lunedì 30 settembre 2019

Perimetro di sicurezza nazionale cibernetica

Premetto che mi piacerebbe essere contraddetto rispetto a quello che qui scrivo.

E' stato approvato il Decreto Legge 105 del 2019 con titolo "Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica", noto anche come il decreto sul "Perimetro di sicurezza nazionale cibernetica":
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legge:2019-09-21;105!vig=

Ricordo che si tratta di un Decreto Legge e pertanto dovrebbe essere convertito in Legge entro 3 mesi. La conversione potrebbe avvenire con modifiche o non avvenire proprio. E' pertanto necessario prestare le dovute cautele (e magari ristudiare il testo quando sarà definitivo).

Non l'ho letto (anche perché ci sono troppi incroci con altre normative e non vorrei che poi fra 3 mesi questi siano cambiati), ma ho letto con attenzione l'articolo di Stefano Mele:
- https://www.agendadigitale.eu/sicurezza/sicurezza-nazionale-ict-perche-il-decreto-sul-perimetro-fara-la-differenza/.

Giancarlo Caroti (grazie!) mi ha anche segnalato che ora abbiamo anche la brochure istituzionale:
- https://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/la-rete-diplomatica-promuove-il-cyber-made-in-italy.html.

Detto questo, il DL era già stato proposto qualche tempo fa (precedente Governo) come DDL. Ora sembra che si voglia imprimere maggiore velocità al tema e quindi si è preferita la strada del DL, in modo da avere la Legge entro 3 mesi.

Il DL prevede siano indicate le entità che costituiscono il "Perimetro di sicurezza nazionale nel cyberspazio", in modo simile a quanto fatto per la Direttiva NIS che richiedeva fossero identificati gli operatori di servizi essenziali (OSE). Qui, evidentemente, si pensa di estendere l'insieme delle organizzazioni significative da un punto di vista informatico (io, poi, non capisco le differenze tra gli OSE e le organizzazioni previste dal "perimetro", ma non credo sia così importante).

A queste organizzazioni, come già fatto per gli OSE, si impone l'attuazione del Framework per la Cybersecurity del CINI, che ho già criticato e che continuo a non considerare come valido riferimento (l'uso del framework del CINI non è esplicitato, ma credo si nasconda tra i riferimenti ad altre normative.

Questo vuol dire che è esteso l'obbligo (anche con pesanti sanzioni) di applicare delle misure "minime" di sicurezza ad un numero maggiore di organizzazioni rispetto a quelle previste dalla Direttive NIS. Per quanto io critichi lo schema del CINI, ritengo che sia un bene.

Si aggiunge un meccanismo di segnalazione di incidenti. Questa ossessione per la segnalazione degli incidenti non la capisco molto bene. Infatti, per lo meno a livello di grande pubblico, non mi pare di aver visto nessun ritorno utile per la prevenzione degli attacchi (i bollettini dei CIRT italiani nulla dicono in merito; gli unici che mi sembra facciano riferimento a incidenti segnalati sono gli svizzeri di Melani). Ricordo che l'obiettivo dovrebbe essere proprio la prevenzione degli attacchi.

Il DL stabilisce un centro di valutazione dei prodotti informatici (il Centro di Valutazione e Certificazione Nazionale, o CVCN, del MiSE), come peraltro già previsto, seppur parzialmente, dal Cybersecurity Act (e di cui vorrei capire le relazioni con il già esistente OCSI, http://www.ocsi.isticom.it/).

Il DL dà la possibilità al Governo di spegnere una rete in caso di grave incidente. Spero di non vedere mai attuata questa opzione.

Infine introduce la golden power in alcuni settori. Questo non è tema su cui posso dirmi competente, ma permetterebbe di orientare alcuni acquisti in modo da evitare interferenze da parte di altre entità (al momento l'attenzione è concentrata sulla possibilità che la Cina, con il monopolio degli apparati 5G, possa spiare le nostre comunicazioni; credo però che questa misura avrà ulteriori e significativi impatti).

