

Questo BS è impostato sulla base dell'HLS, ossia come la ISO 9001 (o la ISO/IEC 27001 senza l'Annex A), con inseriti i vari requisiti del GDPR.

Fabio Guasconi di BlackSw4an mi ha anche segnalato una norma giapponese JIS Q 15001:2006 dal titolo "Personal information protection management systems - Requirements", impostata in modo decisamente diverso (anche perché l'HLS è successivo al 2006).

In tutto ciò rimane la mia raccomandazione: rimanere prudenti e aspettare.

PS: Franco Ferrari (che ringrazio) mi ha segnalato la pagina del Garante in cui è indicato "per quanto concerne gli schemi di certificazione occorrerà attendere anche l'intervento del legislatore nazionale che dovrà stabilire alcune modalità di accreditamento dei soggetti certificatori (se diversi dal Garante: si veda art. 43). In ogni caso, il Gruppo "Articolo 29" sta lavorando sui temi e sarà opportuno tenere conto degli sviluppi che interverranno in materia nei prossimi mesi":
http://www.garanteprivacy.it/titolare-responsabile-incaricato-del-trattamento.

Stato delle norme della famiglia ISO/IEC 27000

Il 22 aprile si è concluso il meeting del gruppo di lavoro che si occupa delle norme della serie ISO/IEC 27000. Hanno partecipato 90 esperti da 29 Paesi. Io non ci ho partecipato, ma segnalo lo stato dei lavori.

Sono partiti (o ripartiti, nel caso della ISO/IEC 27005) i lavori per le nuove versioni delle ISO/IEC 27002 e 27005. Per queste norme, i tempi previsti per le nuove versioni sembrano essere molto lunghi (almeno 4 anni).


Per quanto riguarda la ISO/IEC 27005 sarà pubblicata una correzione all'edizione del 2011, per eliminare alcune incongruenze che questa norma presenta rispetto alla ISO/IEC 27001:2013. Inizialmente, come è noto, si pensava di pubblicare una nuova versione della ISO/IEC 27005, ma le difficoltà di lavorazione hanno portato ad una sola "correzione".

Sono anche partiti i lavori per la nuova versione della ISO/IEC 27014 ed è stato deciso di revisionare la ISO/IEC 27009, in quanto sono stati individuati alcuni errori. Per queste norme i tempi sono almeno di 3 anni.

Sono continuati i lavori per alcune norme in stato più avanzato di lavorazione: la ISO/IEC 27007 (audit del SGSI), ISO/IEC 27008 (audit dei controlli di sicurezza), la ISO/IEC 27019 (controls for the energy utility industry), la ISO/IEC 27012 (competenze). Queste norme dovrebbero essere pubblicate nella primavera del 2018 (per la ISO/IEC 27018 i tempi dovrebbero essere più lunghi).

Ulteriori lavori non relativi alla "famiglia ISO/IEC 27000" hanno riguardato, tra gli altri:
- avvio dei lavori la ISO/IEC 27552 dal titolo "Extension to ISO/IEC 27001 for privacy management" (anche qui i tempi di pubblicazione saranno di almeno 3 anni);
- avvio della revisione della ISO/IEC 27031 ("Guidelines for information and communication technology readiness for business continuity");
- avvio preliminare dei lavori per lo standard ISO/IEC 27101 sulla cyber-security (tempi previsti molto lunghi);
- avvio dei lavori per la norma ISO/IEC 27102 dal titolo "Guidelines for cyber insurance".

Ringrazio Fabio Guasconi per avermi fornito alcuni spunti per questo aggiornamento (in altre parole, gli errori sono miei).

Novità sugli esami ITIL

La notizia è di gennaio:
- https://www.axelos.com/news/new-partnership-announced.

Una breve sintesi: le licenze ITIL sono di proprietà dell'inglese OCG, che ha assegnato ad Axelos (dopo una gara) il compito di gestirle (includendo le regole sulle certificazioni ITIL). Prima di Axelos, questo ente era APMG.

Axelos controlla, fino a fine 2017, 5 enti esaminatori (CB, certification bodies). I più famosi in Italia sono APMG e Exin (notare che APMG agiva in passato sia come gestore delle licenze ITIL sia come ente esaminatore, con malcontento degli altri).

Gli enti esaminatori avevano la responsabilità di selezionare e controllare l'operato degli enti di formazione (ATO, accredited training organizations, e AEO, accredited examination organizations), ossia gli enti che erogano i corsi e fisicamente organizzano le sessioni d'esame (gli esami sono forniti dagli enti esaminatori).

Axelos, da gennaio, ha stabilito che l'ente esaminatore, dal 1 gennaio 2018, sarà uno solo: Peoplecert.

Ho tardato a dare la notizia perché volevo chiarirmi le idee. Confesso che non le ho ancora chiare, ma la prima impressione è che questa operazione non mi piace: un unico licenziatario che nomina un unico ente esaminatore non mi convince. Devo anche dire che non so come siano stati selezionati i precedenti 5 enti esaminatori.

La notizia che sicuramente interessa più persone è che i certificati ITIL emessi fino al 31 dicembre 2017 dagli attuali enti esaminatori saranno da ritenersi validi anche in futuro.

PS: so già che alcuni puntualizzeranno il mio riassunto sulla filiera di controllo di CB, ATO e AEO. Mi scuso per le imprecisioni.

venerdì 21 aprile 2017

ISO/IEC 27003:2017 - Guida alla ISO/IEC 27001

Sono molto felice di annunciare la pubblicazione della nuova versione della ISO/IEC 27003 dal titolo "Information technology - Security techniques - Information security management systems - Guidance":
https://www.iso.org/standard/63417.html.

I più attenti avranno notato che il titolo è cambiato e non si tratta più di una guida alla realizzazione di un ISMS, ma di una guida ai requisti di un ISMS, ossia alla ISO/IEC 27001.

