martedì 21 maggio 2024

Pubblicazione ICO "Learning from the mistakes of others - A retrospective review"

Dalla newsletter di Project:IN Avvocati, segnalo che ICO ha pubblicato "Learning from the mistakes of others – A retrospective review": https://cy.ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/learning-from-the-mistakes-of-others-a-retrospective-review/.

Copio dalla newsletter: "Il report, in particolare, si concentra sulle cause più frequenti di violazioni della sicurezza informatica, quali (i) il phishing, (ii) attacchi informatici, (iii) errori umani ed errori nel servizio e (iv) attacchi alla catena di fornitura del servizio".

Insomma: nulla di troppo nuovo, ma:

- mette l'accento non solo sugli attacchi (che fanno notizia), ma anche sugli errori (che non fanno notizia, ma sono comunque importanti);

- il titolo è accattivante e dimostra un approccio condivisibile (non ipotesi teoriche, ma casi pratici) per coinvolgere meglio il lettore.

giovedì 16 maggio 2024

Articolo su come scegliere i controlli di sicurezza

Segnalo questo mio articolo dal titolo "Valutare il rischio cyber, la scelta dei controlli di sicurezza e le check list": https://www.agendadigitale.eu/sicurezza/valutare-il-rischio-cyber-la-scelta-dei-controlli-di-sicurezza-e-le-check-list/.

Mi soffermo sulla necessità di non scegliere le misure di sicurezza solo perché sono indicate da liste più o meno autorevoli, ma anche sulla base di una valutazione del rischio.

Gli uomini possono fare tutto (maggio 2024)

In realtà gli uomini NON possono fare tutto. Però possono mantenere i rapporti con gli altri genitori delle classi dei propri figli.

Così per le gite scolastiche dei figli, fissate quando io e mia moglie avevamo già preso impegni non spostabili, ho avuto l'aiuto di altri genitori per portare i figli in stazione.

Ovviamente non abbiamo potuto evitare di svegliarci presto per preparare zainetto, merenda e pranzo al sacco e portarli dai genitori accompagnatori (colgo l'occasione per ringraziarli).

domenica 12 maggio 2024

Rapporto semestrale UFCS

Adesso l'ente che si occupa di sicurezza informatica o cibersicurezza in Svizzera si chiama NCSC (Ufficio federale della cibersicurezza). Io continuo a ricordami "Melani".

Comunque continuano a produrre ottimi rapporti semestrali con sintesi delle minacce e degli attacchi dell'ultimo semestre (in questo caso il secondo del 2023) e con raccomandazioni per proteggersi.

L'ultimo rapporto semestrale è pubblicato all'indirizzo: https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2023-2.html.

venerdì 3 maggio 2024

UNI CEI EN 17740:2024 sui profili professionali privacy

Segnalo che è stata pubblicata la  UNI CEI EN 17740:2024 "Requisiti per i profili professionali relativi al trattamento e protezione dei dati personali": https://store.uni.com/uni-cei-en-17740-2024.

Questa norma sostituisce la UNI 11697:2017 e ne è molto simile.

Questa è la traduzione italiana della  EN 17740:2023 "Requirements for professional profiles related to personal data processing and protection": https://store.uni.com/en-17740-2023.

martedì 23 aprile 2024

European Accessibility Act: D. Lgs. 82 del 2022

Claudio Nasti di Chantecler mi ha segnalato che è stato approvato, ormai diverso tempo fa, il D. Lgs. 82 del 2022, di recepimento del European Accessibility Act (Direttiva europea 882 del 2019), con requisiti di accessibilità dei prodotti e dei servizi.

Questo D. Lgs. estende quanto previsto dalla Legge Stanca (L. 4 del 2004) a diversi prodotti e servizi. Tali prodotti e servizi devono quindi assicurare l'accessibilità a persone con disabilità.

Il link al D. Lgs. 82 del 2022 da Normattiva: https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2022-05-27;82!vig=2024-04-23.

Un articolo che mi sembra utile per iniziare a capire: https://scuderimottaeavvocati.it/accessibility-act-verso-uneuropa-piu-inclusiva/.

La pagina AgID sull'accessibilità: https://www.agid.gov.it/it/design-servizi/accessibilita.

Un punto importante, a mio avviso, riguarda i siti di e-commerce. Infatti anche questi devono rispettare la normativa dal 28 giugno 2025. Però, se ho capito correttamente, per i siti già attivi, l'adeguamento va assicurato dal 28 giugno 2030.

