sabato 30 maggio 2020

Le 7 multe più strane per aver violato la privacy e il Gdpr

Glauco Rampogna mi ha segnalato questo interessante articolo dal titolo "Le
7 multe più strane per aver violato la privacy e il Gdpr":
- https://www.wired.it/internet/regole/2020/05/25/gdpr-privacy/.

Il titolo è un po' fuorviante, ma alcune cose sono interessanti, in
particolare la multa per aver usato un normale cassonetto per eliminare i
dati in formato cartaceo.

venerdì 29 maggio 2020

Mio articolo sulla scuola e il falso mito del "tool

Avevo già scritto una breve cosa su come la scuola abbia affrontato male, da
un punto di visto informatico, l'emergenza COVID-19. Ho scritto quindi un
articolo che mi è stato pubblicato con il titolo "Shock digitale per la
scuola, smontiamo il falso mito del tool":
-
https://www.agendadigitale.eu/scuola-digitale/shock-digitale-per-la-scuola-s
montiamo-il-falso-mito-del-tool/
.

Ovviamente commento solo alcuni problemi di tipo informatico (ovviamente ne
vedo altri, ma, come il pasticcere milanese, mi limito al mio mestiere).

Mio articolo su Idiot wind

Tempo fa avevo scritto una cosa breve su un colpo di vento che aveva sparso
i documenti di un'azienda. Ho approfondito un po' la questione e ne ho fatto
un articolo, pubblicato da key4biz:
-
https://www.key4biz.it/idiot-wind-bob-dylan-puo-aiutare-nella-valutazione-de
l-rischio-aziendale/307656/
.

martedì 26 maggio 2020

Linee guida AgID per la sicurezza nel procurement ICT

Franco Vincenzo Ferrari di DNV GL mi ha segnalato la pubblicazione delle "
Linee guida: La sicurezza nel procurement ICT" di AgID:
-
https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_12
2261_725_1.html
.

A parte l'italiano lacunoso ("eleggibile" per tradurre malamente l'inglese
"eligible") o dimenticato ("procurement" al posto di "approvvigionamento"),
il documento è interessante.

All'inizio della lettura mi sembrava riportare le solite cose talmente vaghe
da essere inutili (promuovere competenza e consapevolezza, raccogliere buone
prassi e esperienze, stabilire ruoli e responsabilità, effettuare una
ricognizione dei beni e servizi informatici, classificare i beni e i servizi
informatici). Poi, misura dopo misura, emergono cose più precise e, a mio
parere, utili. Rimane un documento "di base" con alcune cose solo teoriche,
ma anche di questi documenti c'è bisogno.

venerdì 22 maggio 2020

ISO/IEC 21964 sulla distruzione dei supporti - Precisazioni 2 e 3

In merito alla ISO/IEC 21964, Sandro Sanna mi ha inviato un paio di precisazioni.

La prima riguarda la mia previsione che questa norma sarà usata per certificare prodotti o processi. Sandro mi informa che questo sta già succedendo con la DIN 66399 (ossia la norma che è stata recepita come ISO/IEC 21964). Mi ha quindi inviato un link con un esempio:
- https://www.reisswolf.com/en/reisswolf/certifications/din-66399/.

Sandro poi mi segnala che le norme DIN sono già usate in alcune norme. In particolare mi segnala la Decisione (UE, Euratom) 2019/1961, in particolare l'articolo 42 dove indica le modalità di "Distruzione e cancellazione periodiche di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET":
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32019D1961.

mercoledì 20 maggio 2020

ISO/IEC 21964 sulla distruzione dei supporti - Precisazione

Avevo scritto sulle ISO/IEC 21964 sulla distruzione dei supporti:
- http://blog.cesaregallotti.it/2020/05/isoiec-21964-sulla-distruzione-dei.html.

Michele Tassinari, che ringrazio, mi ha segnalato che l'uso dei queste norme in ambito TISAX è già prescrittivo.

In quel caso, la norma di riferimento è la DIN 66399 (la ISO/IEC 21964 è il recepimento della DIN 66399). Però lo schema rimane aperto anche per altri standard.

Nelle 2 norme sono previsti 7 livelli di distruzione.

Per la TISAX, è richiesto il livello 4 per i dati confidenziali e il livello 5 per i dati segreti.

lunedì 18 maggio 2020

Privacy: parere del Garante sul ruolo dell'OdV

Il Garante privacy ha recentemente emesso un "parere sulla qualificazione
soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall'art.
6, d.lgs. 8 giugno 2001, n. 231":
-
https://www.aodv231.it/documentazione_descrizione.php?id=3745&sheet=&tipo=ne
wsletter&Il-Garante-per-la-protezione-dei-dati-personali-sul-ruolo-dell-OdV-
in-ambito-privacy
.

