Minacce e attacchi: Bancario spia i conti correnti (ma non è un "incidente di sicurezza"!)

Sandro Sanna mi ha segnalato la notizia del bancario che spiava i conti correnti di numerose persone. Ho trovato un articolo in merito: https://www.lagazzettadelmezzogiorno.it/news/italia/1559851/conti-spiati-l-indagine-su-intesa-sanpaolo-l-ipotesi-non-ha-fatto-tutto-il-possibile-per-evitare-gli-abusi-rischia-richieste-di-risarcimento.html.

Ci sono indagini in corso e io non ho elementi per dire se Intesa Sanpaolo ha attuato tutte le misure possibili. Sandro però mi ha segnalato il comunicato stampa della banca: https://group.intesasanpaolo.com/it/newsroom/comunicati-stampa/2024/10/comunicato-stampa-13-ottobre-2024.

La cosa interessante è che dice “non c'è stato alcun problema di sicurezza informatica”, dimostrando così che spesso il termine “problema di sicurezza informatica” è usato per attacchi di malintenzionati e non anche eventi come questo o disservizi. E’ bene sapere però che, per gli standard, si tratta sicuramente di un incidente di sicurezza delle informazioni.

Normativa: FAQ di ACN su NIS2

ACN ha pubblicato le FAQ sulla NIS2: https://www.acn.gov.it/portale/faq/nis.

Ringrazio per questo Severiano Maria Moiso che l'ha segnalato rispondendo a un mio post su LinkedIn.

In particolare, segnala la domanda 1.6 "Come faccio a sapere se sono una grande, media o piccola impresa" che riporta indicazioni utili.

Segnalo anche la domanda 1.12 "Dopo essermi registrato sulla piattaforma di ACN sarò un soggetto NIS?". La risposta è no perché prima bisogna ricevere conferma da ACN.

"Piracy shield" - Aggiornamento

Non mi ero accorto del "Piracy shield" (da non confondere con il “privacy shield”!) anche perché non rientra nelle mie competenze. Una segnalazione di Alessandro Davanzo di CoreTech mi ha fatto però capire che è necessario sapere almeno di cosa si tratta.

Il “piracy shield” è la Legge 93 del 2023 e ha l’obiettivo di tutelare il “diritto d'autore mediante le reti di comunicazione elettronica”, in sostanza vuole bloccare la diffusione di materiale coperto da diritto d’autore online (video, musica, eccetera) e di piattaforme di streaming illegale (calcio soprattutto). Impone quindi regole per il blocco di contenuti da parte dei “prestatori di servizi di accesso alla rete”.

A ottobre 2024, il DL 113 del 2024 (che riguarderebbe questioni fiscali!), convertito e modificato dalla Legge 143 del 2024, all’articolo 6-bis, modifica la Legge 93 e quindi la estende, oltre ai prestatori di servizi di accesso alla rete, ai “fornitori di servizi di VPN e quelli di DNS pubblicamente disponibili ovunque residenti e ovunque localizzati" e cambia un po’ le regole per bloccare e sbloccare i siti.

Sempre il DL 113 modificato eccetera modifica anche la Legge 633 del 1941 (quella sul diritto d’autore) e le aggiunge un aticolo 174-sexies che:

• impone a tutti i fornitori di servizi internet l'obbligo di segnalare persino il sospetto di attività illecite online, pena sanzioni penali fino a un anno di carcere;
• impone agli stessi di designare e notificare ad (AGCOM) “un punto di contatto che consenta loro di comunicare direttamente, per via elettronica, con l'Autorità medesima ai fini dell'esecuzione della presente legge”; non viene indicato come notificare, ahinoi, e quindi per i più ansiosi rimane l’email che si trova alla pagina https://www.agcom.it/contatti-telefonici-e-posta-elettronica.

Non faccio commenti, ma capisco che queste disposizioni sono criticate nella forma e nella sostanza. Segnalo quindi un articolo un po’ più lungo (https://www.wired.it/article/piracy-shield-nuovo-emendamenti-carcere-agcom-white-list/) e uno un po’ più corto (https://www.tomshw.it/hardware/la-nuova-legge-anti-pirateria-italiana-mina-la-liberta-di-internet-2024-10-12).

Per chi vuole leggersi le normative, ecco i link:

• DL 113 del 2024, modificato con la L 143 del 2024: https://www.normattiva.it/eli/id/2024/08/09/24G00136/CONSOLIDATED/20241015;
• L 93 del 2023 (non ancora aggiornata ad oggi): https://www.normattiva.it/eli/id/2023/07/24/23G00103/CONSOLIDATED/20241015;
• L 633 del 1941 (non ancora aggiornata ad oggi): https://www.normattiva.it/eli/id/1941/07/16/041U0633/CONSOLIDATED/20241015.

Adottato il Cyber resilience act

Il Consiglio dell'Unione europea ha adottato "un nuovo regolamento sui requisiti di cibersicurezza per i prodotti con elementi digitali al fine di garantire che prodotti quali fotocamere domestiche connesse, frigoriferi, televisori e giocattoli siano sicuri prima della loro immissione sul mercato (regolamento sulla ciberresilienza)": https://www.consilium.europa.eu/it/press/press-releases/2024/10/10/cyber-resilience-act-council-adopts-new-law-on-security-requirements-for-digital-products/.

Dovremo aspettare la pubblicazione in Gazzetta ufficiale dell'Unione europea per studiarlo bene. Con la pubblicazione scatteranno i 3 anni per la sua implementazione. Credo però che dovremo anche capire bene se e quali norme tecniche saranno disponibili.

Ringrazio la newsletter di Project:IN Avvocati, dove ho trovato la notizia.

Guida EDPB sul legittimo interesse

Chiara Ponti degli Idraulici della privacy ha segnalato la pubblicazione delle "Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR": https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_en.

Non l'ho ancora studiata, ma ero convinto che una pubblicazione così ci fosse già, invece questa è la versione 1.0. Nel 2018 avevo segnalato un'altra pubblicazione simile, ma di ben altro valore rispetto a questa.

Solo una nota a margine: la prossima volta che mi dicono che in Italia le leggi sono scritte in modo incomprensibile, segnalerò il titolo di questa pubblicazione, che non aiuta affatto a capire di cosa si tratta (mentre nelle News, gentilmente, EDPB le segnala come "Guidelines on the processing of personal data based on legitimate interest").

Data governance act (DGA) - Decreto di adeguamento italiano

Giovanni Ciano degli Idraulici della privacy ha segnalato a noi idraulici la pubblicazione del D. Lgs. 144 del 2024, decreto di adeguamento Data Governance Act (Regolamento europeo 868 del 2022): https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-10-07;144!vig=2024-10-13.

Sul DGA avevo scritto al tempo, confessando la mia ignoranza: https://blog.cesaregallotti.it/2022/10/data-governance-act-dga.html. La mia competenza in merito non è aumentata e rimane sempre intorno allo zero.

Giovanni Ciano segnala, come elemento significativo del D. Lgs. 144: "AgID designata autorità competente".

Sempre tenendo conto della mia ignoranza, non mi sembra che ci sia molto altro.

NIST, cambio delle password e chi arriva tardi sulle notizie

Claudio Sartor mi ha segnalato il podcast di Paolo Attivissimo del 11 ottobre 2024 dal titolo "Password, Microsoft e NIST dicono che cambiarle periodicamente è sbagliato": https://attivissimo.me/2024/10/11/podcast-rsi-password-microsoft-e-nist-dicono-che-cambiarle-periodicamente-e-sbagliato/.

Avevo visto anche un articolo in merito su Agenda Digitale (https://www.agendadigitale.eu/sicurezza/password-stiamo-sbagliando-quasi-tutto-ecco-perche/).

Però: questa non è una notizia. Le pubblicazioni del NIST già nel 2017 dicevano che cambiare le password periodicamente non è corretto (https://blog.cesaregallotti.it/2017/08/del-nist-e-della-lunghezza-e.html) e su Microsoft la notizia è almeno del 2019 (https://blog.cesaregallotti.it/2019/04/microsoft-e-il-cambio-delle-password.html). Per completezza, Attivissimo segnala l'iniziativa di Microsoft del 2019.

Sulla questione, poi, a febbraio avevo pubblicato un post per segnalare posizioni contrastanti: https://blog.cesaregallotti.it/2024/02/sul-cambio-delle-password.html (con Stefano Ramacciotti, se non ricordo male, ci avevamo anche scritto un articolo pubblicato non ricordo più dove).

Perché questa dissertazione? Per dire quanto sono bravo? Un po', ma soprattutto perché mi stupisce moltissimo di arrivare anni (!) prima di persone preparatissime come Paolo Attivissimo e Danilo Bruschi. O forse si sono solo dimenticati di dire che queste regole sono state recentemente confermate? O forse è il risultato di un taglio editoriale un po' troppo esteso?

Però il mio pensiero è ancora diverso: si parla tanto di innovazione, di come sarà la sicurezza tra 10 o 15 anni, di quali strategie prendere, ma penso che chi si occupa di sicurezza non ha il compito di innovare, ma di inseguire chi vuole innovare. Noi al massimo possiamo usare strumenti inventati da altri (l'intelligenza artificiale, il calcolo quantistico quando mai ci sarà, eccetera), ma abbiamo scelto una materia che per sua natura deve inseguire (al massimo riesce a inseguire a pochissima distanza). Facciamocene una ragione.

