Gli uomini possono fare tutto (luglio 2024)

Mi rendo conto che il mio è un lavoro da privilegiati e che posso svolgerlo quasi dappertutto. Alcune volte è preferibile affiancare fisicamente il cliente anche perché così il rapporto umano si consolida, si colgono meglio alcune cose grazie a una più ampia visione della gestualità e si può rimanere meglio concentrati in alcuni compiti.

 

Però i figli sono senza scuola per 3 mesi e almeno un genitore deve fare in modo che facciano vacanze (potremmo mandare i nostri anche nei campus con pernottamento, ma, per questioni che non è il caso di spiegare qui, non possiamo ancora farlo). Quindi ringrazio i clienti che nel mese di luglio hanno avuto la pazienza di vedermi lavorare in luoghi da vacanza e non mi hanno insultato troppo. Spero di non essere sembrato troppo poco professionale, ma preferisco questo al tenere i figli in giro a Milano.

Check list EDPB per audit all'intelligenza artificiale

EDPB ha pubblicato alcuni strumenti per l'audit ai sistemi di IA: https://www.edpb.europa.eu/our-work-tools/our-documents/support-pool-experts-projects/ai-auditing_en.

Il documento “Checklist for AI auditing” è forse più lungo del necessario, ma credo sia un’ottima fonte di ispirazione. Essendo dell'EDPB, la privacy è il punto chiave del documento proposto e in effetti forse quello che copre tutti i rischi relativi a questi sistemi.

Gli altri due (“proposal for AI leaflets” e “Proposal for Algo-scores”) non mi sembrano significativi, alla luce del Regolamento IA che già fornisce indicazioni per le informative IA e una classificazione dei sistemi di IA (anche se “vietati”, “ad alto rischio” e “altri” non è una classificazione estremamente raffinata, ammettiamolo; ma non mi convincono neanche gli algo-score proposti).

Ringrazio Chiara Ponti per la segnalazione agli Idraulici della privacy.

Pubblicato l'IA Act

Pietro Calorio ha dato la notizia a noi Idraulici della privacy che il 12 luglio 2024 è stato pubblicato l'IA Act, Reg. UE 2024/1689: https://eur-lex.europa.eu/eli/reg/2024/1689/oj.

La notizia è già stata data da altri e io arrivo più tardi (ma Pietro l'aveva data il 12 luglio stesso!). Sono 144 pagine in Gazzetta ufficiale dell’Unione europea. L'ho letto dopo aver ascoltato un paio di webinar e senza particolare attenzione. Lo approfondirò quando partirà un progetto di applicazione. Per il momento ho cercato di trovare un orientamento nei 113 articoli e 13 allegati.

Le parti più importanti per le organizzazioni sono:

• il Capo I, che delinea l'ambito e le esclusioni (per esempio per scopi personali; ma ci sono anche eccezioni);
• il Capo II che indica i sistemi vietati;
• il Capo III che stabilisce quali sono i sistemi ad alto rischio, insieme alle numerose attività che devono svolgere i produttori e i deployer per metterli a disposizione;
• il Capo IV, che riguarda le informazioni che devono fornire i fornitori di tutti i sistemi IA;
• Capo V, che riguarda i modelli di IA per finalità generali; anche in questo caso ci sono adempimenti da prevedere.

Con questi cinque Capi ho già da tenere sotto controllo 56 articoli. Tutto il resto riguarda iniziative specifiche, sulle quali non credo sarò coinvolto. Nel caso, studierò.

Bloccati sistemi per un aggiornamento CrowdStrike (parte 2)

Claudio Sartor mi ha scritto per darmi un paio di link sul caso CrowdStrike.

Uno è di Paolo Attivissimo: https://attivissimo.blogspot.com/2024/07/due-parole-sul-caos-informatico.html.

Il secondo è un video di Matteo Flora: https://www.youtube.com/watch?v=hyWsFAEkFa0.

Ho letto solo il primo (non ho la pazienza di seguire i video) e mi conforta vedere che il mio commento è in linea.

EDPB approva criteri Europrise

Dalla newsletter di Project:IN Avvocati: il 18 luglio 2024 l’EDPB ha pubblicato il parere 19/2024 sull’approvazione dei criteri di certificazione di EuroPrise, predisposti da EuroPriSe Cert. GmbH, un ente tedesco che li ha presentati all’Autorità garante del Nordreno-Westfalia (Germania). L'EDPB ha ritenuto che i criteri di certificazione siano coerenti con il GDPR, e li registrerà nel Registro pubblico dei meccanismi di certificazione, dei sigilli e dei marchi per la protezione dei dati ai sensi dell'articolo 42 del GDPR.

Link alla newsletter (come al solito, ci sono altre cose interessanti): https://www.linkedin.com/comm/pulse/292024-immaginatevi-se-lo-sciopero-di-windows-avesse-b25nf.

Oltre a Europrivacy, ora c'è questo operatore. Tra l'altro, io non ho notizie di certificazioni Europrivacy. Quindi chiedo se qualcuno ha notizie più fresche. Ho però l'impressione che, dopo il tanto parlare delle certificazioni GDPR, adesso interessino molto molto meno.

Bloccati sistemi per un aggiornamento CrowdStrike (Microsoft)

La notizia del mese è che un aggiornamento del software CrowdStrike aveva un bug che, nella notte del 18 luglio, ha bloccato i sistemi Windows, con impatti e interruzioni in tutto il mondo, anche nei servizi di trasporto e in strutture sanitarie.

Fornisco il link alla notizia, data in formato sinteticissimo e con link e commenti di esperti, dal SANS: https://www.sans.org/newsletters/newsbites/xxvi-55/.

Intanto trovo interessante sapere che CrowdStrike è uno strumento per la sicurezza degli endpoint: sicuramente utile perché permette di centralizzare tante operazioni, ma anche pericoloso, come tutti gli strumenti.

