mercoledì 29 marzo 2023

D. Lgs. 24 del 2023 sul whistleblowing

E' stato approvato il D. Lgs. 24 del 2023 sul whistleblowing. Per saperne di più, preferisco rimandare direttamente a un articolo di Agenda digitale: https://www.agendadigitale.eu/documenti/whistleblowing-ce-la-legge-tutto-cio-che-aziende-e-pa-devono-fare-per-adeguarsi/.

Il cosiddetto whistleblowing riguarda le segnalazioni di violazioni di disposizioni normative nazionali o dell'Unione europea che ledono l'interesse pubblico o l'integrità di un'amministrazione pubblica o di un ente privato. La normativa disciplina la protezione delle persone che segnalano queste violazioni nel caso in cui ne siano venute a conoscenza in un contesto lavorativo pubblico o privato.

Si interseca con privacy e sicurezza delle informazioni, anche se la materia mi sembra, in generale, molto poco tecnica. Però è bene sapere che c'è.

Su Normattiva il testo sarà disponibile dal 1 aprile.

lunedì 27 marzo 2023

Schemi di certificazione europei

Copio direttamente dalla newsletter Project:IN Avvocati (sempre ottima) questa notizia: L'ENISA (Agenzia per la Cybersicurezza dell'UE) ha annunciato lo scorso 19 marzo il lancio di una nuova piattaforma il cui obiettivo è promuovere e diffondere informazioni sui sistemi di certificazione UE in materia di cybersicurezza. Più in particolare, la piattaforma consentirà agli utenti di condividere informazioni sugli schemi di certificazioni attualmente in fase di sviluppo, tra cui anche l'EUCS (Cybersecurity Certification Scheme for Cloud Servies).

Aggiungo il link alla piattaforma, che è in realtà una pagina web con le informazioni relative alle certificazioni (che sono ancora in fase di sviluppo e quindi, per ora, dobbiamo solo monitorarne l'avanzamento): https://certification.enisa.europa.eu/.

D. Lgs. 26 del 2023 sul Codice del consumo

Il D. Lgs. 26 del 2023 recepisce la Direttiva (UE) 2019/2161 e modifica il Codice al consumo.

Mi sembra che tratti di attività commerciali online, ma non di sicurezza delle informazioni. Ci sono anche richiami al GDPR e al D. Lgs. 196, ma non mi sembrano significativi. Comunque sia, segnalo un articolo in merito: https://www.altalex.com/documents/2023/03/20/codice-consumo-rinnova-raccogliere-sfide-mercati-digitali.

Su www.normattiva.it il D.Lgs. 26 e il Codice del Consumo (D. Lgs. 206 del 2005) saranno disponibili dal 2 aprile, data di entrata in vigore del D. Lgs. 26.

domenica 26 marzo 2023

Rapporto Clusit 2023

E' stato pubblicato il rapporto Clusit 2023:
- https://clusit.it/rapporto-clusit/.

Un altro, che ringrazio, mi ha segnalato le cose per lui più interessanti. Ne approfitto e le segnalo:
- Pag. 157: "Nel 2021 le organizzazioni che hanno pagato il riscatto hanno recuperato mediamente solo il 61% dei propri dati, rispetto al 65% del 2020, mentre solo il 4% è riuscita a recuperare l'intera quantità di risorse inficiate. (fonte: Sophos "The State of Ransomware 2022")

- Pag. 159: [traduco io, Cesare, il testo] Il gruppo cyber-criminale Lockbit ha specificatamente richiesto ai propri affiliati di non cifrare i dati quando sono attaccati i settori maggiormente critici, come quello sanitario. Vedi anche il codice di condotta del gruppo DarkSide
https://krebsonsecurity.com/2021/05/a-closer-look-at-the-darkside-ransomware-gang/.

- Pag. 180: Indagine ironica "Quanto potrebbe essere devastante la violazione laddove si verificasse nel loro archivio dati cloud": Il 29% ha risposto "Ci sarebbe l'armageddon", il 15% "Mi darei malato quel giorno", il 9% "Darei la colpa ad un tirocinante" [...]

- Pag. 184: "Il modo più risoluto di proteggere i dati nel cloud è quello di rimuoverli dal cloud."

