La mia newsletter è su MailUp e il 25 aprile 2020 mi è stato comunicato che è stato rilevato un incidente.
Su questo evento ho visto pochissime notizie. Anzi... ho trovato solo questa:
- https://www.cybersecurity360.it/legal/privacy-dati-personali/data-breach-mailup-coinvolto-il-responsabile-del-trattamento-la-lezione-appresa/.
Interessante è il fatto che ritengano "riservate" le comunicazioni inviate, quando però è compito dei titolari fornirle agli interessati.
In sintesi, l'incidente è stato rilevato il 24 aprile e si tratta di "un sofisticato attacco ransomware di elevata intensità". Come in tutti gli attacchi ransomware, i dati sono risultati indisponibili, ma poi MailUp li ha ripristinati entro il 27 aprile. Le analisi inviate non dicono se ci sono evidenze di trasmissione dei dati.
Detto questo, i dati personali di cui io sono titolare sono gli indirizzi email dei destinatari delle newsletter. La loro violazione non presenta un rischio per i diritti e le libertà delle persone fisiche, visto che l'incapacità di ricevere la newsletter può rappresentare sì un disagio, ma non può compromettere i diritti e le libertà delle persone fisiche. Per quanto riguarda la possibile violazione della riservatezza, questa può dimostrare l'interesse dell'interessato verso la qualità, la sicurezza delle informazioni e la privacy, ossia materie che non compromettono i diritti e le libertà delle persone fisiche.
Tutto ciò considerato: non farò alcuna notifica al Garante, ma avviserò comunque gli interessati con la prossima newsletter, riportando quanto qui scritto.
giovedì 7 maggio 2020
mercoledì 6 maggio 2020
Rapporto semestrale MELANI
Due volte all'anno segnalo il rapporto semestrale della Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI (Svizzera):
- https://www.melani.admin.ch/melani/it/home/dokumentation/rapporti/rapporti-di-situazione/halbjahresbericht-2019-2.html.
Questa edizione mi ha fornito meno indicazioni del solito, forse perché sono troppo concentrato sul COVID-19.
Comunque sia, è sempre un'ottima lettura.
- https://www.melani.admin.ch/melani/it/home/dokumentation/rapporti/rapporti-di-situazione/halbjahresbericht-2019-2.html.
Questa edizione mi ha fornito meno indicazioni del solito, forse perché sono troppo concentrato sul COVID-19.
Comunque sia, è sempre un'ottima lettura.
Costituito il CSIRT Italia
Dalla newsletter di DFA segnalo che è stato costituito il CSIRT Italia:
- https://csirt.gov.it/home
Il sito del neonato CSIRT Italia è avaro di informazioni utili, quindi copio (con qualche taglio ed evitando il termine "cibernetico") quanto riportato dal sito del CERT-PA.
Il CSIRT Italia raccoglie le attività in precedenza svolte dal CERT-PA e il CERT Nazionale, rispettivamente dedicate alle pubbliche amministrazioni ed al settore privato.
La decisione rientra nell'ambito del piano di attuazione della Direttiva NIS (Decreto legislativo 18 maggio 2018 n. 65) che – tra le altre misure – prevede anche in Italia la costituzione di un Computer Security Incident Response Team unico (cosiddetto CSIRT).
L'attività dello CSIRT è disciplinata dal DPCM 8 agosto 2019 in materia di "Disposizioni sull'organizzazione e il funzionamento del Computer Security Incident Response Team – CSIRT italiano", pubblicato in Gazzetta Ufficiale l'8 novembre 2019.
In tale quadro, i soggetti pubblici e privati, a partire dalla data menzionata, in caso di incidente informatico o di segnalazione di evento, hanno quale nuovo ed unico interlocutore lo CSIRT Italia, che già riceve le notifiche obbligatorie e volontarie degli operatori di servizi essenziali (cosiddetti OSE) e fornitori di servizi digitali (cosiddetti FSD) ai sensi della Direttiva NIS.
Concludo quindi con un commento personale: spero che la nuova struttura sia più utile delle precedenti, per lo meno nella parte visibile al pubblico, e promuova campagne di informazione più significative, come quelle, per esempio della svizzera MELANI.
- https://csirt.gov.it/home
Il sito del neonato CSIRT Italia è avaro di informazioni utili, quindi copio (con qualche taglio ed evitando il termine "cibernetico") quanto riportato dal sito del CERT-PA.
Il CSIRT Italia raccoglie le attività in precedenza svolte dal CERT-PA e il CERT Nazionale, rispettivamente dedicate alle pubbliche amministrazioni ed al settore privato.
La decisione rientra nell'ambito del piano di attuazione della Direttiva NIS (Decreto legislativo 18 maggio 2018 n. 65) che – tra le altre misure – prevede anche in Italia la costituzione di un Computer Security Incident Response Team unico (cosiddetto CSIRT).
L'attività dello CSIRT è disciplinata dal DPCM 8 agosto 2019 in materia di "Disposizioni sull'organizzazione e il funzionamento del Computer Security Incident Response Team – CSIRT italiano", pubblicato in Gazzetta Ufficiale l'8 novembre 2019.
In tale quadro, i soggetti pubblici e privati, a partire dalla data menzionata, in caso di incidente informatico o di segnalazione di evento, hanno quale nuovo ed unico interlocutore lo CSIRT Italia, che già riceve le notifiche obbligatorie e volontarie degli operatori di servizi essenziali (cosiddetti OSE) e fornitori di servizi digitali (cosiddetti FSD) ai sensi della Direttiva NIS.