E così, è normale che guru come Attivissimo e Bruschi arrivino tardi sulle notizie. Mi preoccupano di più quelli che cercano di arrivarci prima del dovuto (come quelli che ci hanno tormentato su GDPR e NIS2 troppo prima della loro pubblicazione, creando falsi allarmi e, poi, stanchezza).

Ah… infine: Claudio Sartor mi segnala la conclusione del pezzo di Attivissimo, dove riporta che i "dirigenti preferiscono passare gli audit" piuttosto che implementare reali misure di security. Claudio accenna al fatto che si tratta di una vecchia storia e ha ragione (e anche questo dimostra quanto la nostra materia non sia di innovazione).

ISO/IEC 29100:2024 liberamente scaricabile

La ISO/IEC 29100:2024 è scaricabile liberamente: https://standards.iso.org/ittf/PubliclyAvailableStandards/.

La ISO/IEC 29100:2024 ha titolo "Privacy framework" e riporta la terminologia ISO per gli standard privacy, oltre ai principi e ad altre indicazioni utili.

Non è una norma di requisiti né di linee guida, ma fornisce una base per queste e infatti i controlli delle ISO/IEC 27701, ISO/IEC 27017, ISO/IEC 27018 e probabilmente altre  sono organizzati secondo i principi specificati dalla ISO/IEC 29100:2024.

4 novembre: Open Day DFA sull'intelligenza artificiale

Il 4 novembre a Milano ci sarà la giornata di studio dell'associazione DFA sull'intelligenza artificiale. Per avere maggiori dettagli e iscriversi (gratuitamente!): https://www.eventbrite.it/e/biglietti-ia-dalla-strategia-alla-pratica-1015451311207.

Questo lo pubblicizzo perché sono consigliere dell'associazione e perché ho contribuito all'organizzazione (in realtà, il mio contributo è stato minimo e gli onori vanno soprattutto agli altri consiglieri che hanno fatto gran parte del lavoro).

Relatori di grande spessore e taglio operativo sono gli obiettivi dell'incontro.

Gli uomini possono fare tutto (ottobre 2024)

Quando i figli vanno alla primaria, i genitori devono accompagnarli e riprenderli. Con la secondaria possono autorizzarli all'uscita autonoma e i genitori tirano un sospiro di sollievo...

...tranne accorgersi che tornano a casa alle 14 con una fame incredibile. E quindi i genitori devono correre ai ripari e i metodi sono numerosi (cucinare al volo, .

Io, quando posso, preferisco preparare al virgulto qualcosa di veloce e appena incontro qualche genitore o nonno chiedo se hanno ricette valide. Quindi ringrazio la nonna di Pietro che quest'estate mi ha spiegato come fare il pesto (sarà facile, ma bisogna anche impararlo).

Anni fa avevo letto il libro "La cucina" di Imma Forino perché ci racconta come gli uomini, tradizionalmente, non schifano la cucina, ma solo quando possono dedicarcisi come Pepe Carvalho. La situazione cambia quando diventa un compito quotidiano e ripetitivo. Vedo infatti che è molto faticoso quando chiedo consigli a certi appassionati (tipicamente maschi), che mi vogliono raccontare come fare correttamente (e con tempo a disposizione) la carbonara o piatti complicati o con ingredienti difficili da trovare, quando invece sono alla ricerca di soluzioni veloci e sane.

Se qualcuno volesse poi darmi suggerimenti, ringrazio.

Stato delle norme ISO/IEC 270xx - Ottobre 2024

La settimana del 30 settembre si è tenuto l'incontro annuale del ISO/IEC JTC 1 SC 27 WG 1, ossia del gruppo che si occupa di redigere le norme della "famiglia ISO/IEC 27001".

Questa volta non ho partecipato perché l'incontro era in remoto, con orari favorevoli ai colleghi dell'estremo oriente (dalle 23 alle 3). Dai resoconti vedo quanto segue:

• la ISO/IEC 27003, guida ai sistemi di gestione per la sicurezza delle informazioni (in sostanza, una guida per implementare la ISO/IEC 27001) rimane in stato di working draft e quindi sarà pubblicata tra non meno di 2 anni; va detto che la norma non tratta dei controlli di sicurezza e quindi il testo basato sulla ISO/IEC 27001:2013 è in grandissima parte ancora valido per la ISO/IEC 27001:2022;
• per la ISO/IEC 27004, sulle misurazioni per la sicurezza delle informazioni, sono iniziati i lavori ufficiali, partendo dal working draft e se ne prevede la conclusione tra 3 anni; dalla discussione fatta 6 mesi fa, non sembrano previsti grandi cambiamenti, ma tutto può succedere;
• la ISO/IEC 27017, con i controlli per i servizi cloud, passa in DIS e quindi dovrebbe essere pubblicata tra meno di un anno.

Prossimo incontro a marzo 2025 in presenza negli USA. Fortunatamente con tutti i WG dell'SC 27 (quindi anche quello sulla privacy di cui parlo altrove).

Stato delle norme ISO/IEC 270xx - Privacy - Ottobre 2024

La settimana del 30 settembre si è tenuto l'incontro annuale del ISO/IEC JTC 1 SC 27 WG 5, ossia del gruppo che si occupa di redigere le norme ISO sulla privacy, inclusa la ISO/IEC 27701.

Questa volta non ho partecipato perché l'incontro era in remoto, con orari favorevoli ai colleghi dell'estremo oriente (dalle 23 alle 3). Dai resoconti vedo quanto segue:

• la ISO/IEC 27701, sui sistemi di gestione per la privacy passa in FDIS e quindi dovrebbe essere pubblicata tra circa 6 mesi; l’approfondisco di seguito;
• la ISO/IEC 27706, sulle regole per certificare ISO/IEC 27701 passa in FDIS e quindi dovrebbe essere pubblicata tra circa 6 mesi; continuo a pensare che le giornate di audit previste siano troppe e questo potrà affossare l’appettibilità della ISO/IEC 27701, ma vedremo;
• la ISO/IEC 27018, con i controlli privacy per i servizi cloud offerti da responsabili del trattamento, passa in FDIS e quindi dovrebbe essere pubblicata tra circa 6 mesi; non sono molto convinto del risultato finale perché non migliora l’attuale versione, però credo sopravvivremo;
• la ISO/IEC 29151, sui controlli per i titolari, basati sulla ISO/IEC 27002, passa in DIS e sarà pubblicata tra un anno. 

 Relativamente alla futura ISO/IEC 27701:

• delle sue caratteristiche ho già scritto in precedenza su https://www.agendadigitale.eu/sicurezza/iso-iec-27701-sui-sistemi-di-gestione-per-la-privacy-come-e-come-sara/;
• purtroppo la norma lascia intendere una distinzione tra “privacy” e “sicurezza delle informazioni” (introducendo il concetto di “security programme”), come se la protezione della riservatezza, integrità e disponibilità dei dati personali non sia parte integrante della “privacy”;
• presenta una lista di controlli tecnici (non saprei come altro chiamarli) che è una selezione incoerente e incompleta dei controlli della ISO/IEC 27001; infatti tali controlli sono stati scelti solo perché sono presenti linee guida aggiuntive per la loro implementazione in ambito privacy, ma ci sono controlli fondamentali anche senza linee guida aggiuntive;
• personalmente avrei preferito una discussione più approfondita, anche a costo di usare ancora per altri 2 anni la versione del 2019, visto che ormai abbiamo imparato a usarla, anche se disallineata con la ISO/IEC 27001:2022, piuttosto che tenerci questa per almeno altri 6 anni.

Ulteriore argomento di interesse è che l’ISO/IEC JTC 1 vuole aprire un “ad hog group”, detto AHG 9, che si occupi della “consumer privacy”, ossia della privacy per i consumatori. Ovviamente, il fatto che ci siano due gruppi (SC 27 WG 5 e AHG 9) che si occupano di privacy è assurdo. Vedremo cosa succederà.

Prossimo incontro a marzo 2025 in presenza negli USA. Fortunatamente con tutti i WG dell'SC 27.

Mio articolo "NIS 2 e recepimento italiano"

Ovviamente non potevo mancare la pubblicazione di un mio articolo su NIS 2 e D. Lgs. 138 del 2024: https://www.cybersecurity360.it/legal/nis-2-e-recepimento-italiano-regole-e-adempimenti-per-le-aziende/.

Diciamo che ho cercato di rendere i miei appunti fruibili anche ad altri e quindi la forma non è superlativa.

Mi piacerebbe soprattutto che mi vengano segnalati errori, omissioni e possibili miglioramenti. Credo infatti di avere ancora molto da imparare su questa materia.

Pubblicato il D. Lgs. 134 del 2024 di recepimento della CER

E' stato pubblicato il Recepimento Direttiva (UE) 2022/2557, detta CER (D. Lgs. 4 settembre 2024, n. 134): https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138.

La Direttiva CER è quella relativa alla resilienza dei soggetti critici. Può sembrare simile alla NIS2, ma questa CER riguarda la continuità, di cui la sicurezza informatica è solo una parte e infatti un soggetto critico per la CER è automaticamente un soggetto a cui si applica la NIS2.