- Pag. 191: "Negli anni le disposizioni normative ed extra-normative hanno sopperito parzialmente alla carenza culturale delle organizzazioni, suggerendo o imponendo l'introduzione di sistemi di sicurezza, processi e tecnologie col fine di evitare il verificarsi di incidenti con potenziali ripercussioni anche a livello sociale." --> Mi piace questa prospettiva della legge come aiuto e non come imposizione.

- Pag. 195: Il 35% delle grandi organizzazioni ha sviluppato un proprio framework ad-hoc; il 6% usa la metodologia FAIR con analisi quantitativa del rischio.

- Pag. 251-258: Direttiva NIS2 spiegata molto bene [qui mi dice che non sapeva che crittografia e cifratura fossero concetti diversi, ma penso che ci sia un errorino nel testo della Direttiva]. 

 - Pag. 313-329: Enumera bene i rischi della IA, tra l'altro fa riferimento a Microsoft Failure Modes:
https://learn.microsoft.com/en-us/security/engineering/failure-modes-in-machine-learning.

martedì 21 marzo 2023

NIS 2 e frammentazione normativa

Segnalo questo articolo dal titolo "Nel labirinto delle norme Ue sulla cybersicurezza: come districarsi nella Direttiva NIS2":
https://www.agendadigitale.eu/sicurezza/nel-labirinto-delle-norme-ue-sulla-cybersicurezza-criticita-attuali-e-scenari-futuri/.

Questo articolo mi conforta perché conferma le difficoltà di lettura della NIS2 e non solo.

Per ora, in attesa di implementing acts, recepimenti italiani, chiarimenti europei e italiani (inclusi quelli di ACN), io suggerisco di iniziare a ragionare sui controlli dell'Allegato B del DPCM 81 del 14 aprile 2021. Alcuni di questi controlli richiedono un certo tempo per essere realizzati e anche costi elevati. E' vero che c'è tempo, ma sicuramente partirei ad analizzare questi controlli, in modo da potersi attivare prontamente nel caso venissero confermati (è vero che sono orginati dal Framework Nazionale, di cui era responsabile Baldoni, ora non più Direttore di ACN, però al momento questo è quello che abbiamo).

Poi comincerei a ragionare sulla procedura di gestione degli incidenti per recepire le richieste normative.

Alla valutazione del rischio penserò solo quando usciranno indicazioni precise. Spero proprio che non promuovano un approccio basato sui singoli asset perché sarebbe una cosa assurda (ricordo che è un'impostazione degli anni Ottanta, tratta dal CRAMM, software stand-alone usato dalle grandi società di consulenza che lo facevano popolare dai ragazzini per fatturare giornate di consulenza; il CRAMM adesso non è neanche più mantenuto). Spero che qualcuno con competenze pratiche si renda conto che è un approccio dispendioso che non dà risultati utili.

Altra cosa è invece verificare l'implementazione delle misure su ciascun asset, ma, appunto, non è valutazione del rischio.

Io qui ho fornito la mia idea. Mi piacerebbe sapere cosa ne pensano gli altri.

Sicurezza informatica di base

Pierluigi Stefli di Datapro Srl mi ha segnalato due iniziative per fornire indicazioni sulla sicurezza informatica. Si tratta di materiale di base, destinato soprattutto ai "non professionisti della sicurezza".

Il primo è Barry: https://www.ibarry.ch/it/. Trovo interessante la parte relativa ai controlli di sicurezza, che mette a disposizione strumenti utili.

Il secondo è S-U-P-E-R: https://www.s-u-p-e-r.ch/it/. In questo c'è anche un quiz per verificare il proprio livello di comprensione.

Nuovo direttore di ACN

L'Agenzia per la cybersicurezza nazionale ha cambiato direttore. E' uscito Roberto Baldoni, è arrivato Bruno Frattasi.

Andrea Maria Tacchi di DNV mi diede la notizia a inizio marzo e mi segnalò questo articolo:
https://www.wired.it/article/baldoni-agenzia-cybersicurezza-dimissioni-soldi-pnrr/.

A qualcuno interessa il mio parere? Quasi sicuramente no e quindi lo riassumo: a) non ho apprezzato molte scelte di Baldoni, a partire dalla promozione del NIST CSF per fare il "Framework Nazionale per la Cybersecurity e la Data Protection", ma non ne ho seguito le gesta e quindi non ho altre critiche da fare; b) criticai all'epoca le richieste eccessive per i profili professionali richiesti, ma ancora una volta si tratta di poche cose; c) vedo che ACN pubblica bollettini e raccomandazioni, come tutte le cose sono migliorabili, ma mi sembrano buone iniziative; d) il resto sono lotte di potere e spero che ACN continui a lavorare e migliorare.