Concludo quindi con un commento personale: spero che la nuova struttura sia più utile delle precedenti, per lo meno nella parte visibile al pubblico, e promuova campagne di informazione più significative, come quelle, per esempio della svizzera MELANI.
mercoledì 29 aprile 2020
Protocollo COVID-19 sui luoghi di lavoro (24 aprile)
Il 24 aprile è stato aggiornato l'aggiornamento del "Protocollo condiviso sulle misure per il contrasto al Covid-19 negli ambienti di lavoro". Si trova qui:
- https://www.lavoro.gov.it/notizie/pagine/sicurezza-sul-lavoro-integrato-il-protocollo-condiviso-sulle-misure-per-il-contrasto-al-covid-19-negli-ambienti-di-lavoro.aspx/.
Ringrazio Daniela Pollino di Pidielle S.p.A. per la segnalazione.
Il protocollo stabilisce anche le modalità di ingresso in azienda, prevedendo il controllo della temperatura. Per questo è necessario quindi prevedere opportune informative privacy.
A questo punto segnalo il modello di informativa proposto dallo Studio Stefanelli. Fa riferimento al precedente protocollo del 14 marzo, ma credo vada bene lo stesso. Segnalo la pagina in cui è disponibile questo documento e anche altri:
- https://www.studiolegalestefanelli.it/it/solidarieta-digitale-smartworking.
- https://www.lavoro.gov.it/notizie/pagine/sicurezza-sul-lavoro-integrato-il-protocollo-condiviso-sulle-misure-per-il-contrasto-al-covid-19-negli-ambienti-di-lavoro.aspx/.
Ringrazio Daniela Pollino di Pidielle S.p.A. per la segnalazione.
Il protocollo stabilisce anche le modalità di ingresso in azienda, prevedendo il controllo della temperatura. Per questo è necessario quindi prevedere opportune informative privacy.
A questo punto segnalo il modello di informativa proposto dallo Studio Stefanelli. Fa riferimento al precedente protocollo del 14 marzo, ma credo vada bene lo stesso. Segnalo la pagina in cui è disponibile questo documento e anche altri:
- https://www.studiolegalestefanelli.it/it/solidarieta-digitale-smartworking.
Stato delle norme ISO/IEC 270xx - Aprile 2020
Si è appena concluso il 62mo meeting dell'ISO/IEC JTC 1 SC 27. Doveva essere a Sanpietroburgo, ma si è invece tenuto tutto in ambiente virtuale. Esperienza decisamente difficile, ma riuscita (anche se si è confermato che gli incontri fisici sono più efficaci di quelli virtuali).
Hanno partecipato più di 120 delegati da 34 Paesi.
La delegazione italiana era composta da 7 persone, tra cui: Fabio Guasconi (Presidente), Andrea Caccia, Alessandro Cosenza, Stefano Ramacciotti, Daniele Tumietto e me stesso.
Per quanto riguarda le norme del WG 1, non ci sono grosse novità. Mi limito, come al solito, ad indicare lo stato di avanzamento di alcune norme:
- ISO/IEC 27002 (controlli di sicurezza): sono proseguiti i lavori e sono stati fatti molti commenti; per migliorare ulteriormente la qualità della norma, gli esperti hanno ritenuto opportuno "rallentarne" l'uscita, che a questo punto sarà, nella migliore delle ipotesi, ad autunno 2021;
- ISO/IEC 27003 (guida all'uso della ISO/IEC 27001): confermata così com'è;
- ISO/IEC 27005 (sul risk management): sono proseguiti i lavori, ma la pubblicazione della nuova versione è ancora lontana (nella migliore delle ipotesi, sarà nel 2022);
- ISO/IEC 27013 (relazioni tra ISO/IEC 20000-1 e ISO/IEC 27001): sono proseguiti i lavori e si spera di pubblicare ad autunno 2021.
La norma ISO/IEC 27558, con i requisiti di accreditamento degli organismi di certificazione per svolgere gli audit ISO/IEC 27701, è una norma di competenza del WG 1 e del WG 5 (dedicato alla privacy). Per questa norma sono state fatte tre scelte importanti:
- dare un'accelerazione ai lavori in modo da pubblicarla, auspicabilmente, per metà 2021 (non mi dilungo nei dettagli tecnici; dico solo che non sarà un "International Standard", ma una "Technical Specification");
- avviare una richiesta di commenti specifica per il calcolo dei tempi di audit (io qui prevedo un grande macello per poi "accontentarsi" del solito calcolo basato sul numero di persone in ambito);
- sarà numerata ISO/IEC 27006-2; così l'attuale ISO/IEC 27006 sarà numerata ISO/IEC 27006-1.
Per quanto riguarda le norme del WG 5 (privacy), segnalo solo:
- ISO/IEC 29134 (sulla PIA): sarà avviato un lavoro di "correzione".
Per il WG 4, che si occupa di norme più tecniche, mi sono interessato a quelle sull'IoT e sull'industriale (ISO/IEC 24391, Guidelines for IoT domotics security and privacy; ISO/IEC 24392, Security reference model for industrial internet platform; ISO/IEC 27030, che cambierà numero in ISO/IEC 27400, IoT security and privacy – Guidelines; 27402, IoT security and privacy – Device baseline requirements) e sono meno interessato ad altre norme, anche se il titolo sembra promettente, perché temo possano essere troppo fuffose (la nuova edizione della ISO/IEC 27032, Guidelines for Internet security; ISO/IEC 27035, sulla gestione degli incidenti). Ad ogni modo, non sono riuscito a seguire i lavori di nessuna di queste norme e me ne dispiace molto.
Il prossimo meeting sarà a metà settembre a Varsavia (Polonia). Speriamo...
Ringrazio Fabio Guasconi (e non solo...) per avermi segnalato alcuni errori presenti in questo breve articolo.