Vanno comunque analizzati i servizi e prodotti che devono rispettare la normativa.

domenica 21 aprile 2024

Posizione EDPB su "paga o consenti alla profilazione per pubblicità"

Chiara Ponti, Idraulica della privacy, ha segnalato a noialtri idraulici la "Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms" dell'EDPB: https://www.edpb.europa.eu/news/news/2024/edpb-consent-or-pay-models-should-offer-real-choice_en.

Ho rimandato al comunicato stampa del 17 aprile 2024.

Alcuni punti a mio parere salienti:

- si riferisce alla "grandi" piattaforme online, quindi sicuramente a Facebook e forse non al Corriere della sera;

- infatti fa riferimento a servizi con ruolo "promimente" o è decisivo per la partecipazione a una vita sociale o alle reti professionali;

- richiede di proporre una terza alternativa, oltre al "paga o dai il consenso", per esempio con pubblicità senza profilazione.

Io dico che, da quando Meta ha attivato il "consent or pay", non accedo più a Facebook (già lo facevo pochissimo da qualche anno) e Instagram. Nelle brevi attese, al posto di guardare anteprime su Netflix e Disney+, tecniche di judo, i disegni del mio amico Dulio, ricette di dolci e passeggiate vicino a Milano, leggo il giornale online e quello in genere, purtroppo, mi mette di malumore. Ecco l'unico punto negativo dell'aver rinunciato a questi social network.

lunedì 15 aprile 2024

Gli uomini possono fare tutto (apr 2024)

Per una festa, mi hanno chiesto di portare una torta. La faccio e la porto insieme ad altre 2 torte fatte da mia mamma. A riceverle ci sono 3 donne. Fioccano complimenti alle donne di famiglia e devo far notare che una torta è stata fatta da un uomo. Si scusano.

Poi segnalo che una torta è senza glutine e senza lattosio e ho portato anche la lista degli ingredienti. Fioccano i complimenti a mia mamma, anche se si trattava proprio della torta fatta da me.

Non voglio vantarmi (anche se seguo una ricetta veramente buona per le crostate), ma riflettere sul fatto che 3 donne, in automatico, avevano pensato che le torte fossero state fatte da donne, anche se fisicamente le aveva portate un uomo.

Mi chiedo quindi che percezione hanno alcune donne su chi fa le torte per beneficenza: è un'idea positiva (anche se non favorevole agli uomini che forse fanno torte e forse fanno beneficenza, ma non torte per beneficenza) o negativa.

Stato delle norme ISO/IEC 270xx

Tra fine marzo e metà aprile si sono tenuti i meeting semestrali del WG 1 e del WG 5 del ISO/IEC JTC 1 SC 27, ossia dei gruppi che si occupano degli standard ISO/IEC legati ai sistemi di gestione per la sicurezza delle informazioni (ISO/IEC 27001 e linee guida) e alla privacy (ISO/IEC 27701 e altre).

Per quanto riguarda il WG 1, sono stati discussi gli standard ISO/IEC 27003 (guida per i sistemi di gestione per la sicurezza delle informazioni) e ISO/IEC 27017 (controlli per i servizi cloud). Non saranno pubblicati a breve.

Si è fatto anche il punto sugli standard oggetto di discussione nel corso del semestre. Inoltre sono partiti i lavori per l'aggiornamento della ISO/IEC 27004 (guida per la misurazione).

Partirà anche un gruppo per verificare se è opportuno avviare azioni relative ai cambiamenti climatici, che sono entrati nella ISO/IEC 27001 (anticipo che l'idea di partenza sembra essere un "nessuna azione", ma tutto potrà cambiare, ovviamente).

Per quanto riguarda il WG 5, io ho partecipato alle attività relative alla nuova versione delle ISO/IEC 27701 (sistemi di gestione per la privacy), ISO/IEC 27018 (controlli privacy per il cloud), ISO/IEC 27006-2 (per gli organismi che certificano rispetto alla ISO/IEC 27706 e che forse sarà rinumerata ISO/IEC 27706), ISO/IEC 29151 (con l'estensione alla privacy dei controlli ISO/IEC 27002).

Si prevede l'uscita delle norme in discussione tra fine 2024 e inizio 2025.

Sanzione del Garante per l'attacco ai sistemi informatici della Regione Lazio

Il Garante ha emesso 3 Provvedimenti al termine dell'analisi dell'attacco ai sistemi informatici della Regione Lazio del 31 luglio 2021: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10002052.

