sabato 25 luglio 2020

Invalidato il Privacy Shield - Parte 3 - Le FAQ dell'EDPB

L'EDPB (ossia l'organismo di cooperazione dei garanti privacy europei) ha
pubblicato le FAQ sulla sentenza Schrems II, che pone molti limiti sui
trasferimenti di dati personali negli USA:
-
https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-q
uestions-judgment-court-justice-european-union_en
.

Grazie a Chiara Ponti degli Idraulici della privacy per aver condiviso il
link.

Sicuramente i trasferimenti sotto Privacy shield non sono più validi. Anzi,
sono illegali sin dal 16 luglio 2020.

Come ho già scritto, potrebbero essere usate le SCC (Standard contractual
clauses o, in italiano, Clausole contrattuali tipo), ma anche quelle hanno
dei problemi perché se la legislazione del Paese importatore non offre le
garanzie legali presenti in Europa, un contratto tra privati non può
migliorare la situazione. Stessa questione per le BCR (Binding corporate
rules o, in italiano, norme vincolanti d'impresa).

Mi sembra che i capoversi fondamentali del documento dell'EDPB siano:
"The EDPB is currently analysing the Court's judgment to determine the kind
of supplementary measures that could be provided in addition to SCCs or
BCRs, whether legal, technical or organisational measures, to transfer data
to third countries where SCCs or BCRs will not provide the sufficient level
of guarantees on their own.
The EDPB is looking further into what these supplementary measures could
consist of and will provide more guidance".

Traduco: se non sanno loro cosa fare per assicurare la validità delle SCC e
BCR anche in Paesi con legislazione che non assicura un adeguato livello di
protezione ai dati personali, io aspetto che lo sappiano e ce lo dicano.

Infine non mi pare dica niente sulle società di servizi informatici
statunitensi che però assicurano l'uso di data center in Europa. E'
sufficiente questa garanzia sull'uso di data center in Europa o no? Bisogna
infatti dire che molti contratti con questi grandi fornitori di servizi IT
non assicurano il completo rispetto della locazione geografica, come
indicato dall'analisi di EDPS sui servizi Microsoft (che avevo già segnalato
a suo tempo):
-
https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_micros
oft_contract_investigation_en.html
.

giovedì 23 luglio 2020

Un piccolo libro sulla privacy, il GDPR e come attuarlo

Speravo di pubblicare un libro sulla privacy prima della fine di luglio in
modo da fornire una lettura per il mare ai più temerari. Purtroppo non ce
l'ho fatta.

Il libro non è mio, ma degli Idraulici della privacy, di cui faccio parte.
E' partito da una mia idea e io ho l'onere di pubblicarlo materialmente (lo
farò su Streetlib, come il mio "Sicurezza delle informazioni"), ma è un
prodotto collettivo.

Quindi questo messaggio è una forma di provino, come si chiamavano un tempo.

Il librino non produrrà niente di troppo originale, ma vuole essere
decisamente pratico e indicare una strada per applicare il GDPR almeno nei
casi più comuni. Io mi sono divertito molto a partecipare perché ho avuto
modo di imparare cose che avevo trascurato o, in alcuni casi, capito male.

Infine, e questa è la cosa più importante, il ricavato andrà tutto in
beneficenza. Il libro è nato durante la clausura e questa esperienza ci ha
fatto capire che, se possiamo, dobbiamo aiutare chi ne ha bisogno. Non
abbiamo ancora deciso a chi, ma lo decideremo tutti insieme.

Quindi: spero di potervi invitare ad acquistare il libro, disponibile in
tutti i negozi online, in formato epub e pdf (e forse cartaceo) dai primi di
agosto.

Invalidato il Privacy Shield - Parte 2

Sulla caduta del Privacy Shield avevo già scritto poco tempo fa.

Pierfrancesco Maistrello mi ha segnalato il sito di Schrems, ossia quello
che ha provocato la caduta:
- https://noyb.eu/en/next-steps-eu-companies-faqs.

Qui si pongono molti problemi. Insomma, mentre alcuni dicono che è
sufficiente usare le SCC o verificare se il fornitore assicura l'uso di
server in Europa, perché, essendo società statunitensi, rientrano nel FISA
702 che è una della cause per cui il Privacy Shield è caduto.

Aggiungo che anche i servizi applicativi sono colpiti da questa sentenza:
Salesforce, Hubspot, MailChimps, tutte le email su Google, Sharepoint e
OneDrive, WeTransfer e così via. E penso che anche i servizi di Zoom,
GoToMeeting e compagnia che ci hanno tenuto compagnia durante la clausura
siano colpiti.

Potrei sempre sbagliarmi.

Su Web Ius Law c'è un podcast con Alessandro Del Ninno:
-
https://webradioiuslaw.it/speciale-adeguamento-privacy-tutto-quello-che-vole
vi-sapere-sulle-clausole-contrattuali-standard/
.

Luca Bolognini e Giovanni Ziccardi hanno fatto un podcast di 90 minuti
(grazie sempre a Pierfrancesco Maistrello per il link):
-
https://zerodays.podbean.com/e/luca-bolognini-spiega-da-zero-il-caso-schrems
-ii-e-il-trasferimento-dei-dati-allestero-nel-gdpr/
.

Venerdì 24 alle 14 ci sarà un ulteriore podcast sempre con Luca Bolognini e
Giovanni Ziccardi (non so come sarà accessibile dopo quella data):
-
https://www.istitutoitalianoprivacy.it/2020/07/22/open-webinar-sugli-impatti
-della-sentenza-della-corte-di-giustizia-ue-schrems-ii/
.

Io purtroppo sono più un lettore che un ascoltatore e quindi non ho
approfondito a sufficienza la questione. Spero che:
1- il Garante si esprima in merito per aiutare a capire e agire;
2- qualcuno scriva articoli significativi sulla questione (per il momento
non ne ho visti, ma se qualcuno me li segnala gliene sarò grato).

mercoledì 22 luglio 2020

Privacy: organismi di monitoraggio dei codici di condotta

Sandro Sanna mi ha segnalato il fatto che il Garante ha stabilito i
requisiti di accreditamento degli organismi di monitoraggio dei codici di
condotta:
- https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9432569.

Sandro nutre il timore che questi codici di condotta potrebbero poi essere
utilizzati malamente come certi certificati.

Io penso che il rigore con cui opereranno gli Odm dipenderà da come il
Garante li controllerà. Se sono controllati con superficialità dagli OdM,
allora questi codici di condotta saranno applicati malamente.

Il mio timore è che le regole non prevedono un controllo molto significativo
degli OdM: mi pare soprattutto di tipo documentale e non c'è alcun impegno
in merito alle verifiche che il Garante si propone di fare sul campo, solo
possibilità generiche nel caso emergano elementi che richiedono dei
controlli. Mi pare anche che manchino regole in merito alla gestione delle
non conformità rilevate dal Garante.

Io sono abituato alle regole degli organismi di certificazione dei sistemi
di gestione, quindi questo approccio mi lascia perplesso. Ma chissà che
invece non sia più efficace.

sabato 18 luglio 2020

Linee guida EDPS su titolare, responsabile e contitolare

Ricordavo la pubblicazione di Linee guida su titolare, responsabile e contitolare, ma non riuscivo più a trovarle. Poi ho scoperto il perché: pensavo fossero state pubblicate dall'EDPB o dal precedente WP 29, mentre erano state pubblicate dall'EDPS (ossia, per farla breve, dal DPO delle istituzioni europee).

Il documento ha titolo "EDPS Guidelines on the concepts of controller, processor and joint controllership" e si trova qui (in inglese, francese e tedesco):
- https://edps.europa.eu/data-protection/our-work/publications/guidelines/concepts-controller-processor-and-joint_en.

Inizialmente le avevo ignorate in quanto ovvie. Però poi ci si trova sempre davanti ai "casi particolari" e queste linee guida possono tornare utili.

Ringrazio Glauco Rampogna che le ha (ri)segnalate agli Idraulici della privacy.

Invalidato il Privacy Shield per i trasferimenti dei dati negli USA

Notizia importantissima, è l'invalidamento del Privacy Shield. Per trasferire i dati negli USA (principalmente per usare i grandi fornitori di servizi informatici o di supporto) era ritenuta adeguata l'adesione al Privacy Shield dell'organizzazione ricevente. Nel 2015 era già stato invalidato il protocollo Safe Harbour, predecessore del Privacy Shield.

La sentenza completa della Court of Justice of the European Union del 16 luglio 2020 è qui (grazie a Gianluca Dalla Riva degli Idraulici della privacy):
- https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62018CJ0311.

Il comunicato dell'EDPS conferma l'appoggio alla posizione presa, ma non illumina su cosa fare:
- https://edps.europa.eu/press-publications/press-news/press-releases/2020/edps-statement-following-court-justice-ruling-case_en.

Per capire cosa fare, si possono leggere i comunicati stampa della Corte stessa:
- Italiano: https://curia.europa.eu/jcms/jcms/p1_3117876/en/;
- Inglese: https://curia.europa.eu/jcms/jcms/p1_3117870/en/.

In sostanza: usare le clausole contrattuali tipo.

Ci vorrà del tempo prima che i fornitori di servizi informatici stabiliti negli USA adeguino le proprie condizioni contrattuali alle clausole contrattuali tipo (qualcuno mi aiuterà, spero, a capire perchè abbiano fatto tutto il pasticcio del Privacy Shield piuttosto che usare le clausole contrattuali tipo). Fino a quel momento non si potranno usare servizi siti negli USA.

Chi invece usa servizi gestiti dagli USA ma su server in Europa (ossia, se ha scelto l'opzione dei server in Europa per esempio per i servizi IaaS e PaaS di Google, AWS e Azure) dovrebbe essere già a posto, ma sono pronto a essere smentito.

giovedì 16 luglio 2020

Rapporto EDPS sulle DPIA fatte nelle istituzioni europee

Segnalo questo articolo dal titolo "DPIA, ecco come la fanno le istituzioni europee: le best practice nel rapporto dell'EDPS":
- https://www.cybersecurity360.it/legal/privacy-dati-personali/dpia-ecco-come-si-fa-nei-paesi-europei-le-best-practice-nel-report-delledps/.

Il rapporto completo si trova sul sito dell'EDPS:
- https://edps.europa.eu/data-protection/our-work/publications/reports/edps-survey-data-protection-impact-assessments-under_en.

Trovo interessante il fatto che le DPIA siano lunghe mediamente 16 pagine. Mi sembrano poche e ne sono contento, dato che vedo spesso applicato il principio del "più pagine sono, meglio è".

EDPS ha poi analizzato come è recepito il proprio modello di DPIA. Io l'ho riguardato:
- https://edps.europa.eu/data-protection/our-work/publications/guidelines/accountability-ground-provisional-guidance_en.

Devo dire che questa guida è molto orientata all'analisi del rispetto dei principi del GDPR, più che all'analisi del rischio. Comunque da considerare.

lunedì 13 luglio 2020

Analisi EDPS sui prodotti e servizi Microsoft

L'EDPS (ossia, semplificando, il DPO delle istituzioni della UE) ha pubblicato un rapporto dal titolo "Outcome of own-initiative investigation into EU institutions' use of Microsoft products and services":
- https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html.