Per la CER, al contrario della NIS 2, non è l'impresa a dover valutare se è un soggetto critico, ma sono le ASC (autorità settoriali competenti) a identificare i soggetti critici, ossia che forniscono servizi essenziali, e notificare loro il loro stato.

La Direttiva e il D. Lgs. descrivono poi gli obblighi di valutazione del rischio, di adozione di misure di sicurezza e di notifica degli incidenti. Nulla di nuovo e non riporto qui le specificità. Segnalo però l'interessante art. 13 comma 4 che, in poche parole, dice che si possono riutilizzare le valutazioni del rischio già fatte per altri motivi, purché ovviamente considerino i rischi specifici relativi alla resilienza e alla continuità e alla dipendenza da altri soggetti.

Interessante anche la possibilità di chiedere, da parte del PCU (punto di contatto unico in materia di resilienza dei soggetti critici, presso la Presienza del Consiglio) e dell'ASC, una "missione di consulenza" per valutare le misure adottate dal soggetto critico.

Pubblicato il D. Lgs. 138 del 2024 di recepimento della NIS 2

E' stato pubblicato il Recepimento Direttiva (UE) 2022/2555, detta NIS 2 (D. Lgs. 4 settembre 2024, n. 138): https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138.

Innanzi tutto, le scadenze. Per questo faccio riferimento a chi ha sicuramente studiato meglio di me e rimando all'articolo "Recepimento della Direttiva NIS 2: niente panico": https://www.cybersecitalia.it/recepimento-della-direttiva-nis-2-niente-panico/39245/.

ENISA Threat Landscape 2024

ENISA ha pubblicato il Threat Landscape 2024: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024.

Non vorrei sembrare quello che banalizza tutto, ma non mi sembra ci siano novità significative. Poi, pubblicazioni come questa sono comunque utili per mantenere l'attenzione sulle minacce informatiche e per ripassare le misure di sicurezza (andare direttamente a pagina 110).

ISO Survey 2023

L'ISO pubblica annualmente i dati relativi alle certificazioni ISO 9001, ISO IEC 27001, ISO 20000-1, ISO 22301, ISO 28000 e altre, per un totale di 12 sistemi di gestione (l'anno scorso erano 16, dovrei analizzare meglio per capire dove sono finiti).

I dati possono essere scaricati direttamente, anche in formato Excel, dal sito ISO: https://www.iso.org/the-iso-survey.html.

Notare che i certificati ISO 9001 nel mondo sono circa 850mila, mentre quelli ISO/IEC 27001 sono 50mila. Una bella differenza (a mio parere, dovuta anche all'eccessivo numero di giornate richiesto dalla ISO/IEC 27006, ma non ho prove per sostenerlo).

Sui cercapersone esplosi in Libano

I miei post non si occupano di cronaca "informatica" anche per mia manifesta incompetenza (mi occupo più di organizzazioni). Però c'è Guerre di Rete che lo fa benissimo. Quindi, per quanto riguarda la storia dei cercapersone esplosi in Libano, e soprattutto le analisi su come è stato fatto, rimando al numero del 23 settembre 2024: https://guerredirete.substack.com/p/guerre-di-rete-cercapersone-esplosi.

CIS Critical Security Controls Version 8.1

Segnalo che ad agosto sono stati pubblicati i CIS Critical Security Controls Version 8.1: https://www.cisecurity.org/controls/v8-1.

L'ho saputo da un post su LinkedIn di Davide Giribaldi e copio alcune sue considerazioni:

• I controlli CIS, non sono un vero e proprio framework, ma una serie di 18 controlli di libera adozione, che partendo dalle 6 funzioni stabilite dal Framework NIST CSF 2.0 (Govern, Identify, Protect, Detect, Respond, Recover) propongono un numero crescente di azioni a seconda della maturità digitale dell'azienda.
• Ogni controllo prevede anche 3 livelli d'implementazione a seconda della maturità cyber dell’organizzazione.

Cyber-attacco in Svizzera, muore una mucca. Lezioni sulla digitalizzazione

Segnalo questo breve articolo dal titolo "Cyber-attacco in Svizzera, muore una mucca. Lezioni sulla digitalizzazione": https://formiche.net/2024/08/mucca-cyber-attacco-svizzera/.

Racconta delle conseguenze del controllo di un robot di mungitura da parte di malintenzionati. La lezione finale è "quando si parla di cyber-attacchi, si pensa soltanto alle grandi imprese e infrastrutture", ma bisogna prestare attenzione anche a tutti gli altri ambiti.

Ringrazio Stefano Ramacciotti per la segnalazione.

Gli uomini possono fare tutto (settembre 2024)

In altro post ho avuto modo di citare Gianna Detoni. La conosco di nome, ho letto e apprezzato altri suoi articoli e forse le ho stretto la mano una volta, ma non ci conosciamo personalmente. La sua persona è collegata a una mia disavventura.

Nel 2019 assistei a Milano a un convegno organizzato proprio da Gianna Detoni sulla continuità operativa. Tutto molto interessante. Però a un certo punto mi suona il telefono ed era l'asilo di un mio figlio: non ero andato a prenderlo!

In realtà pensavo di essermi accordato con i suoceri, ma non era così. Ho quindi lasciato tutto e preso un taxi e mi sono precipitato all'asilo del bambino (mia moglie era a lavorare più lontano e con meno flessibilità di me). Una figuraccia che ancora oggi il bambino, ora ragazzino, mi rinfaccia ogni tanto.

Quindi gli uomini possono fare tutto, anche sbagliare in modo terribile.

Alcune riflessioni sulla "cyber resilience"

Pietro Luca Savorosi mi ha scritto per segnalarmi un articolo di Gianna Detoni del 2018 dal titolo "Il Grande Malinteso – Business Continuity e Cyber Resilience": https://www.ictsecuritymagazine.com/articoli/grande-malinteso-business-continuity-cyber-resilience/.

Condivido quanto scritto sulla inutilità del termine "cyber resilience" perché riguarderebbe la continuità e la disponibilità dell'IT in senso esteso, materie già note da tempo. Anche se tendo a essere più rigido con la terminologia, penso che si possa applicare il principio "chiamatelo come volete, purché lo facciate".

L'articolo mi ha fatto riflettere su altri aspetti e ne approfitto per aggiungerli:

• la “continuità operativa” è ormai una materia molto vasta e bisogna evitare l'idea che il business continuity manager sia tuttologo e quindi identificare e monitorare tutte le soluzioni di continuità;
• penso che la continuità operativa sia in realtà "un adempimento in più", che richiede una persona che la segua come suo compito specifico, non necessariamente unico; in caso contrario, altre figure con responsabilità più operative non avranno mai lo stimolo per riflettere, almeno periodicamente, sulla continuità operativa e per fare i necessari test; questo non per incompetenza o mala fede, ma perché la normale attività può essere talmente frenetica che è impossibile seguirne altre sporadiche senza un valido supporto;
• la continuità operativa è una cosa strana perché molte volte non identifica scenari che poi si avverano (i famosi cigni neri, ma soprattutto una pandemia in Europa), quindi va pensata nel modo più appropriato, tale da poter essere essa stessa elastica.

Pietro mi segnala un paio di certificazioni di competenze in cyber resiliency. Su questo penso che una persona con competenze di informatica e di continuità operativa, automaticamente le abbia anche in cyber resiliency. Però il mercato della formazione, come altri, tende a presentare sempre nuovi titoli e sta a noi identificare quelli veramente utili.

Tassonomia degli incidenti IT di ACN

ACN ha pubblicato il documento "La tassonomia cyber dell’ACN": https://www.acn.gov.it/portale/linee-guida-operative.

Mi sono chiesto se la notizia fosse di interesse perché ho il dubbio che si tratti di un'ennesima tassonomia, che si aggiunge a quelle più note usate per ENISA, CVE, ENISA e MITRE. Bisogna dire che il documento di ACN le cità ed esplicita la scelta di voler predisporre un elenco più granulare. L'elenco è di 144 voci, alcune volte alternative tra loro, altre da concatenare.

Lettura forse utile per riflettere sulle misure adottate per contrastare le minacce indicate.

Questa tassonomia, poi, non si collega per niente al report sugli incidenti. L'ultimo del 22 agosto si trova qui: https://www.acn.gov.it/portale/w/minaccia-cyber-il-terzo-report-di-acn (aggiungo che, confrontato con quello del NCSC della Confederazione Svizzera, ci sono ampi margini per migliorarlo).

Ringrazio Franco Vincenzo Ferrari per avermi segnalato il documento sulla tassonomia.

Segnalo ad ACN (ma dubito che questa mia segnalazione possa pervenirle) che è arrivato il momento di riorganizzare il sito web, visto che le linee guida operative si trovano sotto la voce "ISAC" (Information Sharing and Analysis Center), a sua volta sotto la voce "Strategie". Un po' complicato...

Mi rendo conto di criticare spesso alcune cose di ACN (incluso il fatto che per rimanere aggiornati si debbano seguire social network made in USA o comunque registrarsi a strumenti come Telegram, a meno di non voler consultare periodicamente il loro sito), ma non sempre.