Se ho capito bene: gli attaccanti hanno individuato i server accessibili dalla VPN di Regione Lazio, ne hanno trovato uno con software obsoleti (anche perché erano installate applicazioni non compatibili con gli aggiornamenti) e l'hanno attaccato. Nello stesso tempo, per il cambio del fornitore, i sistemi non erano monitorati da un SIEM. Inoltre è segnalata una segregazione interna delle reti (tra quella utenti e quella server) che richiedeva un miglioramento.

Da osservare che le password di amministrazione erano lunghe 20 caratteri e cambiate almeno ogni 30 giorni. Qui mi pare che si possa ricordare l'importanza, oggi, di adottare sistemi di autenticazione e più fattori (MFA).

Interessante il richiamo alle certificazioni che, ovviamente, non assicurano un livello di sicurezza predefinito.

Ecco quindi che se ne possono trarre utili lezioni relative all'importanza delle misure richiamate: aggiornare i sistemi esposti, implementare sistemi di monitoraggio della sicurezza, segregare le reti, attivare la MFA.

Disaccordo sulla decisione della CNIL a favore di Microsoft

Su LinkedIn ho letto questo post dal titolo "I fornitori francesi attaccano la decisione della CNIL a favore di Microsoft": https://www.linkedin.com/feed/update/urn:li:activity:7175902181697404929/.

Ovviamente la lamentela è supportata da chi ha perso la gara contro Microsoft, però mi sembra comunque una notizia interessante: si lamentano perché l'autorità garante non è stata abbastanza rigida. Cosa che si vede raramente, almeno in pubblico.

Rischi dell'IA comparati ai social media

Bruce Schneier ha sviluppato una comparazione tra l'evoluzione dei rischi dell'intelligenza artificiale comparata a quanto abbiamo visto per i social media: https://www.schneier.com/blog/archives/2024/03/ai-and-the-evolution-of-social-media.html.

I rischi sono quelli legati all'uso della pubblicità, alla sorveglianza, alla viralità (ossia alla disinformazione), al lock-in e alla monopolizzazione (ossia alla crescita di poche mega società). Li abbiamo visti per i social media e rischiamo di vederli anche per gli strumenti di intelligenza artificiale.

venerdì 12 aprile 2024

Il caso XZ Utils

A fine marzo è stata scoperta una vulnerabilità grave alla libreria XY Utils.

Su questo caso e le lezioni da ricordare, segnalo l'articolo dal titolo (un po' troppo drammatico, a mio avviso) "Le due facce dell’Open Source: come abbiamo rischiato l’apocalisse IT": https://www.zerounoweb.it/editoriali/le-due-facce-dellopen-source-come-abbiamo-rischiato-lapocalisse-it/.

Mi sembra che, in sintesi, dica tutto quanto necessario per chi non richiede approfondimenti tecnici.

giovedì 4 aprile 2024

Slide Security Summit Milano 2024

Sono disponibili le slide del Security Summit, tenutosi a Milano il 19-21 marzo: https://securitysummit.it/milano-2024#agenda.

Io e Fabio Guasconi abbiamo tenuto un intervento al Security Summit dal titolo "Novità e prospettive dal mondo della normazione": https://securitysummit.it/milano-2024/novita-e-prospettive-dal-mondo-della-normazione.

Rapporto Clusit 2024

Con il Security Summit di Milano, è stato pubblicato il Rapporto Clusit 2024 sulla sicurezza informatica: https://clusit.it/rapporto-clusit/.

Come è noto, non mi convincono molto le cifre (in questo caso, l'aumento del 12% degli attacchi) perché ci dicono sempre la stessa cosa: Internet è insicura e la sicurezza dei sistemi informatici, di qualsiasi tipo, è sempre a rischio. Cosa che sappiamo già da parecchi anni. E poi penso che sia troppo incentrata sugli attacchi volontari, quando sappiamo che molti incidenti sono dovuti a errori e non vanno quindi sottovalutati.

Però ho trovato molto interessanti gli interventi di Fastweb e  della Polizia postale e delle Comunicazioni perché trattano di alcuni attacchi che è bene tenere presente.

Detto questo, il lavoro fatto è molto bello e interessante e ne raccomando la lettura.

mercoledì 3 aprile 2024

Pagina CISA per risorse di sicurezza informatica per le "High-Risk Communities"

Il CISA (Cybersecurity & infrastructure security agency degli USA) ha pubblicato una pagina "High-Risk Communities", con risorse gratuite o a basso costo: https://www.cisa.gov/audiences/high-risk-communities.

