Giulia Zanchettin mi ha segnalato questa pagina web dal titolo "Detailed
explanation of 11 new security controls in ISO 27001:2022":
- https://advisera.com/27001academy/explanation-of-11-new-iso-27001-2022-controls.
Penso che sia una pagina utile e fatta molto bene. Io avrei solo aggiunto
qualche commento e qualche riferimento in più sulla tecnologia disponibile.
Un semplice esempio: per il controllo A.8.16 (Monitoring activities) si
poteva dire che era assurdamente non presente nella versione del 2013
(sicuramente per errore e perché parte, anche se impropria, dei controlli
relativi alla raccolta dei log) e che per attuarlo è necessario investire in
tecnologie come i SIEM.
Però è sempre facile criticare e dire che si poteva fare di più. E quindi ne
raccomando la lettura.
mercoledì 6 aprile 2022
Pubblicazione Enisa sugli standard di valutazione del rischio
Glauco Rampogna mi ha segnalato la pubblicazione ENISA dal titolo "Risk
management standards":
- https://www.enisa.europa.eu/publications/risk-management-standards.
Distingue tra standard (come la ISO 31000 e la ISO/IEC 27005) e metodologie (in particolare EBIOS) e, nonostante il titolo, parla anche di queste ultime.
Lettura non molto approfondita (non ci sono neanche i link alle metodologie! e poi cita ancora il CRAMM che non credo esista ancora), ma comunque necessaria. Ho trovato particolarmente interessante il paragrafo "Practical use of standards and methodologies" perché fornisce un processo pratico, fatto di 5 incontri, per valutare il rischio. Non tutto mi trova d'accordo, ma anche questa è una lettura utile.
- https://www.enisa.europa.eu/publications/risk-management-standards.
Distingue tra standard (come la ISO 31000 e la ISO/IEC 27005) e metodologie (in particolare EBIOS) e, nonostante il titolo, parla anche di queste ultime.
Lettura non molto approfondita (non ci sono neanche i link alle metodologie! e poi cita ancora il CRAMM che non credo esista ancora), ma comunque necessaria. Ho trovato particolarmente interessante il paragrafo "Practical use of standards and methodologies" perché fornisce un processo pratico, fatto di 5 incontri, per valutare il rischio. Non tutto mi trova d'accordo, ma anche questa è una lettura utile.
Guida CERT EU sulla sicurezza
Il CERT EU ha pubblicato la "Security Guidance 2022-01 - Cybersecurity
mitigation measures against critical threats":
- https://media.cert.europa.eu/static/WhitePapers/TLP-WHITE-CERT-EU_Security_Guidance-22-001_v1_0.pdf.
Nulla di nuovo, se non che il documento è molto sintetico e pragmatico. Poi c'è il "Annex A: Hardening recommendations", utile per chi vuole un riferimento per l'hardening.
- https://media.cert.europa.eu/static/WhitePapers/TLP-WHITE-CERT-EU_Security_Guidance-22-001_v1_0.pdf.
Nulla di nuovo, se non che il documento è molto sintetico e pragmatico. Poi c'è il "Annex A: Hardening recommendations", utile per chi vuole un riferimento per l'hardening.
PCI DSS 4.0
Fabio Guasconi di Bl4ckSwan ha segnalato la pubblicazione della PCI DSS 4.0:
- https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub (e poi da qui bisogna accedere alla library).
Il PCI DSS specifica le misure di sicurezza per i dati delle carte di credito. Il documento è di 360 pagine e la lettura non è certo semplice. Però specifica le misure di sicurezza con un elevato livello di dettaglio e quindi è utile conoscerle.
- https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub (e poi da qui bisogna accedere alla library).
Il PCI DSS specifica le misure di sicurezza per i dati delle carte di credito. Il documento è di 360 pagine e la lettura non è certo semplice. Però specifica le misure di sicurezza con un elevato livello di dettaglio e quindi è utile conoscerle.
martedì 5 aprile 2022
Rapporto Clusit 2022
Se qualcuno non l'avesse ancora notato, il Clusit ha pubblicato il suo
rapporto "sulla sicurezza ICT in Italia":
https://clusit.it/rapporto-clusit/.
Sempre pieno di dati interessanti.
Solo una critica: fino al 2017 il rapporto riportava alcuni attacchi rappresentativi dell'anno precedente e mi spiace che questa parte non ci sia più.
https://clusit.it/rapporto-clusit/.
Sempre pieno di dati interessanti.
Solo una critica: fino al 2017 il rapporto riportava alcuni attacchi rappresentativi dell'anno precedente e mi spiace che questa parte non ci sia più.
lunedì 4 aprile 2022
Incidente: mezzi meccanici che non funzionano senza l'IT
Pierluigi Stefli mi ha segnalato questa notizia dal titolo "Furto in
un'azienda agricola di Rottofreno: rubati oltre 250mila euro di materiale":
- https://www.liberta.it/news/cronaca/2022/04/02/furto-in-unazienda-agricola-di-rottofreno-rubati-oltre-250mila-euro-di-materiale/.
In breve dei malviventi hanno rubato i computer di un'azienda agricola e senza di questi i trattori non possono lavorare. Ecco quindi che:
1- non avevano pensato a come lavorare in caso di assenza di sistemi informatici;
2- non avevano fatto i backup;
3- avevano investito tanti soldi e si sono dimenticati del piano di continuità.
Conclude Pierluigi: "tutta questa meravigliosa innovazione deve essere valutata e gestita".
Questo è un interessante caso da ricordare come esempio (anche se mi dispiace per le vittime).
- https://www.liberta.it/news/cronaca/2022/04/02/furto-in-unazienda-agricola-di-rottofreno-rubati-oltre-250mila-euro-di-materiale/.
In breve dei malviventi hanno rubato i computer di un'azienda agricola e senza di questi i trattori non possono lavorare. Ecco quindi che:
1- non avevano pensato a come lavorare in caso di assenza di sistemi informatici;
2- non avevano fatto i backup;
3- avevano investito tanti soldi e si sono dimenticati del piano di continuità.
Conclude Pierluigi: "tutta questa meravigliosa innovazione deve essere valutata e gestita".
Questo è un interessante caso da ricordare come esempio (anche se mi dispiace per le vittime).
BCI Horizon Scan Report 2022
Il BCI ha pubblicato la versione 2022 del suo Horizon Scan Report:
- https://www.thebci.org/resource/bci-horizon-scan-report-2022.html.
Non mi sembra ci sia niente di significativamente nuovo e le minacce sono facilmente intuibili: pandemia e malattie, lavoro da remoto e attacchi informatici, difficoltà a viaggiare, interruzioni della filiera di fornitura (supply chain distruptions), difficoltà a reperire le competenze. L'ultimo, a dire il vero, non me lo aspettavo.
La scarsità di novità è insita in questo tipo di rapporti, dove la notizia è quali sono gli eventi ritenuti più probabili da parte di manager (quindi con competenze "medie") sulla base di un elenco preparato dagli esperti. Però questo report è pubblicato da un attore autorevole e quindi può essere utile a qualcuno.
- https://www.thebci.org/resource/bci-horizon-scan-report-2022.html.
Non mi sembra ci sia niente di significativamente nuovo e le minacce sono facilmente intuibili: pandemia e malattie, lavoro da remoto e attacchi informatici, difficoltà a viaggiare, interruzioni della filiera di fornitura (supply chain distruptions), difficoltà a reperire le competenze. L'ultimo, a dire il vero, non me lo aspettavo.
La scarsità di novità è insita in questo tipo di rapporti, dove la notizia è quali sono gli eventi ritenuti più probabili da parte di manager (quindi con competenze "medie") sulla base di un elenco preparato dagli esperti. Però questo report è pubblicato da un attore autorevole e quindi può essere utile a qualcuno.
domenica 20 marzo 2022
Guida ENISA sul Data protection engineering
Chiara Ponti degli Idraulici della privacy ha segnalato la pubblicazione da
parte di ENISA della guida "Data protection engineering":
- https://www.enisa.europa.eu/publications/data-protection-engineering.
E' un documento piuttosto impegnativo perché tratta molte misure (anonimizzazione, pseudonimizzazione, mascheramento, elaborazione, canali di comunicazione, controllo accessi, trasparenza) e modalità per realizzarle in modo molto sintetico e pertanto alcune di esse richiedono approfondimenti.
E' comunque una lettura utile e consigliata.
- https://www.enisa.europa.eu/publications/data-protection-engineering.
E' un documento piuttosto impegnativo perché tratta molte misure (anonimizzazione, pseudonimizzazione, mascheramento, elaborazione, canali di comunicazione, controllo accessi, trasparenza) e modalità per realizzarle in modo molto sintetico e pertanto alcune di esse richiedono approfondimenti.
E' comunque una lettura utile e consigliata.
venerdì 18 marzo 2022
Libro "Rischio digitale Innovazione e Resilienza" del Clusit
Segnalo il libro dal titolo (con troppe maiuscole, ahimè) "Rischio digitale
Innovazione e Resilienza: Conoscere, affrontare e mitigare il rischio
digitale":
- https://risk.clusit.it.
E' liberamente scaricabile.
Ho contribuito anche io e ne sono molto contento.
Intanto diciamo che vuole presentare molte cose e si nota una certa eterogeneità degli argomenti. Poi i "framework" non sono propriamente di valutazione del rischio ma di controllo.
Ci sono però molti pregi: una panoramica su molti settori significativi per la valutazione del rischio (e che dovrebbe conoscere anche chi non ci lavora, per ampliare la propria cultura e competenza), una panoramica sui framework di sicurezza e alcuni spunti in merito alla conduzione della valutazione del rischio (anche se non li convido tutti, penso sia necessario comprenderli per poi scegliere consapevolmente l'approccio da seguire).
Il mio punto preferito è il 5.7.2 "Aspetti psicologici e pregiudizi (bias) nella percezione del rischio" perché penso sia importantissimo da conoscere. Me ne rendo conto soprattutto quando sento parlare di "oggettività della valutazione del rischio".
- https://risk.clusit.it.
E' liberamente scaricabile.
Ho contribuito anche io e ne sono molto contento.
Intanto diciamo che vuole presentare molte cose e si nota una certa eterogeneità degli argomenti. Poi i "framework" non sono propriamente di valutazione del rischio ma di controllo.
Ci sono però molti pregi: una panoramica su molti settori significativi per la valutazione del rischio (e che dovrebbe conoscere anche chi non ci lavora, per ampliare la propria cultura e competenza), una panoramica sui framework di sicurezza e alcuni spunti in merito alla conduzione della valutazione del rischio (anche se non li convido tutti, penso sia necessario comprenderli per poi scegliere consapevolmente l'approccio da seguire).
Il mio punto preferito è il 5.7.2 "Aspetti psicologici e pregiudizi (bias) nella percezione del rischio" perché penso sia importantissimo da conoscere. Me ne rendo conto soprattutto quando sento parlare di "oggettività della valutazione del rischio".
