giovedì 29 ottobre 2020

Allegati nocivi per email

Mi hanno fatto notare che gli incidenti informatici registrati dovuti ad allegati nocivi alle email hanno avuto come effetto la riconfigurazione di alcuni servizi.

Un buon esempio è la pagina di Actalis che elenca gli allegati vietati per il loro servizio PEC:
- https://www.actalis.it/news-eventi/tipi-di-file-che-non-e-possibile-allegare-ad-un-messaggio-pec.aspx.

MELANI Rapporto semestrale 2020/1

Melani è la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione svizzera. Ogni 6 mesi pubblica un interessantissimo rapporto con indicati eventi, minacce e raccomandazioni relativi alla sicurezza informatico. Io sono estimatore di questo rapporto che ormai da molti anni si conferma pragmatico e preciso.

E' stato pubblicato il rapporto relativo al primo semestre 2020 ed è concentrato su come l'emergenza COVID-19 sia stata sfruttata da malintenzionati:
- https://www.melani.admin.ch/melani/it/home/dokumentation/rapporti/rapporti-di-situazione/rapporto-semestrale-2020-1.html.

Il bello di questo rapporto è che parla anche di molto altro.

Multa per smantellamento scorretto di data center

Lo smantellamento scorretto di un data centre può costare caro:
- https://www.linkedin.com/posts/nicola-vanin-b03a5451_datacenter-morganstanley-rischio-activity-6720715622830944256-XjGS.

Il post non fornisce i dettagli esatti (chi ha dato la multa e quale esattamente è stata la violazione), ma sono interessanti le considerazioni: più difficile della costruzione di un data centre è il suo smantellamento perché può comportare l'interruzione imprevista di attività. Quindi, prima di procedere, è necessario inventariare correttamente le risorse e le loro dipendenze.

Il modello Emmental per valutare gli eventi

Ho trovato divertente questa vignetta che presenta il modello Emmental per la difesa da COVID-19 (i nordamericani, ahinoi, dicono "Swiss cheese"):
- https://t.co/0vFX7vaHIS.

Mi sembra una bella rappresentazione del concetto di "difesa in profondità", per cui un solo livello di protezione non è sufficiente.

Ho poi cercato di approfondire la cosa e ho trovato questo articolo:
- https://blog.enterprisetraining.com/swiss-cheese-accident-causation-model/.

Ed ecco quali sono le lezioni che fornisce il modello Emmental:
- gli incidenti sono spesso causati dalla convergenza di più fattori;
- i fattori possono essere di molti tipi, dai comportamenti scorretti dei singoli a errori organizzativi;
- fattori molto importanti sono gli "errori latenti", che rimangono dormienti fino a quando non sono attivati da errori attivi;
- gli esseri omani sono inclini agli errori e quindi richiedono sistemi ben progettati e realizzati per prevenirli e mitigarli.

Ho letto un altro articolo dal titolo "Revisiting the Swiss cheese model of accidents":
- https://www.researchgate.net/publication/285486777_Revisiting_the_Swiss_Cheese_Model_of_Accidents.

Questo propone un'idea interessante: affinché si verifichi un incidente, devono verificarsi:
- difese inadeguate;
- comportamenti scorretti;
- precursori psicologici per i comportamenti scorretti;
- carenze organizzative (line management deficencies);
- decisioni errate della Direzione.

Sarebbero da approfondire i "precursori psicologici per i comportamenti scorretti".

Concludo sperando che qualcuno faccia (e me lo faccia vedere!) un disegno altrettanto bello di quello che ho segnalato inizialmente, ma dedicato alla sicurezza delle informazioni.

Guida NIST per la sicurezza dello storage

Il NIST ha pubblicato la SP 800-209 "Security Guidelines for Storage Infrastructure":
- https://csrc.nist.gov/publications/detail/sp/800-209/final.

