Guida alla notifica degli incidenti informatici di ACN

Su LinkedIn avevo notato la pubblicazione della "Guida alla notifica degli incidenti al CSIRT Italia" di ACN: https://www.acn.gov.it/portale/w/acn-pubblica-la-guida-alla-notifica-degli-incidenti-informatici.

 

Il documento è sicuramente pedante quanto ripete chi sono i soggetti PSNC, quelli OSE e FNC (da NIS), Telco, Legge 90 del 2024 e altri. Infatti, se uno non dovesse già sapere di essere uno di quei soggetti, perché mai dovrebbe apprenderlo da questo documento?

 

Poi, meno gentilmente, a domande come "Cosa notificare al CSIRT Italia" la risposta è "guarda la normativa", ma almeno riporta l'articolo specifico.

 

Però io ho clienti che rientrano in alcune delle categorie e questa pubblicazione, opportunamente utilizzata, mi tornerà molto utile perché sintetizza molte cose e le mette insieme.

Studiare il IA Act

Per studiare l'IA Act segnalo diverse iniziative.

 

La prima, e sicuramente più autorevole, è "Il regolamento IA commentato riga per riga" di Giovanni Ziccardi (per i pochissimo che non lo conoscono, è professore di “Informatica Giuridica” presso l’Università di Milano), parte del ciclo di video "IA per tutti": https://www.youtube.com/watch?v=XoWldziYrw0&list=PL_JkJ0T5Nq4MbbvxRBaNqvSzbg8t5HxRs.

 

Si tratta di video e io faccio molta fatica a seguirli (ognuno ha le sue stranezza), però ascoltare Giovanni Ziccardi è sempre un piacere. Quindi, anche se a scatola chiusa, lo raccomando.

 

La seconda è di Andrea Broglia, che non conosco, ma di cui ricevo il "Frid_AI_news", newsletter su LinkedIn. Anche lui si propone di "esaminare il Regolamento Europeo in materia di Intelligenza Artificiale con brevi articoli settimanali". Mi sembrano una buona lettura e quindi la raccomando: https://www.linkedin.com/newsletters/frid-ai-news-%F0%9F%91%BE-7197237138776588291.

Gli uomini possono fare tutto (luglio 2024)

Mi rendo conto che il mio è un lavoro da privilegiati e che posso svolgerlo quasi dappertutto. Alcune volte è preferibile affiancare fisicamente il cliente anche perché così il rapporto umano si consolida, si colgono meglio alcune cose grazie a una più ampia visione della gestualità e si può rimanere meglio concentrati in alcuni compiti.

 

Però i figli sono senza scuola per 3 mesi e almeno un genitore deve fare in modo che facciano vacanze (potremmo mandare i nostri anche nei campus con pernottamento, ma, per questioni che non è il caso di spiegare qui, non possiamo ancora farlo). Quindi ringrazio i clienti che nel mese di luglio hanno avuto la pazienza di vedermi lavorare in luoghi da vacanza e non mi hanno insultato troppo. Spero di non essere sembrato troppo poco professionale, ma preferisco questo al tenere i figli in giro a Milano.

Check list EDPB per audit all'intelligenza artificiale

EDPB ha pubblicato alcuni strumenti per l'audit ai sistemi di IA: https://www.edpb.europa.eu/our-work-tools/our-documents/support-pool-experts-projects/ai-auditing_en.

Il documento “Checklist for AI auditing” è forse più lungo del necessario, ma credo sia un’ottima fonte di ispirazione. Essendo dell'EDPB, la privacy è il punto chiave del documento proposto e in effetti forse quello che copre tutti i rischi relativi a questi sistemi.

Gli altri due (“proposal for AI leaflets” e “Proposal for Algo-scores”) non mi sembrano significativi, alla luce del Regolamento IA che già fornisce indicazioni per le informative IA e una classificazione dei sistemi di IA (anche se “vietati”, “ad alto rischio” e “altri” non è una classificazione estremamente raffinata, ammettiamolo; ma non mi convincono neanche gli algo-score proposti).

