martedì 28 ottobre 2025

ISO/IEC 27706 per le certificazioni ISO/IEC 27701 (privacy)

Pubblicata la  ISO/IEC 27706:2025 "Requirements for bodies providing audit and certification of privacy information management systems": https://www.iso.org/standard/27706.

 

Importante per gli organismi di certificazione, non per le altre organizzazioni.

 

Però è importante sapere che è stata pubblicata perché questo rappresenta il primo passo per avere le certificazioni secondo la nuova ISO/IEC 27701, ossia indipendenti dalla ISO/IEC 27001.

 

I prossimi passi prevedono che:

- gli organismi di accreditamento aggiornino gli schemi di accreditamento;

- gli organismi di certificazione si accreditino o aggiornino il proprio accreditamento secondo i tempi di transizione previsti;

- le organizzazioni si certifichino (o rinnovino i certificati secondo i tempi di transizione previsti).

 

Non mi sembra siano stati ancora stabiliti dei tempi.

 

lunedì 27 ottobre 2025

ISO Survey 2024

La ISO ha pubblicato i dati relativi a molte certificazioni fino al 2024: https://www.iso.org/the-iso-survey.html.

Sempre interessante.

Grazie a Fabrizio Cirilli che ne ha pubblicato un post.

 

Indisponibilità AWS per 15 ore

Dalla newsletter di Project:IN Avvocati (https://www.linkedin.com/comm/pulse/432025-sarà-sfida-due-sui-browser-con-ai-i-nostri-ww4qf?) copio la notizia: Lunedì 20 ottobre c’è stato un grave blackout su Amazon Web Services (“AWS”), che ha interrotto per diverse ore i servizi cloud in tutto il mondo.  Moltissimi siti web e app ( tra cui Snapchat, Slack, Zoom e alcuni servizi bancari italiani) hanno registrato rallentamenti e blocchi. AWS ha spiegato che il problema tecnico è stato individuato e risolto, e che la piena operatività della piattaforma è stata ripristinata quanto prima. 

Copio anche la conclusione, che condivido: L’incidente ha evidenziato, però, la forte dipendenza globale da un numero ristretto di provider cloud, e ha riattivato la discussione sulla necessità di infrastrutture digitali europee più autonome.

Aggiungo anche che questo caso ci ricorda che il cloud anche dei grandi operatori può avere problemi di sicurezza.

Di mio segnalo un articolo più tecnico dal titolo "A single point of failure triggered the Amazon outage affecting millions": https://arstechnica.com/gadgets/2025/10/a-single-point-of-failure-triggered-the-amazon-outage-affecting-millions/.

sabato 18 ottobre 2025

Aggiornamento del software Jeep causa problemi

La notizia mi arriva dal SANS NewsBites, che fa riferimento all'articolo "Software update bricks some Jeep 4xe hybrids over the weekend": https://arstechnica.com/cars/2025/10/software-update-bricks-some-jeep-4xe-hybrids-over-the-weekend/.

Io sono un sostenitore del fatto che i processi di sicurezza, come quello di gestione dei cambiamenti, servono anche per evitare errori.

Qui molti hanno anche aggiunto il fatto che l'aggiornamento è stato messo a disposizione il venerdì pomeriggio e non è risultata la scelta migliore.

Io sono invece preoccupato dal fatto che, da questo incidente, sembra che abbiano messo insieme il sistema di intrattenimento con quello di controllo del veicolo. Capisco che costi separarli, però così si mettono insieme due sistemi di criticità estremamente diverse.

giovedì 16 ottobre 2025

Gli uomini possono fare tutto (Ottobre 2025)

Sto seguendo un corso di difesa personale e la cosa non è di grande interesse. Il fatto è che i partecipanti di questi corsi sono per il 93% donne (i maschi vanno ai corsi di arti marziali). Quando partecipano, poi, una parte del lavoro dell'insegnante è far recuperare capacità motorie ormai dimenticate dal corpo.

La prima riflessione, non mia, riguarda le scelte diverse tra maschi e femmine. La difesa personale e la pratica di arti marziali hanno però obiettivi e applicabilità diverse. Infatti la difesa personale ha come obiettivo il mantenimento della propria integrità e quindi, in poche parole, la fuga; la pratica di arti marziali ha invece l'obiettivo del confronto sportivo, che però non può essere replicato tal quale in caso di aggressione al di fuori della palestra.