In fondo è possibile trovare il link al pdf.

In sostanza l'EDPS ha analizzato i contratti con Microsoft e ha trovato molte carenze per quanto riguarda l'applicazione del GDPR. Le cose più significative, a mio parere, sono:
- possibilità di Microsoft di aggiornare unilateralmente e senza preavviso i termini e le condizioni (addirittura Microsoft agisce come titolare);
- carenza di adeguate calusole sul diritto di audit.

C'è anche altro. Penso che, probabilmente, analisi sugli altri grandi fornitori di informatica (p.e. Amazon o Google) darebbero risultati altrettanto significativi. Rimane quindi da sperare che questo rapporto produrrà significativi miglioramenti in tutti i contratti per prodotti e servizi forniti da questi grandi attori.

Ringrazio Franco Vincenzo Ferrari di DNV GL per avermi segnalato il documento.

martedì 7 luglio 2020

Sugli SLA

Roberto Beneduci di CoreTech mi ha citato in un suo video in cui spiega gli SLA:
- https://www.linkedin.com/comm/feed/update/urn%3Ali%3Aactivity%3A6685576120831623168.

Mi rendo conto che siamo alla pubblicità reciproca (lui cita me, io cito lui; io gli gratto la schiena se lui la gratta a me o, per tirare fuori il latino, do ut des). Però mi piace molto questo approccio di presentazione di servizi e prodotti attraverso la diffusione di conoscenza, segno anche di curiosità personale e di un certo tipo di entusiasmo non comune.

Insomma: è anche pubblicità, ma di quella che a me piace e quindi spudoratamente, per questa volta, mi associo.

domenica 5 luglio 2020

Ancora sulle nuove regole per i servizi fiduciari

Poco tempo fa avevo segnalato un aggiornamento delle regole Accredia sulle certificazioni eIDAS, ossia quelle per i fornitori di servizi fiduciari regolamentati dal Regolamento eIDAS (per esempio di firme digitali e marche temporali).

Sempre a questo proposito segnalo un articolo dal titolo "Firma elettronica, le regole europee e nazionali per la conservazione dei dati", che approfondisce ulteriormente la questione:
- https://www.key4biz.it/firma-elettronica-le-regole-europee-e-nazionali-per-la-conservazione-dei-dati/312300/.

Nuove Direttive per i consumatori in ambito digitale

Segnalo questo articolo dal titolo "New Deal For Consumers, come prepararsi alle nuove regole":
- https://www.key4biz.it/new-deal-for-consumers-come-prepararsi-alle-nuove-regole/311782/.

Imparo quindi che nel 2019 furono pubblicate due Direttive che a loro volta richiederanno, entro luglio 2021, delle modifiche al Codice del comumo (D. Lgs. 205/2006).

Copio e incollo: "Le direttive fanno parte del cosiddetto "New Deal for Consumers", un insieme di prescrizioni finalizzato a modernizzare le regole di protezione dei consumatori in vista e in funzione della vertiginosa espansione dell'evoluzione digitale, che attraversa l'automazione delle attività e dei processi di business, le catene di approvvigionamento e gli stessi prodotti e servizi".

Questo è un articolo molto di base. Spero di avere l'opportunità di trovare ulteriori articoli più approfonditi.

sabato 27 giugno 2020

Guida ENISA sulla pseudoanonimizzazione

Pubblicata la guida ENISA sulla pseudoanonimizzazione, per chi ancora non la conoscesse. Versione in inglese, italiano e francese (grazie a Nicola Nuti degli Idraulici della privacy):
- https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices.

Registro dei Provvedimenti privacy presi in cooperazione tra autorità

Glauco Rampogna degli Idraulici della privacy ha segnalato la pubblicazione del registro contenente le decisioni prese dalle autorità nazionali di vigilanza con la procedura di cooperazione one-stop-shop (articolo 60 del GDPR):
- https://edpb.europa.eu/our-work-tools/consistency-findings/register-for-article-60-final-decisions_en.

Non è di facilissima consultazione perché le "istruzioni" non sono fornite (dopo un po' però si capisce che "LSA" è la leading supervisory authority", "CSA" sono le "concerned supervisory authority" e così via).

Non mi sembra però siano decisioni significative. Sicuramente è però importante vedere l'applicazione della procedura di cooperazione.

lunedì 15 giugno 2020

Aggiornamento certificazioni eIDAS

Andrea Caccia, che ringrazio molto, mi ha segnalato la nuova Circolare tecnica DC N° 05/2020 di Accredia:
- https://www.accredia.it/documento/circolare-tecnica-dc-n-05-2020-circolare-per-laccreditamento-a-fronte-del-regolamento-europeo-910-2014-eidas/.

Essa estende la certificazione a tutti i servizi fiduciari previsti dal regolamento eIDAS e fornisce un aggiornamento di tutti i riferimenti agli standard ETSI pertinenti.

Privacy: assicurazioni (e non solo) sono titolari

Il Garante privacy ha risposto a un quesito relativo al ruolo soggettivo delle compagnie di assicurazione. La risposta è nel documento "Ruolo soggettivo dell'impresa assicurativa nell'ambito dei bandi di gara per l'affidamento dei servizi assicurativi":
- https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9169688.

In sostanza, se un'organizzazione stipula assicurazioni per il proprio personale, l'assicuratore è da considerare titolare del trattamento. Questo perché l'organizzazione non può creare assicurazioni e quindi questo trattamento non può essere considerato come esternalizzato.

Possiamo quindi dedurre che lo stesso discorso valga anche per le banche e per gli organismi di certificazione, visto che un'organizzazione (a meno gli ovvi casi in cui sia essa stessa una società di assicurazioni, una banca o un organismo di certificazione) non può autonomamente erogare questi servizi e quindi l'assicurazione, la banca, l'OdC non trattano i dati "per conto" (o in qualità di "delegato") del titolare.

Ovviamente questa risposta del Garante non permette di risolvere altri casi "complessi", come quelli relativi alle singole persone (p.e. medico del lavoro) o società particolari come i fornitori di connettività o le poste. Però è già un ottimo spunto.

Si osserva anche che il caso delle assicurazioni (che io ho esteso a banche e OdC) riguarda un mercato molto regolamentato e vigilato. Pertanto anche le misure di sicurezza sono regolamentate e vigilate. La stessa cosa non si può dire per gli altri settori, dove non c'è regolamentazione stringente e relativa vigilanza, e io ribadisco la mia convinzione: anche nel caso di trasferimento ad altro titolare, il titolare mittente deve avere garanzie precise in merito al livello di sicurezza fornito dal destinatario e non può limitarsi a dire che il destinatario è titolare e quindi sono fatti suoi, visto che può scegliere tra diverse opzioni.

Ringrazio Diego Padovan per aver segnalato questa notizia agli Idraulici della privacy.

DPIA per Immuni

Il Garante della privacy ha pubblicato un documento dal titolo "Valutazione d'impatto sulla protezione dei dati personali presentata dal Ministero della Salute relativa ai trattamenti effettuati nell'ambito del sistema di allerta Covid-19 denominato "Immuni" - Nota sugli aspetti tecnologici":
- https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9357972.

Al di là dell'argomento ormai trito e ritrito, penso che sia utile osservare i punti toccati per avere un'idea di come sono affrontati gli aspetti più criti da parte del Garante.

Il documento non riporta dettagli sulla DPIA, né su come è stata fatta e questo è un peccato perché sarebbe stato interessante.

Ringrazio Stefania Algerio per la segnalazione agli Idraulici della privacy.

GDPR developer's guide del CNIL

Il CNIL (ossia il Garante privacy francese) ha pubblicato una GDPR developer's guide:
- https://www.cnil.fr/en/gdpr-developers-guide.

Ci sono cose molto interessanti e molto puntuali, inclusi link a piattaforme, a presentazioni più dettagliate, a documenti di approfondimento.

Al momento gli approfondimenti sono disomogenei e quindi, per esempio, sono presentati gli strumenti di gestione della configurazione del software e le linee guida di codifica sicura per C e C++, ma sono accennati ma non elencati strumenti di controllo automatico del codice prima della messa in produzione.

Però il CNIL permette di contribuire e quindi credo che in qualche futura versione questi aspetti saranno ben approfonditi.

Sicuramente quello che c'è merita già un approfondimento (io ho trovato molti punti) ed è sicuramente molto di più di quanto vedo in giro.

Ringrazio Glauco Rampogna per aver segnalato questa iniziativa agli Idraulici della privacy.

giovedì 11 giugno 2020

Privacy e piano cessazione dei servizi

Un argomento spesso non trattato è il piano cessazione dei servizi informatici (e non solo). Un piano in cui prevedere alcune azioni di comunicazione ai clienti e utenti, di passaggio o meno delle consegne ad altro fornitore, di cancellazione o restituzione dei dati.

Un settore in cui questo piano è necessario è quello dei servizi fiduciari eIDAS (firma digitale e compagnia, per intenderci) e anche quello di conservazione dei documenti. Per questo, ENISA nel 2017 aveva pubblicato delle linee guida dal titolo "Guidelines on Termination of Qualified Trust Services":
- https://www.enisa.europa.eu/publications/tsp-termination.

AgID aveva pubblicato una bozza per discussione delle linee guida per il piano di cessazione del servizio di conservazione:
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2019/11/22/consultazione-linee-guida-il-piano-cessazione-del-servizio-conservazione.

Il Garante privacy ha segnalato alcune carenze:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9347287.

Ripeto: sono questioni da considerare per tutti i servizi e quindi vale la pena approfondirle.

Chiuso il sito del Gutenberg Project

Segnalo questo articolo dal titolo "La Procura di Roma ha bloccato l'accesso a Project Gutenberg, la più grande biblioteca di internet":
- https://thesubmarine.it/2020/05/25/procura-roma-bloccato-accesso-project-gutenberg/.

A parte il mio fastidio personale perché l'ho usato per leggere alcuni capolavori (e anche cose noiose, per la verità), penso che la notizia metta in luce alcuni problemi di Internet e, potenzialmente, di sicurezza delle informazioni e continuità (senza voler estendere oltre queste riflessioni): la scelta di un unico giudice può comportare l'inaccessibilità di un sito di pubblica utilità. Oggi è toccato ad un sito utile, ma non critico; domani chissà.

Attaccato l'ospedale San Raffaele... forse

Interessante questa notizia: Lulzsec e Anonymous dicono di aver bucato la rete del San Raffaele di Milano a metà marzo. Il San Raffaele nega. Vedremo come andrà a finire. Lancio una mia ipotesi: la data mi suggerisce che tutti (inclusi i referenti dell'IT) al San Raffaele fossero troppo occupati sul COVID-19 e la segnalazione è stata dimenticata. Forse non è andata veramente così, ma forse questo sarà quello che diranno.

Solitamente non fornisco notizie di attacchi perché non forniscono informazioni veramente utili. Qui invece penso che sia un caso interessante da monitorare.

Segnalo quindi l'articolo "Cosa sappiamo del data breach all'ospedale San Raffaele di Milano":
- https://www.wired.it/internet/web/2020/05/22/san-raffaele-lulzsec-anoymous/.

martedì 9 giugno 2020

Zoom e la crittografia a pagamento

Zoom ha deciso che le video conferenze saranno cifrate solo per i clienti a pagamento:
- https://www.wired.com/story/zoom-end-to-end-encryption-paid-accounts/.