Ho partecipato molto attivamente ai lavori di redazione di questa norma e sono molto soddisfatto del risultato ottenuto. Ovviamente avrei voluto scrivere qualcosa in più in certi punti e qualcosa in meno in altri. Ma per esprimere i miei punti di vista ho già provveduto a scrivere un libro :-)

Sicuramente sono molto soddisfatto di alcuni punti presenti in questa norma:
- si dice chiaramente che si possono fare due valutazioni del rischio (una per il sistema di gestione e una per la sicurezza delle informazioni) oppure si possono integrare;
- in merito alle valutazioni del rischio relativo alla sicurezza delle informazioni, si dà pari valore a quelle "tradizionali" basate su asset-minacce-vulnerabilità e ad altre "basate su scenari"; sarebbero argomenti da ISO/IEC 27005, ma almeno qui si è introdotto l'argomento e permetterà di valutare approcci forse più efficaci per la valutazione del rischio;
- si è corretto, per quanto possibile, l'uso improprio di "risk criteria" presente nella ISO/IEC 27001 e qui si preferisce usare l'espressione, forse più chiara, di "criteri di accettazione del rischio e criteri per svolgere la valutazione del rischio".

giovedì 20 aprile 2017

DPCM 17 febbraio 2017 sulla sicurezza informatica nazionali

Paola Iacobellis mi ha informato del DPCM 17 febbraio 2017 dal titolo "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali". Si tratta di un aggiornamento del DPCM del 24 gennaio 2013.

Paola mi ha segnalato il link dove reperirlo:
http://www.sicurezzanazionale.gov.it/sisr.nsf/documentazione/normativa-di-riferimento/dpcm-17-febbraio-2017.html.

Non è facilissimo capire a chi si applica nella pratica (bisogna recuperare il Decreto del ministero degli Interni del 9 gennaio 2008 e gli Allegati II e III della Direttiva NIS).

Da questa documentazione, intuisco che i soggetti a cui si applica il DPCM (le Infrastrutture critiche) devono interfacciarsi con il "Nucleo per la sicurezza cibernetica", a cui comunicare eventuali incidenti, e con il Comitato interministeriale per la sicurezza della Repubblica (CISR), che deve indicare le "best pratices e misure rivolte all'obiettivo della sicurezza cibernetica".

Dopo questo, ho cercato di capire come avere maggiori informazioni su questi due soggetti. Non ho trovato nulla. Eppure sarebbe importante per capire come contattarli (nel primo caso) o avere aggiornamenti in merito alle misure da applicare (nel secondo caso). Il sito http://www.sicurezzanazionale.gov.it non riporta molto e, ahimè, l'associazione degli esperti delle infrastrutture critiche (http://www.infrastrutturecritiche.it/aiic/) mi sembra ferma da troppo tempo, per lo meno sul sito web.

Un articolo che mi è sembrato chiaro in merito è questo:
https://www.sicurezzaegiustizia.com/istituito-il-nucleo-per-la-sicurezza-cibernetica/.

Chiunque voglia aiutare ad approfondire questo argomento è benvenuto.

PS: i più attenti avranno notato che non ho fatto commenti sull'uso del termine "cibernetica". Li faccio adesso: è usato scorrettamente e purtroppo da "esperti".

Rapporto semestrale MELANI

Segnalo sempre, perché mi sembra interessante, il rapporto semestrale MELANI, la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione della Svizzera. Ad aprile è uscito il rapporto 2016/2:
https://www.melani.admin.ch/melani/it/home/dokumentation/rapporti/rapporti-di-situazione/halbjahresbericht-2016-2.html.

mercoledì 12 aprile 2017

Linee guida WP Art. 29 (DPO, DPIA e altre)

Pierfrancesco Maistrello mi ha segnalato che il WP Art. 29 ha pubblicato, il 5 aprile, una nuova linea guida e la revisione di linee guida già pubblicate. Si trovano qui:
http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

Ricordo che il WP Art. 29 sarà, da maggio 2018, un comitato dei Garanti europei, quindi le sue indicazioni sono molto importanti.

La nuova linea guida è quella relativa al Privacy impact assessment (DPIA). Non sembra riportare elementi particolarmente innovativi, per lo meno per chi ha già avuto modo di riflettere su questo tema. Pierfrancesco Maistrello mi segnala però quanto è importante l'Annex 2, che riporta i "Criteria for an acceptable DPIA".

Tra le linee guida aggiornate, ha particolare rilevanza quella sul DPO. Pierfrancesco Maistrello me ne fa un riassunto: "Le modifiche sono poche e quelle più importanti sono: maggior numero di esempi di quando è necessario prevedere un DPO; un intero paragrafo relativo al DPO condiviso tra più organizzazioni".

Le altre due linee guida aggiornate sono quelle sull'interoperabilità e quella sull'identificazione dell'autorità garante.

lunedì 10 aprile 2017

Misure minime per la PA

A ottobre 2016 avevo segnalato la pubblicazione delle "Misure minime di AgID per la PA" (con anche le mie critiche):
http://blog.cesaregallotti.it/2016/10/misure-minime-di-agid-per-la-pa.html.

Il 17 marzo 2017 AgID ha comunicato ufficialmente alle PA il dovere di predisporre una relazione, entro il 31 dicembre, sullo stato di attuazione delle medesime.

La circolare 1/2017 di AgID sulla Gazzetta ufficiale (Permalink):
www.gazzettaufficiale.it/eli/id/2017/04/04/17A02399/sg.

Il comunicato stampa di AgID:
http://www.agid.gov.it/notizie/2017/04/07/pubblicate-gazzetta-ufficiale-misure-minime-sicurezza-informatica-pa.

Ringrazio Franco Ferrari di DNV GL e Daniela Quetti per questa segnalazione.

giovedì 6 aprile 2017

Mailing list: scuse e richiesta di consiglio

Sono arrivato ad avere circa 700 iscritti alla mailing list. Altri hanno più seguito (iscritti, follower, contatti e amici), ma si tratta di un bel numero, considerando gli argomenti specialistici trattati.

Il mio SMTP però da dicembre blocca gli invii a più di 50 persone. Alcuni hanno ricevuto più copie della newsletter perché cercavo di capire e risolvere il problema. La soluzione tampone (o workaround) non è agevolissima e richiede pazienza.

Purtroppo poi ho avuto dei problemi al mio pc ho potuto recuperare solo la mailing list aggiornata a dicembre. Ho recuperato poi le richieste di iscrizione, ma anche questa volta alcuni riceveranno più volte la stessa newsletter. Di questo mi scuso.

Vi chiedo quindi se avete dei consigli da darmi. Vorrei evitare l'uso di servizi made in USA come Mailchimps o Google Groups perché i noti problemi di privacy. Soluzioni europee come MailUp costano e io dalla newsletter non ci guadagno quasi niente (non ho mai voluto presentare offerte economiche da "super-consulente").

