Minacce e attacchi: bug programmato in visori sportivi

Segnalo questo articolo di Valeria Lazzaroli: https://www.linkedin.com/posts/valeria-lazzaroli_supplychain-cybersecurity-ip-activity-7059467324990341122-tIlx.

In pochissime parole: un visore sportivo si è bloccato (con gioia degli utilizzatori) da un momento all'altro perché non risultava aggiornata la licenza del software (di SWARG) da parte del produttore dell'hardware (ORQA).

Il mio commento (su LinkedIn): intanto bisognerebbe capire se si tratta di un bug o di una funzionalità. Cioè: era previsto dal contratto tra ORQA e SWARG o no? Certamente era un bug per ORQA che sembra caduta essersi sorpresa della cosa.

Ho pensato anche al fatto che adesso il software lo vendono "as a service", non più "as a product" e questo è un problema. Mi spiego meglio.

Questi software si aggiornano da soli, quando vuole il produttore (puoi sempre chiedere che non lo facciano, ma questo comporta altri problemi) e come vuole il produttore. Questo genera rischi di disponibilità (come minimo perché si aggiorna senza preavvisare, bloccando il sistema). Questo modo di fare consente ai produttori di introdurre sistemi di controllo delle licenze come nel caso segnalato.

Ripeto: ci sono pro e contro in questo approccio. Bisogna starci attenti.

Certo è che SWARG poteva lanciare qualche avvertimento che la licenza stava per scadere.

Aggiornamento della ISO/IEC 29134:2023 Guidelines for privacy impact assessment

A maggio 2023 è stata pubblicata la seconda edizione della ISO/IEC 29134:2023 "Guidelines for privacy impact assessment": https://www.iso.org/standard/86012.html.

Ripeto per l'ultima volta quanto già scritto altre volte quando parlavo delle bozze di questa seconda edizione: riporta solo aggiornamenti non significativi rispetto all'edizione precedente. Penso che sia è un peccato, visto che la norma richiederebbe un aggiornamento significativo, basato sull'esperienza maturata in questi anni.

Romania ed Europa

La Romania è in Europa e lo so anche molto bene.

Però in un mio precedente post (http://blog.cesaregallotti.it/2023/05/accreditamento-ukas-non-piu-valido-per.html) l'ho indicata come esempio di Paese extra europeo. Volevo scrivere Albania.

Mi scuso con tutti e ringrazio Toto Zammataro per avermelo segnalato.

Il post l'ho corretto dove ho potuto.

Privacy: DL 48 e semplificazioni in materia di trasparenza

Segnalo che è stato approvato il DL 48 del 2023: https://www.normattiva.it/eli/id/2023/05/04/23G00057/ORIGINAL.

Nell'articolo 26 riporta alcune semplificazioni nelle informazioni da fornire al personale, introdotte dal D. Lgs. 104 del 2022 che a sua volta modificava il D. Lgs. 152 del 1997 (sulle informazioni da fornire ai lavoratori).

Poche cose, ma interessanti:

1. non è necessario copiare le norme, ma è sufficiente citarle; ritengo sia una buona cosa, purché le stesse norme siano facilmente comprensibili, e già il capoverso precedente segnala che spesso non è così;
2. "il  datore di lavoro è tenuto a consegnare  o  a  mettere  a  disposizione  del personale, anche mediante pubblicazione sul  sito  web,  i  contratti collettivi nazionali, territoriali e aziendali, nonché gli eventuali regolamenti aziendali applicabili al rapporto di lavoro";
3. il datore di lavoro è  tenuto  a  informare  il lavoratore dell'utilizzo di sistemi  decisionali  o  di  monitoraggio.

Notizia appresa dalla circolare di B&C tax.

NIST SP 800-124 sulla sicurezza dei dispositivi mobili

Segnalo la pubblicazione della rev. 2 della SP 800-124 "Guidelines for Managing the Security of Mobile Devices in the Enterprise" del NIST: https://csrc.nist.gov/publications/detail/sp/800-124/rev-2/final.

Ottima.

Gli uomini possono fare tutto (Maggio 2023)

15 maggio. Anche oggi ho iniziato tardi un corso. Accompagno a scuola il piccolo, poi incontro una mamma di un compagno di classe del grande e ci scambiamo idee su come affrontare i compiti. La discussione mi interessa e il tempo passa...

