Andrea Evangelista via LinkedIn mi ha segnalato la pubblicazione del DM del 12 dicembre 2018 del Ministero dello sviluppo economico e pubblicato in G.U. il 21 gen 2019 "Misure di sicurezza ed integrità delle reti di comunicazione elettronica e notifica degli incidenti significativi":
- www.gazzettaufficiale.it/eli/id/2019/01/21/19A00317/s.
Andrea Evangelista mi dice "dettaglia l'art. 16bis e ter del Codice delle comunicazioni elettroniche. E' un po' l'equivalente del D. NIS per i servizi di comunicazione elettronica e i fornitori di reti e servizi di comunicazione".
Per completezza, il link al Codice delle comunicazioni elettroniche:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2003-08-01;259!vig=
Qualche riflessione (cerco di unire le mie con quelle di Andrea; ogni errore e mio):
- i destinatari sono i "fornitori di servizi di reti e servizi di comunicazione elettronica", ossia i fornitori di connessione (Telco) e le società cosiddette "wholesale only", ossia quelle che hanno una concessione ex art. 25 del Codice delle comunicazioni elettroniche; non è indirizzato ai fornitori di contenuti;
- quando parla di incidenti (articolo 5), li intende solo come con impatto sulla disponibilità e non su integrità (dei dati) e riservatezza (ha come obiettivo di garantire la disponibilità e continuità dei servizi sulle reti e prevenire i cosiddetti incidenti significativi che creano "disservizi");
- interessante il sunto di un sistema di gestione per la sicurezza delle informazioni dell'articolo 4 (anche se certe rigidità normative possono essere discusse);
- interessante anche quando all'art. 6 comma 2 tratta "dell'eventuale possesso di certificazioni di conformità...";
- meno apprezzabile il ricorso agli "asset" come base per la valutazione del rischio, concetto ormai ritenuto superato (ma va detto che il testo è sufficientemente ambiguo e può essere letto anche pensando alla necessità di descrivere correttamente i servizi e identificare i rischi non necessariamente per ciascun asset; usa termini come "potenzialmente in grado" e "asset propri o di terzi che contribuiscono anche parzialmente alla fornitura dei servizi...").
martedì 19 febbraio 2019
lunedì 18 febbraio 2019
Un altro articolo negativo su blockchain
Per quanto poco io capisca di blockchain o, come dicono quelli che vogliono essere "meno modaioli", di distributed ledger technology (DLT), penso che sia una boiata pazzesca (a differenza della Corazzata Potemkin, che è un grande film).
Il mio parere, come già scrissi tempo fa, è da prendere con prudenza. Ma quello di Bruce Schneier, uno degli esperti di sicurezza veramente competenti e che ragiona invece di ripetere a pappagallo quello che dicono altri, va preso molto seriamente (scrive anche benissimo, tra gli altri suoi pregi).
Quindi io segnalo il suo articolo "Blockchain and Trust":
- https://www.schneier.com/blog/archives/2019/02/blockchain_and_.html.
In sintesi, anche lui pensa che la blockchain sia un termine di moda e che, nella realtà, la sua tecnologia non migliora la sicurezza e sicuramente peggiora l'efficienza dei sistemi. Lui parla di blockchain pubblica, visto che quella privata è realizzabile in mille altri modi e tecnicamente avrebbe altri nomi (è indicata con il termine "blockchain" solo perché di moda).
Il mio parere, come già scrissi tempo fa, è da prendere con prudenza. Ma quello di Bruce Schneier, uno degli esperti di sicurezza veramente competenti e che ragiona invece di ripetere a pappagallo quello che dicono altri, va preso molto seriamente (scrive anche benissimo, tra gli altri suoi pregi).
Quindi io segnalo il suo articolo "Blockchain and Trust":
- https://www.schneier.com/blog/archives/2019/02/blockchain_and_.html.
In sintesi, anche lui pensa che la blockchain sia un termine di moda e che, nella realtà, la sua tecnologia non migliora la sicurezza e sicuramente peggiora l'efficienza dei sistemi. Lui parla di blockchain pubblica, visto che quella privata è realizzabile in mille altri modi e tecnicamente avrebbe altri nomi (è indicata con il termine "blockchain" solo perché di moda).
Milano, 10 aprile 2019: DFA Open day 2019
Il 10 aprile pomeriggio si terrà a Milano l'annuale DFA Open day (gratuito). Per iscriversi:
- https://www.eventbrite.it/e/biglietti-dfa-open-day-2019-56637583537.
Il programma non lo abbiamo ancora stabilito completamente, ma parleremo di digital forensics (lato tecnologico e lato legale), di GDPR e chissà che altro.
Per la cronaca, sono presidente dell'associazione.
- https://www.eventbrite.it/e/biglietti-dfa-open-day-2019-56637583537.
Il programma non lo abbiamo ancora stabilito completamente, ma parleremo di digital forensics (lato tecnologico e lato legale), di GDPR e chissà che altro.
Per la cronaca, sono presidente dell'associazione.
giovedì 14 febbraio 2019
ITIL 4 in uscita
In questi mesi (primo trimestre 2019) è prevista l'uscita di ITIL 4. Sicuramente è frutto di varie riflessioni (incluso il nome, dato che nel 2011 avevano decretato che le future versioni di ITIL non avrebbero più avuto una "versione" e invece oggi si parla di ITIL 4).
Per prepararsi (anche per capire come mantenere le certificazioni personali), segnalo questo articolo dal titolo "ITIL 4: aria di rinnovamento" che, mi pare, dica tutto:
- https://www.zerounoweb.it/cio-innovation/organizzazione/itil-4-aria-di-rinnovamento/.
La pagina ufficiale sull'aggiornamento di ITIL è quella del sito di Axelos:
- https://www.axelos.com/itil-update.
Per prepararsi (anche per capire come mantenere le certificazioni personali), segnalo questo articolo dal titolo "ITIL 4: aria di rinnovamento" che, mi pare, dica tutto:
- https://www.zerounoweb.it/cio-innovation/organizzazione/itil-4-aria-di-rinnovamento/.
La pagina ufficiale sull'aggiornamento di ITIL è quella del sito di Axelos:
- https://www.axelos.com/itil-update.
Cassazione: licenziamento lecito per troppo uso di Facebook
L'articolo ha titolo "Facebook per troppe ore al lavoro, la Cassazione ribadisce il licenziamento":
- https://www.repubblica.it/cronaca/2019/02/01/news/facebook_per_troppe_ore_la_cassazione_ribadisce_il_licenziamento-218017328
Notare che i giudici hanno stabilito che non c'è stata nessuna violazione delle regole sulla tutela della privacy. Spero qualcuno possa segnalare qualche articolo di maggiore riflessione in merito a questa sentenza.
- https://www.repubblica.it/cronaca/2019/02/01/news/facebook_per_troppe_ore_la_cassazione_ribadisce_il_licenziamento-218017328
Notare che i giudici hanno stabilito che non c'è stata nessuna violazione delle regole sulla tutela della privacy. Spero qualcuno possa segnalare qualche articolo di maggiore riflessione in merito a questa sentenza.
ENISA e misure di sicurezza per le app per smartphone
ENISA pubblicò a inizio 2017 un documento dal titolo "Smartphone Secure Development Guidelines". Lo segnalo, con colpevole ritardo:
- https://www.enisa.europa.eu/publications/smartphone-secure-development-guidelines-2016.
Ora ha reso in formato xls le misure di sicurezza e, forse un po' troppo pomposamente, lo ha denominato SMASHING Tool. Al di là della mia ironia sull'eccesso di enfasi, penso che l'iniziativa sia più che apprezzabile:
- https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures/smartphone-guidelines-tool.
- https://www.enisa.europa.eu/publications/smartphone-secure-development-guidelines-2016.
Ora ha reso in formato xls le misure di sicurezza e, forse un po' troppo pomposamente, lo ha denominato SMASHING Tool. Al di là della mia ironia sull'eccesso di enfasi, penso che l'iniziativa sia più che apprezzabile:
- https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures/smartphone-guidelines-tool.
domenica 10 febbraio 2019
Manutenzione impianti elettrici
La sicurezza degli impianti elettrici è un elemento, non principale e spesso dimenticato, della sicurezza informatica. Per questo, ricordando che le competenze in materia di sicurezza dei lavoratori e di sicurezza delle informazioni sono diverse, è bene saperne qualcosa.
Franco Vincenzo Ferrari di DNV GL mi ha segnalato questo articolo di PuntoSicuro dal titolo "Linee guida per la verifica e il controllo degli impianti elettrici":
- https://www.puntosicuro.it/sicurezza-sul-lavoro-C-1/tipologie-di-contenuto-C-6/linee-guida-buone-prassi-C-62/linee-guida-per-la-verifica-il-controllo-degli-impianti-elettrici-AR-18793/.
L'articolo riassume i punti salienti di una linea guida del CNPI sulla sicurezza degli impianti elettrici. La pagina del CNPI è la seguente:
- http://www.cnpi.eu/dal-cnpi-la-linea-guida-sulla-sicurezza-degli-impianti-elettrici/.
Nel 2008 avevo copiato un articolo di Filodiritto (www.filodiritto.it) che, ahimé, non riesco più a trovare. Segue quindi quanto avevo copiato (e forse sintetizzato... non ricordo). Segnalo che la linea guida del CNPI non cita il DPR 392 del 1994, che sembra comunque in vigore.
Il Decreto Ministeriale n. 37 del 22 gennaio 2008 è stato emanato al fine di riordinare tutte le disposizioni in tema di attività di installazione e di sicurezza degli impianti all'interno di edifici di diversa tipologia. Il riordino delle disposizioni vigenti in materia ha comportato l'abrogazione delle norme contenute:
- nella Legge n. 46 del 5 marzo 1990 "Norme sulla sicurezza degli impianti" (ad eccezione degli articoli 8, 14, 16 sulle sanzioni applicabili);
- nel Decreto del Presidente della Repubblica n. 447 del 6 dicembre 1991 "Regolamento di attuazione della legge 46/1990 in materia di sicurezza degli impianti";
- nel Capo V parte II artt. dal 107 al 121 "Norme per la sicurezza degli impianti" del Testo Unico in materia edilizia di cui al Decreto del Presidente della Repubblica n. 380 del 6 giugno 2001.
Pertanto, a partire dal 27 marzo 2008 (data di entrata in vigore del Decreto Ministeriale n. 37/2008), tutta la materia dell'installazione e della sicurezza degli impianti è disciplinata:
- dal citato decreto 37/2008;
- dagli articoli 8, 14 e 16 della legge n. 46/1990;
- dal Decreto del Presidente della Repubblica n. 392 del 18 aprile 1994 "Regolamento per la disciplina del procedimento di riconoscimento delle imprese ai fini dell'installazione, ampliamento e trasformazione degli impianti nel rispetto delle norme di sicurezza".
Per la manutenzione degli impianti di ascensori e montacarichi in servizio privato continuano, invece, ad applicarsi le disposizioni del Decreto del Presidente della Repubblica n. 162 del 30 aprile 1999 e le altre disposizioni specifiche in materia.
Franco Vincenzo Ferrari di DNV GL mi ha segnalato questo articolo di PuntoSicuro dal titolo "Linee guida per la verifica e il controllo degli impianti elettrici":
- https://www.puntosicuro.it/sicurezza-sul-lavoro-C-1/tipologie-di-contenuto-C-6/linee-guida-buone-prassi-C-62/linee-guida-per-la-verifica-il-controllo-degli-impianti-elettrici-AR-18793/.
L'articolo riassume i punti salienti di una linea guida del CNPI sulla sicurezza degli impianti elettrici. La pagina del CNPI è la seguente:
- http://www.cnpi.eu/dal-cnpi-la-linea-guida-sulla-sicurezza-degli-impianti-elettrici/.
Nel 2008 avevo copiato un articolo di Filodiritto (www.filodiritto.it) che, ahimé, non riesco più a trovare. Segue quindi quanto avevo copiato (e forse sintetizzato... non ricordo). Segnalo che la linea guida del CNPI non cita il DPR 392 del 1994, che sembra comunque in vigore.
Il Decreto Ministeriale n. 37 del 22 gennaio 2008 è stato emanato al fine di riordinare tutte le disposizioni in tema di attività di installazione e di sicurezza degli impianti all'interno di edifici di diversa tipologia. Il riordino delle disposizioni vigenti in materia ha comportato l'abrogazione delle norme contenute:
- nella Legge n. 46 del 5 marzo 1990 "Norme sulla sicurezza degli impianti" (ad eccezione degli articoli 8, 14, 16 sulle sanzioni applicabili);
- nel Decreto del Presidente della Repubblica n. 447 del 6 dicembre 1991 "Regolamento di attuazione della legge 46/1990 in materia di sicurezza degli impianti";
- nel Capo V parte II artt. dal 107 al 121 "Norme per la sicurezza degli impianti" del Testo Unico in materia edilizia di cui al Decreto del Presidente della Repubblica n. 380 del 6 giugno 2001.
Pertanto, a partire dal 27 marzo 2008 (data di entrata in vigore del Decreto Ministeriale n. 37/2008), tutta la materia dell'installazione e della sicurezza degli impianti è disciplinata:
- dal citato decreto 37/2008;
- dagli articoli 8, 14 e 16 della legge n. 46/1990;
- dal Decreto del Presidente della Repubblica n. 392 del 18 aprile 1994 "Regolamento per la disciplina del procedimento di riconoscimento delle imprese ai fini dell'installazione, ampliamento e trasformazione degli impianti nel rispetto delle norme di sicurezza".
Per la manutenzione degli impianti di ascensori e montacarichi in servizio privato continuano, invece, ad applicarsi le disposizioni del Decreto del Presidente della Repubblica n. 162 del 30 aprile 1999 e le altre disposizioni specifiche in materia.
venerdì 8 febbraio 2019
Differenza tra sicurezza IT e OT
Ho scritto questo breve articolo dal titolo "Differenza tra sicurezza IT e OT":
- https://www.ictsecuritymagazine.com/articoli/differenza-tra-sicurezza-it-e-ot/.
- https://www.ictsecuritymagazine.com/articoli/differenza-tra-sicurezza-it-e-ot/.
Titolare e responsabile secondo il Garante (e i consulenti del lavoro)
Quest'estate era divampato il dibattito dal titolo "il consulente del lavoro è titolare o responsabile dei trattamenti svolti per i propri clienti?". Ne avevo scritto:
- http://blog.cesaregallotti.it/2018/07/circolare-dei-consulenti-del-lavoro.html.
Il Garante si è finalmente espresso su questo punto, dicendo (in accordo con tutti gli "esperti privacy" che io ritengo veramente tali e non con tanti altri cialtroni) che il consulente del lavoro ha il ruolo di responsabile quando tratta i dati per conto dei propri clienti:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9080970.
Da notare che la risposta del Garante fornisce altri esempi di responsabili: il soggetto che fornisce servizi di localizzazione geografica, i servizi di posta elettronica, i servizi di televigilanza.
Aggiunge anche "la società capogruppo delegata da società controllate e collegate a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori", ma su questo ho i miei dubbi, visto che la capogruppo è solitamente non delegata "volontariamente" dalle controllate.
- http://blog.cesaregallotti.it/2018/07/circolare-dei-consulenti-del-lavoro.html.
Il Garante si è finalmente espresso su questo punto, dicendo (in accordo con tutti gli "esperti privacy" che io ritengo veramente tali e non con tanti altri cialtroni) che il consulente del lavoro ha il ruolo di responsabile quando tratta i dati per conto dei propri clienti:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9080970.
Da notare che la risposta del Garante fornisce altri esempi di responsabili: il soggetto che fornisce servizi di localizzazione geografica, i servizi di posta elettronica, i servizi di televigilanza.
Aggiunge anche "la società capogruppo delegata da società controllate e collegate a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori", ma su questo ho i miei dubbi, visto che la capogruppo è solitamente non delegata "volontariamente" dalle controllate.
Il business della sicurezza (nelle scuola USA)
Segnalo questo articolo del Corriere della sera dal titolo "Usa, il business sicurezza nelle scuole":
- https://www.corriere.it/editoriali/19_febbraio_07/usa-business-sicurezza-scuole-667de962-2afb-11e9-8bb3-2eff97dced46.shtml.