Lascio in conclusione una nota formale. Purtroppo sembra che la traduzione pigra di cyber (usato solo come prefisso) con "cibernetica" (che è un'altra cosa) sia diventata la traduzione ufficiale. Queste sono cose che mi lasciano molto sconcertato.

Mio articolo: I rischi della percezione

Ho scritto questo articolo dal titolo "I rischi della percezione":
- https://www.safetysecuritymagazine.com/articoli/i-rischi-della-percezione/.

Si tratta di alcune riflessioni nate leggendo un libro molto interessante.

Note spese: dematerializzazione e conservazione elettronica

In materia di dematerializzazione delle note spese, Luca De Grazia mi ha segnalato la risposta dell'Agenzia delle Entrate numero 388 del 20 settembre 2019. Le risposte della AE si trovano qui:
- https://www.agenziaentrate.gov.it/portale/web/guest/normativa-e-prassi/risposte-agli-interpelli/interpelli.

Un sunto si trova qui:
- https://www.edotto.com/articolo/note-spese-trasfertisti-possibile-la-conservazione-elettronica.

Mi pare di capire, insomma, che venga richiesto un sistema di conservazione.


Però... ho trovato un articolo più critico e mi pare corretto consultarlo:
- https://www.studiofailla.com/note-spese-digitali-e-fisco/.

Un articolo su una precedente risposta dell'Agenzia delle Entrate si trova qui:
- https://www.leggioggi.it/2017/07/31/note-spese-conservazione-diventa-anche-solo-elettronica/.

Mi pare utile seguire questo tema, in quanto stabilisce le basi della conservazione dei documenti, non solo delle note spese.

giovedì 26 settembre 2019

Istruzioni in caso di attacco ransomware

Un mio amico è stato colpito dal ransomware NESA. Ho chiesto aiuto a Glauco Rampogna, soprattutto per orientarmi nella marea di articoli e strumenti disponibili.

Mi sembra giusto condividere (anche per ricordarmene) la sua risposta.

"Se l'intenzione è di rimuovere il ransomware, ci sono molti tool (io uso Malwarebytes), ma per decifrare i files purtroppo non posso esserti di aiuto immediato, a quanto pare non è stata ancora trovata la chiave di Nesa.

Nesa è una variante del Ransomware DJVU/STOP su cui i ricercatori stanno lavorando:
- https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/?p=4442422.

Per recuperare i file, o si hanno copie di backup o shadow, oppure è necessario salvare tutti i files cifrati e attendere la decifratura. Alcuni siti sono aggiornati con le varianti decifrate. Ad esempio:
- https://www.nomoreransom.org/;
- https://noransom.kaspersky.com/.

Per verificare se è uno scherzo (quindi si vedono i file con estensione .nesa, ma in realtà un altro cryptolocker), si possono inviare due campioni su questi siti:
- https://www.nomoreransom.org/crypto-sheriff.php;
- https://id-ransomware.malwarehunterteam.com/index.php".

Non mi resta che ringraziare Glauco.

PS: un altro mio amico mi ha scritto che qualcuno potrebbe pensare che il "mio amico" sono in realtà io. Non è così. Ricordo che in quel caso si dice "mio cugino", non "mio amico".

lunedì 23 settembre 2019

Codice di condotta privacy per i sistemi IT per informazioni creditizie

Chiara Ponti degli Idraulici della privacy ha segnalato che è stato pubblicato il "Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9141941.

Innanzi tutto vedo che stanno uscendo questi codici di condotta previsti dal GDPR. Non mi pare sia stato stabilito un meccanismo per la loro certificazione, ma almeno ci sono e questo è un bene.

Mi pare un po' curioso che vengano pubblicati codici di condotta per la gestione dei sistemi IT in un settore specifico e non più generali. Forse però è questo che il Garante ha avuto come proposta (anche per il rinnovo dei codici preesistenti) e questo può approvare.