PS: dimentica un'altra critica a Baldoni: l'uso del termine "sicurezza cibernetica" (come se in inglese esistesse la cybernetics security).

giovedì 16 marzo 2023

Migrazione newsletter

La newsletter è spedita da anni con MailUp, offerta da Team Quality S.r.l. (per questo ringrazio Gianpiero Fuselli). Voglio provare a spedirla con Substack, dove adesso trovate la newsletter di febbraio:
- https://infosecandquality.substack.com/.

Questo mese proverò a migrare gli iscritti e quindi invito quanto non vogliono usare Substack di disiscriversi quanto prima.

La ragione della migrazione è che ho qualche problema con lo spam e molti non ricevono la newsletter per motivi a me oscuri e che non posso neanche indagare fino in fondo in quanto uso una parte limitata di MailUp. Altra ragione è che chi proprio lo desidera può contribuire economicamente alla newsletter. Non penso che riceverò alcunché, ma è un esperimento che mi incuriosisce.

Giusto per chiarire: non ho intenzione di attivare le pubblicità o roba simile.

Ricordo poi che la newsletter arriva anche via LinkedIn, ma vorrei dare un'alternativa a quanti non gradiscono registrarsi su quel social network.

Per chi vuole la soluzione più pulita possibile dal punto di vista privacy, la newsletter è sempre caricata sul mio sito (https://www.cesaregallotti.it/Newsletter.html), ospitato su un'infrastruttura italiana, gestita da una società italiana con sede a Milano (www.coretech.it), certificata ISO/IEC 27701 e non solo.

Infine: chiunque voglia aiutarmi o darmi consigli è benvenuto (prego di scrivermi via email).

mercoledì 15 marzo 2023

WhatsApp e i messaggi rubati

Claudio Sartor mi ha segnalato la notizia dei messaggi WhatsApp resi pubblici nonostante la crittografia end-to-end:
- https://attivissimo.blogspot.com/2023/03/centomila-messaggi-whatsapp-spasso-ma.html.

Il fatto è che un politico aveva esportato i propri messaggi per darli a una giornalista a cui aveva chiesto di scrivere un libro, usando anche quei messaggi per ricostruire eventi. La giornalista, scorrettissima, ha pensato fosse più corretto rendere pubblici i messaggi per dimostrare che il Governo inglese era impreparato a gestire l'emergenza COVID nel 2020 (non certo una notiziona).

Claudio segnala che questa notizia serve per ricordarci "un principio spesso dimenticato nella sicurezza delle informazioni: il segreto non è soltanto questione di tecnologia, ma dipende anche dai fattori umani".

lunedì 13 marzo 2023

Vulnerabilità in Jenkins

Jenkins è uno strumento molto diffuso per la continuous integration del software. Si tratta quindi di un "software di supporto". E' stata identificata una vulnerabilità grave in una versione precedente ma ancora in uso:
- https://www.securityweek.com/jenkins-server-vulnerabilities-chained-for-remote-code-execution/.

Lo riporto perché è importante ricordarsi di prestare attenzione alle vulnerabilità presenti anche nei software di supporto.

Notizia presa da SANS NewsBites.

mercoledì 8 marzo 2023

Gli uomini possono fare tutto

La mia amica Viviana, con cui parlo anche delle questioni organizzative con i bambini, mi ha chiesto di ritagliarmi un angolino della mia newsletter e del mio blog per raccontare come un uomo, ossia io, riesce a dedicarsi alla famiglia senza per questo essere discriminato, come invece succede alle donne.

Infatti succede che, quando io chiedo di finire le riunioni alle 16 per poter andare a prendere il figlio a scuola, tutti sono disponibili e, anzi, mi fanno i complimenti per l'impegno. So di casi in cui, quando lo chiede una donna, questa è troppo spesso ignorata (nei casi peggiori anche con sbuffi o commenti poco simpatici).