Mi occupo di sicurezza delle informazioni e, con le dovute cautele, alcuni parallelismi li possiamo fare. In particolare ho riflettuto sull'unione di due direzioni contrapposte: da una parte quella della sfiducia completa nei confronti del prossimo, per cui è necessario armarsi di armi reali o di forme di controllo sempre più sofisticate, dall'altra quella della fiducia totale nei confronti dei venditori delle tecnologie che hanno già dimostrato di potersene approfittare (vedere caso di Cambridge Analytica).
E da questa storia si nota anche la tendenza a rifugiarsi, per la sicurezza, in tecnologie sempre più sofisticate, complesse da mantenere e che lasciano sempre più spazio di manovra ai fornitori. Un tempo era caratteristica degli informatici rispondere, ad ogni problema di sicurezza informatica, "ho un tool"; oggi sembra la risposta comune. Invece spesso basterebbe risparmiare su qualche gadget o consulente e investire di più negli stipendi del personale che c'è già, nella sua formazione e nella sua crescita numerica.
Penso che in molti casi costerebbero di meno (anche se, ahinoi, nelle spese fisse), e avrebbero maggiori benefici, due persone in più, con la riduzione dello stress in quelli che ci sono già e quindi degli errori, al posto del continuo ricorso a super-fornitori, super-consulenti e super-tecnologie.
Dico questo con l'esperienza di chi ha visto aziende con tanti tecnici sovraccarichi di lavoro e che investono in tecnologie spesso inutili (qualcuno si ricorda i DLP? oggi sono, a ragione, quasi dimenticati) e in consulenze altrettanto inutili (per esempio su fantistici modelli organizzativi che non vedono mai la luce, nonostante gli enormi costi sostenuti per farsi dire che è necessaria un'organizzazione "matriciale" (perché è così che finisce nella maggior parte dei casi; mi si scusi lo spoiler)).
- https://www.corriere.it/editoriali/19_febbraio_07/usa-business-sicurezza-scuole-667de962-2afb-11e9-8bb3-2eff97dced46.shtml.
Mi occupo di sicurezza delle informazioni e, con le dovute cautele, alcuni parallelismi li possiamo fare. In particolare ho riflettuto sull'unione di due direzioni contrapposte: da una parte quella della sfiducia completa nei confronti del prossimo, per cui è necessario armarsi di armi reali o di forme di controllo sempre più sofisticate, dall'altra quella della fiducia totale nei confronti dei venditori delle tecnologie che hanno già dimostrato di potersene approfittare (vedere caso di Cambridge Analytica).
E da questa storia si nota anche la tendenza a rifugiarsi, per la sicurezza, in tecnologie sempre più sofisticate, complesse da mantenere e che lasciano sempre più spazio di manovra ai fornitori. Un tempo era caratteristica degli informatici rispondere, ad ogni problema di sicurezza informatica, "ho un tool"; oggi sembra la risposta comune. Invece spesso basterebbe risparmiare su qualche gadget o consulente e investire di più negli stipendi del personale che c'è già, nella sua formazione e nella sua crescita numerica.
Penso che in molti casi costerebbero di meno (anche se, ahinoi, nelle spese fisse), e avrebbero maggiori benefici, due persone in più, con la riduzione dello stress in quelli che ci sono già e quindi degli errori, al posto del continuo ricorso a super-fornitori, super-consulenti e super-tecnologie.
Dico questo con l'esperienza di chi ha visto aziende con tanti tecnici sovraccarichi di lavoro e che investono in tecnologie spesso inutili (qualcuno si ricorda i DLP? oggi sono, a ragione, quasi dimenticati) e in consulenze altrettanto inutili (per esempio su fantistici modelli organizzativi che non vedono mai la luce, nonostante gli enormi costi sostenuti per farsi dire che è necessaria un'organizzazione "matriciale" (perché è così che finisce nella maggior parte dei casi; mi si scusi lo spoiler)).
martedì 5 febbraio 2019
Ampliamento Registro delle opposizioni
Luca de Grazia mi ha segnalato l'entrata in vigore del DPR 149 del 2018 che estende il Registro delle opposizioni alla posta cartacea. Il registro era già stato esteso, con la Legge 5 del 2018, ai numeri di cellulari.
Il DPR che istituisce il Registro delle opposizioni è il 178 del 2010 e su Normattiva si trova la sua versione aggiornata. Similmente, si trova la Legge 5 del 2018.
L'indirizzo web di Normattiva è:
- www.normattiva.it.
Il Registro delle opposizioni è il servizio concepito a tutela del cittadino, il cui numero è presente negli elenchi telefonici pubblici, che decide di non voler più ricevere telefonate per scopi commerciali o di ricerche di mercato. Il suo indirizzo web è:
- http://www.registrodelleopposizioni.it/.
Il DPR che istituisce il Registro delle opposizioni è il 178 del 2010 e su Normattiva si trova la sua versione aggiornata. Similmente, si trova la Legge 5 del 2018.
L'indirizzo web di Normattiva è:
- www.normattiva.it.
Il Registro delle opposizioni è il servizio concepito a tutela del cittadino, il cui numero è presente negli elenchi telefonici pubblici, che decide di non voler più ricevere telefonate per scopi commerciali o di ricerche di mercato. Il suo indirizzo web è:
- http://www.registrodelleopposizioni.it/.
lunedì 4 febbraio 2019
Articolo sulle assicurazioni IT (un altro)
Recentemente segnalai e commentai un articolo del The Economist sulle assicurazioni IT:
- http://blog.cesaregallotti.it/2019/01/articolo-sulle-assicurazioni-it.html.
Pierfrancesco Maistrello, allora, mi ha segnalato un articolo di IAPP molto simile, dal titolo "Data breach insurance: A three-part problem":
- https://iapp.org/news/a/data-breach-insurance-a-three-part-problem/.
Prende le mosse da una sentenza (credo di un tribunale inglese) che ha imposto ad un'azienda di sottoscrivere un'assicurazione per le multe derivanti dal GDPR. Il fatto è che la questione non è banale per vari motivi: è in dubbio la possibilità di prevedere assicurazioni per inadempimenti legali, sono carenti le statistiche sugli incidenti, è incerta la definizione di "cyber risk", l'assicuratore può non pagare anche per minime carenze dell'assicurato nel seguire le procedure.
L'articolo parla, incidentalmente, anche delle assicurazioni da DPO dicendo che non sono sostanzialmente disponibili.
Due riflessioni:
- la cosa sull'impossibilità di assicurarsi per inadempimenti legali mi è nuova e spero di trovare ulteriori articoli in merito per approfondire la questione (pare purtroppo che gli esperti legali italiani trovino più gusto a ripetere il concetto di accountability);
- le altre cose le so da tempo, eppure troppi "esperti" continuano a proporle e mi chiedo come mai; non si aggiornano o non approfondiscono le cose di cui parlano? si aggiornano facendo affidamento a "esperti" che non sono esperti ma solo imbonitori? sono essi stessi imbonitori senza vera competenza?
- http://blog.cesaregallotti.it/2019/01/articolo-sulle-assicurazioni-it.html.
Pierfrancesco Maistrello, allora, mi ha segnalato un articolo di IAPP molto simile, dal titolo "Data breach insurance: A three-part problem":
- https://iapp.org/news/a/data-breach-insurance-a-three-part-problem/.
Prende le mosse da una sentenza (credo di un tribunale inglese) che ha imposto ad un'azienda di sottoscrivere un'assicurazione per le multe derivanti dal GDPR. Il fatto è che la questione non è banale per vari motivi: è in dubbio la possibilità di prevedere assicurazioni per inadempimenti legali, sono carenti le statistiche sugli incidenti, è incerta la definizione di "cyber risk", l'assicuratore può non pagare anche per minime carenze dell'assicurato nel seguire le procedure.
L'articolo parla, incidentalmente, anche delle assicurazioni da DPO dicendo che non sono sostanzialmente disponibili.
Due riflessioni:
- la cosa sull'impossibilità di assicurarsi per inadempimenti legali mi è nuova e spero di trovare ulteriori articoli in merito per approfondire la questione (pare purtroppo che gli esperti legali italiani trovino più gusto a ripetere il concetto di accountability);
- le altre cose le so da tempo, eppure troppi "esperti" continuano a proporle e mi chiedo come mai; non si aggiornano o non approfondiscono le cose di cui parlano? si aggiornano facendo affidamento a "esperti" che non sono esperti ma solo imbonitori? sono essi stessi imbonitori senza vera competenza?
venerdì 1 febbraio 2019
ENISA Threat Landscape 2018 report
Tempo di report (solitamente non molto utili, ma molto apprezzati) sulla sicurezza. Ecco il primo del 2019: "ENISA Threat Landscape 2018 report":
- https://www.enisa.europa.eu/news/enisa-news/exposure-to-cyber-attacks-in-the-eu-remains-high/.
Questo rapporto ha il pregio di elencare 15 minacce ritenute particolarmente significative (dal malware allo spionaggio) e di collegarle a misure di mitigazione.
La mia perplessità è che sembra (anche se è faticoso capirlo dal documento) che queste 15 minacce sono state selezionate non sulla base di dati, ma sulla base delle percezioni degli esperti di ENISA. Tutto ragionevole, ma da sapere.
- https://www.enisa.europa.eu/news/enisa-news/exposure-to-cyber-attacks-in-the-eu-remains-high/.
Questo rapporto ha il pregio di elencare 15 minacce ritenute particolarmente significative (dal malware allo spionaggio) e di collegarle a misure di mitigazione.
La mia perplessità è che sembra (anche se è faticoso capirlo dal documento) che queste 15 minacce sono state selezionate non sulla base di dati, ma sulla base delle percezioni degli esperti di ENISA. Tutto ragionevole, ma da sapere.
ENISA e materiale di formazione tecnica
Ho notato la recente pubblicazione di ENISA del materiale di formazione tecnica "Introduction to network forensics".
Andando a vedere di cosa si tratta, ho visto che il materiale è pubblicato insieme a tante altre cose in una pagina "Online training material":
- https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational.
Mi sembra tutto molto interessante e pertanto lo segnalo.
Andando a vedere di cosa si tratta, ho visto che il materiale è pubblicato insieme a tante altre cose in una pagina "Online training material":
- https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational.
Mi sembra tutto molto interessante e pertanto lo segnalo.
ENISA e IoT
ENISA (l'agenzia europea per la sicurezza informatica) ha pubblicato negli anni alcuni documenti e raccomandazioni per l'IoT.
In una pagina web è possibile accedere alle raccomandazioni per gli ambiti finora trattati (città, automobili, industria, aeroporti, ospedali). Queste raccomandazioni possono anche essere scaricate in formato Excel.
La pagina "ENISA Good practices for IoT and Smart Infrastructures Tool":
- https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures/iot/good-practices-for-iot-and-smart-infrastructures-tool
In una pagina web è possibile accedere alle raccomandazioni per gli ambiti finora trattati (città, automobili, industria, aeroporti, ospedali). Queste raccomandazioni possono anche essere scaricate in formato Excel.
La pagina "ENISA Good practices for IoT and Smart Infrastructures Tool":
- https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures/iot/good-practices-for-iot-and-smart-infrastructures-tool
mercoledì 30 gennaio 2019
Articolo sulle assicurazioni IT
Roberto Gallotti (mio papà!) mi ha segnalato un articolo del The Economist dal titolo "The market for cyber-insurance is growing":
- https://www.economist.com/finance-and-economics/2019/01/26/the-market-for-cyber-insurance-is-growing.
La sostanza è che il mercato delle assicurazioni IT (o cyber-insurance) è ancora immaturo.
Ne avevo scritto già prima del 2011, poi nel 2011 e poi, grazie ad uno studio di ENISA, nel 2012 (http://blog.cesaregallotti.it/2012/08/assicurazioni-e-sicurezza-informatica.html). Nulla è cambiato, neanche quelli che, senza aver studiato l'argomento, continuano a promuovere assicurazioni ancora inadeguate.
- https://www.economist.com/finance-and-economics/2019/01/26/the-market-for-cyber-insurance-is-growing.
La sostanza è che il mercato delle assicurazioni IT (o cyber-insurance) è ancora immaturo.
Ne avevo scritto già prima del 2011, poi nel 2011 e poi, grazie ad uno studio di ENISA, nel 2012 (http://blog.cesaregallotti.it/2012/08/assicurazioni-e-sicurezza-informatica.html). Nulla è cambiato, neanche quelli che, senza aver studiato l'argomento, continuano a promuovere assicurazioni ancora inadeguate.
lunedì 28 gennaio 2019
Pubblicata la nuova ISO/IEC 27008
E' stata pubblicata a gennaio 2019 la nuova versione della ISO/IEC 27008 dal titolo "Guidelines for the assessment of information security controls":
- https://www.iso.org/standard/67397.html.
La precedente versione era la ISO/IEC 27008:2011. Questa è stata indicata come "revisione maggiore", anche perché ora si basa sui controlli della ISO/IEC 27002:2013.
Questo standard non mi piace perché in alcuni punti coglie l'occasione per "migliorare" la ISO/IEC 27002.
- https://www.iso.org/standard/67397.html.
La precedente versione era la ISO/IEC 27008:2011. Questa è stata indicata come "revisione maggiore", anche perché ora si basa sui controlli della ISO/IEC 27002:2013.
Questo standard non mi piace perché in alcuni punti coglie l'occasione per "migliorare" la ISO/IEC 27002.
Pubblicata la nuova ISO/IEC 27018
E' stata pubblicata a gennaio 2019 la nuova versione della ISO/IEC 27018 dal titolo "Code of practice for PII protection in public clouds acting as PII processors":
- https://www.iso.org/standard/76559.html.
La precedente versione era la ISO/IEC 27018:2014 e questa nuova versione è indicata come "revisione minore" e sembra dovuta al solo fatto che ci fossero dei riferimenti incrociati sbagliati (questo è quello che ho trovato scritto nella "giustificazione per la revisione").
Ricordo che questa norma riporta controlli privacy che possono essere usati per estendere quelli di sicurezza della ISO/IEC 27001 e ottenere una certificazione rispetto alla ISO/IEC 27001 "estesa" con la ISO/IEC 27018. È applicabile ai fornitori di servizi cloud pubblici, che agiscono con ruolo di responsabili (e non titolari!).
- https://www.iso.org/standard/76559.html.
La precedente versione era la ISO/IEC 27018:2014 e questa nuova versione è indicata come "revisione minore" e sembra dovuta al solo fatto che ci fossero dei riferimenti incrociati sbagliati (questo è quello che ho trovato scritto nella "giustificazione per la revisione").
Ricordo che questa norma riporta controlli privacy che possono essere usati per estendere quelli di sicurezza della ISO/IEC 27001 e ottenere una certificazione rispetto alla ISO/IEC 27001 "estesa" con la ISO/IEC 27018. È applicabile ai fornitori di servizi cloud pubblici, che agiscono con ruolo di responsabili (e non titolari!).
giovedì 24 gennaio 2019
Cassazione: accesso a Facebook con le credenziali della moglie
Luca De Grazia mi ha segnalato, con il titolo "Condannato per essere entrato nel profilo Facebook della moglie e aver fotografato una chat", una sentenza della Cassazione.
Il commento sintetico mi pare dica tutto: "Evidente, secondo i Giudici, l'interferenza compiuta dal marito ai danni della vita privata della consorte. Irrilevante il fatto che le credenziali di accesso fossero state fornite tempo addietro dalla donna al marito".
Segnalo questo articolo (il primo che ho trovato):
- http://www.studiolegalezuco.it/accesso-abusivo-sistema-informatico-615-ter-profilo-facebook-conoscenza-credenziali-cassazione-penale-2905-2019/.
Mi pare interessante, anche perché ritorna sul caso in cui una persona condivide le proprie password con un'altra. Anche questo caso ci insegna che è sempre una cattiva idea.
Il commento sintetico mi pare dica tutto: "Evidente, secondo i Giudici, l'interferenza compiuta dal marito ai danni della vita privata della consorte. Irrilevante il fatto che le credenziali di accesso fossero state fornite tempo addietro dalla donna al marito".