Le riflessioni da fare sono molte. Io mi limito a qualche titolo, anche perché sono in assenza di notizie approfondite:

• non so perché CrowdStrike ha dovuto apportare l'aggiornamento, ma ho sempre il sospetto che, tra correzioni e nuove funzionalità da fare velocemente e a costi ridotti, quasi tutti i produttori di software rischiano di essere causa di incidenti più o meno significativi;
• chissà se CrowdStrike aveva fatto dei test al prodotto; visto l'impatto, un test in ambiente di prova avrebbe dovuto evidenziare il problema; però sappiamo che i test si fanno poco e male per il problema di cui sopra;
• dall'analisi tecnica (che, grazie a Pietro Calorio degli Idraulici della privacy, trovo su https://www.linkedin.com/posts/daniele-zecca-74b64925_memoria-computer-0x9c-activity-7220358324712574976-YWX7) sembra che uno strumento di controllo della qualità e della sicurezza (statica) del codice avrebbe dovuto segnalare il problema; quindi o non è stato usato uno strumento di controllo o la segnalazione è stata ignorata e le cause sono sempre quelle sopra indicate;
• chissà se i conduttori delle infrastrutture critiche che poi si sono bloccate avevano fatto dei test prima di distribuire l'aggiornamento su tutti i sistemi; anche loro, lo sappiamo, soffrono del solito problema per cui gli investimenti nell'informatica non sono proporzionali alla sua importanza (e questo e altri incidenti dimostrano che siamo ben lontani dall'avere manager con la giusta sensibilità);
• se ci sono dei sistemi critici che potrebbero bloccare tutta un'infrastruttura, vanno posti in reti dedicate e separate, come si consiglia in ambito OT e come andrebbe fatto in tutti gli ambiti critici; ma anche questo richiede investimenti (e, purtroppo, temo che NIS2, DORA e compagnia non impongano questa misura, anche perché oggi in pochi sanno valutarla correttamente).

Niccolò Castoldi mi ha segnalato la dichiarazione del CEO di CrowdStrike (https://www.wired.com/story/microsoft-windows-outage-crowdstrike-global-it-probems/) che dice: "Questo non è un incidente di sicurezza o un ciber attacco". Qui si vede un uso del termine "incidente di sicurezza" come sinonimo di "attacco di malintenzionati" molto diffuso. In realtà, lo sappiamo, si è trattato di un errore (causa) che ha provocato un incidente di sicurezza delle informazioni (effetto almeno sulla disponibilità).

E ancora una volta colgo l'occasione per ricordare che chi si occupa di sicurezza delle informazioni non si occupa "solo" di attacchi, ma anche di errori, che sono spesso molto più numerosi e provocano danni molto più estesi (credo che tanti gruppi di criminali se lo possono solo sognare un attacco di così grande impatto).

Legge 90 del 2024 sulla cybersicurezza nazionale

Segnalo la pubblicazione della Legge 90 del 2024 "Disposizioni in materia di rafforzamento della cybersicurezzanazionale e di reati informatici": https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2024-06-28;90!vig=2024-07-10.

Segnalo un articolo di analisi completa della norma (grazie a Luisa di Giacomo degli Idraulici della privacy): https://www.altalex.com/documents/2024/07/03/l-90-2024-cybersicurezza-g-u-adempimenti-p-a-societa-private.

Nel mio piccolo, segnalo alcune cose pensando alle aziende, non alle istituzioni come ACN.

Il primo punto riguarda l’ambito di applicabilità della notifica degli incidenti e, in generale, di tutta la Legge, visto che è dato dall'articolo 1 nei commi 1 e 3, non perfettamente allineati tra loro. La lettura è complicata per i tanti richiami ad altri dispositivi normativi. Riassumendo molto (e anche troppo), la norma è applicabile a pubblica amministrazione, società di trasporto pubblico, aziende sanitarie locali, società in house, società che erogano servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali o di gestione dei rifiuti.

Le società in house, sono citate due volte: una con l’aggettivo “relative” e l’altra senza, così da rendere ancora più difficile l’interpretazione.

Il secondo punto (articolo 1) riguarda, per le società in ambito, la procedura di gestione degli incidenti, che dovranno essere notificati ad ACN con prima notifica entro 24 ore e rapporto finale entro 72 ore dalla conoscenza dell'incidente. Gli incidenti dovranno essere segnalati alla pagina di ACN https://www.csirt.gov.it/segnalazione (che dovrà quindi essere aggiornata), usando la tassonomia, stabilita dalla Determina del 3 gennaio 2023 di ACN (https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2023-01-10&atto.codiceRedazionale=23A00114), che prevede 14 tipologie di incidente (ovviamente diverse dalle 25 previste dal DPCM 81 del 2021 per evitare di renderci la vita troppo facile).

Notare che i tempi sono disallineati rispetto a quelli previsti dal perimetro di sicurezza nazionale cibernetica (PSNC) di 6 ore, ma uguali a quelli della NIS 2.

Notare anche per il PSNC un’altra tassonomia è presente nel DPCM 81 del 2021, quindi sembra che una Determina di ACN abbia annullato parte di un DPCM. Non sono un legale, ma tutto questo mi sembra strano.

Per alcune entità, la norma entrerà in vigore il 17 luglio, per altre, i tempi di adeguamento saranno di 6 mesi e un mio calcolo veloce e sicuramente inesatto dice da  gennaio 2025.

L’articolo 8 riguarda la necessità di stabilire una “struttura” (ossia un’unità organizzativa) che si occupi di sicurezza, dal punto di vista sia procedurale sia tecnico, e un “referente per la cybersicurezza” da segnalare ad ACN. E' richiesta professionalità e competenza, ma non mi sembra ci siano requisiti in merito all'indipendenza. Viene segnalato che l'incarico potrebbe essere ricoperto anche dal responsabile della transizione digitale. Da alcuni punti di vista, è positivo che non siano state imposte molte restrizioni in merito a questa figura, soprattutto in questa prima fase di attuazione.