NIST SP 1800-10 sulla sicurezza dei sistemi industriali (ICS)
Il NIST ha pubblicato la SP 1800-10 con titolo "Protecting Information and
System Integrity in Industrial Control System Environments: Cybersecurity
for the Manufacturing Sector":
- https://www.nccoe.nist.gov/manufacturing/protecting-information-and-system-integrity-industrial-control-system-environments.
Oltre al testo principale, c'è la parte A (Executive summary), la parte B (4 esempi di architetture, con specifici prodotti e configurazioni), la parte C (specifiche dettagliate per configurare i prodotti riportati nella parte B).
Sono documenti estremamente tecnici. Il NIST ne ha prodotti diversi. Il documento meno tecnico è la SP 800-82, comunque di 250 pagine.
- https://www.nccoe.nist.gov/manufacturing/protecting-information-and-system-integrity-industrial-control-system-environments.
Oltre al testo principale, c'è la parte A (Executive summary), la parte B (4 esempi di architetture, con specifici prodotti e configurazioni), la parte C (specifiche dettagliate per configurare i prodotti riportati nella parte B).
Sono documenti estremamente tecnici. Il NIST ne ha prodotti diversi. Il documento meno tecnico è la SP 800-82, comunque di 250 pagine.
mercoledì 16 marzo 2022
Corso (gratuito) sulla ISO/IEC 27701
Ho avuto modo di conoscere (tramite social) Leocadio Marrero Trulillo. Ho
quindi scoperto che tiene numerosi corsi sulla sicurezza e lui stesso mi ha
segnalato questo suo video "Bootcamp Sochisi 2022 - Taller N°5: Uso práctico
empresarial de la Privacidad ISO 27701":
- https://www.youtube.com/watch?v=lxVLCz0o1HE.
Intanto dico che è in spagnolo. Poi dico che non conoscevo asollutamente la Fundación Sochisi, però mi sembra che ci sia materiale decisamente interessante.
Per quanto riguarda il corso sulla ISO/IEC 27701 (di 2 ore e 20 minuti), io penso che spieghi molto bene la norma (e anche la privacy). E sono anche un po' invidioso per la chiarezza con cui i vari argomenti sono presentati.
- https://www.youtube.com/watch?v=lxVLCz0o1HE.
Intanto dico che è in spagnolo. Poi dico che non conoscevo asollutamente la Fundación Sochisi, però mi sembra che ci sia materiale decisamente interessante.
Per quanto riguarda il corso sulla ISO/IEC 27701 (di 2 ore e 20 minuti), io penso che spieghi molto bene la norma (e anche la privacy). E sono anche un po' invidioso per la chiarezza con cui i vari argomenti sono presentati.
lunedì 14 marzo 2022
VERA 7 - In lavorazione
Sto lavorando al VERA 7, con un'impostazione leggermente diversa dalle
precedenti. Niente di sconvolgente, eh... Solo che volevo semplificare un
po' l'aggiunta delle minacce e dei controlli in modo da poter integrare più
valutazioni del rischio.
Se qualcuno volesse riceverle la bozza per segnalare suggerimenti, la invio volentieri.
Mi piacerebbe anche un aiuto per i rischi relativi all'efficacia del sistema di gestione.
Se qualcuno volesse riceverle la bozza per segnalare suggerimenti, la invio volentieri.
Mi piacerebbe anche un aiuto per i rischi relativi all'efficacia del sistema di gestione.
sabato 12 marzo 2022
NSA Network Infrastructure Security Guidance
@CISAgov recommends the Il CISA (Cybersecurity and Infrastructure Security Agency degli USA) ha
segnalato che l'NSA ha pubblicato un documento dal titolo "Network
Infrastructure Security Guidance":
- https://www.cisa.gov/uscert/ncas/current-activity/2022/03/03/nsa-releases-network-infrastructure-security-guidance.
Mi sembra un documento sintetico (58 pagine) e completo. Può essere, a mio avviso, usato validamente come riferimento per la configurazione della rete.
Confesso che non tutto mi è chiaro e purtroppo sento la mancanza di un testo altrettanto completo e rigoroso, ma orientato allo studio (come era "Building Internet Firewalls", del 2000). Però sono sicuro che un sistemista capirà tutto e potrà applicare queste linee guida senza difficoltà, a parte il tempo da dedicarci, ovviamente.
- https://www.cisa.gov/uscert/ncas/current-activity/2022/03/03/nsa-releases-network-infrastructure-security-guidance.
Mi sembra un documento sintetico (58 pagine) e completo. Può essere, a mio avviso, usato validamente come riferimento per la configurazione della rete.
Confesso che non tutto mi è chiaro e purtroppo sento la mancanza di un testo altrettanto completo e rigoroso, ma orientato allo studio (come era "Building Internet Firewalls", del 2000). Però sono sicuro che un sistemista capirà tutto e potrà applicare queste linee guida senza difficoltà, a parte il tempo da dedicarci, ovviamente.
Giovedì 17 marzo: mio breve intervento sulla ISO/IEC 27005 al Security Summit
Il 15-17 marzo ci sarà il Security Summit nella Milano virtuale:
- https://securitysummit.it/eventi/streaming-edition-marzo-2022/agenda.
Io terrò un intervento sulla ISO/IEC 27005 all'interno della sesssione "Nuovo anno, nuove norme: aggiornamenti sui lavori ISO, CEN, ETSI e UNINFO" il 17 marzo alle 15. Il mio intervento sarà brevissimo e con l'obiettivo di accennare alla nuova struttura della ISO/IEC 27005 e all'approccio "per eventi", alternativo a quello "per asset".
Raccomando però di seguire tutta la sessione, visto che fornirà chiarimenti sulla nuova ISO/IEC 27002, sulle norme ad essa collegate e sulla futura ISO/IEC 27001.
- https://securitysummit.it/eventi/streaming-edition-marzo-2022/agenda.
Io terrò un intervento sulla ISO/IEC 27005 all'interno della sesssione "Nuovo anno, nuove norme: aggiornamenti sui lavori ISO, CEN, ETSI e UNINFO" il 17 marzo alle 15. Il mio intervento sarà brevissimo e con l'obiettivo di accennare alla nuova struttura della ISO/IEC 27005 e all'approccio "per eventi", alternativo a quello "per asset".
Raccomando però di seguire tutta la sessione, visto che fornirà chiarimenti sulla nuova ISO/IEC 27002, sulle norme ad essa collegate e sulla futura ISO/IEC 27001.
martedì 8 marzo 2022
Mio corso di introduzione alle ISO/IEC 27001 e 27002 per Digital&Law Academy
Con Digital&Law Academy ho preparato un corso di 6 ore da seguire online
sugli standard ISO/IEC 27001 e ISO/IEC 27002 per la sicurezza delle
informazioni:
- https://digitalaw.it/elenco-corsi/gli-standard-iso-iec-27001-e-iso-iec-27002-per-la-sicurezza-delle-informazioni/#Programma.
E' diviso in tre moduli rispettivamente per la ISO/IEC 27001, la ISO/IEC 27002, la ISO/IEC 27701.
E' a pagamento (350 Euro).
- https://digitalaw.it/elenco-corsi/gli-standard-iso-iec-27001-e-iso-iec-27002-per-la-sicurezza-delle-informazioni/#Programma.
E' diviso in tre moduli rispettivamente per la ISO/IEC 27001, la ISO/IEC 27002, la ISO/IEC 27701.
E' a pagamento (350 Euro).
sabato 5 marzo 2022
Tempi per forzare le password
Glauco Rampogna degli Idraulici della privacy ha segnalato una tabella che
indica il tempo per forzare le password con forza bruta. Si può scaricare da
qui:
- https://www.hivesystems.io/password-table.
In sostanza, è meglio avere password di almeno 11 caratteri.
- https://www.hivesystems.io/password-table.
In sostanza, è meglio avere password di almeno 11 caratteri.
Mia intervista su IusLaw Web Radio sulla ISO/IEC 27002
Elia Barbujani mi ha fatto l'onore di intervistarmi sulla nuova ISO/IEC
27002:
- https://webradioiuslaw.it/le-nuove-iso27001-e-27002-speciale-adeguamento-privacy/.
Ne è nata una bella discussione e ringrazio ancora Elia per questa opportunità.
- https://webradioiuslaw.it/le-nuove-iso27001-e-27002-speciale-adeguamento-privacy/.
Ne è nata una bella discussione e ringrazio ancora Elia per questa opportunità.
mercoledì 2 marzo 2022
Vulnerabilità in Zabbix
Dal SANS NewsBites segnalo questo articolo dal titolo, non molto chiaro,
"Zabbix vulnerabilities added to CISA catalog":
- https://www.zdnet.com/article/zabbix-vulnerabilities-added-to-cisa-catalog/.
Hanno trovato vulnerabilità in Zabbix, un prodotto di supporto per le attività sistemistiche. La vulnerabilità riguarda l'implementazione di SAML, che a sua volta abilita il single-sign-on (SSO) e l'autenticazione a più fattori (MFA). Quindi, in questo caso, abbiamo una vulnerabilità di un meccanismo di sicurezza di un prodotto (anche) di sicurezza.
Le patch sono disponibili da dicembre.
Lo segnalo per ricordare di prestare attenzione anche a queste cose.
- https://www.zdnet.com/article/zabbix-vulnerabilities-added-to-cisa-catalog/.
Hanno trovato vulnerabilità in Zabbix, un prodotto di supporto per le attività sistemistiche. La vulnerabilità riguarda l'implementazione di SAML, che a sua volta abilita il single-sign-on (SSO) e l'autenticazione a più fattori (MFA). Quindi, in questo caso, abbiamo una vulnerabilità di un meccanismo di sicurezza di un prodotto (anche) di sicurezza.
Le patch sono disponibili da dicembre.
Lo segnalo per ricordare di prestare attenzione anche a queste cose.
Toyota ferma a causa di un incidente IT presso un fornitore
Il titolo "Toyota suspends domestic factory operations after suspected cyber
attack" dice molto di questo articolo (che io segnalo dopo averlo visto sul
SANS NewsBites):
- https://www.reuters.com/business/autos-transportation/toyota-suspends-all-domestic-factory-operations-after-suspected-cyber-attack-2022-02-28/.
In realtà non si sa molto dell'incidente che ha colpito il fornitore, ma rientra sicuramente nei casi di "supply chain attack" e non nell'ambito strettamente informatico.
Sarà interessante sapere di più dell'incidente.
- https://www.reuters.com/business/autos-transportation/toyota-suspends-all-domestic-factory-operations-after-suspected-cyber-attack-2022-02-28/.
In realtà non si sa molto dell'incidente che ha colpito il fornitore, ma rientra sicuramente nei casi di "supply chain attack" e non nell'ambito strettamente informatico.