L'articolo suggerisce di biasimare la scelta di Zoom. Altri, in particolare gli editor del SANS NewsBites, sono meno critici perché ritengono che anche altri parametri siano da considerare, come per esempio la sicurezza dell'interfaccia client. In questo caso, Zoom permette conferenze con molti partecipanti, mentre altri strumenti limitano il numero di partecipanti.

Questa è una questione da studiare con attenzione. Va però detto che alcune soluzioni apparentemente più sicure sono anche più instabili.

NIST NISTIRs 8259 e 8259A sull'IoT

Il NIST ha pubblicato due documenti:
- NISTIR 8259A dal titolo "IoT Device Cybersecurity Capability Core Baseline"; URL https://csrc.nist.gov/publications/detail/nistir/8259a/final;
- NISTIR 8259 dal titolo "Foundational Cybersecurity Activities for IoT Device Manufacturers"; URL https://csrc.nist.gov/publications/detail/nistir/8259/final.

Li ho guardati velocemente e mi sembra siano troppo generali.

giovedì 4 giugno 2020

Considerazioni sul rischio

Ho letto un articolo sulla percezione del rischio COVID-19 e ho pensato che alcuni spunti possono essere di interesse anche a chi si occupa di sicurezza delle informazioni e, in generale, di rischi. L'articolo ha titolo "La società a rischio zero - Abbiamo raggiunto l'immunità di gregge psicologica?":
- https://www.linkiesta.it/2020/05/rischio-coronavirus-paura/.

Innanzi tutto l'articolo ribadisce il concetto di accettabilità del rischio. Qui la scala è notevolmente più ampia (si parla di migliaia di vite umane) di quanto normalmente è richiesto alle organizzazioni che analizzano il rischio di sicurezza delle informazioni, dei progetti, di qualità o di efficacia di un sistema di gestione. Però è importante riflettere sull'accettabilità del rischio anche in altri ambiti.

Altro punto è sintetizzato dalla frase "La percezione del rischio è un fenomeno sociale" e dal grafico che riporta quanto alcuni rischi sono percepiti e quanto sono invece oggettivamente pericolosi.

Aggiungo che è interessante osservare come a inizio marzo, quando i numeri del COVID-19 erano ancora ipotetici, in giro a Milano c'era pochissima gente; mentre adesso, dopo più di 30.000 morti, le strade sono piene. E' evidente che la preoccupazione pochi mesi fa era palpabile mentre oggi genera insofferenza. Sono cose, penso, da considerare anche in ambito aziendale (fatte le dovute proporzioni) quando si stabiliscono le misure per affrontare il rischio: quelle più che accettabili oggi potrebbero essere viste con fastidio (e quindi attuate male) tra pochi giorni.

Un altro spunto riguarda il sondaggio, sempre in merito al COVID-19, fatto tra studenti di medicina e di economia. Esso ci dice che i primi sono molto più prudenti dei secondi in merito alla riapertura. Questo può farci ragione sul fatto che i consulenti (interni ed esterni) e gli auditor i vari specialisti di sicurezza e privacy sono sempre molto più prudenti dei dirigenti di un'organizzazione, ma non necessariamente hanno ragione. Credo sia la dimostrazione del fatto che la ragione sia nel mezzo e sia sempre necessario mediare tra il rigore proposto dagli specialisti e una maggiore rilassatezza propugnata dai loro interlocutori. Per fare un esempio, tra chi propone di avere password di almeno 16 caratteri e chi non le vorrebbe proprio, la mediazione degli 8 caratteri è proprio quella che viene incontro ai due punti di vista che necessariamente devono venirsi incontro).

sabato 30 maggio 2020

Le 7 multe più strane per aver violato la privacy e il Gdpr

Glauco Rampogna mi ha segnalato questo interessante articolo dal titolo "Le 7 multe più strane per aver violato la privacy e il Gdpr":
- https://www.wired.it/internet/regole/2020/05/25/gdpr-privacy/.

Il titolo è un po' fuorviante, ma alcune cose sono interessanti, in particolare la multa per aver usato un normale cassonetto per eliminare i dati in formato cartaceo.

venerdì 29 maggio 2020

Mio articolo sulla scuola e il falso mito del "tool"

Avevo già scritto una breve cosa su come la scuola abbia affrontato male, da un punto di visto informatico, l'emergenza COVID-19. Ho scritto quindi un articolo che mi è stato pubblicato con il titolo "Shock digitale per la scuola, smontiamo il falso mito del tool":
- https://www.agendadigitale.eu/scuola-digitale/shock-digitale-per-la-scuola-smontiamo-il-falso-mito-del-tool/.

Ovviamente commento solo alcuni problemi di tipo informatico (ovviamente ne vedo altri, ma, come il pasticcere milanese, mi limito al mio mestiere).

Mio articolo su Idiot wind

Tempo fa avevo scritto una cosa breve su un colpo di vento che aveva sparso i documenti di un'azienda. Ho approfondito un po' la questione e ne ho fatto un articolo, pubblicato da key4biz:
- https://www.key4biz.it/idiot-wind-bob-dylan-puo-aiutare-nella-valutazione-del-rischio-aziendale/307656/.

martedì 26 maggio 2020

Linee guida AgID per la sicurezza nel procurement ICT

Franco Vincenzo Ferrari di DNV GL mi ha segnalato la pubblicazione delle "Linee guida: La sicurezza nel procurement ICT" di AgID:
- https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_122261_725_1.html.

A parte l'italiano lacunoso ("eleggibile" per tradurre malamente l'inglese "eligible") o dimenticato ("procurement" al posto di "approvvigionamento"), il documento è interessante.

All'inizio della lettura mi sembrava riportare le solite cose talmente vaghe da essere inutili (promuovere competenza e consapevolezza, raccogliere buone prassi e esperienze, stabilire ruoli e responsabilità, effettuare una ricognizione dei beni e servizi informatici, classificare i beni e i servizi informatici). Poi, misura dopo misura, emergono cose più precise e, a mio parere, utili. Rimane un documento "di base" con alcune cose solo teoriche, ma anche di questi documenti c'è bisogno.

venerdì 22 maggio 2020

ISO/IEC 21964 sulla distruzione dei supporti - Precisazioni 2 e 3

In merito alla ISO/IEC 21964, Sandro Sanna mi ha inviato un paio di precisazioni.

La prima riguarda la mia previsione che questa norma sarà usata per certificare prodotti o processi. Sandro mi informa che questo sta già succedendo con la DIN 66399 (ossia la norma che è stata recepita come ISO/IEC 21964). Mi ha quindi inviato un link con un esempio:
- https://www.reisswolf.com/en/reisswolf/certifications/din-66399/.

Sandro poi mi segnala che le norme DIN sono già usate in alcune norme. In particolare mi segnala la Decisione (UE, Euratom) 2019/1961, in particolare l'articolo 42 dove indica le modalità di "Distruzione e cancellazione periodiche di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET":
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32019D1961.

mercoledì 20 maggio 2020

ISO/IEC 21964 sulla distruzione dei supporti - Precisazione

Avevo scritto sulle ISO/IEC 21964 sulla distruzione dei supporti:
- http://blog.cesaregallotti.it/2020/05/isoiec-21964-sulla-distruzione-dei.html.

Michele Tassinari, che ringrazio, mi ha segnalato che l'uso dei queste norme in ambito TISAX è già prescrittivo.

In quel caso, la norma di riferimento è la DIN 66399 (la ISO/IEC 21964 è il recepimento della DIN 66399). Però lo schema rimane aperto anche per altri standard.

Nelle 2 norme sono previsti 7 livelli di distruzione.

Per la TISAX, è richiesto il livello 4 per i dati confidenziali e il livello 5 per i dati segreti.

lunedì 18 maggio 2020

Privacy: parere del Garante sul ruolo dell'OdV

Il Garante privacy ha recentemente emesso un "parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall'art. 6, d.lgs. 8 giugno 2001, n. 231":
- https://www.aodv231.it/documentazione_descrizione.php?id=3745&sheet=&tipo=newsletter&Il-Garante-per-la-protezione-dei-dati-personali-sul-ruolo-dell-OdV-in-ambito-privacy.

In breve: i membri dell'OdV sono da considerare come "autorizzati". Alcuni non condividono perché vedono così messa in discussione la sua autonomia, ma intanto il parere del Garante approfondisce bene questa questione, inoltre a me sembra logico vedere l'OdV come parte di un'azienda (titolare), anche se indipendente da tutte le altre funzioni aziendali

Grazie a Pietro Calorio per averlo segnalato agli Idraulici della privacy. Con gli stessi Idraulici avevamo discusso mesi or sono su questa stessa questione ed eravamo giunti alla medesima conclusione (per fortuna...).

domenica 17 maggio 2020

ISO/IEC 21964 sulla distruzione dei supporti

Segnalo la norma ISO/IEC 21964 con titolo "Destruction of data carriers". La norma è del 2018, ma solo ora, grazie a UNI che l'ha inserita a catalogo (in lingua inglese) e a Franco Vincenzo Ferrari di DNV GL, ne sono venuto a conoscenza.

La norma è divisa in 3 parti e questo è il link alla prima parte:
- https://www.iso.org/standard/72204.html.

L'argomento è la distruzione dei supporti fisici, quindi non tratta di cancellazione sicura, ma proprio di distruzione o triturazione o tecniche simili.

La prima parte (Principles and definitions) definisce i 7 livelli di sicurezza con cui uno strumento può distruggere i supporti e le 3 classi di protezione a cui potrebbe aspirare un'organizzazione.

La seconda parte (Requirements for equipment for destruction of data carriers) tratta delle tecniche di distruzione per i diversi tipi di supporto, suddivise nei 7 livelli di sicurezza (quindi, per esempio, la carta può essere distrutta da strisce di 12mm a strisce di 1mm e un hard disk può essere reso "inutilizzabile" fino a essere distrutto in particelle di meno di 5 mm quadrati). Sono anche stabilite le specifiche di test delle tecniche.

La terza parte (Process of destruction of data carriers) riporta i requisiti dei processi di distruzione, per le 3 classi di protezione, nel caso in cui il controller provveda autonomomante, si affida a un fornitore presso la propria sede o a un fornitore presso la sede del fornitore.

Le norme usano il termine "shall" e quindi profetizzo facilmente che qualcuno, se non lo ha già fatto, si inventerà una certificazione.

sabato 16 maggio 2020

Sistemi di videoconferenza e sicurezza

Dalla newsletter Crypto-Gram di maggio, segnalo questo post sulla sicurezza delle applicazioni di video conferenza:
- https://www.schneier.com/blog/archives/2020/04/secure_internet.html.

Qui sono segnalati due rapporti, di NSA e Mozilla, sulla sicurezza delle applicazioni di videoconferenza. Confesso che nono mi sono sembrati chiarissimi.

Il rapporto NSA specifica la presenza o meno di alcune funzionalità, ma senza ulteriori spiegazioni o aiuti (ho però trovato interessante che Google assicura la cancellazione sicura solo per le versioni a pagamento).

