Segnalo che è stata approvata e sarà tra poco disponibile la ISO 45001 dal titolo "Occupational health and safety management systems -- Requirements with guidance for use":
- https://www.iso.org/standard/63787.html.
Io non mi occupo di questa materia, ma credo sia importante sapere dell'esistenza di questo standard, visto che questa materia si interseca con la sicurezza delle informazioni.
mercoledì 31 gennaio 2018
lunedì 29 gennaio 2018
Dati sensibili e cifratura
La notizia me l'ha data per primo Luca De Grazia, ma confesso che non ci avevo capito molto.
L'ho ritrovata su Altalex e quindi ho cercato di capirla meglio:
- http://www.altalex.com/documents/news/2018/01/09/privacy-banca-dati-sensibili.
Una persona si lamenta perché l'accredito sul suo estratto di conto corrente riporta nella causale la motivazione (il numero di Legge, che però riguarda due specifici casi sanitari). A fronte di questo, la Cassazione ha deciso che:
a) la Regione Campania (che ha fatto l'accredito) deve cifrare i dati, in quanto è previsto che i soggetti pubblici debbano cifrare i dati pesonali sanitari dal D. Lgs. 196 del 2003;
b) in forza di questo, anche la banca deve cifrare i dati personali sanitari.
A mio parere era già inappropriato chiedere agli enti pubblici di cifrare i dati personali sanitari, senza rendersi conto degli impatti di tale misura, la sua sostanziale inutilità e prevedendo differenza tra il pubblico e il privato.
Però qui i giudici si sono ritrovati davanti ad un problema, visto che un'altra normativa (un Regio Decreto del 1924!) impone di specificare nei mandati di pagamento la precisa indicazione dell'oggetto di spesa. Ma allora, se è richiesto di cifrarla, come sarebbe riportata nell'estratto conto del destinatario?
Mi rifiuto di studiare l' art. 409 del R.D. n. 827 del 1924, ma credo proprio che un'altra soluzione si renderà necessaria. O forse no?
L'ho ritrovata su Altalex e quindi ho cercato di capirla meglio:
- http://www.altalex.com/documents/news/2018/01/09/privacy-banca-dati-sensibili.
Una persona si lamenta perché l'accredito sul suo estratto di conto corrente riporta nella causale la motivazione (il numero di Legge, che però riguarda due specifici casi sanitari). A fronte di questo, la Cassazione ha deciso che:
a) la Regione Campania (che ha fatto l'accredito) deve cifrare i dati, in quanto è previsto che i soggetti pubblici debbano cifrare i dati pesonali sanitari dal D. Lgs. 196 del 2003;
b) in forza di questo, anche la banca deve cifrare i dati personali sanitari.
A mio parere era già inappropriato chiedere agli enti pubblici di cifrare i dati personali sanitari, senza rendersi conto degli impatti di tale misura, la sua sostanziale inutilità e prevedendo differenza tra il pubblico e il privato.
Però qui i giudici si sono ritrovati davanti ad un problema, visto che un'altra normativa (un Regio Decreto del 1924!) impone di specificare nei mandati di pagamento la precisa indicazione dell'oggetto di spesa. Ma allora, se è richiesto di cifrarla, come sarebbe riportata nell'estratto conto del destinatario?
Mi rifiuto di studiare l' art. 409 del R.D. n. 827 del 1924, ma credo proprio che un'altra soluzione si renderà necessaria. O forse no?
domenica 28 gennaio 2018
Articolo su DR per piccole e medie imprese
Tom Keller, autore di questo articolo dal titolo "How to Disaster-Proof Your Business IT", mi ha contattato per presentarmelo:
- https://digital.com/blog/disaster-proof/.
Nulla di eccezionale, ma tutto corretto e, soprattutto, con il tono giusto: tecnico senza tragedie o esaltazioni.
Alla fine dell'articolo ci sono dei link. Quello più interessante è quello verso www.smallbusinesscomputing.com, che a sua volta presenta dei link a soluzioni di mercato.
Attenzione però ad una cosa: noi europei dobbiamo, preferibilmente e per evitare le complicazioni del GDPR, usare server in EU e non tutte le soluzioni proposte garantiscono questo aspetto.
- https://digital.com/blog/disaster-proof/.
Nulla di eccezionale, ma tutto corretto e, soprattutto, con il tono giusto: tecnico senza tragedie o esaltazioni.
Alla fine dell'articolo ci sono dei link. Quello più interessante è quello verso www.smallbusinesscomputing.com, che a sua volta presenta dei link a soluzioni di mercato.
Attenzione però ad una cosa: noi europei dobbiamo, preferibilmente e per evitare le complicazioni del GDPR, usare server in EU e non tutte le soluzioni proposte garantiscono questo aspetto.
lunedì 22 gennaio 2018
Sviluppo sicuro delle applicazioni: il processo
Segnalo il mio ultimo articolo su ICT Security dal titolo "Sviluppo sicuro delle applicazioni: il processo":
- https://www.ictsecuritymagazine.com/articoli/sviluppo-sicuro-delle-applicazioni-processo/.
