Segnalo questo articolo dal titolo "Nel labirinto delle norme Ue sulla
cybersicurezza: come districarsi nella Direttiva NIS2":
https://www.agendadigitale.eu/sicurezza/nel-labirinto-delle-norme-ue-sulla-c
ybersicurezza-criticita-attuali-e-scenari-futuri/.
Questo articolo mi conforta perché conferma le difficoltà di lettura della
NIS2 e non solo.
Per ora, in attesa di implementing acts, recepimenti italiani, chiarimenti
europei e italiani (inclusi quelli di ACN), io suggerisco di iniziare a
ragionare sui controlli dell'Allegato B del DPCM 81 del 14 aprile 2021.
Alcuni di questi controlli richiedono un certo tempo per essere realizzati e
anche costi elevati. E' vero che c'è tempo, ma sicuramente partirei ad
analizzare questi controlli, in modo da potersi attivare prontamente nel
caso venissero confermati (è vero che sono orginati dal Framework Nazionale,
di cui era responsabile Baldoni, ora non più Direttore di ACN, però al
momento questo è quello che abbiamo).
Poi comincerei a ragionare sulla procedura di gestione degli incidenti per
recepire le richieste normative.
Alla valutazione del rischio penserò solo quando usciranno indicazioni
precise. Spero proprio che non promuovano un approccio basato sui singoli
asset perché sarebbe una cosa assurda (ricordo che è un'impostazione degli
anni Ottanta, tratta dal CRAMM, software stand-alone usato dalle grandi
società di consulenza che lo facevano popolare dai ragazzini per fatturare
giornate di consulenza; il CRAMM adesso non è neanche più mantenuto). Spero
che qualcuno con competenze pratiche si renda conto che è un approccio
dispendioso che non dà risultati utili.
Altra cosa è invece verificare l'implementazione delle misure su ciascun
asset, ma, appunto, non è valutazione del rischio.
Io qui ho fornito la mia idea. Mi piacerebbe sapere cosa ne pensano gli
altri.
Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
martedì 21 marzo 2023
Sicurezza informatica di base
Pierluigi Stefli di Datapro Srl mi ha segnalato due iniziative per fornire
indicazioni sulla sicurezza informatica. Si tratta di materiale di base,
destinato soprattutto ai "non professionisti della sicurezza".
Il primo è Barry: https://www.ibarry.ch/it/. Trovo interessante la parte
relativa ai controlli di sicurezza, che mette a disposizione strumenti
utili.
Il secondo è S-U-P-E-R: https://www.s-u-p-e-r.ch/it/. In questo c'è anche un
quiz per verificare il proprio livello di comprensione.
indicazioni sulla sicurezza informatica. Si tratta di materiale di base,
destinato soprattutto ai "non professionisti della sicurezza".
Il primo è Barry: https://www.ibarry.ch/it/. Trovo interessante la parte
relativa ai controlli di sicurezza, che mette a disposizione strumenti
utili.
Il secondo è S-U-P-E-R: https://www.s-u-p-e-r.ch/it/. In questo c'è anche un
quiz per verificare il proprio livello di comprensione.
Nuovo direttore di ACN
L'Agenzia per la cybersicurezza nazionale ha cambiato direttore. E' uscito Roberto Baldoni, è arrivato Bruno Frattasi.
Andrea Maria Tacchi di DNV mi diede la notizia a inizio marzo e mi segnalò questo articolo:
https://www.wired.it/article/baldoni-agenzia-cybersicurezza-dimissioni-soldi-pnrr/.
A qualcuno interessa il mio parere? Quasi sicuramente no e quindi lo riassumo: a) non ho apprezzato molte scelte di Baldoni, a partire dalla promozione del NIST CSF per fare il "Framework Nazionale per la Cybersecurity e la Data Protection", ma non ne ho seguito le gesta e quindi non ho altre critiche da fare; b) criticai all'epoca le richieste eccessive per i profili professionali richiesti, ma ancora una volta si tratta di poche cose; c) vedo che ACN pubblica bollettini e raccomandazioni, come tutte le cose sono migliorabili, ma mi sembrano buone iniziative; d) il resto sono lotte di potere e spero che ACN continui a lavorare e migliorare.
Andrea Maria Tacchi di DNV mi diede la notizia a inizio marzo e mi segnalò questo articolo:
https://www.wired.it/article/baldoni-agenzia-cybersicurezza-dimissioni-soldi-pnrr/.
A qualcuno interessa il mio parere? Quasi sicuramente no e quindi lo riassumo: a) non ho apprezzato molte scelte di Baldoni, a partire dalla promozione del NIST CSF per fare il "Framework Nazionale per la Cybersecurity e la Data Protection", ma non ne ho seguito le gesta e quindi non ho altre critiche da fare; b) criticai all'epoca le richieste eccessive per i profili professionali richiesti, ma ancora una volta si tratta di poche cose; c) vedo che ACN pubblica bollettini e raccomandazioni, come tutte le cose sono migliorabili, ma mi sembrano buone iniziative; d) il resto sono lotte di potere e spero che ACN continui a lavorare e migliorare.
giovedì 16 marzo 2023
Migrazione newsletter
La newsletter è spedita da anni con MailUp, offerta da Team Quality S.r.l.
(per questo ringrazio Gianpiero Fuselli). Voglio provare a spedirla con
Substack, dove adesso trovate la newsletter di febbraio:
- https://infosecandquality.substack.com/.
Questo mese proverò a migrare gli iscritti e quindi invito quanto non vogliono usare Substack di disiscriversi quanto prima.
La ragione della migrazione è che ho qualche problema con lo spam e molti non ricevono la newsletter per motivi a me oscuri e che non posso neanche indagare fino in fondo in quanto uso una parte limitata di MailUp. Altra ragione è che chi proprio lo desidera può contribuire economicamente alla newsletter. Non penso che riceverò alcunché, ma è un esperimento che mi incuriosisce.
Giusto per chiarire: non ho intenzione di attivare le pubblicità o roba simile.
Ricordo poi che la newsletter arriva anche via LinkedIn, ma vorrei dare un'alternativa a quanti non gradiscono registrarsi su quel social network.