Il rapporto di Mozilla invece fornisce chiaramente un voto sulla sicurezza (a patto di aprire le schede una per una) ma non sulla privacy. Pertanto è necessario leggere con maggiore attenzione.

Comunque sono interessanti da leggere, visto che questi sistemi sono ormai essenziali in questo periodo di COVID-19.

mercoledì 13 maggio 2020

Articolo su TISAX

A novembre 2019 avevo segnalato TISAX, uno schema relativo ai sistemi di gestione per la sicurezza delle informazioni per il settore automotive. Paolo Sferlazza di Gerico Security mi ha segnalato un suo recente articolo in materia:
- https://www.ictsecuritymagazine.com/articoli/tisax-la-valutazione-del-livello-di-maturita-della-sicurezza-delle-informazioni-nellambito-automotive/.

L'articolo è interessante e approfondisce la questione.

CERT-AgID

Nasce il CERT-AgID. La struttura si occuperà per conto di AgID di mantenere e sviluppare servizi di sicurezza preventivi e attività di accompagnamento utili alle pubbliche amministrazioni per favorire la crescita e la diffusione della cultura della sicurezza informatica:
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/05/07/cert-agid-promozione-sicurezza-informatica-nella-pa.

Il sito web è:
- https://cert-agid.gov.it/.

Questa notizia fa il paio con quella che avevo già dato poco fa sulla nascita del CSIRT italiano:
- https://csirt.gov.it/home.

Ringrazio Franco Vincenzo Ferrari di DNV GL Business Assurance per avermi segnalato la notizia.

Qualche considerazione:
- dal sito e dalla descrizione non mi sono chiarissime le differenze tra CERT-AgID e CSIRT Italia; forse il primo si occupa più di "consulenza", mentre il secondo più di monitoraggio e allerta; se così è, allora trovo fuorviante il nome "CERT" a una struttura che non svolge attività di "risposta" e anche il sito perché molto dedicato alle minacce e alle CVE (non diversamente dal sito del CSIRT Italia);
- c'è un netto miglioramento rispetto a prima, visto che avevamo 2 CERT o CSIRT (CERT PA e CERT Nazionale) e ognuno di essi faceva sia parte reattiva sia parte preventiva, solo che uno era dedicato ai privati e l'altro era dedicato alla Pubblica amministrazione, con ovvia dispersione di competenze senza una vera ragione tecnica (ci si chiede chi avesse pensato a quella suddivisione e quali ragioni tecniche presentato, oltre alla moltiplicazione delle posizioni dirigenziali);
- la documentazione è ancora poca e non datata (!), ma mi sembrano interessanti le linee guida per lo sviluppo sicuro (forse del 2019) e di configurazione del software di base (forse del 2017).

giovedì 7 maggio 2020

Incidente MailUp

La mia newsletter è su MailUp e il 25 aprile 2020 mi è stato comunicato che è stato rilevato un incidente.

Su questo evento ho visto pochissime notizie. Anzi... ho trovato solo questa:
- https://www.cybersecurity360.it/legal/privacy-dati-personali/data-breach-mailup-coinvolto-il-responsabile-del-trattamento-la-lezione-appresa/.

Interessante è il fatto che ritengano "riservate" le comunicazioni inviate, quando però è compito dei titolari fornirle agli interessati.

In sintesi, l'incidente è stato rilevato il 24 aprile e si tratta di "un sofisticato attacco ransomware di elevata intensità". Come in tutti gli attacchi ransomware, i dati sono risultati indisponibili, ma poi MailUp li ha ripristinati entro il 27 aprile. Le analisi inviate non dicono se ci sono evidenze di trasmissione dei dati.

Detto questo, i dati personali di cui io sono titolare sono gli indirizzi email dei destinatari delle newsletter. La loro violazione non presenta un rischio per i diritti e le libertà delle persone fisiche, visto che l'incapacità di ricevere la newsletter può rappresentare sì un disagio, ma non può compromettere i diritti e le libertà delle persone fisiche. Per quanto riguarda la possibile violazione della riservatezza, questa può dimostrare l'interesse dell'interessato verso la qualità, la sicurezza delle informazioni e la privacy, ossia materie che non compromettono i diritti e le libertà delle persone fisiche.

Tutto ciò considerato: non farò alcuna notifica al Garante, ma avviserò comunque gli interessati con la prossima newsletter, riportando quanto qui scritto.

mercoledì 6 maggio 2020

Rapporto semestrale MELANI

Due volte all'anno segnalo il rapporto semestrale della Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI (Svizzera):
- https://www.melani.admin.ch/melani/it/home/dokumentation/rapporti/rapporti-di-situazione/halbjahresbericht-2019-2.html.

Questa edizione mi ha fornito meno indicazioni del solito, forse perché sono troppo concentrato sul COVID-19.

Comunque sia, è sempre un'ottima lettura.

Costituito il CSIRT Italia

Dalla newsletter di DFA segnalo che è stato costituito il CSIRT Italia:
- https://csirt.gov.it/home

Il sito del neonato CSIRT Italia è avaro di informazioni utili, quindi copio (con qualche taglio ed evitando il termine "cibernetico") quanto riportato dal sito del CERT-PA.

Il CSIRT Italia raccoglie le attività in precedenza svolte dal CERT-PA e il CERT Nazionale, rispettivamente dedicate alle pubbliche amministrazioni ed al settore privato.

La decisione rientra nell'ambito del piano di attuazione della Direttiva NIS (Decreto legislativo 18 maggio 2018 n. 65) che – tra le altre misure – prevede anche in Italia la costituzione di un Computer Security Incident Response Team unico (cosiddetto CSIRT).

L'attività dello CSIRT è disciplinata dal DPCM 8 agosto 2019 in materia di "Disposizioni sull'organizzazione e il funzionamento del Computer Security Incident Response Team – CSIRT italiano", pubblicato in Gazzetta Ufficiale l'8 novembre 2019.

In tale quadro, i soggetti pubblici e privati, a partire dalla data menzionata, in caso di incidente informatico o di segnalazione di evento, hanno quale nuovo ed unico interlocutore lo CSIRT Italia, che già riceve le notifiche obbligatorie e volontarie degli operatori di servizi essenziali (cosiddetti OSE) e fornitori di servizi digitali (cosiddetti FSD) ai sensi della Direttiva NIS.

Concludo quindi con un commento personale: spero che la nuova struttura sia più utile delle precedenti, per lo meno nella parte visibile al pubblico, e promuova campagne di informazione più significative, come quelle, per esempio della svizzera MELANI.

mercoledì 29 aprile 2020

Protocollo COVID-19 sui luoghi di lavoro (24 aprile)

Il 24 aprile è stato aggiornato l'aggiornamento del "Protocollo condiviso sulle misure per il contrasto al Covid-19 negli ambienti di lavoro". Si trova qui:
- https://www.lavoro.gov.it/notizie/pagine/sicurezza-sul-lavoro-integrato-il-protocollo-condiviso-sulle-misure-per-il-contrasto-al-covid-19-negli-ambienti-di-lavoro.aspx/.

Ringrazio Daniela Pollino di Pidielle S.p.A. per la segnalazione.

Il protocollo stabilisce anche le modalità di ingresso in azienda, prevedendo il controllo della temperatura. Per questo è necessario quindi prevedere opportune informative privacy.

A questo punto segnalo il modello di informativa proposto dallo Studio Stefanelli. Fa riferimento al precedente protocollo del 14 marzo, ma credo vada bene lo stesso. Segnalo la pagina in cui è disponibile questo documento e anche altri:
- https://www.studiolegalestefanelli.it/it/solidarieta-digitale-smartworking.

Stato delle norme ISO/IEC 270xx - Aprile 2020

Si è appena concluso il 62mo meeting dell'ISO/IEC JTC 1 SC 27. Doveva essere a Sanpietroburgo, ma si è invece tenuto tutto in ambiente virtuale. Esperienza decisamente difficile, ma riuscita (anche se si è confermato che gli incontri fisici sono più efficaci di quelli virtuali).

Hanno partecipato più di 120 delegati da 34 Paesi.

La delegazione italiana era composta da 7 persone, tra cui: Fabio Guasconi (Presidente), Andrea Caccia, Alessandro Cosenza, Stefano Ramacciotti, Daniele Tumietto e me stesso.

Per quanto riguarda le norme del WG 1, non ci sono grosse novità. Mi limito, come al solito, ad indicare lo stato di avanzamento di alcune norme:
- ISO/IEC 27002 (controlli di sicurezza): sono proseguiti i lavori e sono stati fatti molti commenti; per migliorare ulteriormente la qualità della norma, gli esperti hanno ritenuto opportuno "rallentarne" l'uscita, che a questo punto sarà, nella migliore delle ipotesi, ad autunno 2021;
- ISO/IEC 27003 (guida all'uso della ISO/IEC 27001): confermata così com'è;
- ISO/IEC 27005 (sul risk management): sono proseguiti i lavori, ma la pubblicazione della nuova versione è ancora lontana (nella migliore delle ipotesi, sarà nel 2022);
- ISO/IEC 27013 (relazioni tra ISO/IEC 20000-1 e ISO/IEC 27001): sono proseguiti i lavori e si spera di pubblicare ad autunno 2021.

La norma ISO/IEC 27558, con i requisiti di accreditamento degli organismi di certificazione per svolgere gli audit ISO/IEC 27701, è una norma di competenza del WG 1 e del WG 5 (dedicato alla privacy). Per questa norma sono state fatte tre scelte importanti:
- dare un'accelerazione ai lavori in modo da pubblicarla, auspicabilmente, per metà 2021 (non mi dilungo nei dettagli tecnici; dico solo che non sarà un "International Standard", ma una "Technical Specification");
- avviare una richiesta di commenti specifica per il calcolo dei tempi di audit (io qui prevedo un grande macello per poi "accontentarsi" del solito calcolo basato sul numero di persone in ambito);
- sarà numerata ISO/IEC 27006-2; così l'attuale ISO/IEC 27006 sarà numerata ISO/IEC 27006-1.

Per quanto riguarda le norme del WG 5 (privacy), segnalo solo:
- ISO/IEC 29134 (sulla PIA): sarà avviato un lavoro di "correzione".

Per il WG 4, che si occupa di norme più tecniche, mi sono interessato a quelle sull'IoT e sull'industriale (ISO/IEC 24391, Guidelines for IoT domotics security and privacy; ISO/IEC 24392, Security reference model for industrial internet platform; ISO/IEC 27030, che cambierà numero in ISO/IEC 27400, IoT security and privacy – Guidelines; 27402, IoT security and privacy – Device baseline requirements) e sono meno interessato ad altre norme, anche se il titolo sembra promettente, perché temo possano essere troppo fuffose (la nuova edizione della ISO/IEC 27032, Guidelines for Internet security; ISO/IEC 27035, sulla gestione degli incidenti). Ad ogni modo, non sono riuscito a seguire i lavori di nessuna di queste norme e me ne dispiace molto.

Il prossimo meeting sarà a metà settembre a Varsavia (Polonia). Speriamo...

Ringrazio Fabio Guasconi (e non solo...) per avermi segnalato alcuni errori presenti in questo breve articolo.

martedì 28 aprile 2020

Data center Amazon in Italia

Paolo Sferlazza di Gerico Security (che ringrazio) mi ha segnalato questa interessante notizia dal titolo "La nuova Regione AWS in Italia":
- https://aws.amazon.com/it/local/italy/milan/.