In merito alle competenze e i poteri, ripeto che devono essere tecniche e organizzative, ma una struttura di questo tipo non è facile da trovare nelle realtà più piccole. Anche la possibilità di avere una struttura di questo genere “in forma associata” mi sembra di difficile attuazione, visto che implica l’assegnazione del potere di produrre un organigramma della sicurezza e il piano della sicurezza. Sicuramente alcune PA hanno già l’ufficio per la transizione digitale in forma associata, però il tutto mi lascia perplesso. Ad ogni modo, ho trovato questa pubblicazione di AgID in merito: https://www.agid.gov.it/it/notizie/nomina-del-rtd-e-costituzione-dellutd-forma-associata-online-il-vademecum-le-pa.

Da dire che non sono indicate scadenze per le comunicazioni, né il sito ACN ha ancora messo a disposizione un’area per questo adempimento.

L' articolo 9 richiede che venga verifica "che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che utilizzano soluzioni crittografiche, rispettino le linee guida sulla crittografia nonché quelle sulla conservazione delle password adottate dall'Agenzia per la cybersicurezza nazionale e dal Garante per la protezione dei dati personali e non comportino vulnerabilità note, atte a rendere disponibili e intellegibili a terzi i dati cifrati". A questo obbligo sono tenute anche le organizzazioni nel PSNC. Ho qualche dubbio sulla correttezza nel citare un documento tecnico in una Legge (le altre normative fanno in modo diverso). Il documento si può scaricare da qui: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9962384 (purtroppo il sito di ACN lo ha “nascosto” da qualche parte, né ha un richiamo in home page per una pagina dove reperire tutti questi documenti tecnici).

L'articolo 14 prevede che venga emanato, entro fine 2024, un DPCM con i requisiti da tenere “in considerazione nelle attività di approvvigionamento di beni e servizi informatici”. Questo sarà da utilizzare per le organizzazioni in ambito, ma sarà importante anche per le organizzazioni che lavorano con la PA, visto che dovranno rispettarli. Da notare che questi requisiti saranno applicabili dove è in gioco “la tutela della sicurezza nazionale”. Prevedo però che molti li richiederanno a tutti, visto che sarà più semplice. Sarà importante che le offerte per i soggetti in ambito comincino già a riportare considerazioni di sicurezza informatica.

Segnalo poi che l'articolo 24 bis introduce, nel D. Lgs. 231 del 2001, il reato presupposto di estorsione informatica.

Mia considerazione finale riguarda l'opportunità di questa Legge. Infatti, per ovvi motivi complica il quadro di riferimento al posto di semplificarlo e questo non è un bene. Mi spiego: adesso è in vigore la NIS, deve essere ancora recepita la NIS 2 e devono ancora essere pubblicati gli implementing acts; è in vigore anche il PSNC con i suoi 4 DPCM e altri atti correlati, come dimostrato dai link qui sopra (e con qualche pasticcio qua e là); entreranno in vigore anche altre normative come la CER. Penso che sarebbe stato meglio pubblicare un atto come questo dopo la messa a punto degli altri dispositivi, in modo da cogliere l'occasione per un raccordo tra tutti. Invece è stato pubblicato prima, con anche qualche aspetto che avrebbe richiesto una maggiore cura. Ovviamente, l’aumento di elementi, in questo caso norme, aggiunge sempre confusione nelle cose umane.

Come sempre, sono consapevole che questa è una mia prima analisi. Invito tutti a segnalarmi se ci sono errori o se non concordano.

NB: Questo post sostituisce un post simile inviato in precedenza.

Nuovo Regolamento Cloud per la PA di ACN

ACN ha pubblicato a fine giugno 2024 il nuovo regolamento che le PA devono rispettare quando usano servizi cloud. Si può reperire qui, con il titolo "Regolamento ACN n. 21007/24 del 27 giugno 2024": https://www.acn.gov.it/portale/cloud/documentazione-utile.

Trovo sempre utile (oltre che per dare supporto ai miei clienti) leggere le misure richieste perché stabiliscono un livello di riferimento, che piaccia o meno.

Mi sembra che il testo non riporti grandi modifiche rispetto al precedente (mi sono concentrato sulle misure per i dati ordinari). Dovevano aggiornarlo perché il precedente era a nome AgID e poco in più hanno fatto. Alcuni piccoli refusi e alcune piccole incoerenze sono state corrette.

Rimane sempre una lettura ostica e ci ho messo parecchio a capire la distinzione tra requisiti di adeguamento e di qualificazione (per questo ringrazio Marco Gemo che mi ha segnalato la figura all’URL https://www.acn.gov.it/portale/cloud/regolamento-cloud-per-la-pa). In sostanza, se ho capito correttamente:

• le infrastrutture possono solo essere “adeguate” (articolo 12);
• i servizi cloud “per le pubbliche amministrazioni erogati da un soggetto pubblico, da società in house, ovvero, per espressa previsione normativa, da società a controllo pubblico [...] sono sottoposti al processo di adeguamento” (articolo 15);
• i servizi cloud per le PA offerti da altre società rispetto alle precedenti sono invece da sottoporre al processo di adeguamento (articolo 17).

Importante il fatto che le PA dovranno comunque migrare verso servizi adeguati o qualificati.

Continuo a non capire perché a fronte di 3 tipologie di dati (ordinari, critici e strategici) siano presenti 4 livelli di qualificazione (o adeguamento).

Nota positiva, per rimanere sulle parti non tecniche, è che, a differenza della versione precedente di AgID, qui è possibile fare un comodo copia-incolla del testo (anche se, per evitarci troppa fatica, potevano pubblicare un Excel, magari anche con una comparazione tra le versioni del 2022 e del 2024; per me poco male, visto che fatturerò al cliente; però non posso fare a meno di pensare che faremo questo stesso lavoro in tanti, alcuni ci guadagneranno, altri ci perderanno e sicuramente l'entropia verrà alimentata).