Password nel codice software (il caso SolarWinds)

SolarWinds torna nelle cronache della sicurezza informatica perché è stata trovata una password di accesso nel suo prodotto Web Help Desk (WHD). Un articolo (segnalato dal Sans NewsBites), con titolo "SolarWinds fixes hardcoded credentials flaw in Web Help Desk", è questo: https://www.bleepingcomputer.com/news/security/solarwinds-fixes-hardcoded-credentials-flaw-in-web-help-desk/.

SolarWinds ha pubblicato subito una correzione.

So bene che non è facilissimo evitare le password incorporate nel codice, soprattutto se in codice legacy, però è sicuramente il caso di evitare questa pratica, anche per software meno diffusi di quelli prodotti dai giganti USA.

Approfondimento sul regolamento eIDAS n. 2024/1183

Franco Vincenzo Ferrari mi ha segnalato il numero 4 del 2024 della "Rivista elettronica di Diritto, Economia, Management", dedicata al regolamento eIDAS n. 2024/1183: https://www.clioedu.it/marketplace/elenco-completo/item/n-2024-4-rivista-elettronica-di-diritto-economia-management.

Sono 254 pagine che non sono riuscito a leggere. Però è indiscutibile la qualità del lavoro svolto.

Guida alla notifica degli incidenti informatici di ACN

Su LinkedIn avevo notato la pubblicazione della "Guida alla notifica degli incidenti al CSIRT Italia" di ACN: https://www.acn.gov.it/portale/w/acn-pubblica-la-guida-alla-notifica-degli-incidenti-informatici.

Il documento è sicuramente pedante quanto ripete chi sono i soggetti PSNC, quelli OSE e FNC (da NIS), Telco, Legge 90 del 2024 e altri. Infatti, se uno non dovesse già sapere di essere uno di quei soggetti, perché mai dovrebbe apprenderlo da questo documento?

Poi, meno gentilmente, a domande come "Cosa notificare al CSIRT Italia" la risposta è "guarda la normativa", ma almeno riporta l'articolo specifico.

Però io ho clienti che rientrano in alcune delle categorie e questa pubblicazione, opportunamente utilizzata, mi tornerà molto utile perché sintetizza molte cose e le mette insieme.

Studiare il IA Act

Per studiare l'IA Act segnalo due iniziative.

La prima, e sicuramente più autorevole, è "Il regolamento IA commentato riga per riga" di Giovanni Ziccardi (per i pochissimo che non lo conoscono, è professore di “Informatica Giuridica” presso l’Università di Milano), parte del ciclo di video "IA per tutti": https://www.youtube.com/watch?v=XoWldziYrw0&list=PL_JkJ0T5Nq4MbbvxRBaNqvSzbg8t5HxRs.

Si tratta di video e io faccio molta fatica a seguirli (ognuno ha le sue stranezza), però ascoltare Giovanni Ziccardi è sempre un piacere. Quindi, anche se a scatola chiusa, lo raccomando.

La seconda è di Andrea Broglia, che non conosco, ma di cui ricevo il "Frid_AI_news", newsletter su LinkedIn. Anche lui si propone di "esaminare il Regolamento Europeo in materia di Intelligenza Artificiale con brevi articoli settimanali". Mi sembrano una buona lettura e quindi la raccomando: https://www.linkedin.com/newsletters/frid-ai-news-%F0%9F%91%BE-7197237138776588291.

Gli uomini possono fare tutto (luglio 2024)

Mi rendo conto che il mio è un lavoro da privilegiati e che posso svolgerlo quasi dappertutto. Alcune volte è preferibile affiancare fisicamente il cliente anche perché così il rapporto umano si consolida, si colgono meglio alcune cose grazie a una più ampia visione della gestualità e si può rimanere meglio concentrati in alcuni compiti.

Però i figli sono senza scuola per 3 mesi e almeno un genitore deve fare in modo che facciano vacanze (potremmo mandare i nostri anche nei campus con pernottamento, ma, per questioni che non è il caso di spiegare qui, non possiamo ancora farlo). Quindi ringrazio i clienti che nel mese di luglio hanno avuto la pazienza di vedermi lavorare in luoghi da vacanza e non mi hanno insultato troppo. Spero di non essere sembrato troppo poco professionale, ma preferisco questo al tenere i figli in giro a Milano.

Check list EDPB per audit all'intelligenza artificiale

EDPB ha pubblicato alcuni strumenti per l'audit ai sistemi di IA: https://www.edpb.europa.eu/our-work-tools/our-documents/support-pool-experts-projects/ai-auditing_en.

Il documento “Checklist for AI auditing” è forse più lungo del necessario, ma credo sia un’ottima fonte di ispirazione. Essendo dell'EDPB, la privacy è il punto chiave del documento proposto e in effetti forse quello che copre tutti i rischi relativi a questi sistemi.

Gli altri due (“proposal for AI leaflets” e “Proposal for Algo-scores”) non mi sembrano significativi, alla luce del Regolamento IA che già fornisce indicazioni per le informative IA e una classificazione dei sistemi di IA (anche se “vietati”, “ad alto rischio” e “altri” non è una classificazione estremamente raffinata, ammettiamolo; ma non mi convincono neanche gli algo-score proposti).

Ringrazio Chiara Ponti per la segnalazione agli Idraulici della privacy.

Pubblicato l'IA Act

Pietro Calorio ha dato la notizia a noi Idraulici della privacy che il 12 luglio 2024 è stato pubblicato l'IA Act, Reg. UE 2024/1689: https://eur-lex.europa.eu/eli/reg/2024/1689/oj.

La notizia è già stata data da altri e io arrivo più tardi (ma Pietro l'aveva data il 12 luglio stesso!). Sono 144 pagine in Gazzetta ufficiale dell’Unione europea. L'ho letto dopo aver ascoltato un paio di webinar e senza particolare attenzione. Lo approfondirò quando partirà un progetto di applicazione. Per il momento ho cercato di trovare un orientamento nei 113 articoli e 13 allegati.

Le parti più importanti per le organizzazioni sono:

• il Capo I, che delinea l'ambito e le esclusioni (per esempio per scopi personali; ma ci sono anche eccezioni);
• il Capo II che indica i sistemi vietati;
• il Capo III che stabilisce quali sono i sistemi ad alto rischio, insieme alle numerose attività che devono svolgere i produttori e i deployer per metterli a disposizione;
• il Capo IV, che riguarda le informazioni che devono fornire i fornitori di tutti i sistemi IA;
• Capo V, che riguarda i modelli di IA per finalità generali; anche in questo caso ci sono adempimenti da prevedere.

Con questi cinque Capi ho già da tenere sotto controllo 56 articoli. Tutto il resto riguarda iniziative specifiche, sulle quali non credo sarò coinvolto. Nel caso, studierò.

Bloccati sistemi per un aggiornamento CrowdStrike (parte 2)

Claudio Sartor mi ha scritto per darmi un paio di link sul caso CrowdStrike.

Uno è di Paolo Attivissimo: https://attivissimo.blogspot.com/2024/07/due-parole-sul-caos-informatico.html.

Il secondo è un video di Matteo Flora: https://www.youtube.com/watch?v=hyWsFAEkFa0.

Ho letto solo il primo (non ho la pazienza di seguire i video) e mi conforta vedere che il mio commento è in linea.

EDPB approva criteri Europrise

Dalla newsletter di Project:IN Avvocati: il 18 luglio 2024 l’EDPB ha pubblicato il parere 19/2024 sull’approvazione dei criteri di certificazione di EuroPrise, predisposti da EuroPriSe Cert. GmbH, un ente tedesco che li ha presentati all’Autorità garante del Nordreno-Westfalia (Germania). L'EDPB ha ritenuto che i criteri di certificazione siano coerenti con il GDPR, e li registrerà nel Registro pubblico dei meccanismi di certificazione, dei sigilli e dei marchi per la protezione dei dati ai sensi dell'articolo 42 del GDPR.

Link alla newsletter (come al solito, ci sono altre cose interessanti): https://www.linkedin.com/comm/pulse/292024-immaginatevi-se-lo-sciopero-di-windows-avesse-b25nf.

Oltre a Europrivacy, ora c'è questo operatore. Tra l'altro, io non ho notizie di certificazioni Europrivacy. Quindi chiedo se qualcuno ha notizie più fresche. Ho però l'impressione che, dopo il tanto parlare delle certificazioni GDPR, adesso interessino molto molto meno.

Bloccati sistemi per un aggiornamento CrowdStrike (Microsoft)

La notizia del mese è che un aggiornamento del software CrowdStrike aveva un bug che, nella notte del 18 luglio, ha bloccato i sistemi Windows, con impatti e interruzioni in tutto il mondo, anche nei servizi di trasporto e in strutture sanitarie.

Fornisco il link alla notizia, data in formato sinteticissimo e con link e commenti di esperti, dal SANS: https://www.sans.org/newsletters/newsbites/xxvi-55/.

Intanto trovo interessante sapere che CrowdStrike è uno strumento per la sicurezza degli endpoint: sicuramente utile perché permette di centralizzare tante operazioni, ma anche pericoloso, come tutti gli strumenti.

