martedì 25 maggio 2021

Aggiornamento legislativo IT

Ho pubblicato una mia presentazione ("Aggiornamento legislativo 2021") sulla normativa legale applicabile alle certificazioni ISO 9001, ISO/IEC 27001 e non solo:
- https://www.cesaregallotti.it/Pubblicazioni.html.

Ogni segnalazione di errore o di omissione sarà ben accetta.

lunedì 24 maggio 2021

Attacco a Colonial Pipeline

Colonial Pipeline è una società statunitense dedicata al trasporto di carburante. Ad aprile 2021 è stata attaccata da un ransomware e ha quindi dovuto chiudere temporaneamente alcuni chilometri di rete:
- https://www.theguardian.com/technology/2021/may/08/colonial-pipeline-cyber-attack-shutdown.

Infine, ha pagato il riscatto per sbloccare i propri sistemi informatici:
- https://arstechnica.com/gadgets/2021/05/colonial-pipeline-resumes-operations-after-ransomware-prompted-closure/.

Al momento non mi sembra siano stati scritti articoli di maggior approfondimento dei dettagli su come l'attacco sia stato possibile. Ho trovato alcune dichiarazioni di esperti di sicurezza, ma è evidente, dalla loro genericitià, che le hanno fatte senza informazioni ulteriori.

La Cybersecurity and Infrastructure Security Agency aveva lanciato un allarme già a ottobre 2020, dopo aver studiato un altro attacco (mi sembra che la vittima, in questo caso, sia stata anonimizzata):
- https://us-cert.cisa.gov/ncas/alerts/aa20-049a.

Mi aggancio proprio a questo rapporto, dove la misura tecnica più importante è quella della segmentazione delle reti. Ovviamente si tratta di una misura costosa e impopolare presso gli operatori (che dovrebbero quindi avere computer o partizioni distinte per leggere le email e per svolgere le operazioni tecniche), ma sembra sia l'unica possibile. Oltre, ovviamente, all'autenticazione a più fattori per accedere da remoto (altra soluzione "scomoda", ma necessaria).

Tra l'altro, il rapporto approfondisce altre questioni, spesso dimenticate dagli esperti di sicurezza: in certi settori, le emergenze di sicurezza sicurezza IT sono molto sottovalutate rispetto a quelle operative e prevedere opeazioni manuali in caso di indisponibilità dei sistemi IT.

Meglio lasciare la lettura al rapporto (molto sintetico, ma, ripeto, molto significativo) del CISA.

Inutile dire che questo tipo di attacco non riguarda solo le reti di trasporto dei carburanti, ma tutti i settori:
- https://www.theguardian.com/technology/2021/may/13/colonial-pipeline-ransomware-attack-cyber-crime.

domenica 23 maggio 2021

Vietato contattare per recuperare il consenso (puntata 2)

Avevo pubblicato un post dal titolo "Vietato contattare per recuperare il consenso negato in precedenza" in cui si segnalava che la Cassazione aveva confermato un parere del Garante sulla questione in oggetto:
- http://blog.cesaregallotti.it/2021/05/vietato-contattare-per-recuperare-il.html.

Davide Foresti mi ha segnalato che ho fatto un po' di confusione sui provvedimenti "originari" del Garante.

Dice che "la sentenza di Cassazione si riferisce al provvedimento del Garante del giugno 2016 ('solo' 5 anni fa..)":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5255159.

Io, su LinkedIn, avevo invece fatto confusione e avevo segnalato un altro link, ad un Provvedimento del 2018, sempre relativo al trattamento di utenze telefoniche per finalità di marketing, ma non oggetto della sentenza di Cassazione:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8233539.

Ringrazio per la correzione e la diffondo.

Codici di condotta privacy

In questo periodo stanno maturando alcune iniziative in merito ai codici di condotta.

Il primo che segnalo è stato approvato da EDPB (anche se non è ancora disponibile il resoconto dell'incontro 49 del 19 aprile), e quindi si promuove come codice a livello europeo. Esso riguarda i servizi cloud:
- https://www.codeofconduct.cloud/.

Esso è un codice che esisteva già in passato e adesso è stato approvato da EDPB. Purtroppo il sito è fuorviante perché presenta il registro degli aderenti pre-2021.

Non mi risulta poi che siano stati identificati gli organismi di monitoraggio dei codici di condotta.

Il secondo è sempre stato oggetto di decisione da parte di EDPB il 19 aprile. La pagina del Garante belga, che ha avviato la procedura, fornisce alcuni dettagli, oltre al provvedimento di accreditamento dell'OdM (Scope Europe):
https://www.autoriteprotectiondonnees.be/citoyen/lautorite-de-protection-des-donnees-approuve-son-premier-code-de-conduite-europeen.

Il sito è questo:
- https://eucoc.cloud/.

Il Codice, purtroppo, può essere richiesto solo fornendo i propri dati (alla faccia della minimizzazione). Inoltre anche qui c'è un registro di aderenti quando ancora il tutto non era accreditato e, anche in questo caso, la cosa mi lascia perplesso.