Considerazioni tecniche (questa però non è una comparazione precisa, ma solo una lista delle cose per me più significative per i dati ordinari):

• viene chiesto al CSP (per servizi, privato, a cui si applica la qualificazione) di avere un'assicurazione (cloud service provider, ossia il fornitore del servizio cloud);
• viene chiesto un supporto in lingua inglese in orario lavorativo; il supporto in lingua italiana e 24/7/365 va fornito solo su richiesta; segnalo questo come questione culturale, ma non so esattamente come giudicarla;
• viene chiesto, per gli accessi da remoto, di impiegare l'autenticazione a più fattori;
• viene chiesto di fare prove di ripristino dei backup (era incredibilmente assente nel 2022) e di proteggere i backup ponendoli off-line;
• viene chiesto di tenere aggiornati e in sicurezza i sistemi di sicurezza di rete (era incredibilmente assente nel 2022);
• viene chiesto di fare VA-PT e di seguire piani di rientro (sempre stranamente assente nel 2022);
• viene chiarito, se già prima non lo era, che per chi offre "solo" un servizio, questo deve essere su un’infrastruttura IaaS o PaaS già adeguata;
• c'è un po' di confusione con le certificazioni (per il QC1 in un punto chiede di "adottare formalmente" ISO 9001 e ISO/IEC 20000-1 e in un altro chiede un'autocertificazione ISO 9001 e la certificazione ISO/IEC 27001 con i controlli delle ISO/IEC 27017 e 27018).

 Solo alla fine ringrazio Marco Gemo di Ecocerved per avermi segnalato la pubblicazione di questo Regolamento. Io non l'avevo proprio notata.  A questo proposito, spero che ACN istituisca un servizio di newsletter, oltre ai canali di aggiornamento sui social (LinkedIn e YouTube, oltre a quelli del CSIRT su X e Telegram), che obbligano a iscriversi a servizi offerti dagli USA.

NOTA: Questo post ne aggiorna uno precedente.

eIDAS - Quanti sono i servizi fiduciari?

Franco Vincenzo Ferrari mi ha segnalato un post di Andrea Caccia che elenca i servizi fidciari: https://www.linkedin.com/posts/acaccia_eidas-activity-7217316607176437760-gZGD.

Un bello e utile riassunto.

 

ISO/IEC 20000-1: Clarifying measurements

L' ISO/IEC JTC 1/SC 40 ha pubblicato (il 14 febbraio 2022) il white paper "ISO/IEC 20000-1: Clarifying measurements". Purtroppo non riesco a trovarlo nel surface web, ma solo nel deep web, ossia su LinkedIn, qui: https://www.linkedin.com/groups/12777402/.

Lettura interessante perché fornisce qualche esempio di misurazione di un sistema per la gestione dei servizi da considerare. Si osservi però che gli esempi non sono numerosi e confermano il fatto che non bisogna necessariamente avere tante misurazioni per gestire correttamente un sistema.

Da un punto di vista teorico, segnalo la suddivisione delle misurazioni tra quelle necessarie per valutare il sistema di gestione, la prestazione dei servizi e gli impatti (ossia il valore) del sistema di gestione.

VERA 7.5

Ho pubblicato file e manuale di VERA 7.5, con i controlli della ISO/IEC 27017 e 27018: https://github.com/CesareGallotti/VERA/.

Ho anche aggiunto una piccola check list sui requisiti (capitoli 4-10) della 27001 e qualche campo che nel tempo mi è tornato utile o mi è stato segnalato come utile.

Siete sempre invitati a segnalarmi errori o possibili miglioramenti (anche per come il tutto è disponibile su GitHub, che sto usando come un modesto principiante).

Articolo "Dalla ISO 27001 alla compliance DORA"

Franco Vincenzo Ferrari mi ha segnalato un articolo di Matteo Sironi e Fabio Guasconi dal titolo "Dalla ISO 27001 alla compliance DORA: conformità e sicurezza in pochi passaggi": https://www.cybersecitalia.it/dalla-iso-27001-alla-compliance-dora-conformita-e-sicurezza-in-pochi-passaggi/35356/.

In poche parole mi ha fatto capire meglio il DORA (a un livello molto generale) e alcune sue caratteristiche.

Mio articolo sulle figure professionali per l'IA

Agenda digitale ha pubblicato un mio articolo dal titolo "I professionisti dell’IA: chi sono e quali competenze devono avere": https://www.agendadigitale.eu/cultura-digitale/competenze-digitali/i-professionisti-dellia-chi-sono-e-quali-competenze-devono-avere/.

L'ho scritto principalmente per poter studiare io quelle figure, richieste anche dalla ISO/IEC 42001. Quindi vi prego di segnalarmi errori o omissioni.

Mio articolo sull'uso del non digitale per la sicurezza

Su Digeat è uscito un mio articolo dal titolo "I documenti “non digitali” come argine per la sicurezza": https://digeat.info/.

Il titolo dice già molto e, se vi interessa, buona lettura.

Garante privacy e conservazione email e metadati 03

Il Garante privacy ha pubblicato l'aggiornamento del tanto discusso Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10026277.

Per il momento mi sembra di capire che abbia chiarito che i "metadati" da cancellare sono i log dei mail server relativi all'invio e ricezione dei messaggi. Inoltre ha stabilito che il tempo di conservazione consigliato è di 21 giorni.

Per il resto, aspetto pazientemente articoli e commenti di persone più attente di me.

Grazie a Pippo Alverone per averlo segnalato agli Idraulici della privacy.

Grazie a Christian Bernieri (un altro Idraulico della privacy) per aver messo a disposizione un confronto tra il precedente e l'attuale documento: https://drive.google.com/file/d/1pVaPeBjedyomY_buaAzFznyNH2MH0-Fo/.

Documento APG sui cambiamenti climatici nella ISO 9001

Il ISO 9001 Auditing Practices Group ha pubblicato il documento "Guidance on: Auditing Climate Change issues in ISO 9001": https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html.

Ricordo che il APG è un gruppo informale composto di persone che partecipano ai lavori di redazione della ISO 9001. Il loro parere non è vincolante né deve essere accettato ciecamente. E' però frutto di riflessione di persone preparate e quindi vale la pena considerarlo.