Spero che i partecipanti al corso non mandino un reclamo (il corso finirà mercoledì).

Interpretazione della Corte di giustizia UE su dati pseudonimizzati e anonimi

Segnalo questo post sulla a decisione T-557/20 del 26 aprile 2023 della Corte di Giustizia UE su dati pseudonimi e anonimi: https://www.linkedin.com/posts/maria-grassetto-1a8bb25b_cge-activity-7060175275069779968-LAWc.

Copio biecamente dalla newsletter di Project:IN Avvocati: In estrema sintesi, secondo la Corte occorre ragionare sulla posizione del "ricevente" il dato personale, per indagare sia egli sia - o meno - in grado di identificare il soggetto cui quell’informazione si riferisce, e quindi effettui un "trattamento" di dato personale.

Sicurezza informatica e Codice degli appalti

Segnalo questo articolo dal titolo "La cyber security entra nel Codice Appalti: perché è un cambio di passo fondamentale": https://www.agendadigitale.eu/sicurezza/la-cyber-security-entra-nel-codice-appalti-perche-e-un-cambio-di-passo-fondamentale/.

Non sapevo che il Codice degli appalti fosse stato cambiato e fosse stata aggiunta questa aggiunta. Poche parole, se ho capito bene, ma molto importanti.

Accreditamento UKAS non più valido per gli appalti pubblici

Il titolo è "Appalti pubblici, Brexit taglia fuori i soggetti accreditati Ukas per le certificazioni": https://ntplusdiritto.ilsole24ore.com/art/appalti-pubblici-brexit-taglia-fuori-soggetti-accreditati-ukas-le-certificazioni-AELxQIND.

La notizia l'avevo vista da un post di LinkedIn di Fabrizio Cirilli (ma il suo link puntava a una pagina del sito del Sole 24 ore con cookie wall), poi me l'ha rimandata Franco Ferrari e allora ho cercato e trovato un link senza cookie wall.

In sostanza: i certificati accreditati da enti non europei non sono reputati validi per partecipare a gare di appalti pubblici. Infatti l'interpretazione dovrebbe riguardare anche i certificati accreditati in Albania, India, USA, Svizzera, eccetera. Non ho indagato se anche gli organismi di accreditamento dello SEE ma non della UE sono esclusi (Islanda, Liechtenstein e Norvegia).

Privacy: Pagina informativa del Garante sui Dark Pattern

Il Garante ha attivato una pagina informativa sui dark pattern, ossia sulle tecniche per fare in modo che un utente prenda decisioni "inconsapevoli o non desiderate", rinunciando quindi, in ambito privacy, alle limitazioni relative alla raccolta e trattamento dei propri dati personali: https://www.garanteprivacy.it/temi/internet-e-nuove-tecnologie/dark-pattern.

La pagina fa riferimento alle "Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them" dell'EDPB, aggiornate a febbraio 2023.

La notizia l'ho letta sulla newsletter di Project:IN Avvocati.

Su questo argomento ero completamente digiuno e questa pagina mi ha aiutato a capire alcune cose. Devo dire che la pagina informativa riassume quanto riportato nelle linee guida dell'EDPB. Queste, invece, approfondiscono le varie tecniche di dark pattern, ma senza esempi concreti e pertanto, in alcuni casi, alcune cose mi sono oscure.

Una versione in italiano dei dark patterns individuati da EDPB è qui: https://www.cyberlaws.it/2022/dark-patterns/.

I dark pattern sono però cose più generali e non riguardano solo la privacy. Ho trovato, per esempio, questo interessante articolo: https://www.drcommodore.it/2018/08/03/dark-pattern-cosa-sono-come-riconoscerli-e-perche-ci-controllano/. 

Cassazione: assolta Poste Italiane per phishing

Segnalo questo articolo dal titolo "Phishing, perché la Cassazione ha assolto Poste Italiane e condannato i correntisti?": https://www.cybersecitalia.it/phishing-la-cassazione-se-cliente-truffato-la-banca-non-responsabile/24214/.

 Ringrazio Maurizio Tardanico che l'ha segnalato su una chat a cui partecipo.