E' un documento molto tecnico, ma utile a chiunque si occupa di sicurezza. Soprattutto dovrebbe essere noto a chi amministra gli le infrastrutture di storage (anche se queste persone sembrano solitamente disinteressate a documenti di questo tipo).

martedì 27 ottobre 2020

Lo stile di scrittura ISO

Sono molto attratto dalle regole di stile, non solo per ragioni professionali, ma anche per curiosità verso le regole necessarie alla nostra quotidianità (per esempio, sono un cultore de "Il saper vivere" di Donna Letizia). Quindi mi sono letto con molto piacere il "ISO house style" per la redazione degli standard:
- https://www.iso.org/ISO-house-style.html.

Al di là dei miei gusti personali, penso sia corretto usare questo riferimento per controllare meglio la scrittura dei propri documenti: uso delle maiuscole, delle abbreviazioni e degli acronimi, redazione della bibliografia, scrittura delle liste numerate e non numerate eccetera.

Imparare a imparare

Segnalo questo articolo di cui Anna Gallotti (mia sorella) è coautrice. Il titolo è "Imparare ad imparare: Fattori che permettono e facilitano il processo di apprendimento":
- http://share-coach.bmetrack.com/c/v?e=112EEA4&c=98BAC&t=0&l=3ADF5DA4&email=HuT9fCkN5V9LzXF31Fidn0kDNvJcItyC5mrjfCIPaW83Ih4P1WxctQ%3D%3D.

Credo ci siano cose molto interessanti e utili, soprattutto quando bisogna formare su qualità, sicurezza e privacy.

In particolare ho sottolineato questo passaggio: "Se è vero che ci sviluppiamo avventurandoci fuori dalla nostra zona di comfort, dovremmo stare attenti a non andare troppo oltre: l'apprendimento ottimale avviene quando ci troviamo alla giusta congiunzione tra sfida e competenza, dove non siamo appesantiti dall'ansia da una parte o dalla noia dall'altra". E quindi ripenso alle attività di formazione in cui ho fornito troppe tracce teoriche o troppi elementi lontani dalle competenze dei partecipanti.

sabato 24 ottobre 2020

Pubblicato il Regolamento in materia di perimetro di sicurezza nazionale cibernetica

E' stato pubblicato il DPCM 131 del 2020, "Regolamento in materia di perimetro di sicurezza nazionale cibernetica", come previsto dal DL 105 del 2019. Si trova (grazie a Glauco Rampogna degli Idraulici della privacy) sulla Gazzetta Ufficiale:

- https://www.gazzettaufficiale.it/eli/id/2020/10/21/20G00150/sg.

Come per il Regolamento NIS, richiede che alcuni ministeri (e la Presidenza del Consiglio dei ministri) individuino i "soggetti inclusi nel perimetro" e che poi questi rispettino misure di sicurezza, già previste dal DL 105 del 2019 (non mi risulta siano già state pubblicate).

Non c'è molto di più in questo DPCM. Mi lascia molto perplesso l'obbligo, per i soggetti inclusi nel perimetro, di trasmettere "l'architettura e la componentistica relative ai beni ICT" alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico. Infatti o queste informazioni sono critiche, e pertanto non è bene che siano diffuse, oppure un po' inutili, e pertanto si sta chiedendo un inutile e costoso lavoro burocatico ai soggetti (che dovrebbero spendere soldi ed energie in altri adempimenti).

Sull'uso improprio del termine "cibernetica": sbagliare è umano, mentre la perserveranza continua a lasciarmi sbigottito.

giovedì 22 ottobre 2020

ENISA Threat Landscape 2020

Franco Vincenzo Ferrari di DNV GL mi ha segnalato la pubblicazione dell'ENISA Threat Landscape 2020:
- https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends?tab=publications.

Come rendere complicate le cose: bisogna iniziare a leggere "The year in review", che fornisce una guida per orientarsi tra le altre 21 pubblicazioni. La pagina delle pubblicazioni, ovviamente, non le elenca in un ordine logico, ma casuale (per esempio il "The year in review" è presentato come penultimo documento e non come primo). Non è disponibile un unico file con tutti i documenti in ordine.

