Data Act: il link

Glauco Rampogna (Idraulico della privacy e non solo) mi ha segnalato il link per il Data Act: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32023R2854.

Del Data Act, poco tempo fa, avevo già riassunto gli obiettivi (norme finalizzate a consentire agli utilizzatori di prodotti e servizi di accedere e utilizzare i dati personali generati dai loro dispositivi connessi) e riportato il link alla pagina del comunicato stampa del Consiglio UE: https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/.

Saranno scritti fiumi di parole in merito e quindi evito di farlo io.

ISO/IEC 42001 sull'intelligenza artificiale

Monica Perego (Idraulica della privacy) mi ha segnalato la pubblicazione della ISO/IEC 42001:2023 "Information technology - Artificial intelligence - Management system": https://www.iso.org/standard/81230.html.

Riporta i requisiti per un sistema di gestione per l'intelligenza artificiale.

La norma richiede di valutare il rischio non solo relativo all'efficacia del sistema di gestione (come tutte le altre norme relative ai sistemi di gestione come la ISO 9001 e la ISO/IEC 27001), ma anche di condurre valutazioni del rischio relative all'intelligenza artificiale, quindi più tecniche (anche se le due valutazioni potrebbero, almeno in teoria, essere integrate). Richiede anche una valutazione d'impatto dell'IA (ossia una valutazione relativa agli impatti sugli individui e sulla società).

La norma fa riferimento anche alle ISO/IEC 38507 (Governance implications of the use of artificial intelligence by organizations) e ISO/IEC 23894 (Guidance on risk management), che non ho letto e quindi non posso commentare.

I requisiti di valutazione del rischio sono organizzati come nella ISO/IEC 27001, ossia in gran parte nel capitolo 6 (relativo alla pianificazione) e poi richiamati nel capitolo 8 (relativo alle attività operative).

Importanti, infine, gli Annex. Infatti la ISO/IEC 42001 funzione come la ISO/IEC 27001 e ha un Annex A con i controlli da considerare per il trattamento del rischio. Anche da questo punto di vista, introduce elementi tecnici interessanti.

Oltre a ciò, c'è un Annex B con la guida per l'implementazione dei controlli (come la ISO/IEC 27002) e un Annex C con alcuni obiettivi organizzativi relativi all'IA e alcune sorgenti di rischio (qui chiaramente e, finalmente e correttamente, assimilabili alle minacce e non agli agenti di minaccia).

C'è infine un Annex D sull'uso dei sistemi di gestione per l'intelligenza artificiale in diversi domini e settori e sulla loro integrazione con altri sistemi di gestione, a mio parere inutile (ma occupa fortunatamente solo due pagine).

Certificazioni OpenSM

Francesco Cagno di Deloitte (e mio collega nel lontano 2008) mi ha segnalato l'iniziativa dell'OpenSM Foundation: https://www.opensm.org/ (il sito va certamente migliorato e l'ho già comunicato a Francesco).

Si tratta, in pochissime parole, di un modello alternativo a ITIL. Nelle intenzioni, dovrebbe anche essere meno pesante di ITIL, proponendo solo 3 certificazioni e un modello meno complicato.

Gli faccio i miei migliori auguri di riuscire a diffondersi e far tornare la "gestione dei servizi" a essere pragmatica.

Condannato per aver danneggiato la rete aziendale dopo licenziamento (negli USA)

Notizia dal SANS Newsbytes: Uno specialista cloud della First Republic Bank (California, USA) è stato condannato a due anni di prigione e a risarcire circa 500mila dollari; dopo essere stato licenziato nel marzo 2020, con le sue credenziali (non disabilitate immediatamente) e il computer aziendale (a casa sua al momento del licenziamento), potè installare malware, cancellare archivi di codice sorgente, bloccare utenti dai servizi cloud e fare altre attività dannose.

Un articolo: https://www.theregister.com/2023/12/12/cloud_engineer_bank_prison/

ACN e Garante privacy: Linee guida per la conservazione delle password

Il Garante Privacy e l'Agenzia per la cybersicurezza nazionale (ACN) hanno pubblicato delle "Linee Guida per la conservazione delle #password": https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9962240.

Devo dire che avevo ignorato l'annuncio fino a quando non ho visto un tweet di Filippo Bianchini, che ringrazio.

Però devo richiamare l'attenzione sul fatto che il titolo vero del documento è "Linee guida funzioni crittografiche: Conservazione delle Password" e si capisce immediatamente che non si tratta di un documento con raccomandazioni per tutti i cittadini, ma di qualcosa di più tecnico.

Sono presentati algoritmi crittografici robusti che potrebbero essere usati dai diversi prodotti per la sicurezza delle password. Considerando che oggi gli sviluppatori non sviluppano quasi più meccanismi di conservazione delle password, ma utilizzano librerie fatte da altri, è quindi compito degli sviluppatori e degli amministratori di sistema verificare quali algoritmi sono usati dai prodotti che gestiscono e configurarli opportunamente.

Materia non facile e devo dire che mi sarebbe piaciuta un'analisi dei prodotti più diffusi.

Garante, ASL, Tribunale di Udine e DPIA

Segnalo questo articolo di Silvia Stefanelli dal titolo "Medicina di iniziativa, perché anche il tribunale di Udine ha detto no al Garante privacy": https://www.agendadigitale.eu/sicurezza/privacy/medicina-di-iniziativa-perche-anche-il-tribunale-di-udine-ha-detto-no-al-garante-privacy/.

La lettura è decisamente interessante, ma orientata soprattutto a questioni legate alle ASL.

Però lo segnalo perché c'è un passaggio in cui il Tribunale di Udine non concorda con il Garante circa la necessità di avere una DPIA per una selezione di pazienti fragili in relazione alle complicanze in caso di infezione da Covid-19.

Segnalo infatti, dalle conclusioni di Stefanelli, questo passaggio: "sulla carenza di DPIA ci si chiede quale mai possa essere l’impatto sulla sfera giuridica degli interessati se vengono create liste di pazienti fragili con l’obiettivo di alzare il livello di prevenzione. Tale approccio concreto va appoggiato".

Per approfondimenti rimando all'articolo originale.

AI Act della UE - Accordo del trilogo

Come è noto, è stato raggiunto un accordo tra le istituzioni europee sul cosiddetto AI Act, ossia sulla normativa europea che governerà l'intelligenza artificiale.

Il Parlamento Europeo indica così gli obiettivi della normativa: https://www.europarl.europa.eu/news/it/headlines/society/20230601STO93804/normativa-sull-ia-la-prima-regolamentazione-sull-intelligenza-artificiale.

Come scrive Guerre di Rete: "L’accordo uscito dal trilogo (negoziazioni tra Parlamento, Consiglio e Commissione) in questo momento manca ancora di un testo definitivo a disposizione del pubblico, e molto si giocherà sui dettagli. Per questo motivo anche chi sosteneva la regolamentazione, specie la bozza più attenta alla difesa dei diritti uscita dal Parlamento a giugno, in questo momento sta sospendendo il giudizio in attesa di capire quanto i dettagli daranno margine di manovra agli Stati, alle eccezioni previste, e quanto alla difesa di quei diritti. Senza contare che molti aspetti tecnici saranno messi a terra nelle prossime settimane".

Segnalo questo articolo di Matteo Sironi, che spiega bene lo stato dell'arte e il fatto che non c'è nulla di definitivo: https://formiche.net/2023/12/ai-act-europeo-sironi/.

In Francia vietatata WhatsApp ai ministri in favore di Olvid

Segnalo un articolo dal titolo molto chiaro: "App e cybersecurity, la Francia vieta WhatsApp ai ministri. Dall’8 dicembre si utilizzerà Olvid": https://www.cybersecitalia.it/app-e-cybersecurity-la-francia-vieta-whatsapp-ai-ministri-dall8-dicembre-si-utilizzera-olvid/27716/.

La notizia l'ho avuta dalla newsletter di Project:IN Avvocati.

Il caso è interessante, considerando gli impatti sulla sicurezza, l'avanzare delle proposte tecnologiche europee e le modalità con cui queste sono promosse. In particolare: questo dimostra che l'Italia è indietro? questa pratica porterà a una vera concorrenza verso gli OTT made in USA? questo dimostra la validità delle scelte normative EU, non solo per i diritti dei cittadini ma anche per lo sviluppo economico?

Data Act per l'uso dei dati personali da parte degli interessati

Segnalo la pagina del Consiglio UE dal titolo "Data Act: Council adopts new law on fair access to and use of data": https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/.

La notizia l'ho presa dalla newsletter Project:IN Avvocati e quindi copio-incollo parte del suo commento: "La nuova legge europea fissa norme finalizzate a consentire agli utilizzatori di prodotti e servizi di accedere e utilizzare i dati personali generati dai loro dispositivi connessi. Il Data Act dovrà ora essere pubblicato nella Gazzetta Ufficiale dell’Unione e entrerà ufficialmente in vigore il ventesimo giorno successivo a tale pubblicazione. La gran parte delle disposizioni della nuova normativa europea cominceranno ad applicarsi 20 mesi dopo l’entrata in vigore".

ISO Survey 2022

L'ISO pubblica annualmente i dati relativi alle certificazioni ISO 9001, ISO IEC 27001, ISO 20000-1, ISO 22301, ISO 28000 e altre, per un totale di 16 sistemi di gestione.

La notizia l'ho avuto dalla newsletter di Accredia, che fa riferimento alla sua analisi: https://www.accredia.it/2023/11/27/iso-survey-2022-italia-1-in-europa-e-2-al-mondo-per-numero-di-certificati.

I dati possono essere scaricati direttamente, anche in formato Excel, dal sito ISO: https://www.iso.org/the-iso-survey.html.