Segnalo questo articolo (il primo che ho trovato):
- http://www.studiolegalezuco.it/accesso-abusivo-sistema-informatico-615-ter-profilo-facebook-conoscenza-credenziali-cassazione-penale-2905-2019/.
Mi pare interessante, anche perché ritorna sul caso in cui una persona condivide le proprie password con un'altra. Anche questo caso ci insegna che è sempre una cattiva idea.
mercoledì 23 gennaio 2019
Google multata in Francia per 50 milioni per mancato rispetto del GDPR
Una prima multa milionaria per il mancato rispetto del GDPR. In questo caso, il Garante francese ha multato Google perché Android non presenta chiaramente i consensi necessari per il trattamento dei dati.
Un articolo in italiano dal titolo "Consenso alla privacy poco chiaro, in Francia multa da 50 milioni di euro per Google":
- https://www.lastampa.it/2019/01/21/tecnologia/consenso-alla-privacy-poco-chiaro-in-francia-multa-da-milioni-di-euro-per-google-aDmrdULxnqJU2oMdLJeBsI/pagina.html.
Un articolo in inglese dal titolo "GDPR: Google hit with €50 million fine by French data protection watchdog":
- https://www.zdnet.com/article/gdpr-google-hit-with-eur50-million-fine-by-french-data-protection-watchdog/.
Un articolo in italiano dal titolo "Consenso alla privacy poco chiaro, in Francia multa da 50 milioni di euro per Google":
- https://www.lastampa.it/2019/01/21/tecnologia/consenso-alla-privacy-poco-chiaro-in-francia-multa-da-milioni-di-euro-per-google-aDmrdULxnqJU2oMdLJeBsI/pagina.html.
Un articolo in inglese dal titolo "GDPR: Google hit with €50 million fine by French data protection watchdog":
- https://www.zdnet.com/article/gdpr-google-hit-with-eur50-million-fine-by-french-data-protection-watchdog/.
Dipendente che usa registrazioni per scopi difensivi
Questa mattina un cliente mi ha fatto una domanda per cui sono dovuto andare a ricercare questa notizia di Filodiritto dal titolo "Cassazione Civile: è illegittimo il licenziamento del dipendente che utilizza le registrazioni fonografiche occulte per scopi difensivi":
- https://www.filodiritto.com/news/2018/licenziamento-cassazione-civile-illegittimo-il-licenziamento-del-dipendente-che-utilizza-le-registrazioni-fonografiche.html.
Penso che possa di essere interesse anche per i miei lettori.
Mi ha stupito il fatto che la sentenza faccia riferimento al GDPR. Infatti mi sembrava dovesse essere escluso in quanto non "trattamento interamente o parzialmente automatizzato di dati personali" o "di trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi" e, anzi, "attività a carattere esclusivamente personale". Sicuramente ha ragione la Cassazione.
- https://www.filodiritto.com/news/2018/licenziamento-cassazione-civile-illegittimo-il-licenziamento-del-dipendente-che-utilizza-le-registrazioni-fonografiche.html.
Penso che possa di essere interesse anche per i miei lettori.
Mi ha stupito il fatto che la sentenza faccia riferimento al GDPR. Infatti mi sembrava dovesse essere escluso in quanto non "trattamento interamente o parzialmente automatizzato di dati personali" o "di trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi" e, anzi, "attività a carattere esclusivamente personale". Sicuramente ha ragione la Cassazione.
martedì 15 gennaio 2019
Foto dei figli sui social network
Da un tweet di @a_oliveri, segnalo questo articolo dal titolo "Foto sui social dei figli minorenni, i genitori rischiano fino a 10mila euro di multa":
- https://www.repubblica.it/tecnologia/2018/01/08/news/multa_foto_figli_social-186077784/.
Credo che queste vicende dicano tanto sulla cultura del "non abbiamo segreti per nessuno; anzi... facciamo vedere a tutti i fatti nostri!". Questa cultura va capita da chi si occupa di sicurezza delle informazioni e di privacy, perché si concretizza in violazioni di dati.
- https://www.repubblica.it/tecnologia/2018/01/08/news/multa_foto_figli_social-186077784/.
Credo che queste vicende dicano tanto sulla cultura del "non abbiamo segreti per nessuno; anzi... facciamo vedere a tutti i fatti nostri!". Questa cultura va capita da chi si occupa di sicurezza delle informazioni e di privacy, perché si concretizza in violazioni di dati.
giovedì 10 gennaio 2019
Sensibilizzazione 04 - Materiale NCSC
Dark Reading Weekly segnala che lo statunitense National Counterintelligence and Security Center (NCSC) ha messo online del materiale di sensibilizzazione:
- https://www.dni.gov/index.php/ncsc-how-we-work/ncsc-know-the-risk-raise-your-shield/ncsc-awareness-materials.
I video mi sembrano molto interessanti. Non proprio divertentissimi, ma interessanti. Il resto del materiale mi sembra di difficile interpretazione (io, perlomeno, faccio fatica a capirlo). Tutto è in inglese, ma può isprirare inziative in italiano (per chi ne avesse voglia).
- https://www.dni.gov/index.php/ncsc-how-we-work/ncsc-know-the-risk-raise-your-shield/ncsc-awareness-materials.
I video mi sembrano molto interessanti. Non proprio divertentissimi, ma interessanti. Il resto del materiale mi sembra di difficile interpretazione (io, perlomeno, faccio fatica a capirlo). Tutto è in inglese, ma può isprirare inziative in italiano (per chi ne avesse voglia).
mercoledì 9 gennaio 2019
Differenze tra sicurezza IT e sicurezza ICS (e non solo)
Da un tweet di @yvetteagostini, segnalo questa breve riflessione dal titolo "IT+OT Cyber security experts?":
- lnkd.in/eE5j5qs.
In sostanza dice che chi si occupa di sicurezza informatica (orientata alla difesa di riservatezza, integrità e disponibilità) non può riutilizzare gli stessi concetti alla sicurezza industriale (sicurezza per OT o Operational technology o per ICS o Industrial Control Systems, di cui fanno parte gli SCADA). Infatti la sicurezza per OT si concentra sulla difesa di sicurezza fisica (safety), affidabilità (reliability) e produttività (productivity). A maggior ragione, non è pensabile una roba come la "convergenza di sicurezza IT e OT".
Non sono molto d'accordo (per esempio perché sono convinto che la sicurezza IT debba anche considerare la produttività e la sicurezza OT debba anche considerare la riservatezza; gli altri parametri sono sovrapponibili), ma trovo istruttivo questo sottolineare la differenza culturale tra le due materie.
È innegabile che, per affrontare bene una materia, è necessario capirne la cultura di fondo. Questo l'ho visto, per esempio, quando ho affrontato la qualità dopo essermi dedicato alla sicurezza delle informazioni e poi, nella mia crescita professionale, sono ritornato alla sicurezza delle informazioni e poi alla gestione dei servizi, alla continuità operativa, alla privacy, eccetera. Ogni materia ha le sue peculiarità e queste vanno capite e apprezzate prima di farle "convergere".
È anche per questi motivi che ho sempre cercato di non fare elenchi di correlazione tra norme sulla sicurezza (ISO/IEC 27001), sulla gestione dei servizi (ISO/IEC 20000-1), sulla privacy e altro. Ed è anche per questi motivi che evito l'uso dell'espressione "cybersecurity", visto che è usato in modo molto vago, per includere o escludere la sicurezza IT o OT, a seconda dell'interlocutore.
- lnkd.in/eE5j5qs.
In sostanza dice che chi si occupa di sicurezza informatica (orientata alla difesa di riservatezza, integrità e disponibilità) non può riutilizzare gli stessi concetti alla sicurezza industriale (sicurezza per OT o Operational technology o per ICS o Industrial Control Systems, di cui fanno parte gli SCADA). Infatti la sicurezza per OT si concentra sulla difesa di sicurezza fisica (safety), affidabilità (reliability) e produttività (productivity). A maggior ragione, non è pensabile una roba come la "convergenza di sicurezza IT e OT".
Non sono molto d'accordo (per esempio perché sono convinto che la sicurezza IT debba anche considerare la produttività e la sicurezza OT debba anche considerare la riservatezza; gli altri parametri sono sovrapponibili), ma trovo istruttivo questo sottolineare la differenza culturale tra le due materie.
È innegabile che, per affrontare bene una materia, è necessario capirne la cultura di fondo. Questo l'ho visto, per esempio, quando ho affrontato la qualità dopo essermi dedicato alla sicurezza delle informazioni e poi, nella mia crescita professionale, sono ritornato alla sicurezza delle informazioni e poi alla gestione dei servizi, alla continuità operativa, alla privacy, eccetera. Ogni materia ha le sue peculiarità e queste vanno capite e apprezzate prima di farle "convergere".
È anche per questi motivi che ho sempre cercato di non fare elenchi di correlazione tra norme sulla sicurezza (ISO/IEC 27001), sulla gestione dei servizi (ISO/IEC 20000-1), sulla privacy e altro. Ed è anche per questi motivi che evito l'uso dell'espressione "cybersecurity", visto che è usato in modo molto vago, per includere o escludere la sicurezza IT o OT, a seconda dell'interlocutore.
Bufale su Internet
Penso che le bufale (o "fake news", come si usa dire oggi in inglese) siano un argomento non proprio pertinente il mio mestiere, ma comunque interessante.
Infatti siamo testimoni di bufale relative alle misure di sicurezza o adempimenti inesistenti (o non più inesistenti). Siamo anche testimoni di paure ingiustificate su possibili attacchi quasi impossibili (inclusi i terremoti a Milano) e di sottovalutazione di attacchi molto più probabili (come quelli su alcuni servizi accessibili dal web).
E' per questo che segnalo qualche link che @sramakk ha condiviso su Twitter sulle bufale su Wikipedia (forse in questi giorni avrà notato qualche esempio o avrà incontrato qualcuno troppo entusiasta di Wikipedia). Uno è di uno che è riuscito a far circolare false citazioni (sperando che a sua volta non sia una bufala):
- https://www.wired.it/internet/2014/01/15/come-ho-fregato-tg-politici-e-giornali-con-wikipedia/.
Un altro è su alcune bufale particolarmente significative:
- https://www.ilpost.it/2015/04/18/wikipedia-affidabilita/.
Più o meno negli stessi giorni, ho notato anche questo tweet di @Chronotope che suggeriva un articolo dal titolo "How Much of the Internet Is Fake? Turns Out, a Lot of It, Actually", dedicato al fatto che sono create misure, utenze e contenuti solo per generare numeri utili alla pubblicità (e al denaro, ovviamente):
- https://nymag.com/intelligencer/2018/12/how-much-of-the-internet-is-fake.html.
E sempre negli stessi giorni ho visto un tweet sulla propaganda politica e sull'uso distorto dei canali di comunicazione (la stessa foto, innocente, usata in più di 180 articoli razzisti!):
- https://twitter.com/bknsty/status/1081954569196879872.
Infatti siamo testimoni di bufale relative alle misure di sicurezza o adempimenti inesistenti (o non più inesistenti). Siamo anche testimoni di paure ingiustificate su possibili attacchi quasi impossibili (inclusi i terremoti a Milano) e di sottovalutazione di attacchi molto più probabili (come quelli su alcuni servizi accessibili dal web).
E' per questo che segnalo qualche link che @sramakk ha condiviso su Twitter sulle bufale su Wikipedia (forse in questi giorni avrà notato qualche esempio o avrà incontrato qualcuno troppo entusiasta di Wikipedia). Uno è di uno che è riuscito a far circolare false citazioni (sperando che a sua volta non sia una bufala):
- https://www.wired.it/internet/2014/01/15/come-ho-fregato-tg-politici-e-giornali-con-wikipedia/.
Un altro è su alcune bufale particolarmente significative:
- https://www.ilpost.it/2015/04/18/wikipedia-affidabilita/.
Più o meno negli stessi giorni, ho notato anche questo tweet di @Chronotope che suggeriva un articolo dal titolo "How Much of the Internet Is Fake? Turns Out, a Lot of It, Actually", dedicato al fatto che sono create misure, utenze e contenuti solo per generare numeri utili alla pubblicità (e al denaro, ovviamente):
- https://nymag.com/intelligencer/2018/12/how-much-of-the-internet-is-fake.html.
E sempre negli stessi giorni ho visto un tweet sulla propaganda politica e sull'uso distorto dei canali di comunicazione (la stessa foto, innocente, usata in più di 180 articoli razzisti!):
- https://twitter.com/bknsty/status/1081954569196879872.
domenica 6 gennaio 2019
GDPR: verificata dal Garante la conformità dei Codici deontologici
Il Garante ha aggiornato i codici deontologici per allinearli al GDPR:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9069732.
Oggi si chiamano "Regole deontologiche". Se ho capito correttamente, non riportano novità rispetto alle precedenti versioni.
Per i più scrupolosi, la notizia è accompagnata da riflessioni sul fatto che non è stata avviata una consultazione pubblica.
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9069732.
Oggi si chiamano "Regole deontologiche". Se ho capito correttamente, non riportano novità rispetto alle precedenti versioni.
Per i più scrupolosi, la notizia è accompagnata da riflessioni sul fatto che non è stata avviata una consultazione pubblica.
Guide per avviare collaborazioni in materia di sicurezza IT
Il National Cyber Security Centre (NCSC) dei Paesi Bassi ha pubblicato delle guide per migliorare le collaborazioni settoriali, geografiche o di filiera in materia di sicurezza informatica:
- https://www.ncsc.nl/english/cooperation.
Questo può essere un ulteriore tassello per l'applicazione della Direttiva NIS (la notizia l'ho ricevuta da un tweet di @enisa_eu). Mi chiedo quanto questo argomento sarà sviluppato. In Italia abbiamo, come elemento positivo, una storia di distretti industriali da cui attingere. Penso però che, alla fine, a meno che qualche Pubblica amministrazione (come già succede in alcuni casi) non promuova alcune collaborazioni, i grandi fornitori di servizi IT metteranno sul mercato i loro servizi di SOC "generalisti".
Sono curioso di vedere come andranno le cose.
- https://www.ncsc.nl/english/cooperation.
Questo può essere un ulteriore tassello per l'applicazione della Direttiva NIS (la notizia l'ho ricevuta da un tweet di @enisa_eu). Mi chiedo quanto questo argomento sarà sviluppato. In Italia abbiamo, come elemento positivo, una storia di distretti industriali da cui attingere. Penso però che, alla fine, a meno che qualche Pubblica amministrazione (come già succede in alcuni casi) non promuova alcune collaborazioni, i grandi fornitori di servizi IT metteranno sul mercato i loro servizi di SOC "generalisti".
Sono curioso di vedere come andranno le cose.
Guida ETSI per un SOC
Franco Vincenzo Ferrari di DNV GL mi ha segnalato che ETSI ha pubblicato la ETSI GS ISI 007 V1.1.1 (2018-12) dal titolo "Information Security Indicators (ISI); Guidelines for building and operating a secured Security Operations Center (SOC)":
- https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=50920.
Questo documento è importante perché la Direttiva NIS (recepita dal nostro D. Lgs. 65 del 2018) richiede ai fornitori di servizi essenziali di attivare processi di rilevazione, trattamento e segnalazione degli incidenti di sicurezza informatica, spesso compito di un SOC.
Personalmente, non credo che la lettura di una Linea guida come questa possa insegnare veramente come realizzare e operare un SOC (per questo ci sono sicuramente validi libri), ma è certamente un ottimo riferimento.
- https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=50920.
Questo documento è importante perché la Direttiva NIS (recepita dal nostro D. Lgs. 65 del 2018) richiede ai fornitori di servizi essenziali di attivare processi di rilevazione, trattamento e segnalazione degli incidenti di sicurezza informatica, spesso compito di un SOC.
Personalmente, non credo che la lettura di una Linea guida come questa possa insegnare veramente come realizzare e operare un SOC (per questo ci sono sicuramente validi libri), ma è certamente un ottimo riferimento.
sabato 5 gennaio 2019
Guida alla sicurezza IT dell'US Dept. of Health and Human Services
Il SANS NewsBites del 4 gennaio (www.sans.org) segnala la pubblicazione della serie di documenti "Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients" da parte dell'US Dept. of Health and Human Services:
- https://www.phe.gov/Preparedness/planning/405d/Pages/hic-practices.aspx.
