sabato 29 giugno 2019

NIST NISTIR 8228 su IoT

Il NIST ha pubblicato il documento NISTIR 8228 dal titolo "Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks":
- https://csrc.nist.gov/publications/detail/nistir/8228/final.

Tratta dell'IoT in modo generale, senza approfondire i campi di applicazione (industriale, automobili, sanità, eccetera).

A mio pare è più interessante la parte analitica sui rischi, mentre le misure di sicurezza sono espresse in modo troppo generale e approfondimenti li avrei graditi.

lunedì 24 giugno 2019

Mio articolo su fornitori e GDPR

Segnalo questo mio articolo dal titolo "Fornitori, valutazione del rischio e adeguamento privacy: le linee guida":
- https://www.cybersecurity360.it/legal/privacy-dati-personali/fornitori-valutazione-del-rischio-e-adeguamento-privacy-le-linee-guida/.

Ho proposto un metodo semplice per affrontare la questione dei fornitori in relazione al GDPR e una critica all'uso dei questionari purtroppo sempre più diffusi.

sabato 22 giugno 2019

Raccomandazione UE sulla cibersicurezza nel settore dell'energia

Segnalo questo articolo dal titolo "Cybersecurity nel settore energetico, ecco le raccomandazioni della Commissione europea":
- https://www.agendadigitale.eu/infrastrutture/cybersecurity-nel-settore-energetico-ecco-le-raccomandazioni-della-commissione-europea/.

Mi sembra interessante osservare che questa "Raccomandazione UE 2019/553 della Commissione del 3 aprile 2019 sulla cibersicurezza nel settore dell'energia" presenta indicazioni che potrebbero essere considerate anche in altri settori e nell'ambito industriale più generale.

Il link dell'articolo riporta alla raccomandazione in italiano. La pagina con le versioni nelle altre lingue dell'Unione è questa:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32019H0553.

Codice di condotta sulle valutazioni commerciali

Il Garante ha approvato il "Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali", ossia il codice che riguarda le aziende che analizzano le caratteristiche delle aziende per elaborare valutazioni a scopo commerciale:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9119868.

Ho riscritto la definizione di "attività di informazione commerciale", sperando di essere stato chiaro. Ad ogni modo, è possibile usare la definizione "ufficiale". Inizialmente, erroneamente, pensavo si trattasse dei contact centre. La lettura mi ha smentito.

I codici di condotta sono regolati dall'articolo 40 del GDPR. Interessante (come anche da comunicato stampa del Garante) è il ruolo dell'Organismo di monitoraggio (OdM), previsto dall'articolo 41 del GDPR, che dovrà essere valutato in senso all'EDPB.

Ho avuto modo di rileggere il GDPR su queste cose e mi è sembrato strano il meccanismo degli OdM (unici per ciascun codice di condotta), molto differente da quello relativo agli organismi di certificazione (che sono in concorrenza tra loro e controllati da Accredia). Ci sarebbe materia per riflettere.

Per finire, visto che potrei aver scritto sciocchezze (vi prego di segnalarmele), invito a leggere direttamente la newsletter del Garante:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9120035

martedì 18 giugno 2019

Presentazione "Gli standard EN 50600 e ISO/IEC TS 22237 per i data center"

Il 6 giugno ho tenuto una presentazione per un BCI Forum a Milano dal titolo "Gli standard EN 50600 e ISO/IEC TS 22237 per i data center".

Le slide sono disponibili anche dal mio sito:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Presentazione "Come migliorare le proprie competenze"

Il 24 maggio ho tenuto una presentazione per una sessione di studio di AIEA a Milano dal titolo "Come migliorare le proprie competenze".

Le slide sono disponibili anche dal mio sito:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Credo che i soci AIEA possano vedere il video. Gli altri potranno anche farne a meno senza problemi.

Strumenti per la sicurezza applicativa

Credo che gli strumenti per la sicurezza delle applicazioni software siano tra i meno considerati, anche se oggi sempre più necessari.

Tutto ha un'origine storica: inizialmente la sicurezza era solo una questione di infrastruttura informatica, non delle applicazioni. Per quanto oggi tutti siano consapevoli che non è più così (e da tempo) c'è ancora carenza di reale competenza, anche sugli strumenti che si possono utilizzare. Come consulente e auditor chiedo sempre se sono usati strumenti per il controllo del software: quasi mai sono usati strumenti per il controllo della sicurezza, qualche volta sono usati quelli per il controllo della qualità e spesso non è usato niente (anzi... sono guardato con sorpresa).

Non mi proclamo esperto e quindi non so giudicarlo appieno, ma segnalo questo articolo dal titolo "10 Hottest DevSecOps Tools You Need To Know About":
- https://www.crn.com/slide-shows/security/10-hottest-devsecops-tools-you-need-to-know-about/1.

Dovrebbe essere utile almeno come punto di partenza.

sabato 15 giugno 2019

Caso pratico di phishing di successo: i 15 milioni di Tecnimont.