Accredia: equivalenza delle certificazioni UKAS

Ivana Calì di SGS mi ha segnalato questo post di Accredia: https://it.linkedin.com/posts/accredia_valutazioni-organismi-ue-activity-7132749470907138048-ZEu7.

Si fa riferimento a una notizia che avevo dato a maggio con titolo "Accreditamento UKAS non più valido per gli appalti pubblici": http://blog.cesaregallotti.it/2023/05/accreditamento-ukas-non-piu-valido-per.html.

L'aggiornamento attuale è che "Il Consiglio di Stato ha concluso quindi che le certificazioni di qualità rilasciate da organismi stranieri accreditati dall'Ente unico nazionale di accreditamento di altro Stato europeo, firmatario dell'accordo EA MLA, qual è l'ente britannico UKAS, sono equivalenti alle certificazioni di qualità rilasciate da organismi accreditati dagli enti nazionali degli stati membri".

ISO/IEC 27701 sui sistemi di gestione per la privacy: com'è e come sarà

Segnalo questo mio articolo dal titolo "ISO/IEC 27701 sui sistemi di gestione per la privacy: com'è e come sarà": https://www.agendadigitale.eu/sicurezza/iso-iec-27701-sui-sistemi-di-gestione-per-la-privacy-come-e-come-sara/.

Guidelines for secure AI system development (CISA)

Il US Cybersecurity and Infrastructure Security Agency (CISA) e altre organizzazioni hanno pubblicato un breve documento dal titolo "Guidelines for secure AI system development": https://www.cisa.gov/news-events/news/dhs-cisa-and-uk-ncsc-release-joint-guidelines-secure-ai-system-development.

Nulla di inaspettato, ma, come dice una nota di Lee Neely, alla notizia riportata dal SANS Newsbites, "questa guida, anche se orientata agli sviluppatori di sistemi di IA, è una buona lettura per chi vuole capire meglio i problemi e i rischi relativi all'introduzione di sistemi IA nei processi dell'organizzazione".

Schema di certificazione europeo EUCC

Segnalo questo articolo dal titolo "Lo schema di certificazione europeo EUCC: novità, punti di forza e problemi aperti": https://www.agendadigitale.eu/sicurezza/lo-schema-di-certificazione-europeo-eucc-novita-punti-di-forza-e-problemi-aperti/.

Fa il punto su uno schema europeo, in sviluppo da parte di ENISA, basato sui Common criteria (ISO/IEC 15408, disponibili gratuitamente anche su https://www.commoncriteriaportal.org/). Esso quindi è destinato alla certificazione di prodotti e componenti hardware o software.

Al momento la Commissione Europea sta discutendo un Implementing Act per avviare lo schema di certificazione.

Ulteriori informazioni si trovano su https://certification.enisa.europa.eu/.

Attacco a Federprivacy

Ormai la notizia è stata diffusa e commentata da quasi tutti. Quindi do un link per chi non fosse ancora a conoscenza di quanto successo: https://www.wired.it/article/federprivacy-hackerato-sito-protezione-dei-dati/.

Alcuni hanno commentato la notizia acidamente. Io ebbi modo di criticare Federprivacy, ormai molti anni fa, per lo scatenamento della "frenesia da DPO" negli anni 2012-2016, prima ancora che uscisse la versione definitiva del GDPR. Questo però non mi fa gioire per le disgrazie altrui. Anche perché non mi sembra che Federprivacy abbia mai vantato livelli di sicurezza elevati dei propri sistemi.

Certamente si tratta di un'associazione che promuove la sicurezza informatica e ha subito un attacco che ha violato le sue informazioni. Sono cose che succedono, così come è successo a Yuri Gagarin di morire per uno schianto aereo (è il primo esempio che mi è venuto in mente; ce ne saranno altri sicuramente migliori). Succederà anche a me sicuramente, se non è già successo, e succederà ancora a loro e a me e ad altri. Non credo sia corretto criticare quanto successo.

Però... abuso anche io dei complimenti seguiti da un però. Ed è questo: il messaggio del Presidente Nicola Bernardi non mi sembra adeguato. Penso avrebbe dovuto descrivere meglio l'attacco subito, assumersi pienamente la responsabilità senza minimizzare l'accaduto, evitare un atteggiamento vittimistico, descrivere quanto fatto per correggere le vulnerabilità e le lezioni apprese o rimandare a un futuro comunicato per gli approfondimenti. Insomma, fare quanto consigliato da molti (ricordo alcuni esempi che avevo segnalato a marzo 2023: https://www.csoonline.com/article/3689169/data-breaches-some-of-the-best-and-worst-among-recent-responses.html).

Capisco che la storia abbia colpito emotivamente e non credo che sarei riuscito a fare di meglio nella stessa situazione. Quindi mi auguro che tutto possa essere recuperato, questa brutta storia superata e dimenticata, soprattutto per gli impatti umani e personali, tranne le piccole lezioni per il futuro. Sì, perché da un parte dobbiamo cercare di non fare gli avvoltoi approfittando delle disgrazie altrui, ma dall'altra non dobbiamo lasciarci sfuggire un'occasione per riflettere su cosa poteva essere fatto meglio e cosa peggio, serenamente e professionalmente, senza dimenticarci che delle persone, come noi con pregi e difetti, sono state coinvolte.

Prima e dopo l'audit ISO/IEC 27001 (da ridere)

Alessandro D'Avanzo di CoreTech mi ha segnalato questo breve video sul prima e dopo un audit ISO/IEC 27001: https://www.linkedin.com/posts/santosh-nandakumar_true-story-iso-27001-audit-with-pun-intended-ugcPost-7127314116909613056-ddng.

Mi ha fatto ridere...

Parental control nazionale dal 21 novembre

Segnalo questo articolo dal titolo "Minori, come funziona il parental control automatico nelle sim": https://www.agendadigitale.eu/sicurezza/minori-online-piu-tutele-con-il-parental-control-di-stato-dal-21-novembre/.

Dal 21 novembre, gli operatori telefonici devono attivare sistemi di controllo parentale gratuiti.

Iniziativa lodevole, ma temo che i ragazzi non seguiti sapranno come aggirarli, i genitori che invece seguono i ragazzi sanno benissimo che il blocco non è sufficiente: bisogna osservare cosa fanno e come usano il dispositivo (oltre a limitare anche il tempo e gli orari).

Aggiornamento della NIST SP 800-53 con i Security and Privacy Controls

Il NIST ha pubblicato un aggiornamento (minore) della SP 800-53 "Security and Privacy Controls for Information Systems and Organizations" e adesso è alla versione 5.1.1.

La pagina di riferimento è questa: https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final.

Segnalo in particolare il "Control Catalog Spreadsheet", foglio Excel che riporta tutti i controlli (sono 1.190; la prossima volta che qualcuno mi dice che la ISO/IEC 27001 ha troppi controlli saprò come rispondergli). Anche se sono tanti e non sempre la descrizione è di facile comprensione, è sempre utile guardarli.

Altro documento interessante è quello di correlazione tra i controlli della ISO/IEC 27001:2022 e la SP 800-53. E' chiaro che molti dei 1.190 controlli della SP 800-53 non hanno un diretto riscontro con uno dei 93 della ISO/IEC 27001. In molti casi, però, i punti non sono presenti nel controllo, ma segnalati nella ISO/IEC 27002 nelle linee guida per la sua implementazione.

Ricerca IVASS sulla polizze cyber risk

La newsletter di Project:IN Avvocati segnala la pubblicazione "Indagine sulle polizze a copertura del cyber risk" di IVASS: https://www.ivass.it/pubblicazioni-e-statistiche/pubblicazioni/altre-pubblicazioni/2023/indagine-cyber-risk/index.html.

Copio il commento di Project:IN Avvocati: "Interessante ricerca sulle polizze assicurative offerte dalle compagnie a clientela retail e PMI, con analisi di 50 proposte disponibili al 30 luglio 2023. Importante notare come - si legge nel testo - diversi contratti prevedano pre-requisiti o condizioni per rendere il rischio assicurabile, che necessitano di essere ben compresi per valutare l’adeguatezza della copertura offerta".

Io ho sempre avuto dubbi sul funzionamento di queste polizze. Sarebbe però interessante avere notizie da chi le ha sottoscritte e ne ha avuto bisogno.

Guida Confindustria sulla gestione del whistleblowing

Confindustria ha pubblicato il documento "Nuova disciplina “whistleblowing”. Guida operativa per gli enti privati": https://www.confindustria.it/home/policy/position-paper/dettaglio/guida-operativa-whistleblowing.

Anche questa materia, seppur marginalmente, riguarda la sicurezza delle informazioni. E pertanto è utile avere un buon punto di riferimento.

Ringrazio Project:IN Avvocati per la segnalazione.

AI: Avvelenare i dati delle opere artistiche per salvaguardare il diritto d'autore

Da Guerre di Rete segnalo un articolo dal titolo "This new data poisoning tool lets artists fight back against generative AI": www.technologyreview.com/2023/10/23/1082189/data-poisoning-artists-fight-generative-ai/amp/.

Riprendo le parole di Guerre di Rete: "Un nuovo tipo di attacco promette di contrastare le aziende di AI generativa che usano il lavoro degli artisti, senza il loro consenso, per addestrare i propri modelli. Consentirà agli artisti di aggiungere delle modifiche (invisibili a occhio umano) alle loro opere prima di caricarle online. Col risultato che, se queste sono inserite in un set di addestramento per l'AI, il modello rischia di dare risultati caotici e imprevedibili".

Raccomando di leggere anche tutto l'articolo su Guerre di Rete: https://guerredirete.substack.com/p/guerre-di-rete-blackout-su-gaza.