Ringrazio Chiara Ponti per la segnalazione agli Idraulici della privacy.

Pubblicato l'IA Act

Pietro Calorio ha dato la notizia a noi Idraulici della privacy che il 12 luglio 2024 è stato pubblicato l'IA Act, Reg. UE 2024/1689: https://eur-lex.europa.eu/eli/reg/2024/1689/oj.

La notizia è già stata data da altri e io arrivo più tardi (ma Pietro l'aveva data il 12 luglio stesso!). Sono 144 pagine in Gazzetta ufficiale dell’Unione europea. L'ho letto dopo aver ascoltato un paio di webinar e senza particolare attenzione. Lo approfondirò quando partirà un progetto di applicazione. Per il momento ho cercato di trovare un orientamento nei 113 articoli e 13 allegati.

Le parti più importanti per le organizzazioni sono:

• il Capo I, che delinea l'ambito e le esclusioni (per esempio per scopi personali; ma ci sono anche eccezioni);
• il Capo II che indica i sistemi vietati;
• il Capo III che stabilisce quali sono i sistemi ad alto rischio, insieme alle numerose attività che devono svolgere i produttori e i deployer per metterli a disposizione;
• il Capo IV, che riguarda le informazioni che devono fornire i fornitori di tutti i sistemi IA;
• Capo V, che riguarda i modelli di IA per finalità generali; anche in questo caso ci sono adempimenti da prevedere.

Con questi cinque Capi ho già da tenere sotto controllo 56 articoli. Tutto il resto riguarda iniziative specifiche, sulle quali non credo sarò coinvolto. Nel caso, studierò.

Bloccati sistemi per un aggiornamento CrowdStrike (parte 2)

Claudio Sartor mi ha scritto per darmi un paio di link sul caso CrowdStrike.

Uno è di Paolo Attivissimo: https://attivissimo.blogspot.com/2024/07/due-parole-sul-caos-informatico.html.

Il secondo è un video di Matteo Flora: https://www.youtube.com/watch?v=hyWsFAEkFa0.

Ho letto solo il primo (non ho la pazienza di seguire i video) e mi conforta vedere che il mio commento è in linea.

EDPB approva criteri Europrise

Dalla newsletter di Project:IN Avvocati: il 18 luglio 2024 l’EDPB ha pubblicato il parere 19/2024 sull’approvazione dei criteri di certificazione di EuroPrise, predisposti da EuroPriSe Cert. GmbH, un ente tedesco che li ha presentati all’Autorità garante del Nordreno-Westfalia (Germania). L'EDPB ha ritenuto che i criteri di certificazione siano coerenti con il GDPR, e li registrerà nel Registro pubblico dei meccanismi di certificazione, dei sigilli e dei marchi per la protezione dei dati ai sensi dell'articolo 42 del GDPR.

Link alla newsletter (come al solito, ci sono altre cose interessanti): https://www.linkedin.com/comm/pulse/292024-immaginatevi-se-lo-sciopero-di-windows-avesse-b25nf.

Oltre a Europrivacy, ora c'è questo operatore. Tra l'altro, io non ho notizie di certificazioni Europrivacy. Quindi chiedo se qualcuno ha notizie più fresche. Ho però l'impressione che, dopo il tanto parlare delle certificazioni GDPR, adesso interessino molto molto meno.

Bloccati sistemi per un aggiornamento CrowdStrike (Microsoft)

La notizia del mese è che un aggiornamento del software CrowdStrike aveva un bug che, nella notte del 18 luglio, ha bloccato i sistemi Windows, con impatti e interruzioni in tutto il mondo, anche nei servizi di trasporto e in strutture sanitarie.

Fornisco il link alla notizia, data in formato sinteticissimo e con link e commenti di esperti, dal SANS: https://www.sans.org/newsletters/newsbites/xxvi-55/.