Ne approfitto per segnalare che sono a corto di idee. Se qualcuno ha degli argomenti da suggerirmi, lo invito a farlo.
- https://www.ictsecuritymagazine.com/articoli/sviluppo-sicuro-delle-applicazioni-processo/.
Ne approfitto per segnalare che sono a corto di idee. Se qualcuno ha degli argomenti da suggerirmi, lo invito a farlo.
mercoledì 17 gennaio 2018
Nuovo Cad (e conservazione) - Riferimenti corretti
In un precedente post avevo segnalato gli aggiornamenti al CAD, senza però fornire i riferimenti normativi esatti:
- http://blog.cesaregallotti.it/2018/01/nuovo-cad-e-conservazione.html.
I riferimenti normativi mi sono stati forniti da Luca De Grazie e Franco Ruggieri, che ringrazio. Il CAD (D.Lgs. 82 del 2005) è stato modificato, con decorrenza 18 gennaio 2018, dal D. Lgs. 217 del 2017.
Il nuovo CAD è disponibile su Normattiva:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2005-03-07;82!vig=
NB: il link diretto non sembra funzionare; è necessario copiarlo e incollarlo.
- http://blog.cesaregallotti.it/2018/01/nuovo-cad-e-conservazione.html.
I riferimenti normativi mi sono stati forniti da Luca De Grazie e Franco Ruggieri, che ringrazio. Il CAD (D.Lgs. 82 del 2005) è stato modificato, con decorrenza 18 gennaio 2018, dal D. Lgs. 217 del 2017.
Il nuovo CAD è disponibile su Normattiva:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2005-03-07;82!vig=
NB: il link diretto non sembra funzionare; è necessario copiarlo e incollarlo.
Linee guida AgID sullo sviluppo sicuro
Franco Ferrari di DNV GL mi ha segnalato la pubblicazione, da parte di AgID, delle "Linee guida per lo sviluppo del software sicuro":
- http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/cert-pa/linee-guida-sviluppo-sicuro.
Le ho sfogliate rapidamente e mi sembrano un lavoro di "compilazione", ossia di raccolta di varie metodologie, pratiche e linee guida. Si rimane un po' storditi dalla mole di materiale.
A questo si aggiunga che molte indicazioni, sopratuttto quelle di processo, sono quelle classiche da teorici: belle, rigorose e... estremamente onerose.
Se però si ha la pazienza di scorrerle, si trovano molte cose interessanti (a me hanno colpito soprattutto i paragrafi con le tecniche di codifica per i singoli linguaggi). Si aggiunga che non mi pare siano disponibili lavori simili e quindi questo è utilissimo per quanto vogliono studiare lo sviluppo sicuro oltre le Top 10 di OWASP.
- http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/cert-pa/linee-guida-sviluppo-sicuro.
Le ho sfogliate rapidamente e mi sembrano un lavoro di "compilazione", ossia di raccolta di varie metodologie, pratiche e linee guida. Si rimane un po' storditi dalla mole di materiale.
A questo si aggiunga che molte indicazioni, sopratuttto quelle di processo, sono quelle classiche da teorici: belle, rigorose e... estremamente onerose.
Se però si ha la pazienza di scorrerle, si trovano molte cose interessanti (a me hanno colpito soprattutto i paragrafi con le tecniche di codifica per i singoli linguaggi). Si aggiunga che non mi pare siano disponibili lavori simili e quindi questo è utilissimo per quanto vogliono studiare lo sviluppo sicuro oltre le Top 10 di OWASP.
Le basi della digital forensics (per la GdF ma non solo)
Segnalo questo articolo di Paolo Dal Checco dal titolo "Le basi della digital forensics nella circolare 1/2018 della Guardia di Finanza":
- https://www.ictsecuritymagazine.com/articoli/le-basi-della-digital-forensics-nella-circolare-12018-della-guardia-finanza/.
Penso sia un ottimo articolo di introduzione (e anche di approfondimento) sulla digital forensics, che prende spunto da una circolare della GdF.
- https://www.ictsecuritymagazine.com/articoli/le-basi-della-digital-forensics-nella-circolare-12018-della-guardia-finanza/.
Penso sia un ottimo articolo di introduzione (e anche di approfondimento) sulla digital forensics, che prende spunto da una circolare della GdF.
lunedì 15 gennaio 2018
Ritorna la notifica al Garante (nella Legge di Bilancio)
La Legge di Bilancio riporta anche delle indicazioni per la privacy. Faccio riferimento all'articolo 1, commi dal 1020 al 1025 (il comma 1162 fornisce ulteriori fondi al Garante).
La Legge 205 del 2017 si trova su Normattiva:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2017-12-27;205.
