Sul cambio delle password

Qualche tempo fa, nel 2019, avevo segnalato che NIST e Microsoft non ritenevano più necessario il cambio periodico delle password perché siano sicure: https://blog.cesaregallotti.it/2019/04/microsoft-e-il-cambio-delle-password.html.

Avevo espresso qualche perplessità sul fatto che la giustificazione non considerava che, in ambiente lavorativo, alcuni si scambiano le password e il cambio periodico permette di tornare a una situazione più sicura. In generale, però, la mia esperienza mi ha fatto cogliere favorevolmente questo approccio.

Ne ho discusso con Stefano Ramacciotti che invece sostiene l'opportunità di cambiare periodicamente le password. Almeno una volta all'anno.

Stefano dice che il NIST non cita le ricerche su cui ha fondato questo approccio. Anzi, mi segnala questo articolo che segnala questa carenza e approfondisce perché è opportuno cambiare le password almeno una volta all'anno (quelle per uso personale) o più spesso (in ambito lavorativo): https://www.linkedin.com/pulse/why-passwords-must-periodically-changed-roger-grimes/.

Stefano mi dice che "il considerando 49 della recente NIS 2, che dovrà essere recepita entro il 18.10.2024, riporta il cambio delle password come misura di cyber hygiene", o anche che la PCI DSS V 4.0 del 2022 prevede il cambio ogni 90 gg".

Conviene poi sul fatto che oggi, con le tecniche di salting, i tempi per compromettere le password sono abbastanza lunghi, ma non abbastanza da non richiedere un cambio periodico delle password ("un attaccante che avesse fatto il dump del SAM delle password di Windows o di /etc/shadow su Linux avrebbe prima o poi acquisito la password").

Sui tempi di compromissione delle password, poi, mi segnala un altro articolo, che contesta le tabelle che spesso si vedono in giro (quelle che dicono che password di meno di 8 caratteri si possono compromettere in pochi minuti, quelle di 8-10 caratteri in ore, eccetera): https://billatnapier.medium.com/those-tables-password-cracking-times-that-scare-you-are-mostly-wrong-7d03bf4aec6.

In questo secondo articolo, l'autore sembra contraddire la posizione di Stefano e non promuove il cambio della password. Però lo stesso Stefano precisa che "l'articolo prende solo in esame attacchi a forza bruta e nulla dice in merito ad altri tipi di attacchi; inoltre questi metodi sono in uso sui sistemi operativi di nuova generazione ma sono ancora utilizzati vecchi sistemi operativi e non tutti i servizi web usano librerie di gestione password aggiornate (sono tantissimi i siti che non memorizzano in modo appropriato le password e, per gli attaccanti, è facile prendere elenchi di password anche in chiaro o con una protezione ROT-13 equivalente)".

Stefano contesta anche la giustificazione fornita dal NIST (ossia che gli utenti, se richiesti di cambiare frequentemente le password, le scelgono deboli) perché questo non dovrebbe impedire di promuovere buone pratiche come il cambio periodico.

La cosa mi ha fatto riflettere e ci rifletterò.

Chiudo dando l'ultima parola a Stefano, che ringrazio per il confronto sempre costruttivo: "Dato che il prossimo 2 maggio cade il Password Day (sempre il primo giovedì di maggio di ogni anno dal 2013), perché non usarlo per cambiare tutte le nostre password almeno una volta all'anno (anche se a naso direi meglio due volte)?".

Primo Cybersecurity Certification Scheme europeo (basato sui Common Criteria)

L'Unione Europea, secondo quanto previsto dal Cybersecurity Act nel 2019, ha adottato il primo schema di certificazione sulla cybersecurity: https://www.enisa.europa.eu/news/an-eu-prime-eu-adopts-first-cybersecurity-certification-scheme. Ringrazio Riccardo Lora per averlo segnalato agli Idraulici della privacy.

Questo schema è basato sui Common Criteria, quindi è più orientato ai prodotti.

Non ho ancora capito come funzionerà lo schema, visto che è previsto che ogni Paese indichi un NCCA (organismo di accreditamento) che a sua volta controllerà i CAB (organismi di certificazione). Visto che le certificazioni secondo i Common Criteria erano gestite in modo diverso dalle certificazioni sui sistemi di gestione, non ho elementi per sapere come funzionerà questo schema in Italia (rimando al sito dell'unico organismo di certificazione italiano, https://www.ocsi.gov.it/index.html). Aggiungo che i Common Criteria non sono molti usati in Italia, vista la loro complessità e i costi per ottenere la certificazione (e infatti sul sito dell'OCSI i prodotti italiani certificati sono pochi sui circa 60; ce ne sono diversi non italiani).

Segnalo poi che l'UE sta lavorando ad altri schemi, uno per i servizi cloud (molto più interessante, credo, per l'Italia) e sulla sicurezza del 5G (non mi è chiaro però a cosa si riferisce, posso dedurre ai prodotti che hanno connettività 5G, ma non ne sono sicuro). Credo che questi siano molto importanti per l'Italia, visto che riguarderanno un mercato significativo.

Sono anche stati presi i primi passi per schemi sull'intelligenza artificiale, sui servizi eIDAS e sui servizi di sicurezza gestita. Visti i tempi tenuti finora, rimango in paziente attesa.

Chiara Ponti mi ha gentilmente segnalato questo articolo: https://formiche.net/2024/02/ue-certificazione-cyber-mele/. Non conoscendo bene lo schema approvato, visto lo scarso successo dei Common Criteria per costi e complessità, visto il tempo passato dal 2019 al 2024 per uno schema che tutto sommato era già pronto, non sono convinto che "molto presto senza un ‘bollino di cybersicurezza’ i produttori rischieranno di essere di fatto tagliati fuori”. Ho sbagliato altre volte, potrei sbagliare anche questa.

Confesso la mia ignoranza su questi schemi, ma penso che sia una materia da tenere sotto controllo e ringrazio finora chiunque vorrà contribuire, anche con segnalazioni su corsi di formazione, articoli eccetera.

Virus VERA.XLS

Stefano Ramacciotti mi ha segnalato questa pagina che parla del virus VERA.XLS: http://www.office-archive.com/2-excel/2996ddbb4f8b3ca7.htm.

La discussione è del 2001. Il mio VERA sarebbe nato 7 anni dopo, inconsapevole dell'omonimia. Molto divertente.

Strumento di analisi privacy dei siti web di EDPB

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione del tool "Website auditing" dell'EDPB: https://edpb.europa.eu/news/news/2024/edpb-launches-website-auditing-tool_en.

Facilissimo da installare, permette di verificare i cookie attivi, se ha attivo l'https e altre semplici caratteristiche di un sito web. Onestamente: ne avevo proprio bisogno.

Esperienze sul whistleblowing

Avevo scritto tempo fa del D. Lgs. 24 del 2023 sul whistleblowing e delle Linee guida di Confindustria.

Ho avuto qualche esperienza in merito e ho voluto parlarne con gli Idraulici della privacy. Ho provato a mettere insieme le cose in una presentazione, aggiornata dopo il dibattito, che trovate qui: https://www.cesaregallotti.it/Pubblicazioni.html.

Nulla di nuovo, ma un'occasione per discuterne dopo le esperienze fatte.

Ci sono un paio di riflessioni sul canale di comunicazione da usare (non è detto che sia necessaria una "piattaforma" perché anche l'email può essere sufficiente) e sulla DPIA (che ho fatto senza calcoli).

Norme EN sulla privacy (e la certificazione GDPR)

Da ottobre 2023 sono disponibili due norme EN sulla privacy che potranno essere usate per le "certificazioni GDPR (art. 42 e 43)". Non avevo dato la notizia perché avevo fatto confusione con la numerazione.

La prima è la EN 17799:2023 "Personal data protection requirements for processing operations": https://standards.cencenelec.eu/dyn/www/f?p=205:110:0::::FSP_PROJECT:72146&cs=1542894B837546009C6EA75EEF37A17FB.

Essa è, in poche e imprecise parole, l'erede della UNI/PdR 43. La EN 17799 ha un ambito più ampio della PdR 43, non riducendosi al solo ambito ICT. È più destinata alle PMI.

La seconda è l'EN 17926:2023 "Privacy Information Management System per ISO/IEC 27701 - Refinements in European context": https://standards.cencenelec.eu/dyn/www/f?p=205:110:0::::FSP_PROJECT:73645&cs=1E27CF456A53D1D12798EDA52ADB48A97.

Questa, in pochissime e imprecisissime parole, dice: "Prendi la ISO/IEC 27701 e cambia un paio di cosine, così potrai usare questa EN 17926 per certificarti secondo articoli 42 e 43 del GDPR usando la ISO/IEC 27701". È più destinata alle organizzazioni di dimensione medio-grande.

In tutti e due i casi non sono pronte le norme con le regole di accreditamento (a mio parere non lo saranno prima del 2025) e quindi non sono ancora utilizzabili. Qualche organismo di accreditamento potrebbe lanciare in autonomia uno schema di certificazione, ma dubito che avverrà, visto che l'obiettivo è quello di usarle per uno schema di sigillo europeo e quindi essere approvate dall'EDPB.