Le riflessioni da fare sono molte. Io mi limito a qualche titolo, anche perché sono in assenza di notizie approfondite:

• non so perché CrowdStrike ha dovuto apportare l'aggiornamento, ma ho sempre il sospetto che, tra correzioni e nuove funzionalità da fare velocemente e a costi ridotti, quasi tutti i produttori di software rischiano di essere causa di incidenti più o meno significativi;
• chissà se CrowdStrike aveva fatto dei test al prodotto; visto l'impatto, un test in ambiente di prova avrebbe dovuto evidenziare il problema; però sappiamo che i test si fanno poco e male per il problema di cui sopra;
• dall'analisi tecnica (che, grazie a Pietro Calorio degli Idraulici della privacy, trovo su https://www.linkedin.com/posts/daniele-zecca-74b64925_memoria-computer-0x9c-activity-7220358324712574976-YWX7) sembra che uno strumento di controllo della qualità e della sicurezza (statica) del codice avrebbe dovuto segnalare il problema; quindi o non è stato usato uno strumento di controllo o la segnalazione è stata ignorata e le cause sono sempre quelle sopra indicate;
• chissà se i conduttori delle infrastrutture critiche che poi si sono bloccate avevano fatto dei test prima di distribuire l'aggiornamento su tutti i sistemi; anche loro, lo sappiamo, soffrono del solito problema per cui gli investimenti nell'informatica non sono proporzionali alla sua importanza (e questo e altri incidenti dimostrano che siamo ben lontani dall'avere manager con la giusta sensibilità);
• se ci sono dei sistemi critici che potrebbero bloccare tutta un'infrastruttura, vanno posti in reti dedicate e separate, come si consiglia in ambito OT e come andrebbe fatto in tutti gli ambiti critici; ma anche questo richiede investimenti (e, purtroppo, temo che NIS2, DORA e compagnia non impongano questa misura, anche perché oggi in pochi sanno valutarla correttamente).

Niccolò Castoldi mi ha segnalato la dichiarazione del CEO di CrowdStrike (https://www.wired.com/story/microsoft-windows-outage-crowdstrike-global-it-probems/) che dice: "Questo non è un incidente di sicurezza o un ciber attacco". Qui si vede un uso del termine "incidente di sicurezza" come sinonimo di "attacco di malintenzionati" molto diffuso. In realtà, lo sappiamo, si è trattato di un errore (causa) che ha provocato un incidente di sicurezza delle informazioni (effetto almeno sulla disponibilità).

E ancora una volta colgo l'occasione per ricordare che chi si occupa di sicurezza delle informazioni non si occupa "solo" di attacchi, ma anche di errori, che sono spesso molto più numerosi e provocano danni molto più estesi (credo che tanti gruppi di criminali se lo possono solo sognare un attacco di così grande impatto).

Legge 90 del 2024 sulla cybersicurezza nazionale

Segnalo la pubblicazione della Legge 90 del 2024 "Disposizioni in materia di rafforzamento della cybersicurezzanazionale e di reati informatici": https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2024-06-28;90!vig=2024-07-10.

Segnalo un articolo di analisi completa della norma (grazie a Luisa di Giacomo degli Idraulici della privacy): https://www.altalex.com/documents/2024/07/03/l-90-2024-cybersicurezza-g-u-adempimenti-p-a-societa-private.

Nel mio piccolo, segnalo alcune cose pensando alle aziende, non alle istituzioni come ACN.

Il primo punto riguarda l’ambito di applicabilità della notifica degli incidenti e, in generale, di tutta la Legge, visto che è dato dall'articolo 1 nei commi 1 e 3, non perfettamente allineati tra loro. La lettura è complicata per i tanti richiami ad altri dispositivi normativi. Riassumendo molto (e anche troppo), la norma è applicabile a pubblica amministrazione, società di trasporto pubblico, aziende sanitarie locali, società in house, società che erogano servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali o di gestione dei rifiuti.

Le società in house, sono citate due volte: una con l’aggettivo “relative” e l’altra senza, così da rendere ancora più difficile l’interpretazione.

Il secondo punto (articolo 1) riguarda, per le società in ambito, la procedura di gestione degli incidenti, che dovranno essere notificati ad ACN con prima notifica entro 24 ore e rapporto finale entro 72 ore dalla conoscenza dell'incidente. Gli incidenti dovranno essere segnalati alla pagina di ACN https://www.csirt.gov.it/segnalazione (che dovrà quindi essere aggiornata), usando la tassonomia, stabilita dalla Determina del 3 gennaio 2023 di ACN (https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2023-01-10&atto.codiceRedazionale=23A00114), che prevede 14 tipologie di incidente (ovviamente diverse dalle 25 previste dal DPCM 81 del 2021 per evitare di renderci la vita troppo facile).

Notare che i tempi sono disallineati rispetto a quelli previsti dal perimetro di sicurezza nazionale cibernetica (PSNC) di 6 ore, ma uguali a quelli della NIS 2.

Notare anche per il PSNC un’altra tassonomia è presente nel DPCM 81 del 2021, quindi sembra che una Determina di ACN abbia annullato parte di un DPCM. Non sono un legale, ma tutto questo mi sembra strano.

Per alcune entità, la norma entrerà in vigore il 17 luglio, per altre, i tempi di adeguamento saranno di 6 mesi e un mio calcolo veloce e sicuramente inesatto dice da  gennaio 2025.

L’articolo 8 riguarda la necessità di stabilire una “struttura” (ossia un’unità organizzativa) che si occupi di sicurezza, dal punto di vista sia procedurale sia tecnico, e un “referente per la cybersicurezza” da segnalare ad ACN. E' richiesta professionalità e competenza, ma non mi sembra ci siano requisiti in merito all'indipendenza. Viene segnalato che l'incarico potrebbe essere ricoperto anche dal responsabile della transizione digitale. Da alcuni punti di vista, è positivo che non siano state imposte molte restrizioni in merito a questa figura, soprattutto in questa prima fase di attuazione.

In merito alle competenze e i poteri, ripeto che devono essere tecniche e organizzative, ma una struttura di questo tipo non è facile da trovare nelle realtà più piccole. Anche la possibilità di avere una struttura di questo genere “in forma associata” mi sembra di difficile attuazione, visto che implica l’assegnazione del potere di produrre un organigramma della sicurezza e il piano della sicurezza. Sicuramente alcune PA hanno già l’ufficio per la transizione digitale in forma associata, però il tutto mi lascia perplesso. Ad ogni modo, ho trovato questa pubblicazione di AgID in merito: https://www.agid.gov.it/it/notizie/nomina-del-rtd-e-costituzione-dellutd-forma-associata-online-il-vademecum-le-pa.

Da dire che non sono indicate scadenze per le comunicazioni, né il sito ACN ha ancora messo a disposizione un’area per questo adempimento.

L' articolo 9 richiede che venga verifica "che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che utilizzano soluzioni crittografiche, rispettino le linee guida sulla crittografia nonché quelle sulla conservazione delle password adottate dall'Agenzia per la cybersicurezza nazionale e dal Garante per la protezione dei dati personali e non comportino vulnerabilità note, atte a rendere disponibili e intellegibili a terzi i dati cifrati". A questo obbligo sono tenute anche le organizzazioni nel PSNC. Ho qualche dubbio sulla correttezza nel citare un documento tecnico in una Legge (le altre normative fanno in modo diverso). Il documento si può scaricare da qui: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9962384 (purtroppo il sito di ACN lo ha “nascosto” da qualche parte, né ha un richiamo in home page per una pagina dove reperire tutti questi documenti tecnici).

L'articolo 14 prevede che venga emanato, entro fine 2024, un DPCM con i requisiti da tenere “in considerazione nelle attività di approvvigionamento di beni e servizi informatici”. Questo sarà da utilizzare per le organizzazioni in ambito, ma sarà importante anche per le organizzazioni che lavorano con la PA, visto che dovranno rispettarli. Da notare che questi requisiti saranno applicabili dove è in gioco “la tutela della sicurezza nazionale”. Prevedo però che molti li richiederanno a tutti, visto che sarà più semplice. Sarà importante che le offerte per i soggetti in ambito comincino già a riportare considerazioni di sicurezza informatica.

Segnalo poi che l'articolo 24 bis introduce, nel D. Lgs. 231 del 2001, il reato presupposto di estorsione informatica.

Mia considerazione finale riguarda l'opportunità di questa Legge. Infatti, per ovvi motivi complica il quadro di riferimento al posto di semplificarlo e questo non è un bene. Mi spiego: adesso è in vigore la NIS, deve essere ancora recepita la NIS 2 e devono ancora essere pubblicati gli implementing acts; è in vigore anche il PSNC con i suoi 4 DPCM e altri atti correlati, come dimostrato dai link qui sopra (e con qualche pasticcio qua e là); entreranno in vigore anche altre normative come la CER. Penso che sarebbe stato meglio pubblicare un atto come questo dopo la messa a punto degli altri dispositivi, in modo da cogliere l'occasione per un raccordo tra tutti. Invece è stato pubblicato prima, con anche qualche aspetto che avrebbe richiesto una maggiore cura. Ovviamente, l’aumento di elementi, in questo caso norme, aggiunge sempre confusione nelle cose umane.

Come sempre, sono consapevole che questa è una mia prima analisi. Invito tutti a segnalarmi se ci sono errori o se non concordano.