Sullo stesso numero si trova un'altro articolo dal titolo "Modelli usati nella sanità sotto la lente", che a sua volta fa riferimento a un articolo dal titolo "AI was asked to create images of Black African docs treating white kids. How'd it go?": https://www.npr.org/sections/goatsandsoda/2023/10/06/1201840678/.

In esso sono evidenziati i rischi di bias, in questo caso razziale, dell'AI, causati dai dati usati per l'addestramento.

Mio articolo sulla ISO/IEC 27001

Ho scritto questo lungo articolo dal titolo "Sicurezza delle informazioni: come usare la nuova ISO/IEC 27001:2022": https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-come-usare-la-nuova-iso-iec-270012022/.

Buona lettura.

 

Stato delle norme ISO/IEC 270xx - Privacy

Il 20 ottobre si è concluso il meeting semestrale dei WG 1 (dedicato ai sistemi di gestione per la sicurezza delle informazioni o ISMS) e WG 5 (dedicato alla privacy) del ISO/IEC JTC 1 SC 27.

In questo articolo riporto le attività del WG 5 che ritengo più significative.

Ho seguito i lavori sulla ISO/IEC 27701, per i sistemi di gestione per la privacy (Privacy information management system, PIMS). Era prevista per metà 2024 la pubblicazione di un aggiornamento limitato al riallineamento dei controlli con quelli della ISO/IEC 27002:2022. L'ISO Central Secretariat ha invece chiesto di ristrutturare lo standard come gli altri sui sistemi di gestione. Tutti gli esperti hanno concordato sulla necessità di ristrutturarlo completamente e, quindi, ritardare la pubblicazione per evitare incoerenze ed errori (qualcuno auspica la pubblicazione per inizio 2025, io penso che ci vorrà più tempo).

Sarà pubblicata entro metà 2024 una nuova versione della ISO/IEC 27006-2 (per gli organismi di certificazione), ma sarà necessario rifare tutto per rendere questo standard compatibile con la futura ISO/IEC 27701. Il rischio è di essere rapidi nella pubblicazione dei criteri di certificazione (la futura ISO/IEC 27701), ma più lenti per i criteri di accreditamento (la futura ISO/IEC 27006-2, sempre se manterrà questa numerazione); in altre parole, potremmo avere una nuova versione della ISO/IEC 27701, ma nessun organismo di certificazione che può condurre audit e rilasciare certificati per mancanza di regole appropriate.

Stanno continuando, anche se molto lentamente, i lavori per la ISO/IEC 27018 (estensione dei controlli della ISO/IEC 27002 per la privacy dei servizi cloud, importante per le molte certificazioni ISO/IEC 27001 che la usano come estensione) per allineare la versione attuale con i controlli della ISO/IEC 27002:2022. Si prevede di pubblicarne l’aggiornamento a metà 2024 (ma mi sembra una data troppo ottimistica e io prevedo fine 2024).

 Segnalo che si discute anche della ISO/IEC 29151 (i lavori di aggiornamento sono appena partiti). Questa norma è destinata ai soli titolari del trattamento e riprende i controlli della ISO/IEC 27002, ne estende le linee guida per l'implementazione e ne aggiunge altri specifici per la privacy. Mi sembra che in Italia sia completamente ignorata, mentre in altri Paesi è usata come riferimento dalle PMI che non intendono usare la ISO/IEC 27701 (anche se poi, una veloce ricerca online mi dice che Huawei Cloud, non certo una PMI, è “certificata” rispetto a questa norma che, tra l’altro, non prevede uno schema certificazione). Si prevede di pubblicarne l’aggiornamento a fine 2025.

Aumento delle campagne RAT

Il titolo può far ridere se non si sa che RAT vuol dire "Remote access trojan". Le campagne sono sempre più numerose e il CERT AgID spesso le segnala via Telegram o Twitter (ora X).

Segnalo uno degli ultimi avvisi dal titolo "Sempre più preoccupante il fenomeno delle campagne RAT": https://cert-agid.gov.it/news/sempre-piu-preoccupante-il-fenomeno-delle-campagne-rat/. Interessante è leggere come il RAT si diffonde, ossia con campagne di phishing ben congegnate. In questo caso, è inviato un pdf via email dicendo che si tratta di una fattura non pagata; l'utente la apre e quindi si avvia un programma che scarica e installa il RAT.

Le comunicazioni mi sembrano molto ben fatte e interessanti, ma mancano due righe sulle strategie di mitigazione.

ENISA Cybersecurity Threat Landscape 2023

ENISA ha pubblicato il Cybersecurity Threat Landscape 2023: https://www.enisa.europa.eu/news/eu-elections-at-risk-with-rise-of-ai-enabled-information-manipulation.

L'attenzione di ENISA si rivolge soprattutto su: campagne di manipolazione di informazioni (fake news), social engineering verso persone specifiche, trojan in pacchetti software noti (che si scaricano da siti ovviamente contraffatti per trarre in inganno le persone), sfruttamento degli errori di configurazione dei sistemi, delle reti e dei servizi cloud.

Le prime minacce (manipolazione di informazioni e social engineering) sono sempre più efficaci grazie all'uso di strumenti basati sull'intelligenza artificiale, che permettono di applicare vecchie tecniche, ma in modo più efficiente ed efficace.

Io qui ho solo evidenziato alcune cose dell'Executive summary, ma il documento è molto più ampio.

Purtroppo la parte relativa alle misure di mitigazione è estremamente sintetica e non aggiunge nulla di significativo (è principalmente un elenco di controlli ISO/IEC 27002 e NIST CSF).

Stato delle norme ISO/IEC 270xx - ISMS

Il 20 ottobre si è concluso il meeting semestrale dei WG 1 (dedicato ai sistemi di gestione per la sicurezza delle informazioni o ISMS) e WG 5 (dedicato alla privacy) del ISO/IEC JTC 1 SC 27.

In questo articolo riporto le attività del WG 1 che ritengo più significative.

Sono partiti i lavori per l'aggiornamento della ISO/IEC 27000 (Panoramica dei sistemi di gestione per la sicurezza delle informazioni), della ISO/IEC 27003 (linee guida per l'implementazione di un ISMS), ISO/IEC 27008 (linee guida per la valutazione dei controlli di sicurezza delle informazioni), ISO/IEC 27109 sull'istruzione e la formazione sulla cibersicurezza.

Stanno continuando i lavori per la ISO/IEC 27017 (estensione dei controlli della ISO/IEC 27002 ai servizi cloud, importante per le molte certificazioni ISO/IEC 27001 che la usano come estensione) per allineare la versione attuale con i controlli della ISO/IEC 27002:2022. Immagino che la nuova norma sarà pubblicata a fine 2024.

Sarà pubblicato a breve un aggiornamento della ISO/IEC 27006-1 (norme per l'accreditamento degli organismi di certificazione) e poi ripartiranno ancora i lavori per "pulirla" dai riferimenti scorretti a requisiti e controlli, ricordando che i controlli non sono requisiti e nessuno di essi va pianificato e implementato come da norma, ma usato solo come riferimento per la Dichiarazione di applicabilità.

Sarà pubblicata a breve la ISO/IEC 27011 (estensione dei controlli della ISO/IEC 27002 per il settore delle telecomunicazioni). La ISO/IEC 27013 (relazioni tra ISO/IEC 27001 e ISO/IEC 20000-1) e la ISO/IEC 27019 (estensione dei controlli della ISO/IEC 27002 per il settore dell'energia) sono in uno stadio precedente e saranno probabilmente pubblicate a metà 2024.

Riflessioni sono state fatte sul fatto che la prossima versione della ISO/IEC 27001 dovrà avere requisiti sui cambiamenti climatici a causa dei cambiamenti apportati all’HLS (o Annex SL, ossia la struttura base che devono rispettare tutti gli standard per i sistemi di gestione). Ci si è chiesto quali impatti sui cambiamenti climatici possono essere considerati per un sistema di gestione per la sicurezza delle informazioni.

Security-by-Design and Default Principles del CISA - Aggiornamento

Ad aprile avevo segnalato l'ottimo documento del CISA (Cybersecurity & infrastructure security agency degli USA) dal titolo "Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default". E' stato aggiornato con maggiori dettagli per dimostrare il rispetto dei tre principi: https://www.cisa.gov/resources-tools/resources/secure-by-design.

In realtà non è più disponibile la versione precedente, quindi non so indicare con precisione i cambiamenti. In aprile avevo detto che "in poche pagine (15 in tutto, incluso indice e fuffa introduttiva) sono riportati e spiegati i principi di sviluppo e ingegnerizzazione sicuri". Ora le pagine sono 36, ma credo che i dettagli in più aiutino e non appesantiscono.

Rilevare i testi generati dall'IA

Da Crypto-gram di ottobre 2023, segnalo l'articolo "Detecting AI-Generated Text": https://www.schneier.com/blog/archives/2023/09/detecting-ai-generated-text.html.

Versione breve: non sembra si possano avere strumenti per rilevare automaticamente un testo generato dall'IA.

Un commento (ironico, mi pare...) fa notare che forse questa stessa risposta è stata generata dall'IA.

C'è carenza di esperti di sicurezza informatica (o di cibersicurezza)?

Da Crypto-gram di ottobre 2023 segnalo "On the Cybersecurity Jobs Shortage": https://www.schneier.com/blog/archives/2023/09/on-the-cybersecurity-jobs-shortage.html.

Molti si lamentano della carenza di persone competenti nell'ambito della sicurezza informatica (o cibersicurezza o cybersecurity). Bruce Schneier riporta un commento di Ben Rothke. In sostanza dice che molti ruoli sono specialistici, non generalistici. Ed è vero che c'è carenza di persone con competenze specialistiche ed è ancora più difficile trovarle se pensiamo che per avere competenze specialistiche è necessario avere anche esperienza.