Un commento di un curatore del SANS segnala che questa guida è un cambio di direzione perché si basa sulle "buone pratiche", non sul "rischio". Secondo molti è un male, ma secondo me è un bene, fino ad un certo punto. Come dice lo stesso curatore del SANS NewsBites, per una vera valutazione del rischio sono necessari tempo e competenze (oltre che soldi) e spesso i risultati non sono poi così strabilianti. Allora ben venga un elenco di "buone pratiche" su cui è possibile ragionare e non un vago richiamo (come oggi va di moda) alla valutazione del rischio senza una seria valutazione delle soluzioni oggi disponibili.
E' vero che domani le soluzioni saranno diverse, ma almeno qualcuno ci spiega quelle di oggi.
A dire il vero, non mi sembra che questa guida presenti cose particolarmente innovative o relative alla sanità (persino la "Cybersecurity Practice #9: Medical Device Security" non mi è sembrata particolarmente significativa). Però confesso di non averla letta con particolare attenzione.
- https://www.phe.gov/Preparedness/planning/405d/Pages/hic-practices.aspx.
Un commento di un curatore del SANS segnala che questa guida è un cambio di direzione perché si basa sulle "buone pratiche", non sul "rischio". Secondo molti è un male, ma secondo me è un bene, fino ad un certo punto. Come dice lo stesso curatore del SANS NewsBites, per una vera valutazione del rischio sono necessari tempo e competenze (oltre che soldi) e spesso i risultati non sono poi così strabilianti. Allora ben venga un elenco di "buone pratiche" su cui è possibile ragionare e non un vago richiamo (come oggi va di moda) alla valutazione del rischio senza una seria valutazione delle soluzioni oggi disponibili.
E' vero che domani le soluzioni saranno diverse, ma almeno qualcuno ci spiega quelle di oggi.
A dire il vero, non mi sembra che questa guida presenti cose particolarmente innovative o relative alla sanità (persino la "Cybersecurity Practice #9: Medical Device Security" non mi è sembrata particolarmente significativa). Però confesso di non averla letta con particolare attenzione.
sabato 22 dicembre 2018
Garante privacy e aggiornamenti sulle autorizzazioni generali
Il Garante privacy ha avviato i lavori relativi agli aggiornamenti sulle autorizzazioni generali. La notizia sulla newsletter fa il punto delle autorizzazioni che non sono più valide ("hanno cessato completamente i loro effetti"):
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9069012.
Il Provvedimento (doc. web 9068972), invece, fa il punto su quelli che risultano compatibili con il GDPR e prevede di avviare una consultazione pubblica per aggiornarle:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9068972.
Quindi: siamo ancora all'idea di bozze. Ci saranno i soliti che si agiteranno, ma in realtà ci sarà da aspettare.
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9069012.
Il Provvedimento (doc. web 9068972), invece, fa il punto su quelli che risultano compatibili con il GDPR e prevede di avviare una consultazione pubblica per aggiornarle:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9068972.
Quindi: siamo ancora all'idea di bozze. Ci saranno i soliti che si agiteranno, ma in realtà ci sarà da aspettare.
Penale per Facebook per ritardo nella riattivazione di un account sospeso immotivatamente
Luca De Grazia mi ha informato di un'interessante sentenza: Facebook è stata punita perché disabilitò un'utenza senza assicurarle un minimo di diritto di difesa.
Luca De Grazia mi ha segnalato l'articolo su Quotidiano Giuridico:
- http://www.quotidianogiuridico.it/documents/2018/12/20/sospensione-immotivata-dell-account-penale-per-facebook-in-caso-di-ritardo-nella-riattivazione#.
Segnalo altri due articoli sulla medesima questione. Uno è giornalistico da Italia Oggi:
- https://www.italiaoggi.it/news/stop-alle-censure-immotivate-da-parte-di-facebook-2321752.
Un altro è più tecnico, da Studio Cataldi:
- https://www.studiocataldi.it/articoli/32919-facebook-non-puo-disattivare-un-account-senza-motivo.asp.
Luca De Grazia mi ha segnalato l'articolo su Quotidiano Giuridico:
- http://www.quotidianogiuridico.it/documents/2018/12/20/sospensione-immotivata-dell-account-penale-per-facebook-in-caso-di-ritardo-nella-riattivazione#.
Segnalo altri due articoli sulla medesima questione. Uno è giornalistico da Italia Oggi:
- https://www.italiaoggi.it/news/stop-alle-censure-immotivate-da-parte-di-facebook-2321752.
Un altro è più tecnico, da Studio Cataldi:
- https://www.studiocataldi.it/articoli/32919-facebook-non-puo-disattivare-un-account-senza-motivo.asp.
venerdì 21 dicembre 2018
NIST Risk management framework
Il NIST ha pubblicato la rev. 2 del SP 800-37 dal titolo "Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy":
- https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final.
Solitamente apprezzo le pubblicazioni del NIST, ma questa mi pare un rifacimento di cose vecchie. In particolare ripropone una valutazione del rischio basata sugli asset senza ulteriori riflessioni.
Dal NIST, poi, speravo di ricevere un maggior numero di esempi, che invece non ci sono.
Come pragmatismo, infine, non posso non notare quanto si aggrovigli sui concetti di "autorizzazione", dedicandoci anche due appendici per un totale di 32 pagine. Se ho capito correttamente, si tratta di "approvazione del rischio residuo e del piano di trattamento" e, quindi, parte delle riflessioni riguardano le responsabilità dei sistemi, visto che spesso si intrecciano in forme non facilmente discernibili.
- https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final.
Solitamente apprezzo le pubblicazioni del NIST, ma questa mi pare un rifacimento di cose vecchie. In particolare ripropone una valutazione del rischio basata sugli asset senza ulteriori riflessioni.
Dal NIST, poi, speravo di ricevere un maggior numero di esempi, che invece non ci sono.
Come pragmatismo, infine, non posso non notare quanto si aggrovigli sui concetti di "autorizzazione", dedicandoci anche due appendici per un totale di 32 pagine. Se ho capito correttamente, si tratta di "approvazione del rischio residuo e del piano di trattamento" e, quindi, parte delle riflessioni riguardano le responsabilità dei sistemi, visto che spesso si intrecciano in forme non facilmente discernibili.
giovedì 20 dicembre 2018
Cyber lexicon
Enrico Luigi Toso mi ha segnalato questo Cyber Lexicon:
- http://www.fsb.org/2018/11/cyber-lexicon/.
E' stato preparato dall'FSB, quindi è indirizzato al settore finanziario. Però può essere di interesse per tutti.
- http://www.fsb.org/2018/11/cyber-lexicon/.
E' stato preparato dall'FSB, quindi è indirizzato al settore finanziario. Però può essere di interesse per tutti.
mercoledì 19 dicembre 2018
Sicurezza nei sistemi missilistici USA
Giulio Boero su LinkedIn mi ha consigliato questa notizia dal lungo titolo "Security Controls at DoD Facilities for Protecting Ballistic Missile Defense System Technical Information DODIG-2019-034":
- http://www.dodig.mil/reports.html/Article/1713611/security-controls-at-dod-facilities-for-protecting-ballistic-missile-defense-sy/.
Gli ispettori del US Department of Defense (DOD) Office of Inspector General (OIG) hanno elencato le carenze in materia di sicurezza informatica presso l'US ballistic missile defense systems (BMDS).
In sintesi:
- non è presente un meccanismo di autenticazione a 2 fattori;
- le vulnerabilità di rete non sono state mitigate;
- i rack non sono chiusi a chiave;
- i media rimovibili non sono sufficientemente monitorati e protetti;
- le trasmissioni non sono cifrate;
- non è attivo un IDS sulla rete classificata;
- non sono disponibili giustificazioni scritte per elevare i privilegi degli utenti.
Nulla di nuovo o di specifico. Certamente alcune cose fanno paura.
Però segnalo che tutto manca di contesto. Per esempio: i rack non sono chiusi a chiave, ma l'accesso al data centre è controllato? quali vulnerabilità di rete non sono state mitigate e si tratta di vulnerabilità visibili all'esterno della rete?
Alcune cose, però, sono ingiustificabili, come per esempio l'assenza di 2FA e di trasmissioni cifrate.
Insomma: notizia che mi ha impressionato soprattutto perché vedo che negli USA rendono pubbliche queste cose.
- http://www.dodig.mil/reports.html/Article/1713611/security-controls-at-dod-facilities-for-protecting-ballistic-missile-defense-sy/.
Gli ispettori del US Department of Defense (DOD) Office of Inspector General (OIG) hanno elencato le carenze in materia di sicurezza informatica presso l'US ballistic missile defense systems (BMDS).
In sintesi:
- non è presente un meccanismo di autenticazione a 2 fattori;
- le vulnerabilità di rete non sono state mitigate;
- i rack non sono chiusi a chiave;
- i media rimovibili non sono sufficientemente monitorati e protetti;
- le trasmissioni non sono cifrate;
- non è attivo un IDS sulla rete classificata;
- non sono disponibili giustificazioni scritte per elevare i privilegi degli utenti.
Nulla di nuovo o di specifico. Certamente alcune cose fanno paura.
Però segnalo che tutto manca di contesto. Per esempio: i rack non sono chiusi a chiave, ma l'accesso al data centre è controllato? quali vulnerabilità di rete non sono state mitigate e si tratta di vulnerabilità visibili all'esterno della rete?
Alcune cose, però, sono ingiustificabili, come per esempio l'assenza di 2FA e di trasmissioni cifrate.
Insomma: notizia che mi ha impressionato soprattutto perché vedo che negli USA rendono pubbliche queste cose.
martedì 18 dicembre 2018
Sicurezza da dilettanti
Bruce Schneier, nell'ultimo numero di Crypto-Gram, ha pubblicato un breve articolo dal titolo "Worst-Case Thinking Breeds Fear and Irrationality":
https://www.schneier.com/blog/archives/2018/11/worst-case_thin_1.html.
Ha colto l'idea da una notizia da Brighton: un tizio vede un adulto e una bambina e chiama la polizia dicendo di aver visto un adulto rapire una bambina; la polizia interviene con tutto l'armamentario del caso e poi scoprire che si trattava di un padre con la propria figlia.
Ultimamente sto notando l'ansia eccessiva intorno ai bambini e non mi stupisce che ci siano persone che o ne approfittano o dimostrano ulteriore ansia.
Io rifletto che le statistiche sono poche (pare che negli USA si parli di 105 casi all'anno; ma non ho trovato ricerche che diano dettagli sulle età, sui diversi tipi di sparizione, sulla certezza delle cause di sparizione, eccetera) e quasi nessuno legge le poche a disposizione; crescono le notizie false, i conseguenti allarmi falsi e la successiva ansia ingiustificata. Questo succede anche nella sicurezza delle informazioni (e lo si è visto con la "corsa al GDPR").
Bruce Schneier conclude dicendo che se ci si rivolge ai dilettanti, non bisogna stupirsi se poi si fa una sicurezza da dilettanti. Mi sembra un'ulteriore riflessione degna di nota.
https://www.schneier.com/blog/archives/2018/11/worst-case_thin_1.html.
Ha colto l'idea da una notizia da Brighton: un tizio vede un adulto e una bambina e chiama la polizia dicendo di aver visto un adulto rapire una bambina; la polizia interviene con tutto l'armamentario del caso e poi scoprire che si trattava di un padre con la propria figlia.
Ultimamente sto notando l'ansia eccessiva intorno ai bambini e non mi stupisce che ci siano persone che o ne approfittano o dimostrano ulteriore ansia.
Io rifletto che le statistiche sono poche (pare che negli USA si parli di 105 casi all'anno; ma non ho trovato ricerche che diano dettagli sulle età, sui diversi tipi di sparizione, sulla certezza delle cause di sparizione, eccetera) e quasi nessuno legge le poche a disposizione; crescono le notizie false, i conseguenti allarmi falsi e la successiva ansia ingiustificata. Questo succede anche nella sicurezza delle informazioni (e lo si è visto con la "corsa al GDPR").
Bruce Schneier conclude dicendo che se ci si rivolge ai dilettanti, non bisogna stupirsi se poi si fa una sicurezza da dilettanti. Mi sembra un'ulteriore riflessione degna di nota.
sabato 15 dicembre 2018
Guida per la sicurezza informatica sulle navi
Dal SANS NewsBites del 14 dicembre, segnalo la notizia della pubblicazione, del documento "The guidelines on cyber security onboard ships":
- https://iumi.com/news/blog/bimco-the-guidelines-on-cyber-security-onboard-ships.
L'articolo di ZDnet suggerito dal SANS NewsBites si concentra troppo sugli incidenti registrati negli ultimi anni:
- https://www.zdnet.com/article/ships-infected-with-ransomware-usb-malware-worms/.
L'esercizio sugli attacchi è interessante non tanto per l'impatto giornalistico, ma perché evidenzia lo sforzo di analisi fatto. Questo sforzo si riflette anche sulla descrizione delle misure e sulle altre parti del documento, che ripetono sì le "solite cose", ma ben personalizzate per l'ambiente di riferimento. Questo include una breve riflessione sulla differenza tra i sistemi informatici tradizionali (IT system) e quelli industriali o, nel caso, della nave (Operational system o OT system).
Segnalo poi, accanto alla completezza, la sinteticità del documento: 56 pagine.
- https://iumi.com/news/blog/bimco-the-guidelines-on-cyber-security-onboard-ships.
L'articolo di ZDnet suggerito dal SANS NewsBites si concentra troppo sugli incidenti registrati negli ultimi anni:
- https://www.zdnet.com/article/ships-infected-with-ransomware-usb-malware-worms/.
L'esercizio sugli attacchi è interessante non tanto per l'impatto giornalistico, ma perché evidenzia lo sforzo di analisi fatto. Questo sforzo si riflette anche sulla descrizione delle misure e sulle altre parti del documento, che ripetono sì le "solite cose", ma ben personalizzate per l'ambiente di riferimento. Questo include una breve riflessione sulla differenza tra i sistemi informatici tradizionali (IT system) e quelli industriali o, nel caso, della nave (Operational system o OT system).
Segnalo poi, accanto alla completezza, la sinteticità del documento: 56 pagine.
giovedì 13 dicembre 2018
Pentesting
Pentesting (con un piccolo e divertente gioco di parole):
- https://nymag.com/strategist/article/best-pens-gel-ballpoint-rollerball-felt-fountain.html.
E' vero: non c'entra niente con le notizie che do di solito. Però è divertente.
- https://nymag.com/strategist/article/best-pens-gel-ballpoint-rollerball-felt-fountain.html.
E' vero: non c'entra niente con le notizie che do di solito. Però è divertente.
OWASP per applicazioni per dispositivi mobili
OWASP ha recentemente pubblicato due documenti interessanti sulla sicurezza delle applicazioni per dispositivi mobili. Sono gratuiti e si possono trovare sul sito di OWASP:
- https://www.owasp.org/index.php/OWASP_Mobile_Security_Testing_Guide.
Segnalo in particolare il pdf per la "Mobile Security Testing Guide (MSTG)" - 1.1.0 Release (406 pagine):
- https://github.com/OWASP/owasp-mstg/releases.
La "Mobile App Security Requirements and Verification" è ora alla versione 1.1 ed è di più rapida lettura (30 pagine). Si può scaricare direttamente dal sito di OWAS (dalla prima pagina indicata in questo post).
Le tabelle della "Mobile App Security Requirements and Verification" sono disponibili anche in Excel:
- https://github.com/OWASP/owasp-mstg/tree/master/Checklists.
- https://www.owasp.org/index.php/OWASP_Mobile_Security_Testing_Guide.
Segnalo in particolare il pdf per la "Mobile Security Testing Guide (MSTG)" - 1.1.0 Release (406 pagine):
- https://github.com/OWASP/owasp-mstg/releases.