Mi sembrano risorse soprattutto procedurali, in particolare per la formazione (Project Upskill: Cybersecurity Training). Io ho  trovato interessanti soprattutto la sezione "JCDC Cyber Incident Exercise Discussion", con esercitazioni relative alla gestione degli incidenti.

Infatti, penso che molti standard e best practice chiedono di condurre esercitazioni relative alla gestione degli incidenti (oltre a quelle relative agli incidenti di continuità), però abbiamo pochi esempi autorevoli. Questi 3 scenari mi sembrano utili come punto di partenza.

mercoledì 27 marzo 2024

Webinar (concluso) "Direttiva NIS2: la scadenza si avvicina."

Il 26 marzo ho partecipato al Webinar "Direttiva NIS2: la scadenza si avvicina…": https://www.csipiemonte.it/it/webinar_direttivaNIS2.

Il webinar è stato organizzato dal CSI Piemonte, che ringrazio molto.

Nella pagina trovate, oltre alla mia presentazione, quelle di Valentina Frediani e Federico Lucia.

martedì 26 marzo 2024

Nuove versioni degli standard per i cambiamenti climatici - Un mio approfondimento

In post precedenti avevo segnalato gli Amendment agli standard ISO sui sistemi di gestione per introdurre la questione relativa ai cambiamenti climatici. Avevo espresso perplessità, non tanto sul tema in sé (che mi trova assolutamente attento e preoccupato), ma sulle modalità.

Il punto è la pertinenza: per molti standard, per esempio la ISO/IEC 27001, la questione relativa ai cambiamenti climatici non è pertinente. Per questo, a mio parere, andava evitata e cerco di approfondire con tre argomentazioni.

La prima riguarda l'atomicità e il fatto che uno standard dovrebbe affrontare una questione e non tante. Questo è noto a chiunque si occupa di risolvere problemi e sa che vanno ridotti in problemi specifici per poter essere risolti, se no si crea confusione. Gli standard relativi ai sistemi di gestione nascono non per essere totali, ma, giustamente, per affrontare una specifica questione (la qualità, l'ambiente, la sicurezza delle informazioni, la corruzione, la gestione dei servizi, la privacy, eccetera). Questo amendment, invece, va contro questo principio.

La seconda riguarda le competenze: io conosco la sicurezza delle informazioni, non le tecniche di controllo del clima. Per questo motivo, non posso occuparmene neanche come auditor. Già è difficile trovare consulenti e auditor preparati su disciplina, settore e tipo di organizzazione, figuriamoci trovarne adeguatamente preparati e con le giuste modalità di relazione su altri argomenti. Purtroppo gli esempi sono tanti (e abbiamo visto i danni fatti da consulenti e auditor che hanno voluto discutere di direzione generale di un'impresa, di direzione strategica, di controllo nelle PMI).

La terza è che, dopo questo amendment, anche altri dovrebbero essere considerati, tra cui: la parità di genere, la responsabilità sociale, la parità di opportunità a prescindere dalle origini, la sostenibilità economica.

Aggiungo che, proprio per questi motivi, gli auditor sono invitati a non ampliare il proprio mandato oltre alla disciplina per cui sono chiamati a operare. Faccio un esempio: se, in un audit del sistema di gestione per la sicurezza delle informazioni, dovessi rilevare che l'organizzazione non separa i rifiuti, non dovrei segnalare alcuna non conformità.

Concludo dicendo che su questo argomento, nell'ambito delle materie che seguo, come consulente e auditor, mi limiterò a raccogliere le indicazioni delle organizzazioni per le quali lavoro e a indicare loro, informalmente, esperienze viste in altre organizzazioni.

sabato 23 marzo 2024

Nuove versioni degli standard per i cambiamenti climatici - Due articoli

Avevo scritto brevemente degli Amendment degli standard ISO relativi ai sistemi di gestione (ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301, eccetera) che richiedono di considerare i cambiamenti climatici. Avevo già espresso le mie preplessità (https://blog.cesaregallotti.it/2024/03/nuove-versioni-degli-standard-per-i.html).

Sono usciti due articoli molto approfonditi su questo tema. Il primo, di Nicola Nuti e Monica Perego, ha titolo “Ambiente, il nuovo Annex SL sui sistemi di gestione ISO: cosa devono fare le aziende”: https://www.agendadigitale.eu/smart-city/climate-change-liso-aggiorna-le-norme-sui-sistemi-di-gestione-cosa-devono-fare-le-aziende/.