Riassumento:
- si ripetono cose già note o comunque prevedibili sul ruolo del Garante (monitoraggio dell'applicazione del GDPR, verifiche, predisposizione di modelli di informativa);
- il Garante dovrà vigilare sulla "presenza di adeguate infrastrutture per l'interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati, sia ai fini della portabilità dei dati" e quindi spero che capiremo meglio l'estensione del concetto di "portabilità";
- il Garante dovrà "definire linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull'interesse legittimo del titolare"; sicuramente queste saranno utili anche per chi tratta i dati su altri fondamenti legali.
La cosa più inquietante si trova ai commi 2022 e seguenti: "Il titolare, ove effettui un trattamento fondato sull'interesse legittimo che prevede l'uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali" usando un modello che il Garante metterà a disposizione presumibilmente entro fine febbraio 2018. In caso di silenzio, dopo 15 giorni, il titolare potrà procedere al trattamento, ma il Garante potrà comunque interromperlo (per un massimo di 30 giorni) per chiedere "ulteriori informazioni e integrazioni" o bloccarlo completamente "qualora ritenga che dal trattamento derivi comunque una lesione dei diritti e delle libertà del soggetto interessato"
Perché dico che è inquietante? Perché il GDPR, intenzionalmente, propone l'abrogazione delle "notifiche" al Garante, se non a seguito di PIA (privacy impact assessment) con risultati "negativi". Questo rimette nelle mani del titolare la valutazione della pericolosità dei propri trattamenti, contrariamente a quanto previsto dal Dlgs 196 che richiede, per tutti i trattamenti, la notifica al Garante. Sembrava un passo in avanti, ma il legislatore italiano si è dimostrato ancora una volta troppo paranoico e ha voluto aumentare le normative applicabili e ha voluto reintrodurre un simpatico strumento (la notifica) che speravamo superato.
Da notare un paio di cose:
- la notifica (anche se non si chiama più così) si applica solo ai trattamenti fondati "sull'interesse legittimo", ossia su una delle 6 opzioni su cui fondare un trattamento (legal ground);
- i trattamenti da notificare sono quelli che "prevedono l'uso di nuove tecnologie o di strumenti automatizzati"; ma oggi quasi tutti i trattamenti prevedono l'uso di strumenti automatizzati (notare la "o" disgiuntiva) e quindi la notifica andrà fatta per tutti i trattamenti fondati sull'interesse legittimo del titolare e quindi, per esempio, quelli per protezione aziendale (tutte le attività di videosorveglianza e di log degli strumenti informatici) e per il controllo qualità (quindi tutte le attività di archiviazione pratiche di qualsiasi ufficio, con riportato il nome di chi le ha redatte e approvate).
Sicuramente c'è qualche errore e sarà pubblicata una delle molte "interpretazioni". Però mi pare che l'errore sia grande. A meno che il Garante non voglia crearsi un registro delle imprese italiane.
Grazie a Paolo Calvi e Pietro Calorio degli Idraulici della privacy per la segnalazione.
Paolo Calvi rincara commentando: Così si scardina lo spirito del GDPR, basato sulla responsabilizzazione del titolare, che per trattamenti che rischiano di ledere diritti e libertà effettua una DPIA, e solo nel caso non riesca a mitigare i rischi si rivolge al Garante con la consultazione prevista dall'art.36. Qui invece sembra si voglia tornare al vecchio meccanismo della notificazione o richiesta di autorizzazione.
La Legge 205 del 2017 si trova su Normattiva:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2017-12-27;205.
Riassumento:
- si ripetono cose già note o comunque prevedibili sul ruolo del Garante (monitoraggio dell'applicazione del GDPR, verifiche, predisposizione di modelli di informativa);
- il Garante dovrà vigilare sulla "presenza di adeguate infrastrutture per l'interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati, sia ai fini della portabilità dei dati" e quindi spero che capiremo meglio l'estensione del concetto di "portabilità";
- il Garante dovrà "definire linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull'interesse legittimo del titolare"; sicuramente queste saranno utili anche per chi tratta i dati su altri fondamenti legali.
La cosa più inquietante si trova ai commi 2022 e seguenti: "Il titolare, ove effettui un trattamento fondato sull'interesse legittimo che prevede l'uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali" usando un modello che il Garante metterà a disposizione presumibilmente entro fine febbraio 2018. In caso di silenzio, dopo 15 giorni, il titolare potrà procedere al trattamento, ma il Garante potrà comunque interromperlo (per un massimo di 30 giorni) per chiedere "ulteriori informazioni e integrazioni" o bloccarlo completamente "qualora ritenga che dal trattamento derivi comunque una lesione dei diritti e delle libertà del soggetto interessato"
Perché dico che è inquietante? Perché il GDPR, intenzionalmente, propone l'abrogazione delle "notifiche" al Garante, se non a seguito di PIA (privacy impact assessment) con risultati "negativi". Questo rimette nelle mani del titolare la valutazione della pericolosità dei propri trattamenti, contrariamente a quanto previsto dal Dlgs 196 che richiede, per tutti i trattamenti, la notifica al Garante. Sembrava un passo in avanti, ma il legislatore italiano si è dimostrato ancora una volta troppo paranoico e ha voluto aumentare le normative applicabili e ha voluto reintrodurre un simpatico strumento (la notifica) che speravamo superato.