Per chi vuole la soluzione più pulita possibile dal punto di vista privacy, la newsletter è sempre caricata sul mio sito (https://www.cesaregallotti.it/Newsletter.html), ospitato su un'infrastruttura italiana, gestita da una società italiana con sede a Milano (www.coretech.it), certificata ISO/IEC 27701 e non solo.
Infine: chiunque voglia aiutarmi o darmi consigli è benvenuto (prego di scrivermi via email).
- https://infosecandquality.substack.com/.
Questo mese proverò a migrare gli iscritti e quindi invito quanto non vogliono usare Substack di disiscriversi quanto prima.
La ragione della migrazione è che ho qualche problema con lo spam e molti non ricevono la newsletter per motivi a me oscuri e che non posso neanche indagare fino in fondo in quanto uso una parte limitata di MailUp. Altra ragione è che chi proprio lo desidera può contribuire economicamente alla newsletter. Non penso che riceverò alcunché, ma è un esperimento che mi incuriosisce.
Giusto per chiarire: non ho intenzione di attivare le pubblicità o roba simile.
Ricordo poi che la newsletter arriva anche via LinkedIn, ma vorrei dare un'alternativa a quanti non gradiscono registrarsi su quel social network.
Per chi vuole la soluzione più pulita possibile dal punto di vista privacy, la newsletter è sempre caricata sul mio sito (https://www.cesaregallotti.it/Newsletter.html), ospitato su un'infrastruttura italiana, gestita da una società italiana con sede a Milano (www.coretech.it), certificata ISO/IEC 27701 e non solo.
Infine: chiunque voglia aiutarmi o darmi consigli è benvenuto (prego di scrivermi via email).
mercoledì 15 marzo 2023
WhatsApp e i messaggi rubati
Claudio Sartor mi ha segnalato la notizia dei messaggi WhatsApp resi
pubblici nonostante la crittografia end-to-end:
- https://attivissimo.blogspot.com/2023/03/centomila-messaggi-whatsapp-spasso-ma.html.
Il fatto è che un politico aveva esportato i propri messaggi per darli a una giornalista a cui aveva chiesto di scrivere un libro, usando anche quei messaggi per ricostruire eventi. La giornalista, scorrettissima, ha pensato fosse più corretto rendere pubblici i messaggi per dimostrare che il Governo inglese era impreparato a gestire l'emergenza COVID nel 2020 (non certo una notiziona).
Claudio segnala che questa notizia serve per ricordarci "un principio spesso dimenticato nella sicurezza delle informazioni: il segreto non è soltanto questione di tecnologia, ma dipende anche dai fattori umani".
- https://attivissimo.blogspot.com/2023/03/centomila-messaggi-whatsapp-spasso-ma.html.
Il fatto è che un politico aveva esportato i propri messaggi per darli a una giornalista a cui aveva chiesto di scrivere un libro, usando anche quei messaggi per ricostruire eventi. La giornalista, scorrettissima, ha pensato fosse più corretto rendere pubblici i messaggi per dimostrare che il Governo inglese era impreparato a gestire l'emergenza COVID nel 2020 (non certo una notiziona).
Claudio segnala che questa notizia serve per ricordarci "un principio spesso dimenticato nella sicurezza delle informazioni: il segreto non è soltanto questione di tecnologia, ma dipende anche dai fattori umani".
lunedì 13 marzo 2023
Vulnerabilità in Jenkins
Jenkins è uno strumento molto diffuso per la continuous integration del
software. Si tratta quindi di un "software di supporto". E' stata
identificata una vulnerabilità grave in una versione precedente ma ancora in
uso:
- https://www.securityweek.com/jenkins-server-vulnerabilities-chained-for-remote-code-execution/.
Lo riporto perché è importante ricordarsi di prestare attenzione alle vulnerabilità presenti anche nei software di supporto.
Notizia presa da SANS NewsBites.
- https://www.securityweek.com/jenkins-server-vulnerabilities-chained-for-remote-code-execution/.
Lo riporto perché è importante ricordarsi di prestare attenzione alle vulnerabilità presenti anche nei software di supporto.
Notizia presa da SANS NewsBites.
mercoledì 8 marzo 2023
Gli uomini possono fare tutto
La mia amica Viviana, con cui parlo anche delle questioni organizzative con
i bambini, mi ha chiesto di ritagliarmi un angolino della mia newsletter e
del mio blog per raccontare come un uomo, ossia io, riesce a dedicarsi alla
famiglia senza per questo essere discriminato, come invece succede alle
donne.
Infatti succede che, quando io chiedo di finire le riunioni alle 16 per poter andare a prendere il figlio a scuola, tutti sono disponibili e, anzi, mi fanno i complimenti per l'impegno. So di casi in cui, quando lo chiede una donna, questa è troppo spesso ignorata (nei casi peggiori anche con sbuffi o commenti poco simpatici).
Io sono un libero professionista con competenze, a torto o ragione, riconosciute. Questo mi dà margini di manovra diversi da una dipendente. Però ho fatto anche un'altra riflessione: oggi molti vogliono dimostrare che le donne possono fare tutto (la serie Lida Poët è uno degli ultimi esempi), ma questo è solo un lato della medaglia, che permette ancora di spingere le donne a fare cose che "gli uomini non fanno" e, quindi, piano piano, a relegarle in quel ruolo. Invece siamo in tanti che stiriamo, ci occupiamo della lavatrice, aiutiamo i bambini con la scuola (per non dire dei bisogni al gabinetto), eccetera. Ovviamente, tranne Marco Mazzetti, solo una cosa non possiamo fare, ma è solo una.
E allora ho pensato che ogni mese potrei raccontare qualcosa che mi è successa e che dimostra che un uomo può far tutto. Non vorrò per niente essere auto-celebrativo (nel caso, vi chiedo di richiamarmi all'ordine), perché faccio tante cose senza infamia e senza lode, come quasi tutte le donne. Solo che le faccio e senza drammi. E forse è il caso di raccontarlo.