Non commento oltre questo l'atteggiamento maschile che presume una certa capacità di confronto violento anche in mancanza di esperienza diretta, però dà da pensare e penso che sia pericolosa. Alcuni casi di cronaca mi confermano l'analisi, ma non li conosco abbastanza per poterne essere sicuro.

La seconda riflessione riguarda le tante donne che hanno smesso, se mai hanno iniziato, un'attività motoria per ritrovarsi nel mezzo del cammin di loro vita un po' imbranate, incapaci di rotolare per terra (lasciamo perdere le capovolte che ormai neanche i ragazzini le sanno più fare), di rialzarsi da terra, di correre. Non ho dati, ma penso che anche questa rinuncia allo sport sia un segno di qualcosa che non va.

Per la cronaca: l'insegnante (donna) che ci ha raccontato delle difficoltà delle allieve femmine nei corsi di difesa personale ha anche aggiunto che, dopo la prima metà di un corso annuale di un'ora alla settimana, le partecipanti acquisiscono una buona motricità.

Compromesso un sistema di prescrizioni sanitarie

La notizia iniziale è questa: Un attacco hacker ha colpito i server dell’azienda Murex, gestore del portale ‘Paziente Consapevole’ usato da medici e cittadini per le prescrizioni sanitarie.  Nulla di nuovo direi.

La seconda parte è più interessante: I pazienti hanno ricevuto mail con i propri dati sensibili in cui venivano richiesti pagamenti arretrati a nome di una finta azienda di recupero crediti di Monza.

L'interesse è dovuto al fatto che questo caso è particolarmente critico perché riguarda dati sanitari, ma anche compromissioni simili di dati soprattutto di contatto possono essere usati per truffe. Lo dico perché spesso i database con solo i dati di contatto sono ritenuti poco critici e in effetti i dati sono facilmente reperibili da molte fonti. E' però l'associazione tra organizzazione che ha il db e contatto presente nel db che può essere sfruttata per ulteriori attacchi.

La notizia l'ha diffusa Franco Vincenzo Ferrari con link del sito del Corriere della sera, con cookie wall. Quindi io segnalo questo alternativo: https://www.fanpage.it/milano/attacco-hacker-alla-piattaforma-per-le-prescrizioni-sanitarie-ai-pazienti-rubati-migliaia-di-dati-sensibili/.

Statistiche su attacchi e incidenti di sicurezza IT

Sono state pubblicati alcuni report con statistiche su attacchi e incidenti di sicurezza IT.

Uno è l'ENISA Threat Landscape del 2025: https://enisa.europa.eu/publications/enisa-threat-landscape-2025.

Davide Giribaldi su LinkedIn ne fa una sintesi (https://www.linkedin.com/posts/davidegiribaldi_cyber-enisa-theriskhunter-activity-7383367687499952128-_GPD). Io allora faccio la sintesi della sintesi:

  • confermato l'elevato numero di incidenti dovuti a ransomware, attacchi DDoS legati a campagne ideologiche, phishing, sfruttamento di vulnerabilità rese disponibili da poco;
  • aumentano gli attacchi a fornitori e repository open source (ma io penso, senza togliere importanza alla questione, che il numero sia aumentato anche per la diversa attenzione posta a questo argomento);
  • aumentano gli attacchi ai dispositivi mobili;
  • il settore più esposto è la pubblica amministrazione;
  • il documento include raccomandazioni pratiche.

Un altro è il CrowdStrike 2025 Threat Hunting Report: https://www.crowdstrike.com/en-us/resources/reports/threat-hunting-report/.

Questo è decisamente più tecnico e non c'è nessun Davide Giribaldi che mi ha fatto il riassunto.

Dico che sono segnalazioni interessanti, che fanno capire la necessità di lavorare per la sicurezza delle informazioni. Faccio però fatica a trovare elementi che posso usare (o far usare) direttamente.

martedì 14 ottobre 2025

Punto informativo per l'AI Act della Commissione europea

Segnalo questa pagina "AI Act Single Information Platform": https://ai-act-service-desk.ec.europa.eu/en.

E' un punto di partenza per le questioni legate all'AI Act. Per esempio c'è il Compliance Checker, ossia un questionario per capire se bisogna applicare o meno l'AI Act (già la prima domanda è simpatica perché chiede se vogliamo parlare di un sistema o di un modello di intelligenza artificiale).

