sabato 28 agosto 2021

Non rispondere ai troll

Segnalo questo articolo dal titolo "Perché non dovresti mai rispondere ad un commento idiota su LinkedIn (e gli altri social)":
https://www.linkedin.com/posts/andreagiuliodori_social-community-troll-activity-6831912768891842560-isrC.

Ritengo che sia utile a chiunque fa attività di formazione e sensibilizzazione, visto che i troll non esistono solo sui social, ma anche nel mondo fisico.

Grazie a un link del mio amico Andrea Merico di Methos.

ENISA Threat Landscape for Supply Chain Attacks

A fine luglio 2021, ENISA ha pubblicato un documento dal titolo "Threat Landscape for Supply Chain Attacks":
- https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks.

Lo segnalo perché al capitolo 4 e in appendice A sono riportate le descrizioni degli attacchi alle filiere di fornitura più noti. Ovviamente, può anche essere utile a chi vuole approfondire questo tipo di attacchi.

Le misure di sicurezza proposte, però, non mi sembrano assolutamente innovative. Si possono ricondurre tutte al "controlla bene i tuoi fornitori" (e d'altra parte ad esse sono dedicate solo 3 pagine).

Altra nota di interesse è il capitolo 6 dal titolo "Not everything is a supply chain attack": una paginetta che però serve a ricordarci di non concentrare l'attenzione solo su un tipo di attacco.

mercoledì 25 agosto 2021

Intelligenza Artificiale, proposto il nuovo quadro normativo europeo

Segnalo questo articolo di Altalex dal titolo (leggermente fuorviante, visto che il quadro normativo è al momento in fase di proposta) "Intelligenza Artificiale, il nuovo quadro normativo europeo" e sottotitolo "La proposta di Regolamento del Parlamento europeo e del Consiglio stabilisce norme armonizzate in materia di AI e modifica alcuni atti legislativi dell'Unione":
- https://www.altalex.com/documents/news/2021/05/20/intelligenza-artificiale-nuovo-quadro-normativo-europeo.

Non segnalo quasi mai interventi su proposte o bozze, ma penso che sia comunque opportuno cominciare a studiare il tema dell'intelligenza artificiale.

A questo proposito ricordo anche il libro (gratuito!) del Clusit dal titolo " Intelligenza artificiale e sicurezza: opportunità, rischi e raccomandazioni":
- https://iasecurity.clusit.it/.

martedì 24 agosto 2021

Riservatezza e confidenzialità

A giugno, analizzando il DL 82 del 2021, avevo notato che era usato il termine "confidenzialità" al posto di "riservatezza". Su questo mi ha risposto Stefano Ramacciotti di (ISC)2 Italy Chapter e lo ringrazio.

Insieme abbiamo elaborato la seguente sintesi: una possibile spiegazione è che il termine "riservato" è usato nell'ambito delle classifiche di segretezza che indicano il livello di segretezza di una informazione contenuta in documenti, atti, cose, materiali, luoghi, ecc., e servono a limitarne la diffusione, circoscrivendo l'ambito di quanti possono venirne legittimamente a conoscenza al fine di tutelare la sicurezza dello Stato.

Per questo, quando si tratta di documenti che non hanno a che fare con la sicurezza dello Stato, talvolta, ma non sempre, si preferisce utilizzare un termine che non rientra nelle classifiche di segretezza. Infatti, per quanto riguarda le classifiche di segretezza, la corretta traduzione di confidential in italiano è riservatissimo e non confidenziale.

Per ulteriori informazioni si veda il Decreto del Presidente del Consiglio dei ministri 6 novembre 2015, n. 5 recante "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva". Il testo è stato successivamente modificato con le disposizioni contenute nel DPCM 2 ottobre 2017, n. 3. Qui viene spiegato che le informazioni classificate vanno da Riservato (Restricted), a Riservatissimo (Confidential), a Segreto (Secret) e a Segretissimo (Top Secret).

Da notare che altri, per esempio nei Paesi anglosassoni, sono meno precisi, visto che usano sempre il termine "confidential", sia nell'ambito delle classifiche di segretezza, sia in altri contesti.

lunedì 23 agosto 2021

Misure del CSIRT per difendersi dagli attacchi ransomware

Glauco Rampogna degli Idraulici della privacy mi ha segnalato il documento del CSIRT dal titolo "Ransomware - Misure di protezione e organizzazione dei dati per un ripristino efficace":
- https://csirt.gov.it/contenuti/ransomware-misure-di-protezione-e-organizzazione-dei-dati-per-un-ripristino-efficace.

Lo ringrazio e però penso siano eccessivamente generiche per essere di vero aiuto.

Giusto per un esempio, la PR.DS-5 recita "Sono implementate tecniche di protezione (es. controllo di accesso) contro la sottrazione dei dati (data leak)". E il commento è: "Il fenomeno della double extortion è estremamente comune nei ransomware attuali, di conseguenza le tecniche di data leak prevention giocano un ruolo fondamentale nel contrasto a questo tipo di minaccia".

Quindi penso che queste misure siano espresse in modo troppo generico e, alla fine, non dicono alcunché. Peccato.

Agenzia per la cybersicurezza nazionale - Articolo

In merito al DL 82 del 2021 convertito in Legge dalla L. 109 del 2021, segnalo l'articolo di analisi di Altalex:
- https://www.altalex.com/documents/news/2021/08/19/cybersecurity-convertito-legge-decreto-ora-parole-fatti.