Hanno partecipato più di 120 delegati da 34 Paesi.
La delegazione italiana era composta da 7 persone, tra cui: Fabio Guasconi (Presidente), Andrea Caccia, Alessandro Cosenza, Stefano Ramacciotti, Daniele Tumietto e me stesso.
Per quanto riguarda le norme del WG 1, non ci sono grosse novità. Mi limito, come al solito, ad indicare lo stato di avanzamento di alcune norme:
- ISO/IEC 27002 (controlli di sicurezza): sono proseguiti i lavori e sono stati fatti molti commenti; per migliorare ulteriormente la qualità della norma, gli esperti hanno ritenuto opportuno "rallentarne" l'uscita, che a questo punto sarà, nella migliore delle ipotesi, ad autunno 2021;
- ISO/IEC 27003 (guida all'uso della ISO/IEC 27001): confermata così com'è;
- ISO/IEC 27005 (sul risk management): sono proseguiti i lavori, ma la pubblicazione della nuova versione è ancora lontana (nella migliore delle ipotesi, sarà nel 2022);
- ISO/IEC 27013 (relazioni tra ISO/IEC 20000-1 e ISO/IEC 27001): sono proseguiti i lavori e si spera di pubblicare ad autunno 2021.
La norma ISO/IEC 27558, con i requisiti di accreditamento degli organismi di certificazione per svolgere gli audit ISO/IEC 27701, è una norma di competenza del WG 1 e del WG 5 (dedicato alla privacy). Per questa norma sono state fatte tre scelte importanti:
- dare un'accelerazione ai lavori in modo da pubblicarla, auspicabilmente, per metà 2021 (non mi dilungo nei dettagli tecnici; dico solo che non sarà un "International Standard", ma una "Technical Specification");
- avviare una richiesta di commenti specifica per il calcolo dei tempi di audit (io qui prevedo un grande macello per poi "accontentarsi" del solito calcolo basato sul numero di persone in ambito);
- sarà numerata ISO/IEC 27006-2; così l'attuale ISO/IEC 27006 sarà numerata ISO/IEC 27006-1.
Per quanto riguarda le norme del WG 5 (privacy), segnalo solo:
- ISO/IEC 29134 (sulla PIA): sarà avviato un lavoro di "correzione".
Per il WG 4, che si occupa di norme più tecniche, mi sono interessato a quelle sull'IoT e sull'industriale (ISO/IEC 24391, Guidelines for IoT domotics security and privacy; ISO/IEC 24392, Security reference model for industrial internet platform; ISO/IEC 27030, che cambierà numero in ISO/IEC 27400, IoT security and privacy – Guidelines; 27402, IoT security and privacy – Device baseline requirements) e sono meno interessato ad altre norme, anche se il titolo sembra promettente, perché temo possano essere troppo fuffose (la nuova edizione della ISO/IEC 27032, Guidelines for Internet security; ISO/IEC 27035, sulla gestione degli incidenti). Ad ogni modo, non sono riuscito a seguire i lavori di nessuna di queste norme e me ne dispiace molto.
Il prossimo meeting sarà a metà settembre a Varsavia (Polonia). Speriamo...
Ringrazio Fabio Guasconi (e non solo...) per avermi segnalato alcuni errori presenti in questo breve articolo.
martedì 28 aprile 2020
Data center Amazon in Italia
Paolo Sferlazza di Gerico Security (che ringrazio) mi ha segnalato questa interessante notizia dal titolo "La nuova Regione AWS in Italia":
- https://aws.amazon.com/it/local/italy/milan/.
Non sono un fan di Amazon, ma bisogna dire che questa mossa ha un impatto interessante per quanto riguarda l'applicazione del GDPR. Sarà anche interessante vedere come questo esempio sarà seguito in Europa e in Italia.
- https://aws.amazon.com/it/local/italy/milan/.
Non sono un fan di Amazon, ma bisogna dire che questa mossa ha un impatto interessante per quanto riguarda l'applicazione del GDPR. Sarà anche interessante vedere come questo esempio sarà seguito in Europa e in Italia.
lunedì 20 aprile 2020
Articolo sulla protezione delle piattaforme tecno-industriali
Segnalo questo articolo dal titolo "Protezione delle piattaforme tecno-industriali. Compliance NIS e oltre" di Giulio Carducci:
- https://www.ictsecuritymagazine.com/articoli/protezione-delle-piattaforme-tecno-industriali-compliance-nis-e-oltre/.
L'articolo propone un approccio per la valutazione del rischio relativo alla sicurezza OT (tradotta, molto bene, a mio parere, con "tecno-industriale").
L'articolo ha il pregio di non nascondere i punti di "semplificazione" dell'approccio battezzato IPSEM. Ma questi passaggi sono molto ben spiegati e giustificati, sia facendo riferimento alle caratteristiche peculiari dell'ambiente tecno-industriale, differente da quello "gestionale", sia alle solite caratteristiche del rischio relativo alla sicurezza delle informazioni.
Per la cronaca: Giulio Carducci è stato uno dei miei maestri, ma questo articolo l'ho "scoperto" da solo e mi fa piacere segnalarlo.
- https://www.ictsecuritymagazine.com/articoli/protezione-delle-piattaforme-tecno-industriali-compliance-nis-e-oltre/.
L'articolo propone un approccio per la valutazione del rischio relativo alla sicurezza OT (tradotta, molto bene, a mio parere, con "tecno-industriale").
L'articolo ha il pregio di non nascondere i punti di "semplificazione" dell'approccio battezzato IPSEM. Ma questi passaggi sono molto ben spiegati e giustificati, sia facendo riferimento alle caratteristiche peculiari dell'ambiente tecno-industriale, differente da quello "gestionale", sia alle solite caratteristiche del rischio relativo alla sicurezza delle informazioni.