Sarà interessante sapere di più dell'incidente.
giovedì 24 febbraio 2022
Lista CISA di strumenti di sicurezza gratuiti
Il CISA (Cybersecurity & Infrastructure Security Agency degli USA) ha
pubblicato un'interessante lista di strumenti gratuiti per la sicurezza:
- https://www.cisa.gov/free-cybersecurity-services-and-tools.
Si tratta di una lista piuttosto eterogenea: da semplicissimi fogli Excel per l'inventario degli asset a strumenti di scansione delle vulnerabilità. Di alcuni non ho capito bene le funzionalità, ma sono sicuro che altri più preparati di me non avranno problemi.
Penso sia una lista da considerare, in quanto sicuramente autorevole e utile.
Ringrazio della segnalazione Flora Tozzi di DFA.
- https://www.cisa.gov/free-cybersecurity-services-and-tools.
Si tratta di una lista piuttosto eterogenea: da semplicissimi fogli Excel per l'inventario degli asset a strumenti di scansione delle vulnerabilità. Di alcuni non ho capito bene le funzionalità, ma sono sicuro che altri più preparati di me non avranno problemi.
Penso sia una lista da considerare, in quanto sicuramente autorevole e utile.
Ringrazio della segnalazione Flora Tozzi di DFA.
mercoledì 16 febbraio 2022
Pubblicata la ISO/IEC 27002:2022
Ho già scritto sulla "futura" ISO/IEC 27002:2022. Ora non è più futura, ma
attuale:
- https://www.iso.org/standard/75652.html.
Penso sempre che sia utile leggerla, anche se ha i suoi difetti: ci sono alcune ridondanze, spunti non approfonditi a sufficienza e altri troppo, aspetti troppo tecnologici e aspetti dove la tecnologia non è abbastanza analizzata, eccetera. Però penso che questa edizione sia notevolmente interessante e degna di essere letta.
- https://www.iso.org/standard/75652.html.
Penso sempre che sia utile leggerla, anche se ha i suoi difetti: ci sono alcune ridondanze, spunti non approfonditi a sufficienza e altri troppo, aspetti troppo tecnologici e aspetti dove la tecnologia non è abbastanza analizzata, eccetera. Però penso che questa edizione sia notevolmente interessante e degna di essere letta.
lunedì 14 febbraio 2022
Pubblicato "Sicurezza delle informazioni - Edizione 2022" in italiano e in inglese
Finalmente sono riuscito a publicare la nuova edizione di "Sicurezza delle
informazioni", aggiornata con i controlli della ISO/IEC 27002:2022 e non
solo (anzi... spero di non essere smentito in futuro sulle date di pubblicazione delle ISO/IEC 27001 e 27002, perché se no dovrò correggere!).
Ho colto l'occasione per inserire ulteriori aggiornamenti sulle tecnologie
(citando IoT, OT, intelligenza artificiale, eccetera), sulle minacce e gli
accreditamenti. Inoltre, Stefano Ramacciotti ha aggiornato l'appendice sui
Common Criteria e sulle FIPS 140.
Per questa edizione ho avuto un revisore d'eccezione: Monica Perego. Ma non sempre ho seguito i suoi suggerimenti e quindi eventuali errori sono miei.
La pagina di presentazione dell'edizione in italiano (consigliata, perché è
l'originale, mentre l'inglese è una traduzione):
- http://blog.cesaregallotti.it/p/blog-page.html.
La pagina di presentazione dell'edizione in inglese:
- https://blog.cesaregallotti.it/p/blog-page_20.html.
Attenzione che la copertina è quella con i Giganti della Sila (alberi). Non comprate, quindi, l'edizione con il Perito Moreno (ghiacciaio).
martedì 8 febbraio 2022
EDPB e i requisiti di certificazione CARPA
Franco Ferrari mi ha segnalato il fatto che EDPB ha emesso l'Opinion 1/2022
sui "certification criteria" GDPR - CARPA e la decisione del Garante
lussemburghese:
- https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-12022-draft-decision-luxembourg_en.
E' evidente che è molto importante perché è un ulteriore passo verso lo schema di certificazione privacy "secondo il GDPR". Però EDPB ha chiesto "un numero di cambiamenti" (vedere soprattutto quelli elencati dal punto 2.4 in poi) e quindi dovremo aspettare ulteriormente.
Più semplice è la notizia:
- https://edpb.europa.eu/news/news/2022/edpb-adopts-first-opinion-certification-criteria_it.
Non mi è chiaro perché "The present certification is not a certification according to article 46(2)(f) of the GDPR meant for international transfers".
Leggendo l'Opinion, poi, si vede che viene richiesto l'uso delle norme ISAE 3000 che non conosco. Però, curiosamente, il parere dice che non fanno parte dei "certification criteria" e non mi convince. Infatti la certificazione "secondo GDPR" dovrebbe basarsi sulla ISO/IEC 17065, che non parla mai di "certification criteria", ma di "certification requirements" e questa è una cosa che può creare confusione. Inoltre penso che si debba indagare anche il funzionamento dello "schema di certificazione", se no si rischiano derive e interpretazioni non controllate.
- https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-12022-draft-decision-luxembourg_en.
E' evidente che è molto importante perché è un ulteriore passo verso lo schema di certificazione privacy "secondo il GDPR". Però EDPB ha chiesto "un numero di cambiamenti" (vedere soprattutto quelli elencati dal punto 2.4 in poi) e quindi dovremo aspettare ulteriormente.
Più semplice è la notizia:
- https://edpb.europa.eu/news/news/2022/edpb-adopts-first-opinion-certification-criteria_it.
Non mi è chiaro perché "The present certification is not a certification according to article 46(2)(f) of the GDPR meant for international transfers".
Leggendo l'Opinion, poi, si vede che viene richiesto l'uso delle norme ISAE 3000 che non conosco. Però, curiosamente, il parere dice che non fanno parte dei "certification criteria" e non mi convince. Infatti la certificazione "secondo GDPR" dovrebbe basarsi sulla ISO/IEC 17065, che non parla mai di "certification criteria", ma di "certification requirements" e questa è una cosa che può creare confusione. Inoltre penso che si debba indagare anche il funzionamento dello "schema di certificazione", se no si rischiano derive e interpretazioni non controllate.
sabato 5 febbraio 2022
Qualificazione dei servizi cloud delle PA
Glauco Rampogna (un Idraulico della privacy) mi ha segnalato la
pubblicazione degli atti per qualificare i servizi cloud delle PA:
- https://innovazione.gov.it/notizie/articoli/cloud-pa-online-gli-atti-per-classificare-dati-e-servizi-e-qualificare-i-servizi/.
Provo a fare un brevissimo riassunto (attenzione che il titolo della pagina è leggermente fuorviante, visto che parla di classificazione, che si trova in altri documenti, e non cita il cloud).
Un documento riguarda la predisposizione dell'elenco e della classificazione di dati e di servizi delle PA e prevede un questionario. Non so come accedere al questionario e immagino sia a disposizione solo delle PA.
Un altro documento riporta, nell'allegato A2, i "livelli minimi di sicurezza" per i servizi cloud delle PA. Mi sembra molto interessante e credo, come ho già detto altrove, che sia utile confrontarsi con questi criteri anche se non si erogano servizi cloud per le PA.
Nello stesso documento è presente un Allegato B2, con riportate le "caratteristiche di qualità, sicurezza, performance, scalabilità, interoperabilità e portabilità dei servizi cloud per la PA".
Il tutto serve per poi classificare i servizi cloud e le infrastrutture cloud per la PA.
I documenti fanno spesso riferimento al "Regolamento", ossia al ""Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione, nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione". Il nome è in effetti un po' lungo e non aiuta. Comunque si trova qui:
- https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_12 3065_725_1.html.
In esso sono riportati criteri di classificazione dei dati e dei servizi digitali (articolo 3, comma 3). Purtroppo mi erano sfuggiti a dicembre, ma li trovo interessanti perché, in sostanza, prevedono una classificazione molto semplice in 3 livelli e non prevede etichettatura. Mi viene da pensare che potrebbero essere usati come base di partenza per la classificazione (e la non-etichettatura) anche dalle organizzazioni non della PA.
Una nota di demerito: gli allegati che ho richiamato sopra sono in un pdf che non permette né la ricerca né il copia-incolla. Spero che, in un'ottica di miglioramento generale della sicurezza, vengano presto messi a disposizione in un altro formato.
- https://innovazione.gov.it/notizie/articoli/cloud-pa-online-gli-atti-per-classificare-dati-e-servizi-e-qualificare-i-servizi/.
Provo a fare un brevissimo riassunto (attenzione che il titolo della pagina è leggermente fuorviante, visto che parla di classificazione, che si trova in altri documenti, e non cita il cloud).
Un documento riguarda la predisposizione dell'elenco e della classificazione di dati e di servizi delle PA e prevede un questionario. Non so come accedere al questionario e immagino sia a disposizione solo delle PA.
Un altro documento riporta, nell'allegato A2, i "livelli minimi di sicurezza" per i servizi cloud delle PA. Mi sembra molto interessante e credo, come ho già detto altrove, che sia utile confrontarsi con questi criteri anche se non si erogano servizi cloud per le PA.
Nello stesso documento è presente un Allegato B2, con riportate le "caratteristiche di qualità, sicurezza, performance, scalabilità, interoperabilità e portabilità dei servizi cloud per la PA".
Il tutto serve per poi classificare i servizi cloud e le infrastrutture cloud per la PA.
I documenti fanno spesso riferimento al "Regolamento", ossia al ""Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione, nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione". Il nome è in effetti un po' lungo e non aiuta. Comunque si trova qui:
- https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_12 3065_725_1.html.
In esso sono riportati criteri di classificazione dei dati e dei servizi digitali (articolo 3, comma 3). Purtroppo mi erano sfuggiti a dicembre, ma li trovo interessanti perché, in sostanza, prevedono una classificazione molto semplice in 3 livelli e non prevede etichettatura. Mi viene da pensare che potrebbero essere usati come base di partenza per la classificazione (e la non-etichettatura) anche dalle organizzazioni non della PA.
Una nota di demerito: gli allegati che ho richiamato sopra sono in un pdf che non permette né la ricerca né il copia-incolla. Spero che, in un'ottica di miglioramento generale della sicurezza, vengano presto messi a disposizione in un altro formato.
lunedì 31 gennaio 2022
Programma di bug bounty
Pierluigi Stefli di Datapro mi ha segnalato questa pagina web di un
programma di bug bounty promosso da una società di prodotti di smart energy:
- https://www.solaredge.com/it/cyber-security-policy.
In breve, questa società chiede di segnalarle vulnerabilità sui suoi sistemi e fornisce una ricompensa a certe condizioni (p.e. tempo per correggere gli errori prima della divulgazione).
Pierluigi me l'ha segnalata perché è la prima che vede così strutturata. E, a mia volta, la segnalo perché è la prima volta che ne vedo una così strutturata.
- https://www.solaredge.com/it/cyber-security-policy.
In breve, questa società chiede di segnalarle vulnerabilità sui suoi sistemi e fornisce una ricompensa a certe condizioni (p.e. tempo per correggere gli errori prima della divulgazione).
