martedì 20 ottobre 2020

Provvedimento verso l'Azienda Ospedaliera Cardarelli - Altre considerazioni

Avevo scritto sul Provvedimento verso l'AO Cardarelli:
-
http://blog.cesaregallotti.it/2020/10/provvedimento-del-garante-verso.html.

Con Pierfrancesco Maistrello abbiamo ragionato ulteriormente su alcuni
particolari.

Il primo riguarda la multa comminata al fornitore (ossia "responsabile", che
però aveva insistito, scorrettamente, per essere identificato come titolare)
di 60 mila Euro. Questa multa è più del triplo della cifra (17.135 Euro
netti) con cui si era aggiudicato la gara, come ha trovato Pierfrancesco
Maistrello sul portale della trasparenza dell'AO.

Quindi, sempre Pierfrancesco Maistrello, suggerisce la frase a effetto: "Se
pensate di aver fatto un affare, ricordatevi che non considerare i rischi
privacy vi può costare anche 3 volte quello che avete fatturato".

Inoltre conveniamo sul fatto che il ruolo di responsabile è generalmente più
conveniente di un'autoinflitta titolarità.

In caso di mancata nomina (ossia di clausole contrattuali tra titolare e
responsabile come da Art. 28 del GDPR), che fare? Dopo aver valutato se sia
opportuno effettuare lo stesso il trattamento, è comunque opportuno
ragionare operativamente "come se" si stesse operando da titolare, quindi
ovviando alle mancanze del committente, soprattutto in tema di misure di
sicurezza, oltre a segnalare l'anomalia al titolare vero e proprio.

Da parte mia noto che il rischio è solo citato, mentre la valutazione
dell'adeguatezza delle misure segue più il principio per cui una violazione
dimostra che le misure non sono adeguate. Non sembra che il Garante abbia
chiesto una valutazione del rischio né che le aziende coinvolte l'abbiano
presentata.

Pierfrancesco pensa che "la valutazione del rischio è un adempimento raro e
la fanno solo i più virtuosi". Però, se non viene mai citata dai
provvedimenti sanzionatori, almeno per segnalarne la mancanza, l'approccio
basato sulla valutazione del rischio sarà ritenuto inutile. Nel
Provvedimento verso Unicredit del dicembre 2018
(https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9076378)
e in altri se ne fa un accenno, ma molto difficile da cogliere.

Ho guardato i recenti casi di violazione sul sito dell'EDPB e risulta solo
un caso in cui l'autorità norvegese rileva che la valutazione del rischio
non era stata ancora completata. Negli altri casi che ho guardato (due
finlandesi e una danese), non è citata. Per contro, nel celebre caso della
multa a British Airways
(https://ico.org.uk/action-weve-taken/enforcement/british-airways/), mi
sembra sia citata la valutazione del rischio (punto 6.22, parzialmente
censurato) e quindi è chiaro che in questo caso l'approccio è considerato.

Purtroppo, infine, non sembra che vengano pubblicati i provvedimenti
relativi ai data breach e senza sanzioni. Sarebbero interessanti da
consultare per conoscere i casi positivi e poterli prendere come esempio.

giovedì 15 ottobre 2020

NISTIR 8286 sull'integrazione tra Cybersecurity Enterprise Risk Management

Il NIST ha pubblicato il documento NISTIR 8286 "Integrating Cybersecurity and Enterprise Risk Management (ERM)":
- https://csrc.nist.gov/publications/detail/nistir/8286/final.

Stavo per classificarlo come "troppo verboso e senza elementi nuovi (incluso un calcolo del rischio "quantitativo" che quantitativo non è)".

Ma arrivato a pagina 55, ecco un esempio di "Notional Enterprise Risk Register": una tabella in cui sono elencati i rischi identificati, senza che siano esaustivi e con un calcolo semplicissimo per il livello di rischio ("Exposure rating").

Questo esempio ci mostra come una valutazione del rischio possa essere molto semplice, senza dover necessariamente usare software o calcoli complessi. Ovviamente ritengo scorretto l'approccio "non esaustivo" per l'identificazione dei rischi, ma penso sia utile considerare questo esempio.

sabato 10 ottobre 2020

Uso improprio di Excel e perdita di dati

Pietro Calorio degli Idraulici della privacy ha condiviso questa notizia:
- https://www.theguardian.com/politics/2020/oct/05/how-excel-may-have-caused-loss-of-16000-covid-tests-in-england.

Riassunto: la sanità inglese consolidava i dati dei test COVID-19 su un foglio Excel. Però Excel può trattare un massimo di un milione circa di righe (65mila nelle vecchie versioni). Il risultato è che molte righe sono state perse dal foglio usato.

Un bell'esempio di perdita di integrità.

giovedì 8 ottobre 2020

Aggiornamento dei controlli NIST per la sicurezza IT nel manifatturiero

Il NIST ha aggiornato il proprio "Cybersecurity Framework Manufacturing" ed è alla versione 1.1:
- https://csrc.nist.gov/publications/detail/nistir/8183/rev-1/final.

Avrei preferito qualche approfondimento in più sulle specificità del settore manifatturiero (il cosiddetto OT) rispetto all'informatica cosiddetta d'ufficio, ma già questa pubblicazione è molto utile.

lunedì 5 ottobre 2020

Guide to Business Continuity & Resilience di Protiviti

Protiviti ha pubblicato una "Guide to Business Continuity & Resilience":
- https://www.protiviti.com/US-en/business-continuity-faq.

