mercoledì 29 giugno 2022

VERA 7 per la valutazione del rischio

Ho pubblicato la versione 7 del VERA il mio foglio di calcolo per la
valutazione del rischio:
- https://www.cesaregallotti.it/Pubblicazioni.html.

Riporta, come la versione 6, i controlli della ISO/IEC 27001 del 2013 e del
2022 (con lista di riscontro).

Questa è una versione "sperimentale", dove sono stati uniti il foglio per la
valutazione delle minacce e quello per il calcolo del rischio, in modo da
renderlo utilizzabile anche per l'analisi di altri rischi. In questo modo,
forse, è più semplice aggiungere e togliere minacce e controlli di
sicurezza.

Al momento non prevedo di farne una versione in inglese, in attesa di essere
sicuro del suo funzionamento.

I controlli del 2022 in italiano non sono nella traduzione ufficiale perché
non ancora disponibile.

Invito tutti gli utilizzatori a commentarlo, segnalarmi errori e difficoltà
di utilizzo.

martedì 28 giugno 2022

PEC e REM

Franco Vincenzo Ferrari d DNV mi ha segnalato la pubblicazione dello
standard ETSI EN 319 532-4 sull'interoperabilità dei sistemi di recapito
qualificato (REM). La notizia è stata diffusa da AgID:
-
https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2022/06/27
/pubblicato-il-nuovo-standard-etsi-pec-europea-diventa-realta
.

Questo vuol dire che la PEC si evolverà nella cosiddetta REM. Non mi sembra
siano ancora stati emessi i decreti relativi e quindi stabiliti i tempi.

lunedì 27 giugno 2022

Vietare Google Analytics

Il Garante privacy, in pochissime parole, ha vietato l'uso di Google
Analytics in quanto opera un trasferimento eccessivo di dati negli USA.
Gentilmente, il Garante lascia tempo di adeguarsi fino a inizio settembre.
Il Provvedimento:
- https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9782890.

A questo proposito, segnalo questo articolo che mi sembra spieghi tutto in
modo chiaro e sintetico:
-
https://www.agendadigitale.eu/sicurezza/google-analytics-illegale-secondo-il
-garante-privacy-e-ora/


Ci sono alternative, di cui ho avuto notizia tramite Twitter (e quindi, per
quanto mi riguarda, tutte da verificare):
- https://www.simpleanalytics.com/ (servizio in Europa);
- https://webanalytics.italia.it/ (solo per le pubbliche amministrazioni
italiane);
- https://matomo.org/ (può essere installato su propri server).

Mancanza di esperti di sicurezza (cyber)

Segnalo questo articolo dal titolo "Cybersicurezza in Italia: perché non si
trovano candidati?":
-
https://www.guerredirete.it/cybersicurezza-italia-perche-non-si-trovano-cand
idati/
.

Posso dire che non si accenna ai corsi tecnici di sicurezza. Si elencano i
molti master promossi da università o istituti simili, mentre andrebbero
anche considerate le offerte sia dei produttori dei sistemi informatici
(Microsoft, per dirne uno) sia di istituti di tipo più tecnologico (come il
SANS).

Anche in questo caso il panorama è complesso e lo dimostra anche il fatto
che io e Fabio Guasconi non abbiamo avuto ancora il coraggio di aggiornare
il Quaderno Clusit "Certificazioni Professionali in Sicurezza Informatica",
la cui ultima edizione è del 2013 (però stiamo facendo ripartire i lavori e
quindi ne approfitto per segnalare che sono disponibile a ricevere
contributi). Il Quaderno è disponibile qui:
- https://clusit.it/pubblicazioni/.

Mi sembra che l'argomento sia ben affrontato e approfondito dall'articolo e
quindi non ho altro da aggiungere. Posso solo consigliarne la lettura.

Minacce e attacchi: operazione "Finestra sul cortile"

La storia è recente ed è diventata subito molto nota: alcuni malfattori
hanno ottenuto accesso a numerose telecamere di sorveglianza e vendevano le
immagini raccolte:
-
https://www.repubblica.it/tecnologia/blog/digital-europe/2022/06/09/news/mil
ano_hacker-353195287/
.