Un semplice episodio mi permette di ringraziare il gruppo di traduzione della ISO/IEC 27001 e ISO/IEC 27002, che mi ha permesso di partecipare ai lavori, e senza rimostranze, anche quando accompagnavo i bambini a karate, al calcio, al Catechismo e dai dottori, scollegandomi dal pc e ricollegandomi dal cellulare, restando assente per alcuni minuti se dovevo rispondere a qualcun altro.
Ho iniziato così, un 8 marzo. Cercherò di continuare ogni mese e di rimanere nelle poche righe (molte meno di questo primo episodio).
Infatti succede che, quando io chiedo di finire le riunioni alle 16 per poter andare a prendere il figlio a scuola, tutti sono disponibili e, anzi, mi fanno i complimenti per l'impegno. So di casi in cui, quando lo chiede una donna, questa è troppo spesso ignorata (nei casi peggiori anche con sbuffi o commenti poco simpatici).
Io sono un libero professionista con competenze, a torto o ragione, riconosciute. Questo mi dà margini di manovra diversi da una dipendente. Però ho fatto anche un'altra riflessione: oggi molti vogliono dimostrare che le donne possono fare tutto (la serie Lida Poët è uno degli ultimi esempi), ma questo è solo un lato della medaglia, che permette ancora di spingere le donne a fare cose che "gli uomini non fanno" e, quindi, piano piano, a relegarle in quel ruolo. Invece siamo in tanti che stiriamo, ci occupiamo della lavatrice, aiutiamo i bambini con la scuola (per non dire dei bisogni al gabinetto), eccetera. Ovviamente, tranne Marco Mazzetti, solo una cosa non possiamo fare, ma è solo una.
E allora ho pensato che ogni mese potrei raccontare qualcosa che mi è successa e che dimostra che un uomo può far tutto. Non vorrò per niente essere auto-celebrativo (nel caso, vi chiedo di richiamarmi all'ordine), perché faccio tante cose senza infamia e senza lode, come quasi tutte le donne. Solo che le faccio e senza drammi. E forse è il caso di raccontarlo.
Un semplice episodio mi permette di ringraziare il gruppo di traduzione della ISO/IEC 27001 e ISO/IEC 27002, che mi ha permesso di partecipare ai lavori, e senza rimostranze, anche quando accompagnavo i bambini a karate, al calcio, al Catechismo e dai dottori, scollegandomi dal pc e ricollegandomi dal cellulare, restando assente per alcuni minuti se dovevo rispondere a qualcun altro.
Ho iniziato così, un 8 marzo. Cercherò di continuare ogni mese e di rimanere nelle poche righe (molte meno di questo primo episodio).
sabato 4 marzo 2023
Diritto alla riparazione
Claudio Sartor mi scrive: sebbene laterale rispetto alla sicurezza delle
informazioni propriamente intesa, ti segnalo questo interessante articolo su
come una funzionalità, nata per mettere in sicurezza i dispositivi in caso
di furto o smarrimento, si riveli un boomerang per il mercato della seconda
mano:
- https://www.guerredirete.it/apple-scuote-il-movimento-sul-diritto-alla-riparazione/.
Ringrazio Claudio e sottoscrivo l'interesse per l'articolo che, più in generale, pone all'attenzione un caso di bilanciamento tra la sicurezza e le altre esigenze.
- https://www.guerredirete.it/apple-scuote-il-movimento-sul-diritto-alla-riparazione/.
Ringrazio Claudio e sottoscrivo l'interesse per l'articolo che, più in generale, pone all'attenzione un caso di bilanciamento tra la sicurezza e le altre esigenze.
Esempi di notifiche di incidenti (buone e cattive)
Segnalo (dopo averlo visto dal SANS NewsBites) questo articolo dal titolo
"Best and worst data breach responses highlight the do's and don'ts of IR":
- https://www.csoonline.com/article/3689169/data-breaches-some-of-the-best-and-worst-among-recent-responses.html.
Riassuntone: in caso di incidente, la cosa migliore è notificare tempestivamente ai propri clienti in modo completo e trasparente e con i giusti dettagli tecnici, evitando di minimizzare.
- https://www.csoonline.com/article/3689169/data-breaches-some-of-the-best-and-worst-among-recent-responses.html.
Riassuntone: in caso di incidente, la cosa migliore è notificare tempestivamente ai propri clienti in modo completo e trasparente e con i giusti dettagli tecnici, evitando di minimizzare.
giovedì 2 marzo 2023
Libro sulla supply chain
"Supply Chain Security: l'importanza di conoscere e gestire i rischi della
catena di fornitura" è il titolo dell'ultimo lavoro della "CLUSIT Community
for Security", di cui faccio parte:
- https://supplychainsecurity.clusit.it/.
I contributi sono tanti e quindi il libro è pieno di cose interessanti. Io ho partecipato alla parte di cura e quindi spero che troviate convincente come i contributi sono stati consolidati.
- https://supplychainsecurity.clusit.it/.
I contributi sono tanti e quindi il libro è pieno di cose interessanti. Io ho partecipato alla parte di cura e quindi spero che troviate convincente come i contributi sono stati consolidati.
Vademecum sull'uso dei social media
Il Consultative Council of European Judges (CCJE, o Consiglio consultivo
dei giudici europei del Consiglio d'Europa) ha adottato a dicembre 2022 la
"Opinion No. 25 (2022) on freedom of expression of judges". Essa riporta
anche indicazioni sull'uso dei social media:
- https://www.coe.int/en/web/ccje/-/freedom-of-expression-of-judges-consultative-council-of-european-judges-adopts-new-opinion.
La notizia, di per sé, non sarebbe particolarmente significativa. Però sono rimasto incuriosito da un articolo in italiano che ne riassume i contenuti dal titolo "I magistrati e i social media: regole di continenza, partecipazione e decoro":
- https://www.altalex.com/documents/news/2023/02/20/magistrati-social-media-regole-continenza-partecipazione-decoro.
Ecco, dovessi scrivere una linea guida per l'uso dei social media, partirei da qui. Perché è chiaro che l'ambito dei giudici è particolarmente rigido, e quindi da qui si possono trarre indicazioni utili anche per altri ambiti.
- https://www.coe.int/en/web/ccje/-/freedom-of-expression-of-judges-consultative-council-of-european-judges-adopts-new-opinion.