NB: Questo post sostituisce un post simile inviato in precedenza.

Nuovo Regolamento Cloud per la PA di ACN

ACN ha pubblicato a fine giugno 2024 il nuovo regolamento che le PA devono rispettare quando usano servizi cloud. Si può reperire qui, con il titolo "Regolamento ACN n. 21007/24 del 27 giugno 2024": https://www.acn.gov.it/portale/cloud/documentazione-utile.

Trovo sempre utile (oltre che per dare supporto ai miei clienti) leggere le misure richieste perché stabiliscono un livello di riferimento, che piaccia o meno.

Mi sembra che il testo non riporti grandi modifiche rispetto al precedente (mi sono concentrato sulle misure per i dati ordinari). Dovevano aggiornarlo perché il precedente era a nome AgID e poco in più hanno fatto. Alcuni piccoli refusi e alcune piccole incoerenze sono state corrette.

Rimane sempre una lettura ostica e ci ho messo parecchio a capire la distinzione tra requisiti di adeguamento e di qualificazione (per questo ringrazio Marco Gemo che mi ha segnalato la figura all’URL https://www.acn.gov.it/portale/cloud/regolamento-cloud-per-la-pa). In sostanza, se ho capito correttamente:

• le infrastrutture possono solo essere “adeguate” (articolo 12);
• i servizi cloud “per le pubbliche amministrazioni erogati da un soggetto pubblico, da società in house, ovvero, per espressa previsione normativa, da società a controllo pubblico [...] sono sottoposti al processo di adeguamento” (articolo 15);
• i servizi cloud per le PA offerti da altre società rispetto alle precedenti sono invece da sottoporre al processo di adeguamento (articolo 17).

Importante il fatto che le PA dovranno comunque migrare verso servizi adeguati o qualificati.

Continuo a non capire perché a fronte di 3 tipologie di dati (ordinari, critici e strategici) siano presenti 4 livelli di qualificazione (o adeguamento).

Nota positiva, per rimanere sulle parti non tecniche, è che, a differenza della versione precedente di AgID, qui è possibile fare un comodo copia-incolla del testo (anche se, per evitarci troppa fatica, potevano pubblicare un Excel, magari anche con una comparazione tra le versioni del 2022 e del 2024; per me poco male, visto che fatturerò al cliente; però non posso fare a meno di pensare che faremo questo stesso lavoro in tanti, alcuni ci guadagneranno, altri ci perderanno e sicuramente l'entropia verrà alimentata).

Considerazioni tecniche (questa però non è una comparazione precisa, ma solo una lista delle cose per me più significative per i dati ordinari):

• viene chiesto al CSP (per servizi, privato, a cui si applica la qualificazione) di avere un'assicurazione (cloud service provider, ossia il fornitore del servizio cloud);
• viene chiesto un supporto in lingua inglese in orario lavorativo; il supporto in lingua italiana e 24/7/365 va fornito solo su richiesta; segnalo questo come questione culturale, ma non so esattamente come giudicarla;
• viene chiesto, per gli accessi da remoto, di impiegare l'autenticazione a più fattori;
• viene chiesto di fare prove di ripristino dei backup (era incredibilmente assente nel 2022) e di proteggere i backup ponendoli off-line;
• viene chiesto di tenere aggiornati e in sicurezza i sistemi di sicurezza di rete (era incredibilmente assente nel 2022);
• viene chiesto di fare VA-PT e di seguire piani di rientro (sempre stranamente assente nel 2022);
• viene chiarito, se già prima non lo era, che per chi offre "solo" un servizio, questo deve essere su un’infrastruttura IaaS o PaaS già adeguata;
• c'è un po' di confusione con le certificazioni (per il QC1 in un punto chiede di "adottare formalmente" ISO 9001 e ISO/IEC 20000-1 e in un altro chiede un'autocertificazione ISO 9001 e la certificazione ISO/IEC 27001 con i controlli delle ISO/IEC 27017 e 27018).

 Solo alla fine ringrazio Marco Gemo di Ecocerved per avermi segnalato la pubblicazione di questo Regolamento. Io non l'avevo proprio notata.  A questo proposito, spero che ACN istituisca un servizio di newsletter, oltre ai canali di aggiornamento sui social (LinkedIn e YouTube, oltre a quelli del CSIRT su X e Telegram), che obbligano a iscriversi a servizi offerti dagli USA.

NOTA: Questo post ne aggiorna uno precedente.

eIDAS - Quanti sono i servizi fiduciari?

Franco Vincenzo Ferrari mi ha segnalato un post di Andrea Caccia che elenca i servizi fidciari: https://www.linkedin.com/posts/acaccia_eidas-activity-7217316607176437760-gZGD.

Un bello e utile riassunto.

 

ISO/IEC 20000-1: Clarifying measurements

L' ISO/IEC JTC 1/SC 40 ha pubblicato (il 14 febbraio 2022) il white paper "ISO/IEC 20000-1: Clarifying measurements". Purtroppo non riesco a trovarlo nel surface web, ma solo nel deep web, ossia su LinkedIn, qui: https://www.linkedin.com/groups/12777402/.

Lettura interessante perché fornisce qualche esempio di misurazione di un sistema per la gestione dei servizi da considerare. Si osservi però che gli esempi non sono numerosi e confermano il fatto che non bisogna necessariamente avere tante misurazioni per gestire correttamente un sistema.

Da un punto di vista teorico, segnalo la suddivisione delle misurazioni tra quelle necessarie per valutare il sistema di gestione, la prestazione dei servizi e gli impatti (ossia il valore) del sistema di gestione.

VERA 7.5

Ho pubblicato file e manuale di VERA 7.5, con i controlli della ISO/IEC 27017 e 27018: https://github.com/CesareGallotti/VERA/.

Ho anche aggiunto una piccola check list sui requisiti (capitoli 4-10) della 27001 e qualche campo che nel tempo mi è tornato utile o mi è stato segnalato come utile.

Siete sempre invitati a segnalarmi errori o possibili miglioramenti (anche per come il tutto è disponibile su GitHub, che sto usando come un modesto principiante).

Articolo "Dalla ISO 27001 alla compliance DORA"

Franco Vincenzo Ferrari mi ha segnalato un articolo di Matteo Sironi e Fabio Guasconi dal titolo "Dalla ISO 27001 alla compliance DORA: conformità e sicurezza in pochi passaggi": https://www.cybersecitalia.it/dalla-iso-27001-alla-compliance-dora-conformita-e-sicurezza-in-pochi-passaggi/35356/.

In poche parole mi ha fatto capire meglio il DORA (a un livello molto generale) e alcune sue caratteristiche.

Mio articolo sulle figure professionali per l'IA

Agenda digitale ha pubblicato un mio articolo dal titolo "I professionisti dell’IA: chi sono e quali competenze devono avere": https://www.agendadigitale.eu/cultura-digitale/competenze-digitali/i-professionisti-dellia-chi-sono-e-quali-competenze-devono-avere/.

L'ho scritto principalmente per poter studiare io quelle figure, richieste anche dalla ISO/IEC 42001. Quindi vi prego di segnalarmi errori o omissioni.

Mio articolo sull'uso del non digitale per la sicurezza

Su Digeat è uscito un mio articolo dal titolo "I documenti “non digitali” come argine per la sicurezza": https://digeat.info/.

Il titolo dice già molto e, se vi interessa, buona lettura.

Garante privacy e conservazione email e metadati 03

Il Garante privacy ha pubblicato l'aggiornamento del tanto discusso Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10026277.

Per il momento mi sembra di capire che abbia chiarito che i "metadati" da cancellare sono i log dei mail server relativi all'invio e ricezione dei messaggi. Inoltre ha stabilito che il tempo di conservazione consigliato è di 21 giorni.

Per il resto, aspetto pazientemente articoli e commenti di persone più attente di me.

Grazie a Pippo Alverone per averlo segnalato agli Idraulici della privacy.

Grazie a Christian Bernieri (un altro Idraulico della privacy) per aver messo a disposizione un confronto tra il precedente e l'attuale documento: https://drive.google.com/file/d/1pVaPeBjedyomY_buaAzFznyNH2MH0-Fo/.

Documento APG sui cambiamenti climatici nella ISO 9001

Il ISO 9001 Auditing Practices Group ha pubblicato il documento "Guidance on: Auditing Climate Change issues in ISO 9001": https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html.

Ricordo che il APG è un gruppo informale composto di persone che partecipano ai lavori di redazione della ISO 9001. Il loro parere non è vincolante né deve essere accettato ciecamente. E' però frutto di riflessione di persone preparate e quindi vale la pena considerarlo.

Transizione alla ISO/IEC 27006-1:2024

La ISO/IEC 27006-1 è stata aggiornata nel 2024 e gli organismi di certificazione che certificano ISO/IEC 27001 devono adattarsi. IAF ha pubblicato le linee guida e i termini per adeguarsi: https://iaf.nu/en/news/iaf-publishes-md-for-transition-to-iso-iec-27006-12024/.

Tutto ciò non riguarda le organizzazioni che si certificano.

Grazie a Franco Vincenzo Ferrari per la segnalazione.