Non sono un fan di Amazon, ma bisogna dire che questa mossa ha un impatto interessante per quanto riguarda l'applicazione del GDPR. Sarà anche interessante vedere come questo esempio sarà seguito in Europa e in Italia.

lunedì 20 aprile 2020

Articolo sulla protezione delle piattaforme tecno-industriali

Segnalo questo articolo dal titolo "Protezione delle piattaforme tecno-industriali. Compliance NIS e oltre" di Giulio Carducci:
- https://www.ictsecuritymagazine.com/articoli/protezione-delle-piattaforme-tecno-industriali-compliance-nis-e-oltre/.

L'articolo propone un approccio per la valutazione del rischio relativo alla sicurezza OT (tradotta, molto bene, a mio parere, con "tecno-industriale").

L'articolo ha il pregio di non nascondere i punti di "semplificazione" dell'approccio battezzato IPSEM. Ma questi passaggi sono molto ben spiegati e giustificati, sia facendo riferimento alle caratteristiche peculiari dell'ambiente tecno-industriale, differente da quello "gestionale", sia alle solite caratteristiche del rischio relativo alla sicurezza delle informazioni.

Per la cronaca: Giulio Carducci è stato uno dei miei maestri, ma questo articolo l'ho "scoperto" da solo e mi fa piacere segnalarlo.

Documento ENISA sulla sicurezza del software

ENISA ha pubblicato il rapporto "Advancing Software Security in the EU":
- https://www.enisa.europa.eu/publications/advancing-software-security-through-the-eu-certification-framework.

Sono 16 pagine molto dense.

Infatti da una parte il paragrafo 2.4 "Existing standards and good practices" riporta alcuni documenti significativi relativi allo sviluppo sicuro. In particolare, io non conoscevo per niente l'OWASP ASVS, che ho invece trovato molto interessante (anche se avrei preferito, come al solito, un documento di "progettazione" e non di "verifica"):
- https://owasp.org/www-project-application-security-verification-standard/.


Il capitolo 3, dedicato ai problemi relativi alla sicurezza del software, anche se molto corto, riporta considerazioni che non ho mai trovato altrove. Le raccomandazioni, ossia i successivi passi che ENISA e altre istituzioni europee potrebbero prendere, mi sembrano anch'esse di adeguata profondità
(anzi... evitano proprio di citare la solita "formazione", che è sì importante, ma sembra il rifiugio di chi non ha idee).

domenica 19 aprile 2020

EDPS Web site collector per l'analisi privacy

Ringrazio per questo link Nicola Nuti. L'EDPS ha messo a disposizione uno strumento per analizzare i siti web e la loro conformità relativamente alla protezione dei dati personali.

Questa è notizia non proprio recente. Ma questo articolo che spiega bene come funziona è invece recente:
- http://www.dirittoegiustizia.it/news/23/0000098319/Website_Evidence_Collector_il_tool_gratuito_del_Garante_Europeo_per_la_Protezione_dei_dati_personali.html.

La pagina per scaricare lo strumento è questa:
- https://joinup.ec.europa.eu/solution/website-evidence-collector/releases.

venerdì 17 aprile 2020

Le App per il tracciamento COVID-19 - L'app Immuni

Al volo, ricevo da Glauco Rampogna la notizia che "pare che si siamo, è stata scelta la app di Bending Spoons per l'italia":
- https://www.open.online/2020/04/17/coronavirus-arriva-immuni-app-per-il-tracciamento-dei-contagi-scelta-dal-governo/.

E' la soluzione basta su Blutooth, sulla cui utilità ho parecchi dubbi, come ho già scritto.

Le App per il tracciamento COVID-19 - Mia intervista

Sulla faccenda delle app per il tracciamento COVID-19 mi hanno intervistato per Byoblu:
- https://www.youtube.com/watch?v=hYPu4v4x-n8.

Non credo di aver fatto un bell'intervento (preferisco sempre scrivere al parlare) perché molte cose non le ho dette e ne ho dette altre inutili. Ma mi ha divertito fare questa intervista via Skype e spero di aver presentato le cose in modo equanime, presentando i punti critici senza fare allarmismo o scandalo inutile. Devo dire che la mia analisi preliminare del sito https://www.byoblu.com/ mi aveva fatto temere un approccio scandalistico che invece non ho visto alla prova dei fatti. Anzi: ho notato un atteggiamento attento e professionale.

I commenti al video non mi trovano d'accordo perché buttano tutto in caciara. Ma almeno mi sembra che nessuno mi abbia dato (ancora) del cretino.

giovedì 16 aprile 2020

Le App per il tracciamento COVID-19 - Bruce Schneier

Anche Bruce Schneier (a sua volta citando Ross Anderson) dice la sua sulle applicazioni di tracciamento:
- https://www.schneier.com/blog/archives/2020/04/contact_tracing.html.

Fa un po' di riflessioni sul fatto che l'efficacia di un'applicazione di tracciamento non è provata, che bisognerà affrontare i falsi positivi e i falsi negativi e che, soprattutto, senza un metodo economico, veloce e accurato per verificare lo stato di salute, l'applicazione è inutile. E' la risposta tecnologica a un problema che invece è sociale.

Oh... ci ero arrivato da solo io stesso! O sono particolarmente intelligente (dubito) o ho fatto un po' di esperienza e non mi faccio accecare dalle soluzioni basate sui tool.

Inoltre Bruce Schneier riporta la riflessione di Ross Anderson che dice che tutto nasce da un falso sillogismo (in questo caso, un sillogismo cicliico): qualcosa deve essere fatto e l'applicazione è qualcosa e quindi dobbiamo farlo.

martedì 14 aprile 2020

Le App per il tracciamento COVID-19

Sulle app per il tracciamento della diffusione del COVID-19 ho gà scritto la mia:
- http://blog.cesaregallotti.it/2020/03/corea-del-sud-e-italia-cultura-e.html.

La newsletter Guerre di rete riporta una sintesi degli interventi in materia (ringrazio Glauco Rampogna degli Idraulici della privacy per la segnalazione):
- https://guerredirete.substack.com/p/guerre-di-rete-contact-tracing-a.

Di questo articolo trovo particolarmente interessanti le domande poste:
<< Ma la finalità qual è? E qui la risposta non può essere solo quella di "tracciare i contatti dei contagiati". Una volta raccolti i contatti di un contagiato, cosa succede, a livello individuale, al singolo, ma anche a livello globale? Che procedure sanitarie si attiveranno, e sono in grado di scalare su numeri che potrebbero essere molto consistenti? Come si integrano i dati della app col resto delle misure da prendere e le risorse del sistema sanitario? Con la capacità di fare test o di assistere persone che devono stare isolate? O la si userà solo per mettere in quarantena volontaria e fai-da-te migliaia di persone che secondo la app sono state vicine a un contagiato? e staranno in quarantena in casa con altre persone? e loro come si comporteranno? (Anche sulla cancellazione dei dati, se si dice che verrà fatta al raggiungimento della finalità bisogna specificare quale sia e quando verrà raggiunta). >>

Però l'articolo è molto "giornalistico".

Da un punto di vista più tecnico, segnalo come notevole la ricerca e l'analisi di Paolo Attivissimo (ringrazio sempre Glauco per la segnalazione):
- https://www.zeusnews.it/n.php?c=27995.

Servizi di test malware online

Ho "scoperto", da una sezione del libro "Tecnologia e diritto: Volume III" scritta da Paolo Dal Checco, questi due siti che permettono di verificare i programmi e i file su computer sicuri e remoti, in modo da poter rilevare la presenza di malware:
- https://any.run/;
- https://hybrid-analysis.com/.

Questi siti permettono invece di verificare se un sito web, soprattutto se poco noto, contiene materiale rischioso:
- https://urlscan.io/;
- https://www.virustotal.com/gui/home (questo permette anche di verificare file).

Micromarketing, microtargeting e profilazione

Mi sono trovato spesso a pensare alla profilazione così come espressa dal GDPR e alla segmentazione dei alcune offerte commerciali.

Spesso, molte aziende inviano messaggi pubblicitari a clienti che hanno comprato prodotti simili (che io ho imparato a chiamare "prodotti gemelli", anche se non è un termine riconosciuto) a quello in promozione. Ho sempre pensato che non si tratti di profilazione secondo la definizione del GDPR ("trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica").

A questo proposito ho scoperto il "micro marketing", che invece mi sembra rientri maggiormente nella profilazione. Per approfondire l'argomento, c'è ovviamente la pagina di Wikipedia:
- https://it.wikipedia.org/wiki/Micromarketing.

Per i più interessati, l'articolo, del 2000, "Dalle carte fedeltà a Internet: l'evoluzione del micromarketing" di Lugli e Ziliani si trova on line (io ho trovato anche un pdf):
- https://www.yumpu.com/it/document/view/19497092/dalle-carte-fedelta-a-internet-levoluzione-del-escp-europe.

Sottopongo queste riflessioni a chi si fosse posto le mie stesse domande sulla profilazione.

Libro "Tecnologia e diritto"

Ho finito di leggere i 3 volumi di "Tecnologia e Diritto" di informatica giuridica (il link è al solo primo volume):
- https://shop.giuffre.it/tecnologia-e-diritto-i-fondamenti-d-informatica-per-il-giurista.html.

E' un libro destinato agli studenti dell'Università di giurisprudenza e pertanto molte cose non sono esposte in modo direttamente utilizzabile dalle aziende e molti argomenti non sono di interesse per chi si occupa di consulenza alle aziende. Ma proprio qui sta l'interesse di questi libri: permettono di farsi un quadro generale dell'informatica giuridica e dei suoi temi più significativi.

Penso che proprio la capacità di avere un quadro più generale di un argomento debba essere una caratteristica degli "esperti" e pertanto raccomando la lettura di questi libri.

Ultima nota: tranne i due capitoli sulla blockchain (che si perdono in riflessioni fumosissime), il libro è scritto anche molto bene. Cosa che non guasta...

lunedì 13 aprile 2020

Le scuole e la digitalizzazione forzata (segnalazione)

Sulla scuola e la digitalizzazione ai tempi del COVID-19 ho già scritto:
- http://blog.cesaregallotti.it/2020/03/le-scuole-la-digitalizzazione-forzata-e_31.html.

Sulla privacy, Biagio Lammoglia degli Idraulici della privacy ha segnalato questo articolo di Scuola Informa:
- https://www.scuolainforma.it/2020/03/31/scuola-didattica-online-il-piu-grande-data-breach-della-storia.html.

A chi mastica già di privacy non dice niente di nuovo, ma le conclusioni sono, mutatis mutandis, le mie (ossia che la didattica a distanza andrebbe guidata meglio e non lasciarla alla buona volontà dei singoli).

domenica 5 aprile 2020

Articolo di approfondimento sul CMMC

Segnalo questo articolo di Giustino Fumagalli e Paolo Sferlazza dal titolo "Una nuova frontiera nelle certificazioni di sicurezza cyber: Il CMMC":
- https://www.ictsecuritymagazine.com/articoli/una-nuova-frontiera-nelle-certificazioni-di-sicurezza-cyber-il-cmmc/.