Speravo in qualcosa di più interessante, da cui ricavare indicazioni applicabili ad altri ambiti. Invece sono rimasto deluso. Elenco i punti che ho sottolineato:
- come unica misura tecnica precisa, si specifica che "All'atto del ricevimento dei dati, il gestore verifica la loro congruità attraverso controlli di carattere formale e logico"; si richiama nel seguito la necessità di attuare "adeguate misure tecniche ed organizzative" (come da testo del GDPR), ma ancora una volta il Garante si rifiuta entrare nel merito, superando così l'impostazione precedente (quella delle misure minime);
- fanno eccezioni richiami a "modalità di accesso graduale e selettivo", preclusione di "modalità di accesso che permettano interrogazioni di massa o acquisizioni di elenchi di dati personali", verifica periodica degli algoritmi;
- dedica un intero allegato ai tempi di conservazione; forse sono troppo complicati per le finalità della maggior parte delle imprese, però il punto 8 dell'Allegato 2 è applicabile a quasi tutte (tratta dei backup e della conservazione per 10 anni per "difesa di un proprio diritto in sede giudiziaria, amministrativa, arbitrale o di conciliazione (inclusa la fase propedeutica)";
- presenta un esempio di contitolarità (in questo caso tra il gestore e i partecipanti); il Codice presenta alcune clausole (ricorda che i partecipanti accedono con gli strumenti individuati dal gestore e quali persone possono accedere);
- formalmente, il Codice parla di "autonomo titolare", quando alcuni invece dicono di non usare il termine "autonomo" perché il GDPR non lo usa (secondo me, però, l'uso dell'aggettivo rinforza il concetto nel corso della lettura);
- nell'Allegato 3 è presentato un modello di informativa, che ad alcuni potrebbe risultare utile.

venerdì 20 settembre 2019

ISO/IEC 27701, la norma internazionale per certificare la protezione dei dati personali

Dopo aver segnalato miei articoli sulla ISO/IEC 27701, segnalo questo articolo di Fabio Guasconi dal titolo "ISO/IEC 27701, la norma internazionale per certificare la protezione dei dati personali":
https://www.ictsecuritymagazine.com/articoli/iso-iec-27701-la-norma-internazionale-per-certificare-la-protezione-dei-dati-personali/.

In questo articolo sono anche sottolineate le difficoltà per le PMI ad usare questa norma.

Minacce e attacchi: Frode con imitazione (con AI) della voce del CEO

Il Wall Street Journal racconta di una frode perpetrata utilizzando un simulatore di voce (basato su AI) di un CEO di un'azienda. La frode è costata all'azienda 243 mila dollari:
- https://thenextweb.com/security/2019/09/02/fraudsters-deepfake-ceos-voice-to-trick-manager-into-transferring-243000/.

Io penso che ci sia qualcosa di sbagliato se un'azienda fa un bonifico sulla base di un'autorizzazione data al telefono. Qui sembra che il finto CEO abbia segnalato la necessità di rimborsare un fornitore, ma chi ha fatto il bonifico vero e proprio avrebbe dovuto ricevere anche una fattura o simile.

Se ho capito bene il caso, è il classico caso in cui la tecnologia è solo la ciliegina sulla torta di uno sfruttamento di altre e meno tecnologiche vulnerabilità.

Privacy: Medico competente è titolare

Elia Barbujani degli Idraulici della privacy mi ha segnalato una risposta del Garante ad un quesito in merito al medico competente. Purtroppo non trovo questo documento sul sito del Garante.

Ma, in poche parole, il Garante ritiene che il medico competente debba essere considerato autonomo rispetto al datore di lavoro. Il Garante fa riferimento anche ad un ulteriore Provvedimento, che però non ho trovato altrettanto chiaro e che è del 2016:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5149198.