A questo punto ci metterò troppo tempo a consultarlo e non so se proseguirò nella lettura. Gli altri anni avevo apprezzato il lavoro fatto e quasi sicuramente lo farei anche quest'anno, ma non sopporto questa inutile prolissità e complicazione.

Azure Defender for IoT

Microsoft ha pubblicato una versione per "public review" del suo nuovo prodotto agentless per la sicurezza delle reti IoT e OT:
- https://techcommunity.microsoft.com/t5/microsoft-security-and/azure-defender-for-iot-is-now-in-public-preview/ba-p/1784329.

Non faccio pubblicità a prodotti o aziende, però questo prodotto mi sembra molto interessante. Forse ne esistono di analoghi, ma finora non ne avevo incontrati. Come minimo, vanno capite le funzionalità offerte.

martedì 20 ottobre 2020

Provvedimento verso l'Azienda Ospedaliera Cardarelli - Altre considerazioni

Avevo scritto sul Provvedimento verso l'AO Cardarelli:
- http://blog.cesaregallotti.it/2020/10/provvedimento-del-garante-verso.html.

Con Pierfrancesco Maistrello abbiamo ragionato ulteriormente su alcuni particolari.

Il primo riguarda la multa comminata al fornitore (ossia "responsabile", che però aveva insistito, scorrettamente, per essere identificato come titolare) di 60 mila Euro. Questa multa è più del triplo della cifra (17.135 Euro netti) con cui si era aggiudicato la gara, come ha trovato Pierfrancesco Maistrello sul portale della trasparenza dell'AO.

Quindi, sempre Pierfrancesco Maistrello, suggerisce la frase a effetto: "Se pensate di aver fatto un affare, ricordatevi che non considerare i rischi privacy vi può costare anche 3 volte quello che avete fatturato".

Inoltre conveniamo sul fatto che il ruolo di responsabile è generalmente più conveniente di un'autoinflitta titolarità.

In caso di mancata nomina (ossia di clausole contrattuali tra titolare e responsabile come da Art. 28 del GDPR), che fare? Dopo aver valutato se sia opportuno effettuare lo stesso il trattamento, è comunque opportuno ragionare operativamente "come se" si stesse operando da titolare, quindi ovviando alle mancanze del committente, soprattutto in tema di misure di sicurezza, oltre a segnalare l'anomalia al titolare vero e proprio.

Da parte mia noto che il rischio è solo citato, mentre la valutazione dell'adeguatezza delle misure segue più il principio per cui una violazione dimostra che le misure non sono adeguate. Non sembra che il Garante abbia chiesto una valutazione del rischio né che le aziende coinvolte l'abbiano presentata.

Pierfrancesco pensa che "la valutazione del rischio è un adempimento raro e la fanno solo i più virtuosi". Però, se non viene mai citata dai provvedimenti sanzionatori, almeno per segnalarne la mancanza, l'approccio basato sulla valutazione del rischio sarà ritenuto inutile. Nel Provvedimento verso Unicredit del dicembre 2018 (https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9076378) e in altri se ne fa un accenno, ma molto difficile da cogliere.

Ho guardato i recenti casi di violazione sul sito dell'EDPB e risulta solo un caso in cui l'autorità norvegese rileva che la valutazione del rischio non era stata ancora completata. Negli altri casi che ho guardato (due finlandesi e una danese), non è citata. Per contro, nel celebre caso della multa a British Airways (https://ico.org.uk/action-weve-taken/enforcement/british-airways/), mi sembra sia citata la valutazione del rischio (punto 6.22, parzialmente censurato) e quindi è chiaro che in questo caso l'approccio è considerato.