Ringrazio gli Idraulici della privacy per avermi forzato a ripensare su queste norme.

Guida per gli adempimenti privacy in Svizzera

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione della "Guida ai provvedimenti tecnici e organizzativi concernenti la protezione dei dati (TOM)" dell'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) della Confederazione Svizzera: https://www.edoeb.admin.ch/edoeb/it/home/kurzmeldungen/km2024/23012024_leitfaden_tom.html.

La versione in inglese ("Guide to Technical and Organisational Data Protection Measures (TOM)"): https://www.edoeb.admin.ch/edoeb/en/home/kurzmeldungen/km2024/23012024_leitfaden_tom.html.

Nulla di nuovo, ma una buona guida, pragmatica e sintetica al punto giusto, per la protezione dei dati personali e la sicurezza delle informazioni.

Tassonomia dei rischi privacy dovuti all'IA

Dalla newsletter di Project:IN Avvocati, segnalo un documento dal titolo "Deepfakes, Phrenology, Surveillance, and More! A Taxonomy of AI Privacy Risks".

Si può scaricare dal link presente in un articolo di IAPP: https://iapp.org/news/a/shaping-the-future-a-dynamic-taxonomy-for-ai-privacy-risks/.

Dico che, a fronte di tanta (e forse troppa) documentazione sull'intelligenza artificiale, questo mi è sembrato particolarmente interessante perché riassume bene gli aspetti critici dell'IA.

Licenziamento per aver parlato male del datore di lavoro sui social

Segnalo questo articolo dal titolo "Parla male del datore di lavoro sui social? Sì al licenziamento per giusta causa": https://www.altalex.com/documents/news/2024/01/18/parla-male-datore-di-lavoro-su-social-si-a-licenziamento-per-giusta-causa.

Questo genere di notizie mi interessa sempre perché dimostrano (anche se con pochi casi) il rapporto curioso che molti hanno con i social media, dove si sentono in diritto di poter dire qualsiasi cosa, incuranti (o forse spinti) da chi possa venirne a conoscenza. La questione non è solo sociale, è anche di sicurezza delle informazioni: se manca un autocontrollo su quello che si scrive, potrebbero anche essere scritte cose riservate.

Misurazioni della sicurezza. Bozza della NIST SP 800-55

Il NIST ha pubblicato la bozza della nuova versione della SP 800-55 "Measurement Guide for Information Security": https://csrc.nist.gov/News/2024/nist-sp-800-55-draft-available-for-comment.

Come impressione generale mi sembra molto teorica e poco pratica. Manca di esempi significativi (i pochissimi che ci sono mi sembrano più per grandi che per piccole o medie imprese).

Ho trovato interessanti alcuni richiami teorici, anche se ormai faccio fatica a capirli fino in fondo.

Garante privacy, ASL, Tribunale di Udine e DPIA (link alle sentenze)

Avevo scritto un post dal titolo "Garante privacy, ASL, Tribunale di Udine e DPIA": http://blog.cesaregallotti.it/2023/12/garante-asl-tribunale-di-udine-e-dpia.html.

Elia Barbujani (Idraulico della privacy) mi ha mandato un paio di link per approfondire.

Il primo riguarda la motivazione della sentenza del Tribunale di Udine: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9957324.

Il secondo riguarda la sentenza del Tribunale di Pordenone, citata dall'articolo di Silvia Stefanelli che avevo segnalato nel mio post: https://www.agendadigitale.eu/sicurezza/privacy/medicina-di-iniziativa-perche-anche-il-tribunale-di-udine-ha-detto-no-al-garante-privacy/.  

Data Act: il link

Glauco Rampogna (Idraulico della privacy e non solo) mi ha segnalato il link per il Data Act: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32023R2854.

Del Data Act, poco tempo fa, avevo già riassunto gli obiettivi (norme finalizzate a consentire agli utilizzatori di prodotti e servizi di accedere e utilizzare i dati personali generati dai loro dispositivi connessi) e riportato il link alla pagina del comunicato stampa del Consiglio UE: https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/.

Saranno scritti fiumi di parole in merito e quindi evito di farlo io.

ISO/IEC 42001 sull'intelligenza artificiale

Monica Perego (Idraulica della privacy) mi ha segnalato la pubblicazione della ISO/IEC 42001:2023 "Information technology - Artificial intelligence - Management system": https://www.iso.org/standard/81230.html.

Riporta i requisiti per un sistema di gestione per l'intelligenza artificiale.

La norma richiede di valutare il rischio non solo relativo all'efficacia del sistema di gestione (come tutte le altre norme relative ai sistemi di gestione come la ISO 9001 e la ISO/IEC 27001), ma anche di condurre valutazioni del rischio relative all'intelligenza artificiale, quindi più tecniche (anche se le due valutazioni potrebbero, almeno in teoria, essere integrate). Richiede anche una valutazione d'impatto dell'IA (ossia una valutazione relativa agli impatti sugli individui e sulla società).

La norma fa riferimento anche alle ISO/IEC 38507 (Governance implications of the use of artificial intelligence by organizations) e ISO/IEC 23894 (Guidance on risk management), che non ho letto e quindi non posso commentare.

I requisiti di valutazione del rischio sono organizzati come nella ISO/IEC 27001, ossia in gran parte nel capitolo 6 (relativo alla pianificazione) e poi richiamati nel capitolo 8 (relativo alle attività operative).

Importanti, infine, gli Annex. Infatti la ISO/IEC 42001 funzione come la ISO/IEC 27001 e ha un Annex A con i controlli da considerare per il trattamento del rischio. Anche da questo punto di vista, introduce elementi tecnici interessanti.

Oltre a ciò, c'è un Annex B con la guida per l'implementazione dei controlli (come la ISO/IEC 27002) e un Annex C con alcuni obiettivi organizzativi relativi all'IA e alcune sorgenti di rischio (qui chiaramente e, finalmente e correttamente, assimilabili alle minacce e non agli agenti di minaccia).

C'è infine un Annex D sull'uso dei sistemi di gestione per l'intelligenza artificiale in diversi domini e settori e sulla loro integrazione con altri sistemi di gestione, a mio parere inutile (ma occupa fortunatamente solo due pagine).

Certificazioni OpenSM

Francesco Cagno di Deloitte (e mio collega nel lontano 2008) mi ha segnalato l'iniziativa dell'OpenSM Foundation: https://www.opensm.org/ (il sito va certamente migliorato e l'ho già comunicato a Francesco).

Si tratta, in pochissime parole, di un modello alternativo a ITIL. Nelle intenzioni, dovrebbe anche essere meno pesante di ITIL, proponendo solo 3 certificazioni e un modello meno complicato.

Gli faccio i miei migliori auguri di riuscire a diffondersi e far tornare la "gestione dei servizi" a essere pragmatica.

Condannato per aver danneggiato la rete aziendale dopo licenziamento (negli USA)

Notizia dal SANS Newsbytes: Uno specialista cloud della First Republic Bank (California, USA) è stato condannato a due anni di prigione e a risarcire circa 500mila dollari; dopo essere stato licenziato nel marzo 2020, con le sue credenziali (non disabilitate immediatamente) e il computer aziendale (a casa sua al momento del licenziamento), potè installare malware, cancellare archivi di codice sorgente, bloccare utenti dai servizi cloud e fare altre attività dannose.

Un articolo: https://www.theregister.com/2023/12/12/cloud_engineer_bank_prison/

ACN e Garante privacy: Linee guida per la conservazione delle password

Il Garante Privacy e l'Agenzia per la cybersicurezza nazionale (ACN) hanno pubblicato delle "Linee Guida per la conservazione delle #password": https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9962240.

Devo dire che avevo ignorato l'annuncio fino a quando non ho visto un tweet di Filippo Bianchini, che ringrazio.

Però devo richiamare l'attenzione sul fatto che il titolo vero del documento è "Linee guida funzioni crittografiche: Conservazione delle Password" e si capisce immediatamente che non si tratta di un documento con raccomandazioni per tutti i cittadini, ma di qualcosa di più tecnico.

Sono presentati algoritmi crittografici robusti che potrebbero essere usati dai diversi prodotti per la sicurezza delle password. Considerando che oggi gli sviluppatori non sviluppano quasi più meccanismi di conservazione delle password, ma utilizzano librerie fatte da altri, è quindi compito degli sviluppatori e degli amministratori di sistema verificare quali algoritmi sono usati dai prodotti che gestiscono e configurarli opportunamente.

Materia non facile e devo dire che mi sarebbe piaciuta un'analisi dei prodotti più diffusi.

Garante, ASL, Tribunale di Udine e DPIA

Segnalo questo articolo di Silvia Stefanelli dal titolo "Medicina di iniziativa, perché anche il tribunale di Udine ha detto no al Garante privacy": https://www.agendadigitale.eu/sicurezza/privacy/medicina-di-iniziativa-perche-anche-il-tribunale-di-udine-ha-detto-no-al-garante-privacy/.