Intanto trovo interessante sapere che CrowdStrike è uno strumento per la sicurezza degli endpoint: sicuramente utile perché permette di centralizzare tante operazioni, ma anche pericoloso, come tutti gli strumenti.

Le riflessioni da fare sono molte. Io mi limito a qualche titolo, anche perché sono in assenza di notizie approfondite:

• non so perché CrowdStrike ha dovuto apportare l'aggiornamento, ma ho sempre il sospetto che, tra correzioni e nuove funzionalità da fare velocemente e a costi ridotti, quasi tutti i produttori di software rischiano di essere causa di incidenti più o meno significativi;
• chissà se CrowdStrike aveva fatto dei test al prodotto; visto l'impatto, un test in ambiente di prova avrebbe dovuto evidenziare il problema; però sappiamo che i test si fanno poco e male per il problema di cui sopra;
• dall'analisi tecnica (che, grazie a Pietro Calorio degli Idraulici della privacy, trovo su https://www.linkedin.com/posts/daniele-zecca-74b64925_memoria-computer-0x9c-activity-7220358324712574976-YWX7) sembra che uno strumento di controllo della qualità e della sicurezza (statica) del codice avrebbe dovuto segnalare il problema; quindi o non è stato usato uno strumento di controllo o la segnalazione è stata ignorata e le cause sono sempre quelle sopra indicate;
• chissà se i conduttori delle infrastrutture critiche che poi si sono bloccate avevano fatto dei test prima di distribuire l'aggiornamento su tutti i sistemi; anche loro, lo sappiamo, soffrono del solito problema per cui gli investimenti nell'informatica non sono proporzionali alla sua importanza (e questo e altri incidenti dimostrano che siamo ben lontani dall'avere manager con la giusta sensibilità);
• se ci sono dei sistemi critici che potrebbero bloccare tutta un'infrastruttura, vanno posti in reti dedicate e separate, come si consiglia in ambito OT e come andrebbe fatto in tutti gli ambiti critici; ma anche questo richiede investimenti (e, purtroppo, temo che NIS2, DORA e compagnia non impongano questa misura, anche perché oggi in pochi sanno valutarla correttamente).

Niccolò Castoldi mi ha segnalato la dichiarazione del CEO di CrowdStrike (https://www.wired.com/story/microsoft-windows-outage-crowdstrike-global-it-probems/) che dice: "Questo non è un incidente di sicurezza o un ciber attacco". Qui si vede un uso del termine "incidente di sicurezza" come sinonimo di "attacco di malintenzionati" molto diffuso. In realtà, lo sappiamo, si è trattato di un errore (causa) che ha provocato un incidente di sicurezza delle informazioni (effetto almeno sulla disponibilità).

E ancora una volta colgo l'occasione per ricordare che chi si occupa di sicurezza delle informazioni non si occupa "solo" di attacchi, ma anche di errori, che sono spesso molto più numerosi e provocano danni molto più estesi (credo che tanti gruppi di criminali se lo possono solo sognare un attacco di così grande impatto).

Legge 90 del 2024 sulla cybersicurezza nazionale

Segnalo la pubblicazione della Legge 90 del 2024 "Disposizioni in materia di rafforzamento della cybersicurezzanazionale e di reati informatici": https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2024-06-28;90!vig=2024-07-10.

Segnalo un articolo di analisi completa della norma (grazie a Luisa di Giacomo degli Idraulici della privacy): https://www.altalex.com/documents/2024/07/03/l-90-2024-cybersicurezza-g-u-adempimenti-p-a-societa-private.

Nel mio piccolo, segnalo alcune cose pensando alle aziende, non alle istituzioni come ACN.

Il primo punto riguarda l’ambito di applicabilità della notifica degli incidenti e, in generale, di tutta la Legge, visto che è dato dall'articolo 1 nei commi 1 e 3, non perfettamente allineati tra loro. La lettura è complicata per i tanti richiami ad altri dispositivi normativi. Riassumendo molto (e anche troppo), la norma è applicabile a pubblica amministrazione, società di trasporto pubblico, aziende sanitarie locali, società in house, società che erogano servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali o di gestione dei rifiuti.