Fabrizio Monteleone di DNV GL mi ha segnalato questo articolo dal titolo "Truffa del Ceo alla Tecnimont: falsa mail del capo fa partire un bonifico da 18 milioni di dollari":
- https://milano.fanpage.it/truffa-del-ceo-alla-tecnimont-falsa-mail-del-capo-fa-partire-un-bonifico-da-18-milioni-di-dollari/.

Il caso di phishing mirato (o "truffa del CEO") è da manuale e vale la pena ricordarla come caso di studio. Non è la prima (ne ho trovate altre con una semplice ricerca su Qwant) e per questo andrebbe usata come esempio per tutti.

venerdì 14 giugno 2019

Pubblicato il Cybersecurity Act

Franco Vincenzo Ferrari di DNV GL mi ha segnalato la pubblicazione del Cybersecurity Act sulla Gazzetta ufficiale dell'Unione europea.

Ora l'atto in italiano si chiama ufficialmente "Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»)" ed è scaricabile da qui:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32019R0881.

Hanno tradotto con il brutto termine "cibersicurezza" e non con il termine sbagliato di "sicurezza cibernetica". C'è speranza.

Qualche mese fa avevo già segnalato un articolo (che usa malamente il termine "cibernetico" e non approfondisce gli schemi di certificazione dei prodotti):
- https://www.agendadigitale.eu/sicurezza/cybersecurity-act-ecco-cosa-ci-aspetta-dopo-la-direttiva-nis/.

Avevo anche segnalato il comunicato stampa del Consiglio della UE, con alcuni punti significativi del provvedimento:
- https://www.consilium.europa.eu/it/press/press-releases/2018/12/19/eu-to-become-more-cyber-proof-as-council-backs-deal-on-common-certification-and-beefed-up-agency/.

mercoledì 12 giugno 2019

NIST Secure Software Development Framework (SSDF)

Il NIST ha pubblicato la bozza di un documento dal titolo "White Paper: Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)":
- https://csrc.nist.gov/publications/detail/white-paper/2019/06/11/mitigating-risk-of-software-vulnerabilities-with-ssdf/draft.

Temevo fosse il solito documento "fai valutazione del rischio e arrangiati (noi autori, in realtà, non sappiamo niente di tecnologia, ma possiamo scrivere tomi su tomi sulla valutazione del rischio e sui processi)". Invece ho trovato alcuni elementi interessanti, anche se non c'è tantissima tecnologia. Però la sintesi aiuta.

In bibliografia ho trovato il riferimento ad un documento dal titolo "Fundamental Practices for Secure Software Development: Essential Elements of a Secure Development Life Cycle Program":
- https://safecode.org/news/safecode-publishes-fundamental-practices-secure-software-development-essential-elements-secure-development-life-cycle-program/.

Un altro documento abbastanza breve (38 pagine), in cui mi pare ci siano consigli pratici che non trovo facilmente in giro.

E questo documento mi ha fornito il link al "SEI CERT Coding Standards":
- https://wiki.sei.cmu.edu/confluence/display/seccode/SEI+CERT+Coding+Standards.

Penso non ci siano scuse per chi scrive in C, C++, Java, Perl e Android.

Se posso segnalare dei difetti: i siti, alla fine, si concentrano soprattutto sulla parte di codifica e poco sulla parte funzionale e su quella architetturale.

Mio articolo sulla ISO/IEC 27552 sui sistemi di gestione privacy

Segnalo la pubblicazione del mio articolo "Gestione dei dati personali, ecco le novità della norma ISO/IEC 27552":
- https://www.agendadigitale.eu/sicurezza/privacy/gestione-dei-dati-personali-ecco-le-novita-della-norma-iso-iec-27552/.

Devo dire che, rileggendolo, non mi sembra scritto bene. Spero che almeno sia chiaro.

venerdì 7 giugno 2019

GDPR e questioni aperte

Segnalo questo interessante articolo di Agenda Digitale dal titolo "GDPR, i rinvii alla Corte di Giustizia Ue: i principali nodi da sciogliere":
- https://www.agendadigitale.eu/sicurezza/privacy/gdpr-i-rinvii-alla-corte-di-giustizia-ue-i-principali-nodi-da-sciogliere/.

L'articolo elenca i casi ora in esame presso la Corte di Giustizia UE. Questi, pertanto, ci forniscono alcune indicazioni su alcuni dubbi interpretativi e su cosa ci potrebbe aspettare in futuro.

giovedì 6 giugno 2019

PSD2

Un articolo di ictBusiness.it mi ha ricordato l'importanza che la Direttiva sui servizi di pagamento potrebbe avere. Infatti, tra le altre cose, è richiesto ai negozi virtuali di prevedere l'autenticazione forte dei clienti. L'articolo di ictBusiness.it si concentra su questo aspetto e sul fatto che ancora molte imprese sono in ritardo con gli adeguamenti dei propri siti di e-commerce:
- http://www.ictbusiness.it/cont/news/acquisti-online-aziende-europee-in-ritardo-sulle-nuove-norme/43134/1.html.