Vi ringrazio anticipatamente per l'aiuto.

lunedì 3 aprile 2017

Rapporto Clusit 2017

Segnalo che è disponibile il Rapporto Clusit 2017 sulla sicurezza ICT in Italia, la pubblicazione di riferimento in materia:
https://clusit.it/rapporto-clusit/.

giovedì 30 marzo 2017

Servizi aziendali sul web e sicurezza

Nell'ultima newsletter HSC, ho trovato un editoriale di Hervé Schauer che tratta di un argomento che spesso mi ha fatto pensare. Ossia: se un'azienda fornisce accesso via web a email e server aziendali, automaticamente accetta che il personale acceda ai dati aziendali su dispositivi personali e possa scaricarli.

Io segnalo questo articolo perché in realtà vedo troppi miei interlocutori sorpresi dal pensiero che, sì, in effetti, permettere gli accessi via web implica permettere gli accessi da qualsiasi tipo di dispositivo anche personale.

Hervé Schauer segnala la funzionalità di accesso condizionale offerta da Office 365 e ricorda che così facendo si riduce un rischio, ma si accetta che sia Microsoft a gestire la propria Active Directory.

Ecco quindi che ho scoperto che ci sono soluzioni per ridurre il rischio degli accessi dal web alle risorse aziendali (così alcuni miei interlocutori si sorprenderanno ancora di più).

La Newsletter HSC:
http://www.hsc-news.com/archives/2017/000143.html.

L'articolo di Microsoft sull'accesso condizionale:
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-conditional-access".

Nota finale: mi pare di capire che questa funzionalità sia stata introdotta meno di un anno fa, quindi forse non sono stato troppo disattento; è anche vero che sul web si evidenziano troppo gli articoli inutili sulla "cybersecurity" e troppo poco quelli veramente importanti per la sicurezza delle informazioni.

martedì 14 marzo 2017

Diritto d'autore e produzione software

Una vera coincidenza: la sera un cliente mi chiede informazioni sul diritto d'autore del software prodotto dal personale e il mattino dopo la newsletter di Filodiritto riporta una sentenza proprio su questo argomento:
http://www.filodiritto.com/articoli/2017/03/a-chi-spetta-il-diritto-di-sfruttamento-economico-del-software-il-caso-del-software-commissionato-da-una-societa-ad-un.html.

Mi sembra molto chiaro e quindi lo segnalo.

mercoledì 8 marzo 2017

Aggiornamento libro "Sicurezza delle informazioni"

Ho aggiornato il mio libro "Sicurezza delle informazioni". Maggiori dettagli si trovano in questa pagina:
http://www.cesaregallotti.it/libro.html.

Segnalo che le modifiche non sono molto numerose. Ho ovviamente aggiornato i  riferimenti alla normativa privacy e al Regolamento eIDAS e ho introdotto qualche nuovo esempio. Tutte le modifiche sono comunque frutto di aggiornamenti che ho segnalato sul blog e sulla newsletter.

In altre parole: se avete già comprato una copia della precedente edizione, oltre a ringraziarvi, vi invito a non acquistare la nuova edizione. A meno che non vogliate avere la mia foto del Perito Moreno (ma in quel caso vi prego di scrivermi e ve la mando).

Per questa edizione ringrazio Pierfrancesco Maistrello e Francesca Lazzaroni per una rilettura delle bozze e i loro suggerimenti. Ancora di più ringrazio Stefano Ramacciotti, che anche per questa edizione si è prodigato di consigli e suggerimenti (oltre a continuare a regalarmi l'appendice sui Common Criteria e altre parti di testo).

lunedì 6 marzo 2017

Controlli Essenziali di Cybersecurity

Stefano Ramacciotti mi ha segnalato la pubblicazione di CINI dal titolo "2016 Italian Cybersecurity Report: Controlli Essenziali di Cybersecurity" che si può scaricare da qui:
http://www.cybersecurityframework.it/.

Non mi sembra male, anche se ho sempre delle riserve per chi promuove uno schema made in USA al posto di uno di livello internazionale (le ISO/IEC 27001, come invece fa ENISA) e per chi usa il termine "cibernetica" in modo scorretto.

Altra perplessità: sullo stesso sito si fa riferimento alle "Misure minime per la sicurezza ICT delle pubbliche amministrazioni", pubblicate di recente, che sono diverse dai "Controlli essenziali". Il tutto mi sembra possibile fonte di confusione.

Comunque, se questa iniziativa può servire a migliorare la cultura in materia di sicurezza informatica, ben venga.

Linee guida ENISA per la valutazione del rischio per le PMI

Pierfrancesco Maistrello mi ha segnalato le "Guidelines for SMEs on the security of personal data processing" di ENISA:
https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing.

Presenta un metodo semplificato di valutazione del rischio per il trattamento dei dati personali. Ritengo sia da considerare anche per altre finalità, come per esempio la certificazione ISO/IEC 27001 (in altre parole, mi sembra un metodo ancora più semplice del mio VERA).

Inoltre ENISA elenca un insieme di contromisure, tratte dalla ISO/IEC 27001, da attuare per il controllo del rischio.

Forse l'ho già detto, ma lo ripeto: mi pare che ENISA stia facendo quello che il NIST ha smesso di fare, ossia scrivere documenti semplici ma pragmatici e rigorosi.

Privacy, call centre e protezionismo

Pierfrancesco Maistrello mi ha segnalato anche questa. La legge di stabilità 2017 cerca di proteggere i call centre italiani. Per questo anche il Garante privacy ha aumentato le pratiche burocratiche per lo spostamento dei call centre all'estero.

Un articolo in merito alle novità sui call centre:
http://www.publicpolicy.it/analisi-%e2%80%8bcall-center-privacy-protezionista-lavoratori-67376.html.

La nota informativa del Garante privacy "Nuove disposizioni normative concernenti le attività di call center":
http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/6029202.

mercoledì 1 marzo 2017

Privacy e accessi degli AdS

Pierfrancesco Maistrello (ormai mio spacciatore ufficiale di novità dal Garante) mi ha segnalato questa "Ordinanza di ingiunzione nei confronti di Planetel s.r.l. - 22 dicembre 2016":
http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/6032975.