Le società in house, sono citate due volte: una con l’aggettivo “relative” e l’altra senza, così da rendere ancora più difficile l’interpretazione.

Il secondo punto (articolo 1) riguarda, per le società in ambito, la procedura di gestione degli incidenti, che dovranno essere notificati ad ACN con prima notifica entro 24 ore e rapporto finale entro 72 ore dalla conoscenza dell'incidente. Gli incidenti dovranno essere segnalati alla pagina di ACN https://www.csirt.gov.it/segnalazione (che dovrà quindi essere aggiornata), usando la tassonomia, stabilita dalla Determina del 3 gennaio 2023 di ACN (https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2023-01-10&atto.codiceRedazionale=23A00114), che prevede 14 tipologie di incidente (ovviamente diverse dalle 25 previste dal DPCM 81 del 2021 per evitare di renderci la vita troppo facile).

Notare che i tempi sono disallineati rispetto a quelli previsti dal perimetro di sicurezza nazionale cibernetica (PSNC) di 6 ore, ma uguali a quelli della NIS 2.

Notare anche per il PSNC un’altra tassonomia è presente nel DPCM 81 del 2021, quindi sembra che una Determina di ACN abbia annullato parte di un DPCM. Non sono un legale, ma tutto questo mi sembra strano.

Per alcune entità, la norma entrerà in vigore il 17 luglio, per altre, i tempi di adeguamento saranno di 6 mesi e un mio calcolo veloce e sicuramente inesatto dice da  gennaio 2025.

L’articolo 8 riguarda la necessità di stabilire una “struttura” (ossia un’unità organizzativa) che si occupi di sicurezza, dal punto di vista sia procedurale sia tecnico, e un “referente per la cybersicurezza” da segnalare ad ACN. E' richiesta professionalità e competenza, ma non mi sembra ci siano requisiti in merito all'indipendenza. Viene segnalato che l'incarico potrebbe essere ricoperto anche dal responsabile della transizione digitale. Da alcuni punti di vista, è positivo che non siano state imposte molte restrizioni in merito a questa figura, soprattutto in questa prima fase di attuazione.

In merito alle competenze e i poteri, ripeto che devono essere tecniche e organizzative, ma una struttura di questo tipo non è facile da trovare nelle realtà più piccole. Anche la possibilità di avere una struttura di questo genere “in forma associata” mi sembra di difficile attuazione, visto che implica l’assegnazione del potere di produrre un organigramma della sicurezza e il piano della sicurezza. Sicuramente alcune PA hanno già l’ufficio per la transizione digitale in forma associata, però il tutto mi lascia perplesso. Ad ogni modo, ho trovato questa pubblicazione di AgID in merito: https://www.agid.gov.it/it/notizie/nomina-del-rtd-e-costituzione-dellutd-forma-associata-online-il-vademecum-le-pa.

Da dire che non sono indicate scadenze per le comunicazioni, né il sito ACN ha ancora messo a disposizione un’area per questo adempimento.

L' articolo 9 richiede che venga verifica "che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che utilizzano soluzioni crittografiche, rispettino le linee guida sulla crittografia nonché quelle sulla conservazione delle password adottate dall'Agenzia per la cybersicurezza nazionale e dal Garante per la protezione dei dati personali e non comportino vulnerabilità note, atte a rendere disponibili e intellegibili a terzi i dati cifrati". A questo obbligo sono tenute anche le organizzazioni nel PSNC. Ho qualche dubbio sulla correttezza nel citare un documento tecnico in una Legge (le altre normative fanno in modo diverso). Il documento si può scaricare da qui: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9962384 (purtroppo il sito di ACN lo ha “nascosto” da qualche parte, né ha un richiamo in home page per una pagina dove reperire tutti questi documenti tecnici).