La "Mobile App Security Requirements and Verification" è ora alla versione 1.1 ed è di più rapida lettura (30 pagine). Si può scaricare direttamente dal sito di OWAS (dalla prima pagina indicata in questo post).
Le tabelle della "Mobile App Security Requirements and Verification" sono disponibili anche in Excel:
- https://github.com/OWASP/owasp-mstg/tree/master/Checklists.
Sviluppo sicuro: tipi di scansione
Segnalo questo articolo su ICT Security Magazine dal titolo "Sviluppo sicuro del codice… 4 semplici domande a 3 strati di una cipolla":
- https://www.ictsecuritymagazine.com/articoli/sviluppo-sicuro-del-codice-4-semplici-domande-a-3-strati-di-una-cipolla/.
Mi pare che questo articolo faccia chiarezza sulle 3 analisi di sicurezza del codice:
- scansione statica del codice, da fare con strumenti automatici in ambiente di sviluppo e test;
- scansione dinamica del codice, da fare con strumenti parzialmente automatici in ambiente di test;
- penetration test, da fare con vari strumenti in ambiente di produzione.
Mi piacciono le argomentazioni proposte, anche se mi rimangono alcune domande:
- la scansione dinamica va fatta coinvolgendo specialisti o può essere fatta dagli stessi sviluppatori (osservando che i PT rientrano nel primo caso)?
- quali strumenti sono oggi ritenuti più interessanti per le scansioni statiche e dinamiche?
- https://www.ictsecuritymagazine.com/articoli/sviluppo-sicuro-del-codice-4-semplici-domande-a-3-strati-di-una-cipolla/.
Mi pare che questo articolo faccia chiarezza sulle 3 analisi di sicurezza del codice:
- scansione statica del codice, da fare con strumenti automatici in ambiente di sviluppo e test;
- scansione dinamica del codice, da fare con strumenti parzialmente automatici in ambiente di test;
- penetration test, da fare con vari strumenti in ambiente di produzione.
Mi piacciono le argomentazioni proposte, anche se mi rimangono alcune domande:
- la scansione dinamica va fatta coinvolgendo specialisti o può essere fatta dagli stessi sviluppatori (osservando che i PT rientrano nel primo caso)?
- quali strumenti sono oggi ritenuti più interessanti per le scansioni statiche e dinamiche?
martedì 11 dicembre 2018
Executive Perspectives on Top Risks for 2019 di Protiviti
Segnalo questo documento di Protiviti dal titolo "Executive Perspectives on Top Risks for 2019":
- https://www.protiviti.com/IT-it/insights/protiviti-top-risks-survey.
Io ho molte perplessità di fronte a queste indagini, visto che sono palesemente guidate. Inoltre trovo eccessivamente pomposo il sottotitolo "Key Issues Being Discussed in the Boardroom and C-Suite".
Però trovo interessante il lavoro preparatorio di selezione di 30 rischi da sottoporre agli intervistati. Sono convinto si tratti di una selezione condotta tra i vari consulenti e che quindi sia maggiormente significativa delle successive analisi sui 10 rischi "più significativi".
Molti sono rischi non operativi (per la qualità o la sicurezza delle informazioni), ma fanno parte del "contesto" di cui tanto si parla con gli standard relativi ai sistemi di gestione e basati sull'HLS (ISO 9001:2015, ISO/IEC 27001:2013, ISO/IEC 20000-1:2018 e così via). Consiglio quindi una lettura della tabella 1 (pagine 4, 5 e 6).
- https://www.protiviti.com/IT-it/insights/protiviti-top-risks-survey.
Io ho molte perplessità di fronte a queste indagini, visto che sono palesemente guidate. Inoltre trovo eccessivamente pomposo il sottotitolo "Key Issues Being Discussed in the Boardroom and C-Suite".
Però trovo interessante il lavoro preparatorio di selezione di 30 rischi da sottoporre agli intervistati. Sono convinto si tratti di una selezione condotta tra i vari consulenti e che quindi sia maggiormente significativa delle successive analisi sui 10 rischi "più significativi".
Molti sono rischi non operativi (per la qualità o la sicurezza delle informazioni), ma fanno parte del "contesto" di cui tanto si parla con gli standard relativi ai sistemi di gestione e basati sull'HLS (ISO 9001:2015, ISO/IEC 27001:2013, ISO/IEC 20000-1:2018 e così via). Consiglio quindi una lettura della tabella 1 (pagine 4, 5 e 6).
lunedì 10 dicembre 2018
Linea Guida EDPB sull'applicazione territoriale del GDPR
Questa "Guidelines 3/2018 on the territorial scope of the GDPR" dell'EDPB la segnalo perché l'applicazione territoriale del GDPR mi ha dato da pensare in un paio di occasioni:
- https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-32018-territorial-scope-gdpr-article-3_en.
Al momento è solo in inglese.
Non l'ho ancora letta, ma il testo di accompagnamento del nostro Garante copre i miei punti di attenzione:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9065814#3.
- https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-32018-territorial-scope-gdpr-article-3_en.
Al momento è solo in inglese.
Non l'ho ancora letta, ma il testo di accompagnamento del nostro Garante copre i miei punti di attenzione:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9065814#3.
giovedì 6 dicembre 2018
Articolo sulla blockchain
Mi ero ripromesso di non occuparmi più di blockchain, dopo aver visto che si tratta, nei casi che riguardano il mio lavoro, di una bufala. Ma come fare? Troppi articoli e troppa pubblicità; troppi venditori di fumo o, per chi apprezza l'importazione, di snakeoil.
Allora rilancio con un articolo dal programmatico titolo di "La blockchain è una tecnologia scadente e una pessima idea per il futuro":
- https://thevision.com/innovazione/blockchain/.
Segnalo ulteriori perplessità su questa tecnologia, riportate da un altro articolo che avevo segnalato ad agosto
(https://medium.com/@kaistinchcombe/decentralized-and-trustless-crypto-paradise-is-actually-a-medieval-hellhole-c1ca122efdec).
Allora rilancio con un articolo dal programmatico titolo di "La blockchain è una tecnologia scadente e una pessima idea per il futuro":
- https://thevision.com/innovazione/blockchain/.
Segnalo ulteriori perplessità su questa tecnologia, riportate da un altro articolo che avevo segnalato ad agosto
(https://medium.com/@kaistinchcombe/decentralized-and-trustless-crypto-paradise-is-actually-a-medieval-hellhole-c1ca122efdec).
mercoledì 5 dicembre 2018
Pubblicata la ISO/IEC 29101 "Privacy architecture framework"
E' stata pubblicata la seconda edizione della ISO/IEC 29101 "Privacy architecture framework":
- https://www.iso.org/standard/75293.html.
Questa versione del 2018 sostituisce quella del 2013.
Nella prefazione è detto che la modifica più significativa è l'eliminazione dell'Appendice D, dove i "controlli privacy" erano correlati ai "controlli della ISO/IEC 27001:2005".
Personalmente pensavo che la versione del 2013 fosse una roba inutile. Continuo a pensarlo della versione del 2018.
- https://www.iso.org/standard/75293.html.
Questa versione del 2018 sostituisce quella del 2013.
Nella prefazione è detto che la modifica più significativa è l'eliminazione dell'Appendice D, dove i "controlli privacy" erano correlati ai "controlli della ISO/IEC 27001:2005".
Personalmente pensavo che la versione del 2013 fosse una roba inutile. Continuo a pensarlo della versione del 2018.
Regolamento UE contro il geo-blocking
Ivo Trotti di Kantar Italia, visto il mio interesse in materia di accessibilità, mi ha segnalato questo:
- https://www.consorzionetcomm.it/notizie/entra-in-vigore-il-regolamento-sul-geoblocking.kl.
E' quindi possibile accedere alla pagina ufficiale della UE sulla materia:
- https://ec.europa.eu/digital-single-market/en/faq/geo-blocking.
In sostanza, da quando entrerà in vigore il Regolamento, non sarà più possibile, per i siti di uno Stato membro, bloccare l'accesso o i pagamenti a utenti di altri Stati membri, pratica che è invece vista come discriminante.
- https://www.consorzionetcomm.it/notizie/entra-in-vigore-il-regolamento-sul-geoblocking.kl.
E' quindi possibile accedere alla pagina ufficiale della UE sulla materia:
- https://ec.europa.eu/digital-single-market/en/faq/geo-blocking.
In sostanza, da quando entrerà in vigore il Regolamento, non sarà più possibile, per i siti di uno Stato membro, bloccare l'accesso o i pagamenti a utenti di altri Stati membri, pratica che è invece vista come discriminante.
lunedì 3 dicembre 2018
Linee guida ENISA per gli audit NISD
Franco Vincenzo Ferrari di DNV GL mi ha segnalato questa pubblicazione di ENISA dal titolo "Guidelines on assessing DSP security and OES compliance with the NISD security requirements":
- https://www.enisa.europa.eu/publications/guidelines-on-assessing-dsp-security-and-oes-compliance-with-the-nisd-security-requirements.
Si tratta di una guida per gli audit interni per i "Digital service provider" (DSP) e gli operatori di servizi essenziali (OES) che vogliono conformarsi ai requisiti della Direttiva NIS e per gli audit che potrebbero condurre le autorità nazionali (national competent authorities o NCA o, in Italia, le "autorità competenti NIS") sempre sulle società a cui è indirizzata la NIS.
Della NIS ne parlai tempo fa:
- http://blog.cesaregallotti.it/2018/06/direttiva-nis-in-vigore-veramente.html.
Ho trovato alcuni punti confusi qua e là (mi chiedo, per esempio, perché usare la definizione di audit dell'ISACA, che non richiama la conformità, e non altre, perché confondano metodologie di valutazione del rischio come il CRAMM con altri documenti come la ISO/IEC 27001; perché citino il CRAMM non più mantenuto dal 2003 o perché usino il termine "ecosistema"). Però ho trovato molto interessanti i due elenchi di misure da considerare perché presentano un elenco di misure che possiamo considerare come "minime" nell'ambito NIS.
Confermo quello che ho scritto: apprezzo questo lavoro che parte dalle basi e ne suggerisco la consultazione.
- https://www.enisa.europa.eu/publications/guidelines-on-assessing-dsp-security-and-oes-compliance-with-the-nisd-security-requirements.
Si tratta di una guida per gli audit interni per i "Digital service provider" (DSP) e gli operatori di servizi essenziali (OES) che vogliono conformarsi ai requisiti della Direttiva NIS e per gli audit che potrebbero condurre le autorità nazionali (national competent authorities o NCA o, in Italia, le "autorità competenti NIS") sempre sulle società a cui è indirizzata la NIS.
Della NIS ne parlai tempo fa:
- http://blog.cesaregallotti.it/2018/06/direttiva-nis-in-vigore-veramente.html.
Ho trovato alcuni punti confusi qua e là (mi chiedo, per esempio, perché usare la definizione di audit dell'ISACA, che non richiama la conformità, e non altre, perché confondano metodologie di valutazione del rischio come il CRAMM con altri documenti come la ISO/IEC 27001; perché citino il CRAMM non più mantenuto dal 2003 o perché usino il termine "ecosistema"). Però ho trovato molto interessanti i due elenchi di misure da considerare perché presentano un elenco di misure che possiamo considerare come "minime" nell'ambito NIS.
Confermo quello che ho scritto: apprezzo questo lavoro che parte dalle basi e ne suggerisco la consultazione.
venerdì 30 novembre 2018
Libro "European Data Protection" di IAPP
Per prepararmi all'esame CIPP/E dell'IAPP ho letto il libro ufficiale dell'IAPP.
Ne consiglio la lettura perché mi pare scritto bene e in modo pragmatico, anche se si tratta sempre di un libro teorico.
Riporto il commento di Pierfrancesco Maistrello: "Mi ha insegnato cose che non sapevo, e ogni tanto fa sintesi concettuali che in italia o te le fai da solo, se hai tempo e sei capace, o te le scordi".
Penso che in Italia si paghino gli interventi troppo concettuali di questi anni.
Comunque... il libro si trova in versione digitale e cartacea sul sito dell'IAPP:
- (digitale) https://iapp.org/store/books/a191a000002FJK5AAO/;
- (cartacea) https://iapp.org/store/books/a191a000002F94uAAC/.
Ne consiglio la lettura perché mi pare scritto bene e in modo pragmatico, anche se si tratta sempre di un libro teorico.
Riporto il commento di Pierfrancesco Maistrello: "Mi ha insegnato cose che non sapevo, e ogni tanto fa sintesi concettuali che in italia o te le fai da solo, se hai tempo e sei capace, o te le scordi".
Penso che in Italia si paghino gli interventi troppo concettuali di questi anni.
Comunque... il libro si trova in versione digitale e cartacea sul sito dell'IAPP:
- (digitale) https://iapp.org/store/books/a191a000002FJK5AAO/;
- (cartacea) https://iapp.org/store/books/a191a000002F94uAAC/.
sabato 24 novembre 2018
PEC o SERCQ? Scenari dal 1 gennaio 2019
Franco Vincenzo Ferrari di DNV GL mi ha segnalato questo articolo dal titolo "Dalla PEC al domicilio digitale, il passaggio nel 2019: ecco che può succedere":
- https://www.agendadigitale.eu/documenti/fatturazione-elettronica/dalla-pec-al-domicilio-digitale-il-passaggio-nel-2019-ecco-che-puo-succedere/.
In sostanza, la PEC non sarà più regolamentata ai sensi dell'articolo 48 del CAD. Quindi ci sarà una migrazione verso il Servizio di recapito certificato (SERC), regolamentato invece dal Regolamento eIDAS.
Nell'articolo sono presentati dei possibili scenari futuri. A mio parere, per chi non deve qualificarsi esperto della materia, è importante sapere che ci sarà una migrazione ed evitare, quando ci sarà, di fare la faccia stupita.
- https://www.agendadigitale.eu/documenti/fatturazione-elettronica/dalla-pec-al-domicilio-digitale-il-passaggio-nel-2019-ecco-che-puo-succedere/.
In sostanza, la PEC non sarà più regolamentata ai sensi dell'articolo 48 del CAD. Quindi ci sarà una migrazione verso il Servizio di recapito certificato (SERC), regolamentato invece dal Regolamento eIDAS.
Nell'articolo sono presentati dei possibili scenari futuri. A mio parere, per chi non deve qualificarsi esperto della materia, è importante sapere che ci sarà una migrazione ed evitare, quando ci sarà, di fare la faccia stupita.
giovedì 22 novembre 2018
Violazione delle PEC
Riporto da Wired una notizia dal titolo "Un attacco hacker ha violato 500mila caselle pec in Italia":
- https://www.wired.it/internet/web/2018/11/20/italia-attacco-hacker-account-mail-pec/.
Su ICT Business è detto che l'attacco è iniziato il 12 novembre:
http://www.ictbusiness.it/cont/news/attacco-alla-pec-italiana-colpite-500mila-caselle/42536/1.html.
Altro articolo del 15 novembre (letto su Twitter, da @Il_Vitruviano):
- http://www.dagospia.com/rubrica-29/cronache/hacker-all-rsquo-assalto-tribunali-interrotti-servizi-informatici-187938.htm.
Il nostro "vice direttore per la cybersecurity del Dipartimento delle informazioni per la sicurezza (Dis)" Roberto Baldoni suggerisce di cambiare la password della nostra PEC, ma questo è un consiglio che tecnicamente non mi pare significativo: se il mio provider di PEC non è stato compromesso (sembra sia stato compromesso quello di TIM), perché dovrei cambiare la password?
E poi ancora: se è vero che l'attacco non era molto raffinato, quali vulnerabilità sono state sfruttate?
- https://www.wired.it/internet/web/2018/11/20/italia-attacco-hacker-account-mail-pec/.
Su ICT Business è detto che l'attacco è iniziato il 12 novembre:
http://www.ictbusiness.it/cont/news/attacco-alla-pec-italiana-colpite-500mila-caselle/42536/1.html.
Altro articolo del 15 novembre (letto su Twitter, da @Il_Vitruviano):
- http://www.dagospia.com/rubrica-29/cronache/hacker-all-rsquo-assalto-tribunali-interrotti-servizi-informatici-187938.htm.