Non mi ha pienamente soddisfatto perché non è abbastanza pragmatica (con esempi e modelli) per essere uno strumento veramente utile e spazia troppo tra argomenti di base e considerazioni avanzate per essere utile a chi la materia la conosce già. La struttura a domande e risposte rende poi il tutto poco chiaro.

Però ci sono alcune cose interessanti, in particolare per i settori considerati (servizi finanziari, sanità, informatica, commercio al dettaglio, energia, manifattura e pubblica amministrazione).

venerdì 2 ottobre 2020

NIST Security and Privacy Controls - Un commento

Avevo segnalato poco tempo fa la pubblicazione dell'aggiornamento della SP 800-53 "Security and Privacy Controls for Information Systems and Organizations":
- http://blog.cesaregallotti.it/2020/09/nist-security-and-privacy-controls.html.

Giulio Boero l'ha letta più approfonditamente di quanto abbia fatto io e mi dice che forse l'aggiornamento di maggior rilievo rispetto alla precedente edizione è l'aggiunta di alcuni controlli volti a contrastare le nuove minacce, come p.e. quelli per la resilienza, la progettazione sicura dei sistemi, il governo della sicurezza e della privacy e della responsabilizzazione.

Giulio scrive: << Non mi piace (lo dichiaro apertamente a costo di attirarmi critiche accese) l'approccio alla protezione dei dati personali. Non è aggiungendo la parola "privacy" al titolo del documento, né tantomeno inserendo il termine "privacy" in ogni descrizione di controllo (anche in modo abbastanza opinabile) che si tratta di data protection. Confido nella sibillina frase del NIST, in coda ai punti "to do": "Control mappings to the Cybersecurity Framework and Privacy Framework (available soon)">>.

Provvedimento del Garante verso l'Azienda Ospedaliera Cardarelli di Napoli

Segnalo due provvedimenti del Garante tra loro correlati. Uno verso l'Azienda Ospedaliera Cardarelli di Napoli:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9461168.

L'altro verso il fornitore della stessa AO:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9461321.

Per un riassunto, si può vedere l'articolo nella newsletter del Garante del 30 settembre 2020:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9461344.

Questa sentenze mi interessano perché sono sanzionati:
1- l'uso di informativa "troppo breve";
2- l'uso scorretto della base giuridica del consenso (in questo caso, direi, il consenso è stato usato per il principio "non si sa mai", ma questo non è lecito);
3- l'attribuzione al fornitore di ruolo di titolare, mentre invece è responsabile (purtroppo molti fornitori di servizi si impongono come titolari dei trattamenti, nonostante siano da considerare come responsabili);
4- l'assenza nella documentazione contrattuale delle clausole richieste dall'art. 28 del GDPR (pratica molto diffusa quando la "nomina a responsabile" è vista come cosa a parte rispetto al contratto, a mio parere anche per colpa dei consulenti privacy che troppo spesso cercano di affermarsi come "speciali" e scollegati dal resto delle attività dell'organizzazione);
5- la conseguente assenza di istruzioni dal titolare al responsabile per assicurare la sicurezza dei dati.

Notare infine che al titolare è stato ordinato di pagare una multa di 80 mila euro, mentre al responsabile, anche perché ha agito in modo non previsto dal GDPR, una multa di 60mila euro. Questo dovrebbe ricordare che imporsi come titolare non è sempre la scelta più opportuna.

Guida NSA per i prodotti di autenticazione a più fattori

NSA ha pubblicato una guida dal titolo "Selecting Secure Multi-factor Authentication Solutions":
- https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/2356020/nsa-releases-cybersecurity-guidance-selecting-and-safely-using-multifactor-auth/.

E' sicuramente molto tecnica e le analisi non si concludono con un giudizio sintetico. Per questo va letta con molta attenzione.

Ricordo che il ricorso a strumenti di MFA è sempre più necessario, soprattutto (ma non solo!) per chi ha ampi privilegi sui sistemi e può accedervi da remoto. Purtroppo queste tecnologie sono ancora sottovalutate da molti.

giovedì 1 ottobre 2020

Sentenza sul controllo genitori su cellulari e pc degli adolescenti

Si è diffusa in questi giorni la notizia della sentenza del Tribunale di Parma che dispone che spetta a entrambi i genitori monitorare con costanza smartphone e pc dei figli minorenni anche attraverso filtri di controllo. Ringrazio Luca de Grazia per avermi segnalato la notizia.

Un articolo di giornale:
- https://www.ilsole24ore.com/art/i-genitori-devono-controllare-smartphone-e-pc-figli-adolescenti-ADvHxLn.

Un articolo di stampo più legale:
- https://www.studiocataldi.it/articoli/39789-i-genitori-devono-controllare-pc-e-smartphone-dei-figli-adolescenti.asp.

Non penso che il monitoraggio costante sia una buona strategia educativa, né penso che sia compito di un tribunale imporre strategie educative. E comunque tutto ciò non rientra tra le mie competenze professionali (anche se fare il genitore è comunque una professione).

Mi sembra però una sentenza molto discutibile perché impone misure di monitoraggio (meno efficaci di quelle di prevenzione) e una forma di educazione volta ad abituare i giovani alla vigilanza continua. Roba tipica dei nostri tempi e che continuo a non condividere.