In breve: i membri dell'OdV sono da considerare come "autorizzati". Alcuni
non condividono perché vedono così messa in discussione la sua autonomia, ma
intanto il parere del Garante approfondisce bene questa questione, inoltre a
me sembra logico vedere l'OdV come parte di un'azienda (titolare), anche se
indipendente da tutte le altre funzioni aziendali

Grazie a Pietro Calorio per averlo segnalato agli Idraulici della privacy.
Con gli stessi Idraulici avevamo discusso mesi or sono su questa stessa
questione ed eravamo giunti alla medesima conclusione (per fortuna...).

domenica 17 maggio 2020

ISO/IEC 21964 sulla distruzione dei supporti

Segnalo la norma ISO/IEC 21964 con titolo "Destruction of data carriers". La norma è del 2018, ma solo ora, grazie a UNI che l'ha inserita a catalogo (in lingua inglese) e a Franco Vincenzo Ferrari di DNV GL, ne sono venuto a conoscenza.

La norma è divisa in 3 parti e questo è il link alla prima parte:
- https://www.iso.org/standard/72204.html.

L'argomento è la distruzione dei supporti fisici, quindi non tratta di cancellazione sicura, ma proprio di distruzione o triturazione o tecniche simili.

La prima parte (Principles and definitions) definisce i 7 livelli di sicurezza con cui uno strumento può distruggere i supporti e le 3 classi di protezione a cui potrebbe aspirare un'organizzazione.

La seconda parte (Requirements for equipment for destruction of data carriers) tratta delle tecniche di distruzione per i diversi tipi di supporto, suddivise nei 7 livelli di sicurezza (quindi, per esempio, la carta può essere distrutta da strisce di 12mm a strisce di 1mm e un hard disk può essere reso "inutilizzabile" fino a essere distrutto in particelle di meno di 5 mm quadrati). Sono anche stabilite le specifiche di test delle tecniche.

La terza parte (Process of destruction of data carriers) riporta i requisiti dei processi di distruzione, per le 3 classi di protezione, nel caso in cui il controller provveda autonomomante, si affida a un fornitore presso la propria sede o a un fornitore presso la sede del fornitore.

Le norme usano il termine "shall" e quindi profetizzo facilmente che qualcuno, se non lo ha già fatto, si inventerà una certificazione.

sabato 16 maggio 2020

Sistemi di videoconferenza e sicurezza

Dalla newsletter Crypto-Gram di maggio, segnalo questo post sulla sicurezza delle applicazioni di video conferenza:
- https://www.schneier.com/blog/archives/2020/04/secure_internet.html.

Qui sono segnalati due rapporti, di NSA e Mozilla, sulla sicurezza delle applicazioni di videoconferenza. Confesso che nono mi sono sembrati chiarissimi.

Il rapporto NSA specifica la presenza o meno di alcune funzionalità, ma senza ulteriori spiegazioni o aiuti (ho però trovato interessante che Google assicura la cancellazione sicura solo per le versioni a pagamento).

Il rapporto di Mozilla invece fornisce chiaramente un voto sulla sicurezza (a patto di aprire le schede una per una) ma non sulla privacy. Pertanto è necessario leggere con maggiore attenzione.

Comunque sono interessanti da leggere, visto che questi sistemi sono ormai essenziali in questo periodo di COVID-19.

mercoledì 13 maggio 2020

Articolo su TISAX

A novembre 2019 avevo segnalato TISAX, uno schema relativo ai sistemi di gestione per la sicurezza delle informazioni per il settore automotive. Paolo Sferlazza di Gerico Security mi ha segnalato un suo recente articolo in materia:
- https://www.ictsecuritymagazine.com/articoli/tisax-la-valutazione-del-livello-di-maturita-della-sicurezza-delle-informazioni-nellambito-automotive/.

L'articolo è interessante e approfondisce la questione.

CERT-AgID

Nasce il CERT-AgID. La struttura si occuperà per conto di AgID di mantenere e sviluppare servizi di sicurezza preventivi e attività di accompagnamento utili alle pubbliche amministrazioni per favorire la crescita e la diffusione della cultura della sicurezza informatica:
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/05/07/cert-agid-promozione-sicurezza-informatica-nella-pa.

Il sito web è:
- https://cert-agid.gov.it/.

Questa notizia fa il paio con quella che avevo già dato poco fa sulla nascita del CSIRT italiano:
- https://csirt.gov.it/home.

Ringrazio Franco Vincenzo Ferrari di DNV GL Business Assurance per avermi segnalato la notizia.

