lunedì 30 marzo 2020

Corea del Sud e Italia, cultura e tecnologia

Anche io entro in questa amena discussione sull'applicazione usata in Corea
del Sud che permetterebbe di tracciare i movimenti delle persone e
contrastare il diffondersi del COVID-19. Un articolo tra i tanti, che mi
sembra molto esaustivo (grazie a un retweet di @brunosaetta):
- https://www.valigiablu.it/coronavirus-dati-tecnologia/.

Questo articolo, sempre su Valigia Blu, ma da un tweet di @fpietrosanti,
parla di Singapore:
-
https://www.valigiablu.it/coronavirus-singapore-contact-tracing-tecnologia-p
rivacy/
.

Molte critiche. Credo che questo articolo (da un retweet di @gbgallus)
riassuma la questione:
-
https://www.techeconomy2030.it/2020/03/21/coronavirus-contact-tracing-emerge
nza-sanitaria-cancella-altri-diritti/
.

Il mio commento è che troppo spesso si pensa alla tecnologia senza pensare a
tutti gli altri fattori (anche altri dicono, con parole più o meno diverse,
questa stessa cosa). Siamo, come al solito, in mano a quelli che ragionano
per tool e non per cultura e processi con risultati sempre negativi, come ho
già scritto in passato.

Per esempio, ecco alcuni elementi culturali a cui ho pensato e che non ho
visto approfonditi:
- nei Paesi asiatici l'uso della mascherina è molto più diffuso anche per le
"normali" influenze (guardatevi in giro e pensate a quanti non si mettono la
mascherina per non sembrare buffi; una mamma infermiera mi ha detto che sua
figlia ha pianto quando l'ha vista con la mascherina);
- nei Paesi asiatici, solitamente, le persone appena possono stanno più
distanti che da noi (giusto sabato ho visto uno che a piedi superava
un'altra a non più di 5 cm di distanza e mi sono chiesto perché tanta
fretta; al supermercato si vede sempre il "corridore" che, evidentemente per
tornare a casa in fretta, si avvicina a tutti e senza mascherina);
- nel nostro Paese il richiamo alle regole genera fastidio e anche
derisione, piuttosto che solidarietà (venerdì, dal fruttivendolo, mi sono
arrabbiato con il garzone che, senza mascherina, continuava a passarmi
vicinissimo e, ovviamente, io ho fatto la figura del rompiscatole, non lui
quella dello sconsiderato);
- non abbiamo mascherine neanche le volessimo.

Proprio il 30 marzo è uscito un articolo sul Corriere della Sera dal titolo
"Controlli: 5.000 multati (e 50 positivi in giro)". Il problema non è quindi
l'uso delle tecnologie, se una domenica 50 persone positive vanno in giro e
5.000 vanno in giro senza alcuna ragione. Mi spiace, ma forse l'articolo è
"bloccato". Ad ogni modo, il link è questo:
-
https://www.corriere.it/politica/20_marzo_30/coronavirus-sabato-nero-control
li-5000-multe-quei-50-positivi-spasso-8dae3e98-71f8-11ea-b6ca-dd4d8a93db33.s
html
.

Sulla questione delle mascherine, sempre il 30 marzo è uscito un articolo
sul Corriere della Sera:
-
https://www.corriere.it/dataroom-milena-gabanelli/coronavirus-perche-non-si-
trovano-mascherine/7233d98a-71fc-11ea-b6ca-dd4d8a93db33-va.shtml
.

Mi vengono poi ulteriori domande sulla reale capacità di usare questi
strumenti, su quante persone competenti ci sono in giro per installarli,
usarli efficacemente e mantenerli. Visto che già nelle aziende private vedo
situazioni imbarazzanti, mi permetto di avere qualche dubbio per un progetto
pubblico di questa dimensione (e ho anche dei dubbi sui tempi; ora che sarà
tutto pronto spero che l'emergenza sarà finita).

venerdì 27 marzo 2020

Linee guida AgID per usare SPID per firmare

Diego Padovan degli Idraulici della privacy ha segnalato le Linee guida AgID
contenenti le "Regole Tecniche per la sottoscrizione elettronica di
documenti ai sensi dell'art. 20 del CAD":
-
https://anorc.eu/attivita/firmare-i-documenti-con-spid-emanate-le-linee-guid
a-agid/
.