Per la cronaca: Giulio Carducci è stato uno dei miei maestri, ma questo articolo l'ho "scoperto" da solo e mi fa piacere segnalarlo.
Documento ENISA sulla sicurezza del software
ENISA ha pubblicato il rapporto "Advancing Software Security in the EU":
- https://www.enisa.europa.eu/publications/advancing-software-security-through-the-eu-certification-framework.
Sono 16 pagine molto dense.
Infatti da una parte il paragrafo 2.4 "Existing standards and good practices" riporta alcuni documenti significativi relativi allo sviluppo sicuro. In particolare, io non conoscevo per niente l'OWASP ASVS, che ho invece trovato molto interessante (anche se avrei preferito, come al solito, un documento di "progettazione" e non di "verifica"):
- https://owasp.org/www-project-application-security-verification-standard/.
Il capitolo 3, dedicato ai problemi relativi alla sicurezza del software, anche se molto corto, riporta considerazioni che non ho mai trovato altrove. Le raccomandazioni, ossia i successivi passi che ENISA e altre istituzioni europee potrebbero prendere, mi sembrano anch'esse di adeguata profondità
(anzi... evitano proprio di citare la solita "formazione", che è sì importante, ma sembra il rifiugio di chi non ha idee).
- https://www.enisa.europa.eu/publications/advancing-software-security-through-the-eu-certification-framework.
Sono 16 pagine molto dense.
Infatti da una parte il paragrafo 2.4 "Existing standards and good practices" riporta alcuni documenti significativi relativi allo sviluppo sicuro. In particolare, io non conoscevo per niente l'OWASP ASVS, che ho invece trovato molto interessante (anche se avrei preferito, come al solito, un documento di "progettazione" e non di "verifica"):
- https://owasp.org/www-project-application-security-verification-standard/.
Il capitolo 3, dedicato ai problemi relativi alla sicurezza del software, anche se molto corto, riporta considerazioni che non ho mai trovato altrove. Le raccomandazioni, ossia i successivi passi che ENISA e altre istituzioni europee potrebbero prendere, mi sembrano anch'esse di adeguata profondità
(anzi... evitano proprio di citare la solita "formazione", che è sì importante, ma sembra il rifiugio di chi non ha idee).
domenica 19 aprile 2020
EDPS Web site collector per l'analisi privacy
Ringrazio per questo link Nicola Nuti. L'EDPS ha messo a disposizione uno strumento per analizzare i siti web e la loro conformità relativamente alla protezione dei dati personali.
Questa è notizia non proprio recente. Ma questo articolo che spiega bene come funziona è invece recente:
- http://www.dirittoegiustizia.it/news/23/0000098319/Website_Evidence_Collector_il_tool_gratuito_del_Garante_Europeo_per_la_Protezione_dei_dati_personali.html.
La pagina per scaricare lo strumento è questa:
- https://joinup.ec.europa.eu/solution/website-evidence-collector/releases.
Questa è notizia non proprio recente. Ma questo articolo che spiega bene come funziona è invece recente:
- http://www.dirittoegiustizia.it/news/23/0000098319/Website_Evidence_Collector_il_tool_gratuito_del_Garante_Europeo_per_la_Protezione_dei_dati_personali.html.
La pagina per scaricare lo strumento è questa:
- https://joinup.ec.europa.eu/solution/website-evidence-collector/releases.
venerdì 17 aprile 2020
Le App per il tracciamento COVID-19 - L'app Immuni
Al volo, ricevo da Glauco Rampogna la notizia che "pare che si siamo, è stata scelta la app di Bending Spoons per l'italia":
- https://www.open.online/2020/04/17/coronavirus-arriva-immuni-app-per-il-tracciamento-dei-contagi-scelta-dal-governo/.
E' la soluzione basta su Blutooth, sulla cui utilità ho parecchi dubbi, come ho già scritto.
- https://www.open.online/2020/04/17/coronavirus-arriva-immuni-app-per-il-tracciamento-dei-contagi-scelta-dal-governo/.
E' la soluzione basta su Blutooth, sulla cui utilità ho parecchi dubbi, come ho già scritto.
Le App per il tracciamento COVID-19 - Mia intervista
Sulla faccenda delle app per il tracciamento COVID-19 mi hanno intervistato per Byoblu:
- https://www.youtube.com/watch?v=hYPu4v4x-n8.
Non credo di aver fatto un bell'intervento (preferisco sempre scrivere al parlare) perché molte cose non le ho dette e ne ho dette altre inutili. Ma mi ha divertito fare questa intervista via Skype e spero di aver presentato le cose in modo equanime, presentando i punti critici senza fare allarmismo o scandalo inutile. Devo dire che la mia analisi preliminare del sito https://www.byoblu.com/ mi aveva fatto temere un approccio scandalistico che invece non ho visto alla prova dei fatti. Anzi: ho notato un atteggiamento attento e professionale.
I commenti al video non mi trovano d'accordo perché buttano tutto in caciara. Ma almeno mi sembra che nessuno mi abbia dato (ancora) del cretino.
- https://www.youtube.com/watch?v=hYPu4v4x-n8.
Non credo di aver fatto un bell'intervento (preferisco sempre scrivere al parlare) perché molte cose non le ho dette e ne ho dette altre inutili. Ma mi ha divertito fare questa intervista via Skype e spero di aver presentato le cose in modo equanime, presentando i punti critici senza fare allarmismo o scandalo inutile. Devo dire che la mia analisi preliminare del sito https://www.byoblu.com/ mi aveva fatto temere un approccio scandalistico che invece non ho visto alla prova dei fatti. Anzi: ho notato un atteggiamento attento e professionale.