La lettura è decisamente interessante, ma orientata soprattutto a questioni legate alle ASL.

Però lo segnalo perché c'è un passaggio in cui il Tribunale di Udine non concorda con il Garante circa la necessità di avere una DPIA per una selezione di pazienti fragili in relazione alle complicanze in caso di infezione da Covid-19.

Segnalo infatti, dalle conclusioni di Stefanelli, questo passaggio: "sulla carenza di DPIA ci si chiede quale mai possa essere l’impatto sulla sfera giuridica degli interessati se vengono create liste di pazienti fragili con l’obiettivo di alzare il livello di prevenzione. Tale approccio concreto va appoggiato".

Per approfondimenti rimando all'articolo originale.

AI Act della UE - Accordo del trilogo

Come è noto, è stato raggiunto un accordo tra le istituzioni europee sul cosiddetto AI Act, ossia sulla normativa europea che governerà l'intelligenza artificiale.

Il Parlamento Europeo indica così gli obiettivi della normativa: https://www.europarl.europa.eu/news/it/headlines/society/20230601STO93804/normativa-sull-ia-la-prima-regolamentazione-sull-intelligenza-artificiale.

Come scrive Guerre di Rete: "L’accordo uscito dal trilogo (negoziazioni tra Parlamento, Consiglio e Commissione) in questo momento manca ancora di un testo definitivo a disposizione del pubblico, e molto si giocherà sui dettagli. Per questo motivo anche chi sosteneva la regolamentazione, specie la bozza più attenta alla difesa dei diritti uscita dal Parlamento a giugno, in questo momento sta sospendendo il giudizio in attesa di capire quanto i dettagli daranno margine di manovra agli Stati, alle eccezioni previste, e quanto alla difesa di quei diritti. Senza contare che molti aspetti tecnici saranno messi a terra nelle prossime settimane".

Segnalo questo articolo di Matteo Sironi, che spiega bene lo stato dell'arte e il fatto che non c'è nulla di definitivo: https://formiche.net/2023/12/ai-act-europeo-sironi/.

In Francia vietatata WhatsApp ai ministri in favore di Olvid

Segnalo un articolo dal titolo molto chiaro: "App e cybersecurity, la Francia vieta WhatsApp ai ministri. Dall’8 dicembre si utilizzerà Olvid": https://www.cybersecitalia.it/app-e-cybersecurity-la-francia-vieta-whatsapp-ai-ministri-dall8-dicembre-si-utilizzera-olvid/27716/.

La notizia l'ho avuta dalla newsletter di Project:IN Avvocati.

Il caso è interessante, considerando gli impatti sulla sicurezza, l'avanzare delle proposte tecnologiche europee e le modalità con cui queste sono promosse. In particolare: questo dimostra che l'Italia è indietro? questa pratica porterà a una vera concorrenza verso gli OTT made in USA? questo dimostra la validità delle scelte normative EU, non solo per i diritti dei cittadini ma anche per lo sviluppo economico?

Data Act per l'uso dei dati personali da parte degli interessati

Segnalo la pagina del Consiglio UE dal titolo "Data Act: Council adopts new law on fair access to and use of data": https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/.

La notizia l'ho presa dalla newsletter Project:IN Avvocati e quindi copio-incollo parte del suo commento: "La nuova legge europea fissa norme finalizzate a consentire agli utilizzatori di prodotti e servizi di accedere e utilizzare i dati personali generati dai loro dispositivi connessi. Il Data Act dovrà ora essere pubblicato nella Gazzetta Ufficiale dell’Unione e entrerà ufficialmente in vigore il ventesimo giorno successivo a tale pubblicazione. La gran parte delle disposizioni della nuova normativa europea cominceranno ad applicarsi 20 mesi dopo l’entrata in vigore".

ISO Survey 2022

L'ISO pubblica annualmente i dati relativi alle certificazioni ISO 9001, ISO IEC 27001, ISO 20000-1, ISO 22301, ISO 28000 e altre, per un totale di 16 sistemi di gestione.

La notizia l'ho avuto dalla newsletter di Accredia, che fa riferimento alla sua analisi: https://www.accredia.it/2023/11/27/iso-survey-2022-italia-1-in-europa-e-2-al-mondo-per-numero-di-certificati.

I dati possono essere scaricati direttamente, anche in formato Excel, dal sito ISO: https://www.iso.org/the-iso-survey.html.

Accredia: equivalenza delle certificazioni UKAS

Ivana Calì di SGS mi ha segnalato questo post di Accredia: https://it.linkedin.com/posts/accredia_valutazioni-organismi-ue-activity-7132749470907138048-ZEu7.

Si fa riferimento a una notizia che avevo dato a maggio con titolo "Accreditamento UKAS non più valido per gli appalti pubblici": http://blog.cesaregallotti.it/2023/05/accreditamento-ukas-non-piu-valido-per.html.

L'aggiornamento attuale è che "Il Consiglio di Stato ha concluso quindi che le certificazioni di qualità rilasciate da organismi stranieri accreditati dall'Ente unico nazionale di accreditamento di altro Stato europeo, firmatario dell'accordo EA MLA, qual è l'ente britannico UKAS, sono equivalenti alle certificazioni di qualità rilasciate da organismi accreditati dagli enti nazionali degli stati membri".

ISO/IEC 27701 sui sistemi di gestione per la privacy: com'è e come sarà

Segnalo questo mio articolo dal titolo "ISO/IEC 27701 sui sistemi di gestione per la privacy: com'è e come sarà": https://www.agendadigitale.eu/sicurezza/iso-iec-27701-sui-sistemi-di-gestione-per-la-privacy-come-e-come-sara/.

Guidelines for secure AI system development (CISA)

Il US Cybersecurity and Infrastructure Security Agency (CISA) e altre organizzazioni hanno pubblicato un breve documento dal titolo "Guidelines for secure AI system development": https://www.cisa.gov/news-events/news/dhs-cisa-and-uk-ncsc-release-joint-guidelines-secure-ai-system-development.

Nulla di inaspettato, ma, come dice una nota di Lee Neely, alla notizia riportata dal SANS Newsbites, "questa guida, anche se orientata agli sviluppatori di sistemi di IA, è una buona lettura per chi vuole capire meglio i problemi e i rischi relativi all'introduzione di sistemi IA nei processi dell'organizzazione".

Schema di certificazione europeo EUCC

Segnalo questo articolo dal titolo "Lo schema di certificazione europeo EUCC: novità, punti di forza e problemi aperti": https://www.agendadigitale.eu/sicurezza/lo-schema-di-certificazione-europeo-eucc-novita-punti-di-forza-e-problemi-aperti/.

Fa il punto su uno schema europeo, in sviluppo da parte di ENISA, basato sui Common criteria (ISO/IEC 15408, disponibili gratuitamente anche su https://www.commoncriteriaportal.org/). Esso quindi è destinato alla certificazione di prodotti e componenti hardware o software.

Al momento la Commissione Europea sta discutendo un Implementing Act per avviare lo schema di certificazione.

Ulteriori informazioni si trovano su https://certification.enisa.europa.eu/.

Attacco a Federprivacy

Ormai la notizia è stata diffusa e commentata da quasi tutti. Quindi do un link per chi non fosse ancora a conoscenza di quanto successo: https://www.wired.it/article/federprivacy-hackerato-sito-protezione-dei-dati/.

Alcuni hanno commentato la notizia acidamente. Io ebbi modo di criticare Federprivacy, ormai molti anni fa, per lo scatenamento della "frenesia da DPO" negli anni 2012-2016, prima ancora che uscisse la versione definitiva del GDPR. Questo però non mi fa gioire per le disgrazie altrui. Anche perché non mi sembra che Federprivacy abbia mai vantato livelli di sicurezza elevati dei propri sistemi.

Certamente si tratta di un'associazione che promuove la sicurezza informatica e ha subito un attacco che ha violato le sue informazioni. Sono cose che succedono, così come è successo a Yuri Gagarin di morire per uno schianto aereo (è il primo esempio che mi è venuto in mente; ce ne saranno altri sicuramente migliori). Succederà anche a me sicuramente, se non è già successo, e succederà ancora a loro e a me e ad altri. Non credo sia corretto criticare quanto successo.

Però... abuso anche io dei complimenti seguiti da un però. Ed è questo: il messaggio del Presidente Nicola Bernardi non mi sembra adeguato. Penso avrebbe dovuto descrivere meglio l'attacco subito, assumersi pienamente la responsabilità senza minimizzare l'accaduto, evitare un atteggiamento vittimistico, descrivere quanto fatto per correggere le vulnerabilità e le lezioni apprese o rimandare a un futuro comunicato per gli approfondimenti. Insomma, fare quanto consigliato da molti (ricordo alcuni esempi che avevo segnalato a marzo 2023: https://www.csoonline.com/article/3689169/data-breaches-some-of-the-best-and-worst-among-recent-responses.html).