Aggiungo che, almeno in Italia, ci sono difficoltà a trovare persone per ricoprire certi ruoli, anche generalisti.

 

Digital Security Festival

Luca Moroni mi ha segnalato il Digital Security Festival, che si tiene, con partecipazione gratuita, dal 17 al 27 ottobre in Veneto e Friuli Venezia Giulia: https://www.digitalsecurityfestival.it/.

I temi sono tanti e interessanti. Luca, a sua volta, parlerà il 26 ottobre pomeriggio a Vicenza in una tavola rotonda dal titolo "Rischi, opportunità e futuro della cybersecurity".

Formazione gratuita sulla sicurezza online per cittadini, imprese e Istituzioni

Il Comune di Milano (dove risiedo) promuove il portale web Cyber Secure City: https://cybersecurecity.it/.

Il portale, che non richiede neanche registrazione, mette a disposizione materiale di formazione gratuito sulla sicurezza informatica.

Sono presenti percorsi per Over 65, Studenti e tutti i cittadini e corsi in lingue diverse dall'italiano.

Iniziativa lodevole (e, in milanese, piutost che nient, l’è mei piutost) però i percorsi non sono progettati con cura: sembrano più una raccolta di materiale messo a disposizione, sempre lodevolmente, da alcune aziende, senza un vero filo conduttore.

Altro problema è che alcune istituzioni, piuttosto che organizzare incontri, rimandano a questo sito. Invece gli incontri e i confronti sono fondamentali per una migliore consapevolezza.

Gli uomini possono fare tutto (Ottobre 2023)

Quest'estate mia moglie ha dovuto seguire un corso di formazione. Con i bambini (o ragazzi) sono andato al mare per 5 giorni in un appartamento. Abbiamo tenuto ordinato e pulito, abbiamo cucinato, ci siamo tenuti ordinati e puliti.

Mi hanno dato del "mammo" e me ne sono lamentato: il termine "mammo" fa sembrare che certe cose possano farle solo le mamme e i papà le debbano fare solo in casi straordinari. Io ho cercato di fare il papà (forse malamente, ma questa è un'altra storia).

Guida CISA su Identity and Access Management

Dal SANS NewsBites del 6 ottobre 2023, segnalo la notizia "CISA and NSA: Identity and Access Management Guidance", che a sua volta rimanda alla pubblicazione "Identity and Access Management: Developer and Vendor Challenges".

Questa pubblicazione non mi è sembrata molto interessante perché riassume alcune criticità, peraltro note.

C'è però un riferimento a un altro documento di marzo 2023 dal titolo "Identity and Access Management: Recommended Best Practices for Administrators": https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3336001/esf-partners-nsa-and-cisa-release-identity-and-access-management-recommended-be/.

Questo, anche se non dice nulla di nuovo, mi sembra più interessante per un bel ripasso delle regole base per il controllo accessi. Da segnalare che gran parte del documento è dedicato alla promozione di tecniche MFA.

 

I più comuni errori di configurazione delle reti IT (e le mitigazioni)

Dal SANS NewsBites del 6 ottobre 2023, segnalo la notizia "CISA and NSA: Most Common Network Misconfigurations", che a sua volta fa riferimento al documento "NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations": https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a.

Il pdf si trova al seguente link: https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3549369/nsa-and-cisa-advise-on-top-ten-cybersecurity-misconfigurations/.

Nulla di nuovo, certamente, ma sempre utile da ripassare.

Segnalo che da pagina 17 a pagina 27 si trovano le raccomandazioni per gli utilizzatori, da pagina 27 a pagina 31 si trovano le raccomandazioni per gli sviluppatori di software.

Insomma: si tratta di un manuale tecnico estremamente utile.

European Cybersecurity Skills Framework (ECSF)

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione del European Cybersecurity Skills Framework (ECSF) di ENISA: https://www.enisa.europa.eu/topics/education/european-cybersecurity-skills-framework.

La pagina segnalata permette poi di scaricare l'ECSF Role Profiles document, dove sono specificati i 12 profili tipici per la cibersicurezza. Come sappiamo, questi possono essere utili per condividere la terminologia usata per le qualificazioni professionali.

Mi sono chiesto come si correlasse con la UNI 11621-4, aggiornata al 2020 e con titolo "Profili di ruolo professionale relativi alla sicurezza delle informazioni". Ho rivolto la domanda a Fabio Guasconi, che mi ha risposto che il lavoro di ENISA è stato strutturato allo stesso modo, ha profili praticamente uguali a quelli della UNI 11621-4, con alcune differenze nella scelta delle competenze e abilità (skill).

Io noto che la norma italiana fa riferimento alla sicurezza delle informazioni, mentre quella ENISA alla cybersecurity e immagino che questo abbia i suoi, seppur marginali, risvolti.

Temo la confusione che si potrebbe creare. Vedremo.

Quaderno Clusit "Certificazioni professionali in sicurezza informatica 3.0"

È stato pubblicato un nuovo quaderno Clusit intitolato "Certificazioni professionali in sicurezza informatica 3.0". Sono uno degli autori, insieme da Fabio Guasconi e Federico Gozzi.

Il quaderno è liberamente scaricabile in formato pdf da https://clusit.it/blog/quaderni-clusit-certificazioni-professionali-in-sicurezza-informatica-3-0-giugno-2023/.

Riporto di seguito la presentazione del Clusit.

Si tratta di un aggiornamento e revisione dei quaderni pubblicati nel 2005 e nel 2013 da Clusit sullo stesso tema.

Nel quaderno sono descritte certificazioni che dimostrano competenze tecnologiche accanto a quelle che dimostrano competenze principalmente organizzative. In questa edizione abbiamo preferito non riportare le certificazioni relative a prodotti specifici, essendo queste troppo numerose.

Si è cercato di schematizzare il più possibile le specifiche di ogni certificazione, in modo da aiutare coloro che selezionano il personale o scrivono bandi di gara a stabilire quali certificazioni corrispondono alle caratteristiche richieste e nel contempo i professionisti che vogliono certificare e far riconoscere le proprie competenze in un determinato settore ed essere inseriti in una comunità di professioniste e professionisti con cui scambiare competenze ed esperienze.

Nuovo Regolamento macchine e cybersecurity

E' stato pubblicato il Regolamento (UE) 2023/1230 relativo alle macchine. Esso abroga la Direttiva macchine, ossia la Direttiva relativa alla sicurezza delle macchine industriali (questa mia indicazione è molto imprecisa e serve solo a contestualizzare).

Su questo argomento ho letto con interesse l'articolo "Il nuovo Regolamento Macchine: la Cybersecurity Industrial elemento essenziale dal Design della Macchina e durante tutto il suo ciclo di vita": https://www.ictsecuritymagazine.com/articoli/il-nuovo-regolamento-macchine-la-cybersecurity-industrial-elemento-essenziale-dal-design-della-macchina-e-durante-tutto-il-suo-ciclo-di-vita/.

In pochissime parole, il Regolamento introduce in modo molto chiaro la necessità di valutare la sicurezza delle macchine anche relativamente all'hardware e al software. Questo è molto giusto perché hardware e software che non funzionano correttamente possono portare a funzionamenti imprevisti e, quindi, pericoli per le persone.

Il testo del Regolamento si trova qui: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32023R1230.

Il regolamento si applicherà dal 14 gennaio 2027.

Ancora una volta, i dettagli su come valutare le macchine saranno ulteriormente specificate nella normativa di armonizzazione.

Nuova versione della NIST SP 800-82 sull'OT

Segnalo la pubblicazione della r3 della NIST SP 800-82 dal titolo "Guide to Operational Technology (OT) Security": https://csrc.nist.gov/pubs/sp/800/82/r3/final.

Io avevo letto la versione 2 e l'avevo trovata molto interessante. Diciamo che riporta molte cose che si ritrovano nelle IEC 62443, ma in formato gratuito.

I cambiamenti apportati da questa versione 3 sono numerosi e sono riassunti nell'ultima pagina. Non riesco al momento a rileggere tutto il documento.

Noto però, con un certo disappunto, che il NIST sta proseguendo nella sua campagna di "de-sintetizzazione" e infatti questa versione è di 316 pagine, mentre la precedente era di 247 (più del 20% in più).

 

Data Governance Act ora applicativo: così cambia l'economia digitale

Segnalo questo articolo dal titolo "Data Governance Act ora applicativo: così cambia l’economia digitale": https://www.agendadigitale.eu/sicurezza/privacy/la-data-economy-alla-prova-del-data-governance-act-lo-scenario/. 

Non credo che mi occuperò mai di DGA, ma credo sia comunque opportuno sapere che esiste.

Interpretazione della NIS2 della Commissione europea

Il 18 settembre ho partecipato, come organizzatore, al convegno di DFA su "NIS 2 e non solo - Aspetti pratici e relazioni". In quella occasione, Pierluigi Perri ha fatto riferimento alle "Commission Guidelines on the application of Article 4 (1) and (2) of Directive (EU) 2022/2555 (NIS 2 Directive)".

Grazie a un post su LinkedIn di Stefano Mele (https://www.linkedin.com/posts/stefanomele_direttiva-nis2-chiarimenti-applicativi-della-activity-7108489999695642624-Sp9X) li ho trovati sul web con data di pubblicazione del 14 settembre: https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-4-1-and-2-directive-eu-20222555-nis-2-directive.

Non li ho ancora letti, ma sicuramente sono interessanti.

Riconoscere le minacce deepfake

NSA, FBI e CISA hanno pubblicato un breve (18 pagine) rapporto dal titolo "Contextualizing Deepfake Threats to Organizations": https://www.cisa.gov/news-events/alerts/2023/09/12/nsa-fbi-and-cisa-release-cybersecurity-information-sheet-deepfake-threats.