La PSD2 ha ulteriori impatti. A questo proposito ho trovato questo articolo su Agenda Digitale molto completo (anche troppo, per le mie competenze):
- https://www.agendadigitale.eu/cittadinanza-digitale/pagamenti-digitali/psd2-quello-ce-sapere-norme-interchange-fee-sicurezza/.

mercoledì 5 giugno 2019

Topi e indisponibilità

Sandro Sanna mi ha segnalato questa notizia dal titolo "Topi rosicchiano la fibra, mezza provincia di Belluno rimane senza web":
- https://www.ilmattino.it/napoli/cronaca/topi_fibra_provincia_senza_web_belluno_oggi_ultime_notizie-4536425.html

Non un notizione, ma ci ricorda di controllare, nell'ambito della manutenzione, la derattizzazione (che può anche prevedere l'uso di vernici particolari sui cavi). Anche questa è sicurezza delle informazioni...

martedì 4 giugno 2019

GDPR: la crittografia non basta

Segnalo questo breve articolo di Alessandro Vallega dal titolo "GDPR e sicurezza, vogliamo dirci la verità? L'encryption non basta":
- https://www.cybersecurity360.it/soluzioni-aziendali/gdpr-e-sicurezza-vogliamo-dirci-la-verita-lencryption-non-basta/.

In poche e buone parole dice quello che emerge da questi 12 mesi di attuazione del GDRP: per pigrizia e incompetenza, in tanti richiedono l'applicazione della crittografia (in modo generico, senza indicare né come né dove) solo perché citata (non richiesta obbligatoriamente!) dal GDPR, senza pensare ad altre misure probabilmente prioritarie.

Sebbene conosca personalmente Alessandro, ho avuto notizia di questo articolo dalla newsletter del Clusit del 31 maggio 2019.

domenica 2 giugno 2019

VERA per privacy - versione gamma

Ho aggiornato il VERA per privacy, usando i controlli della ISO/IEC 27552 al posto di quelli della ISO/IEC 29151.

Infatti la ISO/IEC 29151 è per soli titolari, mentre la ISO/IEC 27552 è rivolta a titolari e responsabili, oltre ad essere meglio organizzata, grazie anche alle esperienze accumulate nei 2 anni di utilizzo.

La ISO/IEC 27552 è al momento in fase di final draft, però i controlli finali saranno quelli (al limite mi sono sbagliato con la numerazione).

Per la versione GAMMA, grazie a: Nicola Nuti, Simona Persi, Chiara Ponti.

Il VERA 4.4 privacy GAMMA è scaricabile da qui:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Dopo l'estate vorrei creare un VERA 5.0 per privacy e per 27001 (vorrei cercare di fare un unico file, in modo che uno lo possa usare per la sola ISO/IEC 27001, la sola privacy o per tutte e due contemporaneamente). Quindi: chiunque ha suggerimenti è pregato di farmeli avere.

PS: sono consapevole che "versione gamma" non è mai usata (a meno di eccezioni che non conosco), ma dopo la versione beta ho trovato questa soluzione.

Plugin QWAC per Firefox

Glauco Rampogna (professionista della sicurezza delle informazioni e della privacy) mi ha segnalato che AgID ha pubblicato un plug-in per Firefox per validare i Qualified Website Authentication Certificates (QWAC):
- https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/2019/05/31/The+Agency+for+Digital+Italy+brings+online+security+to+the+next+level.

Il nome divertente (QWAC) vuol dire che per Regolamento (e non per fiducia "nel sistema") è possibile validare i certificati SSL di un sito web.

Glauco ha commentato: "per una volta pare che siamo i primi".

Per il resto, io ho installato il plug-in e prossimamente vedrò come lavora.

Mio articolo su ITIL 4

E' stato pubblicato su ICT Security magazine il mio articolo dal titolo "ITIL 4 Foundation":
- https://www.ictsecuritymagazine.com/articoli/itil-4-foundation/.

Nulla in più di quanto avevo già scritto sul blog.

ENISA Industry 4.0 - Cybersecurity Challenges and Recommendations

Sandro Sanna mi ha segnalato la pubblicazione del breve (13 pagine) studio di ENISA dal titolo "Industry 4.0 - Cybersecurity Challenges and Recommendations":
- https://www.enisa.europa.eu/publications/industry-4-0-cybersecurity-challenges-and-recommendations.

Le raccomandazioni (riassunte da me) sono:
- allineare le competenze in materia di IT e OT (segnalo che è scritto che le persone in ambito OT devono adattarsi alle innovazioni, me, ma non è esplicitato che gli "esperti" di IT devono capire le caratteristiche dell'OT, per esempio in termini di sicurezza delle persone e lunghezza del ciclo di vita dei prodotti);
- prestare attenzione alle regole stabilite (solitamente incomplete) e alla necessità di fornire fondi alla sicurezza;
- incoraggiare con incentivi la sicurezza;
- prestare attenzione ai prodotti per industria 4.0 perché il loro ciclo di vita è la composizione di quello dei prodotti IT e OT;
- chiarire le responsabilità tra gli attori di industria 4.0;
- prestare attenzione al fatto che gli standard in materia di industria 4.0 sono frammentati;
- gestire la sicurezza considerando tutta la filiera di fornitura;
- prestare attenzione all'interoperabilità e alla sicurezza dei prodotti industria 4.0.