A inizio dicembre è stato individuato un attacco verso il software
SolarWinds Orion, usato per la gestione delle reti. Questo software è usato
in molte realtà, in particolare presso i fornitori di servizi di sicurezza. La sua compromissione ha permesso agli attaccanti di creare backdoor presso
gli utilizzatori. Sembra poi che forse altri software e servizi, non solo
SolarWinds Orion, sono stati compromessi.
Il mio riassunto è molto sintetico. Questo, in inglese, è un po' più
approfondito, anche se non troppo:
-
https://www.darkreading.com/5-key-takeaways-from-the-solarwinds-breach/d/d-id/1339764.
L'articolo che ho segnalato permette anche di individuare utili lezioni per
tutti. Infatti, quando sono venuto a conoscenza dell'attacco, ho
inizialmente pensato che fosse importante, ma dimostrava solo che anche i prodotti di sicurezza possono essere anch'essi vettori di attacco, ma questo
lo sapevamo già da parecchio tempo. Invece, ecco qui due delle lezioni
proposte:
- gli strumenti di sicurezza e di gestione dei sistemi e della rete
informatica non dovrebbero essere tutti integrati in un'unica piattaforma;
- gli ambienti di sviluppo, non solo quelli di produzione, vanno considerati
critici per la sicurezza (ma anche questo lo sapevamo già).
Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
mercoledì 30 dicembre 2020
giovedì 24 dicembre 2020
Privacy: nuova pagina del Garante per notificare le violazioni
Il Garante lancia un nuovo servizio online per la notifica di violazioni di
dati personali:
- https://servizi.gpdp.it/databreach/s/.
Interessante non solo la semplificazione della procedura (grazie al personale del Garante, che dimostra sempre più, con il passare degli anni, di sapersi interfacciare con le parti interessate), ma anche la procedura di auto-valutazione.
- https://servizi.gpdp.it/databreach/s/.
Interessante non solo la semplificazione della procedura (grazie al personale del Garante, che dimostra sempre più, con il passare degli anni, di sapersi interfacciare con le parti interessate), ma anche la procedura di auto-valutazione.
ENISA Artificial Intelligence Cybersecurity Challenges
ENISA ha pubblicato il documento "AI cybersecurity challenges" (grazie a
Chiara Ponti degli Idraulici della privacy):
- https://www.enisa.europa.eu/publications/artificial-intelligence-cybersecurity-challenges.
Non avevo mai parlato di intelligenza artificiale perché è una materia che ignoravo completamente. Adesso ne so qualcosa in più perché sto partecipando (come correttore di bozze, vista la mia incompetenza) a un libro in materia che uscirà a marzo. Così adesso ne so un pochino, almeno per evitare di annaspare quando vedo l'acronimo IA (o AI) al di fuori dei film e dei libri di fantascienza.
Devo dire, con sollievo, che gli autori della nostra pubblicazione avevano già considerato i punti presentati da ENISA. Anzi, in alcuni casi forse ENISA va troppo nei dettagli e ogni tanto si rischia di perdere di vista l'obiettivo dell'analisi. Però ci sono cose molto interessanti e ne raccomando la lettura.
- https://www.enisa.europa.eu/publications/artificial-intelligence-cybersecurity-challenges.
Non avevo mai parlato di intelligenza artificiale perché è una materia che ignoravo completamente. Adesso ne so qualcosa in più perché sto partecipando (come correttore di bozze, vista la mia incompetenza) a un libro in materia che uscirà a marzo. Così adesso ne so un pochino, almeno per evitare di annaspare quando vedo l'acronimo IA (o AI) al di fuori dei film e dei libri di fantascienza.