Da notare un paio di cose:
- la notifica (anche se non si chiama più così) si applica solo ai trattamenti fondati "sull'interesse legittimo", ossia su una delle 6 opzioni su cui fondare un trattamento (legal ground);
- i trattamenti da notificare sono quelli che "prevedono l'uso di nuove tecnologie o di strumenti automatizzati"; ma oggi quasi tutti i trattamenti prevedono l'uso di strumenti automatizzati (notare la "o" disgiuntiva) e quindi la notifica andrà fatta per tutti i trattamenti fondati sull'interesse legittimo del titolare e quindi, per esempio, quelli per protezione aziendale (tutte le attività di videosorveglianza e di log degli strumenti informatici) e per il controllo qualità (quindi tutte le attività di archiviazione pratiche di qualsiasi ufficio, con riportato il nome di chi le ha redatte e approvate).
Sicuramente c'è qualche errore e sarà pubblicata una delle molte "interpretazioni". Però mi pare che l'errore sia grande. A meno che il Garante non voglia crearsi un registro delle imprese italiane.
Grazie a Paolo Calvi e Pietro Calorio degli Idraulici della privacy per la segnalazione.
Paolo Calvi rincara commentando: Così si scardina lo spirito del GDPR, basato sulla responsabilizzazione del titolare, che per trattamenti che rischiano di ledere diritti e libertà effettua una DPIA, e solo nel caso non riesca a mitigare i rischi si rivolge al Garante con la consultazione prevista dall'art.36. Qui invece sembra si voglia tornare al vecchio meccanismo della notificazione o richiesta di autorizzazione.
Nuova privacy per telemarketing
È stata approvata la nuova normativa sulla privcacy in ambito telemarketing. Non ho ancora il numero della norma e pertanto, non avendola ancora letta, evito commenti.
Ivo Trotti di Kantar Italia mi ha segnalato questo articolo da Repubblica:
- http://www.repubblica.it/economia/diritti-e-consumi/diritti-consumatori/2017/12/22/news/telemarketing_e_legge_l_obbligo_di_far_sapere_che_la_telefonata_e_commerciale-184917480/.
Roberto Gallotti (che è anche mio papà) mi ha segnalato questo dal Il Sole 24 Ore:
- http://www.ilsole24ore.com/art/notizie/2018-01-12/privacy-piu-facile-fermare-telefonate-indesiderate-214237.shtml.
Ivo Trotti di Kantar Italia mi ha segnalato questo articolo da Repubblica:
- http://www.repubblica.it/economia/diritti-e-consumi/diritti-consumatori/2017/12/22/news/telemarketing_e_legge_l_obbligo_di_far_sapere_che_la_telefonata_e_commerciale-184917480/.
Roberto Gallotti (che è anche mio papà) mi ha segnalato questo dal Il Sole 24 Ore:
- http://www.ilsole24ore.com/art/notizie/2018-01-12/privacy-piu-facile-fermare-telefonate-indesiderate-214237.shtml.
Nuovo Cad (e conservazione)
A fine 2017 è stata pubblicato un aggiornamento al Codice per l'amministrazione digitale (CAD), che presenta interessanti novità.
Purtroppo non ho ancora disponibile il numero del Decreto (e non capisco neanche se si tratta di un DL o un DLgs) e su Normattiva non vedo il testo consolidato (l'ultima modifica è del novembre 2016).
Per chi vuole portarsi avanti con il lavoro, Franco Ferrari di DNV GL mi ha segnalato due articoli (un terzo lo segnalo qui, ma è citato da uno dei due).
Il primo ha titolo "Conservazione digitale, cosa cambia con il correttivo Cad":
- https://www.agendadigitale.eu/documenti/conservazione-digitale-cosa-cambia-con-il-correttivo-cad/.
Lo trovo molto interessante perché sintetizza efficacemente il processo di accreditamento dei conservatori e i problemi ad esso connessi.
Tra i problemi avrei aggiunto anche considerazioni sulla "perfettibilità" delle liste di riscontro predisposte da AgID e sull'eccessiva onerosità del processo di verifica. Lungi da me volere un processo che permette ai candidati inadeguati di passare la verifica, ma quello attuale è decisamente eccessivo, dimostrando un eccesso di normazione che diventa, in alcuni casi, inutile.
Gli altri due articoli (titoli "Correttivo CAD, le cinque novità principali" e "Il CAD numero 6 è in Gazzetta Ufficiale, che succede ora") contengono informazioni utili:
- https://www.agendadigitale.eu/cultura-digitale/correttivo-cad-le-cinque-novita-principali/;
- https://www.agendadigitale.eu/cittadinanza-digitale/il-cad-numero-6-e-in-gazzetta-ufficiale-che-succede-ora/.
Purtroppo non ho ancora disponibile il numero del Decreto (e non capisco neanche se si tratta di un DL o un DLgs) e su Normattiva non vedo il testo consolidato (l'ultima modifica è del novembre 2016).