Transizione alla ISO/IEC 27006-1:2024

La ISO/IEC 27006-1 è stata aggiornata nel 2024 e gli organismi di certificazione che certificano ISO/IEC 27001 devono adattarsi. IAF ha pubblicato le linee guida e i termini per adeguarsi: https://iaf.nu/en/news/iaf-publishes-md-for-transition-to-iso-iec-27006-12024/.

Tutto ciò non riguarda le organizzazioni che si certificano.

Grazie a Franco Vincenzo Ferrari per la segnalazione.

 

Tribunale di Milano: Modello 231 "efficace"

Segnalo l'articolo "231: le indicazioni del Tribunale di Milano per un Modello organizzativo “efficacemente strutturato”": https://www.altalex.com/documents/2024/05/21/231-indicazioni-tribunale-milano-modello-organizzativo-efficacemente-strutturato.

Il Tribunale di Milano, infatti, ha emesso "una delle rare pronunce assolutorie basate su un giudizio positivo in merito al requisito della idoneità dei modelli" e l'ha accompagnata da una disquisizione su come dovrebbe essere un modello ben strutturato.

Lettura interessante.

Pubblicazione ICO "Learning from the mistakes of others - A retrospective review"

Dalla newsletter di Project:IN Avvocati, segnalo che ICO ha pubblicato "Learning from the mistakes of others – A retrospective review": https://cy.ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/learning-from-the-mistakes-of-others-a-retrospective-review/.

Copio dalla newsletter: "Il report, in particolare, si concentra sulle cause più frequenti di violazioni della sicurezza informatica, quali (i) il phishing, (ii) attacchi informatici, (iii) errori umani ed errori nel servizio e (iv) attacchi alla catena di fornitura del servizio".

Insomma: nulla di troppo nuovo, ma:

- mette l'accento non solo sugli attacchi (che fanno notizia), ma anche sugli errori (che non fanno notizia, ma sono comunque importanti);

- il titolo è accattivante e dimostra un approccio condivisibile (non ipotesi teoriche, ma casi pratici) per coinvolgere meglio il lettore.

Articolo su come scegliere i controlli di sicurezza

Segnalo questo mio articolo dal titolo "Valutare il rischio cyber, la scelta dei controlli di sicurezza e le check list": https://www.agendadigitale.eu/sicurezza/valutare-il-rischio-cyber-la-scelta-dei-controlli-di-sicurezza-e-le-check-list/.

Mi soffermo sulla necessità di non scegliere le misure di sicurezza solo perché sono indicate da liste più o meno autorevoli, ma anche sulla base di una valutazione del rischio.

Gli uomini possono fare tutto (maggio 2024)

In realtà gli uomini NON possono fare tutto. Però possono mantenere i rapporti con gli altri genitori delle classi dei propri figli.

Così per le gite scolastiche dei figli, fissate quando io e mia moglie avevamo già preso impegni non spostabili, ho avuto l'aiuto di altri genitori per portare i figli in stazione.

Ovviamente non abbiamo potuto evitare di svegliarci presto per preparare zainetto, merenda e pranzo al sacco e portarli dai genitori accompagnatori (colgo l'occasione per ringraziarli).

Rapporto semestrale UFCS

Adesso l'ente che si occupa di sicurezza informatica o cibersicurezza in Svizzera si chiama NCSC (Ufficio federale della cibersicurezza). Io continuo a ricordami "Melani".

Comunque continuano a produrre ottimi rapporti semestrali con sintesi delle minacce e degli attacchi dell'ultimo semestre (in questo caso il secondo del 2023) e con raccomandazioni per proteggersi.

L'ultimo rapporto semestrale è pubblicato all'indirizzo: https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2023-2.html.

UNI CEI EN 17740:2024 sui profili professionali privacy

Segnalo che è stata pubblicata la  UNI CEI EN 17740:2024 "Requisiti per i profili professionali relativi al trattamento e protezione dei dati personali": https://store.uni.com/uni-cei-en-17740-2024.

Questa norma sostituisce la UNI 11697:2017 e ne è molto simile.

Questa è la traduzione italiana della  EN 17740:2023 "Requirements for professional profiles related to personal data processing and protection": https://store.uni.com/en-17740-2023.

European Accessibility Act: D. Lgs. 82 del 2022

Claudio Nasti di Chantecler mi ha segnalato che è stato approvato, ormai diverso tempo fa, il D. Lgs. 82 del 2022, di recepimento del European Accessibility Act (Direttiva europea 882 del 2019), con requisiti di accessibilità dei prodotti e dei servizi.

Questo D. Lgs. estende quanto previsto dalla Legge Stanca (L. 4 del 2004) a diversi prodotti e servizi. Tali prodotti e servizi devono quindi assicurare l'accessibilità a persone con disabilità.

Il link al D. Lgs. 82 del 2022 da Normattiva: https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2022-05-27;82!vig=2024-04-23.

Un articolo che mi sembra utile per iniziare a capire: https://scuderimottaeavvocati.it/accessibility-act-verso-uneuropa-piu-inclusiva/.

La pagina AgID sull'accessibilità: https://www.agid.gov.it/it/design-servizi/accessibilita.

Un punto importante, a mio avviso, riguarda i siti di e-commerce. Infatti anche questi devono rispettare la normativa dal 28 giugno 2025. Però, se ho capito correttamente, per i siti già attivi, l'adeguamento va assicurato dal 28 giugno 2030.

Vanno comunque analizzati i servizi e prodotti che devono rispettare la normativa.

Posizione EDPB su "paga o consenti alla profilazione per pubblicità"

Chiara Ponti, Idraulica della privacy, ha segnalato a noialtri idraulici la "Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms" dell'EDPB: https://www.edpb.europa.eu/news/news/2024/edpb-consent-or-pay-models-should-offer-real-choice_en.

Ho rimandato al comunicato stampa del 17 aprile 2024.

