lunedì 28 ottobre 2019

Telecamere sul posto di lavoro e nel processo penale

Sull'uso delle telecamere, recentemente sono arrivate due notizie.

La prima la fornisco in modo molto sintetico perché non ho molto di più. Però dal titolo si capisce molto: "La violazione della disciplina privacy non è motivo di inutilizzabilità delle videoriprese nel processo penale".
- https://www.forensicsgroup.eu/2019/10/la-violazione-della-disciplina-a-tutela-della-privacy-non-puo-costituire-uno-sbarramento-rispetto-alle-preminenti-esigenze-del-processo-penale/.

La seconda è invece un intervento del nostro Garante su una sentenza della Corte di Strasburgo. Il comunicato "Telecamere sul luogo di lavoro: dichiarazione di Antonello Soro, Presidente del Garante per la privacy, su sentenza Corte di Strasburgo":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9164334.

Mi pare che si possa sempre ritrovare il rispetto del principio di proporzionalità (ossia installazione sulla base di sospetti circostanziati, tempo e area limitati, mancanza di alternative per dimostrare l'evento). Copio e incollo: La videosorveglianza occulta è, dunque, ammessa solo in quanto extrema ratio, a fronte di "gravi illeciti" e con modalità spazio-temporali tali da limitare al massimo l'incidenza del controllo sul lavoratore. Non può dunque diventare una prassi ordinaria.

Una riflessione sulle certificazioni ISO/IEC 27701

Pierfrancesco Maistrello mi ha scritto una riflessione interessante sulle
certificazioni privacy, la ISO/IEC 27701 e la necessità o meno di avere
certificazioni con accreditamento ISO/IEC 17021 o 17065 (ricordo che il GDPR
richiede il secondo).

Scrive Pierfrancesco:
<<
Non credo che le organizzazioni siano pronte a certificarsi GDPR art.42-43:
è un passo troppo lungo e complesso per molti. Senza contare che il
vantaggio di queste certificazioni è tutto da dimostrare. Ricordo sempre il
ragionamento di Bolognini, che diceva che una certificazione ex art.42 non
pienamente gestita o "bucata" potrebbe trasformarsi in un aggravio delle
inadempienze del titolare, in caso di valutazione della sanzione
amministrativa.

Ma certo molta gente ha bisogno di indicazioni per strutturare il sistema di
gestione delle proprie misure e quindi una norma autorevole, anche se non
coerente a GDPR art. 42-43, è utile.

Ulteriore riflessione. Guardando il recente sweep del garante fatto con
Netcomm, si vede che hanno chiesto ad aziende che hanno attività e-commerce
se le loro data breach policies contengono specifiche indicazioni sulla
gestione delle eventuali azioni correttive. Io trovo questa attitudine al
miglioramento delle misure di sicurezza la principale lacuna dei clienti con
cui lavoro in questi mesi. Questo mi riporta a pensare che una norma come la
ISO/IEC 27701, anche se non GDPR art. 42-43, sarà utile in questo senso.
>>

Il DPO deve essere un legale (ma forse anche no)

Ricordo che a settembre avevo citato una sentenza del TAR del Friuli Venezia Giulia per cui il DPO deve essere un legale:
- blog.cesaregallotti.it/2018/09/il-dpo-deve-essere-un-legale-cosi-dice.html.

Pierfrancesco Maistrello mi ha segnalato un commento dalla newsletter di IAPP. Non credo che il contenuto sia liberamente distribuibile, perciò traduco molto liberamente come segue.

"Non c'è niente di male nell'usare un legale come DPO, ma si rischia di pagare tanto per persone (gli avvocati) che, per attitudini, sono estremamente avversi ad ogni rischio. Ma l'applicazione di normative come il GDPR si basa su un approccio "basato sul rischio" e questo può essere garantito anche, e forse meglio, da persone non legali, ma con approccio pragmatico. I legali possono essere utilissimi per interpretazioni e chiarimenti".

sabato 19 ottobre 2019

Stato delle norme ISO/IEC 270xx (aggiunta sulla certificazione ISO/IEC 27701)

In merito alla certificazione ISO/IEC 27701, avevo già scritto che speravo
di lavorare per uno schema di certificazione basato sulla ISO/IEC 17065,
così come richiesto dall'art. 42 del GDPR.