Per chi vuole portarsi avanti con il lavoro, Franco Ferrari di DNV GL mi ha segnalato due articoli (un terzo lo segnalo qui, ma è citato da uno dei due).
Il primo ha titolo "Conservazione digitale, cosa cambia con il correttivo Cad":
- https://www.agendadigitale.eu/documenti/conservazione-digitale-cosa-cambia-con-il-correttivo-cad/.
Lo trovo molto interessante perché sintetizza efficacemente il processo di accreditamento dei conservatori e i problemi ad esso connessi.
Tra i problemi avrei aggiunto anche considerazioni sulla "perfettibilità" delle liste di riscontro predisposte da AgID e sull'eccessiva onerosità del processo di verifica. Lungi da me volere un processo che permette ai candidati inadeguati di passare la verifica, ma quello attuale è decisamente eccessivo, dimostrando un eccesso di normazione che diventa, in alcuni casi, inutile.
Gli altri due articoli (titoli "Correttivo CAD, le cinque novità principali" e "Il CAD numero 6 è in Gazzetta Ufficiale, che succede ora") contengono informazioni utili:
- https://www.agendadigitale.eu/cultura-digitale/correttivo-cad-le-cinque-novita-principali/;
- https://www.agendadigitale.eu/cittadinanza-digitale/il-cad-numero-6-e-in-gazzetta-ufficiale-che-succede-ora/.
VERA per privacy
Ho pubblicato sul mio sito il VERA per privacy, ossia un foglio di calcolo (Excel) per la valutazione del rischio relativo alla privacy:
- http://www.cesaregallotti.it/Pubblicazioni.html.
Potrebbe essere usata per dimostrare l'adeguatezza delle misure di sicurezza attuate e per realizzare una PIA. Si basa su VERA (Very easy risk assessment), versione 4.4.
Attenzione che questa versione, in italiano, è in versione alfa. Vi prego di inviarmi suggerimenti per il suo miglioramento.
Rispetto al "normale" VERA 4.4:
Nota: ho apportato qualche piccola correzione ai VERA 4.4 già pubblicati. Essendo pigro, non ho cambiato la versione dei file.
- http://www.cesaregallotti.it/Pubblicazioni.html.
Potrebbe essere usata per dimostrare l'adeguatezza delle misure di sicurezza attuate e per realizzare una PIA. Si basa su VERA (Very easy risk assessment), versione 4.4.
Attenzione che questa versione, in italiano, è in versione alfa. Vi prego di inviarmi suggerimenti per il suo miglioramento.
Rispetto al "normale" VERA 4.4:
- aggiornato un poco il foglio di censimento delle informazioni e dei trattamenti;
- aggiunte, nei criteri di valutazione delle informazioni (o dei trattamenti), considerazioni in merito agli impatti sugli interessati (in precedenza si consideravano solo gli impatti sull'organizzazione);
- tolte le minacce senza impatto sulla privacy;
- ridotto il numero di controlli di sicurezza (ossia privacy) a 62 (il VERA 27001 + privacy ne aveva circa 140);
- inserite note (molto sintetiche) per l'interpretazione dei controlli;
- corretto qualche refuso.
Nota: ho apportato qualche piccola correzione ai VERA 4.4 già pubblicati. Essendo pigro, non ho cambiato la versione dei file.
lunedì 8 gennaio 2018
Pubblicata la nuova versione della SP 800-160 (Systems Security Engineering)
Il NIST ha pubblicato la nuova versione della SP 800-160 dal titolo "Systems Security Engineering":
- https://csrc.nist.gov/publications/detail/sp/800-160/final.
Confesso di non averla letta (è un malloppo di 160 pagine), ma ne avevo letto le versioni precedenti e non riesco a individuare i cambiamenti in questa (tranne gli errata, riportati in tabella). Sicuramente è un documento importante per chiunque si occupa di sicurezza.
- https://csrc.nist.gov/publications/detail/sp/800-160/final.
Confesso di non averla letta (è un malloppo di 160 pagine), ma ne avevo letto le versioni precedenti e non riesco a individuare i cambiamenti in questa (tranne gli errata, riportati in tabella). Sicuramente è un documento importante per chiunque si occupa di sicurezza.
domenica 7 gennaio 2018
Spectre e Meltdown
La vulnerabilità di inizio 2018 in realtà è doppia e si chiama Spectre e Meltdown.
Per ora il migliore articolo tecnico l'ho trovato sul National Cyber Security Centre (del GCHQ):
- https://www.ncsc.gov.uk/guidance/meltdown-and-spectre-guidance.
Trovo utile ricordare che:
- sono vulnerabili tutti i dispositivi e quindi è necessario aggiornare quelli personali (pc e smartphone), i server, gli apparati di rete (router, firewall, eccetera);
- i server includono gli hypervisor e le guest machine; in altre parole, chi ha i servizi "in IaaS sul cloud" non può ignorare il problema (questo conferma ancora una volta che chi usa servizi cloud deve comunque mantenere forti competenze al proprio interno);
- anche i compilatori vanno aggiornati e, dopo, tutto quanto compilato va ricompilato (questa verifica di sicurezza è fatta raramente, credo, anche perché oggi sono pochi i software compilati; ciò non ostante questo punto andrebbe meglio valutato in futuro).