Mi sembra un articolo molto chiaro che permette di capire bene cos'è questo CMMC, anche dal punto di vista tecnico.

Del CMMC avevo già accennato a febbraio 2020, facendo riferimento a due altri articoli in inglese:
- http://blog.cesaregallotti.it/2020/02/cybersecurity-maturity-model.html.

Il modello al momento si trova a questo URL:
- https://www.acq.osd.mil/cmmc/draft.html.

martedì 31 marzo 2020

Le scuole, la digitalizzazione forzata e le solite lezioni

Le scuole, causa la chiusura fisica, sono state "invitate" dal Ministero a usare strumenti di didattica a distanza. Ovviamente qualcuno va in giro a dire che si sta facendo grande opera di digitalizzazione, ma in realtà si sta facendo grande confusione.

La storia, per quanto abbia potuto ricostruire, è semplice e drammatica allo stesso tempo. A fronte dell'emergenza, sono stati identificati degli strumenti per la didattica a distanza e gli istituti sono stati invitati ad usarli. Questo senza che fossero elaborate delle istruzioni per i docenti e i genitori (il solito "armiamoci (male) e partite"), fossero fatte delle analisi per aiutare i docenti a scegliere gli strumenti e delle analisi sulla privacy.

Il Garante ha detto la sua solo il 30 marzo:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9302778.

Molte famiglie si sono ritrovate con la necessità di mettere a disposizione dei figli degli strumenti informatici (so di alcune classi che fanno ore di lezione, ma so anche di famiglie che di digitale hanno solo i cellulari dei genitori che, ahiloro, in questi giorni devono comunque uscire per lavorare, oppure famiglie che hanno due figli, ma non due tablet o pc per far seguire le lezioni online ai due figli se in contemporanea). E chi ha i figli alle elementari ha dovuto registrarli ai sistemi, capire come funzionano e supportarli nel loro utilizzo. Quando, fino a ieri, le comunicazioni arrivavano solo via WhatsApp. Ma tutto questo non è sembrato di interesse a qualcuno, ma avrà come conseguenza che al rientro alcuni saranno allineati, altri saranno indietro e di solita l'arretratezza si accompagna a difficoltà già pregresse.

Ma parliamo anche degli strumenti.

Io ho avuto modo di usare Weschool e Edmodo.

Weschool non capisco perché sia indicato come strumento didattico. Sembra più una piattaforma per scambiarsi messaggi. Ma i software usati per le BBS negli anni Novanta erano meglio: almeno visualizzavano una bandierina sulle discussioni per cui c'erano messaggi da leggere. Weschool non fa questo e, oltra alla "board" non ha altre funzionalità. Quindi... bisogna riguardare tutte le discussioni e vedere se ci sono risposte, se le maestre hanno messo dei commenti e così via. Una a una.

Edmodo è un po' meglio perché, oltre a funzionalità "tipo Facebook", permette agli insegnanti di dare i compiti e farli visualizzare in una sezione apposta, ma solo se sono attivati come "eventi". Le risposte delle insegnanti sono notificate insieme a "tutto il resto" (e chi usa Facebook si può immaginare) e, nella versione per tablet, non è possibile nascondere le notifiche già approfondite.

Insomma: nulla che un uso attento dell'email o di WhatsApp non avrebbe permesso.

Ferruccio Militello, che fa il DPO per alcune scuole, mi conferma che alcune scuole superiori erano già avanti nel processo, ma altre no e hanno dovuto iniziare "in corsa" l'uso di questi strumenti, senza però che i dirigenti scolastici e gli insegnanti abbiano mai ricevuto formazione in materia (e non parliamo della privacy).

Aggiunge Ferruccio (e io appoggio il suo punto di vista): "Vale la pena sottolineare, a mio modo di vedere, che con uno staff importante e strutturato il MIUR avrebbe dovuto pensarci piuttosto che lasciare iniziativa ai singoli".

Io sarei brutale e direi che siamo di fronte alla solita cretinata di voler imporre tecnologia senza farsi domande.

A questo aggiungiamo il caso di Zoom: si è dimostrato che condivide i dati con Facebook (e molti istituti suggeriscono questo strumento per tenere le lezioni):
- https://www.repubblica.it/tecnologia/sicurezza/2020/03/27/news/zoom_l_app_per_videoconferenze_condivide_i_dati_con_facebook-252458567/.

Poi dicono di aver risolto, ma la questione fa rabbrividire:
https://www.repubblica.it/tecnologia/sicurezza/2020/03/29/news/privacy_zoom_ripara_la_falla_di_sicurezza_non_eravamo_a_conoscenza_dei_dati_raccolti_da_f
acebook_-252611458/.

Poi certamente è bello pensare che ci sono strumenti gratuiti da usare, ma si sa che non sono veramente gratuito in quanto pagati con i dati. E qui si parla di dati di minorenni.

C'è anche la solidarietà digitale (https://solidarietadigitale.agid.gov.it), ma questo è un altro argomento su cui dovrei riflettere molto di più: come sono stati selezionati, perché tanti offrono servizi basati sui soliti OTT (Google, Amazon, Facebook, Apple) e perché anche in questo non si sia approfittato per promuovere una digitalizzazione reale.

ISO 22313:2020 sulla business continuity

Franco Vincenzo Ferrari di DNV GL Business Assurance mi ha segnalato la pubblicazione della nuova versione della ISO 22313 dal titolo "Guidance on the use of ISO 22301":
- https://www.iso.org/standard/75107.html.

Non l'ho (ancora) letta e quindi non la commento.

Pubblicata una correzione alla ISO/IEC 27006

Pubblicato l'Amendment 1 della ISO/IEC 27006:2015 ("Requirements for bodies providing audit and certification of information security management systems":
- https://www.iso.org/standard/77722.html.

Poca roba, di (scarso) interesse anche per gli organismi di certificazione. Piccole puntualizzazioni su cose marginali.

Ricordo che la ISO/IEC 27006 è la norma che devono applicare gli organismi di certificazione, non le organizzazioni che intendono certificarsi.

Libro: IoT Security e Compliance

E' uscito il libro "IoT Security e Compliance" della Community for Security del Clusit:
- https://iotsecurity.clusit.it.

Anche io appaio tra gli autori.

lunedì 30 marzo 2020

Corea del Sud e Italia, cultura e tecnologia

Anche io entro in questa amena discussione sull'applicazione usata in Corea del Sud che permetterebbe di tracciare i movimenti delle persone e contrastare il diffondersi del COVID-19. Un articolo tra i tanti, che mi sembra molto esaustivo (grazie a un retweet di @brunosaetta):
- https://www.valigiablu.it/coronavirus-dati-tecnologia/.

Questo articolo, sempre su Valigia Blu, ma da un tweet di @fpietrosanti, parla di Singapore:
- https://www.valigiablu.it/coronavirus-singapore-contact-tracing-tecnologia-privacy/.

Molte critiche. Credo che questo articolo (da un retweet di @gbgallus) riassuma la questione:
- https://www.techeconomy2030.it/2020/03/21/coronavirus-contact-tracing-emergenza-sanitaria-cancella-altri-diritti/.

Il mio commento è che troppo spesso si pensa alla tecnologia senza pensare a tutti gli altri fattori (anche altri dicono, con parole più o meno diverse, questa stessa cosa). Siamo, come al solito, in mano a quelli che ragionano per tool e non per cultura e processi con risultati sempre negativi, come ho già scritto in passato.

Per esempio, ecco alcuni elementi culturali a cui ho pensato e che non ho visto approfonditi:
- nei Paesi asiatici l'uso della mascherina è molto più diffuso anche per le "normali" influenze (guardatevi in giro e pensate a quanti non si mettono la mascherina per non sembrare buffi; una mamma infermiera mi ha detto che sua figlia ha pianto quando l'ha vista con la mascherina);
- nei Paesi asiatici, solitamente, le persone appena possono stanno più distanti che da noi (giusto sabato ho visto uno che a piedi superava un'altra a non più di 5 cm di distanza e mi sono chiesto perché tanta fretta; al supermercato si vede sempre il "corridore" che, evidentemente per tornare a casa in fretta, si avvicina a tutti e senza mascherina);
- nel nostro Paese il richiamo alle regole genera fastidio e anche derisione, piuttosto che solidarietà (venerdì, dal fruttivendolo, mi sono arrabbiato con il garzone che, senza mascherina, continuava a passarmi vicinissimo e, ovviamente, io ho fatto la figura del rompiscatole, non lui quella dello sconsiderato);
- non abbiamo mascherine neanche le volessimo.

Proprio il 30 marzo è uscito un articolo sul Corriere della Sera dal titolo "Controlli: 5.000 multati (e 50 positivi in giro)". Il problema non è quindi l'uso delle tecnologie, se una domenica 50 persone positive vanno in giro e 5.000 vanno in giro senza alcuna ragione. Mi spiace, ma forse l'articolo è "bloccato". Ad ogni modo, il link è questo:
- https://www.corriere.it/politica/20_marzo_30/coronavirus-sabato-nero-controlli-5000-multe-quei-50-positivi-spasso-8dae3e98-71f8-11ea-b6ca-dd4d8a93db33.shtml.

Sulla questione delle mascherine, sempre il 30 marzo è uscito un articolo sul Corriere della Sera:
- https://www.corriere.it/dataroom-milena-gabanelli/coronavirus-perche-non-si-trovano-mascherine/7233d98a-71fc-11ea-b6ca-dd4d8a93db33-va.shtml.

Mi vengono poi ulteriori domande sulla reale capacità di usare questi strumenti, su quante persone competenti ci sono in giro per installarli, usarli efficacemente e mantenerli. Visto che già nelle aziende private vedo situazioni imbarazzanti, mi permetto di avere qualche dubbio per un progetto pubblico di questa dimensione (e ho anche dei dubbi sui tempi; ora che sarà tutto pronto spero che l'emergenza sarà finita).

venerdì 27 marzo 2020

Linee guida AgID per usare SPID per firmare

Diego Padovan degli Idraulici della privacy ha segnalato le Linee guida AgID contenenti le "Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell'art. 20 del CAD":
- https://anorc.eu/attivita/firmare-i-documenti-con-spid-emanate-le-linee-guida-agid/.

I destinatari delle Linee Guida sono i fornitori dei servizi SPID. Ma interessa anche chi con SPID ha poco a che fare perché potrà utilizzare SPID per sottoscrivere atti e contratti aventi validità giuridica. Molto utile.

domenica 22 marzo 2020

Corona virus e privacy (quarta parte - una riflessione)

Riccardo Lora degli Idraulici della privacy ha condiviso questa riflessione di Matteo Flora dal titolo "La Guida Completa allo Stato di Polizia":
- https://www.youtube.com/watch?v=rsu-LHNcyEM.

Quindi c'è qualcuno che studia le cose prima di voler importare soluzioni da altri Paesi senza un minimo di analisi!

mercoledì 18 marzo 2020

Corona virus e privacy (terza parte - EDPB)

Il 16 marzo, sempre in merito alla raccolta di dati da parte delle aziende e all'elaborazione dei dati di posizionamento in possesso delle compagnie di telecomunicazioni per fronteggiare l'emergenza COVID-19, l'EDPB ha fatto una dichiarazione:
- https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_it.