I commenti al video non mi trovano d'accordo perché buttano tutto in caciara. Ma almeno mi sembra che nessuno mi abbia dato (ancora) del cretino.
giovedì 16 aprile 2020
Le App per il tracciamento COVID-19 - Bruce Schneier
Anche Bruce Schneier (a sua volta citando Ross Anderson) dice la sua sulle applicazioni di tracciamento:
- https://www.schneier.com/blog/archives/2020/04/contact_tracing.html.
Fa un po' di riflessioni sul fatto che l'efficacia di un'applicazione di tracciamento non è provata, che bisognerà affrontare i falsi positivi e i falsi negativi e che, soprattutto, senza un metodo economico, veloce e accurato per verificare lo stato di salute, l'applicazione è inutile. E' la risposta tecnologica a un problema che invece è sociale.
Oh... ci ero arrivato da solo io stesso! O sono particolarmente intelligente (dubito) o ho fatto un po' di esperienza e non mi faccio accecare dalle soluzioni basate sui tool.
Inoltre Bruce Schneier riporta la riflessione di Ross Anderson che dice che tutto nasce da un falso sillogismo (in questo caso, un sillogismo cicliico): qualcosa deve essere fatto e l'applicazione è qualcosa e quindi dobbiamo farlo.
- https://www.schneier.com/blog/archives/2020/04/contact_tracing.html.
Fa un po' di riflessioni sul fatto che l'efficacia di un'applicazione di tracciamento non è provata, che bisognerà affrontare i falsi positivi e i falsi negativi e che, soprattutto, senza un metodo economico, veloce e accurato per verificare lo stato di salute, l'applicazione è inutile. E' la risposta tecnologica a un problema che invece è sociale.
Oh... ci ero arrivato da solo io stesso! O sono particolarmente intelligente (dubito) o ho fatto un po' di esperienza e non mi faccio accecare dalle soluzioni basate sui tool.
Inoltre Bruce Schneier riporta la riflessione di Ross Anderson che dice che tutto nasce da un falso sillogismo (in questo caso, un sillogismo cicliico): qualcosa deve essere fatto e l'applicazione è qualcosa e quindi dobbiamo farlo.
martedì 14 aprile 2020
Le App per il tracciamento COVID-19
Sulle app per il tracciamento della diffusione del COVID-19 ho gà scritto la mia:
- http://blog.cesaregallotti.it/2020/03/corea-del-sud-e-italia-cultura-e.html.
La newsletter Guerre di rete riporta una sintesi degli interventi in materia (ringrazio Glauco Rampogna degli Idraulici della privacy per la segnalazione):
- https://guerredirete.substack.com/p/guerre-di-rete-contact-tracing-a.
Di questo articolo trovo particolarmente interessanti le domande poste:
<< Ma la finalità qual è? E qui la risposta non può essere solo quella di "tracciare i contatti dei contagiati". Una volta raccolti i contatti di un contagiato, cosa succede, a livello individuale, al singolo, ma anche a livello globale? Che procedure sanitarie si attiveranno, e sono in grado di scalare su numeri che potrebbero essere molto consistenti? Come si integrano i dati della app col resto delle misure da prendere e le risorse del sistema sanitario? Con la capacità di fare test o di assistere persone che devono stare isolate? O la si userà solo per mettere in quarantena volontaria e fai-da-te migliaia di persone che secondo la app sono state vicine a un contagiato? e staranno in quarantena in casa con altre persone? e loro come si comporteranno? (Anche sulla cancellazione dei dati, se si dice che verrà fatta al raggiungimento della finalità bisogna specificare quale sia e quando verrà raggiunta). >>
Però l'articolo è molto "giornalistico".
Da un punto di vista più tecnico, segnalo come notevole la ricerca e l'analisi di Paolo Attivissimo (ringrazio sempre Glauco per la segnalazione):
- https://www.zeusnews.it/n.php?c=27995.
- http://blog.cesaregallotti.it/2020/03/corea-del-sud-e-italia-cultura-e.html.
La newsletter Guerre di rete riporta una sintesi degli interventi in materia (ringrazio Glauco Rampogna degli Idraulici della privacy per la segnalazione):
- https://guerredirete.substack.com/p/guerre-di-rete-contact-tracing-a.
Di questo articolo trovo particolarmente interessanti le domande poste:
<< Ma la finalità qual è? E qui la risposta non può essere solo quella di "tracciare i contatti dei contagiati". Una volta raccolti i contatti di un contagiato, cosa succede, a livello individuale, al singolo, ma anche a livello globale? Che procedure sanitarie si attiveranno, e sono in grado di scalare su numeri che potrebbero essere molto consistenti? Come si integrano i dati della app col resto delle misure da prendere e le risorse del sistema sanitario? Con la capacità di fare test o di assistere persone che devono stare isolate? O la si userà solo per mettere in quarantena volontaria e fai-da-te migliaia di persone che secondo la app sono state vicine a un contagiato? e staranno in quarantena in casa con altre persone? e loro come si comporteranno? (Anche sulla cancellazione dei dati, se si dice che verrà fatta al raggiungimento della finalità bisogna specificare quale sia e quando verrà raggiunta). >>
Però l'articolo è molto "giornalistico".
Da un punto di vista più tecnico, segnalo come notevole la ricerca e l'analisi di Paolo Attivissimo (ringrazio sempre Glauco per la segnalazione):
- https://www.zeusnews.it/n.php?c=27995.
Servizi di test malware online
Ho "scoperto", da una sezione del libro "Tecnologia e diritto: Volume III" scritta da Paolo Dal Checco, questi due siti che permettono di verificare i programmi e i file su computer sicuri e remoti, in modo da poter rilevare la presenza di malware:
- https://any.run/;
- https://hybrid-analysis.com/.