La questione è esplosa su tutti i media. Passa un po' inosservato il fatto che "non risultano siano stati condotti con successo attacchi che sfruttano queste vulnerabilità". Quindi alcuni suggeriscono di affrontare queste vulnerabilità, ma senza entrare in "panic mode".
Per ora il migliore articolo tecnico l'ho trovato sul National Cyber Security Centre (del GCHQ):
- https://www.ncsc.gov.uk/guidance/meltdown-and-spectre-guidance.
Trovo utile ricordare che:
- sono vulnerabili tutti i dispositivi e quindi è necessario aggiornare quelli personali (pc e smartphone), i server, gli apparati di rete (router, firewall, eccetera);
- i server includono gli hypervisor e le guest machine; in altre parole, chi ha i servizi "in IaaS sul cloud" non può ignorare il problema (questo conferma ancora una volta che chi usa servizi cloud deve comunque mantenere forti competenze al proprio interno);
- anche i compilatori vanno aggiornati e, dopo, tutto quanto compilato va ricompilato (questa verifica di sicurezza è fatta raramente, credo, anche perché oggi sono pochi i software compilati; ciò non ostante questo punto andrebbe meglio valutato in futuro).
La questione è esplosa su tutti i media. Passa un po' inosservato il fatto che "non risultano siano stati condotti con successo attacchi che sfruttano queste vulnerabilità". Quindi alcuni suggeriscono di affrontare queste vulnerabilità, ma senza entrare in "panic mode".
martedì 2 gennaio 2018
Tutelato il dipendente che segnala illeciti
Segnalo questa novità dal sito di Altalex: "Whistleblowing, in vigore le nuove norme: tutelato il dipendente che segnala illeciti":
- http://www.altalex.com/documents/leggi/2017/11/16/whistleblowing.
Copio e incollo: "il dipendente che segnala al responsabile della prevenzione della corruzione dell'ente o all'Autorità nazionale anticorruzione o ancora all'autorità giudiziaria ordinaria o contabile le condotte illecite o di abuso di cui sia venuto a conoscenza in ragione del suo rapporto di lavoro, non può essere - per motivi collegati alla segnalazione - soggetto a sanzioni, demansionato, licenziato, trasferito o sottoposto a altre misure organizzative che abbiano un effetto negativo sulle condizioni di lavoro".
Inoltre: "Le nuove disposizioni valgono anche per chi lavora in imprese che forniscono beni e servizi alla Pa".
- http://www.altalex.com/documents/leggi/2017/11/16/whistleblowing.
Copio e incollo: "il dipendente che segnala al responsabile della prevenzione della corruzione dell'ente o all'Autorità nazionale anticorruzione o ancora all'autorità giudiziaria ordinaria o contabile le condotte illecite o di abuso di cui sia venuto a conoscenza in ragione del suo rapporto di lavoro, non può essere - per motivi collegati alla segnalazione - soggetto a sanzioni, demansionato, licenziato, trasferito o sottoposto a altre misure organizzative che abbiano un effetto negativo sulle condizioni di lavoro".
Inoltre: "Le nuove disposizioni valgono anche per chi lavora in imprese che forniscono beni e servizi alla Pa".
sabato 23 dicembre 2017
VERA 4.4 per ISO/IEC 27001 e privacy
Ho pubblicato VERA 4.4 per ISO/IEC 27001 e privacy. Si trovano sul mio sito:
- http://www.cesaregallotti.it/Pubblicazioni.html.
Ringrazio per i suggerimenti: Nicola Nuti, Roberto Obialero, Antonio Salis.
Ora mi dedicherò al VERA "solo privacy", che sarà una "riduzione" di questo VERA.
Come sempre: vi prego di farmi sapere se trovate errori (temo ce ne siano tanti) o avete suggerimenti. Inoltre: chi vorrà vedere la bozza di VERA "solo privacy", me lo faccia sapere che lo invio appena pronto.
Segnalo che ho cambiato un poco il VERA "solo 27001": Roberto Obialero mi ha suggerito di cambiare alcune descrizioni di minaccia che ho accolto (ma non ho cambiato versione al file, consapevole che non ho seguito la pratica corretta).
- http://www.cesaregallotti.it/Pubblicazioni.html.
Ringrazio per i suggerimenti: Nicola Nuti, Roberto Obialero, Antonio Salis.
Ora mi dedicherò al VERA "solo privacy", che sarà una "riduzione" di questo VERA.
Come sempre: vi prego di farmi sapere se trovate errori (temo ce ne siano tanti) o avete suggerimenti. Inoltre: chi vorrà vedere la bozza di VERA "solo privacy", me lo faccia sapere che lo invio appena pronto.