Scritto bene e sintetico, spiega cosa sono queste minacce.

Un capitolo spiega perché le minacce deepfake possono avere impatti sulle organizzazioni (attaccare l'immagine di persone collegate all'organizzazione, capacità di impersonare qualcuno e quindi frodare qualcuno o avere accesso a dati o sistemi). Si tratta di casi forse rari per molti, ma sicuramente da considerare.

Le contromisure sono legate alla capacità di ciascuno di analizzare il materiale potenzialmente alterato.

 

Whitepaper di ISC2 sulla Business Continuity

Segnalo che ISC2 ha pubblicato il documento "La Business Continuity", che illustra i passi da fare per affrontare questo argomento: https://www.isc2chapter-italy.it/nuovo-whitepaper-sulla-business-continuity/.

Il taglio è didattico e ben fatto.

Ero stato informato della preparazione del documento e ne avevo letto la bozza. Ringrazio invece Franco Vincenzo Ferrari per avermene segnalato la pubblicazione.

 

Social e codice etico dei dipendenti pubblici

Il DPR 62 del 2013 reca il codice di comportamento dei dipendenti pubblici. Con il DPR 81 del 2023 sono stati inseriti aspetti relativi all'uso dei social media. Per questo rimando all'articolo su Altalex: https://www.altalex.com/documents/news/2023/07/11/codice-etico-dipendenti-pubblici-novita-email-social-media-inclusione.

Gli elementi introdotti, che quindi confronterò con quanto da me fatto in passato:

• l'utilizzo di account istituzionali è consentito per i soli fini connessi all'attività lavorativa;
• l'utilizzo di email personali è di norma evitato per attività di servizio, tranne nel caso in cui non si possa accedere all'account istituzionale;
• il dipendente è responsabile del contenuto dei messaggi inviati;
• i dipendenti si uniformano alle modalità di firma dei messaggi indicate dall'amministrazione di appartenenza;
• ciascun messaggio in uscita deve consentire l'identificazione del dipendente mittente e deve indicare un recapito istituzionale al quale il medesimo è reperibile;
• al dipendente è consentito l'utilizzo degli strumenti informatici forniti dall'amministrazione per poter assolvere alle incombenze personali senza doversi allontanare dalla sede di servizio, purché l'attività sia contenuta in tempi ristretti e senza alcun pregiudizio per i compiti istituzionali;
• è vietato l'invio di email che siano oltraggiosi, discriminatori o che possano essere in qualunque modo fonte di responsabilità dell'amministrazione.
• nell'utilizzo dei propri account di social media, il dipendente utilizza ogni cautela affinché le proprie opinioni non siano in alcun modo attribuibili direttamente alla pubblica amministrazione di appartenenza;
• il dipendente è tenuto ad astenersi da qualsiasi intervento o commento che possa nuocere al prestigio, al decoro o all'immagine dell'amministrazione di appartenenza o della pubblica amministrazione in generale.
• le comunicazioni, afferenti direttamente o indirettamente il servizio, non si svolgono, di norma, attraverso conversazioni pubbliche mediante l'utilizzo di piattaforme digitali o social media.

Riferimento pharma per la gestione del rischio

Michaël Hooreman, via LinkedIn, mi ha segnalato il documento "ICH Q9 Quality risk management - Scientific guideline" della European Medicines Agency: https://www.ema.europa.eu/en/ich-q9-quality-risk-management-scientific-guideline.

Il documento presenta approcci di valutazione del rischio che possono essere usati nell'ambito della qualità. A mio parere non solo, perché potrebbero essere benissimo applicati, con qualche aggiustamento, anche alla sicurezza delle informazioni e forse ad altri campi. In tutti i casi, visto che si tratta di approcci validi e diffusi, sarebbe opportuno che chi si occupa di sicurezza delle informazioni li conoscesse, per evitare di fossilizzarsi su un solo modello.

Utile anche per quanto riguarda la sola qualità per capire meglio gli ambiti di applicazione della valutazione del rischio. A mio parere, la ISO 9001, con l'ultima edizione basata sull'HLS, non è molto chiara sull'ambito di applicazione della gestione del rischio (problema riscontrabile su tutte le norme sui sistemi di gestione). Leggendo il testo con tanta attenzione, si trova che la gestione del rischio dovrebbe riguardare solo l'efficacia del sistema di gestione (e quindi trattare solo rischi gestionali), ma molti l'applicano per i rischi più operativi e questo non è necessariamente un male. Questo documento permette di approfondire, seppur sinteticamente, questi aspetti.

Capitolati di gara e requisiti di sicurezza IT

Chiara Ponti ha segnalato un articolo dal titolo "Quali i requisiti di cyber security nei capitolati di gara? Analisi del report condotto da R. Setola con Unindustria, Centro di Competenza Cyber 4.0 e AIPSA": https://www.cybersecitalia.it/quali-i-requisiti-di-cyber-security-nei-capitolati-di-gara-analisi-del-report-condotto-da-r-setola-con-unindustria-centro-di-competenza-cyber-4-0-e-aipsa/25838/.

L'indagine ha coinvolto 32 aziende. Dall'elenco iniziale del report di grande o grandissima dimensione. Quindi i risultati vanno analizzati in quest'ottica.

La lettura del documento è comunque utile per ripassare le misure di sicurezza che possono essere chieste ai fornitori (io dovrò quindi aggiornare la mia lista).

Sanità: attacchi IT e sicurezza dei pazienti

Sandro Sanna mi ha segnalato la pubblicazione Sentinel Event Alert 67 dal titolo "Preserving patient safety after a cyberattack": https://www.jointcommission.org/resources/sentinel-event/sentinel-event-alert-newsletters/sentinel-event-alert-67-preserving-patient-safety-after-a-cyberattack/.

Una lettura interessante, anche se in troppi punti ripete cose note e vaghe (costituite un comitato, designate un gruppo di risposta, fate formazione). Interessante anche perché dimostra la necessità di analizzare i tanti casi che possono presentarsi in un'azienda ospedaliera e le tante possibili soluzioni, non necessariamente informatiche.

ACN e le consulenze gratuite

Francesca Nobilini ha scritto un post su LinkedIn su ACN che cerca collaborazioni gratuite: https://www.linkedin.com/posts/francesca-nobilini_lavora-con-noi-activity-7099309386753306624-jfEy.

Molti, in effetti, si lamentano del fatto che non si tratta certamente di una proposta etica. Aggiungerei anche che il rischio è che "Ciò che costa poco vale anche poco" (frase che trovo attribuita, in italiano, a Baltasar Graciàn, ma che non trovo in spagnolo). Su questo sono molto dispiaciuto di come ACN dimostra di valutare il nostro lavoro.

Dico che essere contattati da ACN per un supporto o un chiarimento sarebbe un onore, così come essere invitati a giornate di studio o convegni. Un impegno non eccessivo e una bella visibilità, oltre alla possibilità di confrontarsi e approfittare della giornata di studio. Questo è quello che facciamo abitualmente e gratuitamente. Ma così come proposto è decisamente poco allettante (e, ripeto, un segnale di scarsa considerazione).

Peccato. Spero in un cambiamento.

Sentenza sull'uso di Dropbox da parte dei dipendenti (approfondimento)

Avevo scritto a luglio di una sentenza sull'uso di Dropbox da parte dei dipendenti (http://blog.cesaregallotti.it/2023/07/sentenza-sulluso-di-dropbox-da-parte.html).

 A questo proposito, segnalo un articolo di approfondimento, segnalatomi da Stefano Gazzella, dal titolo "Disciplinare l’impiego dei servizi di condivisione in cloud per ridurre i rischi legali":              https://www.redhotcyber.com/post/disciplinare-limpiego-dei-servizi-di-condivisione-in-cloud-per-ridurre-i-rischi-legali/.

Installazione "pulita" di Windows

Segnalo questo articolo dal titolo "Windows 11 has made the “clean Windows install” an oxymoron": https://arstechnica.com/gadgets/2023/08/windows-11-has-made-the-clean-windows-install-an-oxymoron/.

Il punto è questo: tutti i produttori di hardware, quando vendono il pc con il sistema operativo incluso, lo fanno con una versione piena di software aggiuntivi spesso inutili se non dannosi (riducono le prestazioni, lo spazio disco e anche la concentrazione dell'utente). Quindi molti installano una versione "pulita" di Windows e questa tecnica prende il nome di “clean Windows install”.

Purtroppo, anche prima di Windows 11 a guardare con attenzione, lo stesso Windows non è "pulito" e installa numerosi software inutili (o, meglio, dannosi).

Ormai lo dicono tutti e lo ripeto: i grandi dell'informatici ormai stanno usando i propri prodotti e servizi per venderci sempre più roba e raccogliere sempre i nostri dati (per venderci roba o venderli ad altri che vogliono venderci roba). Forse un po' il regolamento DSA limiterà l'impatto, ma la direzione è quella da molto tempo e possiamo solo prenderne atto e difenderci come possiamo (a meno di non accettare di essere infelici così come lo siamo per gli effetti del consumismo... ma questi sono temi per filosofi, non per miseri consulenti come me).

Articolo sullo stato del regolamento DSA

E' evidente che i "nuovi" regolamenti europei mi interessano, almeno per capire il contesto in cui lavoro con la sicurezza delle informazioni. Un altro articolo che trovo interessante e utile ha titolo "I piani delle big tech per non sgarrare con il Dsa, la nuova legge Ue sul digitale": https://www.wired.it/article/dsa-google-amazon-tiktok-instagram-facebook-wikipedia-impegni-pubblicita-algoritmi/.

Sono riassunti gli obblighi più importanti del regolamento DSA è come ci stanno lavorando le aziende più significative.