Capisco che la storia abbia colpito emotivamente e non credo che sarei riuscito a fare di meglio nella stessa situazione. Quindi mi auguro che tutto possa essere recuperato, questa brutta storia superata e dimenticata, soprattutto per gli impatti umani e personali, tranne le piccole lezioni per il futuro. Sì, perché da un parte dobbiamo cercare di non fare gli avvoltoi approfittando delle disgrazie altrui, ma dall'altra non dobbiamo lasciarci sfuggire un'occasione per riflettere su cosa poteva essere fatto meglio e cosa peggio, serenamente e professionalmente, senza dimenticarci che delle persone, come noi con pregi e difetti, sono state coinvolte.

Prima e dopo l'audit ISO/IEC 27001 (da ridere)

Alessandro D'Avanzo di CoreTech mi ha segnalato questo breve video sul prima e dopo un audit ISO/IEC 27001: https://www.linkedin.com/posts/santosh-nandakumar_true-story-iso-27001-audit-with-pun-intended-ugcPost-7127314116909613056-ddng.

Mi ha fatto ridere...

Parental control nazionale dal 21 novembre

Segnalo questo articolo dal titolo "Minori, come funziona il parental control automatico nelle sim": https://www.agendadigitale.eu/sicurezza/minori-online-piu-tutele-con-il-parental-control-di-stato-dal-21-novembre/.

Dal 21 novembre, gli operatori telefonici devono attivare sistemi di controllo parentale gratuiti.

Iniziativa lodevole, ma temo che i ragazzi non seguiti sapranno come aggirarli, i genitori che invece seguono i ragazzi sanno benissimo che il blocco non è sufficiente: bisogna osservare cosa fanno e come usano il dispositivo (oltre a limitare anche il tempo e gli orari).

Aggiornamento della NIST SP 800-53 con i Security and Privacy Controls

Il NIST ha pubblicato un aggiornamento (minore) della SP 800-53 "Security and Privacy Controls for Information Systems and Organizations" e adesso è alla versione 5.1.1.

La pagina di riferimento è questa: https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final.

Segnalo in particolare il "Control Catalog Spreadsheet", foglio Excel che riporta tutti i controlli (sono 1.190; la prossima volta che qualcuno mi dice che la ISO/IEC 27001 ha troppi controlli saprò come rispondergli). Anche se sono tanti e non sempre la descrizione è di facile comprensione, è sempre utile guardarli.

Altro documento interessante è quello di correlazione tra i controlli della ISO/IEC 27001:2022 e la SP 800-53. E' chiaro che molti dei 1.190 controlli della SP 800-53 non hanno un diretto riscontro con uno dei 93 della ISO/IEC 27001. In molti casi, però, i punti non sono presenti nel controllo, ma segnalati nella ISO/IEC 27002 nelle linee guida per la sua implementazione.

Ricerca IVASS sulla polizze cyber risk

La newsletter di Project:IN Avvocati segnala la pubblicazione "Indagine sulle polizze a copertura del cyber risk" di IVASS: https://www.ivass.it/pubblicazioni-e-statistiche/pubblicazioni/altre-pubblicazioni/2023/indagine-cyber-risk/index.html.

Copio il commento di Project:IN Avvocati: "Interessante ricerca sulle polizze assicurative offerte dalle compagnie a clientela retail e PMI, con analisi di 50 proposte disponibili al 30 luglio 2023. Importante notare come - si legge nel testo - diversi contratti prevedano pre-requisiti o condizioni per rendere il rischio assicurabile, che necessitano di essere ben compresi per valutare l’adeguatezza della copertura offerta".

Io ho sempre avuto dubbi sul funzionamento di queste polizze. Sarebbe però interessante avere notizie da chi le ha sottoscritte e ne ha avuto bisogno.

Guida Confindustria sulla gestione del whistleblowing

Confindustria ha pubblicato il documento "Nuova disciplina “whistleblowing”. Guida operativa per gli enti privati": https://www.confindustria.it/home/policy/position-paper/dettaglio/guida-operativa-whistleblowing.

Anche questa materia, seppur marginalmente, riguarda la sicurezza delle informazioni. E pertanto è utile avere un buon punto di riferimento.

Ringrazio Project:IN Avvocati per la segnalazione.

AI: Avvelenare i dati delle opere artistiche per salvaguardare il diritto d'autore

Da Guerre di Rete segnalo un articolo dal titolo "This new data poisoning tool lets artists fight back against generative AI": www.technologyreview.com/2023/10/23/1082189/data-poisoning-artists-fight-generative-ai/amp/.

Riprendo le parole di Guerre di Rete: "Un nuovo tipo di attacco promette di contrastare le aziende di AI generativa che usano il lavoro degli artisti, senza il loro consenso, per addestrare i propri modelli. Consentirà agli artisti di aggiungere delle modifiche (invisibili a occhio umano) alle loro opere prima di caricarle online. Col risultato che, se queste sono inserite in un set di addestramento per l'AI, il modello rischia di dare risultati caotici e imprevedibili".

Raccomando di leggere anche tutto l'articolo su Guerre di Rete: https://guerredirete.substack.com/p/guerre-di-rete-blackout-su-gaza.

Sullo stesso numero si trova un'altro articolo dal titolo "Modelli usati nella sanità sotto la lente", che a sua volta fa riferimento a un articolo dal titolo "AI was asked to create images of Black African docs treating white kids. How'd it go?": https://www.npr.org/sections/goatsandsoda/2023/10/06/1201840678/.

In esso sono evidenziati i rischi di bias, in questo caso razziale, dell'AI, causati dai dati usati per l'addestramento.

Mio articolo sulla ISO/IEC 27001

Ho scritto questo lungo articolo dal titolo "Sicurezza delle informazioni: come usare la nuova ISO/IEC 27001:2022": https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-come-usare-la-nuova-iso-iec-270012022/.

Buona lettura.

 

Stato delle norme ISO/IEC 270xx - Privacy

Il 20 ottobre si è concluso il meeting semestrale dei WG 1 (dedicato ai sistemi di gestione per la sicurezza delle informazioni o ISMS) e WG 5 (dedicato alla privacy) del ISO/IEC JTC 1 SC 27.

In questo articolo riporto le attività del WG 5 che ritengo più significative.

Ho seguito i lavori sulla ISO/IEC 27701, per i sistemi di gestione per la privacy (Privacy information management system, PIMS). Era prevista per metà 2024 la pubblicazione di un aggiornamento limitato al riallineamento dei controlli con quelli della ISO/IEC 27002:2022. L'ISO Central Secretariat ha invece chiesto di ristrutturare lo standard come gli altri sui sistemi di gestione. Tutti gli esperti hanno concordato sulla necessità di ristrutturarlo completamente e, quindi, ritardare la pubblicazione per evitare incoerenze ed errori (qualcuno auspica la pubblicazione per inizio 2025, io penso che ci vorrà più tempo).

Sarà pubblicata entro metà 2024 una nuova versione della ISO/IEC 27006-2 (per gli organismi di certificazione), ma sarà necessario rifare tutto per rendere questo standard compatibile con la futura ISO/IEC 27701. Il rischio è di essere rapidi nella pubblicazione dei criteri di certificazione (la futura ISO/IEC 27701), ma più lenti per i criteri di accreditamento (la futura ISO/IEC 27006-2, sempre se manterrà questa numerazione); in altre parole, potremmo avere una nuova versione della ISO/IEC 27701, ma nessun organismo di certificazione che può condurre audit e rilasciare certificati per mancanza di regole appropriate.

Stanno continuando, anche se molto lentamente, i lavori per la ISO/IEC 27018 (estensione dei controlli della ISO/IEC 27002 per la privacy dei servizi cloud, importante per le molte certificazioni ISO/IEC 27001 che la usano come estensione) per allineare la versione attuale con i controlli della ISO/IEC 27002:2022. Si prevede di pubblicarne l’aggiornamento a metà 2024 (ma mi sembra una data troppo ottimistica e io prevedo fine 2024).

 Segnalo che si discute anche della ISO/IEC 29151 (i lavori di aggiornamento sono appena partiti). Questa norma è destinata ai soli titolari del trattamento e riprende i controlli della ISO/IEC 27002, ne estende le linee guida per l'implementazione e ne aggiunge altri specifici per la privacy. Mi sembra che in Italia sia completamente ignorata, mentre in altri Paesi è usata come riferimento dalle PMI che non intendono usare la ISO/IEC 27701 (anche se poi, una veloce ricerca online mi dice che Huawei Cloud, non certo una PMI, è “certificata” rispetto a questa norma che, tra l’altro, non prevede uno schema certificazione). Si prevede di pubblicarne l’aggiornamento a fine 2025.

Aumento delle campagne RAT

Il titolo può far ridere se non si sa che RAT vuol dire "Remote access trojan". Le campagne sono sempre più numerose e il CERT AgID spesso le segnala via Telegram o Twitter (ora X).