Qualche considerazione:
- dal sito e dalla descrizione non mi sono chiarissime le differenze tra CERT-AgID e CSIRT Italia; forse il primo si occupa più di "consulenza", mentre il secondo più di monitoraggio e allerta; se così è, allora trovo fuorviante il nome "CERT" a una struttura che non svolge attività di "risposta" e anche il sito perché molto dedicato alle minacce e alle CVE (non diversamente dal sito del CSIRT Italia);
- c'è un netto miglioramento rispetto a prima, visto che avevamo 2 CERT o CSIRT (CERT PA e CERT Nazionale) e ognuno di essi faceva sia parte reattiva sia parte preventiva, solo che uno era dedicato ai privati e l'altro era dedicato alla Pubblica amministrazione, con ovvia dispersione di competenze senza una vera ragione tecnica (ci si chiede chi avesse pensato a quella suddivisione e quali ragioni tecniche presentato, oltre alla moltiplicazione delle posizioni dirigenziali);
- la documentazione è ancora poca e non datata (!), ma mi sembrano interessanti le linee guida per lo sviluppo sicuro (forse del 2019) e di configurazione del software di base (forse del 2017).

giovedì 7 maggio 2020

Incidente MailUp

La mia newsletter è su MailUp e il 25 aprile 2020 mi è stato comunicato che è stato rilevato un incidente.

Su questo evento ho visto pochissime notizie. Anzi... ho trovato solo questa:
- https://www.cybersecurity360.it/legal/privacy-dati-personali/data-breach-mailup-coinvolto-il-responsabile-del-trattamento-la-lezione-appresa/.

Interessante è il fatto che ritengano "riservate" le comunicazioni inviate, quando però è compito dei titolari fornirle agli interessati.

In sintesi, l'incidente è stato rilevato il 24 aprile e si tratta di "un sofisticato attacco ransomware di elevata intensità". Come in tutti gli attacchi ransomware, i dati sono risultati indisponibili, ma poi MailUp li ha ripristinati entro il 27 aprile. Le analisi inviate non dicono se ci sono evidenze di trasmissione dei dati.

Detto questo, i dati personali di cui io sono titolare sono gli indirizzi email dei destinatari delle newsletter. La loro violazione non presenta un rischio per i diritti e le libertà delle persone fisiche, visto che l'incapacità di ricevere la newsletter può rappresentare sì un disagio, ma non può compromettere i diritti e le libertà delle persone fisiche. Per quanto riguarda la possibile violazione della riservatezza, questa può dimostrare l'interesse dell'interessato verso la qualità, la sicurezza delle informazioni e la privacy, ossia materie che non compromettono i diritti e le libertà delle persone fisiche.

Tutto ciò considerato: non farò alcuna notifica al Garante, ma avviserò comunque gli interessati con la prossima newsletter, riportando quanto qui scritto.

mercoledì 6 maggio 2020

Rapporto semestrale MELANI

Due volte all'anno segnalo il rapporto semestrale della Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI (Svizzera):
- https://www.melani.admin.ch/melani/it/home/dokumentation/rapporti/rapporti-di-situazione/halbjahresbericht-2019-2.html.

Questa edizione mi ha fornito meno indicazioni del solito, forse perché sono troppo concentrato sul COVID-19.

Comunque sia, è sempre un'ottima lettura.

Costituito il CSIRT Italia

Dalla newsletter di DFA segnalo che è stato costituito il CSIRT Italia:
- https://csirt.gov.it/home

Il sito del neonato CSIRT Italia è avaro di informazioni utili, quindi copio (con qualche taglio ed evitando il termine "cibernetico") quanto riportato dal sito del CERT-PA.

Il CSIRT Italia raccoglie le attività in precedenza svolte dal CERT-PA e il CERT Nazionale, rispettivamente dedicate alle pubbliche amministrazioni ed al settore privato.

La decisione rientra nell'ambito del piano di attuazione della Direttiva NIS (Decreto legislativo 18 maggio 2018 n. 65) che – tra le altre misure – prevede anche in Italia la costituzione di un Computer Security Incident Response Team unico (cosiddetto CSIRT).

L'attività dello CSIRT è disciplinata dal DPCM 8 agosto 2019 in materia di "Disposizioni sull'organizzazione e il funzionamento del Computer Security Incident Response Team – CSIRT italiano", pubblicato in Gazzetta Ufficiale l'8 novembre 2019.

In tale quadro, i soggetti pubblici e privati, a partire dalla data menzionata, in caso di incidente informatico o di segnalazione di evento, hanno quale nuovo ed unico interlocutore lo CSIRT Italia, che già riceve le notifiche obbligatorie e volontarie degli operatori di servizi essenziali (cosiddetti OSE) e fornitori di servizi digitali (cosiddetti FSD) ai sensi della Direttiva NIS.

Concludo quindi con un commento personale: spero che la nuova struttura sia più utile delle precedenti, per lo meno nella parte visibile al pubblico, e promuova campagne di informazione più significative, come quelle, per esempio della svizzera MELANI.