 

Tribunale di Milano: Modello 231 "efficace"

Segnalo l'articolo "231: le indicazioni del Tribunale di Milano per un Modello organizzativo “efficacemente strutturato”": https://www.altalex.com/documents/2024/05/21/231-indicazioni-tribunale-milano-modello-organizzativo-efficacemente-strutturato.

Il Tribunale di Milano, infatti, ha emesso "una delle rare pronunce assolutorie basate su un giudizio positivo in merito al requisito della idoneità dei modelli" e l'ha accompagnata da una disquisizione su come dovrebbe essere un modello ben strutturato.

Lettura interessante.

Pubblicazione ICO "Learning from the mistakes of others - A retrospective review"

Dalla newsletter di Project:IN Avvocati, segnalo che ICO ha pubblicato "Learning from the mistakes of others – A retrospective review": https://cy.ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/learning-from-the-mistakes-of-others-a-retrospective-review/.

Copio dalla newsletter: "Il report, in particolare, si concentra sulle cause più frequenti di violazioni della sicurezza informatica, quali (i) il phishing, (ii) attacchi informatici, (iii) errori umani ed errori nel servizio e (iv) attacchi alla catena di fornitura del servizio".

Insomma: nulla di troppo nuovo, ma:

- mette l'accento non solo sugli attacchi (che fanno notizia), ma anche sugli errori (che non fanno notizia, ma sono comunque importanti);

- il titolo è accattivante e dimostra un approccio condivisibile (non ipotesi teoriche, ma casi pratici) per coinvolgere meglio il lettore.

Articolo su come scegliere i controlli di sicurezza

Segnalo questo mio articolo dal titolo "Valutare il rischio cyber, la scelta dei controlli di sicurezza e le check list": https://www.agendadigitale.eu/sicurezza/valutare-il-rischio-cyber-la-scelta-dei-controlli-di-sicurezza-e-le-check-list/.

Mi soffermo sulla necessità di non scegliere le misure di sicurezza solo perché sono indicate da liste più o meno autorevoli, ma anche sulla base di una valutazione del rischio.

Gli uomini possono fare tutto (maggio 2024)

In realtà gli uomini NON possono fare tutto. Però possono mantenere i rapporti con gli altri genitori delle classi dei propri figli.

Così per le gite scolastiche dei figli, fissate quando io e mia moglie avevamo già preso impegni non spostabili, ho avuto l'aiuto di altri genitori per portare i figli in stazione.

Ovviamente non abbiamo potuto evitare di svegliarci presto per preparare zainetto, merenda e pranzo al sacco e portarli dai genitori accompagnatori (colgo l'occasione per ringraziarli).

Rapporto semestrale UFCS

Adesso l'ente che si occupa di sicurezza informatica o cibersicurezza in Svizzera si chiama NCSC (Ufficio federale della cibersicurezza). Io continuo a ricordami "Melani".

Comunque continuano a produrre ottimi rapporti semestrali con sintesi delle minacce e degli attacchi dell'ultimo semestre (in questo caso il secondo del 2023) e con raccomandazioni per proteggersi.

L'ultimo rapporto semestrale è pubblicato all'indirizzo: https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2023-2.html.

UNI CEI EN 17740:2024 sui profili professionali privacy

Segnalo che è stata pubblicata la  UNI CEI EN 17740:2024 "Requisiti per i profili professionali relativi al trattamento e protezione dei dati personali": https://store.uni.com/uni-cei-en-17740-2024.

Questa norma sostituisce la UNI 11697:2017 e ne è molto simile.

Questa è la traduzione italiana della  EN 17740:2023 "Requirements for professional profiles related to personal data processing and protection": https://store.uni.com/en-17740-2023.

European Accessibility Act: D. Lgs. 82 del 2022

Claudio Nasti di Chantecler mi ha segnalato che è stato approvato, ormai diverso tempo fa, il D. Lgs. 82 del 2022, di recepimento del European Accessibility Act (Direttiva europea 882 del 2019), con requisiti di accessibilità dei prodotti e dei servizi.

Questo D. Lgs. estende quanto previsto dalla Legge Stanca (L. 4 del 2004) a diversi prodotti e servizi. Tali prodotti e servizi devono quindi assicurare l'accessibilità a persone con disabilità.

Il link al D. Lgs. 82 del 2022 da Normattiva: https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2022-05-27;82!vig=2024-04-23.

Un articolo che mi sembra utile per iniziare a capire: https://scuderimottaeavvocati.it/accessibility-act-verso-uneuropa-piu-inclusiva/.

La pagina AgID sull'accessibilità: https://www.agid.gov.it/it/design-servizi/accessibilita.

Un punto importante, a mio avviso, riguarda i siti di e-commerce. Infatti anche questi devono rispettare la normativa dal 28 giugno 2025. Però, se ho capito correttamente, per i siti già attivi, l'adeguamento va assicurato dal 28 giugno 2030.

Vanno comunque analizzati i servizi e prodotti che devono rispettare la normativa.

Posizione EDPB su "paga o consenti alla profilazione per pubblicità"

Chiara Ponti, Idraulica della privacy, ha segnalato a noialtri idraulici la "Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms" dell'EDPB: https://www.edpb.europa.eu/news/news/2024/edpb-consent-or-pay-models-should-offer-real-choice_en.

Ho rimandato al comunicato stampa del 17 aprile 2024.

Alcuni punti a mio parere salienti:

- si riferisce alla "grandi" piattaforme online, quindi sicuramente a Facebook e forse non al Corriere della sera;

- infatti fa riferimento a servizi con ruolo "promimente" o è decisivo per la partecipazione a una vita sociale o alle reti professionali;

- richiede di proporre una terza alternativa, oltre al "paga o dai il consenso", per esempio con pubblicità senza profilazione.

Io dico che, da quando Meta ha attivato il "consent or pay", non accedo più a Facebook (già lo facevo pochissimo da qualche anno) e Instagram. Nelle brevi attese, al posto di guardare anteprime su Netflix e Disney+, tecniche di judo, i disegni del mio amico Dulio, ricette di dolci e passeggiate vicino a Milano, leggo il giornale online e quello in genere, purtroppo, mi mette di malumore. Ecco l'unico punto negativo dell'aver rinunciato a questi social network.

Gli uomini possono fare tutto (apr 2024)

Per una festa, mi hanno chiesto di portare una torta. La faccio e la porto insieme ad altre 2 torte fatte da mia mamma. A riceverle ci sono 3 donne. Fioccano complimenti alle donne di famiglia e devo far notare che una torta è stata fatta da un uomo. Si scusano.

Poi segnalo che una torta è senza glutine e senza lattosio e ho portato anche la lista degli ingredienti. Fioccano i complimenti a mia mamma, anche se si trattava proprio della torta fatta da me.

Non voglio vantarmi (anche se seguo una ricetta veramente buona per le crostate), ma riflettere sul fatto che 3 donne, in automatico, avevano pensato che le torte fossero state fatte da donne, anche se fisicamente le aveva portate un uomo.

Mi chiedo quindi che percezione hanno alcune donne su chi fa le torte per beneficenza: è un'idea positiva (anche se non favorevole agli uomini che forse fanno torte e forse fanno beneficenza, ma non torte per beneficenza) o negativa.

Stato delle norme ISO/IEC 270xx

Tra fine marzo e metà aprile si sono tenuti i meeting semestrali del WG 1 e del WG 5 del ISO/IEC JTC 1 SC 27, ossia dei gruppi che si occupano degli standard ISO/IEC legati ai sistemi di gestione per la sicurezza delle informazioni (ISO/IEC 27001 e linee guida) e alla privacy (ISO/IEC 27701 e altre).

Per quanto riguarda il WG 1, sono stati discussi gli standard ISO/IEC 27003 (guida per i sistemi di gestione per la sicurezza delle informazioni) e ISO/IEC 27017 (controlli per i servizi cloud). Non saranno pubblicati a breve.

Si è fatto anche il punto sugli standard oggetto di discussione nel corso del semestre. Inoltre sono partiti i lavori per l'aggiornamento della ISO/IEC 27004 (guida per la misurazione).

Partirà anche un gruppo per verificare se è opportuno avviare azioni relative ai cambiamenti climatici, che sono entrati nella ISO/IEC 27001 (anticipo che l'idea di partenza sembra essere un "nessuna azione", ma tutto potrà cambiare, ovviamente).

Per quanto riguarda il WG 5, io ho partecipato alle attività relative alla nuova versione delle ISO/IEC 27701 (sistemi di gestione per la privacy), ISO/IEC 27018 (controlli privacy per il cloud), ISO/IEC 27006-2 (per gli organismi che certificano rispetto alla ISO/IEC 27706 e che forse sarà rinumerata ISO/IEC 27706), ISO/IEC 29151 (con l'estensione alla privacy dei controlli ISO/IEC 27002).

Si prevede l'uscita delle norme in discussione tra fine 2024 e inizio 2025.

Sanzione del Garante per l'attacco ai sistemi informatici della Regione Lazio

Il Garante ha emesso 3 Provvedimenti al termine dell'analisi dell'attacco ai sistemi informatici della Regione Lazio del 31 luglio 2021: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10002052.