Audit degli algoritmi (per Regolamento DSA)

Segnalo questo interessante articolo dal titolo "Audit degli algoritmi: la normativa UE lo prevede, ma non è ancora chiaro come farlo. Ecco perché": https://www.cybersecurity360.it/legal/audit-degli-algoritmi-la-normativa-ue-lo-prevede-ma-non-e-ancora-chiaro-come-farlo-ecco-perche/.

Riguarda le grandi piattaforme online e i grandi motori di ricerca, chiamati a identificare i rischi relativi all'uso degli algoritmi di raccomandazione e simili.

L'articolo fa riferimento a una bozza di Delegated regulation (https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13626-Digital-Services-Act-conducting-independent-audits_en). In essa trovo molto interessanti le parti relative agli approcci all'audit e al rischio di audit. Sono approcci che, nell'ambito della sicurezza delle informazioni e dei sistemi di gestione ISO sono rarissimamente utilizzati. Per esempio, viene richiesto di distinguere, come rischi di audit, tra rischi inerenti, rischi di controllo e rischi di rilevazione.

Chiarimenti EDPB sulle certificazioni GDPR

EDPB, il 1 agosto, ha risposto a una richiesta di chiarimenti di Accredia in merito alla certificazioni GDPR (mi si permetta di usare questa espressione): https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-accredia_en.

Ringrazio la newsletter Project:IN Avvocati per la segnalazione.

La risposta è molto tecnica e ho dovuto leggerla tre volte per capirla (posso sempre dire che il periodo è vacanziero...) e vorrei segnalare alcuni punti per me significativi, più per gli organismi di certificazioni che sulle organizzazioni che intendono certificarsi:

• EDPB ribadisce che il suo compito è valutare i criteri di certificazione, non le attività di accreditamento, anche nel caso di sigilli europei sulla protezione dei dati (European Data Protection Seal), che sono invece in carico ai Garanti dei singoli Stati membri;
• deve essere stabilito uno "scheme owner", anche perché richiesto dalla ISO/IEC 17065, che può essere anche un organismo di certificazione accreditato (nel caso di Europrivacy, lo scheme owner è Europrivacy stessa); penso che sia chiaro che un organismo di certificazione che lavora da solo rilascerebbe però certificazioni che potrebbero risultare meno interessanti di certificazioni comuni ad altri, come minimo perché si avrebbe una maggiore visibilità;
• gli organismi di certificazione possono quindi adottare, nel caso di Europrivacy, i criteri di Europrivacy per essere accreditati dal proprio garante nazionale (o, se il caso, dal proprio organismo di accreditamento);
• l'accreditamento deve essere dato per ciascuno stato dove l'organismo di certificazione opera dal relativo garante nazionale (o, se il caso, dal proprio organismo di accreditamento); questo diventa ovviamente pesante perché un organismo di certificazione che vuole lavorare nei 27 Stati della UE deve avere 27 accreditamenti, a cui forse aggiungere gli altri 3 Paesi del SSE (chiedo aiuto a chi mi sa rispondere) e non voglio pensare al fatto che la Germania ha in realtà ha più garanti privacy; ma su questo c'è un invito di EDPB a EA per considerare come un organismo di accreditamento nazionale possa collegarsi a più Garanti.

Direi che come mal di testa da rientro dalle vacanze siamo a posto.

NIST Cybersecurity Framework 2.0 in bozza

Il NIST ha pubblicato a inizio agosto la bozza del CSF 2.0: https://www.nist.gov/cyberframework/updating-nist-cybersecurity-framework-journey-csf-20.

Si possono mandare commenti entro il 4 novembre.

Articolo sulla Direttiva CER

In questo periodo sono molto attento alle novità normative europee (NIS2, CER, DORA, oltre al GDPR) e alle loro relazioni reciproche.

Per questo segnalo (dalla newsletter del Clusit) l'articolo "La nuova direttiva CER riconcilia sicurezza fisica e logica": https://www.datamanager.it/2023/07/la-nuova-direttiva-cer-riconcilia-sicurezza-fisica-e-logica/.

L'articolo, come prima cosa, usa il termine "sicurezza cinetica" perché più aggiornato di "sicurezza fisica". Anche qui faccio fatica a capire, ma ritengo comunque utile conoscere i termini usati.

Inoltre chiarisce che "La NIS2 si occupa infatti della sicurezza cyber delle entità critiche e altamente critiche e la CER della loro resilienza rispetto a minacce cinetiche".

ACN, le regole per i servizi cloud e il rispetto "per chi lavora"

Franco Vincenzo Ferrari mi ha segnalato che ACN ha aggiornato i termini della qualificazione dei servizi cloud per la Pubblica Amministrazione: https://www.acn.gov.it/notizie/contenuti/cloud-acn-aggiorna-i-termini-della-qualificazione-dei-servizi-per-la-pubblica-amministrazione.

Niente di troppo significativo, a meno che non siate fornitori della PA.

E' comunque il caso di NON ringraziare ACN per:

• continuare a mettere a disposizione documenti in pdf non editabili, così da impedire il copia-incolla e far perdere tempo alle organizzazioni che devono aggiornare le proprie check list e i propri documenti;
• non aver prodotto il consolidato delle misure da adottare (l'allegato alla Determina 307 del 2023).

VERA 7.1 ITA e ENG

Per allietare le vacanze di tutti, ho caricato il VERA 7.1 (il mio foglio Excel per la valutazione del rischio relativo alla sicurezza delle informazoni) in italiano e in inglese sul mio sito: https://www.cesaregallotti.it/Pubblicazioni.html.  

Il 7.1 in italiano è una correzione del 7.0 già pubblicato, mentre il 7.1 in inglese è la sua traduzione (con l'inglese ero rimasto fermo al 6.0).

 Il VERA 7.1 riporta i controlli della ISO/IEC 27001:2013 e quelli della ISO/IEC 27001:2022.

Morto Kevin Mitnick

E' morto Kevin Mitnick, uno degli hacker più abili. Non un grande tecnico, ma uno con la capacità di inventare tecniche per ingannare le persone e spingerle a svelare password e altri segreti.

Consiglio a chiunque si occupa di sicurezza di leggere il suo primo libro, "L'arte dell'inganno": https://www.feltrinellieditore.it/opera/larte-dellinganno-1-2/. Anche se è del 2002, quindi con riferimenti tecnologici obsoleti, è ancora fondamentale proprio perché la tecnologia non è così importante.

La notizia l'ho appresa da Not Boring Privacy: https://www.instagram.com/p/Cu6GaqXtYnj/?igshid=MTc4MmM1YmI2Ng.

Sito web del US DoC per il Data protection framework

Grazie alla newsletter di Project:IN Avvocati, vengo a conoscenza del sito web del DoC degli USA per il Data protection framework (DPF), ossia per i trasferimenti di dati da UE a USA: https://www.dataprivacyframework.gov/.

 Qui si possono trovare i requisiti per aderire al programma sarà presente la lista dei partecipanti.

INAD, Indice Nazionale dei Domicili Digitali

Segnalo questo comunicato di AgID dal titolo "Nasce INAD, l’Indice Nazionale dei Domicili Digitali": https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2023/06/06/nasce-inad-lindice-nazionale-domicili-digitali.

Non sono uno che aderisce a queste cose immediatamente (anche per attivare la PEC ci ho messo un bel po'), ma penso che questa iniziativa sia molto importante.

Nuovo Privacy shield, ossia "EU-US Data Privacy Framework"

Ci ricordiamo che il Privacy Shield, ossia l'accordo che regolava il traferimento dei dati da Europa a USA, fu invalidato a luglio 2020 (esattamente 3 anni fa). A luglio 2023, dopo esattamente 3 anni (meno qualche giorno) è stato approvato il "EU-US Data Privacy Framework”: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721.

 Il nuovo accordo è stato oggetto di critica. Segnalo questo articolo dal titolo "Perché il nuovo data framework UE-USA avrà vita breve" per un breve commento: https://www.agendadigitale.eu/sicurezza/privacy/perche-il-nuovo-data-framework-ue-usa-avra-vita-breve/.

Io sarò cauto con i miei clienti, spingendoli a mantenere le modalità seguite da qualche anno, ossia dopo la Schrems II, ossia mantenere in Europa i sistemi informatici o, alla peggio, usare fornitori che adottano le SCC.

Sentenza sull'uso di Dropbox da parte dei dipendenti

Segnalo questo articolo dal titolo "Accesso abusivo a sistema informatico o telematico da parte di dipendenti o collaboratori": https://www.altalex.com/documents/2023/07/05/accesso-abusivo-sistema-informatico-telematico-parte-dipendenti-collaboratori.

In pochissime parole (se ho capito giusto): un dipendente aveva aperto una cartella Dropbox (pubblica!) per scambiare i dati aziendali con clienti e colleghi; poi si licenzia e cambia le credenziali alla cartella in modo che l'azienda non possa più accedervi. Alla fine viene ritenuto colpevole.

A questo proposito è ovvio che è discutibile il fatto che l'azienda abbia permesso al dipendente di aprire una cartella non controllata dall'azienda stessa su un sistema di file sharing pubblico. Vanno però anche ricordate le questioni relative alla "proprietà" della cartella: se è usata per l'azienda, sembra che debba rimanre di "proprietà" dell'azienda.

Enisa - Good Practices for Supply Chain Cybersecurity

Davide Giribaldi di Swiss Cyber Com mi ha segnalato la guida di Enisa dal titolo “Good Practices for Supply Chain Cybersecurity” e uscita a fine maggio: https://www.enisa.europa.eu/publications/good-practices-for-supply-chain-cybersecurity

Riporto le considerazioni di Davide, che ringrazio:

“La Guida è riferita solo all’analisi degli operatori essenziali (che poi non si chiameranno più così per la NIS2) e importanti.