Segnalo che ho cambiato un poco il VERA "solo 27001": Roberto Obialero mi ha suggerito di cambiare alcune descrizioni di minaccia che ho accolto (ma non ho cambiato versione al file, consapevole che non ho seguito la pratica corretta).
Il tracciamento delle email
Per un Natale sempre più sereno, ecco qui un articolo (sempre segnalato dalla newsletter di Bruce Schneier) sul tracciamento delle email:
- https://www.wired.com/story/how-email-open-tracking-quietly-took-over-the-web/.
Mi chiedevo come MailUp faccia a dirmi quante persone hanno aperto la mia newsletter. Ora lo so. Ma so anche che non è solo MailUp che fa uso di questi meccanismi. Anzi: il 40% del traffico email è tracciato. E permette di sapere che le email indirizzate al CEO di Apple sono aperte con un pc Windows.
- https://www.wired.com/story/how-email-open-tracking-quietly-took-over-the-web/.
Mi chiedevo come MailUp faccia a dirmi quante persone hanno aperto la mia newsletter. Ora lo so. Ma so anche che non è solo MailUp che fa uso di questi meccanismi. Anzi: il 40% del traffico email è tracciato. E permette di sapere che le email indirizzate al CEO di Apple sono aperte con un pc Windows.
Amazon Keys
Non sapevo che esistessero chiavi di casa di questo tipo: per facilitare le consegne (e non lasciare il pacco di Amazon fuori casa), Amazon si è inventato le serrature che può aprire autonomamente. Quindi, nel caso più "automatizzato", il trasportatore segnala ad Amazon e al cliente che è fuori dalla porta, arriva un SMS al cliente che può guardare cosa succede con una webcam fornita da Amazon stessa, Amazon apre la porta a distanza, il trasportatore lascia il pacco appena dentro casa e poi chiude la porta.
Tutto ciò mi dà i brividi, per motivi che dovrei ben capire. Però il timore che tutto questo meccanismo possa essere attaccato è uno dei motivi. Parte di esso, ossia la telecamera, lo è già stato:
- https://www.wired.com/story/amazon-key-flaw-let-deliverymen-disable-your-camera/.
Ho seguito dei progetti in ambito IoT e so che parte delle persone che sviluppano queste cose sono professionali e preparate. Ma non tutte. E comunque penso che troppa automazione, oltre a ridurre le nostre capacità di elaborazione mentale, aumenti eccessivamente le possibilità di attacco. Forse è un problema solo mio.
Tutto ciò mi dà i brividi, per motivi che dovrei ben capire. Però il timore che tutto questo meccanismo possa essere attaccato è uno dei motivi. Parte di esso, ossia la telecamera, lo è già stato:
- https://www.wired.com/story/amazon-key-flaw-let-deliverymen-disable-your-camera/.
Ho seguito dei progetti in ambito IoT e so che parte delle persone che sviluppano queste cose sono professionali e preparate. Ma non tutte. E comunque penso che troppa automazione, oltre a ridurre le nostre capacità di elaborazione mentale, aumenti eccessivamente le possibilità di attacco. Forse è un problema solo mio.
Sicurezza informatica (per i singoli)
Questo mese Bruce Schneier, nella sua newsletter, suggerisce alcune guide per la sicurezza dei dispositivi personali (pc Windows e Mac, Android, iPhone) e la navigazione Internet.
Mi piace diffondere i suoi suggerimenti:
- https://motherboard.vice.com/en_us/article/d3devm/motherboard-guide-to-not-getting-hacked-online-safety-guide;
- https://ssd.eff.org/en;
- https://www.johnscottrailton.com/jsrs-digital-security-low-hanging-fruit/;
- https://www.frontlinedefenders.org/en/resource-publication/digital-security-privacy-human-rights-defenders.
Sono tutti piuttosto lunghi, anche se (ovviamente) non difficili.
Inoltre mi ha scritto John Mason (trovandomi su Google) per segnalarmi questo suo articolo, che è decisamente semplice e quindi un ottimo punto di partenza:
- https://thebestvpn.com/online-privacy-guide/.
Mi piace diffondere i suoi suggerimenti:
- https://motherboard.vice.com/en_us/article/d3devm/motherboard-guide-to-not-getting-hacked-online-safety-guide;
- https://ssd.eff.org/en;
- https://www.johnscottrailton.com/jsrs-digital-security-low-hanging-fruit/;
- https://www.frontlinedefenders.org/en/resource-publication/digital-security-privacy-human-rights-defenders.
Sono tutti piuttosto lunghi, anche se (ovviamente) non difficili.
Inoltre mi ha scritto John Mason (trovandomi su Google) per segnalarmi questo suo articolo, che è decisamente semplice e quindi un ottimo punto di partenza:
- https://thebestvpn.com/online-privacy-guide/.
Qualche spunto sul DPO
Il (solito) Pierfrancesco Maistrello mi ha segnalato che il Garante ha aggiornato le faq sul DPO ed emanato uno schema tipo di nomina e un modello per comunicare al garante gli estremi del DPO:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/7322110.