In realtà mi hanno spiegato che se ISO farà uno schema di certificazione
della ISO/IEC 27701 basato sulla ISO/IEC 17021, non si potrà farne un altro
basato sulla ISO/IEC 17065 perché le regole EA lo proibiscono.

Sarebbe possibile fare un nuovo standard, anche uguale alla ISO/IEC 27701,
ma con altra numerazione, in modo da pensare ad uno schema basato sulla
ISO/IEC 17065.

Io penso che se partirà la certificazione ISO/IEC 27701 (e credo anche che
partirà presto), questa avrà abbastanza successo da rendere inutile ogni
altra certificazione, anche se basata sull'art. 42 del GDPR. Ci saranno
certamente quelli che ribadiranno continuamente che la certificazione
ISO/IEC 27701 non è coerente a quanto richiesto dall'articolo 42 del GDPR,
ma nella pratica nessuno ci farà caso (esattamente come nessuno fa caso a me
quando dico che cyberspazio non si traduce con "spazio cibernetico", che la
"cyber-sicurezza" è in realtà la "sicurezza informatica", che certi
inventari degli asset sono inutili, eccetera).

Questo lo scrivo e mi divertirà vedere se sarò smentito dalla realtà o la
mia previsione sarà confermata.

Stato delle norme ISO/IEC 270xx

Venerdì 18 ottobre 2019 si è concluso a Parigi il meeting semestrale del ISO/IEC JTC 1 SC 27, ossia del gruppo che, tra gli altri, si occupa delle norme ISO/IEC 27001 e 27701.

Le persone iscritte erano più di 300 (è difficile fare i conti corretti, visto che molti si sono iscritti a più gruppi di lavoro e non riesco a calcolare correttamente il numero totale).

La delegazione italiana era composta da 4 persone (tra cui Fabio Guasconi, Andrea Caccia e io; ringrazio tutti i delegati per avermi segnalato refusi ed errori nella prima versione di questa nota).

Segue lo stato di alcune norme che ritengo essere le più interessanti in lavorazione.

Per quanto riguarda le norme relative ai sistemi di gestione, ossia quelle trattate dal WG 1:
- ISO/IEC 27001: si è avviata una revisione minore solo per allineare l'Annex A alla nuova ISO/IEC 27002 (non è previsto si modifichino altre parti della norma); si pensa quindi di avere le nuove versioni delle due norme nel 2022;
- ISO/IEC 27002 sui controlli di sicurezza: passa in CD e si prevede che la sua nuova versione sarà pubblicata nel 2022;
- ISO/IEC 27004 sulle misurazioni della sicurezza: è stata approvata la pubblicazione di una correzione (non significativa, se non per quelli particolarmente rigorosi);
- ISO/IEC 27005 sulla gestione del rischio: sono ripartiti i lavori e si spera di concluderli all'inizio del 2022;
- ISO/IEC 27011 sui controlli per gli operatori di TLC: è in fase di revisione e si spera di concluderla per fine 2022;
- ISO/IEC 27013 sui rapporti tra ISO/IEC 27001 e ISO/IEC 20000-1; è in fase di revisione per recepire la nuova versione della ISO/IEC 20000-1 (oltre che le esperienze maturate in questi anni).

E' stata avanzata la proposta di una nuova norma ISO/IEC 27104 dal titolo "Guidelines for cyber insurance". Dovrò cercare di capire perché questa norma oltre alla ISO/IEC 27102.

Credo sia significativo segnalare che:
- si prevede l'elaborazione di una qualche norma, simile alla ISO/IEC 27006, per le certificazioni ISO/IEC 27701; curiosamente molti europei si sono dichiarati contrari a usare la ISO/IEC 17065 come base per questa nuova norma, nonostante la ISO/EC 17065 sia richiamata dal GDPR; su questo dico che ci sono ancora ampi margini di manovra in fase di redazione; inoltre penso che la contrarietà sia dovuta ad una certa impostazione di rigore tecnico (visto che la ISO/IEC 27701 è uno standard per sistemi di gestione e non per processi) e non a giochetti volti a favorire qualche attore di mercato;
- sono state discusse le possibili azioni da intraprendere, in termini di chiarimenti e di suggerimenti, in merito alle certificazioni ISO/IEC 27001 che usano i controlli aggiuntivi di norme come le ISO/IEC 27001, 27017, 27018 e 27019.