 Incollo una parte significativa del testo per dare una prima idea: "la Cassazione ha stabilito che la banca o l’istituto di credito non ha responsabilità nel furto di denaro dei correntisti avvenuto con operazioni di phishing, se ha adottato un sistema di sicurezza tale da impedire a terzi l’accesso al conto corrente e se i clienti stessi hanno fornito i codici di accesso ad estranei, ovviamente, senza esserne consapevoli, perché truffati".

Sicurezza delle informazioni: la nuova ISO/IEC 27005 sulla valutazione del rischio

Segnalo un mio articolo sulla nuova ISO/IEC 27005 sulla valutazione del rischio: https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-la-nuova-iso-iec-27005-sulla-valutazione-del-rischio/.

Approfondisce quanto avevo già detto in precedenza in altre occasioni.

Come sempre, sono disponibile al confronto nel caso qualcuno voglia discutere le mie posizioni.

Privacy: sanzionata la raccolta ingannevole del consenso per marketing

Provvedimento del Garante per "trattamento di dati personali mediante l’uso di pratiche ingannevoli, e in particolare per uso di dark patterns capaci di spingere l’utente a fornire il proprio consenso per finalità di marketing e di comunicazione dei dati a terzi" (ringrazio la newsletter di Project:IN Avvocati per il riassunto): https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870014.

Lo segnalo perché è interessante osservare che la raccolta del consenso ingannevole (o forzato, in alcuni casi) è stata sanzionata. Così questo provvedimento mi tornerà utile per convincere qualcuno a fare le cose un po' meglio...

Stato degli standard ISO/IEC 270xx - Aprile 2023

In aprile si sono conclusi i meeting semestrali del WG 1 e del WG 5 del ISO/IEC JTC 1 SC 27. Si tratta dei gruppi che seguono le norme ISO/IEC 27001, 27002, 27005 eccetera e le norme sulla privacy, inclusa la ISO/IEC 27701.

Per quanto riguarda il WG 1, le attività si sono svolte online e, in realtà, il meeting è servito a sintetizzare le attività svolte in altri incontri da ottobre.

Si sono avviati i lavori per la revisione di ISO/IEC 27000 (panoramica sui SGSI), 27003 (guida alla 27001) e 27004 (sulle misurazioni). Si tratta di norme molto importanti.

Si è poi deciso di non avviare i lavori per una nuova ISO/IEC 27001, anche se la versione del 2022 era stata approntata rapidamente per aggiornare l'Annex A seguendo alla nuova ISO/IEC 27002 e recepire le modifiche all'HLS.

Ci è stato comunicato che, a livello IAF (ossia l'ente che promuove e controlla le attività di accreditamento), sono stati uniti i gruppi che si occupano di ISO/IEC 27001 e ISO/IEC 20000 per ottenere una maggiore coerenza negli accreditamenti relativi alla sicurezza dei dati e all'informatica. Viene da ridere, pensando che molti vorrebbero che la ISO/IEC 20000-1 si occupi di servizi in generale e che la ISO/IEC 27001 non si occupa solo di sicurezza informatica (o cybersecurity).

Per quanto riguarda le attività del WG 5, che si occupa di privacy, sono proseguiti i lavori per la ISO/IEC 27006-2 (ossia le regole di accreditamento). Sono stati avviati i lavori per una norma sulla privacy e intelligenza artificiale (ISO/IEC 27091). Ho notato poi molto lavoro per gli standard relativi alla verifica dell'età.

Importante, a mio avviso, è il lavoro in fase di conclusione per la ISO/IEC 27701, ossia la norma per la certificazione dei sistemi di gestione per la privacy (estensione della ISO/IEC 27001). Infatti la norma passa in stato di FDIS e quindi entro fine anno dovrebbe uscirne la versione aggiornata. Non bisogna aspettarsi nulla di nuovo se non l'allineamento alle ISO/IEC 27001:2022 e ISO/IEC 27002:2022.

Su questo fronte, i lavori per l'aggiornamento della ISO/IEC 27018 (privacy per fornitori di servizi cloud, estensione della ISO/IEC 27002) procedono a rilento.