La notizia, di per sé, non sarebbe particolarmente significativa. Però sono rimasto incuriosito da un articolo in italiano che ne riassume i contenuti dal titolo "I magistrati e i social media: regole di continenza, partecipazione e decoro":
- https://www.altalex.com/documents/news/2023/02/20/magistrati-social-media-regole-continenza-partecipazione-decoro.
Ecco, dovessi scrivere una linea guida per l'uso dei social media, partirei da qui. Perché è chiaro che l'ambito dei giudici è particolarmente rigido, e quindi da qui si possono trarre indicazioni utili anche per altri ambiti.
martedì 28 febbraio 2023
Accredia e schema di accreditamento Europrivacy
Accredia ha pubblicato la Circolare tecnica DC N° 12/2023 con titolo "Avvio
accreditamento, ambito PRD, schema di certificazione EuroprivacyTM/®":
- https://www.accredia.it/documento/circolare-tecnica-dc-n-12-2023-avvio-accreditamento-ambito-prd-schema-di-certificazione-europrivacytm/.
In pochissime parole, se ho capito bene, Accredia ha avuto il mandato da Europrivacy per accreditare, a livello italiano, gli organismi di certificazione che intendono offrire servizi di certificazione Europrivacy, ossia relativi alla sicurezza delle attività di trattamento dei dati personali. Il meccanismo è stato concordato a livello EA, ossia di accreditamento europeo e quindi coinvolgerà anche gli altri Paesi.
Deduco, in poche parole, che il percorso di certificazione secondo gli articoli 42 e 43 del GDPR si farà di più facile accesso, visto che potranno essere coinvolti i "soliti" organismi di certificazione, secondo modalità già note dall'esperienza ISO 9001, ISO/IEC 27001 e altre. Va comunque ricordato che quelle citate sono certificazioni di sistemi di gestione, mentre la certificazione Europrivacy è di processo o servizio, quindi con significative differenze.
Ringrazio Luca Tommasella di DNV Italia per avermi segnalato la cosa.
- https://www.accredia.it/documento/circolare-tecnica-dc-n-12-2023-avvio-accreditamento-ambito-prd-schema-di-certificazione-europrivacytm/.
In pochissime parole, se ho capito bene, Accredia ha avuto il mandato da Europrivacy per accreditare, a livello italiano, gli organismi di certificazione che intendono offrire servizi di certificazione Europrivacy, ossia relativi alla sicurezza delle attività di trattamento dei dati personali. Il meccanismo è stato concordato a livello EA, ossia di accreditamento europeo e quindi coinvolgerà anche gli altri Paesi.
Deduco, in poche parole, che il percorso di certificazione secondo gli articoli 42 e 43 del GDPR si farà di più facile accesso, visto che potranno essere coinvolti i "soliti" organismi di certificazione, secondo modalità già note dall'esperienza ISO 9001, ISO/IEC 27001 e altre. Va comunque ricordato che quelle citate sono certificazioni di sistemi di gestione, mentre la certificazione Europrivacy è di processo o servizio, quindi con significative differenze.
Ringrazio Luca Tommasella di DNV Italia per avermi segnalato la cosa.
lunedì 27 febbraio 2023
"Interoperable EU Risk Management Toolbox" di ENISA
Sulla newsletter di Project:IN Avvocati vedo che ENISA ha pubblicato il
documenti "Interoperable EU Risk Management Toolbox":
- https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-toolbox.
Non mi è piaciuto perché riprende l'approccio della ISO/IEC 27005:2018 (ricordo che è stata pubblicata la versione del 2022), ossia quello basato su asset-minacce-vulnerabilità. Però questo approccio si ha unicamente nell'ambito della sicurezza delle informazioni e fu inventato negli anni Ottanta, quando l'informatica era completamente diversa da quella attuale (e quando gli asset erano molto pochi). Oggi non ha senso pensare all'interoperabilità di analisi basati su meccanismi vecchi e unici per una certa materia.
Detto questo, trovo invece molto interessanti le appendici III - Toolbox threat taxonomy (perché permette di verificare la completezza del proprio approccio), IV - Toolbox impact scale (perché si può prendere come riferimento per il proprio approccio; una scala per la probabilità di accadimento è al paragrafo 2.3.1.4).
Segnalo infine che le scale per impatto e probabilità sono su 5 valori, mentre si consiglia solitamente di prevedere un numero pari di valori, in modo da evitare che venga scelto il valore di mezzo, che non darebbe indicazioni utili.
- https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-toolbox.
Non mi è piaciuto perché riprende l'approccio della ISO/IEC 27005:2018 (ricordo che è stata pubblicata la versione del 2022), ossia quello basato su asset-minacce-vulnerabilità. Però questo approccio si ha unicamente nell'ambito della sicurezza delle informazioni e fu inventato negli anni Ottanta, quando l'informatica era completamente diversa da quella attuale (e quando gli asset erano molto pochi). Oggi non ha senso pensare all'interoperabilità di analisi basati su meccanismi vecchi e unici per una certa materia.
Detto questo, trovo invece molto interessanti le appendici III - Toolbox threat taxonomy (perché permette di verificare la completezza del proprio approccio), IV - Toolbox impact scale (perché si può prendere come riferimento per il proprio approccio; una scala per la probabilità di accadimento è al paragrafo 2.3.1.4).
Segnalo infine che le scale per impatto e probabilità sono su 5 valori, mentre si consiglia solitamente di prevedere un numero pari di valori, in modo da evitare che venga scelto il valore di mezzo, che non darebbe indicazioni utili.
Il futuro di SPID (e della CIE)
Da Project:IN Avvocati, segnalo questo articolo di Wired dal titolo "I
contratti per gestire Spid stanno per scadere. E non c'è un accordo per
rinnovarli":
- https://www.wired.it/article/spid-convenzione-scaduta-2022-governo-cie/.
Importante per cercare di capire cosa ci riserva il futuro, anche se pronostico un qualcosa di urgenza per proprogare ulteriormente le convenzioni.