I destinatari delle Linee Guida sono i fornitori dei servizi SPID. Ma
interessa anche chi con SPID ha poco a che fare perché potrà utilizzare SPID
per sottoscrivere atti e contratti aventi validità giuridica. Molto utile.

domenica 22 marzo 2020

Corona virus e privacy (quarta parte - una riflessione)

Riccardo Lora degli Idraulici della privacy ha condiviso questa riflessione
di Matteo Flora dal titolo "La Guida Completa allo Stato di Polizia":
- https://www.youtube.com/watch?v=rsu-LHNcyEM.

Quindi c'è qualcuno che studia le cose prima di voler importare soluzioni da
altri Paesi senza un minimo di analisi!

mercoledì 18 marzo 2020

Corona virus e privacy (terza parte - EDPB)

Il 16 marzo, sempre in merito alla raccolta di dati da parte delle aziende e
all'elaborazione dei dati di posizionamento in possesso delle compagnie di
telecomunicazioni per fronteggiare l'emergenza COVID-19, l'EDPB ha fatto una
dichiarazione:
-
https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-person
al-data-context-covid-19-outbreak_it
.

Mi è sembrata meno approfondita di quello che speravo.

Ringrazio sempre la mia fonte (anonimizzata).

Corona virus e privacy (seconda parte)

Avevo scritto il 1 marzo sulle fantasiosie interpretazioni privacy ai tempi
del COVID-19:
- http://blog.cesaregallotti.it/2020/03/corona-virus-e-privacy.html.

E però non avevo detto che il giorno dopo il Garante aveva fatto un
comunicato proprio su questo argomento (ringrazio chi me l'ha segnalato):
-
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/
9282117.

Me ne scuso. Anche perché il Garante, più o meno, era sulla mia stessa linea
di pensiero. Dico "più o meno" perché la posizione del Garante è ovviamente
più approfondita della mia.

Su questo aggiungo che mi sto ponendo un'altra questione: se una persona è
venuta nei locali di un'azienda e si è successivamente accorta di essere
infetta e poi telefona all'azienda per segnalare l'evento, come deve
comportarsi l'azienda? Io, indicativamente, direi che l'azienda dovrebbe
identificare le persone e informare le persone con cui è entrata in
contatto. E quindi questa cosa andrebbe prevista e gli interessati
informati.

Certo... dovrei cercare di passare dal medico del lavoro. Però la situazione
non mi sembra facile.

Detto questo, mi è arrivata notizia che sono arrivate segnalazioni di data
breach e anche reclami relativi a persone la cui privacy è stata violata
perché positivi al COVID-19 (p.e. attraverso diffusione su social del nome
della persona, diffusione dei risultati del test, pubblicazione del
provvedimento di isolamento).

Accanto a questo trovo incredibile (e inquietante) il diffondersi delle
notizie relative ai magnifici risultati della Corea del Sud che ha usato i
dati personali dei cittadini per contrastare efficacemente il COVID-19. Su
questo ho i miei dubbi perché non ho sufficienti notizie. Forse dovremo
rimandare le valutazioni sull'efficacia degli interventi alla fine
dell'emergenza e poi dovremo anche considerare le grandi differenze tra i
nostri Paesi, che forse celano ulteriori cause per i risultati ottenuti
(ricordo, per esempio, che in certi Paesi è normale indossare la mascherina
quando si ha il raffreddore; ma dovremmo anche riflettere sui diversi regimi
politici e altre condizioni).

lunedì 16 marzo 2020

Solidarietà digitale:

Lo Studio legale Stefanelli & Stefanelli mette a disposizione dei documenti
standard, predisposti dai professionisti dello studio, soprattutto relativi
alla privacy, utili per riorganizzare i processi interni in questo momento
di emergenza per il COVID-19:
https://www.studiolegalestefanelli.it/it.

Iniziativa lodevole. Io adotto uno stile meno formale, ma ho apprezzato
molto i modelli predisposti.

domenica 15 marzo 2020

"Pandemic Planning and Implementation for Business Resiliency" dal BCI

Segnalo questa breve pubblicazione dal titolo "Pandemic Planning and Implementation for Business Resiliency" del BCI e scritta da Laura Zarrillo (che ho il piacere di conoscere personalmente):
- https://www.thebci.org/news/coronavirus-pandemic-planning-and-implementation-for-business-resiliency.html.

Ci sono molte indicazioni interessanti.

venerdì 13 marzo 2020

Rapporto Clusit 2020

Il 17 marzo sarà pubblicato il Rapporto Clusit 2020. La pagina dove
prenotarlo è (dal 17 marzo!):
- https://clusit.it/rapporto-clusit/.