Mi è sembrata meno approfondita di quello che speravo.

Ringrazio sempre la mia fonte (anonimizzata).

Corona virus e privacy (seconda parte)

Avevo scritto il 1 marzo sulle fantasiosie interpretazioni privacy ai tempi del COVID-19:
- http://blog.cesaregallotti.it/2020/03/corona-virus-e-privacy.html.

E però non avevo detto che il giorno dopo il Garante aveva fatto un comunicato proprio su questo argomento (ringrazio chi me l'ha segnalato):
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117.

Me ne scuso. Anche perché il Garante, più o meno, era sulla mia stessa linea di pensiero. Dico "più o meno" perché la posizione del Garante è ovviamente più approfondita della mia.

Su questo aggiungo che mi sto ponendo un'altra questione: se una persona è venuta nei locali di un'azienda e si è successivamente accorta di essere infetta e poi telefona all'azienda per segnalare l'evento, come deve comportarsi l'azienda? Io, indicativamente, direi che l'azienda dovrebbe identificare le persone e informare le persone con cui è entrata in contatto. E quindi questa cosa andrebbe prevista e gli interessati informati.

Certo... dovrei cercare di passare dal medico del lavoro. Però la situazione non mi sembra facile.

Detto questo, mi è arrivata notizia che sono arrivate segnalazioni di data breach e anche reclami relativi a persone la cui privacy è stata violata perché positivi al COVID-19 (p.e. attraverso diffusione su social del nome della persona, diffusione dei risultati del test, pubblicazione del provvedimento di isolamento).

Accanto a questo trovo incredibile (e inquietante) il diffondersi delle notizie relative ai magnifici risultati della Corea del Sud che ha usato i dati personali dei cittadini per contrastare efficacemente il COVID-19. Su questo ho i miei dubbi perché non ho sufficienti notizie. Forse dovremo rimandare le valutazioni sull'efficacia degli interventi alla fine dell'emergenza e poi dovremo anche considerare le grandi differenze tra i nostri Paesi, che forse celano ulteriori cause per i risultati ottenuti (ricordo, per esempio, che in certi Paesi è normale indossare la mascherina quando si ha il raffreddore; ma dovremmo anche riflettere sui diversi regimi politici e altre condizioni).

lunedì 16 marzo 2020

Solidarietà digitale

Lo Studio legale Stefanelli & Stefanelli mette a disposizione dei documenti standard, predisposti dai professionisti dello studio, soprattutto relativi alla privacy, utili per riorganizzare i processi interni in questo momento di emergenza per il COVID-19:
https://www.studiolegalestefanelli.it/it.

Iniziativa lodevole. Io adotto uno stile meno formale, ma ho apprezzato molto i modelli predisposti.

domenica 15 marzo 2020

"Pandemic Planning and Implementation for Business Resiliency" dal BCI

Segnalo questa breve pubblicazione dal titolo "Pandemic Planning and Implementation for Business Resiliency" del BCI e scritta da Laura Zarrillo (che ho il piacere di conoscere personalmente):
- https://www.thebci.org/news/coronavirus-pandemic-planning-and-implementation-for-business-resiliency.html.

Ci sono molte indicazioni interessanti.

venerdì 13 marzo 2020

Rapporto Clusit 2020

Il 17 marzo sarà pubblicato il Rapporto Clusit 2020. La pagina dove prenotarlo è (dal 17 marzo!):
- https://clusit.it/rapporto-clusit/.

Il rapporto è sempre interessante, anche se negli ultimi anni è sempre più apocalittico. Ne consiglio la lettura.

martedì 10 marzo 2020

ENISA e linee guida per la sicurezza negli ospedali

Mi hanno segnalato la pubblicazione di questa interessante guida dal titolo "Procurement guidelines for cybersecurity in hospitals":
- https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services.

L'ho trovata molto interessante, anche considerando che molte cose non sono applicabili solo agli ospedali ma a tutti gli ambienti "industriali".

Inoltre ho trovato interessanti la tassonomia di minacce, visto che sono 31 divise in 5 famiglie (molto maneggevoli, ma solo di tipo informatico). Accanto a queste, ho trovato utile la lettura delle sfide (challenge) e delle vulnerabilità (che indica impropriamente come "rischi").

Le misure sono un po' deludenti in quanto alcune troppo generiche, ma forse utili per alcuni lettori non troppo esperti della materia.

Segnalo la misura G 20 (Set gateways to keep legacy systems/machines connected) relativa ai dispositivi obsoleti e vulnerabili.

sabato 7 marzo 2020

Garante, Aruba e la gestione delle prime password e delle credenziali amministrative

Questo Provvedimento del Garante mi piace un sacco (non per Aruba, ma per il contenuto tecnico, ovviamente):
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9283040.

Da una verifica al servizio PEC di Aruba a seguito di alcune segnalazioni di violazioni, il Garante ha identificato 3 criticità:
- al momento dell'assegnazione iniziale della password ai titolari delle caselle di posta, non veniva richiesta la modifica obbligatoria con anche criteri di lunghezza e complessità (questo fino al 25 settembre 2019);
- accesso ai log da Internet di persone che usavano credenziali condivise (e di tipo amministrativo);
- memorizzazione, all'interno dei file di log applicativi, di troppi dati (incluse username e password riportate in chiaro).

Immagino tutti sappiano che queste sono criticità, ma tanti di noi sanno che spesso non sono affrontate per mille motivi (soprattutto di carico di lavoro e perché, ahinoi, inizialmente il servizio non è stato progettato pensando a questo aspetto). Ora il Garante ribadisce che vanno corrette. Non ha dato alcuna multa, ma spero che questo sia sufficiente per tutti.

giovedì 5 marzo 2020

IusLaw WebRadio: tutto sullo smart working

Segnalo la puntata del 2 marzo di IusLaw WebRadio dal titolo "Tutto sullo smart working":
- https://webradioiuslaw.it/speciale-adeguamento-privacy-tutto-sullo-smart-working/.

Riassume molte delle cose che ci stiamo dicendo in questi giorni. Interessante però il fatto che, sebbene sia una puntata nata dalla situazione contingente, cerca di uscire dalla contingenza vera e propria.

Successivamente, molte cose dette a voce sono state ribadide per iscritto:
- https://www.agendadigitale.eu/sicurezza/smart-working-come-garantire-sicurezza-informatica-e-privacy/.

Aggiungo che, quando si parla di smart working, mi piacerebbe approfondire anche le tematiche non di sicurezza, visto che lo strumento può introdurre inefficienze e problemi, che poi si riversano sulla sicurezza. Esempi che mi vengono in mente: come assicurare la presenza di un ambiente "alienante" (ossia che produce ricchezza ai partecipanti grazie alla presenza degli "altri", al contrario degli ambienti "estranianti"), come evitare il senso di solitudine, come educare al movimento fisico. Segnalo che si tratta di cose di cui ho parlato con alcune persone in questi giorni, visto che le stiamo sperimentando direttamente.

BCI Horizon Scan Report 2020

Il BCI ha pubblicato il rapporto "BCI Horizon Scan Report 2020" sui rischi di interruzione delle attività:
- https://www.thebci.org/resource/bci-horizon-scan-report-2020.html.

Non è relativo ai servizi informatici, ma a tutti i tipi di organizzazione.

Il primo rischio, quest'anno, è quello di pandemia, che ha superato quello di interruzione dei servizi informatici. Nulla di sorprendente...

Sanzione del Garante in ambito sanitario

Mi hanno segnalato questo interessante provvedimento del Garante privacy "Ordinanza ingiunzione nei confronti di Azienda Ospedaliero Universitaria Integrata di Verona" del 23 gennaio 2020 (doc web 9269629):
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9269629.

Qui trovo interessante la prima osservazione del Garante (punto 6, primo elemento dell'elenco puntato). La traduco: "vi multo perché avete dimostrato di non aver adottato misure idonee, visto che sin dal 2013 vi dicevo di attuare le misure che, mancando, vi hanno portato ad una violazione di dati personali".

Traduco ulteriormente: meglio seguire le misure segnalate dal Garante.

mercoledì 4 marzo 2020

Si fa presto a dire "smart working"

Da milanese, sono interessato ad alcune cose sul corona virus. Una di queste riguarda il consiglio di attivare il lavoro da casa. Sono numerosi gli articoli e gli interventi che, in sintesi, dicono di pensare alla continuità operativa e di attivare lo smart working. Alcuni più prolissi, altri più sintetici, ma trovo pochi approfondimenti (ho già consigliato una buona pubblicazione svizzera poco tempo fa).

Nella mia vita lavorativa e in questi giorni ho però raccolto alcune indicazioni per cui dire "lavoro da casa" (o, "lavoro agile" o, in inglese, "smart working", anche se non sempre è agile - ci si alza meno dalla sedia e qualcuno ne ha sentito la fatica -, non sempre è da casa e non sempre è furbo) non è così semplice.

Prima: molti contratti non lo prevedono. E allora ringrazio la circolare di Borioli & Colombo che mi ha segnalato il fatto che sono state attivate misure provvisorie per accedere a questo strumento. Ecco il link:
- https://www.lavoro.gov.it/strumenti-e-servizi/smart-working/Pagine/default.aspx.

Interessante ricordarsi dei rischi e la circolare segnala il sito dell'INAIL (che, colpevolmente, non conoscevo per niente):
- https://www.inail.it/cs/internet/attivita/prevenzione-e-sicurezza/conoscere-il-rischio.html.

Seconda: non tutti hanno il pc portatile aziendale; non tutti quelli che ce l'hanno se l'erano portato via il venerdì sera. Ancora peggio: alcuni non hanno proprio un pc in casa (né quello aziendale). E altri ancora non hanno connessioni sufficienti per il telelavoro. Bisognava preventivamente fare un censimento della strumentazione che la persona metterebbe a disposizione e SE è disponibile a farlo. Sono questioni non semplici, su cui alcuni ci stanno lavorando da anni per trovare la giusta quadra tra le esigenze aziendali e quelle dei lavoratori.

Terza: se è richiesto il BYOD con strumenti di emergenza (ossia il pc personale che fino a ieri non era previsto fosse usato per ragioni di lavoro), come configurare questi strumenti? Come la singola persona può installarsi il software per la VPN o il software necessario? E si ricorda tutte le password? Come sopra, questo doveva essere pianificato preventivamente. Devo dire che ho visto aziende molto organizzate per questo tipo di situazione, ma la maggior parte non lo è.

Quarta: se è tutto a posto, l'organizzazione ha la capacità per sostenere tutto il traffico, che prima era interno, da Internet e sulle VPN?

Quinta: ora che la riunione non la facciamo più in una sala riunioni in azienda, riusciremo a farla ognuno in casa propria e con i bambini a casa da scuola?

Ripeto: queste sono questioni che ho visto direttamente e che mi sono state poste da alcuni clienti nel corso degli anni. Sicuramente ce ne sono altre e sarebbe interessante raccoglierle in modo da migliorare le nostre competenze.