Pierluigi me l'ha segnalata perché è la prima che vede così strutturata. E, a mia volta, la segnalo perché è la prima volta che ne vedo una così strutturata.
venerdì 28 gennaio 2022
Direttiva e regolamento RED (sui dispositivi radio)
Alessandro Cosenza di BTicino mi ha segnalato il nuovo Regolamento delegato
(UE) 2022/30 che rende obbligatori, dal 1 agosto 2024, alcuni requisiti dei
dispositivi radio:
- https://eur-lex.europa.eu/eli/reg_del/2022/30/oj.
I requisiti devono quindi assicurare che:
- non danneggiano la rete o il suo funzionamento, né abusano delle risorse della rete arrecando quindi un deterioramento inaccettabile del servizio;
- contengono elementi di salvaguardia per garantire la protezione dei dati personali e della vita privata dell'utente e dell'abbonato;
- supportano caratteristiche speciali che consentano di tutelarsi dalle frodi.
Per questi punti, nell'ambito di ETSI, CEN e CENELEC, si sta ragionando sulla possibilità di creare standard tecnici, al momento non esistenti.
- https://eur-lex.europa.eu/eli/reg_del/2022/30/oj.
I requisiti devono quindi assicurare che:
- non danneggiano la rete o il suo funzionamento, né abusano delle risorse della rete arrecando quindi un deterioramento inaccettabile del servizio;
- contengono elementi di salvaguardia per garantire la protezione dei dati personali e della vita privata dell'utente e dell'abbonato;
- supportano caratteristiche speciali che consentano di tutelarsi dalle frodi.
Per questi punti, nell'ambito di ETSI, CEN e CENELEC, si sta ragionando sulla possibilità di creare standard tecnici, al momento non esistenti.
Nuove regole per la conservazione dei documenti
Alessandro Cosenza di BTicino mi ha segnalato questo articolo relativo alla
conservazione dei documenti:
- https://www.dirittodellinformatica.it/ict/gennaio-2022-3-nuovi-adempimenti-obbligatori-per-le-aziende.html.
L'articolo parla anche dei cookie e della transizione digitale, ma il punto che più ha attirato la mia attenzione è il secondo: "La figura del Responsabile della conservazione digitale: Obbligatorio per tutte le aziende".
In effetti si tratta di un punto che inizialmente non avevo considerato. Mi pare anche che le organizzazioni debbano avere un proprio manuale della conservazione. Mi pare, in sostanza, che questo sarà ottemperato o con un responsabile interno che, in sostanza, recepisce le indicazioni del conservatore (inteso come fornitore) o indicando come responsabile una persona del conservatore stesso. Insomma... nulla di sconvolgente, a parte il fatto che si tratta di altri adempimenti non utilissimi.
- https://www.dirittodellinformatica.it/ict/gennaio-2022-3-nuovi-adempimenti-obbligatori-per-le-aziende.html.
L'articolo parla anche dei cookie e della transizione digitale, ma il punto che più ha attirato la mia attenzione è il secondo: "La figura del Responsabile della conservazione digitale: Obbligatorio per tutte le aziende".
In effetti si tratta di un punto che inizialmente non avevo considerato. Mi pare anche che le organizzazioni debbano avere un proprio manuale della conservazione. Mi pare, in sostanza, che questo sarà ottemperato o con un responsabile interno che, in sostanza, recepisce le indicazioni del conservatore (inteso come fornitore) o indicando come responsabile una persona del conservatore stesso. Insomma... nulla di sconvolgente, a parte il fatto che si tratta di altri adempimenti non utilissimi.
domenica 23 gennaio 2022
Campagna di sensibilizzazione "I Navigati"
Avevo segnalato la campagna #cyberscams
(http://blog.cesaregallotti.it/2022/01/campagna-cyberscams-sulle-truffe.html) promossa, tra gli altri, da CERTFin e sono stato notato... Quindi Mario
Trinchera di CERTFin mi ha scritto una gentilissima segnalandomi la campagna
"I Navigati":
- https://inavigati.certfin.it/.
E' piuttosto interessante perché suddivisa in 8 video molto brevi e simpatici. Si tratta sicuramente di materiale di base, ma ben fatto e utile.
- https://inavigati.certfin.it/.
E' piuttosto interessante perché suddivisa in 8 video molto brevi e simpatici. Si tratta sicuramente di materiale di base, ma ben fatto e utile.
sabato 22 gennaio 2022
ISO/SAE 21434 Road vehicles - Cybersecurity engineering
Franco Vincenzo Ferrari del DNV mi ha segnalato la pubblicazione della
ISO/SAE 21434:2021 Road vehicles - Cybersecurity engineering:
- https://www.iso.org/standard/70918.html.
Mi ha segnalato anche un articolo:
- https://www.cybersecurity360.it/soluzioni-aziendali/iso-sae-21434-il-nuovo-standard-di-cyber-security-in-ambito-automotive-correlazioni-e-limiti/.
Lo standard non riporta suggerimenti tecnici sulle misure da attuare, ma su tutto il resto: valutazione del rischio (che a sua volta richiama la ISO/IEC 18045), organizzazione, gestione dei progetti, gestione dei fornitori, eccetera. Scelta condivisibile, vista la continua evoluzione della tecnologia.
- https://www.iso.org/standard/70918.html.
Mi ha segnalato anche un articolo:
- https://www.cybersecurity360.it/soluzioni-aziendali/iso-sae-21434-il-nuovo-standard-di-cyber-security-in-ambito-automotive-correlazioni-e-limiti/.
Lo standard non riporta suggerimenti tecnici sulle misure da attuare, ma su tutto il resto: valutazione del rischio (che a sua volta richiama la ISO/IEC 18045), organizzazione, gestione dei progetti, gestione dei fornitori, eccetera. Scelta condivisibile, vista la continua evoluzione della tecnologia.
venerdì 21 gennaio 2022
Campagna #Cyberscams sulle truffe digitali
Franco Vincenzo Ferrari di DNV mi ha segnalato l'iniziativa #Cybersams. Si
tratta della diffusione di materiale di sensibilizzazione e di formazione
sulle truffe online. Mi sembra molto interessante.
Il materiale in italiano l'ho trovato sul sito CERTFin:
- https://www.certfin.it/educational/cyberscams/.
La campagna ha però diffusione europea e segnalo quindi il sito di Eurpol, dove ci sono i poster nelle lingue della UE:
- https://www.europol.europa.eu/operations-services-and-innovation/public-awareness-and-prevention-guides/take-control-of-your-digital-life-don%E2%80%99t-be-victim-of-cyber-scams.
Il materiale in italiano l'ho trovato sul sito CERTFin:
- https://www.certfin.it/educational/cyberscams/.
La campagna ha però diffusione europea e segnalo quindi il sito di Eurpol, dove ci sono i poster nelle lingue della UE:
- https://www.europol.europa.eu/operations-services-and-innovation/public-awareness-and-prevention-guides/take-control-of-your-digital-life-don%E2%80%99t-be-victim-of-cyber-scams.
lunedì 17 gennaio 2022
QR code falsi
Da Crypto-Gram di gennaio 2022, leggo la notizia "US Police Warn of Parking
Meters with Phishing QR Codes":
- https://www.bitdefender.com/blog/hotforsecurity/us-police-parking-meters-phishing-qr-codes/.
Mi stavo chiedendo da tempo perché non avevo ancora sentito parlare di queste frodi. Sono stato, purtroppo, accontentato.
In sintesi: sui parchimetri è possibile trovare QR code che indirizzano a un sito per pagare il parcheggio. Però il sito è falso e l'incasso (e forse anche il numero di carta di credito) va a finire ai frodatori.
- https://www.bitdefender.com/blog/hotforsecurity/us-police-parking-meters-phishing-qr-codes/.
Mi stavo chiedendo da tempo perché non avevo ancora sentito parlare di queste frodi. Sono stato, purtroppo, accontentato.
In sintesi: sui parchimetri è possibile trovare QR code che indirizzano a un sito per pagare il parcheggio. Però il sito è falso e l'incasso (e forse anche il numero di carta di credito) va a finire ai frodatori.
Antivirus con crypto miner
Da Crypto-Gram di gennaio 2022, leggo che l'antivirus Norton 360 adesso
include un cryptominer:
- https://krebsonsecurity.com/2022/01/norton-360-now-comes-with-a-cryptominer/.
Il mio dubbio è che se la sicurezza si raggiunge anche con la semplicità, questo principio non è seguito da un prodotto antivirus che fa anche altro.
Ci sono anche altre questioni sollevate dall'articolo (il fatto che non si capisce bene chi ci guadagna a parte la Norton e i rischi per persone non sufficientemente attente alla sicurezza che sono incentivate a usare servizi con problemi di sicurezza da conoscere).
- https://krebsonsecurity.com/2022/01/norton-360-now-comes-with-a-cryptominer/.
Il mio dubbio è che se la sicurezza si raggiunge anche con la semplicità, questo principio non è seguito da un prodotto antivirus che fa anche altro.
Ci sono anche altre questioni sollevate dall'articolo (il fatto che non si capisce bene chi ci guadagna a parte la Norton e i rischi per persone non sufficientemente attente alla sicurezza che sono incentivate a usare servizi con problemi di sicurezza da conoscere).
sabato 8 gennaio 2022
Vulnerabilità in log4j
E' noto che non mi occupo di questioni eccessivamente tecniche, ma la
vulnerabilità trovata in log4j è decisamente importante. Intanto un articolo
esplicativo (e tecnico):
- https://www.lunasec.io/docs/blog/log4j-zero-day/.
Riassumo dal SANS NewsBites del 10 dicembre: Una vulnerabilità nel log4j può essere sfruttata per l'esecuzione di codice da remoto (RCE). Mantenuta dall'Apache project, log4j è una libreria per realizzare funzioni di log. Essa è usata in molti servizi cloud e prodotti. Un attaccante può scrivere una stringa in una richiesta http; se l'applicazione tiene il log della stringa con log4j, questo può essere ingannato e connettersi a un server dell'attaccante e scaricare codice che sarà eseguito dal servizio. La vulnerabilità ha codice CVE-2021-44228.
Questa vulnerabilità dimostra un problema di sicurezza non indifferente: è preferibile usare librerie e strumenti sviluppati da altri (purché competenti), in modo da sviluppare autonomamente e male le stesse soluzioni, ma se le librerie più diffuse sono compromesse, tantissimi servizi saranno vulnerabili.
Ecco quindi che l'uso di soluzioni sviluppate da altri non ci deve esimere dal tracciarle (ecco a cosa serve l'asset inventory!), monitorarle, verificare se sono costantemente mantenute. In altre parole: non vengono a costo zero, anche se sono free. E a questo punto mi è venuto in mente che anche questa è una lezione che andrebbe spiegata per bene a tutti coloro che lavorano nel o con l'IT.
Ulteriore articolo tecnico è quello del CERT del Governo svizzero:
- https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/.