L'articolo 14 prevede che venga emanato, entro fine 2024, un DPCM con i requisiti da tenere “in considerazione nelle attività di approvvigionamento di beni e servizi informatici”. Questo sarà da utilizzare per le organizzazioni in ambito, ma sarà importante anche per le organizzazioni che lavorano con la PA, visto che dovranno rispettarli. Da notare che questi requisiti saranno applicabili dove è in gioco “la tutela della sicurezza nazionale”. Prevedo però che molti li richiederanno a tutti, visto che sarà più semplice. Sarà importante che le offerte per i soggetti in ambito comincino già a riportare considerazioni di sicurezza informatica.

Segnalo poi che l'articolo 24 bis introduce, nel D. Lgs. 231 del 2001, il reato presupposto di estorsione informatica.

Mia considerazione finale riguarda l'opportunità di questa Legge. Infatti, per ovvi motivi complica il quadro di riferimento al posto di semplificarlo e questo non è un bene. Mi spiego: adesso è in vigore la NIS, deve essere ancora recepita la NIS 2 e devono ancora essere pubblicati gli implementing acts; è in vigore anche il PSNC con i suoi 4 DPCM e altri atti correlati, come dimostrato dai link qui sopra (e con qualche pasticcio qua e là); entreranno in vigore anche altre normative come la CER. Penso che sarebbe stato meglio pubblicare un atto come questo dopo la messa a punto degli altri dispositivi, in modo da cogliere l'occasione per un raccordo tra tutti. Invece è stato pubblicato prima, con anche qualche aspetto che avrebbe richiesto una maggiore cura. Ovviamente, l’aumento di elementi, in questo caso norme, aggiunge sempre confusione nelle cose umane.

Come sempre, sono consapevole che questa è una mia prima analisi. Invito tutti a segnalarmi se ci sono errori o se non concordano.

NB: Questo post sostituisce un post simile inviato in precedenza.

Nuovo Regolamento Cloud per la PA di ACN

ACN ha pubblicato a fine giugno 2024 il nuovo regolamento che le PA devono rispettare quando usano servizi cloud. Si può reperire qui, con il titolo "Regolamento ACN n. 21007/24 del 27 giugno 2024": https://www.acn.gov.it/portale/cloud/documentazione-utile.

Trovo sempre utile (oltre che per dare supporto ai miei clienti) leggere le misure richieste perché stabiliscono un livello di riferimento, che piaccia o meno.

Mi sembra che il testo non riporti grandi modifiche rispetto al precedente (mi sono concentrato sulle misure per i dati ordinari). Dovevano aggiornarlo perché il precedente era a nome AgID e poco in più hanno fatto. Alcuni piccoli refusi e alcune piccole incoerenze sono state corrette.

Rimane sempre una lettura ostica e ci ho messo parecchio a capire la distinzione tra requisiti di adeguamento e di qualificazione (per questo ringrazio Marco Gemo che mi ha segnalato la figura all’URL https://www.acn.gov.it/portale/cloud/regolamento-cloud-per-la-pa). In sostanza, se ho capito correttamente:

• le infrastrutture possono solo essere “adeguate” (articolo 12);
• i servizi cloud “per le pubbliche amministrazioni erogati da un soggetto pubblico, da società in house, ovvero, per espressa previsione normativa, da società a controllo pubblico [...] sono sottoposti al processo di adeguamento” (articolo 15);
• i servizi cloud per le PA offerti da altre società rispetto alle precedenti sono invece da sottoporre al processo di adeguamento (articolo 17).

Importante il fatto che le PA dovranno comunque migrare verso servizi adeguati o qualificati.

Continuo a non capire perché a fronte di 3 tipologie di dati (ordinari, critici e strategici) siano presenti 4 livelli di qualificazione (o adeguamento).