La notizia è poi finita sulla newsletter del Garante, ma Pierfrancesco me l'ha fornita con largo anticipo insieme a qualche commento che io riprendo:
- lo schema di nomina del DPO è standard, quindi non lascia spazio a nulla di eccitante, ma è comunque comodo;
- la nomina del DPO per società in-house o partecipate di PA non è obbligatoria, ma fortemente consigliata;
- la posizione del DPO interno (dirigente, o "funzionario di alta professionalità", che sia in contatto con il vertice) non sembra di immediata individuazione in tutte le tipologie di PA;
- certificazioni DPO: utili solo come indicazione di competenze;
- come si nomina: schema tipo, più comunicazioni al garante dei suoi estremi;
- interessante notare che: il DPO nelle FAQ del Garante è sempre una persona fisica;
- può esserci più di un DPO? domanda interessante per le grandi PA, ma la risposa è NO, il DPO è uno, gli altri sono figure di supporto per lui (sia interno che esterno);
- cosa può fare il DPO oltre a quello che prevede la normativa? Difficile dirlo, visto che questo punto è in garantese stretto, che non dice nulla di nuovo, ma conferma che è il titolare a decidere se assegnare altri compiti a figure già ingolfate di attività (ad esempio il responsabile per la prevenzione della corruzione o altri ruoli) o come assegnare compiti in assenza di conflitto di interessi.
In definitiva, le FAQ diradano qualche nebbia, ma non completamente.
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/7322110.
La notizia è poi finita sulla newsletter del Garante, ma Pierfrancesco me l'ha fornita con largo anticipo insieme a qualche commento che io riprendo:
- lo schema di nomina del DPO è standard, quindi non lascia spazio a nulla di eccitante, ma è comunque comodo;
- la nomina del DPO per società in-house o partecipate di PA non è obbligatoria, ma fortemente consigliata;
- la posizione del DPO interno (dirigente, o "funzionario di alta professionalità", che sia in contatto con il vertice) non sembra di immediata individuazione in tutte le tipologie di PA;
- certificazioni DPO: utili solo come indicazione di competenze;
- come si nomina: schema tipo, più comunicazioni al garante dei suoi estremi;
- interessante notare che: il DPO nelle FAQ del Garante è sempre una persona fisica;
- può esserci più di un DPO? domanda interessante per le grandi PA, ma la risposa è NO, il DPO è uno, gli altri sono figure di supporto per lui (sia interno che esterno);
- cosa può fare il DPO oltre a quello che prevede la normativa? Difficile dirlo, visto che questo punto è in garantese stretto, che non dice nulla di nuovo, ma conferma che è il titolare a decidere se assegnare altri compiti a figure già ingolfate di attività (ad esempio il responsabile per la prevenzione della corruzione o altri ruoli) o come assegnare compiti in assenza di conflitto di interessi.
In definitiva, le FAQ diradano qualche nebbia, ma non completamente.
mercoledì 13 dicembre 2017
Strumento PIA del CNIL
L'autorità francese per la privacy (il CNIL), ha pubblicato uno strumento per realizzare le PIA:
- https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment.
La segnalazione mi arriva da Pierfrancesco Maistrello, che l'ha analizzato molto rapidamente e l'ha trovato facile da usare.
Personalmente rilevo che le misure di sicurezza da considerare non sono incluse nel prodotto (ho analizzato la versione beta, quella disponibile ad oggi). Queste sono comunque presenti nelle linee guida sempre del CNIL (già segnalate a suo tempo):
- https://www.cnil.fr/en/guidelines-dpia.
In definitiva mi sembra uno strumento che aiuta la scrittura del rapporto; una sorta di "indice sofisticato". Non voglio ridurre l'importanza di questo strumento, che rappresenta un punto di vista autorevole e di buona qualità. Anzi, sono contento che questo prodotto sia stato progettato considerando le reali necessità degli utilizzatori, e non le elucubrazioni di qualche "saggio nella torre d'avorio" (come siamo troppo spesso a vedere in troppi documenti o prodotti italiani quando si parla di conformità a normative).
- https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment.
La segnalazione mi arriva da Pierfrancesco Maistrello, che l'ha analizzato molto rapidamente e l'ha trovato facile da usare.
Personalmente rilevo che le misure di sicurezza da considerare non sono incluse nel prodotto (ho analizzato la versione beta, quella disponibile ad oggi). Queste sono comunque presenti nelle linee guida sempre del CNIL (già segnalate a suo tempo):
- https://www.cnil.fr/en/guidelines-dpia.
In definitiva mi sembra uno strumento che aiuta la scrittura del rapporto; una sorta di "indice sofisticato". Non voglio ridurre l'importanza di questo strumento, che rappresenta un punto di vista autorevole e di buona qualità. Anzi, sono contento che questo prodotto sia stato progettato considerando le reali necessità degli utilizzatori, e non le elucubrazioni di qualche "saggio nella torre d'avorio" (come siamo troppo spesso a vedere in troppi documenti o prodotti italiani quando si parla di conformità a normative).
Iscriviti a:
Post (Atom)