Se ho capito bene: gli attaccanti hanno individuato i server accessibili dalla VPN di Regione Lazio, ne hanno trovato uno con software obsoleti (anche perché erano installate applicazioni non compatibili con gli aggiornamenti) e l'hanno attaccato. Nello stesso tempo, per il cambio del fornitore, i sistemi non erano monitorati da un SIEM. Inoltre è segnalata una segregazione interna delle reti (tra quella utenti e quella server) che richiedeva un miglioramento.

Da osservare che le password di amministrazione erano lunghe 20 caratteri e cambiate almeno ogni 30 giorni. Qui mi pare che si possa ricordare l'importanza, oggi, di adottare sistemi di autenticazione e più fattori (MFA).

Interessante il richiamo alle certificazioni che, ovviamente, non assicurano un livello di sicurezza predefinito.

Ecco quindi che se ne possono trarre utili lezioni relative all'importanza delle misure richiamate: aggiornare i sistemi esposti, implementare sistemi di monitoraggio della sicurezza, segregare le reti, attivare la MFA.

Disaccordo sulla decisione della CNIL a favore di Microsoft

Su LinkedIn ho letto questo post dal titolo "I fornitori francesi attaccano la decisione della CNIL a favore di Microsoft": https://www.linkedin.com/feed/update/urn:li:activity:7175902181697404929/.

Ovviamente la lamentela è supportata da chi ha perso la gara contro Microsoft, però mi sembra comunque una notizia interessante: si lamentano perché l'autorità garante non è stata abbastanza rigida. Cosa che si vede raramente, almeno in pubblico.

Rischi dell'IA comparati ai social media

Bruce Schneier ha sviluppato una comparazione tra l'evoluzione dei rischi dell'intelligenza artificiale comparata a quanto abbiamo visto per i social media: https://www.schneier.com/blog/archives/2024/03/ai-and-the-evolution-of-social-media.html.

I rischi sono quelli legati all'uso della pubblicità, alla sorveglianza, alla viralità (ossia alla disinformazione), al lock-in e alla monopolizzazione (ossia alla crescita di poche mega società). Li abbiamo visti per i social media e rischiamo di vederli anche per gli strumenti di intelligenza artificiale.

Il caso XZ Utils

A fine marzo è stata scoperta una vulnerabilità grave alla libreria XY Utils.

Su questo caso e le lezioni da ricordare, segnalo l'articolo dal titolo (un po' troppo drammatico, a mio avviso) "Le due facce dell’Open Source: come abbiamo rischiato l’apocalisse IT": https://www.zerounoweb.it/editoriali/le-due-facce-dellopen-source-come-abbiamo-rischiato-lapocalisse-it/.

Mi sembra che, in sintesi, dica tutto quanto necessario per chi non richiede approfondimenti tecnici.

Slide Security Summit Milano 2024

Sono disponibili le slide del Security Summit, tenutosi a Milano il 19-21 marzo: https://securitysummit.it/milano-2024#agenda.

Io e Fabio Guasconi abbiamo tenuto un intervento al Security Summit dal titolo "Novità e prospettive dal mondo della normazione": https://securitysummit.it/milano-2024/novita-e-prospettive-dal-mondo-della-normazione.

Rapporto Clusit 2024

Con il Security Summit di Milano, è stato pubblicato il Rapporto Clusit 2024 sulla sicurezza informatica: https://clusit.it/rapporto-clusit/.

Come è noto, non mi convincono molto le cifre (in questo caso, l'aumento del 12% degli attacchi) perché ci dicono sempre la stessa cosa: Internet è insicura e la sicurezza dei sistemi informatici, di qualsiasi tipo, è sempre a rischio. Cosa che sappiamo già da parecchi anni. E poi penso che sia troppo incentrata sugli attacchi volontari, quando sappiamo che molti incidenti sono dovuti a errori e non vanno quindi sottovalutati.

Però ho trovato molto interessanti gli interventi di Fastweb e  della Polizia postale e delle Comunicazioni perché trattano di alcuni attacchi che è bene tenere presente.

Detto questo, il lavoro fatto è molto bello e interessante e ne raccomando la lettura.

Pagina CISA per risorse di sicurezza informatica per le "High-Risk Communities"

Il CISA (Cybersecurity & infrastructure security agency degli USA) ha pubblicato una pagina "High-Risk Communities", con risorse gratuite o a basso costo: https://www.cisa.gov/audiences/high-risk-communities.

Mi sembrano risorse soprattutto procedurali, in particolare per la formazione (Project Upskill: Cybersecurity Training). Io ho  trovato interessanti soprattutto la sezione "JCDC Cyber Incident Exercise Discussion", con esercitazioni relative alla gestione degli incidenti.

Infatti, penso che molti standard e best practice chiedono di condurre esercitazioni relative alla gestione degli incidenti (oltre a quelle relative agli incidenti di continuità), però abbiamo pochi esempi autorevoli. Questi 3 scenari mi sembrano utili come punto di partenza.

Webinar (concluso) "Direttiva NIS2: la scadenza si avvicina."

Il 26 marzo ho partecipato al Webinar "Direttiva NIS2: la scadenza si avvicina…": https://www.csipiemonte.it/it/webinar_direttivaNIS2.

Il webinar è stato organizzato dal CSI Piemonte, che ringrazio molto.

Nella pagina trovate, oltre alla mia presentazione, quelle di Valentina Frediani e Federico Lucia.

Nuove versioni degli standard per i cambiamenti climatici - Un mio approfondimento

In post precedenti avevo segnalato gli Amendment agli standard ISO sui sistemi di gestione per introdurre la questione relativa ai cambiamenti climatici. Avevo espresso perplessità, non tanto sul tema in sé (che mi trova assolutamente attento e preoccupato), ma sulle modalità.

Il punto è la pertinenza: per molti standard, per esempio la ISO/IEC 27001, la questione relativa ai cambiamenti climatici non è pertinente. Per questo, a mio parere, andava evitata e cerco di approfondire con tre argomentazioni.

La prima riguarda l'atomicità e il fatto che uno standard dovrebbe affrontare una questione e non tante. Questo è noto a chiunque si occupa di risolvere problemi e sa che vanno ridotti in problemi specifici per poter essere risolti, se no si crea confusione. Gli standard relativi ai sistemi di gestione nascono non per essere totali, ma, giustamente, per affrontare una specifica questione (la qualità, l'ambiente, la sicurezza delle informazioni, la corruzione, la gestione dei servizi, la privacy, eccetera). Questo amendment, invece, va contro questo principio.

La seconda riguarda le competenze: io conosco la sicurezza delle informazioni, non le tecniche di controllo del clima. Per questo motivo, non posso occuparmene neanche come auditor. Già è difficile trovare consulenti e auditor preparati su disciplina, settore e tipo di organizzazione, figuriamoci trovarne adeguatamente preparati e con le giuste modalità di relazione su altri argomenti. Purtroppo gli esempi sono tanti (e abbiamo visto i danni fatti da consulenti e auditor che hanno voluto discutere di direzione generale di un'impresa, di direzione strategica, di controllo nelle PMI).

La terza è che, dopo questo amendment, anche altri dovrebbero essere considerati, tra cui: la parità di genere, la responsabilità sociale, la parità di opportunità a prescindere dalle origini, la sostenibilità economica.

Aggiungo che, proprio per questi motivi, gli auditor sono invitati a non ampliare il proprio mandato oltre alla disciplina per cui sono chiamati a operare. Faccio un esempio: se, in un audit del sistema di gestione per la sicurezza delle informazioni, dovessi rilevare che l'organizzazione non separa i rifiuti, non dovrei segnalare alcuna non conformità.

Concludo dicendo che su questo argomento, nell'ambito delle materie che seguo, come consulente e auditor, mi limiterò a raccogliere le indicazioni delle organizzazioni per le quali lavoro e a indicare loro, informalmente, esperienze viste in altre organizzazioni.

Nuove versioni degli standard per i cambiamenti climatici - Due articoli

Avevo scritto brevemente degli Amendment degli standard ISO relativi ai sistemi di gestione (ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301, eccetera) che richiedono di considerare i cambiamenti climatici. Avevo già espresso le mie preplessità (https://blog.cesaregallotti.it/2024/03/nuove-versioni-degli-standard-per-i.html).

Sono usciti due articoli molto approfonditi su questo tema. Il primo, di Nicola Nuti e Monica Perego, ha titolo “Ambiente, il nuovo Annex SL sui sistemi di gestione ISO: cosa devono fare le aziende”: https://www.agendadigitale.eu/smart-city/climate-change-liso-aggiorna-le-norme-sui-sistemi-di-gestione-cosa-devono-fare-le-aziende/.

Il secondo, di Davide Foresti e Monica Perego, ha titolo “ISO/IEC 27001, nuovi requisiti sul climate change: cosa implicano per la sicurezza delle informazioni”: https://www.cybersecurity360.it/soluzioni-aziendali/iso-iec-27001-nuovi-requisiti-sul-climate-change-cosa-implicano-per-la-sicurezza-delle-informazioni/.

Penso che si debba stare attenti alla pertinenza dei cambiamenti climatici su alcuni sistemi di gestione. Mi spiego: usare data center attenti al risparmio energetico è cosa ecomiabile, ma la scelta non è pertinete alla sicurezza delle informazioni. Quindi, promuoviamo l’attenzione a questi temi, ma stiamo attenti a non farli diventare indigesti o un altro adempimento formale e non pratico.