Mi sembra che l'articolo metta in luce gli aspetti salienti:
- l'inutilità di molte installazioni di telecamere;
- la pericolosità che queste installazioni comportano proprio perché possono
essere compromesse;
- l'incompetenza di molti installatori.

Questo attacco ha dimostrato che gli oggetti usati quotidianamente possono
essere facilmente compromessi ed è importante prestare molta attenzione
quando si sceglie di utilizzarli. Tra l'altro, dimostra che bisogna sempre
riflettere sull'opportunità di installare certe misure di sicurezza,
soprattutto se moderatamente efficaci e altamente vulnerabili.

Tra l'altro, piuttosto che installare telecamere, ossia misure di
rilevazione, in molti ambienti sarebbe opportuno investire in misure
preventive. Negli spogliatoi, per esempio, sarebbe stato più opportuno
investire in armadietti robusti. Questa è una lezione sempre valida
nell'ambito della sicurezza.

sabato 25 giugno 2022

Rete indisponibile per Clouflare

Cloudflare è un fornitore di servizi web e il 21 giugno 2022 ha avuto un
blocco della rete di 75 minuti. La causa? Un cambiamento non riuscito:
-
https://www.govinfosecurity.com/cloudflare-outage-whacks-19-data-centers-for
-global-traffic-a-19429
.

Continuo a pensare che, quando si parla di sicurezza, è bene pensare agli
attacchi, ma è necessario anche pensare agli errori, visti i loro impatti.

Notizia presa dal SANS NewsBites del 24 giugno 2022.

martedì 21 giugno 2022

Security Risk Assessment Tool del US HHS

Dal SANS Newsbite, segnalo questo strumento pubblicato dal Department of
Health and Human Services (HHS) Office for Civil Rights (OCR) and National
Coordinator for Health Information Technology (ONC) degli USA:
-
https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-asse
ssment-tool
.

Si può scaricare l'Excel e la questione risulta interessante perché non si
tratta di una vera e proprio valutazione del rischio, ma di due cose:
1- valutazione dei controlli di sicurezza; se non sono ottimali, sono
evidenziati per ulteriori riesami;
2- valutazione dell'impatto e della probabilità di alcuni eventi e
"vulnerabilità".

Controlli, eventi e vulnerabilità sono divisi in 7 famiglie. Il rischio però
non viene calcolato considerando tutti e tre i parametri insieme.

Ecco quindi che ogni tanto mi viene il pensiero che, quando sento parlare di
"valutazione del rischio", ciascuno ha idee diverse su cosa si intende.

mercoledì 15 giugno 2022

Fornire segreti militari in discussioni sui giochi

Questa notizia, da Crypto-Gram di giugno 2022, ha titolo "War Thunder fan leaks classified military documents to win an argument about tanks-again":
- https://www.pcgamer.com/war-thunder-fan-leaks-classified-military-documents-to-win-an-argument-about-tanksagain/.

In sintesi: il gioco elettronico War Thunder usa modelli molto realistici; nei forum di discussione alcuni utenti hanno caricato i manuali ufficiali (e segreti) di alcuni carri armati in discussioni su quanto erano realistici i modelli del gioco.

martedì 7 giugno 2022

Poste italiane ferme per un errore di aggiornamento ai sistemi

Il 30 maggio, le Poste italiane sono rimaste ferme. Segnalo questo articolo dal titolo "Poste down: Non c'entrano gli hacker russi ma è un problema tecnico":
https://www.huffingtonpost.it/cronaca/2022/05/30/news/attacco_hacker_poste_smentisce_problemi_tecnici_dovuti_a_aggiornamento_di_sistema_-9493025/.

Mi sembra importante ricordare che la siurezza informatica non riguarda solo attacchi da malintenzionati, interni o esterni. Ma anche gli errori.