Per quanto riguarda le norme relative alla privacy, ossia il WG 5, credo che la cosa più interessante sia la norma relativa alla cancellazione dei dati personali, ma solo perché la sta seguendo una rappresentante della delegazione italiana.

Per quanto riguarda le certificazioni rispetto alla ISO/IEC 27701, ho già scritto nel punto precedente.

Avrei voluto seguire alcune norme più tecniche (quelle relative all'IoT e gestite dal WG 4), ma la bizzarra organizzazione ha fatto sì che fossero trattate a più di mezzora di distanza da quelle del WG 1 e WG 5 e la logistica non mi ha permesso di spostarmi in tempo.

martedì 15 ottobre 2019

Lo spamming non è (sempre) reato

Luca De Grazia mi ha segnalato questa notizia dal titolo "Lo spamming non è reato. Anche dopo Gdpr":
- https://www.italiaoggi.it/news/lo-spamming-non-e-reato-anche-dopo-gdpr-2393718.

Luca De Grazia mi dice che il concetto del cosiddetto nocumento era da considerare anche in precedenza.

Io dico che, da un punto di vista generale, questa sentenza mi lascia perplesso perché io continuo a pensare che lo spam crei nocumento.

Sicuramente, al di là del mio pensiero, credo sia importante considerare questa sentenza. Credo anche che sia importante ricordare che l'articolo 130 (comma 3-bis) del Codice Privacy (D. Lgs. 196 del 2003) ammetto il cosiddetto soft spam.

venerdì 11 ottobre 2019

VERA 5.0

Ho pubblicato il VERA 5.0:
- http://www.cesaregallotti.it/Pubblicazioni.html.

La novità maggiore è che ho messo nello stesso file le cose per ISO/IEC 27001 e per privacy (ISO/IEC 27701).

Qualche altra modifica dalle persone che mi hanno scritto e suggerito (negli ultimi mesi: Gianluca Dalla Riva, Alessandro Gaspari, Pierfrancesco Maistrello, Arturo Messina, Nicola Nuti, Simona Persi, Chiara Ponti, Stefano Posti, Pierluigi Stefli).

Invito tutti a criticare e a farmi avere critiche e suggerimenti.

giovedì 10 ottobre 2019

IEC 62443-4-2 sulla sicurezza dei componenti OT (sicurezza industriale)

Franco Vincenzo Ferrari del DNV GL mi ha suggerito questo articolo dal titolo "Lo standard IEC 62443-4-2 per la cyber security industriale: le linee guida". Ho qualche riserva sull'articolo, in particolare sulla disinvoltura con cui confonde security e safety e sulla sua concentrazione sui dispositivi (mentre la norma è applicabile a 4 tipi di componenti), però alcune cose sono decisamente interessanti e ne raccomando la lettura:
- https://www.cybersecurity360.it/legal/lo-standard-iec-62443-4-2-per-la-cyber-security-industriale-le-linee-guida/.

Questa norma riporta i requisiti da considerare per i componenti dei sistemi informatici industriali. I componenti possono essere:
- applicazioni software;
- dispositivi integrati (Embedded device; dispositivi specifici, incluse PLC e sensori);
- pc o server generici;
- componenti di rete.

I requisiti possono poi essere usati per 4 livelli di sicurezza.

La lettura non è semplice e richiede anche di essere accompagnata dalla IEC 62443-3-3. Allo stato attuale, però, sono convinto che le IEC 62443 rappresentino la lettura allo stato dell'arte in materia di sicurezza informatica industriale (o "OT cyber security", dove però il termine "OT" non è mai usato dalle 62443).

La pagina ufficiale della norma è:
- https://webstore.iec.ch/publication/34421.