Alcuni punti a mio parere salienti:

- si riferisce alla "grandi" piattaforme online, quindi sicuramente a Facebook e forse non al Corriere della sera;

- infatti fa riferimento a servizi con ruolo "promimente" o è decisivo per la partecipazione a una vita sociale o alle reti professionali;

- richiede di proporre una terza alternativa, oltre al "paga o dai il consenso", per esempio con pubblicità senza profilazione.

Io dico che, da quando Meta ha attivato il "consent or pay", non accedo più a Facebook (già lo facevo pochissimo da qualche anno) e Instagram. Nelle brevi attese, al posto di guardare anteprime su Netflix e Disney+, tecniche di judo, i disegni del mio amico Dulio, ricette di dolci e passeggiate vicino a Milano, leggo il giornale online e quello in genere, purtroppo, mi mette di malumore. Ecco l'unico punto negativo dell'aver rinunciato a questi social network.

Gli uomini possono fare tutto (apr 2024)

Per una festa, mi hanno chiesto di portare una torta. La faccio e la porto insieme ad altre 2 torte fatte da mia mamma. A riceverle ci sono 3 donne. Fioccano complimenti alle donne di famiglia e devo far notare che una torta è stata fatta da un uomo. Si scusano.

Poi segnalo che una torta è senza glutine e senza lattosio e ho portato anche la lista degli ingredienti. Fioccano i complimenti a mia mamma, anche se si trattava proprio della torta fatta da me.

Non voglio vantarmi (anche se seguo una ricetta veramente buona per le crostate), ma riflettere sul fatto che 3 donne, in automatico, avevano pensato che le torte fossero state fatte da donne, anche se fisicamente le aveva portate un uomo.

Mi chiedo quindi che percezione hanno alcune donne su chi fa le torte per beneficenza: è un'idea positiva (anche se non favorevole agli uomini che forse fanno torte e forse fanno beneficenza, ma non torte per beneficenza) o negativa.

Stato delle norme ISO/IEC 270xx

Tra fine marzo e metà aprile si sono tenuti i meeting semestrali del WG 1 e del WG 5 del ISO/IEC JTC 1 SC 27, ossia dei gruppi che si occupano degli standard ISO/IEC legati ai sistemi di gestione per la sicurezza delle informazioni (ISO/IEC 27001 e linee guida) e alla privacy (ISO/IEC 27701 e altre).

Per quanto riguarda il WG 1, sono stati discussi gli standard ISO/IEC 27003 (guida per i sistemi di gestione per la sicurezza delle informazioni) e ISO/IEC 27017 (controlli per i servizi cloud). Non saranno pubblicati a breve.

Si è fatto anche il punto sugli standard oggetto di discussione nel corso del semestre. Inoltre sono partiti i lavori per l'aggiornamento della ISO/IEC 27004 (guida per la misurazione).

Partirà anche un gruppo per verificare se è opportuno avviare azioni relative ai cambiamenti climatici, che sono entrati nella ISO/IEC 27001 (anticipo che l'idea di partenza sembra essere un "nessuna azione", ma tutto potrà cambiare, ovviamente).

Per quanto riguarda il WG 5, io ho partecipato alle attività relative alla nuova versione delle ISO/IEC 27701 (sistemi di gestione per la privacy), ISO/IEC 27018 (controlli privacy per il cloud), ISO/IEC 27006-2 (per gli organismi che certificano rispetto alla ISO/IEC 27706 e che forse sarà rinumerata ISO/IEC 27706), ISO/IEC 29151 (con l'estensione alla privacy dei controlli ISO/IEC 27002).

Si prevede l'uscita delle norme in discussione tra fine 2024 e inizio 2025.

Sanzione del Garante per l'attacco ai sistemi informatici della Regione Lazio

Il Garante ha emesso 3 Provvedimenti al termine dell'analisi dell'attacco ai sistemi informatici della Regione Lazio del 31 luglio 2021: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10002052.

Se ho capito bene: gli attaccanti hanno individuato i server accessibili dalla VPN di Regione Lazio, ne hanno trovato uno con software obsoleti (anche perché erano installate applicazioni non compatibili con gli aggiornamenti) e l'hanno attaccato. Nello stesso tempo, per il cambio del fornitore, i sistemi non erano monitorati da un SIEM. Inoltre è segnalata una segregazione interna delle reti (tra quella utenti e quella server) che richiedeva un miglioramento.

Da osservare che le password di amministrazione erano lunghe 20 caratteri e cambiate almeno ogni 30 giorni. Qui mi pare che si possa ricordare l'importanza, oggi, di adottare sistemi di autenticazione e più fattori (MFA).

Interessante il richiamo alle certificazioni che, ovviamente, non assicurano un livello di sicurezza predefinito.

Ecco quindi che se ne possono trarre utili lezioni relative all'importanza delle misure richiamate: aggiornare i sistemi esposti, implementare sistemi di monitoraggio della sicurezza, segregare le reti, attivare la MFA.

Disaccordo sulla decisione della CNIL a favore di Microsoft

Su LinkedIn ho letto questo post dal titolo "I fornitori francesi attaccano la decisione della CNIL a favore di Microsoft": https://www.linkedin.com/feed/update/urn:li:activity:7175902181697404929/.

Ovviamente la lamentela è supportata da chi ha perso la gara contro Microsoft, però mi sembra comunque una notizia interessante: si lamentano perché l'autorità garante non è stata abbastanza rigida. Cosa che si vede raramente, almeno in pubblico.

Rischi dell'IA comparati ai social media

Bruce Schneier ha sviluppato una comparazione tra l'evoluzione dei rischi dell'intelligenza artificiale comparata a quanto abbiamo visto per i social media: https://www.schneier.com/blog/archives/2024/03/ai-and-the-evolution-of-social-media.html.

I rischi sono quelli legati all'uso della pubblicità, alla sorveglianza, alla viralità (ossia alla disinformazione), al lock-in e alla monopolizzazione (ossia alla crescita di poche mega società). Li abbiamo visti per i social media e rischiamo di vederli anche per gli strumenti di intelligenza artificiale.