La mia preoccupazione è che la CIE richiede l'attivazione del NFC sul cellulare e non sono sicuro che sia così diffuso. Però non ho dati in merito. Bisogna anche dire che il meccanismo è più complicato perché, oltre al cellulare (come necessario per SPID) bisogna avere sotto mano anche la carta di identità e le complicazioni, solitamente, non aiutano.
Va anche detto che io ho ancora la carta di identità cartacea valida fino al 2025 e mi disturba doverne anticipare la sostituzione. Ma me ne farò una ragione ;-)
- https://www.wired.it/article/spid-convenzione-scaduta-2022-governo-cie/.
Importante per cercare di capire cosa ci riserva il futuro, anche se pronostico un qualcosa di urgenza per proprogare ulteriormente le convenzioni.
La mia preoccupazione è che la CIE richiede l'attivazione del NFC sul cellulare e non sono sicuro che sia così diffuso. Però non ho dati in merito. Bisogna anche dire che il meccanismo è più complicato perché, oltre al cellulare (come necessario per SPID) bisogna avere sotto mano anche la carta di identità e le complicazioni, solitamente, non aiutano.
Va anche detto che io ho ancora la carta di identità cartacea valida fino al 2025 e mi disturba doverne anticipare la sostituzione. Ma me ne farò una ragione ;-)
domenica 19 febbraio 2023
Best Cyber Insights of 2023
Claudio Sartor mi ha segnalato questo post su LinkedIn:
- https://www.linkedin.com/posts/the-cyber-security-hub_best-cyber-insights-of-2023-activity-7028992138247827456-LPVI.
Si tratta di una raccolta (se ho fatto bene il calcolo, sono 8 schemi per 168 pagine, per un totale di 1.344 report) di report di sicurezza. Con il termine "report", qui intendo un grafico o una statistica. Per esempio, in prima pagina si trova la percentuale delle organizzazioni che forniscono dettagli sugli attacchi e le vittime e la dimensione delle vittime di ransomware (oltre ad altri 6 schemi). Tutti i dati sono raccolti da altri report, come correttamente segnalato.
Claudio mi scrive: "la una miniera di informazioni pazzesca da diffondere".
Io, personalmente, la trovo eccessiva e non riesco a orientarmi (confermo così che io non riesco a ragionare su troppe informazioni). Però sono sicuro che altri sapranno trarre molti benefici da questa raccolta e per questo ringrazio Claudio.
- https://www.linkedin.com/posts/the-cyber-security-hub_best-cyber-insights-of-2023-activity-7028992138247827456-LPVI.
Si tratta di una raccolta (se ho fatto bene il calcolo, sono 8 schemi per 168 pagine, per un totale di 1.344 report) di report di sicurezza. Con il termine "report", qui intendo un grafico o una statistica. Per esempio, in prima pagina si trova la percentuale delle organizzazioni che forniscono dettagli sugli attacchi e le vittime e la dimensione delle vittime di ransomware (oltre ad altri 6 schemi). Tutti i dati sono raccolti da altri report, come correttamente segnalato.
Claudio mi scrive: "la una miniera di informazioni pazzesca da diffondere".
Io, personalmente, la trovo eccessiva e non riesco a orientarmi (confermo così che io non riesco a ragionare su troppe informazioni). Però sono sicuro che altri sapranno trarre molti benefici da questa raccolta e per questo ringrazio Claudio.
mercoledì 15 febbraio 2023
NIST Cybersecurity Framework 2.0 in lavorazione
Da Crypto-gram del 15 febbraio, segnalo che sono iniziati i lavori per
l'aggiornamento del NIST Cybersecurity Framework:
- https://www.nist.gov/cyberframework/updating-nist-cybersecurity-framework-journey-csf-20.
Pubblicazione prevista per l'inverno 2024 (immagino quindi che intendano i primi 3 mesi del 2024).
E' noto che non sono un grande amante del CSF perché preferisco l'uso di standard internazionali, aggiornati attraverso processi aperti; non posso però negare l'impatto positivo di questo framework.
- https://www.nist.gov/cyberframework/updating-nist-cybersecurity-framework-journey-csf-20.
Pubblicazione prevista per l'inverno 2024 (immagino quindi che intendano i primi 3 mesi del 2024).
E' noto che non sono un grande amante del CSF perché preferisco l'uso di standard internazionali, aggiornati attraverso processi aperti; non posso però negare l'impatto positivo di questo framework.
martedì 14 febbraio 2023
Regole di transizione alla ISO/IEC 27001:2022
Accredia ha approvato il 25 gennaio 2023 la circolare con le regole di
transizione delle certificazioni ISO/IEC 27001:2013 alla ISO/IEC 27001:2022:
- https://www.accredia.it/documento/circolare-tecnica-dc-n-04-2023-transizione-certificazioni-accreditate-iso-iec-27001-e-adeguamento-accreditamenti-odc-schema-ssi-isms/.
Per le organizzazioni, riprende esattamente quanto già previsto dalla circolare IAF MD 26 del 2022. Quindi "L'attività di adeguamento deve prevedere una durata minima di 0,5 giorni/uomo aggiuntivi se effettuata attraverso un audit di sorveglianza o con un audit dedicato".
- https://www.accredia.it/documento/circolare-tecnica-dc-n-04-2023-transizione-certificazioni-accreditate-iso-iec-27001-e-adeguamento-accreditamenti-odc-schema-ssi-isms/.
Per le organizzazioni, riprende esattamente quanto già previsto dalla circolare IAF MD 26 del 2022. Quindi "L'attività di adeguamento deve prevedere una durata minima di 0,5 giorni/uomo aggiuntivi se effettuata attraverso un audit di sorveglianza o con un audit dedicato".
venerdì 10 febbraio 2023
Ancora sui Google Analytics
La storia dei Google Analytics ormai è vecchia, ma un cliente in questi
giorni mi ha chiesto chiarimenti e, proprio proprio a proposito, Guido
Scorza dell'Autorità Garante Privacy mi ha fatto il piacere di pubblicare un
articolo dal titolo "Google Analytics, Scorza: Ecco cosa devono sapere le
aziende":
- https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-scorza-ecco-cosa-devono-sapere-le-aziende/.
- https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-scorza-ecco-cosa-devono-sapere-le-aziende/.