La mia impressione è che evidenzi un aspetto interessante, ovvero la difficoltà non tecnica, ma organizzativa e culturale alla responsabilizzazione delle terze parti. (Fig. 6 pag. 12 del report) dove la certificazione di uno standard (ISO/IEC 27001 ad esempio) viene visto come elemento di garanzia (corretto se si esce dalla logica nota a tutti che spesso, per le PMI, le certificazioni sono pezzi di carta necessari e non una vera e propria filosofia su cui basare la strategia aziendale), ma allo stesso tempo evidenzia difficoltà ad adottare criteri come quello dell’audit sul campo nei confronti dei fornitori.

Molto interessante anche il risultato della verifica sui criteri aziendali considerati per la valutazione dei rischi informatici della catena di fornitura. Tra questi segnalo la “spesa” fatta nei confronti del fornitore, considerato il terzo più importante.

Sia chiaro, più spendo nei confronti di un fornitore, più mi fido dei suoi prodotti e servizi, ma non credo sia un elemento oggettivo di cybersecurity”.

Garante privacy: illecite le email pubblicitarie senza consenso (anche se con il link per disiscriversi)

Il titolo è questo e spiega tutto: "Garante privacy: illecite le email pubblicitarie senza consenso Inserire un link per disiscriversi non rende l’invio lecito": https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9903191#3.

Da ricordare questo link per poterlo mostrare ai tanti che parlano di "consenso soft".

Questionario Clusit per la sicurezza dei fornitori

Il Clusit ha pubblicato un questionario per la selezione di fornitori ICT: https://clusit.it/blog/questionario-per-la-sicurezza-dei-fornitori/.

L'idea è quella di proporre un questionario di riferimento per tutte le organizzazioni che vogliono analizzare i propri fornitori (potenziali e attivi). in merito alla sicurezza informatica.

Questo dovrebbe evitare il proliferare di questionari che, soprattutto ad alcune aziende, richiede troppo lavoro inutile, visto che si assomigliano tutti, ma sono diversi e ciascuno richiede tempo per essere analizzato e per scrivere le risposte.

Applaudo quindi all'iniziativa e la raccomando a tutti.

18 settembre 2023: Convegno su NIS2 e non solo

Io sono membro del direttivo dell'associazione DFA. Abbiamo organizzato un incontro perché negli ultimi anni sono state pubblicate numerose normative dedicate alla sicurezza dei sistemi informatici e delle reti in Italia e in Unione Europea e il numero e la complessità di queste normative ci hanno posto numerosi interrogativi e li vorremmo affrontare, evidenziandone gli aspetti pratici da affrontare e raccogliendo le esperienze già fatte.

L'incontro ha nome DFA Open day e sarà il 18 settembre 2023 a Milano (all'Università Statale di Milano).

Si parlerà di:

• Ambito di applicazione e relazioni tra le normative e ruolo delle autorità di controllo;
• Rischi cyber e come valutarli e affrontarli per rispondere alle normative;
• Gestione degli incidenti e delle notifiche, considerando i diversi ambiti di applicazione delle normative, le diverse autorità da coinvolgere e le diverse regole da seguire;
• Sistemi di certificazione, in particolare quelli che saranno promossi da ACN e ENISA;
• Accordi di condivisione delle informazioni sulla cybersicurezza.

Il link per registrarsi e partecipare (gratuitamente): https://www.eventbrite.it/e/biglietti-nis-2-e-non-solo-applicazione-in-pratica-662307749307.

Gli uomini possono fare tutto (Giugno 2023)

Questa volta, purtroppo, segnalo un insuccesso. Il 5 giugno alle 14 un mio figlio aveva la festicciola di classe a scuola. Il programma prevedeva un'esecuzione dei bambini di qualche canzone con l'ukulele (Yellow submarine e altre) e poi merenda con le cose portate da ciascuno.

Avevo già un appuntamento per quel pomeriggio e il cliente è stato molto gentile e riuscimmo a concordare una bella riduzione del mio impegno. Però, visto che avrebbe avuto un audit dopo qualche giorno, non annullammo completamente l'incontro. Così mi presentai a scuola alle 15, a concerto finito (ma a merenda ancora da cominciare).

Mio figlio mi fece un bel musone (ci tiene alla mia presenza, nonostante pensi ci siano papà sicuramente migliori di me) e, sinceramente, mi spiacque non essere arrivato per tempo.

Poi ho visto una registrazione di 10 secondi del concerto ed era anche carino. Però il dispiacere è un po' diminuito ;-)

Regolamento DORA

Del Regolamento DORA avevo accennato in precedenza. Nel titolo la R sta per "resilienza" e l'ambito di applicazione è il settore finance. A ben vedere, questa resilienza richiede di occuparsi di sicurezza informatica (reti e sistemi informatici).

Per una prima idea del DORA, segnalo questo articolo di novembre 2022: https://www.cybersecurity360.it/legal/regolamento-dora-cosi-leuropa-garantira-la-resilienza-operativa-digitale-per-il-settore-finanziario/.

L'articolo è di Giancarlo Butti che ha recentemente pubblicato il libro "Manuale di resilienza" (https://www.iter.it/prodotto/manuale-di-resilienza/). Non ho letto il libro e quindi non posso dirne alcunché. Conosco Giancarlo e quindi so che sicuramente è molto interessante.

Bozza dell'Artificial intelligence Act approvata dal Parlamento UE

Non mi sono occupato finora delle proposte normative di intelligenza artificiale. Il motivo principale è che si tratta di normative ancora in fase di elaborazione. Adesso la situazione è avanzata ulteriormente e un articolo di Guerre di rete dal titolo "Intelligenza artificiale - AI Act, l’Europarlamento tiene" permette di capire bene la situazione attuale e gli elementi in discussione: https://guerredirete.substack.com/p/guerre-di-rete-ai-act-leuroparlamento.

 Per capire qualcosa di intelligenza artificiale, anche se in modo non approfondito, ricordo la pubblicazione (gratuita) del Clusit dal titolo "Intelligenza artificiale e sicurezza: opportunità, rischi e raccomandazioni": https://iasecurity.clusit.it/. E' di inizio 2021, ma gli argomenti ci sono quasi tutti.

Operazione "Ghost money"

Enos D'Andrea mi ha segnalato la notizia sull'Operazione "Ghost money": https://www.commissariatodips.it/notizie/articolo/operazione-ghost-money/index.html.

In brevissimo: hanno arrestato una gang che rubava soldi semplicemente presentando falsi mandati SEPA alle banche. L'istituto di credito dava disponibilità di una somma prima di verificare la non genuinità della documentazione depositata e, ovviamente, i criminali si affrettavano a bonificare i fondi su altri conti correnti.

Interessante quindi osservare come meccanismi progettati per velocizzare le operazioni possono essere sfruttati per furti.

Minacce e attacchi: bug programmato in visori sportivi

Segnalo questo articolo di Valeria Lazzaroli: https://www.linkedin.com/posts/valeria-lazzaroli_supplychain-cybersecurity-ip-activity-7059467324990341122-tIlx.

In pochissime parole: un visore sportivo si è bloccato (con gioia degli utilizzatori) da un momento all'altro perché non risultava aggiornata la licenza del software (di SWARG) da parte del produttore dell'hardware (ORQA).

Il mio commento (su LinkedIn): intanto bisognerebbe capire se si tratta di un bug o di una funzionalità. Cioè: era previsto dal contratto tra ORQA e SWARG o no? Certamente era un bug per ORQA che sembra caduta essersi sorpresa della cosa.

Ho pensato anche al fatto che adesso il software lo vendono "as a service", non più "as a product" e questo è un problema. Mi spiego meglio.

Questi software si aggiornano da soli, quando vuole il produttore (puoi sempre chiedere che non lo facciano, ma questo comporta altri problemi) e come vuole il produttore. Questo genera rischi di disponibilità (come minimo perché si aggiorna senza preavvisare, bloccando il sistema). Questo modo di fare consente ai produttori di introdurre sistemi di controllo delle licenze come nel caso segnalato.

Ripeto: ci sono pro e contro in questo approccio. Bisogna starci attenti.

Certo è che SWARG poteva lanciare qualche avvertimento che la licenza stava per scadere.

Aggiornamento della ISO/IEC 29134:2023 Guidelines for privacy impact assessment

A maggio 2023 è stata pubblicata la seconda edizione della ISO/IEC 29134:2023 "Guidelines for privacy impact assessment": https://www.iso.org/standard/86012.html.

Ripeto per l'ultima volta quanto già scritto altre volte quando parlavo delle bozze di questa seconda edizione: riporta solo aggiornamenti non significativi rispetto all'edizione precedente. Penso che sia è un peccato, visto che la norma richiederebbe un aggiornamento significativo, basato sull'esperienza maturata in questi anni.

Romania ed Europa

La Romania è in Europa e lo so anche molto bene.

Però in un mio precedente post (http://blog.cesaregallotti.it/2023/05/accreditamento-ukas-non-piu-valido-per.html) l'ho indicata come esempio di Paese extra europeo. Volevo scrivere Albania.

Mi scuso con tutti e ringrazio Toto Zammataro per avermelo segnalato.

Il post l'ho corretto dove ho potuto.

Privacy: DL 48 e semplificazioni in materia di trasparenza

Segnalo che è stato approvato il DL 48 del 2023: https://www.normattiva.it/eli/id/2023/05/04/23G00057/ORIGINAL.

Nell'articolo 26 riporta alcune semplificazioni nelle informazioni da fornire al personale, introdotte dal D. Lgs. 104 del 2022 che a sua volta modificava il D. Lgs. 152 del 1997 (sulle informazioni da fornire ai lavoratori).