- https://www.lunasec.io/docs/blog/log4j-zero-day/.
Riassumo dal SANS NewsBites del 10 dicembre: Una vulnerabilità nel log4j può essere sfruttata per l'esecuzione di codice da remoto (RCE). Mantenuta dall'Apache project, log4j è una libreria per realizzare funzioni di log. Essa è usata in molti servizi cloud e prodotti. Un attaccante può scrivere una stringa in una richiesta http; se l'applicazione tiene il log della stringa con log4j, questo può essere ingannato e connettersi a un server dell'attaccante e scaricare codice che sarà eseguito dal servizio. La vulnerabilità ha codice CVE-2021-44228.
Questa vulnerabilità dimostra un problema di sicurezza non indifferente: è preferibile usare librerie e strumenti sviluppati da altri (purché competenti), in modo da sviluppare autonomamente e male le stesse soluzioni, ma se le librerie più diffuse sono compromesse, tantissimi servizi saranno vulnerabili.
Ecco quindi che l'uso di soluzioni sviluppate da altri non ci deve esimere dal tracciarle (ecco a cosa serve l'asset inventory!), monitorarle, verificare se sono costantemente mantenute. In altre parole: non vengono a costo zero, anche se sono free. E a questo punto mi è venuto in mente che anche questa è una lezione che andrebbe spiegata per bene a tutti coloro che lavorano nel o con l'IT.
Ulteriore articolo tecnico è quello del CERT del Governo svizzero:
- https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/.
Aggiornamento Linee guida EDPB sulle notifiche delle violazioni
EDPB ha aggiornato a dicembre 2021 le "Guidelines 01/2021 on Examples
regarding Personal Data Breach Notification":
- https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en.
La prima versione era di gennaio 2021 e all'epoca non le avevo segnalate.
E' ovviamente necessario leggerle, anche perché i casi possono essere usati come minacce da considerare nella valutazione del rischio e per ciascuno di essi sono anche elencate le misure di sicurezza. Insomma: queste linee guida possono essere usate per verificare la completezza delle propria valutazione del rischio e valutare l'adeguatezza delle misure di sicurezza.
Grazie a Chiara Ponti per averlo segnalato agli Idraulici della Privacy.
- https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en.
La prima versione era di gennaio 2021 e all'epoca non le avevo segnalate.
E' ovviamente necessario leggerle, anche perché i casi possono essere usati come minacce da considerare nella valutazione del rischio e per ciascuno di essi sono anche elencate le misure di sicurezza. Insomma: queste linee guida possono essere usate per verificare la completezza delle propria valutazione del rischio e valutare l'adeguatezza delle misure di sicurezza.
Grazie a Chiara Ponti per averlo segnalato agli Idraulici della Privacy.
venerdì 7 gennaio 2022
Sito di ACN
Grazie a Silvestro Marascio di DFA, vengo a conoscenza del fatto che
l'Agenzia per la cyberscicurezza nazionale ha avviato il suo sito web:
- https://www.acn.gov.it/.
Al momento non c'è quasi niente, ma sono fiducioso che le cose arriveranno.
- https://www.acn.gov.it/.
Al momento non c'è quasi niente, ma sono fiducioso che le cose arriveranno.
martedì 21 dicembre 2021
Le icone per le informative privacy
Grazie a un tweet di Daniela Quetti, scopro che si è concluso un concorso
del Garante per proprorre icone nelle informative privacy:
- https://www.garanteprivacy.it/temi/informativechiare.
Le icone dovrebbero far capire al volo dove si parla di "accesso ai dati", "finalità", "titolare", eccetera.
Manuel Salvi ha espresso perplessità in merito alla chiarezza delle informative in generale che condivido:
- https://www.linkedin.com/posts/manuelsalvi_gdpr-activity-6877893872488378368-WD-w.
Io guardo le icone e non mi aiutano proprio a capire al volo che lì si parla di titolare (o responsabile, o finalità, o DPO e via così). Potrei usarle per rendere più piacevoli le informative con qualche elemento grafico, ma "Titolare" dovrò pur sempre scriverlo.
L'idea delle icone è carina e interessante, ma, nella migliore delle ipotesi, ci vorranno anni per renderle familiari. Io poi penso che non ci arriveremo mai, visto che (ad esclusione di chi lavora nella privacy) le persone "normali" le vedono una o due volte al mese al massimo, non come i cartelli stradali o i bottoni sui pc che invece vedono quotidianamente per tempi lunghi.
Insomma, penso che si stia rincorrendo un'illusione (e allora preferisco impiegare il mio tempo inseguendo altre illusioni).
- https://www.garanteprivacy.it/temi/informativechiare.
Le icone dovrebbero far capire al volo dove si parla di "accesso ai dati", "finalità", "titolare", eccetera.
Manuel Salvi ha espresso perplessità in merito alla chiarezza delle informative in generale che condivido:
- https://www.linkedin.com/posts/manuelsalvi_gdpr-activity-6877893872488378368-WD-w.
Io guardo le icone e non mi aiutano proprio a capire al volo che lì si parla di titolare (o responsabile, o finalità, o DPO e via così). Potrei usarle per rendere più piacevoli le informative con qualche elemento grafico, ma "Titolare" dovrò pur sempre scriverlo.
L'idea delle icone è carina e interessante, ma, nella migliore delle ipotesi, ci vorranno anni per renderle familiari. Io poi penso che non ci arriveremo mai, visto che (ad esclusione di chi lavora nella privacy) le persone "normali" le vedono una o due volte al mese al massimo, non come i cartelli stradali o i bottoni sui pc che invece vedono quotidianamente per tempi lunghi.
Insomma, penso che si stia rincorrendo un'illusione (e allora preferisco impiegare il mio tempo inseguendo altre illusioni).
lunedì 20 dicembre 2021
"Cybersecurity Made in Europe Label"
Franco Vincenzo Ferrari di DNV mi ha inoltrato la segnalazione relativa al
"Cybersecurity Made in Europe Label":
-
https://www.corrierecomunicazioni.it/cyber-security/cybersicurezza-arriva-il-bollino-europeo-di-qualita-per-le-aziende/.
Va guardato anche il sito vero e proprio:
- https://www.cybersecurity-label.eu/.
Devo dire che l'iniziativa poteva essere bella, ma il sito non è chiaro e,
anzi, mi ha lasciato perplesso se non preoccupato. I motivi sono i seguenti:
Primo: sembra che si tratti di un'etichetta per dire che si è bravi ad
erogare servizi di cybersicurezza (ma niente a che vedere con le
certificazioni previste dal Cybersecurity act), ma non si distingue assolutamente tra i vari servizi, come se fossero un grande blob unico.
Sappiamo che i servizi sono tanti: monitoraggio, gestione sistemistica o
della rete, VA/PT infrastrutturali o delle applicazioni (e, a loro volta, di
tantissimi tipi), allarmi preventivi, chi ne ha più ne metta. Qui sembra che tutti i servizi possono avere l'etichetta "Cybersecurity Made in Europe
Label", senza distinzione alcuna.
Secondo: il registro delle aziende "etichettate" riporta solo il link al
loro sito web, senza dire quale servizio è stato valutato.
Terzo: nelle istruzioni per ricevere l'etichetta, gli unici criteri di
verifica che ho trovato richiedono solo dichiarazioni e una breve check list
di due paginette. La check list (dal titolo "The Label Conformity Declaration with ENISA's Indispensable baseline security requirements for
the procurement of secure ICT products and services"), tra l'altro, riporta
domande sulla sicurezza del "prodotto", non sulla qualità di un servizio di sicurezza.
Allora sembrerebbe che l'etichetta serva solo a dichiarare di essere
un'impresa che si occupa di cybersicurezza e che ha sede in Europa. Beh...
non mi sembra questa gran cosa. Sembra un'iniziativa in cui le aziende
spendono soldi per essere inserite in un registro (almeno apparentemente)
inutile (anzi, direi dannoso, visto che toglie energie a cose più importanti
e dà false idee su cos'è la sicurezza, purtroppo avallate da troppe
imprese).
O forse sbaglio (lo spero proprio) e non ho visto tutto?
D. Lgs. 170 e 173 del 2021 per il Codice del consumo e la vendita di dati personali
Grazie all'informativa di B&C Legal and compliance vedo che sono entrati in
vigore i D. Lgs. 170 e 173 del 2021 con modifiche al codice del consumo.
Per questo segnalo due articoli di Altalex. Il primo riguarda il D. Lgs. 170 e tratta soprattutto delle responsabilità del venditore (e quindi dei diritti dei consumatori) di beni digitali:
- https://www.altalex.com/documents/news/2021/12/03/codice-del-consumo-le-modifiche-alla-disciplina-sulla-vendita-di-beni.
Il secondo riguarda il D. Lgs. 173 del 2021 e riguarda i contratti di fornitura di servizi digitali, incluso il "pagamento con dati personali":
- https://www.altalex.com/documents/news/2021/12/09/fornitura-di-contenuti-o-servizi-digitali-le-modifiche-al-codice-del-consumo.
Per quanto riguarda il secondo caso, sembra che le interpretazioni siano ancora dubbiose e quindi ci vorrà del tempo per capirne meglio la portata.
Per questo segnalo due articoli di Altalex. Il primo riguarda il D. Lgs. 170 e tratta soprattutto delle responsabilità del venditore (e quindi dei diritti dei consumatori) di beni digitali:
- https://www.altalex.com/documents/news/2021/12/03/codice-del-consumo-le-modifiche-alla-disciplina-sulla-vendita-di-beni.
Il secondo riguarda il D. Lgs. 173 del 2021 e riguarda i contratti di fornitura di servizi digitali, incluso il "pagamento con dati personali":
- https://www.altalex.com/documents/news/2021/12/09/fornitura-di-contenuti-o-servizi-digitali-le-modifiche-al-codice-del-consumo.
Per quanto riguarda il secondo caso, sembra che le interpretazioni siano ancora dubbiose e quindi ci vorrà del tempo per capirne meglio la portata.
Regolamento AgID per il cloud delle PA
Franco Vincenzo Ferrari di DNV mi ha segnalato che AgID ha pubblicato il
"Regolamento recante i livelli minimi di sicurezza, capacità elaborativa,
risparmio energetico e affidabilità delle infrastrutture digitali per la PA
e le caratteristiche di qualità, sicurezza, performance e scalabilità,
portabilità dei servizi cloud per la pubblica amministrazione, le modalità
di migrazione, nonché le modalità di qualificazione dei servizi cloud per la
pubblica amministrazione":
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2021/12/15/cloud-pa-adottato-il-regolamento.
Per leggere le misure vere e proprie, bisogna scaricare l'allegato dalla pagina:
- https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_123065_725_1.html.
Nulla di particolarmente innovativo (ma non per questo scorretto), ma è importante conoscere le misure richiesta alla PA e ai suoi fornitori.
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2021/12/15/cloud-pa-adottato-il-regolamento.