ISO 31700: mio brevissimo articolo di presentazione
Segnalo questo mio brevissimo articolo dal titolo "Privacy by design:
requisiti e casi d'uso della norma ISO 31700":
- https://www.riskmanagement360.it/analisti-ed-esperti/privacy-by-design-requisiti-e-casi-duso-della-norma-iso-31700/.
L'8 febbraio c'è stato un convegno di presentazione della norma, ma purtroppo era tutto basato sul "come siamo stati bravi a concludere il lavoro".
- https://www.riskmanagement360.it/analisti-ed-esperti/privacy-by-design-requisiti-e-casi-duso-della-norma-iso-31700/.
L'8 febbraio c'è stato un convegno di presentazione della norma, ma purtroppo era tutto basato sul "come siamo stati bravi a concludere il lavoro".
martedì 7 febbraio 2023
Numero degli utenti UE per i servizi digitali
Mi sono imbattuto (grazie inizialmente a Project:IN Avvocati) in questa
notizia "Digital Services Act: Commission provides guidance for online
platforms and search engines on publication of user numbers in the EU":
- https://digital-strategy.ec.europa.eu/en/news/digital-services-act-commission-provides-guidance-online-platforms-and-search-engines-publication.
Se ho capito correttamente, il DSA (Regulation (EU) 2022/2065) riguarda gli intermediary services e i motori di ricerca. Questi, per l'art. 24, devono pubblicare i dati sul numero degli utenti dei servizi nella UE ogni 6 mesi, a iniziare da settimana prossima (par. 2) e su richiesta del Digital Services Coordinator o della Commissione (par. 3).
Io però non ho alcun cliente che fa questo mestiere e quindi non ho approfondito. Come diceva qualcuno, però: sapevatelo.
- https://digital-strategy.ec.europa.eu/en/news/digital-services-act-commission-provides-guidance-online-platforms-and-search-engines-publication.
Se ho capito correttamente, il DSA (Regulation (EU) 2022/2065) riguarda gli intermediary services e i motori di ricerca. Questi, per l'art. 24, devono pubblicare i dati sul numero degli utenti dei servizi nella UE ogni 6 mesi, a iniziare da settimana prossima (par. 2) e su richiesta del Digital Services Coordinator o della Commissione (par. 3).
Io però non ho alcun cliente che fa questo mestiere e quindi non ho approfondito. Come diceva qualcuno, però: sapevatelo.
giovedì 2 febbraio 2023
Libro "Sicurezza Informatica - Spunti ed Approfondimenti"
Segnalo che è liberamente scaricabile il libro "Sicurezza Informatica –
Spunti ed Approfondimenti" di Andrea Pasquinucci:
- https://www.ictsecuritymagazine.com/pubblicazioni/.
Si tratta di una raccolta di 5 articoli, molto ampi, di sicurezza (Sicurezza Hardware e Confidential Computing; Sicurezza dei router, WAF e QUIC; DNSSEC; password e MFA; Crittografia post quantum). Sono molto tecnici, ma anche molto affascinanti, oltre che istruttivi.
- https://www.ictsecuritymagazine.com/pubblicazioni/.
Si tratta di una raccolta di 5 articoli, molto ampi, di sicurezza (Sicurezza Hardware e Confidential Computing; Sicurezza dei router, WAF e QUIC; DNSSEC; password e MFA; Crittografia post quantum). Sono molto tecnici, ma anche molto affascinanti, oltre che istruttivi.
venerdì 27 gennaio 2023
Gli elementi difficili per gestire la sicurezza delle informazioni
Martedì 24 gennaio ho presentato, per i Cyber Security Angels, "Gli elementi
difficili per gestire la sicurezza delle informazioni". Le slide sono qui:
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2023-GallottixCSA.pdf.
Il video è qui:
- https://www.youtube.com/watch?v=w51N1BGPG5o.
Si tratta di alcune riflessioni sugli elementi che risultano più ostici alle organizzazioni per cui lavoro.
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2023-GallottixCSA.pdf.
Il video è qui:
- https://www.youtube.com/watch?v=w51N1BGPG5o.
Si tratta di alcune riflessioni sugli elementi che risultano più ostici alle organizzazioni per cui lavoro.
Tecniche di infezione basate sull'uso di social network
Segnalo questo bollettino di ACN (grazie a un tweet di Filippo Bianchini)
dal titolo "Tecniche di infezione basate sull'uso di social network":
- https://www.csirt.gov.it/contenuti/tecniche-di-infezione-basate-sulluso-di-social-network-bl01-221129-csirt-ita.
Spiega bene come funziona lo spear phishing e penso che una buona lezione, anche se già nota, rimanga sempre utile.
E poi sono contento di vedere che ACN pubblica buone cose. Spero solo che continui a farlo e sempre di più.
- https://www.csirt.gov.it/contenuti/tecniche-di-infezione-basate-sulluso-di-social-network-bl01-221129-csirt-ita.
Spiega bene come funziona lo spear phishing e penso che una buona lezione, anche se già nota, rimanga sempre utile.
E poi sono contento di vedere che ACN pubblica buone cose. Spero solo che continui a farlo e sempre di più.
Dispositivi (e smartphone) a scuola
Mi rendo conto che sono leggermente fuori tema, però il discorso sugli
"smartphone a scuola" introduce molti elementi importanti anche per chi si
occupa di qualità e sicurezza nelle aziende e, in generale, nelle organizzazioni.
Intanto un link (grazie a un tweet di Filippo Bianchini) a un articolo dal titolo "Quando la disinformazione arriva dal Ministero dell'Istruzione e del Merito: il caso dei dispositivi elettronici a scuola":
- https://www.valigiablu.it/cellulari-scuola-circolare/.
Poi un video di un incontro dal titolo "Incontro aspettando lo smartphone" tenuto presso una scuola. Per chi non si occupa di bambini e ragazzi è comunque interessante la prima parte (dal minuto 10 all'ora) perché fornisce dati interessanti sugli effetti o i non-effetti dell'uso dello smartphone:
- https://www.youtube.com/watch?v=ndYFEGrRDYc.