Nota positiva, per rimanere sulle parti non tecniche, è che, a differenza della versione precedente di AgID, qui è possibile fare un comodo copia-incolla del testo (anche se, per evitarci troppa fatica, potevano pubblicare un Excel, magari anche con una comparazione tra le versioni del 2022 e del 2024; per me poco male, visto che fatturerò al cliente; però non posso fare a meno di pensare che faremo questo stesso lavoro in tanti, alcuni ci guadagneranno, altri ci perderanno e sicuramente l'entropia verrà alimentata).

Considerazioni tecniche (questa però non è una comparazione precisa, ma solo una lista delle cose per me più significative per i dati ordinari):

• viene chiesto al CSP (per servizi, privato, a cui si applica la qualificazione) di avere un'assicurazione (cloud service provider, ossia il fornitore del servizio cloud);
• viene chiesto un supporto in lingua inglese in orario lavorativo; il supporto in lingua italiana e 24/7/365 va fornito solo su richiesta; segnalo questo come questione culturale, ma non so esattamente come giudicarla;
• viene chiesto, per gli accessi da remoto, di impiegare l'autenticazione a più fattori;
• viene chiesto di fare prove di ripristino dei backup (era incredibilmente assente nel 2022) e di proteggere i backup ponendoli off-line;
• viene chiesto di tenere aggiornati e in sicurezza i sistemi di sicurezza di rete (era incredibilmente assente nel 2022);
• viene chiesto di fare VA-PT e di seguire piani di rientro (sempre stranamente assente nel 2022);
• viene chiarito, se già prima non lo era, che per chi offre "solo" un servizio, questo deve essere su un’infrastruttura IaaS o PaaS già adeguata;
• c'è un po' di confusione con le certificazioni (per il QC1 in un punto chiede di "adottare formalmente" ISO 9001 e ISO/IEC 20000-1 e in un altro chiede un'autocertificazione ISO 9001 e la certificazione ISO/IEC 27001 con i controlli delle ISO/IEC 27017 e 27018).

 Solo alla fine ringrazio Marco Gemo di Ecocerved per avermi segnalato la pubblicazione di questo Regolamento. Io non l'avevo proprio notata.  A questo proposito, spero che ACN istituisca un servizio di newsletter, oltre ai canali di aggiornamento sui social (LinkedIn e YouTube, oltre a quelli del CSIRT su X e Telegram), che obbligano a iscriversi a servizi offerti dagli USA.

NOTA: Questo post ne aggiorna uno precedente.

eIDAS - Quanti sono i servizi fiduciari?

Franco Vincenzo Ferrari mi ha segnalato un post di Andrea Caccia che elenca i servizi fidciari: https://www.linkedin.com/posts/acaccia_eidas-activity-7217316607176437760-gZGD.

Un bello e utile riassunto.

 

ISO/IEC 20000-1: Clarifying measurements

L' ISO/IEC JTC 1/SC 40 ha pubblicato (il 14 febbraio 2022) il white paper "ISO/IEC 20000-1: Clarifying measurements". Purtroppo non riesco a trovarlo nel surface web, ma solo nel deep web, ossia su LinkedIn, qui: https://www.linkedin.com/groups/12777402/.

Lettura interessante perché fornisce qualche esempio di misurazione di un sistema per la gestione dei servizi da considerare. Si osservi però che gli esempi non sono numerosi e confermano il fatto che non bisogna necessariamente avere tante misurazioni per gestire correttamente un sistema.

Da un punto di vista teorico, segnalo la suddivisione delle misurazioni tra quelle necessarie per valutare il sistema di gestione, la prestazione dei servizi e gli impatti (ossia il valore) del sistema di gestione.

VERA 7.5

Ho pubblicato file e manuale di VERA 7.5, con i controlli della ISO/IEC 27017 e 27018: https://github.com/CesareGallotti/VERA/.

Ho anche aggiunto una piccola check list sui requisiti (capitoli 4-10) della 27001 e qualche campo che nel tempo mi è tornato utile o mi è stato segnalato come utile.

Siete sempre invitati a segnalarmi errori o possibili miglioramenti (anche per come il tutto è disponibile su GitHub, che sto usando come un modesto principiante).