Devo dire, con sollievo, che gli autori della nostra pubblicazione avevano già considerato i punti presentati da ENISA. Anzi, in alcuni casi forse ENISA va troppo nei dettagli e ogni tanto si rischia di perdere di vista l'obiettivo dell'analisi. Però ci sono cose molto interessanti e ne raccomando la lettura.
mercoledì 23 dicembre 2020
GDPR e linee guida per lo sviluppo del CNIL
Pietro Calorio degli Idraulici della privacy mi ha segnalato la
pubblicazione del "GDPR Guida per sviluppatori: La CNIL pubblica una GDPR
guida per sviluppatori". Essa è la traduzione italiana della guida che avevo
già commentato a giugno:
- http://blog.cesaregallotti.it/2020/06/gdpr-developers-guide-del-cnil.html.
Per chi volesse la versione originale in francese, in versione 1.0.1, è su GitHub:
- https://github.com/LINCnil/GDPR-Developer-Guide/releases/tag/V1.0.
Le recenti versioni in inglese e in italiano sono anch'esse su GitHub:
- https://github.com/LINCnil/GDPR-Developer-Guide/releases/tag/V1.0.
L'attuale versione è decisamente molto migliore di quella che avevo letto a giugno. Ancora una volta sono accennati molti elementi per la sicurezza dello sviluppo e delle applicazioni e quindi le persone interessate dovrebbero approfondirli con i link messi a disposizione. E', insomma, una lettura che raccomando.
La guida è molto concentrata sul processo di sviluppo e sulla sicurezza dell'ambiente di sviluppo, mentre i requisiti (funzionali e tecnici) da considerare per le applicazioni sono molto pochi. Speriamo nelle prossime versioni.
- http://blog.cesaregallotti.it/2020/06/gdpr-developers-guide-del-cnil.html.
Per chi volesse la versione originale in francese, in versione 1.0.1, è su GitHub:
- https://github.com/LINCnil/GDPR-Developer-Guide/releases/tag/V1.0.
Le recenti versioni in inglese e in italiano sono anch'esse su GitHub:
- https://github.com/LINCnil/GDPR-Developer-Guide/releases/tag/V1.0.
L'attuale versione è decisamente molto migliore di quella che avevo letto a giugno. Ancora una volta sono accennati molti elementi per la sicurezza dello sviluppo e delle applicazioni e quindi le persone interessate dovrebbero approfondirli con i link messi a disposizione. E', insomma, una lettura che raccomando.
La guida è molto concentrata sul processo di sviluppo e sulla sicurezza dell'ambiente di sviluppo, mentre i requisiti (funzionali e tecnici) da considerare per le applicazioni sono molto pochi. Speriamo nelle prossime versioni.
Webinar sulle nuove regole per i conservatori
Di conservazione e delle nuove regole pubblicate da AgID avevo parlato a suo
tempo:
- http://blog.cesaregallotti.it/2020/09/nuove-linee-guida-agid-sulla-gestione.html.
Segnalo quindi questo webinar organizzato da ANORC in cui sono approfonditi alcuni aspetti:
- https://www.youtube.com/watch?v=_E-gUQS1e_M.
Segnalo in particolare il secondo intervento di Patrizia Gentili di AgID, dal minuto 44 al minuto 125, perché permette di capire le scelte fatte per le nuove regole.
- http://blog.cesaregallotti.it/2020/09/nuove-linee-guida-agid-sulla-gestione.html.
Segnalo quindi questo webinar organizzato da ANORC in cui sono approfonditi alcuni aspetti:
- https://www.youtube.com/watch?v=_E-gUQS1e_M.
Segnalo in particolare il secondo intervento di Patrizia Gentili di AgID, dal minuto 44 al minuto 125, perché permette di capire le scelte fatte per le nuove regole.
mercoledì 9 dicembre 2020
Privacy e videosorveglianza: FAQ del Garante
Il Garante ha aggiornato le sue FAQ sulla videosorveglianza per adeguarle
alle linee guida dell'EDPB.