Penso ci siano alcune cose significative:
- le diverse tipologie di attenzione che impongono gli strumenti digitali, che vanno considerate attentamente;
- il livello di distrazione che gli strumenti introducono;
- il fatto che vedere violenza non ci fa diventare più violenti, ma più impauriti.
Insomma, ci sono cose che fanno riflettere. Non ho ancora ben sedimentato queste riflessioni, ma so che ci sono.
Intanto un link (grazie a un tweet di Filippo Bianchini) a un articolo dal titolo "Quando la disinformazione arriva dal Ministero dell'Istruzione e del Merito: il caso dei dispositivi elettronici a scuola":
- https://www.valigiablu.it/cellulari-scuola-circolare/.
Poi un video di un incontro dal titolo "Incontro aspettando lo smartphone" tenuto presso una scuola. Per chi non si occupa di bambini e ragazzi è comunque interessante la prima parte (dal minuto 10 all'ora) perché fornisce dati interessanti sugli effetti o i non-effetti dell'uso dello smartphone:
- https://www.youtube.com/watch?v=ndYFEGrRDYc.
Penso ci siano alcune cose significative:
- le diverse tipologie di attenzione che impongono gli strumenti digitali, che vanno considerate attentamente;
- il livello di distrazione che gli strumenti introducono;
- il fatto che vedere violenza non ci fa diventare più violenti, ma più impauriti.
Insomma, ci sono cose che fanno riflettere. Non ho ancora ben sedimentato queste riflessioni, ma so che ci sono.
Rapporto EDPB sui cookie banner
Segnalo questo articolo dal titolo "Cookie, quali regole rispettare: i
Garanti privacy chiariscono i dubbi":
- https://www.agendadigitale.eu/sicurezza/privacy/cookie-quali-regole-rispettare-i-garanti-privacy-chiariscono-i-dubbi/.
Il titolo è un po' troppo enfatico, comunque è utile leggere l'articolo perché riassume quanto emerge dal "Report of the work undertaken by the Cookie Banner Taskforce" di EDPB, pubblicato il 18 gennaio 2023:
- https://edpb.europa.eu/our-work-tools/our-documents/report/report-work-undertaken-cookie-banner-taskforce_en.
- https://www.agendadigitale.eu/sicurezza/privacy/cookie-quali-regole-rispettare-i-garanti-privacy-chiariscono-i-dubbi/.
Il titolo è un po' troppo enfatico, comunque è utile leggere l'articolo perché riassume quanto emerge dal "Report of the work undertaken by the Cookie Banner Taskforce" di EDPB, pubblicato il 18 gennaio 2023:
- https://edpb.europa.eu/our-work-tools/our-documents/report/report-work-undertaken-cookie-banner-taskforce_en.
mercoledì 18 gennaio 2023
Mio articolo sulle competenze per la sicurezza delle informazioni
Segnalo questo mio articolo dal titolo "Sicurezza delle informazioni: come
formare le competenze che servono":
- https://www.agendadigitale.eu/cultura-digitale/competenze-digitali/sicurezza-delle-informazioni-le-competenze-necessarie-e-le-opportunita-di-formazione/.
Mi sono molto divertito a scriverlo e spero sia di interesse.
- https://www.agendadigitale.eu/cultura-digitale/competenze-digitali/sicurezza-delle-informazioni-le-competenze-necessarie-e-le-opportunita-di-formazione/.
Mi sono molto divertito a scriverlo e spero sia di interesse.
Tassonomia incidenti ACN
ACN ha elaborato una tassonomia di incidenti informatici per le notifiche da
parte delle organizzazioni del Perimetro di Sicurezza Nazionale Cibernetica:
- https://www.acn.gov.it/notizie/contenuti/si-rafforza-il-perimetro-nazionale-di-sicurezza-cibernetica.
La tassonomia, in Allegato A della Determina del 3 gennaio 2023, si trova al momento in Gazzetta ufficiale (grazie a Franco Vincenzo Ferrari per avermela segnalata) ed è previsto venga pubblicato sul sito di ACN del CSIR Italia:
- www.gazzettaufficiale.it/eli/id/2023/01/10/23A00114/sg.
I tipi di incidente sono raggruppati in sole 15 categorie e già questa mi sembra una buona notizia. Per il resto, bisognerà valutare la bontà di questo elenco tra qualche tempo, dopo che sarà stato effettivamente utilizzato.
- https://www.acn.gov.it/notizie/contenuti/si-rafforza-il-perimetro-nazionale-di-sicurezza-cibernetica.
La tassonomia, in Allegato A della Determina del 3 gennaio 2023, si trova al momento in Gazzetta ufficiale (grazie a Franco Vincenzo Ferrari per avermela segnalata) ed è previsto venga pubblicato sul sito di ACN del CSIR Italia:
- www.gazzettaufficiale.it/eli/id/2023/01/10/23A00114/sg.
I tipi di incidente sono raggruppati in sole 15 categorie e già questa mi sembra una buona notizia. Per il resto, bisognerà valutare la bontà di questo elenco tra qualche tempo, dopo che sarà stato effettivamente utilizzato.
Arrestare gli amministratori di sistema
Da Crypto-gram di gennaio, segnalo questo articolo dal titolo "Albanian IT
staff charged with negligence over cyberattack":
- https://apnews.com/article/iran-europe-middle-east-albania-tirana-39fce9b5fe112a43f8b35a533b6d29e8.
Il procuratore ha chiesto l'arresto di 5 amministratori di sistema per mancate verifiche degli aggiornamenti e del software antivirus. Questo avrebbe poi portato al successo alcuni attacchi dall'Iran.
Come dice Bruce Schneier, poi bisognerà arrestare anche i manager delle società che producono software perché non pubblicano abbastanza velocemente le patch e gli sviluppatori perché ci sono bug nel software.
Certamente è un metodo per migliorare il livello di sicurezza informatica.
- https://apnews.com/article/iran-europe-middle-east-albania-tirana-39fce9b5fe112a43f8b35a533b6d29e8.
Il procuratore ha chiesto l'arresto di 5 amministratori di sistema per mancate verifiche degli aggiornamenti e del software antivirus. Questo avrebbe poi portato al successo alcuni attacchi dall'Iran.