Per leggere le misure vere e proprie, bisogna scaricare l'allegato dalla pagina:
- https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_123065_725_1.html.
Nulla di particolarmente innovativo (ma non per questo scorretto), ma è importante conoscere le misure richiesta alla PA e ai suoi fornitori.
sabato 18 dicembre 2021
VERA 6
Finalmente sono riuscito a completare e pubblicare il VERA 6 in italiano e
inglese. Si scarica dal mio sito:
- https://www.cesaregallotti.it/Pubblicazioni.html.
Le modifiche principali:
- forse la più importante è che riporta i controlli della ISO/IEC 27001 del 2013 e del 2022 con lista di riscontro;
- il piano di trattamento del rischio con anche il rischio atteso dopo l'azione.
Per quanto riguarda i controlli, ho cercato di avere una relazione 1-1 tra quelli del 2013 e quelli del 2022. Questo ha comportato un aumento di 14 controlli, mentre tra le due edizioni c'è stata una diminuzione. Però penso che in alcuni casi gli accorpamenti siano stati eccessivi, fino a rendere meno chiari alcuni controlli. Quindi alla fine penso che non sia una cosa così negativa avere qualche controllo in più, purché si aggiunga chiarezza.
Quindi ho anche aggiunto note ai controlli.
Come sempre, invito tutti a segnalarmi errori o possibili miglioramenti.
- https://www.cesaregallotti.it/Pubblicazioni.html.
Le modifiche principali:
- forse la più importante è che riporta i controlli della ISO/IEC 27001 del 2013 e del 2022 con lista di riscontro;
- il piano di trattamento del rischio con anche il rischio atteso dopo l'azione.
Per quanto riguarda i controlli, ho cercato di avere una relazione 1-1 tra quelli del 2013 e quelli del 2022. Questo ha comportato un aumento di 14 controlli, mentre tra le due edizioni c'è stata una diminuzione. Però penso che in alcuni casi gli accorpamenti siano stati eccessivi, fino a rendere meno chiari alcuni controlli. Quindi alla fine penso che non sia una cosa così negativa avere qualche controllo in più, purché si aggiunga chiarezza.
Quindi ho anche aggiunto note ai controlli.
Come sempre, invito tutti a segnalarmi errori o possibili miglioramenti.
giovedì 9 dicembre 2021
NISTIR 8286A sulla valutazione del rischio
Il NIST ha pubblicato la NISTIR 8286A "Identifying and Estimating
Cybersecurity Risk for Enterprise Risk Management":
- https://csrc.nist.gov/publications/detail/nistir/8286a/final.
L'ho letta un po' velocemente, ma devo dire che contiene cose molto interessanti. Si tratta quasi di un lungo articolo su alcune questioni relative alla valutazione del rischio relativo alla sicurezza delle informazioni.
Vorrei segnalare che propone una valutazione del rischio in qualche modo più semplice di quella che di solito vediamo. In sostanza chiede di enumerare le minacce e per ciascuna di esse di indicare la probabilità e l'impatto. Solo a un certo punto suggerisce di indicare su cosa la minaccia può avere impatti.
Ho trovato interessante la tabella 1, con esempi su come esplicitare la tolleranza al rischio (i "criteri di rischio" o "criteri di accettabilità del rischio" ad alto livello) e può suggerire alcune soluzioni a molti.
C'è una tabella 4 con una discussione sulle possibili distorsioni (bias) quando si valuta il rischio e anche questo l'ho trovato molto interessante.
Altre cose mi lasciano perplesso, ma vale comunque la pena buttarci un occhio.
- https://csrc.nist.gov/publications/detail/nistir/8286a/final.
L'ho letta un po' velocemente, ma devo dire che contiene cose molto interessanti. Si tratta quasi di un lungo articolo su alcune questioni relative alla valutazione del rischio relativo alla sicurezza delle informazioni.
Vorrei segnalare che propone una valutazione del rischio in qualche modo più semplice di quella che di solito vediamo. In sostanza chiede di enumerare le minacce e per ciascuna di esse di indicare la probabilità e l'impatto. Solo a un certo punto suggerisce di indicare su cosa la minaccia può avere impatti.
Ho trovato interessante la tabella 1, con esempi su come esplicitare la tolleranza al rischio (i "criteri di rischio" o "criteri di accettabilità del rischio" ad alto livello) e può suggerire alcune soluzioni a molti.
C'è una tabella 4 con una discussione sulle possibili distorsioni (bias) quando si valuta il rischio e anche questo l'ho trovato molto interessante.
Altre cose mi lasciano perplesso, ma vale comunque la pena buttarci un occhio.
giovedì 2 dicembre 2021
NIST SP 800-213 sulla sicurezza IoT
Il NIST ha pubblicato la NIST SP 800-213 dal titolo "IoT Device
Cybersecurity Guidance for the Federal Government". Essa è divisa in due
parti: il corpo principale ("Establishing IoT Device Cybersecurity Requirements") e l'elenco delle misure di sicurezza ("IoT Device
Cybersecurity Requirement Catalog"). Si può scaricare dal sito del NIST:
- https://csrc.nist.gov/publications/detail/sp/800-213/final.
Il corpo principale non mi sembra dica cose straordinarie, ma è utile per capire l'architettura di un sistema IoT e le sue caratteristiche significative per la sicurezza. Interessante il catalogo, anche se qualche misura mi sembra non scritta terra-terra.
Lettura consigliata per chi si occupa di questa materia, anche se penso che la guida
(http://blog.cesaregallotti.it/2019/02/etsi-ts-103-645-cyber-security-for.html), per sintesi, è più pratica.
Avevo segnalato a suo tempo (giugno 2020) le NIST NISTIRs 8259 e 8259A, dicendo che erano troppo generali. Questa supera questo problema.
- https://csrc.nist.gov/publications/detail/sp/800-213/final.
Il corpo principale non mi sembra dica cose straordinarie, ma è utile per capire l'architettura di un sistema IoT e le sue caratteristiche significative per la sicurezza. Interessante il catalogo, anche se qualche misura mi sembra non scritta terra-terra.
Lettura consigliata per chi si occupa di questa materia, anche se penso che la guida
(http://blog.cesaregallotti.it/2019/02/etsi-ts-103-645-cyber-security-for.html), per sintesi, è più pratica.
Avevo segnalato a suo tempo (giugno 2020) le NIST NISTIRs 8259 e 8259A, dicendo che erano troppo generali. Questa supera questo problema.
ISO/IEC 27013:2021 sulle relazioni tra ISO/IEC 27001 e ISO/IEC 20000-1
E' stata appena pubblicata la ISO/IEC 27013:2021 con titolo "Guidance on the
integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1":
- https://www.iso.org/standard/78752.html.
Questa è una norma che esiste dal 2012 e a mio parere contiene alcune indicazioni utili. In alcuni casi il testo è inutilmente complicato, ma molte volte permette di guardare consapevolmente alle differenze (soprattutto di linguaggio) tra i due standard.
Ho visto che Fabrizio Cirilli ha segnalato la pubblicazione su LinkedIn qualche giorno fa. Lo ringrazio.
- https://www.iso.org/standard/78752.html.
Questa è una norma che esiste dal 2012 e a mio parere contiene alcune indicazioni utili. In alcuni casi il testo è inutilmente complicato, ma molte volte permette di guardare consapevolmente alle differenze (soprattutto di linguaggio) tra i due standard.
Ho visto che Fabrizio Cirilli ha segnalato la pubblicazione su LinkedIn qualche giorno fa. Lo ringrazio.
lunedì 29 novembre 2021
ISO/TS 22317:2021 sulla BIA
Nuova ISO/TS 22317:2021, "Guidelines for business impact analysis" per la
continuità operativa:
- https://www.iso.org/standard/79000.html.
Non l'ho ancora letta. La precedente versione mi sembrava un po' troppo teorica. Però vale sicuramente la pena buttarci un occhio.
Grazie a Laura Zarrillo che l'ha segnalato su LinkedIn.
- https://www.iso.org/standard/79000.html.
Non l'ho ancora letta. La precedente versione mi sembrava un po' troppo teorica. Però vale sicuramente la pena buttarci un occhio.
Grazie a Laura Zarrillo che l'ha segnalato su LinkedIn.
domenica 14 novembre 2021
Mia presentazione sullo stato delle certificazioni GDPR
Il 13 novembre ho tenuto una breve presentazione con gli Idraulici della
privacy dal titolo "Certificazioni e codici di condotta GDPR: come si sta
procedendo?":
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2021-Presentazione-certificazioni-GDPR-rev01.pdf.
Ho iniziato a preparare le slide e poi, grazie agli Idraulici presenti, ho potuto integrare e aggiornare le slide. E meno male! Perché c'erano alcune cose che non avevo considerato.
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2021-Presentazione-certificazioni-GDPR-rev01.pdf.
Ho iniziato a preparare le slide e poi, grazie agli Idraulici presenti, ho potuto integrare e aggiornare le slide. E meno male! Perché c'erano alcune cose che non avevo considerato.
martedì 9 novembre 2021
Articolo sulla valutazione dei rischi di sicurezza delle informazioni e di privacy
Monica Perego ha scritto un articolo dal titolo "La valutazione dei rischi a
fronte della Norma ISO/IEC 27001:2013, del Regolamento UE 2016/679 e della
Norma ISO/IEC 27701:2019":
- https://www.federprivacy.org/informazione/flash-news/la-valutazione-dei-rischi-a-fronte-della-iso-iec-27001-2013-del-regolamento-ue-2016-679-e-della-iso-iec-27701-2019.
Monica scrive sempre cose utili e da un punto di vista interessante.
E mi cita! Ne sono onorato.
- https://www.federprivacy.org/informazione/flash-news/la-valutazione-dei-rischi-a-fronte-della-iso-iec-27001-2013-del-regolamento-ue-2016-679-e-della-iso-iec-27701-2019.
Monica scrive sempre cose utili e da un punto di vista interessante.
E mi cita! Ne sono onorato.
lunedì 8 novembre 2021
Stato delle norme ISO/IEC 270xx
Il 26 ottobre si è concluso il meeting semestrale del WG 1 (sistemi di
gestione per la sicurezza delle informazioni) dell'ISO/IEC JTC 1 SC 27 e il
27 ottobre quello del WG 5 (privacy). Gli incontri del WG 1 sono durati
pochi giorni perché molti incontri di scrittura degli standard si sono
tenuti da remoto nei mesi precedenti.