Il rapporto è sempre interessante, anche se negli ultimi anni è sempre più
apocalittico. Ne consiglio la lettura.

martedì 10 marzo 2020

ENISA e linee guida per la sicurezza negli ospedali

Mi hanno segnalato la pubblicazione di questa interessante guida dal titolo
"Procurement guidelines for cybersecurity in hospitals":
-
https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-
healthcare-services
.

L'ho trovata molto interessante, anche considerando che molte cose non sono
applicabili solo agli ospedali ma a tutti gli ambienti "industriali".

Inoltre ho trovato interessanti la tassonomia di minacce, visto che sono 31
divise in 5 famiglie (molto maneggevoli, ma solo di tipo informatico).
Accanto a queste, ho trovato utile la lettura delle sfide (challenge) e
delle vulnerabilità (che indica impropriamente come "rischi").

Le misure sono un po' deludenti in quanto alcune troppo generiche, ma forse
utili per alcuni lettori non troppo esperti della materia.

Segnalo la misura G 20 (Set gateways to keep legacy systems/machines
connected) relativa ai dispositivi obsoleti e vulnerabili.

sabato 7 marzo 2020

Garante, Aruba e la gestione delle prime password e delle credenziali amministrative

Questo Provvedimento del Garante mi piace un sacco (non per Aruba, ma per il contenuto tecnico, ovviamente):
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9283040.

Da una verifica al servizio PEC di Aruba a seguito di alcune segnalazioni di violazioni, il Garante ha identificato 3 criticità:
- al momento dell'assegnazione iniziale della password ai titolari delle caselle di posta, non veniva richiesta la modifica obbligatoria con anche criteri di lunghezza e complessità (questo fino al 25 settembre 2019);
- accesso ai log da Internet di persone che usavano credenziali condivise (e di tipo amministrativo);
- memorizzazione, all'interno dei file di log applicativi, di troppi dati (incluse username e password riportate in chiaro).

Immagino tutti sappiano che queste sono criticità, ma tanti di noi sanno che spesso non sono affrontate per mille motivi (soprattutto di carico di lavoro e perché, ahinoi, inizialmente il servizio non è stato progettato pensando a questo aspetto). Ora il Garante ribadisce che vanno corrette. Non ha dato alcuna multa, ma spero che questo sia sufficiente per tutti.

giovedì 5 marzo 2020

IusLaw WebRadio: tutto sullo smart working

Segnalo la puntata del 2 marzo di IusLaw WebRadio dal titolo "Tutto sullo smart working":
- https://webradioiuslaw.it/speciale-adeguamento-privacy-tutto-sullo-smart-working/.

Riassume molte delle cose che ci stiamo dicendo in questi giorni. Interessante però il fatto che, sebbene sia una puntata nata dalla situazione contingente, cerca di uscire dalla contingenza vera e propria.

Successivamente, molte cose dette a voce sono state ribadide per iscritto:
- https://www.agendadigitale.eu/sicurezza/smart-working-come-garantire-sicurezza-informatica-e-privacy/.

Aggiungo che, quando si parla di smart working, mi piacerebbe approfondire anche le tematiche non di sicurezza, visto che lo strumento può introdurre inefficienze e problemi, che poi si riversano sulla sicurezza. Esempi che mi vengono in mente: come assicurare la presenza di un ambiente "alienante" (ossia che produce ricchezza ai partecipanti grazie alla presenza degli "altri", al contrario degli ambienti "estranianti"), come evitare il senso di solitudine, come educare al movimento fisico. Segnalo che si tratta di cose di cui ho parlato con alcune persone in questi giorni, visto che le stiamo sperimentando direttamente.

BCI Horizon Scan Report 2020

Il BCI ha pubblicato il rapporto "BCI Horizon Scan Report 2020" sui rischi
di interruzione delle attività:
- https://www.thebci.org/resource/bci-horizon-scan-report-2020.html.

Non è relativo ai servizi informatici, ma a tutti i tipi di organizzazione.

Il primo rischio, quest'anno, è quello di pandemia, che ha superato quello
di interruzione dei servizi informatici. Nulla di sorprendente...

Sanzione del Garante in ambito sanitario

Mi hanno segnalato questo interessante provvedimento del Garante privacy "Ordinanza ingiunzione nei confronti di Azienda Ospedaliero Universitaria Integrata di Verona" del 23 gennaio 2020 (doc web 9269629):
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9269629.