Segnalo uno degli ultimi avvisi dal titolo "Sempre più preoccupante il fenomeno delle campagne RAT": https://cert-agid.gov.it/news/sempre-piu-preoccupante-il-fenomeno-delle-campagne-rat/. Interessante è leggere come il RAT si diffonde, ossia con campagne di phishing ben congegnate. In questo caso, è inviato un pdf via email dicendo che si tratta di una fattura non pagata; l'utente la apre e quindi si avvia un programma che scarica e installa il RAT.

Le comunicazioni mi sembrano molto ben fatte e interessanti, ma mancano due righe sulle strategie di mitigazione.

ENISA Cybersecurity Threat Landscape 2023

ENISA ha pubblicato il Cybersecurity Threat Landscape 2023: https://www.enisa.europa.eu/news/eu-elections-at-risk-with-rise-of-ai-enabled-information-manipulation.

L'attenzione di ENISA si rivolge soprattutto su: campagne di manipolazione di informazioni (fake news), social engineering verso persone specifiche, trojan in pacchetti software noti (che si scaricano da siti ovviamente contraffatti per trarre in inganno le persone), sfruttamento degli errori di configurazione dei sistemi, delle reti e dei servizi cloud.

Le prime minacce (manipolazione di informazioni e social engineering) sono sempre più efficaci grazie all'uso di strumenti basati sull'intelligenza artificiale, che permettono di applicare vecchie tecniche, ma in modo più efficiente ed efficace.

Io qui ho solo evidenziato alcune cose dell'Executive summary, ma il documento è molto più ampio.

Purtroppo la parte relativa alle misure di mitigazione è estremamente sintetica e non aggiunge nulla di significativo (è principalmente un elenco di controlli ISO/IEC 27002 e NIST CSF).

Stato delle norme ISO/IEC 270xx - ISMS

Il 20 ottobre si è concluso il meeting semestrale dei WG 1 (dedicato ai sistemi di gestione per la sicurezza delle informazioni o ISMS) e WG 5 (dedicato alla privacy) del ISO/IEC JTC 1 SC 27.

In questo articolo riporto le attività del WG 1 che ritengo più significative.

Sono partiti i lavori per l'aggiornamento della ISO/IEC 27000 (Panoramica dei sistemi di gestione per la sicurezza delle informazioni), della ISO/IEC 27003 (linee guida per l'implementazione di un ISMS), ISO/IEC 27008 (linee guida per la valutazione dei controlli di sicurezza delle informazioni), ISO/IEC 27109 sull'istruzione e la formazione sulla cibersicurezza.

Stanno continuando i lavori per la ISO/IEC 27017 (estensione dei controlli della ISO/IEC 27002 ai servizi cloud, importante per le molte certificazioni ISO/IEC 27001 che la usano come estensione) per allineare la versione attuale con i controlli della ISO/IEC 27002:2022. Immagino che la nuova norma sarà pubblicata a fine 2024.

Sarà pubblicato a breve un aggiornamento della ISO/IEC 27006-1 (norme per l'accreditamento degli organismi di certificazione) e poi ripartiranno ancora i lavori per "pulirla" dai riferimenti scorretti a requisiti e controlli, ricordando che i controlli non sono requisiti e nessuno di essi va pianificato e implementato come da norma, ma usato solo come riferimento per la Dichiarazione di applicabilità.

Sarà pubblicata a breve la ISO/IEC 27011 (estensione dei controlli della ISO/IEC 27002 per il settore delle telecomunicazioni). La ISO/IEC 27013 (relazioni tra ISO/IEC 27001 e ISO/IEC 20000-1) e la ISO/IEC 27019 (estensione dei controlli della ISO/IEC 27002 per il settore dell'energia) sono in uno stadio precedente e saranno probabilmente pubblicate a metà 2024.

Riflessioni sono state fatte sul fatto che la prossima versione della ISO/IEC 27001 dovrà avere requisiti sui cambiamenti climatici a causa dei cambiamenti apportati all’HLS (o Annex SL, ossia la struttura base che devono rispettare tutti gli standard per i sistemi di gestione). Ci si è chiesto quali impatti sui cambiamenti climatici possono essere considerati per un sistema di gestione per la sicurezza delle informazioni.

Security-by-Design and Default Principles del CISA - Aggiornamento

Ad aprile avevo segnalato l'ottimo documento del CISA (Cybersecurity & infrastructure security agency degli USA) dal titolo "Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default". E' stato aggiornato con maggiori dettagli per dimostrare il rispetto dei tre principi: https://www.cisa.gov/resources-tools/resources/secure-by-design.

In realtà non è più disponibile la versione precedente, quindi non so indicare con precisione i cambiamenti. In aprile avevo detto che "in poche pagine (15 in tutto, incluso indice e fuffa introduttiva) sono riportati e spiegati i principi di sviluppo e ingegnerizzazione sicuri". Ora le pagine sono 36, ma credo che i dettagli in più aiutino e non appesantiscono.

Rilevare i testi generati dall'IA

Da Crypto-gram di ottobre 2023, segnalo l'articolo "Detecting AI-Generated Text": https://www.schneier.com/blog/archives/2023/09/detecting-ai-generated-text.html.

Versione breve: non sembra si possano avere strumenti per rilevare automaticamente un testo generato dall'IA.

Un commento (ironico, mi pare...) fa notare che forse questa stessa risposta è stata generata dall'IA.

C'è carenza di esperti di sicurezza informatica (o di cibersicurezza)?

Da Crypto-gram di ottobre 2023 segnalo "On the Cybersecurity Jobs Shortage": https://www.schneier.com/blog/archives/2023/09/on-the-cybersecurity-jobs-shortage.html.

Molti si lamentano della carenza di persone competenti nell'ambito della sicurezza informatica (o cibersicurezza o cybersecurity). Bruce Schneier riporta un commento di Ben Rothke. In sostanza dice che molti ruoli sono specialistici, non generalistici. Ed è vero che c'è carenza di persone con competenze specialistiche ed è ancora più difficile trovarle se pensiamo che per avere competenze specialistiche è necessario avere anche esperienza.

Aggiungo che, almeno in Italia, ci sono difficoltà a trovare persone per ricoprire certi ruoli, anche generalisti.

 

Digital Security Festival

Luca Moroni mi ha segnalato il Digital Security Festival, che si tiene, con partecipazione gratuita, dal 17 al 27 ottobre in Veneto e Friuli Venezia Giulia: https://www.digitalsecurityfestival.it/.

I temi sono tanti e interessanti. Luca, a sua volta, parlerà il 26 ottobre pomeriggio a Vicenza in una tavola rotonda dal titolo "Rischi, opportunità e futuro della cybersecurity".

Formazione gratuita sulla sicurezza online per cittadini, imprese e Istituzioni

Il Comune di Milano (dove risiedo) promuove il portale web Cyber Secure City: https://cybersecurecity.it/.

Il portale, che non richiede neanche registrazione, mette a disposizione materiale di formazione gratuito sulla sicurezza informatica.

Sono presenti percorsi per Over 65, Studenti e tutti i cittadini e corsi in lingue diverse dall'italiano.

Iniziativa lodevole (e, in milanese, piutost che nient, l’è mei piutost) però i percorsi non sono progettati con cura: sembrano più una raccolta di materiale messo a disposizione, sempre lodevolmente, da alcune aziende, senza un vero filo conduttore.

Altro problema è che alcune istituzioni, piuttosto che organizzare incontri, rimandano a questo sito. Invece gli incontri e i confronti sono fondamentali per una migliore consapevolezza.

Gli uomini possono fare tutto (Ottobre 2023)

Quest'estate mia moglie ha dovuto seguire un corso di formazione. Con i bambini (o ragazzi) sono andato al mare per 5 giorni in un appartamento. Abbiamo tenuto ordinato e pulito, abbiamo cucinato, ci siamo tenuti ordinati e puliti.

Mi hanno dato del "mammo" e me ne sono lamentato: il termine "mammo" fa sembrare che certe cose possano farle solo le mamme e i papà le debbano fare solo in casi straordinari. Io ho cercato di fare il papà (forse malamente, ma questa è un'altra storia).

Guida CISA su Identity and Access Management

Dal SANS NewsBites del 6 ottobre 2023, segnalo la notizia "CISA and NSA: Identity and Access Management Guidance", che a sua volta rimanda alla pubblicazione "Identity and Access Management: Developer and Vendor Challenges".

Questa pubblicazione non mi è sembrata molto interessante perché riassume alcune criticità, peraltro note.

C'è però un riferimento a un altro documento di marzo 2023 dal titolo "Identity and Access Management: Recommended Best Practices for Administrators": https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3336001/esf-partners-nsa-and-cisa-release-identity-and-access-management-recommended-be/.

Questo, anche se non dice nulla di nuovo, mi sembra più interessante per un bel ripasso delle regole base per il controllo accessi. Da segnalare che gran parte del documento è dedicato alla promozione di tecniche MFA.

 

I più comuni errori di configurazione delle reti IT (e le mitigazioni)

Dal SANS NewsBites del 6 ottobre 2023, segnalo la notizia "CISA and NSA: Most Common Network Misconfigurations", che a sua volta fa riferimento al documento "NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations": https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a.