Il punto importante riguarda una prassi solitamente seguita per l'autenticazione degli AdS, ossia: accesso con credenziali personali ad un desktop remoto, successivo accesso con credenziali condivise al sistema da amministrare. Questa prassi si basa sul fatto che l'accesso al desktop remoto permette di risalire a chi è poi acceduto ai sistemi con credenziali condivise (in modo simile al comando "su" dei sistemi Unix e Linux).

Il Garante ha detto che questa prassi non è conforme alle misure minime.

Scrive Pierfrancesco: "Servirà a convincere i, tuttora molti, riottosi all'assegnazione univoca di credenziali amministrative?". Non saprei rispondergli.

L'ordinanza riporta altre violazioni, a mio parere meno interessanti e quindi non le evidenzio in questa occasione.

Configurare il browser in modo sicuro

Questa pagina (da un retweet di @pstirparo) di istruzioni su come configurare il browser per una navigazione sicura mi sembra interessante:
https://gist.github.com/atcuno/3425484ac5cce5298932.

Mi pare possa essere utile da segnalare quando qualcuno mi chiede come configurare un pc.

Linee guida ENISA per la sicurezza dei Digital Service Providers

ENISA ha pubblicato un documento dal titolo "Technical Guidelines for the implementation of minimum security measures for Digital Service Providers":
https://www.enisa.europa.eu/publications/minimum-security-measures-for-digital-service-providers/.

La pagina di presentazione è:
https://www.enisa.europa.eu/news/enisa-news/security-measures-for-digital-service-providers.

Mi sembra ben fatto e di facile lettura. Forse ENISA sta facendo quello che il NIST ha smesso di fare, ossia documenti di semplice lettura.

Forse non sentivo la mancanza di un altro documento con le misure di sicurezza.

Da un tweet di @Silvia_Mar_

Imprese: informazioni di carattere non finanziario

Il Decreto legislativo 254/2016 riguarda la comunicazione di informazioni di carattere non finanziario e sulla diversità. Esso recepisce la direttiva 2014/95/UE riguardante la comunicazione di informazioni di carattere non finanziario di imprese e gruppi di grandi dimensioni.

La Fondazione nazionale dei commercialisti ha pubblicato una panoramica di queste nuove disposizioni:
http://www.fondazionenazionalecommercialisti.it/node/1201.

La materia mi è largamente ignota. Capisco che la normativa richiede di pubblicare informazioni: di carattere ambientale, di carattere sociale, inerenti alla gestione del personale, inerenti alla tutela dei diritti umani, riguardanti la lotta contro la corruzione. E quindi tutto ciò non è pertinente alle materie di cui mi occupo.

Però... magari in questo documento potrebbero trovare posto considerazioni sulla qualità, la sicurezza delle informazioni e i processi del sistema di gestione. Viceversa, da un documento così si potrebbero ricavare informazioni utili per l'analisi dei "rischi e opportunità" richiesti dagli standard ISO. E forse questo può rendere l'adozione degli standard ISO ancora meno formale e più pratica.

Queste sono solo riflessioni personali. Se altri possono fornire contributi, ne sarò lieto.

lunedì 27 febbraio 2017

Certificazione conservatori (nuove regole)

Accredia ha pubblicato le nuove regole per la certificazione dei conservatori:
http://www.accredia.it/extsearch_documentazione.jsp?area=55&ID_LINK=331&page=113&IDCTX=5418&id_context=5418.

Rispetto alle precedenti regole, le giornate si sono ridotte arrivando, in prima certificazione, a circa 8 (prima erano 13 o 11).

Preferisco non commentare.

Non sono invece state fornite le scadenze entro le quali vanno effettuate le verifiche secondo il nuovo schema. Tali informazioni dovranno essere comunicate da Agid.

Grazie a Simona Montinari di DNV GL per la segnalazione.

giovedì 23 febbraio 2017

BCI Horizon Scan 2017

Inizio anno, tempo di rapporti sulla sicurezza, con tutti i loro punti positivi e negativi. L'Horizon Scan è quello del BCI:
- http://www.thebci.org/index.php/download-the-horizon-scan-2017.

Trovo ci siano troppe minacce informatiche per essere un rapporto non solo di tipo informatico.

Norma italiana per DPO

Mi informa Fabio Guasconi che è in fase di inchiesta pubblica la bozza di norma tecnica UNI/UNINFO che definisce i profili e le competenze dei professionisti che lavorano nella privacy, inclusi quindi DPO:
- http://www.uni.com/index.php?option=com_content&view=article&id=5802:data-protection-officer-finalmente-uno-schema-per-la-certificazione-unificato-e-non-solo&catid=171&Itemid=2612.

Scadenza: 25 marzo.

lunedì 20 febbraio 2017

Provvedimento su trattamenti dati sul posto di lavoro

Interessante Provvedimento del Garante privacy del 22 dicembre:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5958296.

Un ex dipendente di una società ha fatto reclamo per trattamento non idoneo dei dati personali.

Ecco alcune lezioni che ne ho tratto:
- quando qualcuno lascia la società, la casella di email va disabilitata senza permettere la ricezione e l'invio di messaggi;
- conservare le email per 10 anni è eccessivo, a meno che non tale termine non sia giustificato (in generale, però, andrebbe sempre giustificato il tempo di conservazione, anche se di molto inferiore ai 10 anni);
- se la Capogruppo gestisce servizi informatici per tutte le società del Gruppo, tali società devono nominare Responsabile la Capogruppo.

Le 7 tecniche di attacco più pericolose

Il titolo è decisamente troppo enfatico. È una proposta del SANS, presentata a RSA 2017, di lista:
https://www.sans.org/the-seven-most-dangerous-new-attack-techniques.

Questa lista diventerà famosa oppure no? Per intanto, elenco gli attacchi:
- ransomware;
- uso del IoT per gli attacchi;
- ransomware per IoT (ti bloccano l'automobile e tu devi pagare per sbloccarla);
- attacchi ai sistemi industriali di controllo (ICS);
- compromissione dei canali cifrati a causa di deboli generatori di numeri casuali;
- attacchi dovuti all'uso di servizi web esterni usati come componenti software;
- attacchi ai database noSQL.

E quindi cosa fare? Non lo dicono.

giovedì 16 febbraio 2017

sabato 11 febbraio 2017

Prodotti di sicurezza insicuri

Marco Fabbrini mi segnala questo link "a conferma che molti antivirus sono più dannosi che altro":
- http://www.zdnet.com/article/google-and-mozillas-message-to-av-and-security-firms-stop-trashing-https/.