Purtroppo, infine, non sembra che vengano pubblicati i provvedimenti relativi ai data breach e senza sanzioni. Sarebbero interessanti da consultare per conoscere i casi positivi e poterli prendere come esempio.

giovedì 15 ottobre 2020

NISTIR 8286 sull'integrazione tra Cybersecurity Enterprise Risk Management

Il NIST ha pubblicato il documento NISTIR 8286 "Integrating Cybersecurity and Enterprise Risk Management (ERM)":
- https://csrc.nist.gov/publications/detail/nistir/8286/final.

Stavo per classificarlo come "troppo verboso e senza elementi nuovi (incluso un calcolo del rischio "quantitativo" che quantitativo non è)".

Ma arrivato a pagina 55, ecco un esempio di "Notional Enterprise Risk Register": una tabella in cui sono elencati i rischi identificati, senza che siano esaustivi e con un calcolo semplicissimo per il livello di rischio ("Exposure rating").

Questo esempio ci mostra come una valutazione del rischio possa essere molto semplice, senza dover necessariamente usare software o calcoli complessi. Ovviamente ritengo scorretto l'approccio "non esaustivo" per l'identificazione dei rischi, ma penso sia utile considerare questo esempio.

sabato 10 ottobre 2020

Uso improprio di Excel e perdita di dati

Pietro Calorio degli Idraulici della privacy ha condiviso questa notizia:
- https://www.theguardian.com/politics/2020/oct/05/how-excel-may-have-caused-loss-of-16000-covid-tests-in-england.

Riassunto: la sanità inglese consolidava i dati dei test COVID-19 su un foglio Excel. Però Excel può trattare un massimo di un milione circa di righe (65mila nelle vecchie versioni). Il risultato è che molte righe sono state perse dal foglio usato.

Un bell'esempio di perdita di integrità.

giovedì 8 ottobre 2020

Aggiornamento dei controlli NIST per la sicurezza IT nel manifatturiero

Il NIST ha aggiornato il proprio "Cybersecurity Framework Manufacturing" ed è alla versione 1.1:
- https://csrc.nist.gov/publications/detail/nistir/8183/rev-1/final.

Avrei preferito qualche approfondimento in più sulle specificità del settore manifatturiero (il cosiddetto OT) rispetto all'informatica cosiddetta d'ufficio, ma già questa pubblicazione è molto utile.

lunedì 5 ottobre 2020

Guide to Business Continuity & Resilience di Protiviti

Protiviti ha pubblicato una "Guide to Business Continuity & Resilience":
- https://www.protiviti.com/US-en/business-continuity-faq.

Non mi ha pienamente soddisfatto perché non è abbastanza pragmatica (con esempi e modelli) per essere uno strumento veramente utile e spazia troppo tra argomenti di base e considerazioni avanzate per essere utile a chi la materia la conosce già. La struttura a domande e risposte rende poi il tutto poco chiaro.

Però ci sono alcune cose interessanti, in particolare per i settori considerati (servizi finanziari, sanità, informatica, commercio al dettaglio, energia, manifattura e pubblica amministrazione).

venerdì 2 ottobre 2020

NIST Security and Privacy Controls - Un commento

Avevo segnalato poco tempo fa la pubblicazione dell'aggiornamento della SP 800-53 "Security and Privacy Controls for Information Systems and Organizations":
- http://blog.cesaregallotti.it/2020/09/nist-security-and-privacy-controls.html.

Giulio Boero l'ha letta più approfonditamente di quanto abbia fatto io e mi dice che forse l'aggiornamento di maggior rilievo rispetto alla precedente edizione è l'aggiunta di alcuni controlli volti a contrastare le nuove minacce, come p.e. quelli per la resilienza, la progettazione sicura dei sistemi, il governo della sicurezza e della privacy e della responsabilizzazione.