Il pdf si trova al seguente link: https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3549369/nsa-and-cisa-advise-on-top-ten-cybersecurity-misconfigurations/.

Nulla di nuovo, certamente, ma sempre utile da ripassare.

Segnalo che da pagina 17 a pagina 27 si trovano le raccomandazioni per gli utilizzatori, da pagina 27 a pagina 31 si trovano le raccomandazioni per gli sviluppatori di software.

Insomma: si tratta di un manuale tecnico estremamente utile.

European Cybersecurity Skills Framework (ECSF)

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione del European Cybersecurity Skills Framework (ECSF) di ENISA: https://www.enisa.europa.eu/topics/education/european-cybersecurity-skills-framework.

La pagina segnalata permette poi di scaricare l'ECSF Role Profiles document, dove sono specificati i 12 profili tipici per la cibersicurezza. Come sappiamo, questi possono essere utili per condividere la terminologia usata per le qualificazioni professionali.

Mi sono chiesto come si correlasse con la UNI 11621-4, aggiornata al 2020 e con titolo "Profili di ruolo professionale relativi alla sicurezza delle informazioni". Ho rivolto la domanda a Fabio Guasconi, che mi ha risposto che il lavoro di ENISA è stato strutturato allo stesso modo, ha profili praticamente uguali a quelli della UNI 11621-4, con alcune differenze nella scelta delle competenze e abilità (skill).

Io noto che la norma italiana fa riferimento alla sicurezza delle informazioni, mentre quella ENISA alla cybersecurity e immagino che questo abbia i suoi, seppur marginali, risvolti.

Temo la confusione che si potrebbe creare. Vedremo.

Quaderno Clusit "Certificazioni professionali in sicurezza informatica 3.0"

È stato pubblicato un nuovo quaderno Clusit intitolato "Certificazioni professionali in sicurezza informatica 3.0". Sono uno degli autori, insieme da Fabio Guasconi e Federico Gozzi.

Il quaderno è liberamente scaricabile in formato pdf da https://clusit.it/blog/quaderni-clusit-certificazioni-professionali-in-sicurezza-informatica-3-0-giugno-2023/.

Riporto di seguito la presentazione del Clusit.

Si tratta di un aggiornamento e revisione dei quaderni pubblicati nel 2005 e nel 2013 da Clusit sullo stesso tema.

Nel quaderno sono descritte certificazioni che dimostrano competenze tecnologiche accanto a quelle che dimostrano competenze principalmente organizzative. In questa edizione abbiamo preferito non riportare le certificazioni relative a prodotti specifici, essendo queste troppo numerose.

Si è cercato di schematizzare il più possibile le specifiche di ogni certificazione, in modo da aiutare coloro che selezionano il personale o scrivono bandi di gara a stabilire quali certificazioni corrispondono alle caratteristiche richieste e nel contempo i professionisti che vogliono certificare e far riconoscere le proprie competenze in un determinato settore ed essere inseriti in una comunità di professioniste e professionisti con cui scambiare competenze ed esperienze.

Nuovo Regolamento macchine e cybersecurity

E' stato pubblicato il Regolamento (UE) 2023/1230 relativo alle macchine. Esso abroga la Direttiva macchine, ossia la Direttiva relativa alla sicurezza delle macchine industriali (questa mia indicazione è molto imprecisa e serve solo a contestualizzare).

Su questo argomento ho letto con interesse l'articolo "Il nuovo Regolamento Macchine: la Cybersecurity Industrial elemento essenziale dal Design della Macchina e durante tutto il suo ciclo di vita": https://www.ictsecuritymagazine.com/articoli/il-nuovo-regolamento-macchine-la-cybersecurity-industrial-elemento-essenziale-dal-design-della-macchina-e-durante-tutto-il-suo-ciclo-di-vita/.

In pochissime parole, il Regolamento introduce in modo molto chiaro la necessità di valutare la sicurezza delle macchine anche relativamente all'hardware e al software. Questo è molto giusto perché hardware e software che non funzionano correttamente possono portare a funzionamenti imprevisti e, quindi, pericoli per le persone.

Il testo del Regolamento si trova qui: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32023R1230.

Il regolamento si applicherà dal 14 gennaio 2027.

Ancora una volta, i dettagli su come valutare le macchine saranno ulteriormente specificate nella normativa di armonizzazione.

Nuova versione della NIST SP 800-82 sull'OT

Segnalo la pubblicazione della r3 della NIST SP 800-82 dal titolo "Guide to Operational Technology (OT) Security": https://csrc.nist.gov/pubs/sp/800/82/r3/final.

Io avevo letto la versione 2 e l'avevo trovata molto interessante. Diciamo che riporta molte cose che si ritrovano nelle IEC 62443, ma in formato gratuito.

I cambiamenti apportati da questa versione 3 sono numerosi e sono riassunti nell'ultima pagina. Non riesco al momento a rileggere tutto il documento.

Noto però, con un certo disappunto, che il NIST sta proseguendo nella sua campagna di "de-sintetizzazione" e infatti questa versione è di 316 pagine, mentre la precedente era di 247 (più del 20% in più).

 

Data Governance Act ora applicativo: così cambia l'economia digitale

Segnalo questo articolo dal titolo "Data Governance Act ora applicativo: così cambia l’economia digitale": https://www.agendadigitale.eu/sicurezza/privacy/la-data-economy-alla-prova-del-data-governance-act-lo-scenario/. 

Non credo che mi occuperò mai di DGA, ma credo sia comunque opportuno sapere che esiste.

Interpretazione della NIS2 della Commissione europea

Il 18 settembre ho partecipato, come organizzatore, al convegno di DFA su "NIS 2 e non solo - Aspetti pratici e relazioni". In quella occasione, Pierluigi Perri ha fatto riferimento alle "Commission Guidelines on the application of Article 4 (1) and (2) of Directive (EU) 2022/2555 (NIS 2 Directive)".

Grazie a un post su LinkedIn di Stefano Mele (https://www.linkedin.com/posts/stefanomele_direttiva-nis2-chiarimenti-applicativi-della-activity-7108489999695642624-Sp9X) li ho trovati sul web con data di pubblicazione del 14 settembre: https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-4-1-and-2-directive-eu-20222555-nis-2-directive.

Non li ho ancora letti, ma sicuramente sono interessanti.

Riconoscere le minacce deepfake

NSA, FBI e CISA hanno pubblicato un breve (18 pagine) rapporto dal titolo "Contextualizing Deepfake Threats to Organizations": https://www.cisa.gov/news-events/alerts/2023/09/12/nsa-fbi-and-cisa-release-cybersecurity-information-sheet-deepfake-threats.

Scritto bene e sintetico, spiega cosa sono queste minacce.

Un capitolo spiega perché le minacce deepfake possono avere impatti sulle organizzazioni (attaccare l'immagine di persone collegate all'organizzazione, capacità di impersonare qualcuno e quindi frodare qualcuno o avere accesso a dati o sistemi). Si tratta di casi forse rari per molti, ma sicuramente da considerare.

Le contromisure sono legate alla capacità di ciascuno di analizzare il materiale potenzialmente alterato.

 

Whitepaper di ISC2 sulla Business Continuity

Segnalo che ISC2 ha pubblicato il documento "La Business Continuity", che illustra i passi da fare per affrontare questo argomento: https://www.isc2chapter-italy.it/nuovo-whitepaper-sulla-business-continuity/.

Il taglio è didattico e ben fatto.

Ero stato informato della preparazione del documento e ne avevo letto la bozza. Ringrazio invece Franco Vincenzo Ferrari per avermene segnalato la pubblicazione.

 

Social e codice etico dei dipendenti pubblici

Il DPR 62 del 2013 reca il codice di comportamento dei dipendenti pubblici. Con il DPR 81 del 2023 sono stati inseriti aspetti relativi all'uso dei social media. Per questo rimando all'articolo su Altalex: https://www.altalex.com/documents/news/2023/07/11/codice-etico-dipendenti-pubblici-novita-email-social-media-inclusione.

Gli elementi introdotti, che quindi confronterò con quanto da me fatto in passato:

• l'utilizzo di account istituzionali è consentito per i soli fini connessi all'attività lavorativa;
• l'utilizzo di email personali è di norma evitato per attività di servizio, tranne nel caso in cui non si possa accedere all'account istituzionale;
• il dipendente è responsabile del contenuto dei messaggi inviati;
• i dipendenti si uniformano alle modalità di firma dei messaggi indicate dall'amministrazione di appartenenza;
• ciascun messaggio in uscita deve consentire l'identificazione del dipendente mittente e deve indicare un recapito istituzionale al quale il medesimo è reperibile;
• al dipendente è consentito l'utilizzo degli strumenti informatici forniti dall'amministrazione per poter assolvere alle incombenze personali senza doversi allontanare dalla sede di servizio, purché l'attività sia contenuta in tempi ristretti e senza alcun pregiudizio per i compiti istituzionali;
• è vietato l'invio di email che siano oltraggiosi, discriminatori o che possano essere in qualunque modo fonte di responsabilità dell'amministrazione.
• nell'utilizzo dei propri account di social media, il dipendente utilizza ogni cautela affinché le proprie opinioni non siano in alcun modo attribuibili direttamente alla pubblica amministrazione di appartenenza;
• il dipendente è tenuto ad astenersi da qualsiasi intervento o commento che possa nuocere al prestigio, al decoro o all'immagine dell'amministrazione di appartenenza o della pubblica amministrazione in generale.
• le comunicazioni, afferenti direttamente o indirettamente il servizio, non si svolgono, di norma, attraverso conversazioni pubbliche mediante l'utilizzo di piattaforme digitali o social media.