Qui trovo interessante la prima osservazione del Garante (punto 6, primo elemento dell'elenco puntato). La traduco: "vi multo perché avete dimostrato di non aver adottato misure idonee, visto che sin dal 2013 vi dicevo di attuare le misure che, mancando, vi hanno portato ad una violazione di dati personali".

Traduco ulteriormente: meglio seguire le misure segnalate dal Garante.

mercoledì 4 marzo 2020

Si fa presto a dire "smart working"

Da milanese, sono interessato ad alcune cose sul corona virus. Una di queste riguarda il consiglio di attivare il lavoro da casa. Sono numerosi gli articoli e gli interventi che, in sintesi, dicono di pensare alla continuità operativa e di attivare lo smart working. Alcuni più prolissi, altri più sintetici, ma trovo pochi approfondimenti (ho già consigliato una buona pubblicazione svizzera poco tempo fa).

Nella mia vita lavorativa e in questi giorni ho però raccolto alcune indicazioni per cui dire "lavoro da casa" (o, "lavoro agile" o, in inglese, "smart working", anche se non sempre è agile - ci si alza meno dalla sedia e qualcuno ne ha sentito la fatica -, non sempre è da casa e non sempre è furbo) non è così semplice.

Prima: molti contratti non lo prevedono. E allora ringrazio la circolare di Borioli & Colombo che mi ha segnalato il fatto che sono state attivate misure provvisorie per accedere a questo strumento. Ecco il link:
- https://www.lavoro.gov.it/strumenti-e-servizi/smart-working/Pagine/default.aspx.

Interessante ricordarsi dei rischi e la circolare segnala il sito dell'INAIL (che, colpevolmente, non conoscevo per niente):
- https://www.inail.it/cs/internet/attivita/prevenzione-e-sicurezza/conoscere-il-rischio.html.

Seconda: non tutti hanno il pc portatile aziendale; non tutti quelli che ce l'hanno se l'erano portato via il venerdì sera. Ancora peggio: alcuni non hanno proprio un pc in casa (né quello aziendale). E altri ancora non hanno connessioni sufficienti per il telelavoro. Bisognava preventivamente fare un censimento della strumentazione che la persona metterebbe a disposizione e SE è disponibile a farlo. Sono questioni non semplici, su cui alcuni ci stanno lavorando da anni per trovare la giusta quadra tra le esigenze aziendali e quelle dei lavoratori.

Terza: se è richiesto il BYOD con strumenti di emergenza (ossia il pc personale che fino a ieri non era previsto fosse usato per ragioni di lavoro), come configurare questi strumenti? Come la singola persona può installarsi il software per la VPN o il software necessario? E si ricorda tutte le password? Come sopra, questo doveva essere pianificato preventivamente. Devo dire che ho visto aziende molto organizzate per questo tipo di situazione, ma la maggior parte non lo è.

Quarta: se è tutto a posto, l'organizzazione ha la capacità per sostenere tutto il traffico, che prima era interno, da Internet e sulle VPN?

Quinta: ora che la riunione non la facciamo più in una sala riunioni in azienda, riusciremo a farla ognuno in casa propria e con i bambini a casa da scuola?

Ripeto: queste sono questioni che ho visto direttamente e che mi sono state poste da alcuni clienti nel corso degli anni. Sicuramente ce ne sono altre e sarebbe interessante raccoglierle in modo da migliorare le nostre competenze.

Alla fine di questo elenco di possibili problemi, devo dire che molti hanno attivato il "lavoro da casa" con successo e quindi forse alcuni miei dubbi non sono così significativi.

martedì 3 marzo 2020

Manuale per il piano pandemico

Guido Uglietti mi ha segnalato questo interessante manuale dell'Ufficio federale della sanità pubblica della Confederazione Svizzera:
- https://www.bag.admin.ch/bag/it/home/krankheiten/ausbrueche-epidemien-pandemien/pandemievorbereitung/pandemiehandbuch.html.

E' ovvio che i tempi sono questi, ma penso che questo manuale sia fatto bene e completo (anche se, come sempre succede, in ogni situazione emergono casi particolari vari).

lunedì 2 marzo 2020

Articolo sull'accreditamento dei laboratori di VA

Appena pubblicato il mio articolo sull'accreditamento, Paolo Sferlazza di Gerico mi ha segnalato un suo articolo dal titolo "L'accreditamento dei laboratori che effettuano Vulnerabily Assessment":
- https://www.ictsecuritymagazine.com/articoli/laccreditamento-dei-laboratori-che-effettuano-vulnerabily-assessment/.