Il nostro "vice direttore per la cybersecurity del Dipartimento delle informazioni per la sicurezza (Dis)" Roberto Baldoni suggerisce di cambiare la password della nostra PEC, ma questo è un consiglio che tecnicamente non mi pare significativo: se il mio provider di PEC non è stato compromesso (sembra sia stato compromesso quello di TIM), perché dovrei cambiare la password?
E poi ancora: se è vero che l'attacco non era molto raffinato, quali vulnerabilità sono state sfruttate?
Studio ENISA su Industria 4.0
ENISA ha pubblicato uno studio dal titolo "Good Practices for Security of Internet of Things in the context of Smart Manufacturing":
- https://www.enisa.europa.eu/publications/good-practices-for-security-of-iot.
La lettura è decisamente interessante anche se, a mio parere, il documento poteva essere più sintetico. Rimane una lettura molto consigliata, non solo per chi si occupa di IoT o di Industria.
- https://www.enisa.europa.eu/publications/good-practices-for-security-of-iot.
La lettura è decisamente interessante anche se, a mio parere, il documento poteva essere più sintetico. Rimane una lettura molto consigliata, non solo per chi si occupa di IoT o di Industria.
Elenco del Garante dei trattamenti che necessitano di PIA
L'11 ottobre il Garante italiano ha pubblicato l'elenco dei trattamenti che necessitano di PIA:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9058979.
L'elenco recepisce i commenti dell'EDPB del 26 settembre.
Non mi pare introduca trattamenti imprevisti. Alcuni però li trovo scritti in modo lievemente ambiguo e secondo me in alcuni casi si scateneranno dei dibattiti.
L'elenco fa spesso riferimento alla linea guida WP 248. Si può trovare in questa pagina (per l'italiano è necessario aprire lo zip cliccando su "Available language versions"):
- https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236.
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9058979.
L'elenco recepisce i commenti dell'EDPB del 26 settembre.
Non mi pare introduca trattamenti imprevisti. Alcuni però li trovo scritti in modo lievemente ambiguo e secondo me in alcuni casi si scateneranno dei dibattiti.
L'elenco fa spesso riferimento alla linea guida WP 248. Si può trovare in questa pagina (per l'italiano è necessario aprire lo zip cliccando su "Available language versions"):
- https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236.
venerdì 16 novembre 2018
Accredia e i laboratori di vulnerability assessment
Accredia ha lanciato un servizio di accreditamento dei laboratori di vulnerability assessment rispetto alla ISO/IEC 17025 (grazie a Franco Vincenzo Ferrari di DNV GL per la segnalazione):
- https://www.accredia.it/servizio-accreditato/vulnerability-assessment/.
I laboratori possono essere certificati ISO 9001 o ISO/IEC 27001, ma possono anche essere direttamente accreditati dall'Organismo di accreditamento, che in Italia è Accredia.
L'esigenza viene principalmente dall'attuazione italiana del Regolamento eIDAS e di altri servizi fiduciari quali per esempio quelli relativi alla conservazione dei documenti. Come troppo spesso succede, AgID e Accredia hanno voluto essere più bravi di quelli bravi e imporre l'uso di laboratori accreditati per l'esecuzione di vulnerability assessment presso i fornitori di servizi fiduciari.
Potevano ovviamente richiedere, ai fornitori di servizi di vulnerability assessment, le "sole" certificazioni ISO 9001 o ISO/IEC 27001. Invece hanno voluto richiedere l'accreditamento come laboratori.
Vedremo come sarà recepito questo nuovo schema, gestito direttamente da Accredia.
- https://www.accredia.it/servizio-accreditato/vulnerability-assessment/.
I laboratori possono essere certificati ISO 9001 o ISO/IEC 27001, ma possono anche essere direttamente accreditati dall'Organismo di accreditamento, che in Italia è Accredia.
L'esigenza viene principalmente dall'attuazione italiana del Regolamento eIDAS e di altri servizi fiduciari quali per esempio quelli relativi alla conservazione dei documenti. Come troppo spesso succede, AgID e Accredia hanno voluto essere più bravi di quelli bravi e imporre l'uso di laboratori accreditati per l'esecuzione di vulnerability assessment presso i fornitori di servizi fiduciari.
Potevano ovviamente richiedere, ai fornitori di servizi di vulnerability assessment, le "sole" certificazioni ISO 9001 o ISO/IEC 27001. Invece hanno voluto richiedere l'accreditamento come laboratori.
Vedremo come sarà recepito questo nuovo schema, gestito direttamente da Accredia.
mercoledì 7 novembre 2018
Come spiare la CIA? Usando Google
Questo articolo di cui dà notizia il Sans NewsBites (l'avevo già visto su Twitter, ma in un momento di pigrizia) ha titolo "How did Iran find CIA spies? They Googled it":
- https://arstechnica.com/tech-policy/2018/11/how-did-iran-find-cia-spies-they-googled-it/.
In sostanza e se ho capito correttamente, dopo aver scoperto inizialmente come gli agenti della CIA comunicavano tra loro usando certi siti web, gli iraniani riuscivano a seguire le comunicazioni semplicamente usando Google.
Ancora una volta questo dimostra quanto siamo inconsapevoli della potenza delle tecnologie che usiamo e sarebbe quindi opportuno smettere di essere così ingenui.
- https://arstechnica.com/tech-policy/2018/11/how-did-iran-find-cia-spies-they-googled-it/.
In sostanza e se ho capito correttamente, dopo aver scoperto inizialmente come gli agenti della CIA comunicavano tra loro usando certi siti web, gli iraniani riuscivano a seguire le comunicazioni semplicamente usando Google.
Ancora una volta questo dimostra quanto siamo inconsapevoli della potenza delle tecnologie che usiamo e sarebbe quindi opportuno smettere di essere così ingenui.
Configurare i browser per la privacy
Dal Sans NewsBites del 7 novembre, ecco un articolo dal titolo "How to Lock Down What Websites Can Access on Your Computer":
- https://www.wired.com/story/how-to-lock-down-websites-permissions-access-webcam/.
La cosa interessante, come fa notare un commento del SANS, è che oggi o browser sono così complessi che hanno delle funzionalità per configurare delle funzionalità e che molto spesso poi queste cambiano, rendendo difficile la rincorsa.
- https://www.wired.com/story/how-to-lock-down-websites-permissions-access-webcam/.
La cosa interessante, come fa notare un commento del SANS, è che oggi o browser sono così complessi che hanno delle funzionalità per configurare delle funzionalità e che molto spesso poi queste cambiano, rendendo difficile la rincorsa.
martedì 6 novembre 2018
Le password peggiori del 2017
Come ogni anno, Splashdata pubblica le password peggiori:
https://www.teamsid.com/worst-passwords-2017-full-list/.
Lettura divertente, non troppo originale, ma da conoscere.
https://www.teamsid.com/worst-passwords-2017-full-list/.
Lettura divertente, non troppo originale, ma da conoscere.
Come diffondiamo le nostre informazioni
Segnalo questo tweet:
- https://twitter.com/stefanoepifani/status/1058700175634513921.
Ho notato in questi mesi quanto le persone siano paranoiche nella vita "reale" (io a scuola andavo da solo da quando ho 7 anni e Milano non era più sicura negli anni Settanta - Ottanta) e invece poco attente nella vita "social-virtuale" (confesso che aspetto con sempre maggiore impazienza la notizia di qualche furto in casa di quelli che si sentono in dovere di segnalare sempre dove sono).
A parte le mie considerazioni personali, è necessario ricordare come la cultura quotidiana ha poi impatti nella sicurezza delle informazioni.
- https://twitter.com/stefanoepifani/status/1058700175634513921.
Ho notato in questi mesi quanto le persone siano paranoiche nella vita "reale" (io a scuola andavo da solo da quando ho 7 anni e Milano non era più sicura negli anni Settanta - Ottanta) e invece poco attente nella vita "social-virtuale" (confesso che aspetto con sempre maggiore impazienza la notizia di qualche furto in casa di quelli che si sentono in dovere di segnalare sempre dove sono).
A parte le mie considerazioni personali, è necessario ricordare come la cultura quotidiana ha poi impatti nella sicurezza delle informazioni.
lunedì 5 novembre 2018
Mio articolo sulla nuova ISO/IEC 27005 "Information security risk management"
Segnalo questo mio articolo dal titolo "Nuova edizione della ISO/IEC 27005 "Information security risk management":
- https://www.ictsecuritymagazine.com/articoli/nuova-edizione-della-iso-iec-27005-information-security-risk-management/.
- https://www.ictsecuritymagazine.com/articoli/nuova-edizione-della-iso-iec-27005-information-security-risk-management/.
sabato 27 ottobre 2018
Attacchi ai fornitori di software
Dal SANS NewsBites del 26 ottobre, segnalo la notizia dal titolo "Two New Developer Supply Chain Attacks":
- https://www.sans.org/newsletters/newsbites/xx/85#2.
Sono due attacchi a software open source: i malintenzionati hanno modificato parti del codice. La cosa è ovviamente inquietante e mi pare sia difficile trovare contromisure (a meno di non promuovere il software proprietario, che però ha altri problemi).
Questa notizia me ne ricorda un'altra relativa alla filiera di fornitura IT: quella per cui alcuni microchip, prodotti in Cina, sono stati alterati inserendo dei dispositivi di intercettazione. Si trova nel numero precedente del SANS Newsbites:
- https://www.sans.org/newsletters/newsbites/xx/84.
La notizia originale era stata data da Bloomberg, ma molti pensano sia un falso (tra l'altro per rinforzare la voglia di autarchia dimostrata da parte degli statunitensi). Visto che ha fatto notizia, la segnalo:
- https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies.
- https://www.sans.org/newsletters/newsbites/xx/85#2.
Sono due attacchi a software open source: i malintenzionati hanno modificato parti del codice. La cosa è ovviamente inquietante e mi pare sia difficile trovare contromisure (a meno di non promuovere il software proprietario, che però ha altri problemi).
Questa notizia me ne ricorda un'altra relativa alla filiera di fornitura IT: quella per cui alcuni microchip, prodotti in Cina, sono stati alterati inserendo dei dispositivi di intercettazione. Si trova nel numero precedente del SANS Newsbites:
- https://www.sans.org/newsletters/newsbites/xx/84.
La notizia originale era stata data da Bloomberg, ma molti pensano sia un falso (tra l'altro per rinforzare la voglia di autarchia dimostrata da parte degli statunitensi). Visto che ha fatto notizia, la segnalo:
- https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies.
giovedì 11 ottobre 2018
Stato delle norme ISO/IEC 270xx - Ottobre 2018
La prima settimana di ottobre a Gjøvik (Norvegia) si è concluso l'incontro semestrale del ISO/IEC JTC 1 SC 27, ossia del comitato che si occupa della redazione delle norme della serie ISO/IEC 27000.
Non ho partecipato direttamente e quindi fornisco indicazioni tratte dai resoconti finali.
Per quanto riguarda i lavori sulle norme della privacy:
Per quanto riguarda le attività del WG 1, ossia quelle più strettamente collegate alla ISO/IEC 27001, segnalo le cose per me più interessanti:
Il WG 4, dedicato ad aspetti più tecnici della sicurezza, ha lavorato alla seconda bozza di lavoro della norma ISO/IEC 27030 dal titolo "Guidelines for security and privacy in Internet of Things (IoT)". La prima bozza era un documento sostanzialmente vuoto.
Altri documenti su cui ha lavorato il WG 4, che io ritengo interessanti, ma ancora in fase di bozza, sono:
Per quanto riguarda i partecipanti, so solo che al WG 1 (i gruppi sono 5 e il WG 1 è il più numeroso) hanno partecipato esperti e delegati da 29 Paesi. La delegazione italiana (per i soli WG 1 e WG 5) era composta da ben (!) tre persone.
Prossimo meeting: aprile 2019.
Non ho partecipato direttamente e quindi fornisco indicazioni tratte dai resoconti finali.
Per quanto riguarda i lavori sulle norme della privacy:
- la ISO/IEC 27552 (ossia lo standard che potrebbe essere quello su cui sarà basata la "certificazione GDPR") dovrebbe passare allo stato di DIS e quindi essere pubblicata a fine 2019;
- la ISO/IEC 27018 (Code of practice for PII protection in public clouds acting as PII processors) è stata aggiornata per allinearla alle altre norme uscite in questi anni e la pubblicazione della nuova versione è prevista per fine anno;
- per la l'ISO/IEC 29101 (Privacy Architecture Framework), la situazione è la medesima della ISO/IEC 27018;
- per la ISO/IEC 27550 (Privacy engineering for system life cycle processes) sono proseguiti i lavori.
Per quanto riguarda le attività del WG 1, ossia quelle più strettamente collegate alla ISO/IEC 27001, segnalo le cose per me più interessanti:
- avvio formale, con la prima bozza, dei lavori per la prossima versione della ISO/IEC 27002 sui controlli di sicurezza (a questo punto prevista non prima del 2021);
- ulteriore proseguimento dei lavori per la futura ISO/IEC 27005 sulla valutazione del rischio (i lavori sono ripartiti dalle discussioni preliminari);
- continuazione dei lavori per apportare correzioni alla ISO/IEC 27006, la norma per gli organismi che certificano ISO/IEC 27001;
- continuazione dei lavori per aggiornare la ISO/IEC 27013, ossia la norma che tratta delle relazioni tra ISO/IEC 27001 e 20000-1, visto il recente aggiornamento di quest'ultima;
- avvio dei lavori per un aggiornamento minore della ISO/IEC 27007, linea guida per la conduzione degli audit sulla ISO/IEC 27001, per allineamento alla ISO 19011:2018; pertanto partirà dallo stato di DIS per essere pubblicata ad autunno 2019 (ricordo che la ISO/IEC 27007 è stata aggiornata nel 2017 e tutte queste rilavorazioni di norme mi lasciano perplesso);
- passaggio a DIS (con possibile pubblicazione ad autunno 2019) della ISO/IEC 27102 sulle cyber-assicurazioni;
- sono proseguite le discussioni sull'utilità del SOA; dal rapporto dell'incontro capisco che il 75% dei partecipanti vuole mantenere nella ISO/IEC 27001 l'Annex A e il requisito sul SOA.
Il WG 4, dedicato ad aspetti più tecnici della sicurezza, ha lavorato alla seconda bozza di lavoro della norma ISO/IEC 27030 dal titolo "Guidelines for security and privacy in Internet of Things (IoT)". La prima bozza era un documento sostanzialmente vuoto.
Altri documenti su cui ha lavorato il WG 4, che io ritengo interessanti, ma ancora in fase di bozza, sono:
- aggiornamento della ISO/IEC 27031 sulla continuità operativa;
- aggiornamento della ISO/IEC 27032 sulla sicurezza Internet (era un documento dedicato alla Cybersecurity, tema ora demandato alle norme della serie 271xx);
- ISO/IEC 27045 sui big data.
Per quanto riguarda i partecipanti, so solo che al WG 1 (i gruppi sono 5 e il WG 1 è il più numeroso) hanno partecipato esperti e delegati da 29 Paesi. La delegazione italiana (per i soli WG 1 e WG 5) era composta da ben (!) tre persone.
Prossimo meeting: aprile 2019.
Mio articolo sulla nuova ISO/IEC 29100 "Privacy framework"
Avevo già scritto che è stato recentemente pubblicato un aggiornamento della ISO/IEC 29100 dal titolo "Privacy framework". Ho approfondito un po' la questione in questo articolo:
- https://www.ictsecuritymagazine.com/notizie/aggiornamento-della-iso-iec-29100-privacy-framework/.
- https://www.ictsecuritymagazine.com/notizie/aggiornamento-della-iso-iec-29100-privacy-framework/.
venerdì 28 settembre 2018
Articolo sulla nuova versione della ISO 19011 sugli audit
Un mio articolo dal titolo "Nuova versione della ISO 19011 sugli audit":
- https://www.ictsecuritymagazine.com/articoli/nuova-versione-della-iso-19011-sugli-audit/.