Continuo a copiare quanto mi ha scritto Marco: "Secondo uno studio condotto dai ricercatori di Google, Mozilla, Cloudflare, e di diverse università degli Stati Uniti, un sorprendentemente elevato numero di antivirus e prodotti di sicurezza ficcano il naso nelle connessioni HTTPS ed espongono gli utenti dei browser ad attacchi".

Grazie Marco.

Garante e raccolta dei log di AdS

A seguito di un breve dibattito via email, Pierfrancesco Maistrello mi ha segnalato un Provvedimento del Garante del 2014:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3438899.

Colpevolmente, non l'avevo mai notato e invece è interessantissimo.

Intanto, perché nel merito chiarisce come sono valutati i sistemi di raccolta dei log: "Pertanto, la registrazione solo in locale degli accessi applicativi degli amministratori di sistema – l'unica disponibile finché la società non ha introdotto le misure tecniche necessarie per registrare su Arcsight anche tali tipi di accessi – non soddisfa i requisiti stabiliti dalla citata prescrizione". In altre parole, un'azienda deve prevedere un sistema di raccolta centralizzata dei log o sistemi più complessi (la raccolta centralizzata dei log con strumenti gratuiti come Splunk mi risulta essere la soluzione più economica).

Inoltre, è interessante osservare la lunga disquisizione su come interpretare le FAQ del Garante stesso. Da parte mia, penso che troppo spesso siano più fonte di confusione che altro e il Garante potrebbe anche evitare di farle.

lunedì 6 febbraio 2017

Linee guida DPO in Italiano

Pierfrancesco Maistrello mi ha segnalato che il Garante ha tradotto in italiano e pubblicato le linee guida sul DPO ("Linee-guida sui responsabili della protezione dei dati (RPD)") del WP Art. 29:
- http://www.garanteprivacy.it/rpd.

Ingiunzione a responsabile del trattamento

Pierfrancesco Maistrello, dopo aver letto il mio post in merito ai responsabili del trattamento secondo il GDPR, mi ha segnalato un'ingiunzione a una responsabile interna del trattamento:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/3039524.

Qui la responsabile ha dovuto pagare 10 mila Euro, sulla base della normativa vigente. Se il fatto fosse avvenuto tra un anno e mezzo (dopo il maggio 2018), ne avrebbe dovuti pagare 10 milioni. Come dice Giancarlo Butti (già citato dal mio post precedente:
http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili-privacy.html), chi vorrà accettare una nomina a responsabile?

Post scriptum: grazie a Pierfrancesco Maistrello che mi ha ricordato che l'entrata in vigore del GDPR è maggio 2018 e non maggio 2017, come avevo erroneamente riportato inizialmente.

martedì 31 gennaio 2017

GDPR e nomina dei responsabili privacy

Il Regolamento europeo privacy (GDPR) riporta agli articoli 28 e 29 le modalità di nomina dei responsabili (processor) del trattamento. Queste risultano più precise di quelle previste dal Codice privacy. In particolare, richiede che la nomina avvenga attraverso contratto o da altro atto giuridico.

Tale atto deve riportare:
- oggetto delle attività affidate, includendo la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati;
- clausole di riservatezza;
- garanzia di aver stipulato con il personale con accesso ai dati un obbligo di riservatezza;
- divieto di uso di fornitori da parte del responsabile per il trattamento dei dati senza autorizzazione del titolare;
- impegno, in caso di uso autorizzato di fornitori del responsabile, di prevedere un contratto scritto con riportati i medesimi a cui è soggetto il responsabile;
- le regole da seguire nel trattamento dei dati per controllare i rischi di accesso non autorizzato, divulgazione, mancanza di integrità e indisponibilità dei dati, sia accidentali sia illegali;
- divieto, senza previa autorizzazione del titolare, di trasmettere o conservare i dati in Paesi extra-UE o di fornire accesso a tali dati a personale sito in Paesi Extra-UE;
- l'impegno a verificare periodicamente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento;
- l'impegno a dare seguito alle richieste avanzate dal titolare o dagli interessati per dare seguito all'esercizio dei diritti degli interessati al trattamento dei dati personali in modo da poter dare loro risposta entro 30 giorni dalla richiesta;
- l'impegno a comunicare al titolare eventuali violazioni ai dati personali trattati e fornire assistenza al titolare nel caso in cui si manifestino tali eventi;
- la cancellazione o restituzione dei dati al termine delle prestazioni;
- il diritto di audit da parte del titolare.

Si tratta di clausole molto impegnative e sembrano più applicabili a responsabili esterni che interni. Questo anche considerando quanto scritto da Gianfranco Butti in un articolo su Europrivacy:
- http://europrivacy.info/it/2016/07/19/the-internal-data-processor-and-the-gdpr/.

Se ci pensiamo attentamente non pare logico prevedere responsabili interni e strutturare un'azienda su solo 3 livelli gerarchici (titolare, responsabile e incaricato). È anche vero che il GDPR consente esplicitamente la nomina di responsabili da parte dei responsabili e questo permetterebbe la strutturazione in più livelli. Dall'altra parte, invece, si può immaginare che in un'azienda i ruoli e le responsabilità vengano distribuiti non in conformità agli articoli 28 e 29, ma secondo la "normale" gerarchia interna. Il GDPR, infatti, usa il termine "processor", difficilmente applicabile ad una persona e facilmente applicabile ad un'impresa.

Altri (libro "Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali" di Enrico Pelino, Luca Bolognini, Camilla Bistolfi) confermano questa lettura.

Se letto in questo modo, il GDPR ci imporrebbe un completo ripensamento su come vedere questi concetti.

martedì 24 gennaio 2017

Segreto industriale e misure di protezione

Da Filodiritto segnalo questo articolo dal titolo "Segreto industriale: l'importanza delle misure di protezione":
- http://www.filodiritto.com/articoli/2017/01/segreto-industriale-limportanza-delle-misure-di-protezione.html.

Un ex socio di un'azienda ha usato, per una concorrente, dei progetti preparati per la prima azienda.