Sentenza: Sì al licenziamento per pc aziendale usato per fini personali

Segnalo questo articolo di Altalex dal titolo "Pc aziendale usato per fini personali? Sì al licenziamento in tronco":
- https://www.altalex.com/documents/news/2019/10/02/pc-aziendale-usato-per-fini-personali-si-al-licenziamento-in-tronco.

La Corte di appello di Roma ha confermato il licenziamento di una lavoratrice per aver navigato su Internet troppo frequentemente e per lungo tempo e aver anche importato un ransomware.

La sentenza è interessante (dovremo anche vedere se ci sarà un intervento della Corte di Cassazione, ma dovremo aspettare anni) perché fornisce indicazioni in merito alle indagini ex post anche in mancanza di informative privacy o simili.

martedì 8 ottobre 2019

NIST: Cybersecurity per le aziende manifatturiere

Il NIST ha pubblicato un documento dal titolo "NISTIR 8183A, Cybersecurity Framework Manufacturing Profile Low Impact Level Example Implementations Guide":
- https://csrc.nist.gov/publications/detail/nistir/8183/final.

E' un malloppo di più di 700 pagine divise in 3 documenti.

Il primo è abbastanza generico: riporta le "solite" misure di sicurezza, senza spiegarne bene gli impatti in ambito industriale (o ICS). Però si cela una piccola sorpresa, scritta in piccolo e nelle tabelle di correlazione con le funzionalità. Infatti, per ogni misura del NIST Cybersecurity framework si leggono degli strumenti per attuare la misura indicata.

Il secondo volume presenta esempi di documenti e strumenti per le aziende manifatturiere in serie, mentre il terzo è dedicato alle aziende manifatturiere di singoli prodotti (la terminologia usata dal NIST è "di processo" e "discrete"). Qui le sorprese e le indicazioni sono tante.

Intanto i modelli di documento. Ci sono modelli per le politiche, per le procedure operative (tutte accorpate in un unico documento), per la valutazione del rischio, per la gestione degli incidenti, per il ripristino e per i contratti con i fornitori.

Non tutto condivido (per esempio l'accorpamento di tutte le procedure operative in un unico documento e l'eccessivo livello di dettaglio suggerito; per esempio anche il modello di valutazione del rischio, che non permette di rilevarne l'utilità, visto che è troppo dedicato al calcolo e non all'uso). Altri sicuramente non condivideranno altre cose. Ma penso che il livello di dettaglio sia né troppo né troppo poco e lascia ampio spazio alla personalizzazione da parte degli utilizzatori. Ritengo notevole lo sforzo fatto da una fonte così autorevole.

Al capitolo 4 si trova un elenco, con descrizione e commenti (e con anche suggerimenti per l'installazione e la configurazione), di strumenti tecnologici per attuare alcune misure. L'elenco include strumenti per la rilevazione dei dispositivi (discovery dell'hardware), per la valutazione del rischio, per il backup, per la raccolta e analisi dei log, per i vulnerability assessment, per i ticket di gestione degli incidenti, di data loss prevention, per la cancellazione sicura. Alcuni sono free, altri sono a pagamento. In tutti i casi, un'utile punto di riferimento.

lunedì 7 ottobre 2019

Marketplace e IVA

Dalla Circolare 8 del 2019 della Borioli & Colombo Associati, Il Drecreto "crescita", DL 34 del 2019, stabilisce nuove misure in merito alle comunicazioni IVA dei cosiddetti marketplace:
- https://www.commercialistatelematico.com/articoli/2019/05/e-commerce-e-decreto-crescita.html.

Io non conosco assolutamente questa materia (conosco solo Maremagnum come marketplace italiano), ma penso che, per il mio lavoro, sia comunque utile tenerla sotto controllo.

mercoledì 2 ottobre 2019

Sentenza: Hacking etico in Italia: archiviazione per divulgazione di vulnerabilità

Luca De Grazia mi ha segnalato questo interessante sentenza:
- https://www.tomshw.it/altro/tribunale-di-catania-archiviazione-per-un-caso-di-hacking-etico/.

Il GIP di Catania ha reputato infondate le accuse nei confronti di un hacker che aveva segnalato le vulnerabilità di un'applicazione. Insomma, sembra sia la prima sentenza in merito alla "divulgazione responsabile" (o "vulnerability disclosure").