Riferimento pharma per la gestione del rischio

Michaël Hooreman, via LinkedIn, mi ha segnalato il documento "ICH Q9 Quality risk management - Scientific guideline" della European Medicines Agency: https://www.ema.europa.eu/en/ich-q9-quality-risk-management-scientific-guideline.

Il documento presenta approcci di valutazione del rischio che possono essere usati nell'ambito della qualità. A mio parere non solo, perché potrebbero essere benissimo applicati, con qualche aggiustamento, anche alla sicurezza delle informazioni e forse ad altri campi. In tutti i casi, visto che si tratta di approcci validi e diffusi, sarebbe opportuno che chi si occupa di sicurezza delle informazioni li conoscesse, per evitare di fossilizzarsi su un solo modello.

Utile anche per quanto riguarda la sola qualità per capire meglio gli ambiti di applicazione della valutazione del rischio. A mio parere, la ISO 9001, con l'ultima edizione basata sull'HLS, non è molto chiara sull'ambito di applicazione della gestione del rischio (problema riscontrabile su tutte le norme sui sistemi di gestione). Leggendo il testo con tanta attenzione, si trova che la gestione del rischio dovrebbe riguardare solo l'efficacia del sistema di gestione (e quindi trattare solo rischi gestionali), ma molti l'applicano per i rischi più operativi e questo non è necessariamente un male. Questo documento permette di approfondire, seppur sinteticamente, questi aspetti.

Capitolati di gara e requisiti di sicurezza IT

Chiara Ponti ha segnalato un articolo dal titolo "Quali i requisiti di cyber security nei capitolati di gara? Analisi del report condotto da R. Setola con Unindustria, Centro di Competenza Cyber 4.0 e AIPSA": https://www.cybersecitalia.it/quali-i-requisiti-di-cyber-security-nei-capitolati-di-gara-analisi-del-report-condotto-da-r-setola-con-unindustria-centro-di-competenza-cyber-4-0-e-aipsa/25838/.

L'indagine ha coinvolto 32 aziende. Dall'elenco iniziale del report di grande o grandissima dimensione. Quindi i risultati vanno analizzati in quest'ottica.

La lettura del documento è comunque utile per ripassare le misure di sicurezza che possono essere chieste ai fornitori (io dovrò quindi aggiornare la mia lista).

Sanità: attacchi IT e sicurezza dei pazienti

Sandro Sanna mi ha segnalato la pubblicazione Sentinel Event Alert 67 dal titolo "Preserving patient safety after a cyberattack": https://www.jointcommission.org/resources/sentinel-event/sentinel-event-alert-newsletters/sentinel-event-alert-67-preserving-patient-safety-after-a-cyberattack/.

Una lettura interessante, anche se in troppi punti ripete cose note e vaghe (costituite un comitato, designate un gruppo di risposta, fate formazione). Interessante anche perché dimostra la necessità di analizzare i tanti casi che possono presentarsi in un'azienda ospedaliera e le tante possibili soluzioni, non necessariamente informatiche.

ACN e le consulenze gratuite

Francesca Nobilini ha scritto un post su LinkedIn su ACN che cerca collaborazioni gratuite: https://www.linkedin.com/posts/francesca-nobilini_lavora-con-noi-activity-7099309386753306624-jfEy.

Molti, in effetti, si lamentano del fatto che non si tratta certamente di una proposta etica. Aggiungerei anche che il rischio è che "Ciò che costa poco vale anche poco" (frase che trovo attribuita, in italiano, a Baltasar Graciàn, ma che non trovo in spagnolo). Su questo sono molto dispiaciuto di come ACN dimostra di valutare il nostro lavoro.

Dico che essere contattati da ACN per un supporto o un chiarimento sarebbe un onore, così come essere invitati a giornate di studio o convegni. Un impegno non eccessivo e una bella visibilità, oltre alla possibilità di confrontarsi e approfittare della giornata di studio. Questo è quello che facciamo abitualmente e gratuitamente. Ma così come proposto è decisamente poco allettante (e, ripeto, un segnale di scarsa considerazione).

Peccato. Spero in un cambiamento.

Sentenza sull'uso di Dropbox da parte dei dipendenti (approfondimento)

Avevo scritto a luglio di una sentenza sull'uso di Dropbox da parte dei dipendenti (http://blog.cesaregallotti.it/2023/07/sentenza-sulluso-di-dropbox-da-parte.html).

 A questo proposito, segnalo un articolo di approfondimento, segnalatomi da Stefano Gazzella, dal titolo "Disciplinare l’impiego dei servizi di condivisione in cloud per ridurre i rischi legali":              https://www.redhotcyber.com/post/disciplinare-limpiego-dei-servizi-di-condivisione-in-cloud-per-ridurre-i-rischi-legali/.

Installazione "pulita" di Windows

Segnalo questo articolo dal titolo "Windows 11 has made the “clean Windows install” an oxymoron": https://arstechnica.com/gadgets/2023/08/windows-11-has-made-the-clean-windows-install-an-oxymoron/.

Il punto è questo: tutti i produttori di hardware, quando vendono il pc con il sistema operativo incluso, lo fanno con una versione piena di software aggiuntivi spesso inutili se non dannosi (riducono le prestazioni, lo spazio disco e anche la concentrazione dell'utente). Quindi molti installano una versione "pulita" di Windows e questa tecnica prende il nome di “clean Windows install”.

Purtroppo, anche prima di Windows 11 a guardare con attenzione, lo stesso Windows non è "pulito" e installa numerosi software inutili (o, meglio, dannosi).

Ormai lo dicono tutti e lo ripeto: i grandi dell'informatici ormai stanno usando i propri prodotti e servizi per venderci sempre più roba e raccogliere sempre i nostri dati (per venderci roba o venderli ad altri che vogliono venderci roba). Forse un po' il regolamento DSA limiterà l'impatto, ma la direzione è quella da molto tempo e possiamo solo prenderne atto e difenderci come possiamo (a meno di non accettare di essere infelici così come lo siamo per gli effetti del consumismo... ma questi sono temi per filosofi, non per miseri consulenti come me).

Articolo sullo stato del regolamento DSA

E' evidente che i "nuovi" regolamenti europei mi interessano, almeno per capire il contesto in cui lavoro con la sicurezza delle informazioni. Un altro articolo che trovo interessante e utile ha titolo "I piani delle big tech per non sgarrare con il Dsa, la nuova legge Ue sul digitale": https://www.wired.it/article/dsa-google-amazon-tiktok-instagram-facebook-wikipedia-impegni-pubblicita-algoritmi/.

Sono riassunti gli obblighi più importanti del regolamento DSA è come ci stanno lavorando le aziende più significative.

Audit degli algoritmi (per Regolamento DSA)

Segnalo questo interessante articolo dal titolo "Audit degli algoritmi: la normativa UE lo prevede, ma non è ancora chiaro come farlo. Ecco perché": https://www.cybersecurity360.it/legal/audit-degli-algoritmi-la-normativa-ue-lo-prevede-ma-non-e-ancora-chiaro-come-farlo-ecco-perche/.

Riguarda le grandi piattaforme online e i grandi motori di ricerca, chiamati a identificare i rischi relativi all'uso degli algoritmi di raccomandazione e simili.

L'articolo fa riferimento a una bozza di Delegated regulation (https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13626-Digital-Services-Act-conducting-independent-audits_en). In essa trovo molto interessanti le parti relative agli approcci all'audit e al rischio di audit. Sono approcci che, nell'ambito della sicurezza delle informazioni e dei sistemi di gestione ISO sono rarissimamente utilizzati. Per esempio, viene richiesto di distinguere, come rischi di audit, tra rischi inerenti, rischi di controllo e rischi di rilevazione.

Chiarimenti EDPB sulle certificazioni GDPR

EDPB, il 1 agosto, ha risposto a una richiesta di chiarimenti di Accredia in merito alla certificazioni GDPR (mi si permetta di usare questa espressione): https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-accredia_en.

Ringrazio la newsletter Project:IN Avvocati per la segnalazione.