Come dice Bruce Schneier, poi bisognerà arrestare anche i manager delle società che producono software perché non pubblicano abbastanza velocemente le patch e gli sviluppatori perché ci sono bug nel software.
Certamente è un metodo per migliorare il livello di sicurezza informatica.
mercoledì 4 gennaio 2023
I rischi umani di sicurezza informatica
Segnalo questo articolo da un tweet di Rebus dal titolo "Errori, stanchezza,
computer smarriti: quando il fattore umano mette a rischio la sicurezza
informatica":
- https://www.wired.it/article/fattore-umano-sicurezza-informatica/.
Nulla di nuovo, ma è bene ripassarlo.
A mio parere, poi, troppi puntano sulla formazione e la consapevolezza delle persone, ma queste sono, per nostra natura, inaffidabili. Io ritengo che la sicurezza debba essere innanzitutto tecnologica, da ovviamente affiancare a quella umana. Continuo a dirlo: già le persone non bloccano i propri dispositivi e, se possono, non impostano una password; figuriamoci stare attenti.
- https://www.wired.it/article/fattore-umano-sicurezza-informatica/.
Nulla di nuovo, ma è bene ripassarlo.
A mio parere, poi, troppi puntano sulla formazione e la consapevolezza delle persone, ma queste sono, per nostra natura, inaffidabili. Io ritengo che la sicurezza debba essere innanzitutto tecnologica, da ovviamente affiancare a quella umana. Continuo a dirlo: già le persone non bloccano i propri dispositivi e, se possono, non impostano una password; figuriamoci stare attenti.
Regolamenti DORA e Direttive DORA, NIS2 e CER
Si è molto parlato negli ultimi tempi della prossima pubblicazione delle
normative in oggetto. Una breve sintesi si trova in questo articolo:
- https://formiche.net/2022/12/regolamento-tre-direttive-ue-cyber/.
La più importante è la Direttiva NIS2 2022/2555, di cui già scrissi in precedenza e che dovrà essere recepita dagli Stati membri entro fine 2024:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555
Importante è il Regolamento DORA 2022/2554, per il settore finanziario:
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022R2554.
Il DORA è accompagnato dalla Direttiva 2022/2556 per allineare le direttive esistenti al Regolamento:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2556.
Infine la Direttiva CER 2022/2557 sulle infrastrutture critiche (che abroga la precedente Direttiva 2008/114/CE):
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2557
Per quest'ultima devo ancora capire bene come si interseca con la NIS2. Mi sembra di capire che stabilisca ulteriori misure per alcuni soggetti particolarmente critici, oltre a quanto stabilito dalla NIS2. Ho trovato questo articolo:
- https://www.dirittobancario.it/art/la-direttiva-cer-sulla-resilienza-dei-soggetti-critici/.
- https://formiche.net/2022/12/regolamento-tre-direttive-ue-cyber/.
La più importante è la Direttiva NIS2 2022/2555, di cui già scrissi in precedenza e che dovrà essere recepita dagli Stati membri entro fine 2024:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555
Importante è il Regolamento DORA 2022/2554, per il settore finanziario:
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022R2554.
Il DORA è accompagnato dalla Direttiva 2022/2556 per allineare le direttive esistenti al Regolamento:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2556.
Infine la Direttiva CER 2022/2557 sulle infrastrutture critiche (che abroga la precedente Direttiva 2008/114/CE):
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2557
Per quest'ultima devo ancora capire bene come si interseca con la NIS2. Mi sembra di capire che stabilisca ulteriori misure per alcuni soggetti particolarmente critici, oltre a quanto stabilito dalla NIS2. Ho trovato questo articolo:
- https://www.dirittobancario.it/art/la-direttiva-cer-sulla-resilienza-dei-soggetti-critici/.
domenica 1 gennaio 2023
ISO/IEC TS 22237 sui data center, certificazioni e accreditamento
Segnalo questo mio articolo dal titolo " Standard ISO/IEC TS 22237 per i
data center: i punti critici nello schema di certificazione Accredia":
- https://www.cybersecurity360.it/soluzioni-aziendali/standard-iso-iec-ts-22237-per-i-data-center-i-punti-critici-nello-schema-di-certificazione-accredia/.
Mi pare che il titolo annunci già a sufficienza il contenuto. Mi piacerebbe ricevere commenti.
- https://www.cybersecurity360.it/soluzioni-aziendali/standard-iso-iec-ts-22237-per-i-data-center-i-punti-critici-nello-schema-di-certificazione-accredia/.
Mi pare che il titolo annunci già a sufficienza il contenuto. Mi piacerebbe ricevere commenti.
Attacco a LastPass
LastPass è uno dei più noti password manager e poco prima di Natale è stato
compromesso:
- https://www.wired.com/story/lastpass-breach-vaults-password-managers/.
L'articolo segnala strumenti alternativi (oltre a essere critico su alcune pratiche di sicurezza e di comunicazione di LastPass).
Dal rapporto di LastPass (https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/), sembra che sia stato compromesso un loro repository su cloud in agosto (in cui erano conservati i backup), da cui i criminali hanno ricavato informazioni per un ulteriore attacco a fine novembre. Se ho capito correttamente, l'uso di MFA non era previsto.
Questa storia è importante per ricordarci che strumenti di sicurezza molto utili portano con se anche diversi rischi. Oltre che per ricordarci che è meglio usare il MFA.
Notizia presa dal SANS NewsBites.
- https://www.wired.com/story/lastpass-breach-vaults-password-managers/.
L'articolo segnala strumenti alternativi (oltre a essere critico su alcune pratiche di sicurezza e di comunicazione di LastPass).
Dal rapporto di LastPass (https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/), sembra che sia stato compromesso un loro repository su cloud in agosto (in cui erano conservati i backup), da cui i criminali hanno ricavato informazioni per un ulteriore attacco a fine novembre. Se ho capito correttamente, l'uso di MFA non era previsto.
Questa storia è importante per ricordarci che strumenti di sicurezza molto utili portano con se anche diversi rischi. Oltre che per ricordarci che è meglio usare il MFA.
Notizia presa dal SANS NewsBites.
Iscriviti a:
Post (Atom)