mercoledì 24 agosto 2022

Humour da scienziato

Stefano Ramacciotti mi ha segnalato questo articolo dal titolo "L'esperimento sociale dello scienziato che ha spacciato una fetta di salame per la stella Proxima Centauri". Non c'entra niente con le materie di cui tratto, però è divertente:
- https://www.wired.it/article/salame-proxima-centauri-james-webb/.

Lo stesso Stefano, che ringrazio, mi dice: è "humour da scienziato", che però fa riflettere su fake news, bis cognitivi et similia.

martedì 23 agosto 2022

Decreto trasparenza e privacy

E' entrato in vigore il D.Lgs. 104 del 2022 detto "Decreto Trasparenza". Esso chiede ai datori di lavoro di comunicare a ciascun lavoratore in modo chiaro e trasparente (appunto!) informazioni relative al rapporto o al contratto di lavoro e propone alcuni punti importanti relativi alla sicurezza delle informazioni, la privacy e la qualità.

Il Decreto richiede di informare i lavoratori in merito all'utilizzo di sistemi decisionali o di monitoraggio automatizzati. Monica Perego degli Idraulici della privacy ha pubblicato un bell'articolo con un elenco di questi sistemi (ma non solo):
- https://www.federprivacy.org/informazione/primo-piano/decreto-trasparenza-impatti-sulla-privacy-dei-lavoratori-e-ricadute-operative-per-imprese-e-dpo.

Ferruccio Mitiello, Idraulico della privacy, ha segnalato il fatto che bisogna anche prevedere "istruzioni per il lavoratore in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti" riguardanti le attività di cui sopra (sorveglianza e monitoraggio).

Il Decreto specifica in modo più dettagliato quanto peraltro già previsto dal GDPR: "al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal GDPR, il datore di lavoro o il committente effettuano un'analisi dei rischi e una valutazione d'impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo". Non mi è chiaro se la valutazione d'impatto è sempre richiesta o solo "ove sussistano i presupposti di cui all'articolo 36 del Regolamento medesimo".

Il Decreto apporta alcune modifiche al Codice privacy (D. Lgs. 196 del 2003) per specificare l'ammontare di alcune sanzioni specifiche.

Per quanto riguarda la qualità (e anche la sicurezza delle informazioni) penso sia interessante l'articolo 11, che obbliga i datori di lavori a "erogare ai lavoratori una formazione per lo svolgimento del lavoro per cui sono impiegati, tale formazione, da garantire gratuitamente a tutti i lavoratori, va considerata come orario di lavoro e, ove possibile, deve svolgersi durante lo stesso".

Il Decreto su Normattiva:
- http://www.normattiva.it/eli/id/2022/07/29/22G00113/ORIGINAL.

domenica 21 agosto 2022

Linee guida di design per i siti internet e i servizi digitali della PA

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione delle "Linee guida di design per i siti internet e i servizi digitali della PA". La notizia è qui:
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2022/07/27/pubblicate-linee-guida-design-i-siti-internet-i-servizi-digitali-pa?s=03.

Particolarmente significativi sono le linee guida stesse (https://docs.italia.it/italia/design/lg-design-servizi-web/it/versione-corrente/index.html) e il Manuale operativo di design (dove non appare alcun paragrafo dedicato alla sicurezza, ahimè).

Le linee guida sono molto ad alto livello e per quanto riguarda la privacy e la sicurezza ripropongono requisiti generali.

Insomma: è opportuno sapere che esistono, ma non mi sembrano significative.

sabato 20 agosto 2022

La conformità non è un approccio efficace (secondo alcuni)

Il SANS NewsBites del 19 agosto riporta una notizia con il titolo "Compliance is Not an Effective Approach to Cybersecurity". Questa riprende un articolo dal titolo "The Defense Department's current "checklist" approach can't keep its networks safe":
- https://fcw.com/security/2022/08/experiment-showed-military-must-change-its-cybersecurity-approach/375947/.

Io penso che l'articolo originario sia semplicistico (e mi pare anche promozionale): è vero che la simulazione frequente e non programmata di attacchi permette di avere un elevato livello di sicurezza, ma è anche vero che le tante cose noiose e periodiche (aggiornare i sistemi, verificare i backup e i DR, eccetera) sono necessarie.

Io ho visto che, negli anni, l'obiettivo della conformità ha aumentato di parecchio il livello di sicurezza delle organizzazioni: la privacy, le richieste di Banca d'Italia e di altri organismi regolatori, le richieste della pubblica amministrazione, la 231 e altre (incluse iniziative che negli anni ho criticato perché potevano essere migliori, ma comunque ci sono stato) hanno attivato un meccanismo che, piano piano, ha elevato il livello di consapevolezza delle persone e di sicurezza di tante organizzazioni.