Il terzo è il codice relativo alle informazioni commerciali, ossia alle attività che svolgono alcune società ("i fornitori") di analisi di potenziali clienti e partner, ed è solo a carattere nazionale (italiano). Non è nuovo perché era già stato approvato nel 2019, ma è stato modificato dopo aver accreditato l'Organismo di monitoraggio (indicato sempre e solo come "OdM" e quindi non capisco se è una società già esistente o un ente specifico per questo scopo).

Do il link alla notizia, da cui è possibile accedere al codice e all'accreditamento dell'OdM:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9585460.

Ho il timore di aver sbagliato qualcosa e quindi sono benvenute le
correzioni.

venerdì 21 maggio 2021

Assicurazioni e ransomware

L'assicurazione Axa ha ufficialmente smesso di offrire copertura per il pagamento di ransomware.

Questo dopo che sono state espresse delle preoccupazioni da parte di esponenti della sicurezza francese sulla eccesiva diffusione del ransomware:
- https://www.insurancejournal.com/news/international/2021/05/09/613255.htm.


Per tutta risposta il mondo del cybercrime afferma di avere compromesso Axa per punire la sua presa di posizione.
- https://www.bleepingcomputer.com/news/security/insurer-axa-hit-by-ransomware-after-dropping-support-for-ransom-payments/.

Questa notizia me l'ha data Enos D'Andrea che ringrazio.

sabato 15 maggio 2021

When AIs start hacking

Segnalo questo articolo di Bruce Schneier dal titolo "When AIs Start Hacking":
- https://www.schneier.com/blog/archives/2021/04/when-ais-start-hacking.html.

Non mi pare dica nulla di innovativo, ma è comunque un piacere leggerlo.

Schneier fa riferimento a un suo documento molto più esteso (54 pagine, quasi un libro) dal titolo "The Coming AI Hackers":
- https://www.belfercenter.org/publication/coming-ai-hackers.

Non ho avuto il coraggio di leggerlo, ma non mi pare aggiunga molto, tranne il fatto che Bruce Schneier scrive sempre molto bene e dice comunque cose interessanti e intelligenti.

giovedì 13 maggio 2021

Rapporto semestrale NCSC 2020/2

Si chiamava MELANI, oggi si chiama NCSC e a mio parere pubblica uno dei rapporti di sicurezza informatica più interessanti e chiari. Lo si trova in italiano:
https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2020-2.html.

E' anche disponibile in inglese, ma, a dimostrazione della qualità del rapporto, l'italiano è molto corretto e chiaro (tra l'altro, senza inutili e vezzose maiuscole e inglesismi fuori luogo).

giovedì 6 maggio 2021

Articolo su evoluzione e confusione nelle norme ISO/IEC 27xxx

Paolo Sferlazza ha pubblicato un articolo dal titolo "Evoluzione e confusione nella famiglia delle norme ISO/IEC 27xxx":
https://www.ictsecuritymagazine.com/articoli/evoluzione-e-confusione-nella-famiglia-delle-norme-iso-iec-27xxx/.

Non penso che la situazione sarà così confusa come paventato da Paolo, ma credo comunque che valga la pena considerare il suo punto di vista e prepararsi all'uscita della nuova edizione della ISO/IEC 27002, prevista per fine 2021 o inizio 2022.

mercoledì 5 maggio 2021

Sul regolamento europeo per l'intelligenza artificiale

In questi giorni si è parlato molto della bozza di regolamento europeo sull'intelligenza artificiale. Non mi piace parlare delle bozze di leggi e regolamenti perché poi le versioni definitive sono diverse (come abbiamo visto con le bozze del GDPR).

Però questo articolo di Luca Sambuci, a mio parere, chiarisce alcuni aspetti relativi all'intelligenza artificiale che a mio parere è bene conoscere:
- https://www.notizie.ai/sul-regolamento-europeo-per-lintelligenza-artificiale-ce-ancora-molto-da-fare/.

sabato 1 maggio 2021

Vietato contattare per recuperare il consenso negato in precedenza

Glauco Rampogna ha segnalato agli idraulici della privacy un interessante articolo dal titolo "Vietato contattare i consumatori per incassare il consenso negato in precedenza":
- http://www.cassazione.net/vietato-contattare-i-consumatori-per-incassare-il-consenso-negato-in-precedenza-p43393.html.

La lettura dell'articolo richiede l'abbonamento a cassazione.net.

Esso fa riferimento alla sentenza 11019/2021 della Sez prima della Cassazione Civile del 26 aprile 2021. Si può leggerla indicando il Numero/Anno sentenza sulla pagina http://www.italgiure.giustizia.it/sncass/.

Direi che già il titolo fa capire completamente la questione.

A me interessa anche perché qualche cliente in passato mi aveva fatto domande proprio su questa questione.

Purtroppo sul sito del Garante non sono riuscito a trovare il provvedimento specifico.

Privacy: Blacklight analizzatore di siti web

Mi scrive Glauco Rampogna, Idraulico della privacy: non male questo analizzatore di siti web:
- https://themarkup.org/blacklight.

Anche a me sembra ben fatto.