Intanto NON ringrazio Elia perché mi costringe a qualche correzione (ehm ehm ehm).

Su questo però voglio riflettere sui numerosi casi per cui un titolare si sente esente da controlli sulla sicurezza quando trasferisce i dati ad altro titolare. In questo caso specifico, già mi vedo i datori di lavoro non chiedere più alcuna garanzia di sicurezza ai medici competenti.

Questo, a mio parere, è un grave errore. Infatti l'interessato non può decidere di quale medico competente avvalersi ed è costretto ad usare quello scelto dal datore di lavoro. A sua volta il datore di lavoro può scegliere il medico competente e quindi ne è (parzialmente) responsabile. In particolare, deve assicurarsi che il medico garantisca un adeguato livello di sicurezza dei dati. Per questo dovrebbe stipulare un contratto con clasole simili a quelle previste dal GDPR per il rapporto tra titolare e responsabile.

Il DPO esterno deve essere dipendente dell'azienda

Il TAR Puglia ha recentemente annullato un incarico a DPO ad una persona giuridica, in quanto il suo referente (persona fisica) non sembrava "appartenere" ad essa.

Su questo Pietro Calorio degli Idraulici della privacy ha scritto un breve ma esaustivo articolo su LinkedIn:
- https://www.linkedin.com/pulse/quando-il-dpo-%25C3%25A8-una-persona-giuridica-soggetto-che-svolge-calorio.

Pietro cita l'articolo di Giovanni Gallus. Eccolo qui:
- https://www.cybersecurity360.it/news/il-dpo-deve-essere-un-dipendente-non-puo-essere-esterno-il-tar-lecce-fa-discutere/.

UNI/PdR 66:2019 per la certificazione dei professionisti privacy

Chiara Ponti degli Idraulici della privacy mi ha informato che è stata pubblicata la norma UNI/PdR 66 dal Titolo "Raccomandazioni per la valutazione di conformità ai requisiti definiti dalla UNI 11697:2017 "Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza, abilità e competenza"":
- http://store.uni.com/catalogo/index.php/uni-pdr-66-2019.html.

Il comunicato stampa:
http://www.uni.com/index.php?option=com_content&view=article&id=8543%3Atrattamento-e-protezione-dei-dati-personali-ecco-la-uni-pdr-66&catid=171&Itemid=2612.

Non l'ho letta e leggo solo il titolo e mi pare di capire: c'è la UNI 11697 con i requisiti per la certificazione delle figure professionali in materia di privacy e poi queste altre ulteriori raccomandazioni. Secondo me stanno eccedendo in zelo. Ma, ribadisco, lo dico solo leggendo i titoli.

martedì 17 settembre 2019

Articolo sulle assicurazioni IT (da Bruce Schneier)

Su Crypto-gram di settembre 2019 è stato segnalato un articolo dal titolo "Does insurance have a future in governing cybersecurity?". Segnalo il post di Crypto-gram, che ne propone un estratto:
- https://www.schneier.com/blog/archives/2019/09/on_cybersecurit.html.

Faccio un estratto dell'estratto le assicurazioni sono una forma debole di trattamento del rischio perché:
- gli assicuratori, al momento, si concentrano troppo sulle procedure organizzative e troppo poco su quelle tecnologiche;
- gli assicuratori, anzi, richiedono procedure di base e non offrono incentivi reali per investire in sicurezza;
- coprono i costi di risposta agli incidenti (spesso attraverso servizi esterni), ma si tratta di misure post-incidente, meno utili di quelle di mitigazione preventiva (questo anche perché i costi del recupero sono più facili da quantificare).

D'altra parte, dice sempre l'articolo, degli approcci rigorosi e standard migliorerebbero la sicurezza dei clienti. Tali approcci, però, si baserebbero su misure che poi sarebbero soggette alla legge di Goodhart ("quando una misura diventa un obiettivo cessa di essere una buona misura") perché chi deve essere misurato cercherà di migliorare le misure e non di ridurre il rischio.