Alla fine di questo elenco di possibili problemi, devo dire che molti hanno attivato il "lavoro da casa" con successo e quindi forse alcuni miei dubbi non sono così significativi.

martedì 3 marzo 2020

Manuale per il piano pandemico

Guido Uglietti mi ha segnalato questo interessante manuale dell'Ufficio federale della sanità pubblica della Confederazione Svizzera:
- https://www.bag.admin.ch/bag/it/home/krankheiten/ausbrueche-epidemien-pandemien/pandemievorbereitung/pandemiehandbuch.html.

E' ovvio che i tempi sono questi, ma penso che questo manuale sia fatto bene e completo (anche se, come sempre succede, in ogni situazione emergono casi particolari vari).

lunedì 2 marzo 2020

Articolo sull'accreditamento dei laboratori di VA

Appena pubblicato il mio articolo sull'accreditamento, Paolo Sferlazza di Gerico mi ha segnalato un suo articolo dal titolo "L'accreditamento dei laboratori che effettuano Vulnerabily Assessment":
- https://www.ictsecuritymagazine.com/articoli/laccreditamento-dei-laboratori-che-effettuano-vulnerabily-assessment/.

Mi pare un ottimo approfondimento su questo tipo di accreditamento.

Mio articolo sull'accreditamento

E' stato pubblicato questo mio articolo dal titolo "Accreditamento e certificazioni: regole, metodologie e norme di riferimento":
- https://www.cybersecurity360.it/legal/accreditamento-e-certificazioni-regole-metodologie-e-norme-di-riferimento/.

Mi ha chiesto un po' di lavoro di studio, visto che volevo essere sicuro dei tipi di accreditamento di cui volevo scrivere.

Mi spiace che nei ringraziamenti non appaia Stefano Ramacciotti insieme a Franco Ferrari e Alice Ravizza. Purtroppo per colpa mia e per la mia fretta di inviare l'articolo (anche se quelli di Cybersecurity 360 potrebbero correggerlo senza fatica).

Traduzione in italiano della ISO 22301

E' stata pubblicata la ISO 22301:2019 in italiano. Come spesso succede, visto che il recepimento come norma UNI e la traduzione sono successive al recepimento come norma europea (EN), la norma prende nome UNI EN ISO 22301:2019:
- http://store.uni.com/catalogo/uni-en-iso-22301-2019.

domenica 1 marzo 2020

Corona virus e privacy

Lo confesso... non ce l'ho fatta e ho risposto su LinkedIn a questo articolo dal titolo "Tutelare la privacy sui luoghi di lavoro ai tempi del coronavirus: ecco come":
- https://www.cybersecurity360.it/news/tutelare-la-privacy-sui-luoghi-di-lavoro-ai-tempi-del-coronavirus-ecco-come/.

Purtroppo ho risposto malamente anche ad uno come Luca Bolognini, da cui dovrei solo imparare.E però volevo avere un'occasione per allegare la foto che segue. Non riesco a risalire all'autore, ma spero accetti questa diffusione.


Comunque... come descritto dall'articolo, alcune aziende mandano questionari ai dipendenti, collaboratori e visitatori per chiedere se sono stati in Cina o Codogno o se sentono i sintomi del corona virus. Alcuni consulenti privacy si chiedono quanto tempo conservare questi dati e come fare l'informativa.

La risposta è già nella domanda: il trattamento è completamente inutile e proprio per questo non è possibile stabilire i tempi di conservazione dei dati e come fare l'informativa.

Una risposta più tecnica è che, per il principio di minimizzazione, meglio sarebbe non raccogliere proprio i questionari, visto che ci sono strade alternative. Ossia informare bene le persone e dire loro cosa devono fare. Fare un bello schema, magari ispirandosi alle FAQ del Ministero della salute: http://www.salute.gov.it/portale/nuovocoronavirus/dettaglioFaqNuovoCoronavirus.jsp?lingua=italiano&id=228.

Viene da chiedersi come possa essere venuto in mente alle aziende di raccogliere i dati per proteggere il proprio personale. Infatti saprebbero interpretare le risposte? Se uno dice di essere stato a Codogno, sanno cosa fare? E allora perché chiederlo a tutti e non dire semplicemente cosa devono fare quelli che sono stati a Codogno? E poi, come interpretare i sintomi?

Purtroppo alcuni pensano di fare la cosa "giusta" (e soprattutto coprirsi le spalle) inviando questionari e raccogliendo dati, senza chiedersi cosa farsene veramente e senza fare reale informazione. La burocrazia inutile, purtroppo, sembra sempre una buona soluzione, ma non lo è.

Alcuni si sono lamentati perché il Garante non si pronuncia. Ma il Garante non è competente per dire cosa fare in caso di emergenza in sanità. Quindi non sa dire se è necessario per le aziende raccogliere i dati delle persone (visitatori e dipendenti e simili) per tutelare le aziende. Quindi: prima l'autorità competente (Ministero della salute? Protezione civile? non lo so perché su questo sono assolutamente impreparato) deve dire quali misure intraprendere, poi (o consultanto preventivamente) il Garante dirà la sua nel caso in cui queste misure includano il trattamento dei dati personali.

Se consultato preventivamente, immagino chiederà (come dovremmo fare noi consulenti privacy) se è proprio necessario raccogliere i dati personali o non ci sono altre strade per ottenere gli stessi (o forse migliori) risultati.

PS: qualcuno mi ha detto che dovrei essere meno "massimalista". Sono comunque pronto a sapere se ci sono eccezioni da cosiderare (ossia aziende che devono necessariamente raccogliere dati personali per il corona virus e non possono seguire strade alternative).

martedì 25 febbraio 2020

Successo e insuccesso

Mia sorella scrive di coaching e non sempre riesco a capire l'ambito del suo lavoro. Però molte cose di cui scrive mi incuriosiscono. Questa volta segnalo quindi un articolo di Anna Gallotti e Selika Cerofolini dal titolo "2020: è tempo per una nuova definizione di successo". Credo che non sia pubblicato da qualche parte pubblica.

Provo a mandare questi due link:
- prima parte:
http://share-coach.benchurl.com/c/v?e=F8AD48&c=98BAC&t=0&l=3ADF5DA4&email=Hu
T9fCkN5V9LzXF31Fidn0kDNvJcItyC5mrjfCIPaW83Ih4P1WxctQ%3D%3D
;
- seconda parte:
http://share-coach.benchurl.com/c/v?e=FD7327&c=98BAC&t=0&l=3ADF5DA4&email=Hu
T9fCkN5V9LzXF31Fidn0kDNvJcItyC5mrjfCIPaW83Ih4P1WxctQ%3D%3D
.

Innanzi tutto bisogna considerare che il successo è un mito moderno. Viviamo nell'"illusione della meritocrazia", per citare il filosofo Alain de Botton, dove non solo riteniamo che le possibilità di scalare la vetta siano infinite, ma anche che, poiché è possibile, dobbiamo farlo, nel modo in cui ci dicono di farlo.

Però nessuno può avere successo in tutto, e sicuramente non sempre, indipendentemente da ciò che ci dicono. Il tempo per la famiglia paga spesso il prezzo di una carriera brillante ad esempio, ed è difficile essere popolari mantenendo una incrollabile integrità. La buona notizia è che possiamo scegliere quali sono le nostre priorità.

L'articolo dice altre cose interessanti. Per quanto riguarda gli argomenti di cui mi occupo, possiamo trarre questa sintetica lezione (se già non l'avessimo presa da altre parti): non si può avere la sicurezza perfetta, la qualità perfetta, la privacy perfetta, eccetera. Dobbiamo toglierci queste illusioni e decidere quali sono le priorità.

Cybersecurity Maturity Model Certification (CMMC)

Avevo già incontrato il CMMC durante la lavorazione del libro sull'IoT che sarà presentato al prossimo Security summit (o chissà quando, visto il corona-panico). Franco Vincenzo Ferrari di DNV GL Business Assurance mi ha poi inoltrato un link interessante.

Ma andiamo con ordine. Il primo link che propongo è quello dal titolo "Understanding Cybersecurity Maturity Model Certification (CMMC)":
- https://www.securityorb.com/featured/understanding-cybersecurity-maturity-model-certification-cmmc/.

Qui capisco quanto segue:
- chi vorrà lavorare con il DoD degli USA dovrà conseguire questa certificazione;
- la certificazione è basata su 5 livelli;
- a gennaio era prevista la pubblicazione del materiale anche a scopo di formazione.

Il secondo articolo (grazie a Franco) ha titolo "Cybersecurity Maturity Model Certification (CMMC) Levels" e presenta più dettagli:
- https://securityboulevard.com/2020/01/cybersecurity-maturity-model-certification-cmmc-levels/.

Il terzo URL (grazie ancora a Franco) è quello delle FAQ ufficiali:
- https://www.acq.osd.mil/cmmc/faq.html.

Quindi gli USA stanno producendo il loro schema proprietario di sicurezza informatica, promuovendo ulteriormente schemi in contrasto con quelli ISO o simili. Chi non ha poteri politici, come me, potrà solo guardare come la situazione si evolverà.

Conservazione dei documenti informatici, cloud e blockchain

Segnalo questo articolo di Andrea Lisi di ANORC dal titolo "La conservazione dei documenti informatici non si fa in cloud o in blockchain":
- https://anorc.eu/attivita/la-conservazione-dei-documenti-informatici-non-si-fa-in-cloud-o-in-blockchain/.

Il titolo dice già tutto e quindi non commento ulteriormente, ma ne raccomando la lettura.

lunedì 24 febbraio 2020

Nuova versione della ISO/IEC 27002 sugli audit agli ISMS

Franco Vincenzo Ferrari di DNV GL Business Assuranche mi ha segnalato la pubblicazione della ISO/IEC 27007:2020 dal titolo "Guidelines for information security management systems auditing":
- https://www.iso.org/standard/77802.html.

Non grandi cambiamenti rispetto alla precedente versione, a parte l'allineamento alla ISO 19011:2018, di cui scrissi a suo tempo:
- http://blog.cesaregallotti.it/2018/07/nuova-iso-190112018-guida-per-laudit.html.

sabato 22 febbraio 2020

Sistema di gestione e Gdpr: integrare Mop e Mog

Segnalo questo articolo dal titolo "Sistema di gestione e Gdpr: integrare due modelli (Mop e Mog) per evitare sanzioni":
- https://www.agendadigitale.eu/sicurezza/privacy/sistema-di-gestione-e-gdpr-integrare-due-modelli-mop-e-mog-per-evitare-sanzioni/.

L'hanno scritto due persone che stimo molto e che propongono sempre idee molto interessanti.

giovedì 20 febbraio 2020

Cifratura dei backup iPhone e Android

Da Crypto-Gram del 15 febbraio, segnalo questi due articoli sulla cifratura dei backup degli iPhone. Il primo ha titolo "Apple dropped plan for encrypting backups after FBI complained":
- https://www.reuters.com/article/us-apple-fbi-icloud-exclusive-idUSKBN1ZK1CT.

Il secondo ha titolo "Apple may have ditched encrypted backups, but Google hasn't":
- https://www.androidcentral.com/apple-may-have-ditched-encrypted-backups-google-hasnt.

Mi pare che i titoli dicano già tutto sulla questione della cifratura dei backup degli smartphone. Io sono sempre stato restio a fare i backup del mio cellulare (anche per la ridotta quantità di dati), ma a questo punto riconsidererò la cosa per l'Android.