sabato 21 novembre 2020

La privacy ai tempi del COVID - Un piccolo caso

Segnalo questo "piccolo" incidente per cui è stato mandato un reclamo (o una segnalazione di violazione) al Garante.

Penso sia interessante per ricordarci come la privacy richieda attenzione anche nelle cose apparentemente più semplici.

In una scuola un bambino ha segnalato la propria positività al COVID. Allora la scuola ha fatto una comunicazione in bacheca raccomandando a tutti i suoi compagni di classe di fare il tampone e fornendo indicazioni su dove andare.

Però... la circolare in bacheca riportava i destinatari: tutti gli alunni della classe, tranne il positivo!

venerdì 20 novembre 2020

Guida (parziale) alla privacy nel mondo

Claudio Sartor, che ringrazio, mi ha scritto quanto segue.

Ho letto il suo articolo in merito alle raccomandazioni dell'EDPB per i trasferimenti extra SEE (http://blog.cesaregallotti.it/2020/11/privacy-e-edpb-raccomandazioni-per-i.html). Sebbene al momento anche io non sia al corrente di un sito contenente "tutti i 200 Paesi del mondo con indicate le caratteristiche da considerare quando vi si vogliono esportare dati personali", segnalo il lavoro "Deloitte Asia Pacific Privacy Guide" che almeno indirizza l'area Asia Pacific (APAC):
- https://www2.deloitte.com/nz/en/pages/risk/articles/deloitte-asia-pacific-privacy-guide.html.

In effetti il documento è molto interessante, anche se forse è troppo prudente nell'esplicitare le criticità relative alla privacy e presenti nei Paesi considerati.

sabato 14 novembre 2020

ENISA Guidelines for Securing the IoT

ENISA ha pubblicato nuove linee guida sulla sicurezza dell'IoT dal titolo "Guidelines for Securing the Internet of Things":
- https://www.enisa.europa.eu/publications/guidelines-for-securing-the-internet-of-things.

Introduce alcuni concetti che mancavano dalla precedente "Good practices for security of IoT: Secure Software Development Lifecycle", dedicata al solo software e che segnalai a suo tempo
(http://blog.cesaregallotti.it/2019/11/enisa-good-practices-for-security-of-iot.html). Questa guida tratta di tutti componenti dell'IoT, inclusi quelli fisici.

Commento: apprezzo molto questi lavori di ENISA. Purtroppo però l'organizzazione dei documenti di ENISA rende difficile capire i collegamenti tra loro e questo è un peccato.

Privacy e EDPB: Linee guida sulla privacy by design e by default

Mi hanno segnalato la pubblicazione della versione 2.0 delle "Guidelines 4/2019 on Article 25: Data Protection by Design and by Default":
- https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42019-article-25-data-protection-design-and_en.

La lettura è molto interessante e in qualche modo riassume efficacemente molti concetti del GDPR. Però attenzione che non si tratta di una guida alle misure di sicurezza. Queste sono trattate in modo molto sommario e con un solo esempio al punto 3.8 quando parla di integrità e riservatezza.

Un'altra cosa mi ha dato da pensare ed è il suggerimento di determinare KPI per valutare l'efficacia delle misure privacy. Qui l'EDPB, purtroppo, dà ascolto ai cattedradici e promuove KPI quantitativi e qualitativi, senza però proporne di veramente significativi. Gli esempi per i quantitativi sono: percentuali di falsi positivi e falsi negativi (senza però dire di cosa), riduzione dei reclami, riduzione dei tempi di risposta agli interessati quando esercitano i propri diritti (notare che questi KPI sono dichiarati male, visto che le "riduzioni" sono obiettivi che, inoltre, oltre un certo limite, dovrebbero diventare "mantenimento"). Gli esempi per i qualitativi sono talmente generici che non aiutano molto. Però poi arriva la vera raccomandazione appropriata e applicabile: dimostrare le ragioni per cui le misure scelte si ritengono efficaci (ossia, traduco io, presentare una valutazione del rischio).

Infine: mi fa specie vedere che anche l'EDPB fa un uso inutile e scorretto di iniziali maiuscole, soprattutto quando il GDPR, da questo punto di vista, è corretto.

Comunque sia: raccomando la lettura di queste linee guida per la loro ottima sintesi (38 pagine, inclusive di copertina e indice), il rigore, la completezza e la pragmatica. Al di là delle mie insignificanti critiche, questo è un documento esemplare.

Privacy e EDPB: raccomandazioni per i trasferimenti extra SEE

L'EDPB ha messo in consultazione pubblica le raccomandazioni sui trasferimenti dei dati personali al di fuori dello SEE: "Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data":
- https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en.

Innanzi tutto ricordiamoci che non è ancora un documento ufficiale, ma in consultazione pubblica.

Non tratta solo del trasferimento dei dati negli USA, ma è un'opinione più generale. E sono generali anche le raccomandazioni, tra cui quella di verificare per bene la normativa del Paese importatore, e non sono forniti strumenti semplici da consultare. Ovviamente il sogno sarebbe un sito con tutti i 200 Paesi del mondo con indicate le caratteristiche da considerare quando vi si vogliono esportare dati personali. Devo dire che siamo ancora lontanissimi da questo sogno e organi come l'EDPB dovrebbero farsi carico di queste necessità, visto che non è pensabile che migliaia di aziende (e non parlo dei DPO, le cui competenze sono troppo spesso dubbie sulle basi e quindi non possiamo aspettarci molto quando si tratta di un argomento complesso come questo) si facciano le proprie analisi di adeguatezza così come suggerite.

Grazie a Glauco Rampogna degli Idraulici della privacy per la segnalazione.

Privacy: sui cookie wall

Segnalo questo interessante video di Pietro Calorio su LinkedIn su come funzionano (male) i cookie wall:
- https://www.linkedin.com/posts/pietrocalorio_privacy-dataprotection-eprivacy-activity-6732293325866504192-j1b5.

Il video è artigianale, ma fa vedere chiaramente come sono fatti male i cookie wall. Nella migliore delle ipotesi sono estenuanti per l'utente che li rifiuta. Ne sono testimone ogni volta che vado sui siti di Amazon e molti altri perché ogni volta mi chiedono di confermare le scelte (cosa che non fanno con chi accetta i loro cookie).

mercoledì 11 novembre 2020

Furto di dati a causa di un server AWS mal configurato

La notizia, dal SANS NewsBites del 10 novembre, è che sono stati violati 24,4 GB di dati relativi a ospiti di hotel a causa di un AWS S3 bucket mal configurato:
- https://www.websiteplanet.com/blog/prestige-soft-breach-report/.

Sul SANS ricordano che sono disponibili linee guida per configurare in modo sicuro i server sul cloud. Quello del CIS specifico per AWS:
- https://www.cisecurity.org/blog/cis-benchmarks-september-2020-update/.

La stessa Amazon mette a disposizione strumenti e linee guida per la corretta configurazione e verifica dei server:
- https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html.

Non so esattamente quale errore di configurazione sia stato sfruttato, né so se è stato frutto di distrazione o di incompetenza. Vedo però che ancora molti sottovalutano l'importanza di una corretta configurazione dei server cloud. Allora è bene ripeterlo: la configurazione iniziale dei server cloud non è ottimale per la sicurezza e quindi vanno sempre previste attività di hardening e quindi chi si occupa di questi server deve avere (o acquisire) le necessarie competenze.