Questi siti permettono invece di verificare se un sito web, soprattutto se poco noto, contiene materiale rischioso:
- https://urlscan.io/;
- https://www.virustotal.com/gui/home (questo permette anche di verificare file).
- https://any.run/;
- https://hybrid-analysis.com/.
Questi siti permettono invece di verificare se un sito web, soprattutto se poco noto, contiene materiale rischioso:
- https://urlscan.io/;
- https://www.virustotal.com/gui/home (questo permette anche di verificare file).
Micromarketing, microtargeting e profilazione
Mi sono trovato spesso a pensare alla profilazione così come espressa dal GDPR e alla segmentazione dei alcune offerte commerciali.
Spesso, molte aziende inviano messaggi pubblicitari a clienti che hanno comprato prodotti simili (che io ho imparato a chiamare "prodotti gemelli", anche se non è un termine riconosciuto) a quello in promozione. Ho sempre pensato che non si tratti di profilazione secondo la definizione del GDPR ("trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica").
A questo proposito ho scoperto il "micro marketing", che invece mi sembra rientri maggiormente nella profilazione. Per approfondire l'argomento, c'è ovviamente la pagina di Wikipedia:
- https://it.wikipedia.org/wiki/Micromarketing.
Per i più interessati, l'articolo, del 2000, "Dalle carte fedeltà a Internet: l'evoluzione del micromarketing" di Lugli e Ziliani si trova on line (io ho trovato anche un pdf):
- https://www.yumpu.com/it/document/view/19497092/dalle-carte-fedelta-a-internet-levoluzione-del-escp-europe.
Sottopongo queste riflessioni a chi si fosse posto le mie stesse domande sulla profilazione.
Spesso, molte aziende inviano messaggi pubblicitari a clienti che hanno comprato prodotti simili (che io ho imparato a chiamare "prodotti gemelli", anche se non è un termine riconosciuto) a quello in promozione. Ho sempre pensato che non si tratti di profilazione secondo la definizione del GDPR ("trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica").
A questo proposito ho scoperto il "micro marketing", che invece mi sembra rientri maggiormente nella profilazione. Per approfondire l'argomento, c'è ovviamente la pagina di Wikipedia:
- https://it.wikipedia.org/wiki/Micromarketing.
Per i più interessati, l'articolo, del 2000, "Dalle carte fedeltà a Internet: l'evoluzione del micromarketing" di Lugli e Ziliani si trova on line (io ho trovato anche un pdf):
- https://www.yumpu.com/it/document/view/19497092/dalle-carte-fedelta-a-internet-levoluzione-del-escp-europe.
Sottopongo queste riflessioni a chi si fosse posto le mie stesse domande sulla profilazione.
Libro "Tecnologia e diritto"
Ho finito di leggere i 3 volumi di "Tecnologia e Diritto" di informatica giuridica (il link è al solo primo volume):
- https://shop.giuffre.it/tecnologia-e-diritto-i-fondamenti-d-informatica-per-il-giurista.html.
E' un libro destinato agli studenti dell'Università di giurisprudenza e pertanto molte cose non sono esposte in modo direttamente utilizzabile dalle aziende e molti argomenti non sono di interesse per chi si occupa di consulenza alle aziende. Ma proprio qui sta l'interesse di questi libri: permettono di farsi un quadro generale dell'informatica giuridica e dei suoi temi più significativi.
Penso che proprio la capacità di avere un quadro più generale di un argomento debba essere una caratteristica degli "esperti" e pertanto raccomando la lettura di questi libri.
Ultima nota: tranne i due capitoli sulla blockchain (che si perdono in riflessioni fumosissime), il libro è scritto anche molto bene. Cosa che non guasta...
- https://shop.giuffre.it/tecnologia-e-diritto-i-fondamenti-d-informatica-per-il-giurista.html.
E' un libro destinato agli studenti dell'Università di giurisprudenza e pertanto molte cose non sono esposte in modo direttamente utilizzabile dalle aziende e molti argomenti non sono di interesse per chi si occupa di consulenza alle aziende. Ma proprio qui sta l'interesse di questi libri: permettono di farsi un quadro generale dell'informatica giuridica e dei suoi temi più significativi.
Penso che proprio la capacità di avere un quadro più generale di un argomento debba essere una caratteristica degli "esperti" e pertanto raccomando la lettura di questi libri.
Ultima nota: tranne i due capitoli sulla blockchain (che si perdono in riflessioni fumosissime), il libro è scritto anche molto bene. Cosa che non guasta...
lunedì 13 aprile 2020
Le scuole e la digitalizzazione forzata (segnalazione)
Sulla scuola e la digitalizzazione ai tempi del COVID-19 ho già scritto:
- http://blog.cesaregallotti.it/2020/03/le-scuole-la-digitalizzazione-forzata-e_31.html.
Sulla privacy, Biagio Lammoglia degli Idraulici della privacy ha segnalato questo articolo di Scuola Informa:
- https://www.scuolainforma.it/2020/03/31/scuola-didattica-online-il-piu-grande-data-breach-della-storia.html.
A chi mastica già di privacy non dice niente di nuovo, ma le conclusioni sono, mutatis mutandis, le mie (ossia che la didattica a distanza andrebbe guidata meglio e non lasciarla alla buona volontà dei singoli).
- http://blog.cesaregallotti.it/2020/03/le-scuole-la-digitalizzazione-forzata-e_31.html.
Sulla privacy, Biagio Lammoglia degli Idraulici della privacy ha segnalato questo articolo di Scuola Informa:
- https://www.scuolainforma.it/2020/03/31/scuola-didattica-online-il-piu-grande-data-breach-della-storia.html.