Per il WG 1 ho seguito i lavori per:
- l'approvazione della prossima versione della ISO/IEC 27002, che dovrebbe quindi uscire a gennaio 2022;
- l'approvazione dell'Amd per la ISO/IEC 27001 che sarà consolidato, insieme alle correzioni del 2017, in una bozza finale per avere la pubblicazione della ISO/IEC 27001:2022 a maggio 2022;
- l'approvazione della partenza dei lavori per una nuova ISO/IEC 27001 in autunno 2022 (i lavori potranno essere abbastanza lunghi e dovranno considerare le molte questioni sollevate negli anni, tra cui quella della necessità della dichiarazione di applicabilità);
- lo stato delle norme collegate alle ISO/IEC 27002 che pertanto andranno aggiornate (si inizia con ISO/IEC 27008, 27107, 27019, 27103 e segnalo che, viste le certificazioni in giro, quella più significativa è la ISO/IEC 27017; la ISO/IEC 27018 è in carico al WG 5 e quindi non se ne è discusso);
- il lancio di un nuovo studio per censire gli standard che si basano sulla ISO/IEC 27002;
- l'interessante analisi di Fabio Guasconi sulla ISO 22100-4 dal titolo "Guidance to machinery manufacturers for consideration of related IT-security (cyber security) aspects";
- l'avanzamento della ISO/IEC 27005 (che non ho seguito) in stato di DIS (si prevede quindi la pubblicazione a settembre 2022);
- l'avvio dell'aggiornamento della ISO/IEC 27006-1, che dovrebbe uscire a inizio 2023.
Per il WG 5 ho seguito i lavori per:
- ISO/IEC 27006-2, circa i requisiti aggiuntivi alla ISO/IEC 17021 e ISO/IEC 27006-1 per gli organismi di certificazione che svolgono audit e rilasciano certificazioni secondo la ISO/IEC 27701 (Privacy information management system); si sono analizzate le proposte per aggiornare l'attuale edizione; nulla di eclatante, ma si sono chiariti alcuni punti; fa eccezione il sistema di calcolo delle giornate di audit per il quale si è costituito un gruppo ad hoc (io profetizzo che i lavori si concluderanno con, parafrasando una frase di Churchill: "il calcolo basato sul numero di persone addette è il peggiore esclusi tutti gli altri"); se ne prevede la pubblicazione per metà 2024;
- ISO/IEC 27557 "Organizational privacy risk management" che si prevede di pubblicare a fine 2022;
- ISO/IEC 27555 "Guidelines on personally identifiable information deletion", che è stata pubblicata a ottobre e ha visto il contributo di un'editor italiana.
Per il WG 1 ho seguito i lavori per:
- l'approvazione della prossima versione della ISO/IEC 27002, che dovrebbe quindi uscire a gennaio 2022;
- l'approvazione dell'Amd per la ISO/IEC 27001 che sarà consolidato, insieme alle correzioni del 2017, in una bozza finale per avere la pubblicazione della ISO/IEC 27001:2022 a maggio 2022;
- l'approvazione della partenza dei lavori per una nuova ISO/IEC 27001 in autunno 2022 (i lavori potranno essere abbastanza lunghi e dovranno considerare le molte questioni sollevate negli anni, tra cui quella della necessità della dichiarazione di applicabilità);
- lo stato delle norme collegate alle ISO/IEC 27002 che pertanto andranno aggiornate (si inizia con ISO/IEC 27008, 27107, 27019, 27103 e segnalo che, viste le certificazioni in giro, quella più significativa è la ISO/IEC 27017; la ISO/IEC 27018 è in carico al WG 5 e quindi non se ne è discusso);
- il lancio di un nuovo studio per censire gli standard che si basano sulla ISO/IEC 27002;
- l'interessante analisi di Fabio Guasconi sulla ISO 22100-4 dal titolo "Guidance to machinery manufacturers for consideration of related IT-security (cyber security) aspects";
- l'avanzamento della ISO/IEC 27005 (che non ho seguito) in stato di DIS (si prevede quindi la pubblicazione a settembre 2022);
- l'avvio dell'aggiornamento della ISO/IEC 27006-1, che dovrebbe uscire a inizio 2023.
Per il WG 5 ho seguito i lavori per:
- ISO/IEC 27006-2, circa i requisiti aggiuntivi alla ISO/IEC 17021 e ISO/IEC 27006-1 per gli organismi di certificazione che svolgono audit e rilasciano certificazioni secondo la ISO/IEC 27701 (Privacy information management system); si sono analizzate le proposte per aggiornare l'attuale edizione; nulla di eclatante, ma si sono chiariti alcuni punti; fa eccezione il sistema di calcolo delle giornate di audit per il quale si è costituito un gruppo ad hoc (io profetizzo che i lavori si concluderanno con, parafrasando una frase di Churchill: "il calcolo basato sul numero di persone addette è il peggiore esclusi tutti gli altri"); se ne prevede la pubblicazione per metà 2024;
- ISO/IEC 27557 "Organizational privacy risk management" che si prevede di pubblicare a fine 2022;
- ISO/IEC 27555 "Guidelines on personally identifiable information deletion", che è stata pubblicata a ottobre e ha visto il contributo di un'editor italiana.
mercoledì 3 novembre 2021
NCSC Rapporto semestrale 2021/1 (ex Melani)
Segnalo il rapporto semestrale di NCSC (ex Melani):
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2021-1.html.
Come al solito è molto interessante e descrive gli incidenti più significativi registrati negli ultimi 6 mesi. Il rapporto non si ferma alla sola descrizione, ma include anche suggerimenti per le contromisure.
Spero un giorno di vedere un'iniziativa simile promossa anche dal nostro CSIRT o dalla Agenzia per la cybersicurezza nazionale (ACN). Va detto che lo CSIRT ha pubblicato materiale, ma a me sembra un po' troppo specifico e non scadenziato (non saprei come scriverlo bene, ma l'idea è che i report vengano prodotti "quando capita" e in parte questo è sensato, ma in parte penso ci sia bisogno di una raccolta periodica, come dimostra anche il successo del rapporto Clusit).
Per quanto riguarda l'ACN, mi sembra che non abbia neanche un sito web e questo è un peccato.
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2021-1.html.
Come al solito è molto interessante e descrive gli incidenti più significativi registrati negli ultimi 6 mesi. Il rapporto non si ferma alla sola descrizione, ma include anche suggerimenti per le contromisure.
Spero un giorno di vedere un'iniziativa simile promossa anche dal nostro CSIRT o dalla Agenzia per la cybersicurezza nazionale (ACN). Va detto che lo CSIRT ha pubblicato materiale, ma a me sembra un po' troppo specifico e non scadenziato (non saprei come scriverlo bene, ma l'idea è che i report vengano prodotti "quando capita" e in parte questo è sensato, ma in parte penso ci sia bisogno di una raccolta periodica, come dimostra anche il successo del rapporto Clusit).
Per quanto riguarda l'ACN, mi sembra che non abbia neanche un sito web e questo è un peccato.
venerdì 29 ottobre 2021
ENISA Threat Landscape 2021
ENISA ha pubblicato il Threat Landscape 2021, ossia la loro analisi delle
minacce e delle tendenze della sicurezza:
- https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021.
Fortunatamente hanno abbandonato il modello dell'anno scorso, ossia la suddivisione in numerose pubblicazione, e il tutto è in un malloppo di 116 pagine. Nell'executive summary sono citate le questioni principali, poi approfondite in 8 capitoli, ciascuno dedicato a macro-categorie di minacce informatiche (ransomware, malware, cryptojacking, email, minacce ai dati, minacce all'integrità e disponibilità, disinformazione, minacce non volontarie).
Alcune categorie sono forse troppo generiche, ma troppo dettaglio porterebbe forse troppa confusione.
Ringrazio Savino Menna della Clusit community for security.
- https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021.
Fortunatamente hanno abbandonato il modello dell'anno scorso, ossia la suddivisione in numerose pubblicazione, e il tutto è in un malloppo di 116 pagine. Nell'executive summary sono citate le questioni principali, poi approfondite in 8 capitoli, ciascuno dedicato a macro-categorie di minacce informatiche (ransomware, malware, cryptojacking, email, minacce ai dati, minacce all'integrità e disponibilità, disinformazione, minacce non volontarie).
Alcune categorie sono forse troppo generiche, ma troppo dettaglio porterebbe forse troppa confusione.
Ringrazio Savino Menna della Clusit community for security.
Ghosting e orbiting e social network
Segnalo questo articolo dal titolo "Peggio del ghosting c'è solo l'orbiting"
e riguarda alcune pratiche sui social network:
- https://www.siamomine.com/peggio-del-ghosting-ce-solo-lorbiting/.
Mi rendo conto che questo argomento è un po' fuori tema rispetto a "qualità, sicurezza delle informazioni e gestione dei servizi IT", ma ci è vicino e vale la pena conoscerlo.
L'articolo è stato segnalato dalla newsletter di DFA (www.perfezionisti.it).
- https://www.siamomine.com/peggio-del-ghosting-ce-solo-lorbiting/.
Mi rendo conto che questo argomento è un po' fuori tema rispetto a "qualità, sicurezza delle informazioni e gestione dei servizi IT", ma ci è vicino e vale la pena conoscerlo.
L'articolo è stato segnalato dalla newsletter di DFA (www.perfezionisti.it).
Privacy: articolo sull'uso di Google e i trasferimenti extra SEE
Segnalo questo articolo dal titolo "Google Workspace: l'azienda che lo usa
sarà davvero in regola con il Gdpr?":
- https://www.federprivacy.org/informazione/punto-di-vista/google-workspace-l-azienda-che-lo-usa-sara-davvero-in-regola-con-il-gdpr.
La risposta è, in estrema sintesi: non proprio e bisogna anche stare molto attenti.
Su questa questione avevo già accennato in precedenza, commentando le raccomandazioni dell'EDPB sui trasferimenti all'estero:
- http://blog.cesaregallotti.it/2021/07/privacy-e-edpb-raccomandazioni-per-i_3.html.
In quell'occasione dicevo che EDPB fornisce un elenco delle cose da valutare prima di iniziare un trasferimento extra SEE, ma è molto difficile affrontare quel tipo di analisi e, in sostanza, le PMI (e anche molte grandi) dovrebbero evitare ogni trasferimento, a meno di decidere di "sbagliare in compagnia" e continuare a usare Google e compagnia (e verificare se poi verranno sanzionati i primi sfortunati).
Mi permetto di osservare che in Europa non mi sembra ci siano fornitori capaci di contrastare i giganti made in USA e questo è un peccato.
- https://www.federprivacy.org/informazione/punto-di-vista/google-workspace-l-azienda-che-lo-usa-sara-davvero-in-regola-con-il-gdpr.
La risposta è, in estrema sintesi: non proprio e bisogna anche stare molto attenti.
Su questa questione avevo già accennato in precedenza, commentando le raccomandazioni dell'EDPB sui trasferimenti all'estero:
- http://blog.cesaregallotti.it/2021/07/privacy-e-edpb-raccomandazioni-per-i_3.html.
In quell'occasione dicevo che EDPB fornisce un elenco delle cose da valutare prima di iniziare un trasferimento extra SEE, ma è molto difficile affrontare quel tipo di analisi e, in sostanza, le PMI (e anche molte grandi) dovrebbero evitare ogni trasferimento, a meno di decidere di "sbagliare in compagnia" e continuare a usare Google e compagnia (e verificare se poi verranno sanzionati i primi sfortunati).