Pubblicata la ISO/IEC 27701

Pubblicata la ISO/IEC 27701:2025 "Privacy information management systems — Requirements and guidance": https://www.iso.org/standard/27701.

Di questa norma ne avevo già scritto e quello rimane ancora valido: https://www.agendadigitale.eu/sicurezza/iso-iec-27701-sui-sistemi-di-gestione-per-la-privacy-come-e-come-sara/

Ulteriore riflessione riguarda i tempi di audit (che, ricordiamolo, non hanno solo un costo diretto per pagare l'organismo, ma hanno anche costi legati all'assistenza di un consulente e al tempo richiesto al personale interno per partecipare). Un piccolo fornitore di servizi informatici di 20 persone, per la ISO/IEC 27001 deve prevedere almeno 5 giorni per il primo audit, 2,5 giorni negli anni successivi e 4 giorni ogni 3 anni. Se vuole aggiungere la ISO/IEC 27701 e solo per la certificazione come responsabile, deve aggiungere almeno 3 giornate per il primo audit, 1 giornata gli anni successivi e 2 giornate ogni 3 anni.

Le cifre le sto dando sulla base della ISO/IEC 27006:2024 e della bozza finale della ISO/IEC 27706.

Ringrazio Chiara Ponti per avermi avvisato.

giovedì 9 ottobre 2025

Professionisti e dichiarazione dei sistemi di IA usati

Segnalo questo post di Paolo dal Checco: https://www.linkedin.com/posts/dalchecco_come-e-dove-comunicherete-dal-10-ottobre-activity-7377674323458768896-C7dB/.

In sintesi: i professionisti, dal 10 ottobre 2025, in forza dell'art. 13 della Legge 132 del 2025, devono comunicare ai clienti "con linguaggio chiaro, semplice ed esaustivo" tutte "le informazioni relative ai sistemi di intelligenza artificiale" utilizzati per svolgere l'incarico.

Interessanti le alternative poste da Paolo: via mail, una voce nell'informativa privacy, adeguamento del modello di incarico professionale o contratto.

In una risposta, Federico Capello segnala che l’informativa privacy solo se l’AI viene utilizzata per trattamenti di dati personali (e in questo caso deve prestare tanta attenzione alle clausole del fornitore, che sarà da considerare responsabile del trattamento); in caso contrario si può solo inserire una specifica clausola nel contratto con il committente del tipo: "Il Professionista dichiara che, nello svolgimento delle attività contrattuali, potrà avvalersi di sistemi di intelligenza artificiale, nel rispetto dell’art. 13 della Legge n. 132/2025. In ogni caso, il Professionista resta pienamente responsabile verso il Committente della correttezza, qualità e conformità della prestazione, garantendo trasparenza, controllo umano, tutela dei dati personali e rispetto delle norme vigenti".

Per la cronaca: io non uso sistemi di IA per il mio lavoro. Trovo molto più pratici i simpatici copincolla  e salvaconnome dal materiale che ho prodotto negli anni. Ho notato che ci metto più tempo a verificare e correggere la proposta dell’IA che il mio materiale.

NIS2: Referente CSIRT e nuova registrazione per i soggetti NIS

Segnalo questo post di Stefano Mele dal titolo "L'ACN istituisce il Referente CSIRT: ecco le nuove regole e le competenze richieste": https://www.linkedin.com/feed/update/urn:li:activity:7380546413744766976/.

In breve, ACN ha pubblicato la Determinazione ACN 333017/2025, che sostituisce la precedente 283727 del 31 luglio 2025.

Va quindi designato il Referente CSIRT e uno o più sostituti.

La cosa, di per sé, è positiva perché distingue il Punto di contatto NIS e il Referente CSIRT. La cosa noiosa è che la designazione è obbligatoria e va fatta dal 20 novembre al 31 dicembre 2025. Potevano richiederla in occasione dell'aggiornamento annuale, già previsto.

Altra cosa positiva è il fatto che può essere esterno. Per questo, io penso che non debba essere un consulente, ma il responsabile dei sistemi IT che, in effetti, in molte PMI e in qualche grande, è esterno.

PS. Grazie a Giulia Palmarini che mi ha sottolineato l’importanza del post.

venerdì 3 ottobre 2025