- https://www.ictsecuritymagazine.com/articoli/nuova-versione-della-iso-19011-sugli-audit/.
mercoledì 26 settembre 2018
Articolo "Nuova versione della ISO/IEC 20000-1"
Un mio articolo su ICT Security Magazine sulle novità della ISO/IEC 20000-1:2018, che sostituisce la ISO/IEC 20000-1:2011:
- https://www.ictsecuritymagazine.com/notizie/nuova-versione-della-iso-iec-20000-1/.
- https://www.ictsecuritymagazine.com/notizie/nuova-versione-della-iso-iec-20000-1/.
lunedì 17 settembre 2018
Nuova versione della ISO/IEC 20000-1
E' stata pubblicata la ISO/IEC 20000-1:2018 che sostituisce la versione del 2011:
- https://www.iso.org/standard/70636.html.
Per chi non lo sapesse, la ISO/IEC 20000-1 ha titolo "Service management system requirements" e rappresenta (mi scusino i puristi) la norma che permette di certificare l'adozione di ITIL da parte delle aziende.
Non l'ho ancora letta. So solo che è stata modificata per recepire l'HLS, ossia per essere impostata come le altre norme sui sistemi di gestione (per esempio, ISO 9001 e ISO/IEC 27001), con l'analisi del contesto, delle parti interessati, dei rischi e delle opportunità, eccetera.
- https://www.iso.org/standard/70636.html.
Per chi non lo sapesse, la ISO/IEC 20000-1 ha titolo "Service management system requirements" e rappresenta (mi scusino i puristi) la norma che permette di certificare l'adozione di ITIL da parte delle aziende.
Non l'ho ancora letta. So solo che è stata modificata per recepire l'HLS, ossia per essere impostata come le altre norme sui sistemi di gestione (per esempio, ISO 9001 e ISO/IEC 27001), con l'analisi del contesto, delle parti interessati, dei rischi e delle opportunità, eccetera.
domenica 16 settembre 2018
Sentenza del TAR e competenze dei DPO (Post scriptum)
Ulteriori considerazioni dopo il post sulla sentenza del TARI del Friuli Venezia Giulia sulle competenze del DPO:
- http://blog.cesaregallotti.it/2018/09/sentenza-del-tar-e-competenze-dei-dpo.html.
Post scriptum 1
Monica Perego ha scritto a me e ad altri quanto segue. Lo sottoscrivo pienamente.
"Trattare i temi privacy significa possedere un mix di competenze organizzative, legali e tecniche. Per le ultime due puoi ricorrere ad esperti sulla base delle specifiche esigenze. La prima è più on-off. Questo si comprende molto bene quando si fa analisi dei rischi. Io in aula lavoro sulla acquisizione delle competenze organizzative. Per quello che mi riguarda il DPO deve capirne di processi e di logiche di funzionamento delle organizzazioni. Il resto se lo prende all'esterno se non lo possiede."
Post scriptum 2
Con Monica Perego avevamo pensato a come dare maggior valore legale alla richiesta della certificazione Lead auditor ISO/IEC 27001. La soluzione ce la fornisce Accredia, con la sua linea guida "I riferimenti all'accreditamento e alla certificazione nelle richieste di offerta e nei bandi di gara" (al capitolo 6 ci sono esempi pratici e ricordo che Accredia usa il termine "ISMS Responsabile gruppo di audit"):
- http://www.accredia.it/news_detail.jsp?ID_NEWS=1711&areaNews=94>emplate=default.jsp.
Nota
Io il bando di gara oggetto della sentenza non l'ho letto. Ma mi sembra strano che la sentenza non chiarisca se il certificato LA 27001 era richiesto come sostituto di laurea.
- http://blog.cesaregallotti.it/2018/09/sentenza-del-tar-e-competenze-dei-dpo.html.
Post scriptum 1
Monica Perego ha scritto a me e ad altri quanto segue. Lo sottoscrivo pienamente.
"Trattare i temi privacy significa possedere un mix di competenze organizzative, legali e tecniche. Per le ultime due puoi ricorrere ad esperti sulla base delle specifiche esigenze. La prima è più on-off. Questo si comprende molto bene quando si fa analisi dei rischi. Io in aula lavoro sulla acquisizione delle competenze organizzative. Per quello che mi riguarda il DPO deve capirne di processi e di logiche di funzionamento delle organizzazioni. Il resto se lo prende all'esterno se non lo possiede."
Post scriptum 2
Con Monica Perego avevamo pensato a come dare maggior valore legale alla richiesta della certificazione Lead auditor ISO/IEC 27001. La soluzione ce la fornisce Accredia, con la sua linea guida "I riferimenti all'accreditamento e alla certificazione nelle richieste di offerta e nei bandi di gara" (al capitolo 6 ci sono esempi pratici e ricordo che Accredia usa il termine "ISMS Responsabile gruppo di audit"):
- http://www.accredia.it/news_detail.jsp?ID_NEWS=1711&areaNews=94>emplate=default.jsp.
Nota
Io il bando di gara oggetto della sentenza non l'ho letto. Ma mi sembra strano che la sentenza non chiarisca se il certificato LA 27001 era richiesto come sostituto di laurea.
Ampliata la Legge accessibilità alle app
E' stato pubblicato il D. Lgs. 106 del 2018 dal titolo "Riforma dell'attuazione della direttiva (UE) 2016/2102 relativa all'accessibilità dei siti web e delle applicazioni mobili degli enti pubblici":
- www.gazzettaufficiale.it/eli/id/2018/09/11/18G00133/sg.
Modifica la Legge 4 del 2004 sull'accessibilità agli strumenti informatici da parte delle persone con disabilità. La estende ai siti web e alle applicazioni mobili degli enti pubblici.
Mi pare una bella cosa (anche se non avevo capito che la precedente Legge non includeva i siti web).
- www.gazzettaufficiale.it/eli/id/2018/09/11/18G00133/sg.
Modifica la Legge 4 del 2004 sull'accessibilità agli strumenti informatici da parte delle persone con disabilità. La estende ai siti web e alle applicazioni mobili degli enti pubblici.
Mi pare una bella cosa (anche se non avevo capito che la precedente Legge non includeva i siti web).
Sentenza del TAR e competenze dei DPO
Una recente sentenza del TAR del Friuli Venezia Giulia ripropone la questione sulle competenze del DPO. Parto con il link diretto alla sentenza (grazie a Glauco Rampogna):
- https://www.giustizia-amministrativa.it/cdsintra/cdsintra/AmministrazionePortale/DocumentViewer/index.html?ddocname=5LLMWH2MBE2JVPC536FUMJHNYU&q=.
La discussione su LinkedIn è qui:
- https://www.linkedin.com/pulse/il-dpo-%C3%A8-un-professionista-del-diritto-i-diplomi-iso-balducci-romano/.
Come sempre ci sono giuristi che al termine "misure adeguate" pensano a qualche bel "protocollo", come finora hanno fatto per la 231 e per la privacy. Ci sono anche giuristi che non hanno ancora capito la differenza tra "designazione" e "autorizzazione" e "contratto". Ci sono anche giuristi che hanno inviato un "contratto di nomina a responsabile" al fornitore. E giuristi che NON rispondono agli interessati in modo chiaro, o fanno scrivere informative incomprensibili (alla faccia di quanto chiesto dal GDPR). Ci sono non-giuristi messi ugualmente male.
Detto questo, c'è chi ne sa più di me (EDPS) e ha scritto questo (grazie a Pierfrancesco Maistrello per averlo segnalato):
- https://edps.europa.eu/sites/edp/files/publication/10-10-14_dpo_standards_en.pdf.
Su LinkedIn ho letto i commenti di Riccardo Marchetti e Luca Lezzerini e concordo con loro. Riassumo: perché il DPO deve essere un giurista affiancato da tecnici e non viceversa?
Mia personale conclusione: i criteri imposti dal TAR (ossia dedurre che il DPO debba essere una persona con competenze prevalentemente giuridiche) sono buoni tanto quanto quelli originali. Solo che non è elegante che dei legali (con potere) dicono che un certo lavoro debba essere fatto da legali.
Il testo della sentenza mi ha ricordato alcune discussioni per cui c'è chi vede un conflitto di interessi tra DPO (che deve tutelare gli interessati) e il responsabile della sicurezza (che deve tutelare l'organizzazione). Non le condivido, anche perché la stessa discussione si basa sulla richiesta indipendenza del DPO. Come è noto, però, il DPO è pagato dal titolare e quindi la sua indipendenza è sempre incompleta (qui sto parlando di sostanza, nella teoria siamo tutti bravi a dire il contrario; vedo e vivo gli stessi problemi da anni con gli auditor "indipendenti").
Altri hanno commentato ricordando che il Titolare è responsabile delle proprie azioni e quindi non è compito del TAR discuterle. Condivido anche questa.
Sempre Glauco Rampogna ricorda alcuni punti: "si tenta di legittimare la separazione tra la conoscenza dell'applicazione delle misure di sicurezza e la tutela dei diritti dell'interessato, che invece il GDPR tende ad includere nel ruolo del DPO, a tutto vantaggio della parte giuridica. Il fatto poi di essere in ambito pubblico potrebbe spingere altri soggetti pubblici ad avallare questa tesi in altri ambiti, per un effetto a cascata".
- https://www.giustizia-amministrativa.it/cdsintra/cdsintra/AmministrazionePortale/DocumentViewer/index.html?ddocname=5LLMWH2MBE2JVPC536FUMJHNYU&q=.
La discussione su LinkedIn è qui:
- https://www.linkedin.com/pulse/il-dpo-%C3%A8-un-professionista-del-diritto-i-diplomi-iso-balducci-romano/.
Come sempre ci sono giuristi che al termine "misure adeguate" pensano a qualche bel "protocollo", come finora hanno fatto per la 231 e per la privacy. Ci sono anche giuristi che non hanno ancora capito la differenza tra "designazione" e "autorizzazione" e "contratto". Ci sono anche giuristi che hanno inviato un "contratto di nomina a responsabile" al fornitore. E giuristi che NON rispondono agli interessati in modo chiaro, o fanno scrivere informative incomprensibili (alla faccia di quanto chiesto dal GDPR). Ci sono non-giuristi messi ugualmente male.
Detto questo, c'è chi ne sa più di me (EDPS) e ha scritto questo (grazie a Pierfrancesco Maistrello per averlo segnalato):
- https://edps.europa.eu/sites/edp/files/publication/10-10-14_dpo_standards_en.pdf.
Su LinkedIn ho letto i commenti di Riccardo Marchetti e Luca Lezzerini e concordo con loro. Riassumo: perché il DPO deve essere un giurista affiancato da tecnici e non viceversa?
Mia personale conclusione: i criteri imposti dal TAR (ossia dedurre che il DPO debba essere una persona con competenze prevalentemente giuridiche) sono buoni tanto quanto quelli originali. Solo che non è elegante che dei legali (con potere) dicono che un certo lavoro debba essere fatto da legali.
Il testo della sentenza mi ha ricordato alcune discussioni per cui c'è chi vede un conflitto di interessi tra DPO (che deve tutelare gli interessati) e il responsabile della sicurezza (che deve tutelare l'organizzazione). Non le condivido, anche perché la stessa discussione si basa sulla richiesta indipendenza del DPO. Come è noto, però, il DPO è pagato dal titolare e quindi la sua indipendenza è sempre incompleta (qui sto parlando di sostanza, nella teoria siamo tutti bravi a dire il contrario; vedo e vivo gli stessi problemi da anni con gli auditor "indipendenti").
Altri hanno commentato ricordando che il Titolare è responsabile delle proprie azioni e quindi non è compito del TAR discuterle. Condivido anche questa.
Sempre Glauco Rampogna ricorda alcuni punti: "si tenta di legittimare la separazione tra la conoscenza dell'applicazione delle misure di sicurezza e la tutela dei diritti dell'interessato, che invece il GDPR tende ad includere nel ruolo del DPO, a tutto vantaggio della parte giuridica. Il fatto poi di essere in ambito pubblico potrebbe spingere altri soggetti pubblici ad avallare questa tesi in altri ambiti, per un effetto a cascata".
sabato 15 settembre 2018
I rischi dell'autenticazione a due fattori
Avevo scritto due post sull'autenticazione a due fattori (o 2FA):
- http://blog.cesaregallotti.it/2018/08/violazione-reddit-e-debolezze-della-2fa.html;
- http://blog.cesaregallotti.it/2018/08/violazione-reddit-e-debolezze-della-2fa_15.html.
Bruce Schneier ha segnalato un articolo dal titolo "Before You Turn On Two-Factor Authentication…" che riporta i rischi della 2FA:
- https://medium.com/@stuartschechter/before-you-turn-on-two-factor-authentication-27148cc5b9a1.
Ci ricorda quindi che ogni misura di sicurezza porta con se dei rischi e che la sua introduzione va sempre attentamente ponderata.
Per completezza, il post di Bruce Schneier è qui:
- https://www.schneier.com/blog/archives/2018/08/good_primer_on_.html.
- http://blog.cesaregallotti.it/2018/08/violazione-reddit-e-debolezze-della-2fa.html;
- http://blog.cesaregallotti.it/2018/08/violazione-reddit-e-debolezze-della-2fa_15.html.
Bruce Schneier ha segnalato un articolo dal titolo "Before You Turn On Two-Factor Authentication…" che riporta i rischi della 2FA:
- https://medium.com/@stuartschechter/before-you-turn-on-two-factor-authentication-27148cc5b9a1.
Ci ricorda quindi che ogni misura di sicurezza porta con se dei rischi e che la sua introduzione va sempre attentamente ponderata.
Per completezza, il post di Bruce Schneier è qui:
- https://www.schneier.com/blog/archives/2018/08/good_primer_on_.html.
mercoledì 12 settembre 2018
Pubblicata la UNI/PdR 43 per la certificazione GDPR
Fabio Guasconi di Bl4ck Swan e Glauco Rampogna mi hanno segnalato la pubblicazione delle UNI/PdR 43. Come scrive Fabio: "la prima ha una valenza di linea guida; la seconda esprime requisiti che POTREBBERO costituire la base per una certificazione ex articolo 42 del GDPR".
Sono disponibili gratuitamente:
- http://store.uni.com/catalogo/index.php/uni-pdr-43-1-2018.html
- http://store.uni.com/catalogo/index.php/uni-pdr-43-2-2018.html.
Le avevo già commentate quando furono pubblicate le bozze:
- http://blog.cesaregallotti.it/2018/05/privacy-bozza-di-prassi-uni-per-la.html.
Aggiungo solo che la prima parte risulta corretta rispetto alla versione che avevo criticato. Continuo però a pensare che sia inutile alla luce di altri contributi, a mio parere più autorevoli, oggi disponibili.
Sono disponibili gratuitamente:
- http://store.uni.com/catalogo/index.php/uni-pdr-43-1-2018.html
- http://store.uni.com/catalogo/index.php/uni-pdr-43-2-2018.html.
Le avevo già commentate quando furono pubblicate le bozze:
- http://blog.cesaregallotti.it/2018/05/privacy-bozza-di-prassi-uni-per-la.html.
Aggiungo solo che la prima parte risulta corretta rispetto alla versione che avevo criticato. Continuo però a pensare che sia inutile alla luce di altri contributi, a mio parere più autorevoli, oggi disponibili.
martedì 11 settembre 2018
IoT Devices security
Niccolò Castoldi (che ringrazio) mi ha segnalato questo documento dal titolo "CTIA Cybersecurity Certification Test Plan for IoT Devices". Il pdf si trova in questa pagina, sotto la rubrica "IoT Cybersecurity Certification Program":
- https://www.ctia.org/about-ctia/programs/certification-resources.
Il commento di Niccolò: "si tratta di una serie di controlli che la CTIA ha elaborato sulla base di molti altri standard e best practice; mi è sembrato ben fatto".
Sono d'accordo con Niccolò. Aggiungo che il documento riguarda solo i dispositivi, non anche gli altri elementi dell'architettura IoT (server o "cloud" e applicazioni per dispositivi mobili).
- https://www.ctia.org/about-ctia/programs/certification-resources.
Il commento di Niccolò: "si tratta di una serie di controlli che la CTIA ha elaborato sulla base di molti altri standard e best practice; mi è sembrato ben fatto".