Giulio scrive: << Non mi piace (lo dichiaro apertamente a costo di attirarmi critiche accese) l'approccio alla protezione dei dati personali. Non è aggiungendo la parola "privacy" al titolo del documento, né tantomeno inserendo il termine "privacy" in ogni descrizione di controllo (anche in modo abbastanza opinabile) che si tratta di data protection. Confido nella sibillina frase del NIST, in coda ai punti "to do": "Control mappings to the Cybersecurity Framework and Privacy Framework (available soon)">>.

Provvedimento del Garante verso l'Azienda Ospedaliera Cardarelli di Napoli

Segnalo due provvedimenti del Garante tra loro correlati. Uno verso l'Azienda Ospedaliera Cardarelli di Napoli:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9461168.

L'altro verso il fornitore della stessa AO:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9461321.

Per un riassunto, si può vedere l'articolo nella newsletter del Garante del 30 settembre 2020:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9461344.

Questa sentenze mi interessano perché sono sanzionati:
1- l'uso di informativa "troppo breve";
2- l'uso scorretto della base giuridica del consenso (in questo caso, direi, il consenso è stato usato per il principio "non si sa mai", ma questo non è lecito);
3- l'attribuzione al fornitore di ruolo di titolare, mentre invece è responsabile (purtroppo molti fornitori di servizi si impongono come titolari dei trattamenti, nonostante siano da considerare come responsabili);
4- l'assenza nella documentazione contrattuale delle clausole richieste dall'art. 28 del GDPR (pratica molto diffusa quando la "nomina a responsabile" è vista come cosa a parte rispetto al contratto, a mio parere anche per colpa dei consulenti privacy che troppo spesso cercano di affermarsi come "speciali" e scollegati dal resto delle attività dell'organizzazione);
5- la conseguente assenza di istruzioni dal titolare al responsabile per assicurare la sicurezza dei dati.

Notare infine che al titolare è stato ordinato di pagare una multa di 80 mila euro, mentre al responsabile, anche perché ha agito in modo non previsto dal GDPR, una multa di 60mila euro. Questo dovrebbe ricordare che imporsi come titolare non è sempre la scelta più opportuna.

Guida NSA per i prodotti di autenticazione a più fattori

NSA ha pubblicato una guida dal titolo "Selecting Secure Multi-factor Authentication Solutions":
- https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/2356020/nsa-releases-cybersecurity-guidance-selecting-and-safely-using-multifactor-auth/.

E' sicuramente molto tecnica e le analisi non si concludono con un giudizio sintetico. Per questo va letta con molta attenzione.

Ricordo che il ricorso a strumenti di MFA è sempre più necessario, soprattutto (ma non solo!) per chi ha ampi privilegi sui sistemi e può accedervi da remoto. Purtroppo queste tecnologie sono ancora sottovalutate da molti.

giovedì 1 ottobre 2020

Sentenza sul controllo genitori su cellulari e pc degli adolescenti

Si è diffusa in questi giorni la notizia della sentenza del Tribunale di Parma che dispone che spetta a entrambi i genitori monitorare con costanza smartphone e pc dei figli minorenni anche attraverso filtri di controllo. Ringrazio Luca de Grazia per avermi segnalato la notizia.

Un articolo di giornale:
- https://www.ilsole24ore.com/art/i-genitori-devono-controllare-smartphone-e-pc-figli-adolescenti-ADvHxLn.

Un articolo di stampo più legale:
- https://www.studiocataldi.it/articoli/39789-i-genitori-devono-controllare-pc-e-smartphone-dei-figli-adolescenti.asp.

Non penso che il monitoraggio costante sia una buona strategia educativa, né penso che sia compito di un tribunale imporre strategie educative. E comunque tutto ciò non rientra tra le mie competenze professionali (anche se fare il genitore è comunque una professione).

Mi sembra però una sentenza molto discutibile perché impone misure di monitoraggio (meno efficaci di quelle di prevenzione) e una forma di educazione volta ad abituare i giovani alla vigilanza continua. Roba tipica dei nostri tempi e che continuo a non condividere.