A chi mastica già di privacy non dice niente di nuovo, ma le conclusioni sono, mutatis mutandis, le mie (ossia che la didattica a distanza andrebbe guidata meglio e non lasciarla alla buona volontà dei singoli).
domenica 5 aprile 2020
Articolo di approfondimento sul CMMC
Segnalo questo articolo di Giustino Fumagalli e Paolo Sferlazza dal titolo "Una nuova frontiera nelle certificazioni di sicurezza cyber: Il CMMC":
- https://www.ictsecuritymagazine.com/articoli/una-nuova-frontiera-nelle-certificazioni-di-sicurezza-cyber-il-cmmc/.
Mi sembra un articolo molto chiaro che permette di capire bene cos'è questo CMMC, anche dal punto di vista tecnico.
Del CMMC avevo già accennato a febbraio 2020, facendo riferimento a due altri articoli in inglese:
- http://blog.cesaregallotti.it/2020/02/cybersecurity-maturity-model.html.
Il modello al momento si trova a questo URL:
- https://www.acq.osd.mil/cmmc/draft.html.
- https://www.ictsecuritymagazine.com/articoli/una-nuova-frontiera-nelle-certificazioni-di-sicurezza-cyber-il-cmmc/.
Mi sembra un articolo molto chiaro che permette di capire bene cos'è questo CMMC, anche dal punto di vista tecnico.
Del CMMC avevo già accennato a febbraio 2020, facendo riferimento a due altri articoli in inglese:
- http://blog.cesaregallotti.it/2020/02/cybersecurity-maturity-model.html.
Il modello al momento si trova a questo URL:
- https://www.acq.osd.mil/cmmc/draft.html.
martedì 31 marzo 2020
Le scuole, la digitalizzazione forzata e le solite lezioni
Le scuole, causa la chiusura fisica, sono state "invitate" dal Ministero a usare strumenti di didattica a distanza. Ovviamente qualcuno va in giro a dire che si sta facendo grande opera di digitalizzazione, ma in realtà si sta facendo grande confusione.
La storia, per quanto abbia potuto ricostruire, è semplice e drammatica allo stesso tempo. A fronte dell'emergenza, sono stati identificati degli strumenti per la didattica a distanza e gli istituti sono stati invitati ad usarli. Questo senza che fossero elaborate delle istruzioni per i docenti e i genitori (il solito "armiamoci (male) e partite"), fossero fatte delle analisi per aiutare i docenti a scegliere gli strumenti e delle analisi sulla privacy.
Il Garante ha detto la sua solo il 30 marzo:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9302778.
Molte famiglie si sono ritrovate con la necessità di mettere a disposizione dei figli degli strumenti informatici (so di alcune classi che fanno ore di lezione, ma so anche di famiglie che di digitale hanno solo i cellulari dei genitori che, ahiloro, in questi giorni devono comunque uscire per lavorare, oppure famiglie che hanno due figli, ma non due tablet o pc per far seguire le lezioni online ai due figli se in contemporanea). E chi ha i figli alle elementari ha dovuto registrarli ai sistemi, capire come funzionano e supportarli nel loro utilizzo. Quando, fino a ieri, le comunicazioni arrivavano solo via WhatsApp. Ma tutto questo non è sembrato di interesse a qualcuno, ma avrà come conseguenza che al rientro alcuni saranno allineati, altri saranno indietro e di solita l'arretratezza si accompagna a difficoltà già pregresse.
Ma parliamo anche degli strumenti.
Io ho avuto modo di usare Weschool e Edmodo.
Weschool non capisco perché sia indicato come strumento didattico. Sembra più una piattaforma per scambiarsi messaggi. Ma i software usati per le BBS negli anni Novanta erano meglio: almeno visualizzavano una bandierina sulle discussioni per cui c'erano messaggi da leggere. Weschool non fa questo e, oltra alla "board" non ha altre funzionalità. Quindi... bisogna riguardare tutte le discussioni e vedere se ci sono risposte, se le maestre hanno messo dei commenti e così via. Una a una.
Edmodo è un po' meglio perché, oltre a funzionalità "tipo Facebook", permette agli insegnanti di dare i compiti e farli visualizzare in una sezione apposta, ma solo se sono attivati come "eventi". Le risposte delle insegnanti sono notificate insieme a "tutto il resto" (e chi usa Facebook si può immaginare) e, nella versione per tablet, non è possibile nascondere le notifiche già approfondite.
Insomma: nulla che un uso attento dell'email o di WhatsApp non avrebbe permesso.
Ferruccio Militello, che fa il DPO per alcune scuole, mi conferma che alcune scuole superiori erano già avanti nel processo, ma altre no e hanno dovuto iniziare "in corsa" l'uso di questi strumenti, senza però che i dirigenti scolastici e gli insegnanti abbiano mai ricevuto formazione in materia (e non parliamo della privacy).
Aggiunge Ferruccio (e io appoggio il suo punto di vista): "Vale la pena sottolineare, a mio modo di vedere, che con uno staff importante e strutturato il MIUR avrebbe dovuto pensarci piuttosto che lasciare iniziativa ai singoli".
Io sarei brutale e direi che siamo di fronte alla solita cretinata di voler imporre tecnologia senza farsi domande.
A questo aggiungiamo il caso di Zoom: si è dimostrato che condivide i dati con Facebook (e molti istituti suggeriscono questo strumento per tenere le lezioni):
- https://www.repubblica.it/tecnologia/sicurezza/2020/03/27/news/zoom_l_app_per_videoconferenze_condivide_i_dati_con_facebook-252458567/.