La causa successiva ha evidenziato quali misure dovrebbero essere messe in atto da un'azienda per proteggere (e dimostrare di voler proteggere) i propri segreti industriali:
- ricordare ai propri dipendenti e collaboratori della natura delle informazioni e della necessità di mantenere il segreto sia come condizione contrattuale, sia come informazione comunque diretta a collaboratori e dipendenti (art. 98 e 99 del Codice della proprietà industriale, D. Lgs. 30 del 2005);
- predisporre meccanismi per impedire l'accesso ai dati (almeno sotto forma di istruzioni scritte), dove la conservazione su un unico computer personale con accesso controllato da password non pare sufficiente (mentre poteva avere maggiore valore la conservazione su un server "aziendale").

martedì 17 gennaio 2017

Fattura b2b dal 9 gennaio

Dal 9 gennaio è partita la fattura elettronica tra privati. Ecco un articolo di Andrea Caccia e Daniele Tumietto che presenta l'iniziativa e i suoi problemi da un punto di vista teorico e poi pratico:
- http://www.agendadigitale.eu/fatturazione-elettronica/parte-la-fattura-elettronica-tra-privati-ma-e-un-caos-ecco-che-fare_2811.htm.

Eye Piramid

Tutti avete sentito parlare della vicenda dei fratelli Occhionero e di Eye Piramid, i due spioni che hanno raccolto dati dai pc di persone note. Per chi vuole leggere una sintesi della storia, ecco un link:
- http://cybersecurity.startupitalia.eu/53903-20170111-eye-pyramid-the-italian-job-storia-malware-spionaggio-massoneria.

Un'analisi di Trend Micro:
- http://blog.trendmicro.com/trendlabs-security-intelligence/eye-storm-look-eyepyramid-malware-supposedly-used-high-profile-hacks-italy/.

Una sintesi tecnica (e non solo), in Italiano, di Stefano Zanero:
- https://www.facebook.com/raistolo/posts/10155658726324307.

Purtroppo non trovo articoli significativi su come difendersi da questi attacchi. Certo: c'è il pieno di articoli che dicono "state attenti ai file che aprite", ma questo non è niente di nuovo.

Ringrazio Sandro Sanna, che per primo mi ha segnalato la notizia.

Divieto di GPS per i lavoratori

Dalla newsletter di Filodiritto segnalo la seguente notizia: "GPS - Ispettorato Nazionale del Lavoro: è vietato l'utilizzo del sistema GPS sull'auto aziendale senza un accordo sindacale". L'Ispettorato, il 7 novembre 2016, ha infatti pubblicato la circolare 2/2016 in merito all'uso di GPS:
- http://www.filodiritto.com/news/2017/gps-ispettorato-nazionale-del-lavoro-e-vietato-lutilizzo-del-sistema-gps-sullauto-aziendale-senza-un-accordo-sindacale.html.

Ricordo alcune notizie correlate all'uso di GPS:
- moduli per la richiesta di autorizzazione all'uso di GPS (http://blog.cesaregallotti.it/2016/05/modulo-unificato-per-videosorveglianza.html);
- possibilità di usare il GPS per rilevare abusi o usi illeciti di strumenti aziendali (http://blog.cesaregallotti.it/2015/11/nuovo-statuto-dei-lavoratori-riflessioni.html), forse in contrasto con la recente circolare.

Europa: contro la conservazione dei dati di traffico

Da Filodiritto segnalo la seguente notizia: "Privacy - Corte di Giustizia dell'Unione Europea: gli Stati membri non possono imporre un obbligo generale di conservazione di dati ai fornitori di servizi di comunicazione elettronica":
- http://www.filodiritto.com/news/2017/privacy-corte-di-giustizia-dellunione-europea-gli-stati-membri-non-possono-imporre-un-obbligo-generale-di-conservazione.html.

Non credo che questa sentenza abbia impatti sul nostro Dlgs 109 del 2008, ma vedremo se ci saranno aggiornamenti.

lunedì 16 gennaio 2017

Documenti ENISA su privacy on line, pagamenti elettronici, aeroporti, automobili

Fabio Teoldi, che ringrazio, mi ha segnalato che ENISA a dicembre 2016 e gennaio 2017 ha pubblicato 4 documenti interessanti.

1- "PETs controls matrix - A systematic approach for assessing online and mobile privacy tools": misure da applicare (o da verificare) per assicurare la privacy nei sistemi online (soprattutto siti web e applicazioni per dispositivi mobili):
- https://www.enisa.europa.eu/publications/pets-controls-matrix/pets-controls-matrix-a-systematic-approach-for-assessing-online-and-mobile-privacy-tools.

2- Security of Mobile Payments and Digital Wallets: uno studio di 3 piattaforme (Apple Pay, Google Wally e Android Pay, Samsung Pay) seguito da alcune raccomandazioni (troppo poche, a mio avviso):
https://www.enisa.europa.eu/publications/mobile-payments-security.

3- Securing Smart Airports: un elenco di 44 controlli di sicurezza applicabili ai sistemi informatici per gli aeroporti (ma non solo, a mio parere):
https://www.enisa.europa.eu/publications/securing-smart-airports.

4- Cyber Security and Resilience of smart cars": un elenco di "good practices" soprattutto tecniche (precedute da troppe pagine di analisi), da considerare non solo per le automobili:
https://www.enisa.europa.eu/publications/cyber-security-and-resilience-of-smart-cars/.

domenica 15 gennaio 2017

Certificazione conservatori e SPID

Accredia ha pubblicato le regole per la certificazione dei conservatori e dei gestori SPID, sulla base di quanto concordato con AgID:
- http://www.accredia.it/news_detail.jsp?ID_NEWS=2356&areaNews=95&GTemplate=default.jsp.

Per chi vuole essere qualificato da AgID come conservatore o gestore SPID, rimane il percorso in due fasi: prima una certificazione da parte di un Organismo di certificazione accreditato (da Accredia) e poi la domanda ad AgID.

In questo modo si allineano le procedure per i servizi fiduciari previsti dal Regolamento europeo eIDAS e quelli più specificatamente italiani (SPID e conservazione).

Ringrazio Andrea Caccia per la segnalazione di questa importante notizia.

sabato 14 gennaio 2017

Privacy e Registro delle opposizioni

Oggi la normativa italiana vigente prevede che le chiamate telefoniche per finalità di marketing diretto possano essere fatte ai numeri disponibili su elenchi pubblici (l'elenco del telefono, per intenderci), a meno che l'utente non eserciti il "diritto di opt-out", iscrivendosi al Registro delle opposizioni (io l'ho fatto, ma ancora troppe volte ricevo telefonate indesiderate).

Il nuovo Regolamento europeo sulla privacy (GDPR) non prevede questa possibilità. Quindi, un'azienda che vuol fare marketing diretto telefonico deve lavorare con il consenso degli interessati.

