venerdì 29 marzo 2019

Convenzione tra Garante privacy e Accredia (nulla di nuovo)

Il 20 marzo 2019, Garante privacy e Accredia hanno firmato un accordo di collaborazione:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9099558.

Se leggo correttamente, non avvia alcun schema di certificazione comeprev isto dal GDPR. Mette solo le basi affinché questo possa accadere in futuro. Infatti non sono stati ancora approvati schemi di certificazione a livello nazionale e dinanzi al Comitato Europeo per la Protezione dei Dati.

martedì 26 marzo 2019

Microsoft Threat Modeling Tool

Qualche tempo fa, Glauco Rampogna (professionista della sicurezza delle informazioni e della privacy) mi ha segnalato che lui usa, per lo sviluppo del software sicuro, il Microsoft Threat Modeling Tool:
- https://docs.microsoft.com/en-us/azure/security/azure-security-threat-modeling-tool.

Si tratta di un modello basato su quello STRIDE ed è orientato all'analisi delle applicazioni informatiche.

Consiglio la lettura di questo materiale messo a disposizione da Microsoft per ragionare sugli approcci di valutazione del rischio. Anche se questo MTM è dedicato allo sviluppo di software, i suoi principi possono essere facilmente estesi ad ambiti più ampi come i sistemi di gestione per la sicurezza delle informazioni e il GDPR. Da notare che qui non è prevista l'assegnazione di valori per calcolare un livello di rischio (penso sia necessario assegnare valori qualitativi; purtroppo stanno riemergendo auditor che ripropongono la folle idea di approcci quantitativi senza che però ne siano disponibili e consigliati pubblicamente, a differenza di approcci qualitativi o, come questo, che non sono né l'uno né l'altro).

Il caso delle password in chiaro di Facebook

A fine marzo è emersa la notizia che Facebook conservava le password dei propri utenti in chiaro. Per questo segnalo questo articolo di Wired:
- https://www.wired.com/story/facebook-passwords-plaintext-change-yours/.

La notizia ufficiale di Facebook:
- https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/.

Un commento, a mio parere molto interessante, su Twitter, che io intitolerei "Facebook is more secure than 99.9% of other websites":
- https://twitter.com/ErrataRob/status/1109557359360131072.

Non sono un fan di Facebook e, come molti sanno, il problema di Facebook è come usano i dati dei loro utenti.

Qui si è fatto grande clamore per una notizia fornita da Facebook stessa (che ha commissionato un'analisi tecnica dei propri sistemi, che ha evidenziato un errore tecnico del sistema di logging degli accessi) e non un bug scoperto da un "ricercatore indipendente" o evidenziato da una violazione dei dati.

Il caso della Boeing e del software

Credo sia nota a tutti la brutta notizia del Boeing dell'Ethiopian Airlines precipitato il 10 marzo 2019.

L'incidente, gravissimo, è stato originato da un bug del software. Incredibilmente i comandi del software non potevano essere contrastati da un'azione umana, contrariamente a quanto raccomandato per tutti gli impianti con impatto sulla sicurezza delle persone. Inoltre sembra che la correzione al bug fosse già disponibile, ma solo a pagamento.

Penso che ogni commento sia superfluo.

Un articolo sul fatto che i fix fossero a pagamento dal titolo "Doomed Boeing Jets Lacked 2 Safety Features That Company Sold Only as Extras":
- https://www.nytimes.com/2019/03/21/business/boeing-safety-features-charge.html.

Un'analisi sull'errore del software dal titolo "Storie di aerei caduti e del loro software":
- https://www.zeusnews.it/n.php?c=27193.

lunedì 25 marzo 2019

Rapporto di lavoro: incidenza dei comportamenti extralavorativi riprovevoli

Segnalo questo articolo di Altalex dal titolo "Rapporto di lavoro: incidenza dei comportamenti extralavorativi riprovevoli, anche anteriori":
- https://www.altalex.com/documents/news/2019/03/18/rapporto-di-lavoro-incidenza-dei-comportamenti-extralavorativi-riprovevoli-anche-anteriori.

Si tratta di un argomento che mi dà molto da pensare, dal punto di vista etico e da quello tecnico (i limiti imposti dal GDPR, la relazione tra comportamenti passati e quelli futuri).

sabato 16 marzo 2019

Rapporto Clusit 2019

Segnalo l'uscita (in occasione del Security summit a Milano) del Rapporto Clusit 2019 sulla sicurezza ICT in Italia:
- https://clusit.it/rapporto-clusit/.

Il Rapporto è in realtà una doppia pubblicazione. La prima è il rapporto vero e proprio con dati e analisi sugli eventi del 2018 e sulle previsioni per il 2019. Parere personale: la quantità di dati è enorme ma, alla fine, non aiutano a migliorare la sicurezza informatica (qualcuno potrebbe supporre che i "non esperti" potrebbero interessarsi a questi numeri e quindi avviare dei processi di miglioramento, ma la mia esperienza mi dice di no).

La seconda parte del rapporto è una raccolta di articoli, alcuni decisamente interessanti.

mercoledì 13 marzo 2019

Libro "Consapevolmente cloud"

E' stato pubblicato il libro "Consapevolmente cloud", a cura della Oracle Community for Security e con l'obiettivo di presentare alcuni aspetti utili alle organizzazioni che vogliono usare servizi cloud:
- https://consapevolmentecloud.clusit.it.

Lo segnalo perché ho partecipato come revisore. Non mi pare che il libro abbia contenuti particolarmente innovativi rispetto alle numerose pubblicazioni già a disposizione. Qualche spunto però l'ho colto e mi ha fatto piacere avere la possibilità di leggerlo e commentarlo in anteprima.

lunedì 11 marzo 2019

Sweep 2018: l'analisi dei Garanti sull'attuazione del GDRP

I Garanti europei hanno condotto nell'ultimo quadrimestre del 2018 un'indagine "a tappeto" sullo stato di attuazione del GDPR. Il nostro Garante ha pubblicato una sintesi dei risultati:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9088164.

Si scopre che, in realtà, l'indagine non è veramente "a tappeto", visto che è stata condotta su soggetti selezionati. In Italia sono stati selezionati Regioni e Province autonome, nonché le rispettive società controllate. I risultati non sono particolarmente soprendenti, ma forniscono un'indicazione sui punti considerati più importanti dalle autorità Garanti.

martedì 5 marzo 2019

Articolo sul Cybersecurity Act

A dicembre è stato raggiunto l'accordo per il Regolamento europeo detto "Cybersecurity act".

Questo Regolamento è importante perché:
- affida ad ENISA un ruolo più operativo, in particolare per quanto riguarda la gestione degli incidenti;
- introduce lo schema di certificazione europeo per i prodotti e i servizi informatici (che dovrà comunque essere ulteriormente specificato).

Su questo tema, segnalo questo articolo (anche se usa malamente il termine "cibernetico") dal titolo "Cybersecurity Act, ecco cosa ci aspetta dopo la Direttiva NIS":
- https://www.agendadigitale.eu/sicurezza/cybersecurity-act-ecco-cosa-ci-aspetta-dopo-la-direttiva-nis/.

Segnalo che non approfondisce gli schemi di certificazione dei prodotti. Oggi, come indicato, ne sono in vigore alcuni, ma basati su schemi diversi; in particolare in Italia sono usati i Common criteria (ISO/IEC 15408), mentre in altri Paesi sono stati introdotti altri requisiti. Sarebbe interessante fosse condotta un'analisi su questi schemi (nel caso fosse già stata fatta, invito a segnalarmela).