E' anche vero che l'approccio "da auditor" non è sufficiente e certi auditor lo rendono addirittura dannoso. Per esempio, ho visto auditor criticare in modo anche irritante iniziative di sicurezza lodevoli ma mal documentate (certamente una maggiore attenzione alla pianificazione e alla documentazione andava richiesta, ma senza che questo portasse a un giudizio negativo sul progetto nel suo complesso), ho visto auditor concentrarsi su dettagli minimi e poco significativi facendo perdere molto tempo e risorse alle organizzazioni per soddisfare richieste evitabili, vedo i numerosissimi e impegnativi questionari di sicurezza che sono richiesti ai fornitori palesemente progettati per creare carta e non vera sicurezza.

Secondo me è giusto richiamare l'attenzione ad approcci più pratici, ma senza buttare via quanto c'è di buono negli altri.

mercoledì 17 agosto 2022

Gli standard per la crittografia post-quantistica del NIST

Segnalo questo articolo di Bruce Schneier dal titolo "NIST's Post-Quantum Cryptography Standards":
- https://www.schneier.com/blog/archives/2022/08/nists-post-quantum-cryptography-standards.html.

Interessante perché spiega bene e in poche righe i problemi di sicurezza (ossia della crittografia) dei computer quantistici e lo stato dei lavori.

La sicurezza del software open source

Bruce Schenier ha segnalato un'analisi sulla (scarsa) sicurezza del software open-source dal titolo "Open-Source Security: How Digital Infrastructure Is Built on a House of Cards":
- https://www.lawfareblog.com/open-source-security-how-digital-infrastructure-built-house-cards.

In sostanza, viene detto che gli utilizzatori di software open-source sono principalmente i venditori di software, che riciclano quello open-source e non si preoccupano della sua sicurezza e pertanto si dovrebbero attivare misure istituzionali in questo senso. La UE ha adottato una strategia sul software open-source che richiede di "esplorare opportunità per servizi di supporto dedicati per le soluzioni open-source ritenute critiche".

L'argomento è importante e quindi, ritengo, va seguito con attenzione.

martedì 9 agosto 2022

BYOD, CYOD, COPE e COBO

Franco Vincenzo Ferrari mi ha segnalato questo articolo dal titolo"Caratteristiche e differenza tra BYOD, CYOD, COPE e COBO in azienda":
- https://vitolavecchia.altervista.org/caratteristiche-e-differenza-tra-byod-cyod-cope-e-cobo-in-azienda/.

Descrive i 4 modelli di gestione dei dispositivi mobili di un'organizzazione e tratta (seppure molto velocemente) le questioni relative alla sicurezza. Lo trovo un utile articolo.

Ne ho trovato una versione in inglese, dal titolo "BYOD, CYOD, COPE, COBO — What Do They Really Mean?":
- https://www.wired.com/brandlab/2018/06/byod-cyod-cope-cobo-really-mean/.

La parte relativa alla sicurezza è molto poco approfondita. Segnalo però la frase: "Alla fine non sono importanti i termini usati, ma il loro significato". Io aggiungerei che sono importanti anche le loro implicazioni sulla sicurezza.

CISA: Come mitigare le minacce relative al malware

Il CISA (Cybersecurity & Infrastructure Security Agency degli USA) ha pubblicato in agosto l'avviso AA22-216A dal titolo "2021 Top Malware Strains":
- https://www.cisa.gov/uscert/ncas/alerts/aa22-216a.

Molto interessante perché segnala le misure da attuare per mitigare le minacce da malware. I titoli sono i seguenti, ma vale decisamente la pena leggere tutto il documento (almeno la parte relativa alle mitigazioni, appunto):
- aggiornare con i patch tutti i sistemi;
- applicare l'autenticazione a più fattori (multifactor authentication, MFA);
- evitare l'uso del Remote Desktop Protocol (RDP) e usare i desktop virtuali;
- fare backup offline dei dati;
- rendere consapevoli e formare gli utenti finali in merito al social engineering e al phishing.

Il DoJ USA usa la carta per i documenti più critici

Dal SANS NewsBites del 5 agosto 2022: Il US Department of Justice ha annunciato che dal gennaio 2021 sta archiviando i documenti critici in formato cartaceo e non digitale. Il Deputy Assistant Attorney General for National Security ha dichiarato, "La convenienza è una gran cosa, ma la sicurezza sui sistemi connessi a Internet è diversa di quella per i documenti cartacei":
- https://www.cyberscoop.com/top-justice-official-paper-only/.

Penso sia importante considerare l'opzione di evitare il rischio di attacchi informatici passando alla carta. E' vero che si perde in efficienza, ma il rischio di attacco informatico potrebbe essere troppo elevato. Lo stesso ragionamento si può riproporre per i sistemi di automazione industriale, che non necessariamente devono essere accessibli da Internet.