Il caso XZ Utils

A fine marzo è stata scoperta una vulnerabilità grave alla libreria XY Utils.

Su questo caso e le lezioni da ricordare, segnalo l'articolo dal titolo (un po' troppo drammatico, a mio avviso) "Le due facce dell’Open Source: come abbiamo rischiato l’apocalisse IT": https://www.zerounoweb.it/editoriali/le-due-facce-dellopen-source-come-abbiamo-rischiato-lapocalisse-it/.

Mi sembra che, in sintesi, dica tutto quanto necessario per chi non richiede approfondimenti tecnici.

Slide Security Summit Milano 2024

Sono disponibili le slide del Security Summit, tenutosi a Milano il 19-21 marzo: https://securitysummit.it/milano-2024#agenda.

Io e Fabio Guasconi abbiamo tenuto un intervento al Security Summit dal titolo "Novità e prospettive dal mondo della normazione": https://securitysummit.it/milano-2024/novita-e-prospettive-dal-mondo-della-normazione.

Rapporto Clusit 2024

Con il Security Summit di Milano, è stato pubblicato il Rapporto Clusit 2024 sulla sicurezza informatica: https://clusit.it/rapporto-clusit/.

Come è noto, non mi convincono molto le cifre (in questo caso, l'aumento del 12% degli attacchi) perché ci dicono sempre la stessa cosa: Internet è insicura e la sicurezza dei sistemi informatici, di qualsiasi tipo, è sempre a rischio. Cosa che sappiamo già da parecchi anni. E poi penso che sia troppo incentrata sugli attacchi volontari, quando sappiamo che molti incidenti sono dovuti a errori e non vanno quindi sottovalutati.

Però ho trovato molto interessanti gli interventi di Fastweb e  della Polizia postale e delle Comunicazioni perché trattano di alcuni attacchi che è bene tenere presente.

Detto questo, il lavoro fatto è molto bello e interessante e ne raccomando la lettura.

Pagina CISA per risorse di sicurezza informatica per le "High-Risk Communities"

Il CISA (Cybersecurity & infrastructure security agency degli USA) ha pubblicato una pagina "High-Risk Communities", con risorse gratuite o a basso costo: https://www.cisa.gov/audiences/high-risk-communities.

Mi sembrano risorse soprattutto procedurali, in particolare per la formazione (Project Upskill: Cybersecurity Training). Io ho  trovato interessanti soprattutto la sezione "JCDC Cyber Incident Exercise Discussion", con esercitazioni relative alla gestione degli incidenti.

Infatti, penso che molti standard e best practice chiedono di condurre esercitazioni relative alla gestione degli incidenti (oltre a quelle relative agli incidenti di continuità), però abbiamo pochi esempi autorevoli. Questi 3 scenari mi sembrano utili come punto di partenza.

Webinar (concluso) "Direttiva NIS2: la scadenza si avvicina."

Il 26 marzo ho partecipato al Webinar "Direttiva NIS2: la scadenza si avvicina…": https://www.csipiemonte.it/it/webinar_direttivaNIS2.

Il webinar è stato organizzato dal CSI Piemonte, che ringrazio molto.

Nella pagina trovate, oltre alla mia presentazione, quelle di Valentina Frediani e Federico Lucia.

Nuove versioni degli standard per i cambiamenti climatici - Un mio approfondimento

In post precedenti avevo segnalato gli Amendment agli standard ISO sui sistemi di gestione per introdurre la questione relativa ai cambiamenti climatici. Avevo espresso perplessità, non tanto sul tema in sé (che mi trova assolutamente attento e preoccupato), ma sulle modalità.

Il punto è la pertinenza: per molti standard, per esempio la ISO/IEC 27001, la questione relativa ai cambiamenti climatici non è pertinente. Per questo, a mio parere, andava evitata e cerco di approfondire con tre argomentazioni.

La prima riguarda l'atomicità e il fatto che uno standard dovrebbe affrontare una questione e non tante. Questo è noto a chiunque si occupa di risolvere problemi e sa che vanno ridotti in problemi specifici per poter essere risolti, se no si crea confusione. Gli standard relativi ai sistemi di gestione nascono non per essere totali, ma, giustamente, per affrontare una specifica questione (la qualità, l'ambiente, la sicurezza delle informazioni, la corruzione, la gestione dei servizi, la privacy, eccetera). Questo amendment, invece, va contro questo principio.

La seconda riguarda le competenze: io conosco la sicurezza delle informazioni, non le tecniche di controllo del clima. Per questo motivo, non posso occuparmene neanche come auditor. Già è difficile trovare consulenti e auditor preparati su disciplina, settore e tipo di organizzazione, figuriamoci trovarne adeguatamente preparati e con le giuste modalità di relazione su altri argomenti. Purtroppo gli esempi sono tanti (e abbiamo visto i danni fatti da consulenti e auditor che hanno voluto discutere di direzione generale di un'impresa, di direzione strategica, di controllo nelle PMI).

La terza è che, dopo questo amendment, anche altri dovrebbero essere considerati, tra cui: la parità di genere, la responsabilità sociale, la parità di opportunità a prescindere dalle origini, la sostenibilità economica.

Aggiungo che, proprio per questi motivi, gli auditor sono invitati a non ampliare il proprio mandato oltre alla disciplina per cui sono chiamati a operare. Faccio un esempio: se, in un audit del sistema di gestione per la sicurezza delle informazioni, dovessi rilevare che l'organizzazione non separa i rifiuti, non dovrei segnalare alcuna non conformità.

Concludo dicendo che su questo argomento, nell'ambito delle materie che seguo, come consulente e auditor, mi limiterò a raccogliere le indicazioni delle organizzazioni per le quali lavoro e a indicare loro, informalmente, esperienze viste in altre organizzazioni.

Nuove versioni degli standard per i cambiamenti climatici - Due articoli

Avevo scritto brevemente degli Amendment degli standard ISO relativi ai sistemi di gestione (ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301, eccetera) che richiedono di considerare i cambiamenti climatici. Avevo già espresso le mie preplessità (https://blog.cesaregallotti.it/2024/03/nuove-versioni-degli-standard-per-i.html).