Io ho sempre avuto dei dubbi sulle assicurazioni di sicurezza IT e qui trovo ulteriori elementi per essere dubbioso.

Mi piace anche il fatto che si sottolinea il fatto che le misure di prevenzione dovrebbero essere preferite a quelle di recupero (e io aggiungo: anche a quelle di monitoraggio).

Conservazione dei dati: criteri e criticità

Segnalo questo articolo di Monica Perego e Chiara Ponti dal titolo "Conservazione dei dati: criteri e criticità (nell’incertezza normativa)":

Monica e Chiara sono due amiche, ma sono soprattutto, a mio parere, molto competenti.

L'articolo è interessante, anche se non condivido con loro la necessità di chiedere al Garante indicazioni "ufficiali": penso che siamo abbastanza grandi per trovare da soli la risposta sui tempi di conservazione.


sabato 14 settembre 2019

Corso di perfezionamento in digiltal forensics (Milano)

Segnalo il Corso di Perfezionamento in Criminalità Informatica e Investigazioni Digitali dell'Università di Milano:
- http://www.forensics.unimi.it/.

Il bando per iscriversi scade il 25 settembre.

Io l'ho seguito anni fa e continuo a pensare sia uno dei corsi più interessanti che abbia seguito, anche se non farò mai un'analisi forense di alcun dispositivo digitale. Ma si impara a conoscere meglio la normativa vigente non solo in materia di digital forensics e alcune tecnologie: conoscenze utili a chi si occupa di sicurezza delle informazioni, sia da un punto di vista tecnico che organizzativo. Il corso, comunque, non richiede particolari competenze tecnico-informatiche.

Ah... sì: sono il presidente dell'associazione degli ex alunni (www.perfezionisti.it; siamo quasi mille), quindi sono decisamente parte in causa.

mercoledì 4 settembre 2019

Nuove ISO/IEC 20000-2 (guida) e 20000-3 (ambito)

Sono stati pubblicati due standard che "completano" la nuova versione della ISO/IEC 20000-1, norma di requisiti sulla gestione dei servizi IT.

Il primo è la guida che accompagna i requisiti ed è la ISO/IEC 20000-2:2019 dal titolo "Information technology -- Service management -- Part 2: Guidance on the application of service management systems":
- https://www.iso.org/standard/72120.html.

Il secondo è la guida per stabilire l'ambito di applicabilità dei requisiti ed è la ISO/IEC 20000-3:2019 dal titolo "Information technology -- Service management -- Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1":
- https://www.iso.org/standard/72121.html.

lunedì 2 settembre 2019

PSD2 - Pubblicazione in Gazzetta ufficiale

Avevo segnalato poco tempo fa la Direttiva PSD2, che le banche hanno sicuramente già trattato, ma che è di interesse per tutti per la richiesta di autenticazione forte fatta a tutti i negozi virtuali:
- http://blog.cesaregallotti.it/2019/06/psd2.html.

Franco Vincenzo Ferrari di DNV GL mi ha segnalato questo articolo dal titolo "Fintech, l'Italia adegua le norme alla direttiva Psd2", relativo ai soli istituti di pagamento e istituti di moneta elettronica:
- https://www.corrierecomunicazioni.it/finance/e-payment/fintech-litalia-si-adegua-alle-nuove-norme-psd2/.

L'articolo sintetizza le disposizioni di vigilanza pubblicate in Gazzetta ufficiale a luglio:
- www.gazzettaufficiale.it/eli/id/2019/08/19/19A05009/sg.

Tra l'altro, queste disposizioni si affiancano a quelle relative alle banche, di cui scrissi a luglio (io confesso di essermi un po' perso):
- http://blog.cesaregallotti.it/2019/08/aggiornamento-delle-disposizioni-di.html.