Mi permetto di osservare che in Europa non mi sembra ci siano fornitori capaci di contrastare i giganti made in USA e questo è un peccato.
lunedì 11 ottobre 2021
DL 139 (Capienze) e la cosiddetta abolizione della privacy
Non sono un legale, ma in questi giorni ho letto articoli quanto meno
allarmistici in merito al DL 139 (decreto "Capienze"). Segnalo questo perché
ha il pregio di riassumere le modifiche al Codice privacy (grazie a Biagio
Lammoglia degli Idraulici della privacy):
- https://www.linkedin.com/feed/update/urn:li:activity:6852161770073673728/.
Leggendo questo riassunto non capivo cosa c'era da preoccuparsi. Pensavo fossi io quello che non capiva. Però anche Manlio Cammarata, che di privacy ci capisce, sembra avere avuto il mio stesso pensiero. Ma lui lo scrive meglio e con più cognizione di causa:
- https://www.interlex.it/privacyesicurezza/decreto139.html.
Se sbaglio, almeno non sono da solo.
- https://www.linkedin.com/feed/update/urn:li:activity:6852161770073673728/.
Leggendo questo riassunto non capivo cosa c'era da preoccuparsi. Pensavo fossi io quello che non capiva. Però anche Manlio Cammarata, che di privacy ci capisce, sembra avere avuto il mio stesso pensiero. Ma lui lo scrive meglio e con più cognizione di causa:
- https://www.interlex.it/privacyesicurezza/decreto139.html.
Se sbaglio, almeno non sono da solo.
lunedì 27 settembre 2021
OWASP Top 10:2021
Segnalo che è stata pubblicata la nuova versione delle 10 vulnerabilità
applicative più importanti secondo OWASP:
- https://owasp.org/Top10/.
La precedente era del 2017.
Purtroppo non trovo una versione in pdf da poter studiare in formato cartaceo. L'analsii è decisamente molto tecnica e, quindi, sarò grato a chi mi segnalerà articoli di appronfondimento di questa versione.
- https://owasp.org/Top10/.
La precedente era del 2017.
Purtroppo non trovo una versione in pdf da poter studiare in formato cartaceo. L'analsii è decisamente molto tecnica e, quindi, sarò grato a chi mi segnalerà articoli di appronfondimento di questa versione.
Novità sulla futura ISO/IEC 27001
Riassumo: a inizio 2022 sarà pubblicata la nuova ISO/IEC 27002 e il gruppo
addetto alla redazione della ISO/IEC 27001 ha ragionato sui suoi impatti,
visto che ci sarebbe stato un disallineamento tra i controlli della ISO/IEC
27002 e quelli dell'Annex A della ISO/IEC 27001.
La soluzione è stata trovata: sarà pubblicato un Amendment per cambiare solo l'Annex A:
- https://www.iso.org/standard/82873.html.
Le nuove norme saranno, si spera, disponibili nel primo trimestre del 2022. Però attenzione: mentre avremo una ISO/IEC 27002:2022, l'altra rimarrà ISO/IEC 27001:2013, visto che un amendment non comporta il cambio di versione. Non credo si creerà confusione, visto che la scelta dei controlli è comunque determinata dalla valutazione del rischio e non dal contenuto esatto dell'Annex A della norma.
I controlli veramente nuovi, poi, sono pochi e sono i seguenti:
A.06.1.6 Threat intelligence;
A.12.1.5 Information deletion
A.12.1.6 Data masking;
A.12.4.6 Monitoring activities
A.13.1.4 Web filtering.
Anzi: per ridurre il numero di controlli nella nuova versione, alcuni della precedente sono stati accorpati (per esempio quello sul trasporto dei supporti fisici e quello sulla messaggistica elettronica), mentre questi nuovi possono essere visti come casi particolari dei precedente (tranne forse quello sul data masking) e, quindi, alla fine il livello di dettaglio può essere considerato equivalente.
La soluzione è stata trovata: sarà pubblicato un Amendment per cambiare solo l'Annex A:
- https://www.iso.org/standard/82873.html.
Le nuove norme saranno, si spera, disponibili nel primo trimestre del 2022. Però attenzione: mentre avremo una ISO/IEC 27002:2022, l'altra rimarrà ISO/IEC 27001:2013, visto che un amendment non comporta il cambio di versione. Non credo si creerà confusione, visto che la scelta dei controlli è comunque determinata dalla valutazione del rischio e non dal contenuto esatto dell'Annex A della norma.
I controlli veramente nuovi, poi, sono pochi e sono i seguenti:
A.06.1.6 Threat intelligence;
A.12.1.5 Information deletion
A.12.1.6 Data masking;
A.12.4.6 Monitoring activities
A.13.1.4 Web filtering.
Anzi: per ridurre il numero di controlli nella nuova versione, alcuni della precedente sono stati accorpati (per esempio quello sul trasporto dei supporti fisici e quello sulla messaggistica elettronica), mentre questi nuovi possono essere visti come casi particolari dei precedente (tranne forse quello sul data masking) e, quindi, alla fine il livello di dettaglio può essere considerato equivalente.
sabato 25 settembre 2021
Commenti privacy sul D.L. greenpass 127/2021
Come è noto, evito di scrivere di COVID e penso di averne già scritto
troppo.
Però il DL 127 del 2021 (come anche il precedente "settoriale" DL 175 del 2021 che ha aggiornato il 52/2021) pone problemi di privacy non indifferenti. Alcuni di questi sono stati esposti da Pietro Calorio (degli Idraulici della privacy) in questo articolo:
- https://www.linkedin.com/posts/pietrocalorio_gazzetta-ufficiale-activity-6846346383952273409-Hy-7.
La situazione è comunque di difficile interpretazione. Per esempio il consulente della sicurezza di un mio cliente dice è comunque meglio registrare i controlli fatti e lo stesso cliente vorrebbe facilitare il personale tracciando la scadenza del green pass, ma questo sembra non previsto (stiamo pensando di renderlo un "servizio" offerto dall'azienda, ma sarà la soluzione giusta?).
Però il DL 127 del 2021 (come anche il precedente "settoriale" DL 175 del 2021 che ha aggiornato il 52/2021) pone problemi di privacy non indifferenti. Alcuni di questi sono stati esposti da Pietro Calorio (degli Idraulici della privacy) in questo articolo:
- https://www.linkedin.com/posts/pietrocalorio_gazzetta-ufficiale-activity-6846346383952273409-Hy-7.
La situazione è comunque di difficile interpretazione. Per esempio il consulente della sicurezza di un mio cliente dice è comunque meglio registrare i controlli fatti e lo stesso cliente vorrebbe facilitare il personale tracciando la scadenza del green pass, ma questo sembra non previsto (stiamo pensando di renderlo un "servizio" offerto dall'azienda, ma sarà la soluzione giusta?).
venerdì 17 settembre 2021
Evoluzione normativa a supporto dell'Operational Resilience
Segnalo questo articolo di Laura Zarrillo dal titolo "On the Frontlines:
Building Operational Resilience":
- https://iaonline.theiia.org/blogs/Your-Voices/2021/Pages/On-the-Frontlines-Building-Operational-Resilience.aspx.
La continuità operativa a questi livelli (e in particolare nel settore bancario e finanziario) non è propriamente il mio settore, ma penso sia comunque opportuno tenersi aggiornati su cosa sta succedendo.
In particolare qui ci sono riferimenti alla necessità di controllare meglio i fornitori, i fornitori cloud e i sub-fornitori, stabilire il livello di accettabilità più sugli impatti che sui rischi, porre attenzione al ruolo dell'intelligenza artificiale e del machine learning, omogeneizzare la classificazione degli incidenti.
Ci sono altri spunti di interesse in questo articolo e ne raccomando la lettura.
- https://iaonline.theiia.org/blogs/Your-Voices/2021/Pages/On-the-Frontlines-Building-Operational-Resilience.aspx.
La continuità operativa a questi livelli (e in particolare nel settore bancario e finanziario) non è propriamente il mio settore, ma penso sia comunque opportuno tenersi aggiornati su cosa sta succedendo.
In particolare qui ci sono riferimenti alla necessità di controllare meglio i fornitori, i fornitori cloud e i sub-fornitori, stabilire il livello di accettabilità più sugli impatti che sui rischi, porre attenzione al ruolo dell'intelligenza artificiale e del machine learning, omogeneizzare la classificazione degli incidenti.
Ci sono altri spunti di interesse in questo articolo e ne raccomando la lettura.
giovedì 16 settembre 2021
Attacco SolarWinds del dicembre 2020: una sintesi
Da Crypto-Gram del 15 settembre 2021, segnalo questo articolo dal titolo
"SolarWinds and the Holiday Bear Campaign: A Case Study for the Classroom":
- https://www.lawfareblog.com/solarwinds-and-holiday-bear-campaign-case-study-classroom.
Scritto bene e interessante.
Purtroppo sembra che non sia ancora noto come abbiano fatto a compromettere i server di sviluppo del prodotto Orion. Saperlo, credo, ci permetterebbe di imparare una lezione importante.
- https://www.lawfareblog.com/solarwinds-and-holiday-bear-campaign-case-study-classroom.
Scritto bene e interessante.
Purtroppo sembra che non sia ancora noto come abbiano fatto a compromettere i server di sviluppo del prodotto Orion. Saperlo, credo, ci permetterebbe di imparare una lezione importante.
lunedì 13 settembre 2021
Privacy: Nuove clausole contrattuali standard per i trasferimenti all'estero
Il 4 giugno 2021, la Commissione europea ha pubblicato le nuove clausole
contrattuali standard (standard contractual clauses, SCC) per i
trasferimenti all'estero:
- https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
Questo era dovuto anche perché i modelli precedenti del 2010 si basavano sulla Direttiva 95/46 e non sul GDPR.
Io insisto su un punto, ossia sul fatto che anche nel caso di trasferimenti tra titolari sono indicate le misure di sicurezza e quindi penso che debba essere previsto anche nel caso di trasferimenti tra titolari all'interno dello stesso Paese.
Segnalo che è interessante il fatto che, rispetto alle precedenti SCC che erano per trasferimenti da titolare a titolare o da titolare a responsabile, qui sono stati aggiunti i casi di trasferimenti da responsabile a responsabile e da responsabile a titolare.
- https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
Questo era dovuto anche perché i modelli precedenti del 2010 si basavano sulla Direttiva 95/46 e non sul GDPR.
Io insisto su un punto, ossia sul fatto che anche nel caso di trasferimenti tra titolari sono indicate le misure di sicurezza e quindi penso che debba essere previsto anche nel caso di trasferimenti tra titolari all'interno dello stesso Paese.
Segnalo che è interessante il fatto che, rispetto alle precedenti SCC che erano per trasferimenti da titolare a titolare o da titolare a responsabile, qui sono stati aggiunti i casi di trasferimenti da responsabile a responsabile e da responsabile a titolare.
Iscriviti a:
Post (Atom)