Sono d'accordo con Niccolò. Aggiungo che il documento riguarda solo i dispositivi, non anche gli altri elementi dell'architettura IoT (server o "cloud" e applicazioni per dispositivi mobili).
Aggiornato il Codice privacy (parte 2)
Nel mio post precedente sul Dlgs 101 (http://blog.cesaregallotti.it/2018/09/aggiornato-il-codice-privacy.html) avevo scritto "ci sono molti aggiornamenti sui trattamenti specifici o relativi a specifici settori (ognuno deve quindi verificare quelli applicabili al proprio caso)".
Cerco quindi di elencare queste specificità:
Alla fine, nella maggior parte dei casi, il Codice privacy modificato non fornisce indicazioni utili e, per capire come agire da un punto di vista operativo, dovremo aspettare i provvedimenti o le regole deontologiche o i codici deontologici da parte del Garante.
Per questa veloce analisi mi sono basato sulla versione consolidata (e non ufficiale) del Codice privacy preparata da Francesco Paolo Micozzi di Array:
- https://www2.array.eu/it/nuovo-testo-codice-privacy/.
Cerco quindi di elencare queste specificità:
- Esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (articoli 2-bis, 2-sexies, 2-quinquiesdecies; dove è specificato cos'è l'interesse pubblico rilevante per cui si possono trattare dati di categorie particolari e dove è richiesto un Provvedimento specifico del Garante);
- Minorenni (articolo 2-quinquies);
- Trattamenti di dati genetici, biometrici e relativi alla salute (articolo 2-septies, che però richiede sia preparato un Provvedimento del Garante);
- Dati relativi a condanne penali e reati (articolo 2-octies, che secondo me complica inutilmente quanto già stabilito dall'articolo 6 del GDPR);
- Ragioni di giustizia (articolo 2-duodecies);
- Persone decedute (articolo 2-terdecies);
- Forze di Polizia (abrogati, sostanzialmente, gli articoli dal 53 al 57);
- Difesa e sicurezza dello Stato (articolo 58);
- Uso dei dati pubblici (articolo 61 che richiede regole deontologiche);
- Ambito sanitario (dall'articolo 75);
- Dati relativi a studenti (articolo 96);
- Ricerca scientifica o storica o a fini statistici (articolo 97 e seguenti; articolo 104 e seguenti; è promosso un altro codice deontologico);
- Rapporto di lavoro (articoli dal 111 al 115, dove sono ribadite cose note e dove sono richieste altre regole deontologiche);
- Assicurazioni (rimane solo l'articolo 120);
- Servizi di comunicazione elettronica (articoli dal 121);
- Giornalismo, libertà di informazione e di espressione (articolo 136 e seguenti e dove sono richieste altre regole deontologiche).
Alla fine, nella maggior parte dei casi, il Codice privacy modificato non fornisce indicazioni utili e, per capire come agire da un punto di vista operativo, dovremo aspettare i provvedimenti o le regole deontologiche o i codici deontologici da parte del Garante.
Per questa veloce analisi mi sono basato sulla versione consolidata (e non ufficiale) del Codice privacy preparata da Francesco Paolo Micozzi di Array:
- https://www2.array.eu/it/nuovo-testo-codice-privacy/.
lunedì 10 settembre 2018
Un breve articolo sulla assicurazioni di sicurezza IT
Breve articolo dal titolo "The rise of cybersecurity insurance":
- https://www.axios.com/cybersecurity-insurance-on-rise-companies-c2d2167e-9425-418e-bef9-6dfbc141deba.html.
Ribadisce cose già dette. L'elenco dei miei post l'avevo già fatto qui:
- http://blog.cesaregallotti.it/2016/10/assicurazioni-sulla-sicurezza-ict.html.
Qui sono presentati alcuni aggiornamenti che non fanno mai male.
- https://www.axios.com/cybersecurity-insurance-on-rise-companies-c2d2167e-9425-418e-bef9-6dfbc141deba.html.
Ribadisce cose già dette. L'elenco dei miei post l'avevo già fatto qui:
- http://blog.cesaregallotti.it/2016/10/assicurazioni-sulla-sicurezza-ict.html.
Qui sono presentati alcuni aggiornamenti che non fanno mai male.
sabato 8 settembre 2018
Correzione alla ISO/IEC 27011
E' stata pubblicata una correzione alla ISO/IEC 27011 dal titolo "Code ofvpractice for Information security controls based on ISO/IEC 27002 for telecommunications organizations":
- https://www.iso.org/standard/76487.html.
La correzione prevede solo la modifica del titolo del paragrafo 8.2.1 da "Classification guidelines" a "Classification of information". Non molto...
La correzione è visibile direttamente dalla pagina web di iso.org attraverso la "Preview".
La ISO/IEC 27011 presenta un elenco di controlli di sicurezza per gli operatori di servizi di telecomunicazione. Questi controlli sono in realtà un'estensione di quelli della ISO/IEC 27002.
- https://www.iso.org/standard/76487.html.
La correzione prevede solo la modifica del titolo del paragrafo 8.2.1 da "Classification guidelines" a "Classification of information". Non molto...
La correzione è visibile direttamente dalla pagina web di iso.org attraverso la "Preview".
La ISO/IEC 27011 presenta un elenco di controlli di sicurezza per gli operatori di servizi di telecomunicazione. Questi controlli sono in realtà un'estensione di quelli della ISO/IEC 27002.
mercoledì 5 settembre 2018
Aggiornato il Codice privacy
Con il D. Lgs. 101 del 2018, è stato aggiornato il D. Lgs. 196 del 2003 (Codice della privacy). Il D. Lgs. 101 si trova sul sito della Gazzetta ufficiale:
- www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg.
Ringrazio una mia anonima amica per la segnalazione. Devo però dire che in questi giorni ho visto troppa fibrillazione per l'attesa di questo D. Lgs., come non vedevo neanche quelli che facevano la schedina e aspettavano i risultati delle partite. E, una volta uscita la notizia, tutti a dire quanto sono stati veloci a fornirla (come fossero dei personaggi dei film sui giornalisti). Secondo me, troppi stanno perdendo il senso del nostro mestiere.
Detto questo: il D. Lgs. 196 modificato non è ancora disponibile su Normattiva, ma, per chi non lo sapesse, è quello il posto giusto dove guardare:
- http://www.normattiva.it/.
Il commento di Francesco Pizzetti su Agenda Digitale mi sembra utile (ma sicuramente in futuro usciranno altri articoli; prego tutti di prestare attenzione alla reale competenza di chi li scrive):
- https://www.agendadigitale.eu/sicurezza/privacy/delega-per-il-gdpr-i-punti-forti-e-deboli-un-primo-giudizio/.
Altro articolo (molto sintetico) è di Giusella Finocchiaro:
- http://www.studiolegalefinocchiaro.it/2018/08/10/il-sole-24-ore-privacy-protetta-da-sanzioni-penali/.
Io, dopo una prima lettura, mi sono segnato alcuni punti, ma evito di trattarli nel dettaglio: altri lo faranno in modo molto più approfondito. Darò in futuro qualche link se mi sembrerà interessante. Rimane però la regola: leggere prima direttamente la normativa (il testo consolidato quando sarà disponibile) e solo successivamente gli articoli di giornale o i post sui social network.
Ecco i miei punti:
- ci sono molti aggiornamenti sui trattamenti specifici o relativi a specifici settori (ognuno deve quindi verificare quelli applicabili al proprio caso), con anche richiami sulle norme deontologiche, i minorenni;
- sono fornite le definizioni di "comunicazione" e "diffusione" (dovrò rileggere il Codice privacy e il GDPR per verificare meglio se questo ha impatto per esempio nelle informative);
- in molti casi mi pare siano promossi provvedimenti del Garante con misure prescrittive, tornando indietro rispetto all'impostazione basata sulla valutazione di adeguatezza; infatti sono stabilite regole sul mantenimento in vigore dei codici di condotta, delle prescrizioni attualmente richieste dalle autorizzazioni generali (che quindi saranno eliminate come autorizzazioni, ma rimarranno come prescrizioni), dei provvedimenti generali; è quindi necessario controllare gli aggiornamenti sul sito del Garante; questo mi induce anche a non dare per morto, tra gli altri, il Provvedimento AdS (anche se avrei voluto farlo);
- segnalo l'autorizzazione all'uso di dati biometrici per i dispositivi di controllo degli accessi, i limiti ai diritti degli interessati (per esempio, se sono in contrasto con le normative anti-riciclaggio o alla protezione delle vittime di estorsione), i diritti riguardanti le persone decedute;
- continua a sorprendermi che sia necessaria una norma per ricordare che il titolare o il responsabile (intesi come organizzazioni) possono distribuire le responsabilità all'interno dell'organizzazione stessa;
- non mi pare sia stato modificato il comma 4 dell'articolo 130, che introduce il "consenso soft"; visto che ci sono difficoltà di interpretazione su "marketing diretto per legittimo interesse e non sulla base del consenso", speravo in qualcosa di diverso;
- introdotto un articolo un po' assurdo sull'obbligo, per i fornitori di trasmissione IT (e non dei servizi più evoluti), di fornire informazioni sui rischi di violazione della sicurezza della rete; dovremo vedere come sarà attuato;
- sono introdotte, come previsto, le sanzioni penali;
- la deroga alle sanzioni è formulata in modo curioso, vago e forse inutile (visto che il GDPR fornisce dei massimi e che il Garante non è l'unico a comminare sanzioni): "Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante tiene conto della fase di prima applicazione delle disposizioni sanzionatorie";
- come previsto, l'allegato B con le misure minime è stato eliminato.
Invito a segnalarmi errori, che sicuramente ci sono, o ulteriori considerazioni di tipo "pratico".
PS: Grazie, per avermi segnalato correzioni, a Stefano Posti.
- www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg.
Ringrazio una mia anonima amica per la segnalazione. Devo però dire che in questi giorni ho visto troppa fibrillazione per l'attesa di questo D. Lgs., come non vedevo neanche quelli che facevano la schedina e aspettavano i risultati delle partite. E, una volta uscita la notizia, tutti a dire quanto sono stati veloci a fornirla (come fossero dei personaggi dei film sui giornalisti). Secondo me, troppi stanno perdendo il senso del nostro mestiere.
Detto questo: il D. Lgs. 196 modificato non è ancora disponibile su Normattiva, ma, per chi non lo sapesse, è quello il posto giusto dove guardare:
- http://www.normattiva.it/.
Il commento di Francesco Pizzetti su Agenda Digitale mi sembra utile (ma sicuramente in futuro usciranno altri articoli; prego tutti di prestare attenzione alla reale competenza di chi li scrive):
- https://www.agendadigitale.eu/sicurezza/privacy/delega-per-il-gdpr-i-punti-forti-e-deboli-un-primo-giudizio/.
Altro articolo (molto sintetico) è di Giusella Finocchiaro:
- http://www.studiolegalefinocchiaro.it/2018/08/10/il-sole-24-ore-privacy-protetta-da-sanzioni-penali/.
Io, dopo una prima lettura, mi sono segnato alcuni punti, ma evito di trattarli nel dettaglio: altri lo faranno in modo molto più approfondito. Darò in futuro qualche link se mi sembrerà interessante. Rimane però la regola: leggere prima direttamente la normativa (il testo consolidato quando sarà disponibile) e solo successivamente gli articoli di giornale o i post sui social network.
Ecco i miei punti:
- ci sono molti aggiornamenti sui trattamenti specifici o relativi a specifici settori (ognuno deve quindi verificare quelli applicabili al proprio caso), con anche richiami sulle norme deontologiche, i minorenni;
- sono fornite le definizioni di "comunicazione" e "diffusione" (dovrò rileggere il Codice privacy e il GDPR per verificare meglio se questo ha impatto per esempio nelle informative);
- in molti casi mi pare siano promossi provvedimenti del Garante con misure prescrittive, tornando indietro rispetto all'impostazione basata sulla valutazione di adeguatezza; infatti sono stabilite regole sul mantenimento in vigore dei codici di condotta, delle prescrizioni attualmente richieste dalle autorizzazioni generali (che quindi saranno eliminate come autorizzazioni, ma rimarranno come prescrizioni), dei provvedimenti generali; è quindi necessario controllare gli aggiornamenti sul sito del Garante; questo mi induce anche a non dare per morto, tra gli altri, il Provvedimento AdS (anche se avrei voluto farlo);
- segnalo l'autorizzazione all'uso di dati biometrici per i dispositivi di controllo degli accessi, i limiti ai diritti degli interessati (per esempio, se sono in contrasto con le normative anti-riciclaggio o alla protezione delle vittime di estorsione), i diritti riguardanti le persone decedute;
- continua a sorprendermi che sia necessaria una norma per ricordare che il titolare o il responsabile (intesi come organizzazioni) possono distribuire le responsabilità all'interno dell'organizzazione stessa;
- non mi pare sia stato modificato il comma 4 dell'articolo 130, che introduce il "consenso soft"; visto che ci sono difficoltà di interpretazione su "marketing diretto per legittimo interesse e non sulla base del consenso", speravo in qualcosa di diverso;
- introdotto un articolo un po' assurdo sull'obbligo, per i fornitori di trasmissione IT (e non dei servizi più evoluti), di fornire informazioni sui rischi di violazione della sicurezza della rete; dovremo vedere come sarà attuato;
- sono introdotte, come previsto, le sanzioni penali;
- la deroga alle sanzioni è formulata in modo curioso, vago e forse inutile (visto che il GDPR fornisce dei massimi e che il Garante non è l'unico a comminare sanzioni): "Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante tiene conto della fase di prima applicazione delle disposizioni sanzionatorie";
- come previsto, l'allegato B con le misure minime è stato eliminato.
Invito a segnalarmi errori, che sicuramente ci sono, o ulteriori considerazioni di tipo "pratico".
PS: Grazie, per avermi segnalato correzioni, a Stefano Posti.
martedì 4 settembre 2018
EN 301 549 sull'accessibilità
Non sono per niente un esperto in materia, ma credo sia importante seguirla.
E' stato pubblicato lo standard EN 301 549 con le specifiche per l'accessibilità (da parte di invalidi) ai siti web e alle applicazioni per dispositivi mobili, con i requisiti di percezione, operatività, comprensibilità e robustezza definiti dalla Web and Mobile Accessibility Directive:
- https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=50127.
E' stato pubblicato lo standard EN 301 549 con le specifiche per l'accessibilità (da parte di invalidi) ai siti web e alle applicazioni per dispositivi mobili, con i requisiti di percezione, operatività, comprensibilità e robustezza definiti dalla Web and Mobile Accessibility Directive:
- https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=50127.
Rapporto ENISA sugli incidenti di sicurezza in ambito telecom
Segnalo questo rapporto di ENISA relativo agli incidenti di sicurezza nel settore degli operatori delle telecomunicazioni:
- https://www.enisa.europa.eu/news/enisa-news/169-telecom-incidents-reported-extreme-weather-major-factor/.
Per i più pigri: la maggior parte degli incidenti ha come causa errori hardware o bug software, maltempo, blackout. Il 2% hanno come causa attacchi da parte di malintenzionati.
Parere personale: questo insegna anche alle imprese di altri settori che è bene non sottovalutare gli attacchi degli esterni, ma che è opportuno non dimenticare le minacce meno "di moda" ma comunque significative. Questo discorso, comunque, è vecchio e porta alla conclusione (nota da anni) che chi si occupa di sicurezza informatica deve anche occuparsi di sicurezza fisica e di manutenzione.
- https://www.enisa.europa.eu/news/enisa-news/169-telecom-incidents-reported-extreme-weather-major-factor/.
Per i più pigri: la maggior parte degli incidenti ha come causa errori hardware o bug software, maltempo, blackout. Il 2% hanno come causa attacchi da parte di malintenzionati.
Parere personale: questo insegna anche alle imprese di altri settori che è bene non sottovalutare gli attacchi degli esterni, ma che è opportuno non dimenticare le minacce meno "di moda" ma comunque significative. Questo discorso, comunque, è vecchio e porta alla conclusione (nota da anni) che chi si occupa di sicurezza informatica deve anche occuparsi di sicurezza fisica e di manutenzione.
Iscriviti a:
Post (Atom)