Poi dicono di aver risolto, ma la questione fa rabbrividire:
https://www.repubblica.it/tecnologia/sicurezza/2020/03/29/news/privacy_zoom_ripara_la_falla_di_sicurezza_non_eravamo_a_conoscenza_dei_dati_raccolti_da_f
acebook_-252611458/.
Poi certamente è bello pensare che ci sono strumenti gratuiti da usare, ma si sa che non sono veramente gratuito in quanto pagati con i dati. E qui si parla di dati di minorenni.
C'è anche la solidarietà digitale (https://solidarietadigitale.agid.gov.it), ma questo è un altro argomento su cui dovrei riflettere molto di più: come sono stati selezionati, perché tanti offrono servizi basati sui soliti OTT (Google, Amazon, Facebook, Apple) e perché anche in questo non si sia approfittato per promuovere una digitalizzazione reale.
La storia, per quanto abbia potuto ricostruire, è semplice e drammatica allo stesso tempo. A fronte dell'emergenza, sono stati identificati degli strumenti per la didattica a distanza e gli istituti sono stati invitati ad usarli. Questo senza che fossero elaborate delle istruzioni per i docenti e i genitori (il solito "armiamoci (male) e partite"), fossero fatte delle analisi per aiutare i docenti a scegliere gli strumenti e delle analisi sulla privacy.
Il Garante ha detto la sua solo il 30 marzo:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9302778.
Molte famiglie si sono ritrovate con la necessità di mettere a disposizione dei figli degli strumenti informatici (so di alcune classi che fanno ore di lezione, ma so anche di famiglie che di digitale hanno solo i cellulari dei genitori che, ahiloro, in questi giorni devono comunque uscire per lavorare, oppure famiglie che hanno due figli, ma non due tablet o pc per far seguire le lezioni online ai due figli se in contemporanea). E chi ha i figli alle elementari ha dovuto registrarli ai sistemi, capire come funzionano e supportarli nel loro utilizzo. Quando, fino a ieri, le comunicazioni arrivavano solo via WhatsApp. Ma tutto questo non è sembrato di interesse a qualcuno, ma avrà come conseguenza che al rientro alcuni saranno allineati, altri saranno indietro e di solita l'arretratezza si accompagna a difficoltà già pregresse.
Ma parliamo anche degli strumenti.
Io ho avuto modo di usare Weschool e Edmodo.
Weschool non capisco perché sia indicato come strumento didattico. Sembra più una piattaforma per scambiarsi messaggi. Ma i software usati per le BBS negli anni Novanta erano meglio: almeno visualizzavano una bandierina sulle discussioni per cui c'erano messaggi da leggere. Weschool non fa questo e, oltra alla "board" non ha altre funzionalità. Quindi... bisogna riguardare tutte le discussioni e vedere se ci sono risposte, se le maestre hanno messo dei commenti e così via. Una a una.
Edmodo è un po' meglio perché, oltre a funzionalità "tipo Facebook", permette agli insegnanti di dare i compiti e farli visualizzare in una sezione apposta, ma solo se sono attivati come "eventi". Le risposte delle insegnanti sono notificate insieme a "tutto il resto" (e chi usa Facebook si può immaginare) e, nella versione per tablet, non è possibile nascondere le notifiche già approfondite.
Insomma: nulla che un uso attento dell'email o di WhatsApp non avrebbe permesso.
Ferruccio Militello, che fa il DPO per alcune scuole, mi conferma che alcune scuole superiori erano già avanti nel processo, ma altre no e hanno dovuto iniziare "in corsa" l'uso di questi strumenti, senza però che i dirigenti scolastici e gli insegnanti abbiano mai ricevuto formazione in materia (e non parliamo della privacy).
Aggiunge Ferruccio (e io appoggio il suo punto di vista): "Vale la pena sottolineare, a mio modo di vedere, che con uno staff importante e strutturato il MIUR avrebbe dovuto pensarci piuttosto che lasciare iniziativa ai singoli".
Io sarei brutale e direi che siamo di fronte alla solita cretinata di voler imporre tecnologia senza farsi domande.
A questo aggiungiamo il caso di Zoom: si è dimostrato che condivide i dati con Facebook (e molti istituti suggeriscono questo strumento per tenere le lezioni):
- https://www.repubblica.it/tecnologia/sicurezza/2020/03/27/news/zoom_l_app_per_videoconferenze_condivide_i_dati_con_facebook-252458567/.
Poi dicono di aver risolto, ma la questione fa rabbrividire:
https://www.repubblica.it/tecnologia/sicurezza/2020/03/29/news/privacy_zoom_ripara_la_falla_di_sicurezza_non_eravamo_a_conoscenza_dei_dati_raccolti_da_f
acebook_-252611458/.
Poi certamente è bello pensare che ci sono strumenti gratuiti da usare, ma si sa che non sono veramente gratuito in quanto pagati con i dati. E qui si parla di dati di minorenni.
C'è anche la solidarietà digitale (https://solidarietadigitale.agid.gov.it), ma questo è un altro argomento su cui dovrei riflettere molto di più: come sono stati selezionati, perché tanti offrono servizi basati sui soliti OTT (Google, Amazon, Facebook, Apple) e perché anche in questo non si sia approfittato per promuovere una digitalizzazione reale.
ISO 22313:2020 sulla business continuity
Franco Vincenzo Ferrari di DNV GL Business Assurance mi ha segnalato la pubblicazione della nuova versione della ISO 22313 dal titolo "Guidance on the use of ISO 22301":
- https://www.iso.org/standard/75107.html.
Non l'ho (ancora) letta e quindi non la commento.
- https://www.iso.org/standard/75107.html.
Non l'ho (ancora) letta e quindi non la commento.
Iscriviti a:
Post (Atom)