Rimarrà però il solito alibi: "il numero di telefono, forse, non è un dato personale". A questo problema dovrà rispondere, se mai vedrà la luce, il futuro Regolamento ePrivacy, recentemente proposto dalla Commissione europea.

Ringrazio Pierfrancesco Maistrello, che mi ha confermato la mia conclusione, approfondendola.

Privacy: La notificazione al Garante dei trattamenti

Rileggendo il GDPR (Regolamento europeo sulla privacy), mi sono accorto che non ho trovato traccia della "notificazione al Garante" di alcuni trattamenti, prevista dalla precedente Direttiva 95/46/CE.

In effetti, la notificazione risulta un concetto superato ed è sostituito con la Valutazione d'impatto sulla protezione dei dati o Data protection impact assessment (spesso anche indicata con i termini privacy impact assessment o PIA).

Infatti, nei considerando del Regolamento (dall'89) si legge che la notificazione "non ha sempre contribuito a migliorare la protezione dei dati personali".

A questo punto, quindi, i titolari saranno tenuti ad effettuare delle PIA per i trattamenti più critici e, nel caso dovessero rilevare rischi molto elevati, chiedere di propria iniziativa un parare al Garante (supervisory authority).

Ciascun Stato, infine, potrà chiedere che alcuni trattamenti non siano attivati senza il parere favorevole del Garante.

Ringrazio Pierfrancesco Maistrello di Vecomp, perché è lui che mi ha fornito la risposta al mio dubbio.

Atti sottoscritti con Firma Elettronica Avanzata

Andrea Caccia mi ha segnalato il suo articolo dal titolo "Atti sottoscritti con Firma Elettronica Avanzata: il rischio nullità":
- https://www.linkedin.com/pulse/atti-sottoscritti-con-firma-elettronica-avanzata-il-rischio-caccia.

Tratta della validità legale della firma elettronica avanzata e del rischio nullità nel caso in cui un soggetto non fosse in grado, in caso di contenzioso, di dimostrare che la propria soluzione risponda ai requisiti previsti dalle regole tecniche.

È un articolo piuttosto tecnico sulla validità delle FEA dopo la pubblicazione di eIDAS e del nuovo Codice dell'amministrazione digitale. Per chi non è addetto ai lavori, però, questo articolo ricorda che purtroppo l'uso di "nuove tecnologie" ha dei rischi, visto che la legislazione non è (ancora) stabile.

Proposta di nuovo Regolamento privacy sulle comunicazioni elettroniche

Fornisco la notizia (e ringrazio Pierfrancesco Maistrello di Vecomp) che la Commissione Europea vuole proporre un nuovo Regolamento, da affiancare al GDPR (Regolamento europeo sulla privacy) e sostitutivo della Direttiva 2002/58 (Direttiva ePrivacy, nota soprattutto per il Provvedimento sui cookies), in merito alle comunicazioni elettroniche:
- https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications.

Come al solito, i tempi sono incerti e il testo finale potrà essere molto diverso da quello ora proposto. Come per il GDPR, fioccheranno corsi (a pagamento) e consulenti agitati. Io, come già feci per il GDPR (ma senza molto successo), consiglio di aspettare la pubblicazione del testo definitivo.

Per chi vuole approfondire un po' di più sul contenuto della proposta, segnalo questo articolo di Europrivacy:
- http://europrivacy.info/it/2017/01/12/italiano-pronta-la-proposta-di-regolamento-su-privacy-e-comunicazioni-elettroniche/.

Infine, un mio lettore anonimo mi ha segnalato 6 comunicati stampa, tutti del 10 gennaio, della Commissione Europea e pertinenti proposte su privacy, data economy e servizi elettronici ai cittadini. Sia io che il mio lettore preferiamo non dedicare troppo tempo a proposte che poi non si sa bene in che tempi e in che modi finiranno. Però magari altri sono curiosi:
- http://europa.eu/rapid/press-release_IP-17-5_en.htm;
- http://europa.eu/rapid/press-release_IP-17-16_en.htm;
- http://europa.eu/rapid/press-release_IP-17-23_en.htm;
- http://europa.eu/rapid/press-release_MEMO-17-6_en.htm;
- http://europa.eu/rapid/press-release_MEMO-17-15_en.htm;
- http://europa.eu/rapid/press-release_MEMO-17-17_en.htm.

mercoledì 11 gennaio 2017

Procure e fornitori IT privati

La notizia è di fine novembre 2016. Se ho capito correttamente, nel 2015 la Procura di Trieste ha un guasto ai propri server usati per le intercettazioni e chiede aiuto per il recupero di un file al fornitore del servizio di assistenza informatica (Area S.p.A.). La referente di Area S.p.A. riesce a recuperare il file dal proprio pc aziendale. Dopo aver ringraziato, la Procura riflette sul fatto che copie dei file delle intercettazioni sono conservate su pc di persone esterne alla Procura stessa e avvia delle indagini:
- http://milano.corriere.it/notizie/cronaca/16_novembre_29/intercettazioni-pm-server-procure-all-azienda-informatica-5593741c-b5ac-11e6-a2c1-e1ab33bf33ae.shtml.

Due giorni dopo, il Ministero della giustizia invia una circolare alle Procure per chiedere di "alzare la soglia di allerta sulla sicurezza dei sistemi informativi delle intercettazioni":
- http://milano.corriere.it/notizie/cronaca/16_novembre_30/intercettazioni-ministero-pm-80bf5490-b678-11e6-9fa1-de32925f0429.shtml.

A gennaio si tiene presso il ministero un incontro tra i capi delle Procure per discutere del problema e vengono fuori delle preoccupazioni da parte dei presenti in merito all'accesso da remoto dei fornitori privati, alla mancanza di personale interno qualificato presso le Procure, alla mancanza di un albo delle ditte qualificate. Un procuratore si è anche vantato di aver protetto la propria infrastruttura con un "apposito firewall":
- http://milano.corriere.it/notizie/cronaca/17_gennaio_11/intercettazioni-capi-procure-1ec86626-d76d-11e6-94ea-40cbfa45096b.shtml.

Premetto che in passato ho avuto modo di conoscere Area S.p.A. e posso solo dire che: a) ho apprezzato la dichiarazione di Andrea Formenti; b) so che hanno molto a cuore la sicurezza dei dati. Di più non posso dire.

