mercoledì 30 dicembre 2020

Lezioni dall'attacco SolarWinds

A inizio dicembre è stato individuato un attacco verso il software SolarWinds Orion, usato per la gestione delle reti. Questo software è usato in molte realtà, in particolare presso i fornitori di servizi di sicurezza. La sua compromissione ha permesso agli attaccanti di creare backdoor presso gli utilizzatori. Sembra poi che forse altri software e servizi, non solo SolarWinds Orion, sono stati compromessi.

Il mio riassunto è molto sintetico. Questo, in inglese, è un po' più approfondito, anche se non troppo:
- https://www.darkreading.com/5-key-takeaways-from-the-solarwinds-breach/d/d-id/1339764.

L'articolo che ho segnalato permette anche di individuare utili lezioni per tutti. Infatti, quando sono venuto a conoscenza dell'attacco, ho inizialmente pensato che fosse importante, ma dimostrava solo che anche i prodotti di sicurezza possono essere anch'essi vettori di attacco, ma questo lo sapevamo già da parecchio tempo. Invece, ecco qui due delle lezioni proposte:
- gli strumenti di sicurezza e di gestione dei sistemi e della rete informatica non dovrebbero essere tutti integrati in un'unica piattaforma;
- gli ambienti di sviluppo, non solo quelli di produzione, vanno considerati critici per la sicurezza (ma anche questo lo sapevamo già).

giovedì 24 dicembre 2020

Privacy: nuova pagina del Garante per notificare le violazioni

Il Garante lancia un nuovo servizio online per la notifica di violazioni di dati personali:
- https://servizi.gpdp.it/databreach/s/.

Interessante non solo la semplificazione della procedura (grazie al personale del Garante, che dimostra sempre più, con il passare degli anni, di sapersi interfacciare con le parti interessate), ma anche la procedura di auto-valutazione.

ENISA Artificial Intelligence Cybersecurity Challenges

ENISA ha pubblicato il documento "AI cybersecurity challenges" (grazie a Chiara Ponti degli Idraulici della privacy):
- https://www.enisa.europa.eu/publications/artificial-intelligence-cybersecurity-challenges.

Non avevo mai parlato di intelligenza artificiale perché è una materia che ignoravo completamente. Adesso ne so qualcosa in più perché sto partecipando (come correttore di bozze, vista la mia incompetenza) a un libro in materia che uscirà a marzo. Così adesso ne so un pochino, almeno per evitare di annaspare quando vedo l'acronimo IA (o AI) al di fuori dei film e dei libri di fantascienza.

Devo dire, con sollievo, che gli autori della nostra pubblicazione avevano già considerato i punti presentati da ENISA. Anzi, in alcuni casi forse ENISA va troppo nei dettagli e ogni tanto si rischia di perdere di vista l'obiettivo dell'analisi. Però ci sono cose molto interessanti e ne raccomando la lettura.

mercoledì 23 dicembre 2020

GDPR e linee guida per lo sviluppo del CNIL

Pietro Calorio degli Idraulici della privacy mi ha segnalato la pubblicazione del "GDPR Guida per sviluppatori: La CNIL pubblica una GDPR guida per sviluppatori". Essa è la traduzione italiana della guida che avevo già commentato a giugno:
- http://blog.cesaregallotti.it/2020/06/gdpr-developers-guide-del-cnil.html.

Per chi volesse la versione originale in francese, in versione 1.0.1, è su GitHub:
- https://github.com/LINCnil/GDPR-Developer-Guide/releases/tag/V1.0.

Le recenti versioni in inglese e in italiano sono anch'esse su GitHub:
- https://github.com/LINCnil/GDPR-Developer-Guide/releases/tag/V1.0.

L'attuale versione è decisamente molto migliore di quella che avevo letto a giugno. Ancora una volta sono accennati molti elementi per la sicurezza dello sviluppo e delle applicazioni e quindi le persone interessate dovrebbero approfondirli con i link messi a disposizione. E', insomma, una lettura che raccomando.

La guida è molto concentrata sul processo di sviluppo e sulla sicurezza dell'ambiente di sviluppo, mentre i requisiti (funzionali e tecnici) da considerare per le applicazioni sono molto pochi. Speriamo nelle prossime versioni.

Webinar sulle nuove regole per i conservatori

Di conservazione e delle nuove regole pubblicate da AgID avevo parlato a suo tempo:
- http://blog.cesaregallotti.it/2020/09/nuove-linee-guida-agid-sulla-gestione.html.

Segnalo quindi questo webinar organizzato da ANORC in cui sono approfonditi alcuni aspetti:
- https://www.youtube.com/watch?v=_E-gUQS1e_M.

Segnalo in particolare il secondo intervento di Patrizia Gentili di AgID, dal minuto 44 al minuto 125, perché permette di capire le scelte fatte per le nuove regole.

mercoledì 9 dicembre 2020

Privacy e videosorveglianza: FAQ del Garante

Il Garante ha aggiornato le sue FAQ sulla videosorveglianza per adeguarle alle linee guida dell'EDPB.

Per completezza, qui segnalo l'URL della pagina del Garante sulla videosorveglianza da dove si può accedere alle FAQ (e ad altre risorse):
- https://www.garanteprivacy.it/temi/videosorveglianza.

Delle linee guida dell'EDPB avevo scritto quando furono pubblicate (febbraio 2020):
- http://blog.cesaregallotti.it/2020/02/linee-guida-edpb-su-videosorveglianza.html.

Ringrazio Franco Vincenzo Ferrari del DNV GL per la segnalazione.

martedì 8 dicembre 2020

ISO/IEC 27035 sugli incidenti ICT

A settembre è stata pubblicata la norma ISO/IEC 27035-3 dal titolo "Information technology — Information security incident management — Part 3: Guidelines for ICT incident response operations":
- https://www.iso.org/standard/74033.html.

Questa norma, rispetto alle altre 2 parti della ISO/IEC 27035, si concentra sulla gestione degli incidenti di tipo informatico.

Ci sono cose interessanti, per esempio sulle attività di analisi e sulle diverse possibili reazioni. Però la norma è molto confusa e gli argomenti sono organizzati malissimo, con molte ripetizioni e incongruenze. Peccato.

sabato 5 dicembre 2020

Privacy: sui cookie wall (seconda puntata)

Continuo a occuparmi delle modalità con cui i siti web gestiscono i cookie. Questo articolo, dal titolo "Cookie: consenso dell'interessato al legittimo interesse del Titolare" tratta della pratica, ora sempre più diffusa, di installare cookie sulla base del legittimo interesse e non del consenso:
- https://www.altalex.com/documents/news/2020/12/03/cookie-consenso-interessato-legittimo-interesse-titolare.

Io aggiungo che molti siti distribuiscono in modo a me incomprensibile le opzioni sui cookie: in parte sul consenso, in parte sul legittimo interesse. Forse per confondere l'utente o per altri motivi che non ho approfondito?

Aggiungo inoltre che, in caso di diniego del consenso, il cookie wall mi si ripresenta ogni volta che ritorno su certi siti. Cosa che non succede a chi fornisce un consenso positivo. Penso che anche questa sia una pratica scorretta.

L'articolo mi è stato segnalato da Costanza Mottino degli Idraulici della privacy e la ringrazio.