Non è molto approfondito, ma permette di capire cosa prevede il DL, la cui lettura è certamente difficile.

domenica 22 agosto 2021

Agenzia per la cybersicurezza nazionale - Aggiornamento

Avevo scritto dell'istituzione dell'Agenzia per cybersicurezza nazionale con il DL 82 del 2021:
- http://blog.cesaregallotti.it/2021/06/agenzia-per-la-cybersicurezza-nazionale.html.

Stefano Ramacciotti di (ISC)2 Italy Chapter mi ha segnalato che il DL è stato convertito in Legge con la Legge 109 del 2021.

La Legge 109 apporta alcune modifiche al DL. Mi sembra che le più importanti riguardino i poteri dell'agenzia per sviluppare tecnologie di sicurezza e promuovere "corsi formativi universitari in materia" e ritengo siano molto interessanti. Ovviamente bisognerà vedere cosa succederà nella realtà, ma penso che l'iniziativa sia molto positiva.

sabato 21 agosto 2021

Perimetro di sicurezza: DPCM 81 del 2021 su notifiche e misure di sicurezza

Avevo scritto a marzo della bozza di un DPCM relativo alle regole per notificare gli incidenti da parte delle organizzazioni che fanno parte del "perimetro di sicurezza nazionale cibernetica" e alle misure di sicurezza che devono applicare.

E' stato quindi approvato come DPCM 81 del 14 aprile 2021 (ma pubblicato in GU l'11 giugno):
- http://www.normattiva.it/eli/id/2021/06/11/21G00089/ORIGINAL.

Ringrazio Franco Vincenzo Ferrari di DNV per avermelo segnalato.

La lettura del DPCM è complessa perché sono presenti molti riferimenti ad altra normativa relativa al "perimetro" e non solo. Va però detto che gli approfondimenti sono necessari solo per le organizzazioni include nel perimetro, mentre le altre potrebbero ignorare completamente questo DPCM. Mi permetto però di segnalare che in Allegato B sono riportate le misure di sicurezza e ne raccomando vivamente la lettura anche a chi non lavora per organizzazioni all'interno del perimetro, ma comunque con significative esigenze di sicurezza.

A marzo avevo scritto che le misure di sicurezza erano riportate in altri documenti (lo avevo fatto con errori, segnalatomi da Giancarlo Caroti di Neumus, per cui avevo poi inviato un errata corrige). Nella versione definitiva del DPCM le misure sono riportate direttamente in un Allegato B e confesso di non aver verificato la loro aderenza ai documenti iniziali.

Però le ho lette e devo dire che mi hanno convinto e mi sembra che prevedano molti miglioramenti ad altri elenchi che avevo letto rispetto alle misure minime AgID e a quelle del "framework nazionale" (ancora una volta non ho verificato puntualmente, visto che non lo ritengo molto utile). Ovviamente ho visto alcuni refusi e ho notato alcune misure con impostazione vecchia o troppo burocratica, ma si tratta di poca cosa, se consideriamo che sono descritte in 13 dense pagine.

Aggiungo poi che le misure sono suddivise in due categorie (con fantasia indicate come "A" e "B") a seconda dell'urgenza con cui devono essere attuate. Anche questa indicazione può essere utile anche a chi non fa parte del perimetro.

A marzo avevo commentato soprattutto le regole relative alla notifica degli incidenti e le ribadisco qui, con qualche piccolo aggiornamento:
- acquista importanza lo CSIRT nazionale, a cui vanno comunicati gli incidenti;
- i tempi di comunicazione sono strettissimi e sono di un'ora per gli incidenti più gravi e 6 ore per quelli meno gravi; forse eccessivamente brevi per un'organizzazione che sarà impegnata nella loro chiusura;
- non viene detto da dove è stata ricavata la tassonomia degli incidente in allegato A ed è un peccato, visto che un riferimento autorevole ed esplicito era auspicabile (ho anche dei dubbi su alcune descrizioni di incidenti come quella troppo generica di "Perdita di confidenzialità o integrità", peraltro presente nella tabella degli incidenti "meno gravi");
- mi chiedo come questa tassonomia si integri con quella di ENISA per i fornitori di servizi eIDAS (https://www.enisa.europa.eu/publications/article19-incident-reporting-framework); non vorrei che troppe tassonomie tra loro scollegate facciano più male che bene;
- è richiesto (articolo 5) che le informazioni sugli incidenti vengano comunicate a molti soggetti e penso che questa diffusione di informazioni sia rischiosa (anche se l'allegato C specifica le misure di sicurezza da prevedere per queste informazioni, bisogna dire che sono talmente generica da non essere significative).

lunedì 2 agosto 2021

Sito No more ransom

Segnalo, dalla newsletter SANS NewsBites del 27 luglio, il sito web https://www.nomoreransom.org/.

Leggo che è disponibile in 37 lingue, mette a disposizione più di 120 strumenti per decifrare più di 150 tipi di ransomware.

Ci ho fatto un breve giro e ho trovato interessante anche il supporto fornito per riconoscere di quale ransomware si è vittime.

Ulteriore nota di interesse è la sezione "Prevention advice" (in italiano "Consigli sulla Prevenzione"), da leggere assolutamente.