La risposta è molto tecnica e ho dovuto leggerla tre volte per capirla (posso sempre dire che il periodo è vacanziero...) e vorrei segnalare alcuni punti per me significativi, più per gli organismi di certificazioni che sulle organizzazioni che intendono certificarsi:

• EDPB ribadisce che il suo compito è valutare i criteri di certificazione, non le attività di accreditamento, anche nel caso di sigilli europei sulla protezione dei dati (European Data Protection Seal), che sono invece in carico ai Garanti dei singoli Stati membri;
• deve essere stabilito uno "scheme owner", anche perché richiesto dalla ISO/IEC 17065, che può essere anche un organismo di certificazione accreditato (nel caso di Europrivacy, lo scheme owner è Europrivacy stessa); penso che sia chiaro che un organismo di certificazione che lavora da solo rilascerebbe però certificazioni che potrebbero risultare meno interessanti di certificazioni comuni ad altri, come minimo perché si avrebbe una maggiore visibilità;
• gli organismi di certificazione possono quindi adottare, nel caso di Europrivacy, i criteri di Europrivacy per essere accreditati dal proprio garante nazionale (o, se il caso, dal proprio organismo di accreditamento);
• l'accreditamento deve essere dato per ciascuno stato dove l'organismo di certificazione opera dal relativo garante nazionale (o, se il caso, dal proprio organismo di accreditamento); questo diventa ovviamente pesante perché un organismo di certificazione che vuole lavorare nei 27 Stati della UE deve avere 27 accreditamenti, a cui forse aggiungere gli altri 3 Paesi del SSE (chiedo aiuto a chi mi sa rispondere) e non voglio pensare al fatto che la Germania ha in realtà ha più garanti privacy; ma su questo c'è un invito di EDPB a EA per considerare come un organismo di accreditamento nazionale possa collegarsi a più Garanti.

Direi che come mal di testa da rientro dalle vacanze siamo a posto.

NIST Cybersecurity Framework 2.0 in bozza

Il NIST ha pubblicato a inizio agosto la bozza del CSF 2.0: https://www.nist.gov/cyberframework/updating-nist-cybersecurity-framework-journey-csf-20.

Si possono mandare commenti entro il 4 novembre.

Articolo sulla Direttiva CER

In questo periodo sono molto attento alle novità normative europee (NIS2, CER, DORA, oltre al GDPR) e alle loro relazioni reciproche.

Per questo segnalo (dalla newsletter del Clusit) l'articolo "La nuova direttiva CER riconcilia sicurezza fisica e logica": https://www.datamanager.it/2023/07/la-nuova-direttiva-cer-riconcilia-sicurezza-fisica-e-logica/.

L'articolo, come prima cosa, usa il termine "sicurezza cinetica" perché più aggiornato di "sicurezza fisica". Anche qui faccio fatica a capire, ma ritengo comunque utile conoscere i termini usati.

Inoltre chiarisce che "La NIS2 si occupa infatti della sicurezza cyber delle entità critiche e altamente critiche e la CER della loro resilienza rispetto a minacce cinetiche".

ACN, le regole per i servizi cloud e il rispetto "per chi lavora"

Franco Vincenzo Ferrari mi ha segnalato che ACN ha aggiornato i termini della qualificazione dei servizi cloud per la Pubblica Amministrazione: https://www.acn.gov.it/notizie/contenuti/cloud-acn-aggiorna-i-termini-della-qualificazione-dei-servizi-per-la-pubblica-amministrazione.

Niente di troppo significativo, a meno che non siate fornitori della PA.

E' comunque il caso di NON ringraziare ACN per:

• continuare a mettere a disposizione documenti in pdf non editabili, così da impedire il copia-incolla e far perdere tempo alle organizzazioni che devono aggiornare le proprie check list e i propri documenti;
• non aver prodotto il consolidato delle misure da adottare (l'allegato alla Determina 307 del 2023).

VERA 7.1 ITA e ENG

Per allietare le vacanze di tutti, ho caricato il VERA 7.1 (il mio foglio Excel per la valutazione del rischio relativo alla sicurezza delle informazoni) in italiano e in inglese sul mio sito: https://www.cesaregallotti.it/Pubblicazioni.html.  

Il 7.1 in italiano è una correzione del 7.0 già pubblicato, mentre il 7.1 in inglese è la sua traduzione (con l'inglese ero rimasto fermo al 6.0).

 Il VERA 7.1 riporta i controlli della ISO/IEC 27001:2013 e quelli della ISO/IEC 27001:2022.

Morto Kevin Mitnick

E' morto Kevin Mitnick, uno degli hacker più abili. Non un grande tecnico, ma uno con la capacità di inventare tecniche per ingannare le persone e spingerle a svelare password e altri segreti.

Consiglio a chiunque si occupa di sicurezza di leggere il suo primo libro, "L'arte dell'inganno": https://www.feltrinellieditore.it/opera/larte-dellinganno-1-2/. Anche se è del 2002, quindi con riferimenti tecnologici obsoleti, è ancora fondamentale proprio perché la tecnologia non è così importante.

La notizia l'ho appresa da Not Boring Privacy: https://www.instagram.com/p/Cu6GaqXtYnj/?igshid=MTc4MmM1YmI2Ng.

Sito web del US DoC per il Data protection framework

Grazie alla newsletter di Project:IN Avvocati, vengo a conoscenza del sito web del DoC degli USA per il Data protection framework (DPF), ossia per i trasferimenti di dati da UE a USA: https://www.dataprivacyframework.gov/.

 Qui si possono trovare i requisiti per aderire al programma sarà presente la lista dei partecipanti.

INAD, Indice Nazionale dei Domicili Digitali

Segnalo questo comunicato di AgID dal titolo "Nasce INAD, l’Indice Nazionale dei Domicili Digitali": https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2023/06/06/nasce-inad-lindice-nazionale-domicili-digitali.

Non sono uno che aderisce a queste cose immediatamente (anche per attivare la PEC ci ho messo un bel po'), ma penso che questa iniziativa sia molto importante.

Nuovo Privacy shield, ossia "EU-US Data Privacy Framework"

Ci ricordiamo che il Privacy Shield, ossia l'accordo che regolava il traferimento dei dati da Europa a USA, fu invalidato a luglio 2020 (esattamente 3 anni fa). A luglio 2023, dopo esattamente 3 anni (meno qualche giorno) è stato approvato il "EU-US Data Privacy Framework”: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721.

 Il nuovo accordo è stato oggetto di critica. Segnalo questo articolo dal titolo "Perché il nuovo data framework UE-USA avrà vita breve" per un breve commento: https://www.agendadigitale.eu/sicurezza/privacy/perche-il-nuovo-data-framework-ue-usa-avra-vita-breve/.

Io sarò cauto con i miei clienti, spingendoli a mantenere le modalità seguite da qualche anno, ossia dopo la Schrems II, ossia mantenere in Europa i sistemi informatici o, alla peggio, usare fornitori che adottano le SCC.

Sentenza sull'uso di Dropbox da parte dei dipendenti

Segnalo questo articolo dal titolo "Accesso abusivo a sistema informatico o telematico da parte di dipendenti o collaboratori": https://www.altalex.com/documents/2023/07/05/accesso-abusivo-sistema-informatico-telematico-parte-dipendenti-collaboratori.

In pochissime parole (se ho capito giusto): un dipendente aveva aperto una cartella Dropbox (pubblica!) per scambiare i dati aziendali con clienti e colleghi; poi si licenzia e cambia le credenziali alla cartella in modo che l'azienda non possa più accedervi. Alla fine viene ritenuto colpevole.

A questo proposito è ovvio che è discutibile il fatto che l'azienda abbia permesso al dipendente di aprire una cartella non controllata dall'azienda stessa su un sistema di file sharing pubblico. Vanno però anche ricordate le questioni relative alla "proprietà" della cartella: se è usata per l'azienda, sembra che debba rimanre di "proprietà" dell'azienda.

Enisa - Good Practices for Supply Chain Cybersecurity

Davide Giribaldi di Swiss Cyber Com mi ha segnalato la guida di Enisa dal titolo “Good Practices for Supply Chain Cybersecurity” e uscita a fine maggio: https://www.enisa.europa.eu/publications/good-practices-for-supply-chain-cybersecurity

Riporto le considerazioni di Davide, che ringrazio:

“La Guida è riferita solo all’analisi degli operatori essenziali (che poi non si chiameranno più così per la NIS2) e importanti.

La mia impressione è che evidenzi un aspetto interessante, ovvero la difficoltà non tecnica, ma organizzativa e culturale alla responsabilizzazione delle terze parti. (Fig. 6 pag. 12 del report) dove la certificazione di uno standard (ISO/IEC 27001 ad esempio) viene visto come elemento di garanzia (corretto se si esce dalla logica nota a tutti che spesso, per le PMI, le certificazioni sono pezzi di carta necessari e non una vera e propria filosofia su cui basare la strategia aziendale), ma allo stesso tempo evidenzia difficoltà ad adottare criteri come quello dell’audit sul campo nei confronti dei fornitori.

Molto interessante anche il risultato della verifica sui criteri aziendali considerati per la valutazione dei rischi informatici della catena di fornitura. Tra questi segnalo la “spesa” fatta nei confronti del fornitore, considerato il terzo più importante.

Sia chiaro, più spendo nei confronti di un fornitore, più mi fido dei suoi prodotti e servizi, ma non credo sia un elemento oggettivo di cybersecurity”.