Poche cose, ma interessanti:

1. non è necessario copiare le norme, ma è sufficiente citarle; ritengo sia una buona cosa, purché le stesse norme siano facilmente comprensibili, e già il capoverso precedente segnala che spesso non è così;
2. "il  datore di lavoro è tenuto a consegnare  o  a  mettere  a  disposizione  del personale, anche mediante pubblicazione sul  sito  web,  i  contratti collettivi nazionali, territoriali e aziendali, nonché gli eventuali regolamenti aziendali applicabili al rapporto di lavoro";
3. il datore di lavoro è  tenuto  a  informare  il lavoratore dell'utilizzo di sistemi  decisionali  o  di  monitoraggio.

Notizia appresa dalla circolare di B&C tax.

NIST SP 800-124 sulla sicurezza dei dispositivi mobili

Segnalo la pubblicazione della rev. 2 della SP 800-124 "Guidelines for Managing the Security of Mobile Devices in the Enterprise" del NIST: https://csrc.nist.gov/publications/detail/sp/800-124/rev-2/final.

Ottima.

Gli uomini possono fare tutto (Maggio 2023)

15 maggio. Anche oggi ho iniziato tardi un corso. Accompagno a scuola il piccolo, poi incontro una mamma di un compagno di classe del grande e ci scambiamo idee su come affrontare i compiti. La discussione mi interessa e il tempo passa...

Spero che i partecipanti al corso non mandino un reclamo (il corso finirà mercoledì).

Interpretazione della Corte di giustizia UE su dati pseudonimizzati e anonimi

Segnalo questo post sulla a decisione T-557/20 del 26 aprile 2023 della Corte di Giustizia UE su dati pseudonimi e anonimi: https://www.linkedin.com/posts/maria-grassetto-1a8bb25b_cge-activity-7060175275069779968-LAWc.

Copio biecamente dalla newsletter di Project:IN Avvocati: In estrema sintesi, secondo la Corte occorre ragionare sulla posizione del "ricevente" il dato personale, per indagare sia egli sia - o meno - in grado di identificare il soggetto cui quell’informazione si riferisce, e quindi effettui un "trattamento" di dato personale.

Sicurezza informatica e Codice degli appalti

Segnalo questo articolo dal titolo "La cyber security entra nel Codice Appalti: perché è un cambio di passo fondamentale": https://www.agendadigitale.eu/sicurezza/la-cyber-security-entra-nel-codice-appalti-perche-e-un-cambio-di-passo-fondamentale/.

Non sapevo che il Codice degli appalti fosse stato cambiato e fosse stata aggiunta questa aggiunta. Poche parole, se ho capito bene, ma molto importanti.

Accreditamento UKAS non più valido per gli appalti pubblici

Il titolo è "Appalti pubblici, Brexit taglia fuori i soggetti accreditati Ukas per le certificazioni": https://ntplusdiritto.ilsole24ore.com/art/appalti-pubblici-brexit-taglia-fuori-soggetti-accreditati-ukas-le-certificazioni-AELxQIND.

La notizia l'avevo vista da un post di LinkedIn di Fabrizio Cirilli (ma il suo link puntava a una pagina del sito del Sole 24 ore con cookie wall), poi me l'ha rimandata Franco Ferrari e allora ho cercato e trovato un link senza cookie wall.

In sostanza: i certificati accreditati da enti non europei non sono reputati validi per partecipare a gare di appalti pubblici. Infatti l'interpretazione dovrebbe riguardare anche i certificati accreditati in Albania, India, USA, Svizzera, eccetera. Non ho indagato se anche gli organismi di accreditamento dello SEE ma non della UE sono esclusi (Islanda, Liechtenstein e Norvegia).

Privacy: Pagina informativa del Garante sui Dark Pattern

Il Garante ha attivato una pagina informativa sui dark pattern, ossia sulle tecniche per fare in modo che un utente prenda decisioni "inconsapevoli o non desiderate", rinunciando quindi, in ambito privacy, alle limitazioni relative alla raccolta e trattamento dei propri dati personali: https://www.garanteprivacy.it/temi/internet-e-nuove-tecnologie/dark-pattern.

La pagina fa riferimento alle "Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them" dell'EDPB, aggiornate a febbraio 2023.

La notizia l'ho letta sulla newsletter di Project:IN Avvocati.

Su questo argomento ero completamente digiuno e questa pagina mi ha aiutato a capire alcune cose. Devo dire che la pagina informativa riassume quanto riportato nelle linee guida dell'EDPB. Queste, invece, approfondiscono le varie tecniche di dark pattern, ma senza esempi concreti e pertanto, in alcuni casi, alcune cose mi sono oscure.

Una versione in italiano dei dark patterns individuati da EDPB è qui: https://www.cyberlaws.it/2022/dark-patterns/.

I dark pattern sono però cose più generali e non riguardano solo la privacy. Ho trovato, per esempio, questo interessante articolo: https://www.drcommodore.it/2018/08/03/dark-pattern-cosa-sono-come-riconoscerli-e-perche-ci-controllano/. 

Cassazione: assolta Poste Italiane per phishing

Segnalo questo articolo dal titolo "Phishing, perché la Cassazione ha assolto Poste Italiane e condannato i correntisti?": https://www.cybersecitalia.it/phishing-la-cassazione-se-cliente-truffato-la-banca-non-responsabile/24214/.

 Ringrazio Maurizio Tardanico che l'ha segnalato su una chat a cui partecipo.

 Incollo una parte significativa del testo per dare una prima idea: "la Cassazione ha stabilito che la banca o l’istituto di credito non ha responsabilità nel furto di denaro dei correntisti avvenuto con operazioni di phishing, se ha adottato un sistema di sicurezza tale da impedire a terzi l’accesso al conto corrente e se i clienti stessi hanno fornito i codici di accesso ad estranei, ovviamente, senza esserne consapevoli, perché truffati".

Sicurezza delle informazioni: la nuova ISO/IEC 27005 sulla valutazione del rischio

Segnalo un mio articolo sulla nuova ISO/IEC 27005 sulla valutazione del rischio: https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-la-nuova-iso-iec-27005-sulla-valutazione-del-rischio/.

Approfondisce quanto avevo già detto in precedenza in altre occasioni.

Come sempre, sono disponibile al confronto nel caso qualcuno voglia discutere le mie posizioni.

Privacy: sanzionata la raccolta ingannevole del consenso per marketing

Provvedimento del Garante per "trattamento di dati personali mediante l’uso di pratiche ingannevoli, e in particolare per uso di dark patterns capaci di spingere l’utente a fornire il proprio consenso per finalità di marketing e di comunicazione dei dati a terzi" (ringrazio la newsletter di Project:IN Avvocati per il riassunto): https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870014.

Lo segnalo perché è interessante osservare che la raccolta del consenso ingannevole (o forzato, in alcuni casi) è stata sanzionata. Così questo provvedimento mi tornerà utile per convincere qualcuno a fare le cose un po' meglio...

Stato degli standard ISO/IEC 270xx - Aprile 2023

In aprile si sono conclusi i meeting semestrali del WG 1 e del WG 5 del ISO/IEC JTC 1 SC 27. Si tratta dei gruppi che seguono le norme ISO/IEC 27001, 27002, 27005 eccetera e le norme sulla privacy, inclusa la ISO/IEC 27701.

Per quanto riguarda il WG 1, le attività si sono svolte online e, in realtà, il meeting è servito a sintetizzare le attività svolte in altri incontri da ottobre.

Si sono avviati i lavori per la revisione di ISO/IEC 27000 (panoramica sui SGSI), 27003 (guida alla 27001) e 27004 (sulle misurazioni). Si tratta di norme molto importanti.

Si è poi deciso di non avviare i lavori per una nuova ISO/IEC 27001, anche se la versione del 2022 era stata approntata rapidamente per aggiornare l'Annex A seguendo alla nuova ISO/IEC 27002 e recepire le modifiche all'HLS.

Ci è stato comunicato che, a livello IAF (ossia l'ente che promuove e controlla le attività di accreditamento), sono stati uniti i gruppi che si occupano di ISO/IEC 27001 e ISO/IEC 20000 per ottenere una maggiore coerenza negli accreditamenti relativi alla sicurezza dei dati e all'informatica. Viene da ridere, pensando che molti vorrebbero che la ISO/IEC 20000-1 si occupi di servizi in generale e che la ISO/IEC 27001 non si occupa solo di sicurezza informatica (o cybersecurity).

Per quanto riguarda le attività del WG 5, che si occupa di privacy, sono proseguiti i lavori per la ISO/IEC 27006-2 (ossia le regole di accreditamento). Sono stati avviati i lavori per una norma sulla privacy e intelligenza artificiale (ISO/IEC 27091). Ho notato poi molto lavoro per gli standard relativi alla verifica dell'età.

Importante, a mio avviso, è il lavoro in fase di conclusione per la ISO/IEC 27701, ossia la norma per la certificazione dei sistemi di gestione per la privacy (estensione della ISO/IEC 27001). Infatti la norma passa in stato di FDIS e quindi entro fine anno dovrebbe uscirne la versione aggiornata. Non bisogna aspettarsi nulla di nuovo se non l'allineamento alle ISO/IEC 27001:2022 e ISO/IEC 27002:2022.

Su questo fronte, i lavori per l'aggiornamento della ISO/IEC 27018 (privacy per fornitori di servizi cloud, estensione della ISO/IEC 27002) procedono a rilento.

Sarà pubblicata una nuova versione della ISO/IEC 29134 sulla DPIA, ma riporterà solo aggiornamenti non significativi rispetto all'edizione attuale (su questo avevo già scritto in passato che è un peccato, visto che la norma richiederebbe un aggiornamento significativo, basato sull'esperienza maturata in questi anni.