Sarà pubblicata una nuova versione della ISO/IEC 29134 sulla DPIA, ma riporterà solo aggiornamenti non significativi rispetto all'edizione attuale (su questo avevo già scritto in passato che è un peccato, visto che la norma richiederebbe un aggiornamento significativo, basato sull'esperienza maturata in questi anni.

Security-by-Design and Default Principles del CISA

Ottimo documento del CISA (Cybersecurity & infrastructure security agency degli USA) dal titolo "Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default": https://www.cisa.gov/news-events/alerts/2023/04/13/shifting-balance-cybersecurity-risk-security-design-and-default-principles.

In poche pagine (15 in tutto, incluso indice e fuffa introduttiva) sono riportati e spiegati i principi di sviluppo e ingegnerizzazione sicuri.

Gli uomini possono fare tutto (Aprile 2023)

"BUCATO. Ingiustamente considerato lavoro pesante, malinconico, riservato alle donne, e in special modo alle donne di servizio. In realtà ogni uomo, aiutato dalle conquiste della scienza (nailon e saponi schiumosi), dovrebbe lavare la sera quanto indossò di giorno. E ogni donna dovrebbe consacrare le sue economie all'acquisto, rateale, di una lavatrice elettrica, liberandosi, una volta per sempre, dalla tirannia delle lavandaie".

Pochi giorni fa lessi questa voce del "Dizionario del successo dell'insuccesso e dei luoghi comuni" di Irene Brin (del 1986, ma i brani sono del 1954 e 1965).

Mi venne in mente che pochi mesi fa, "l'informatico" di un mio cliente mi raccontava che rifiuta la lavatrice, ma provvede a lavarsi, in autonomia e quotidianamente come vuole la Brin, i vestiti usati durante la giornata.

ISO 9001 Auditing Practices Group

L'ISO 9001 Auditing Practices Group esiste da 20 anni e io non avevo proprio idea che potesse esistere. Il suo sito è: https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html.

Si tratta di un gruppo informale ma ufficiale all'interno dell'ISO.

Sul sito si trovano interessanti linee guida su come condurre audit e su cosa verificare nell'ambito della ISO 9001.

Zero Trust Maturity Model Version 2 del CISA

Il CISA (Cybersecurity & infrastructure security agency degli USA) pubblica cose interessanti. Recentemente, Aprile 2023, ha pubblicato la versione 2 del "Zero Trust Maturity Model": https://www.cisa.gov/zero-trust-maturity-model.

 Le misure sono illustrate in modo molto sintetico e confesso che non tutto mi è chiaro (per esempio, non capisco perché nel livello "tradizionale" (ossia il più basso) si parli di identity store centralizzati all'interno di un'agenzia senza accennare a quelli esterni, presenti invece nel livello "iniziale", come se nel tradizionale non si possa immaginare l'uso di sistemi esterni.

 Rimane un documento che, a mio avviso, vale la pena studiare.

EN 17799 e certificazioni privacy

Fabio Guasconi ha tenuto un interessantissimo webinar per il Clusit dal titolo "EN 17799, impatto e nuove prospettive sulle certificazioni GDPR" (https://clusit.it/webinar/). Per accedere a slide e video bisogna essere soci Clusit (cosa che continuo a raccomandare).

Chi non fosse socio Clusit può studiarsi le slide (senza video!) presentate da Luciano Quartarone, sempre sullo stesso tema, nell'ambito dell'incontro "Le norme tecniche avanzano": https://securitysummit.it/eventi/milano-2023/sessioni/le-norme-tecniche-avanzano.

Le slide contengono anche un mio intervento sulla ISO/IEC 27005, di cui ho già parlato altrove, e l'intervento, molto interessanto, anche se molto tecnico, di Stefano Ramacciotti sulla recente versione 4 dei Common Criteria.

Le norme tecniche avanzano (e ISO/IEC 27005)

Il 16 marzo 2023, al Security summit di Milano, ho parlato nella sessione "Le norme tecniche avanzano". Io mi sono concentrato sulle novità della ISO/IEC 27005. La presentazione è qui: https://securitysummit.it/eventi/milano-2023/sessioni/le-norme-tecniche-avanzano.

Entro fine aprile dovrebbe uscire un articolo in cui approfondisco i concetti (anche se, in realtà, li ho espressi anche in altre occasioni).