Mi pare un ottimo approfondimento su questo tipo di accreditamento.

Mio articolo sull'accreditamento

E' stato pubblicato questo mio articolo dal titolo "Accreditamento e certificazioni: regole, metodologie e norme di riferimento":
- https://www.cybersecurity360.it/legal/accreditamento-e-certificazioni-regole-metodologie-e-norme-di-riferimento/.

Mi ha chiesto un po' di lavoro di studio, visto che volevo essere sicuro dei tipi di accreditamento di cui volevo scrivere.

Mi spiace che nei ringraziamenti non appaia Stefano Ramacciotti insieme a Franco Ferrari e Alice Ravizza. Purtroppo per colpa mia e per la mia fretta di inviare l'articolo (anche se quelli di Cybersecurity 360 potrebbero correggerlo senza fatica).

Traduzione in italiano della ISO 22301

E' stata pubblicata la ISO 22301:2019 in italiano. Come spesso succede, visto che il recepimento come norma UNI e la traduzione sono successive al recepimento come norma europea (EN), la norma prende nome UNI EN ISO 22301:2019:
- http://store.uni.com/catalogo/uni-en-iso-22301-2019.

domenica 1 marzo 2020

Corona virus e privacy

Lo confesso... non ce l'ho fatta e ho risposto su LinkedIn a questo articolo dal titolo "Tutelare la privacy sui luoghi di lavoro ai tempi del coronavirus: ecco come":
- https://www.cybersecurity360.it/news/tutelare-la-privacy-sui-luoghi-di-lavoro-ai-tempi-del-coronavirus-ecco-come/.

Purtroppo ho risposto malamente anche ad uno come Luca Bolognini, da cui dovrei solo imparare.E però volevo avere un'occasione per allegare la foto che segue. Non riesco a risalire all'autore, ma spero accetti questa diffusione.


Comunque... come descritto dall'articolo, alcune aziende mandano questionari ai dipendenti, collaboratori e visitatori per chiedere se sono stati in Cina o Codogno o se sentono i sintomi del corona virus. Alcuni consulenti privacy si chiedono quanto tempo conservare questi dati e come fare l'informativa.

La risposta è già nella domanda: il trattamento è completamente inutile e proprio per questo non è possibile stabilire i tempi di conservazione dei dati e come fare l'informativa.

Una risposta più tecnica è che, per il principio di minimizzazione, meglio sarebbe non raccogliere proprio i questionari, visto che ci sono strade alternative. Ossia informare bene le persone e dire loro cosa devono fare. Fare un bello schema, magari ispirandosi alle FAQ del Ministero della salute: http://www.salute.gov.it/portale/nuovocoronavirus/dettaglioFaqNuovoCoronavirus.jsp?lingua=italiano&id=228.

Viene da chiedersi come possa essere venuto in mente alle aziende di raccogliere i dati per proteggere il proprio personale. Infatti saprebbero interpretare le risposte? Se uno dice di essere stato a Codogno, sanno cosa fare? E allora perché chiederlo a tutti e non dire semplicemente cosa devono fare quelli che sono stati a Codogno? E poi, come interpretare i sintomi?

Purtroppo alcuni pensano di fare la cosa "giusta" (e soprattutto coprirsi le spalle) inviando questionari e raccogliendo dati, senza chiedersi cosa farsene veramente e senza fare reale informazione. La burocrazia inutile, purtroppo, sembra sempre una buona soluzione, ma non lo è.

Alcuni si sono lamentati perché il Garante non si pronuncia. Ma il Garante non è competente per dire cosa fare in caso di emergenza in sanità. Quindi non sa dire se è necessario per le aziende raccogliere i dati delle persone (visitatori e dipendenti e simili) per tutelare le aziende. Quindi: prima l'autorità competente (Ministero della salute? Protezione civile? non lo so perché su questo sono assolutamente impreparato) deve dire quali misure intraprendere, poi (o consultanto preventivamente) il Garante dirà la sua nel caso in cui queste misure includano il trattamento dei dati personali.

Se consultato preventivamente, immagino chiederà (come dovremmo fare noi consulenti privacy) se è proprio necessario raccogliere i dati personali o non ci sono altre strade per ottenere gli stessi (o forse migliori) risultati.

PS: qualcuno mi ha detto che dovrei essere meno "massimalista". Sono comunque pronto a sapere se ci sono eccezioni da cosiderare (ossia aziende che devono necessariamente raccogliere dati personali per il corona virus e non possono seguire strade alternative).