Io sono un libero professionista con competenze, a torto o ragione, riconosciute. Questo mi dà margini di manovra diversi da una dipendente. Però ho fatto anche un'altra riflessione: oggi molti vogliono dimostrare che le donne possono fare tutto (la serie Lida Poët è uno degli ultimi esempi), ma questo è solo un lato della medaglia, che permette ancora di spingere le donne a fare cose che "gli uomini non fanno" e, quindi, piano piano, a relegarle in quel ruolo. Invece siamo in tanti che stiriamo, ci occupiamo della lavatrice, aiutiamo i bambini con la scuola (per non dire dei bisogni al gabinetto), eccetera. Ovviamente, tranne Marco Mazzetti, solo una cosa non possiamo fare, ma è solo una.

E allora ho pensato che ogni mese potrei raccontare qualcosa che mi è successa e che dimostra che un uomo può far tutto. Non vorrò per niente essere auto-celebrativo (nel caso, vi chiedo di richiamarmi all'ordine), perché faccio tante cose senza infamia e senza lode, come quasi tutte le donne. Solo che le faccio e senza drammi. E forse è il caso di raccontarlo.

Un semplice episodio mi permette di ringraziare il gruppo di traduzione della ISO/IEC 27001 e ISO/IEC 27002, che mi ha permesso di partecipare ai lavori, e senza rimostranze, anche quando accompagnavo i bambini a karate, al calcio, al Catechismo e dai dottori, scollegandomi dal pc e ricollegandomi dal cellulare, restando assente per alcuni minuti se dovevo rispondere a qualcun altro.

Ho iniziato così, un 8 marzo. Cercherò di continuare ogni mese e di rimanere nelle poche righe (molte meno di questo primo episodio).

sabato 4 marzo 2023

Diritto alla riparazione

Claudio Sartor mi scrive: sebbene laterale rispetto alla sicurezza delle informazioni propriamente intesa, ti segnalo questo interessante articolo su come una funzionalità, nata per mettere in sicurezza i dispositivi in caso di furto o smarrimento, si riveli un boomerang per il mercato della seconda mano:
- https://www.guerredirete.it/apple-scuote-il-movimento-sul-diritto-alla-riparazione/.

Ringrazio Claudio e sottoscrivo l'interesse per l'articolo che, più in generale, pone all'attenzione un caso di bilanciamento tra la sicurezza e le altre esigenze.

Esempi di notifiche di incidenti (buone e cattive)

Segnalo (dopo averlo visto dal SANS NewsBites) questo articolo dal titolo "Best and worst data breach responses highlight the do's and don'ts of IR":
- https://www.csoonline.com/article/3689169/data-breaches-some-of-the-best-and-worst-among-recent-responses.html.

Riassuntone: in caso di incidente, la cosa migliore è notificare tempestivamente ai propri clienti in modo completo e trasparente e con i giusti dettagli tecnici, evitando di minimizzare.

giovedì 2 marzo 2023

Libro sulla supply chain

"Supply Chain Security: l'importanza di conoscere e gestire i rischi della catena di fornitura" è il titolo dell'ultimo lavoro della "CLUSIT Community for Security", di cui faccio parte:
- https://supplychainsecurity.clusit.it/.

I contributi sono tanti e quindi il libro è pieno di cose interessanti. Io ho partecipato alla parte di cura e quindi spero che troviate convincente come i contributi sono stati consolidati.

Vademecum sull'uso dei social media

Il Consultative Council of European Judges (CCJE, o Consiglio consultivo dei giudici europei del Consiglio d'Europa) ha adottato a dicembre 2022 la "Opinion No. 25 (2022) on freedom of expression of judges". Essa riporta anche indicazioni sull'uso dei social media:
- https://www.coe.int/en/web/ccje/-/freedom-of-expression-of-judges-consultative-council-of-european-judges-adopts-new-opinion.

La notizia, di per sé, non sarebbe particolarmente significativa. Però sono rimasto incuriosito da un articolo in italiano che ne riassume i contenuti dal titolo "I magistrati e i social media: regole di continenza, partecipazione e decoro":
- https://www.altalex.com/documents/news/2023/02/20/magistrati-social-media-regole-continenza-partecipazione-decoro.

Ecco, dovessi scrivere una linea guida per l'uso dei social media, partirei da qui. Perché è chiaro che l'ambito dei giudici è particolarmente rigido, e quindi da qui si possono trarre indicazioni utili anche per altri ambiti.