La ragione per cui presento questo caso è che rende pubblico un classico rapporto cliente-fornitore.

Da quanto scritto sui giornali, escludo che Area S.p.A. facesse raccolta dati per finalità di profilazione o simili. Se così fosse, la referente di Area S.p.A. non avrebbe palesato la possibilità di recuperare i dati.

Quindi cosa rimane? Immagino questo: il fornitore dice al cliente che sarebbe opportuno investire anche in un sistema di backup; il cliente non ritiene invece opportuna questa misura (magari, addirittura, avrà chiesto di toglierla dall'offerta per ridurre i costi); il fornitore, però, sa bene che alla prima difficoltà il cliente gli creerà dei problemi e quindi si arrangia, facendo backup su un'infrastruttura sicura (di questo ne sono certo), anche se per questo deve ricorrere ad un barbatrucco.

E, alla prima difficoltà, il cliente ha creato comunque problemi. Dimostrando anche elevata incompetenza: pensa di risolvere il problema dei backup con "apposito firewall" o con un albo di fornitori; non si chiede perché il fornitore avesse accesso incondizionato da remoto (anche se immagino perché nessuno della Procura avesse voglia di aprire e chiudere porte del firewall per consentire le manutenzioni in emergenza anche di notte); pensa di risolvere il problema, pochi giorni dopo, inviando una circolare (7 pagine che risolvono i problemi) nonostante le medesime procure abbiano chiesto numerose proroghe per adeguarsi alle prescrizioni del 2013 (!) del Garante privacy in materia di sicurezza.

Non so se Area S.p.A. ha comunicato preventivamente alla Procura di Trieste le carenze di sicurezza riscontrate (inclusa la mancanza di un sistema di backup "a regola d'arte"), ma sono convinto che finora la carenza di soldi e di competenze ha dettato le scelte dei clienti. E la colpa, come sempre e nonostante tutto, è dei fornitori.

martedì 10 gennaio 2017

Industria 4.0

Con la Legge di stabilità 2017 (Legge, 11/12/2016 n° 232, G.U. 21/12/2016 per chi volesse cercarla su www.normattiva.it), il Governo ha prorogato un "superammortamento" e stabilito un "iperammortamento" per i beni digitali.

Queste facilitazioni sono applicabili anche a "software, sistemi, piattaforme e applicazioni per la protezione di reti, dati, programmi, macchine e impianti da attacchi, danni e accessi non autorizzati". Questa mi pare una buona iniziativa.

Tutti gli altri investimenti di tipo informatico non sono collegati ad una garanzia di sicurezza informatica e forse questa poteva essere un'occasione per migliorare il livello di sicurezza informatica delle nostre imprese.

Segnalo due articoli di sintesi di Altalex:
- http://www.altalex.com/documents/news/2016/10/17/legge-di-stabilita-2017;
- http://www.altalex.com/documents/news/2016/12/27/legge-di-bilancio-2017-la-tabella-delle-novita.

Ringrazio Edmea De Paoli del TUV Nord per le riflessioni fatte su questa Legge.

venerdì 6 gennaio 2017

Alternative a TrueCrypt

Sophie Hunt mi ha scritto perché in alcuni post ho citato TrueCrypt senza poi fornire aggiornamenti.

Lei stessa si segnala un articolo in cui ne è spiegata la storia e ne sono fornite, con descrizione dei pro e contro, alternative (VeraCrypt, Bitlocker, DiskCryptor, Ciphershed, FileVault 2 e LUKS):
- https://www.comparitech.com/blog/information-security/truecrypt-is-discoutinued-try-these-free-alternatives/.

Misurazioni e pulizie

In questi giorni, mi hanno raccontato un esempio di misurazioni fallaci che mi sembra interessante.

Il personale delle pulizie degli hotel è spesso misurato unicamente in base al tempo (molto basso) impiegato a pulire le camere. Questo però ha creato problemi non tanto di pulizia (gli addetti sono comunque dei professionisti), ma di manutenzione, visto che il personale, considerate le misure, non aveva tempo per segnalare i problemi riscontrati. E i consulenti e gli auditor che sono spesso in albergo sono ben consapevoli di questo problema. In effetti mi è sempre sembrato stupido trovare camere bellissime e ben pulite, ma con lampadine rotte, gli scarichi lenti, le porte cigolanti, le docce piene di calcare.

Alcuni hotel hanno finalmente capito che la velocità e la "misura esatta" non sono tutto, anche se costituiscono un parametro da considerare insieme ad altri (per esempio, le lamentele degli ospiti relative a problemi non segnalati).

Nuova ISO/IEC 27004:2016 sulle misurazioni della sicurezza

È stata pubblicata la ISO/IEC 27004:2016, dal titolo "Information security management -- Monitoring, measurement, analysis and evaluation":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=64120.

Questa norma sostituisce la precedente versione del 2009 e mi trova maggiormente soddisfatto.

In particolare, è stata ridotta moltissimo la parte teorica. In questo modo è più facile interpretare il requisito della ISO/IEC 27001 e cogliere indicazioni su come applicarlo.

Ancora più importanti sono i 35 esempi finali, che forniscono un valido punto di partenza per chi vuole attuare un sistema di gestione per la sicurezza delle informazioni. Ne approfitto per dire che ho apprezzato moltissimo l'idea di dedicare più di metà della norma agli esempi, piuttosto che alla teoria (io poi ho contribuito con qualche esempio, poi migliorato e inserito nel documento finale dal gruppo di lavoro).

In particolare molti di questi esempi suggeriscono un approccio meno fantasioso (e più utile) di alcuni che ho visto negli anni, che prevedevano troppi numeri da presentare alla Direzione, senza interrogarsi sulla loro reale validità. Qui si dimostra che non è necessario seppellire un'azienda sotto troppi numeri, soprattutto quando è di dimensioni ridotte.

Ricordo infine due cose:
1- questa è una linea guida e quindi può essere presa come punto di partenza per riflettere sul tema delle misurazioni della sicurezza; non può essere usata come insieme di requisiti da attuare per la certificazione ISO/IEC 27001 (anche perché gli unici requisiti da attuare sono quelli della ISO/IEC 27001 stessa, non altri);
2- le misurazioni non possono né devono sostituire la conoscenza reale di un'organizzazione; né i manager, né i consulenti, né gli auditor devono dare troppa enfasi a questo aspetto.