Per completezza, qui segnalo l'URL della pagina del Garante sulla videosorveglianza da dove si può accedere alle FAQ (e ad altre risorse):
- https://www.garanteprivacy.it/temi/videosorveglianza.
Delle linee guida dell'EDPB avevo scritto quando furono pubblicate (febbraio 2020):
- http://blog.cesaregallotti.it/2020/02/linee-guida-edpb-su-videosorveglianza.html.
Ringrazio Franco Vincenzo Ferrari del DNV GL per la segnalazione.
Per completezza, qui segnalo l'URL della pagina del Garante sulla videosorveglianza da dove si può accedere alle FAQ (e ad altre risorse):
- https://www.garanteprivacy.it/temi/videosorveglianza.
Delle linee guida dell'EDPB avevo scritto quando furono pubblicate (febbraio 2020):
- http://blog.cesaregallotti.it/2020/02/linee-guida-edpb-su-videosorveglianza.html.
Ringrazio Franco Vincenzo Ferrari del DNV GL per la segnalazione.
martedì 8 dicembre 2020
ISO/IEC 27035 sugli incidenti ICT
A settembre è stata pubblicata la norma ISO/IEC 27035-3 dal titolo
"Information technology — Information security incident management — Part 3:
Guidelines for ICT incident response operations":
- https://www.iso.org/standard/74033.html.
Questa norma, rispetto alle altre 2 parti della ISO/IEC 27035, si concentra sulla gestione degli incidenti di tipo informatico.
Ci sono cose interessanti, per esempio sulle attività di analisi e sulle diverse possibili reazioni. Però la norma è molto confusa e gli argomenti sono organizzati malissimo, con molte ripetizioni e incongruenze. Peccato.
- https://www.iso.org/standard/74033.html.
Questa norma, rispetto alle altre 2 parti della ISO/IEC 27035, si concentra sulla gestione degli incidenti di tipo informatico.
Ci sono cose interessanti, per esempio sulle attività di analisi e sulle diverse possibili reazioni. Però la norma è molto confusa e gli argomenti sono organizzati malissimo, con molte ripetizioni e incongruenze. Peccato.
sabato 5 dicembre 2020
Privacy: sui cookie wall (seconda puntata)
Continuo a occuparmi delle modalità con cui i siti web gestiscono i cookie.
Questo articolo, dal titolo "Cookie: consenso dell'interessato al legittimo
interesse del Titolare" tratta della pratica, ora sempre più diffusa, di
installare cookie sulla base del legittimo interesse e non del consenso:
- https://www.altalex.com/documents/news/2020/12/03/cookie-consenso-interessato-legittimo-interesse-titolare.
Io aggiungo che molti siti distribuiscono in modo a me incomprensibile le opzioni sui cookie: in parte sul consenso, in parte sul legittimo interesse. Forse per confondere l'utente o per altri motivi che non ho approfondito?
Aggiungo inoltre che, in caso di diniego del consenso, il cookie wall mi si ripresenta ogni volta che ritorno su certi siti. Cosa che non succede a chi fornisce un consenso positivo. Penso che anche questa sia una pratica scorretta.
L'articolo mi è stato segnalato da Costanza Mottino degli Idraulici della privacy e la ringrazio.
- https://www.altalex.com/documents/news/2020/12/03/cookie-consenso-interessato-legittimo-interesse-titolare.
Io aggiungo che molti siti distribuiscono in modo a me incomprensibile le opzioni sui cookie: in parte sul consenso, in parte sul legittimo interesse. Forse per confondere l'utente o per altri motivi che non ho approfondito?
Aggiungo inoltre che, in caso di diniego del consenso, il cookie wall mi si ripresenta ogni volta che ritorno su certi siti. Cosa che non succede a chi fornisce un consenso positivo. Penso che anche questa sia una pratica scorretta.
L'articolo mi è stato segnalato da Costanza Mottino degli Idraulici della privacy e la ringrazio.
Iscriviti a:
Post (Atom)