Sono usciti due articoli molto approfonditi su questo tema. Il primo, di Nicola Nuti e Monica Perego, ha titolo “Ambiente, il nuovo Annex SL sui sistemi di gestione ISO: cosa devono fare le aziende”: https://www.agendadigitale.eu/smart-city/climate-change-liso-aggiorna-le-norme-sui-sistemi-di-gestione-cosa-devono-fare-le-aziende/.

Il secondo, di Davide Foresti e Monica Perego, ha titolo “ISO/IEC 27001, nuovi requisiti sul climate change: cosa implicano per la sicurezza delle informazioni”: https://www.cybersecurity360.it/soluzioni-aziendali/iso-iec-27001-nuovi-requisiti-sul-climate-change-cosa-implicano-per-la-sicurezza-delle-informazioni/.

Penso che si debba stare attenti alla pertinenza dei cambiamenti climatici su alcuni sistemi di gestione. Mi spiego: usare data center attenti al risparmio energetico è cosa ecomiabile, ma la scelta non è pertinete alla sicurezza delle informazioni. Quindi, promuoviamo l’attenzione a questi temi, ma stiamo attenti a non farli diventare indigesti o un altro adempimento formale e non pratico.

Patch di Windows Server può causare problemi

Dal SANS Newsbytes, segnalo un articolo dal titolo "Microsoft confirms Windows Server issue behind domain controller crashes ": https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-windows-server-issue-behind-domain-controller-crashes.

Quindi, in breve, una patch per Windows server 2022, 2019, 2016 e 2012 R2 può causare interruzioni.

Così ricordiamo due lezioni:

1- il tempo di installazione delle patch va bilanciato con la possibilità che queste possano introdurre problemi;

2- andrebbero fatti test prima di installare le patch in ambiente di produzione.

Note sulla NIS 2 (errata corrige)

Avevo scritto dei miei appunti sulla NIS 2. Si trovano sul mio blog (https://blog.cesaregallotti.it/2024/03/note-sulla-nis2.html) e sul mio sito in italiano (https://www.cesaregallotti.it/Pubblicazioni.html) e inglese (https://www.cesaregallotti.it/English_essays.html).

Giancarlo Caroti di Neumus mi ha segnalato che avevo scritto che la NIS 2 non è applicabile alle piccole-medie imprese, visto che comincia ad essere applicabile alle aziende con più di 50 addetti. Sbagliavo, perché la Raccomandazione 2003/361/CE della Commissione europea definisce come medie le imprese che hanno tra i 50 e i 250 addetti.

Quindi ho corretto, spero senza aggiungere altri errori.

Ringrazio Giancarlo, anche se mi ha fatto lavorare.

Gli uomini possono fare tutto (marzo 2024)

Iniziai questa rubrica esattamente un anno fa e mi sembrò di aver individuato un punto di vista originale sulla discriminazione di genere.

Ma ecco cosa scriveva Bianca Pitzorno nel 1979 in "Extraterrestre alla pari": "Saremo veramente liberi, noi terrestri, non tanto quando le donne diventeranno minatori o guidatori di locomotive, ma quando gli uomini si stireranno le camicie, ricameranno, cucineranno e accudiranno con piacere ai propri bambini".

Telemarketing, Garante privacy: al via il Codice di condotta.

Il Garante privacy approva il Codice di condotta relativo alle attività di telemarketing: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9993833.

Iniziativa a mio parere importantissima e lodevolissima. Purtroppo non fermerà i pirati del telemarketing, ma sarà un valido punto di riferimento per chi vuole lavorare correttamente.

Ristoranti McDonald's chiusi per problemi IT

Articolo "McDonald's: Global outage was caused by configuration change": https://www.bleepingcomputer.com/news/technology/mcdonalds-global-outage-was-caused-by-configuration-change.

Due cose il titolo non dice:

- l'errore è dovuto a un errore di un fornitore (non a un attacco);

- l'incidente ha fatto chiudere alcuni ristoranti per tutta la giornata.

Così ripassiamo le lezioni (sempre utile):

- la sicurezza (ciber- e delle informazioni) non riguarda solo gli attacchi volontari da parte di malintenzionati, ma anche gli errori e i guasti;

- la sicurezza delle informazioni è parte integrante dell'affidabilità e della qualità dei servizi;

- i fornitori sono vettori di attacco (volontario o involontario) e quindi vanno controllati.

Rivista digitale Digeat e articolo sulle password a cui ho collaborato

Segnalo l'uscita della nuova rivista digitale Digeat. Il n.1 è online: www.digeat.info.

C'è anche un articolo scritto principalmente da Stefano Ramacciotti (io ho fatto poco più della correzione di bozze): "La modifica periodica delle password: come affrontare professionalmente un argomento tecnico": https://digeat.info/articolo-rivista/la-modifica-periodica-delle-password-come-affrontare-professionalmente-un-argomento-tecnico/. Lo raccomando.

ENISA Telecom security incidents 2022

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione, il 14 marzo 2024, del rapporto ENISA "Telecom security incidents 2022": https://www.enisa.europa.eu/publications/telecom-security-incidents-2022.

Il totale di incidenti segnalato è basso: 155.

Interessante notare che solo il 6% è dovuto ad azioni malevole, il resto è dovuto a guasti (72%), errori umani (15%) e fenomeni naturali (6%).

Questo non vuol dire che si debbano ignorare gli attacchi intenzionali, ma che la sicurezza riguarda anche (e forse soprattutto) la prevenzione degli errori e il controllo di guasti ed eventi naturali, spesso sottovalutati forse perché non richiamano battaglie all'ultimo bit o situazioni da film d'avventura. Da non dimenticare comunque che ogni rete è oggetto di più scansioni ogni giorno (ma questo dato non si trova in questo rapporto di ENISA e, anzi, chiedo dove ritrovarlo perché il mio riferimento risale ai primi anni 2000).