Il secondo, di Davide Foresti e Monica Perego, ha titolo “ISO/IEC 27001, nuovi requisiti sul climate change: cosa implicano per la sicurezza delle informazioni”: https://www.cybersecurity360.it/soluzioni-aziendali/iso-iec-27001-nuovi-requisiti-sul-climate-change-cosa-implicano-per-la-sicurezza-delle-informazioni/.

Penso che si debba stare attenti alla pertinenza dei cambiamenti climatici su alcuni sistemi di gestione. Mi spiego: usare data center attenti al risparmio energetico è cosa ecomiabile, ma la scelta non è pertinete alla sicurezza delle informazioni. Quindi, promuoviamo l’attenzione a questi temi, ma stiamo attenti a non farli diventare indigesti o un altro adempimento formale e non pratico.

Patch di Windows Server può causare problemi

Dal SANS Newsbytes, segnalo un articolo dal titolo "Microsoft confirms Windows Server issue behind domain controller crashes ": https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-windows-server-issue-behind-domain-controller-crashes.

Quindi, in breve, una patch per Windows server 2022, 2019, 2016 e 2012 R2 può causare interruzioni.

Così ricordiamo due lezioni:

1- il tempo di installazione delle patch va bilanciato con la possibilità che queste possano introdurre problemi;

2- andrebbero fatti test prima di installare le patch in ambiente di produzione.

giovedì 21 marzo 2024

Note sulla NIS 2 (errata corrige)

Avevo scritto dei miei appunti sulla NIS 2. Si trovano sul mio blog (https://blog.cesaregallotti.it/2024/03/note-sulla-nis2.html) e sul mio sito in italiano (https://www.cesaregallotti.it/Pubblicazioni.html) e inglese (https://www.cesaregallotti.it/English_essays.html).

Giancarlo Caroti di Neumus mi ha segnalato che avevo scritto che la NIS 2 non è applicabile alle piccole-medie imprese, visto che comincia ad essere applicabile alle aziende con più di 50 addetti. Sbagliavo, perché la Raccomandazione 2003/361/CE della Commissione europea definisce come medie le imprese che hanno tra i 50 e i 250 addetti.

Quindi ho corretto, spero senza aggiungere altri errori.

Ringrazio Giancarlo, anche se mi ha fatto lavorare.

Gli uomini possono fare tutto (marzo 2024)

Iniziai questa rubrica esattamente un anno fa e mi sembrò di aver individuato un punto di vista originale sulla discriminazione di genere.

Ma ecco cosa scriveva Bianca Pitzorno nel 1979 in "Extraterrestre alla pari": "Saremo veramente liberi, noi terrestri, non tanto quando le donne diventeranno minatori o guidatori di locomotive, ma quando gli uomini si stireranno le camicie, ricameranno, cucineranno e accudiranno con piacere ai propri bambini".

mercoledì 20 marzo 2024

Telemarketing, Garante privacy: al via il Codice di condotta.

Il Garante privacy approva il Codice di condotta relativo alle attività di telemarketing: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9993833.

Iniziativa a mio parere importantissima e lodevolissima. Purtroppo non fermerà i pirati del telemarketing, ma sarà un valido punto di riferimento per chi vuole lavorare correttamente.

Ristoranti McDonald's chiusi per problemi IT

Articolo "McDonald's: Global outage was caused by configuration change": https://www.bleepingcomputer.com/news/technology/mcdonalds-global-outage-was-caused-by-configuration-change.

Due cose il titolo non dice:

- l'errore è dovuto a un errore di un fornitore (non a un attacco);

- l'incidente ha fatto chiudere alcuni ristoranti per tutta la giornata.

Così ripassiamo le lezioni (sempre utile):

- la sicurezza (ciber- e delle informazioni) non riguarda solo gli attacchi volontari da parte di malintenzionati, ma anche gli errori e i guasti;

- la sicurezza delle informazioni è parte integrante dell'affidabilità e della qualità dei servizi;

- i fornitori sono vettori di attacco (volontario o involontario) e quindi vanno controllati.

Rivista digitale Digeat e articolo sulle password a cui ho collaborato

Segnalo l'uscita della nuova rivista digitale Digeat. Il n.1 è online: https://webdev.digeat.it/

C'è anche un articolo scritto principalmente da Stefano Ramacciotti (io ho fatto poco più della correzione di bozze): "La modifica periodica delle password: come affrontare professionalmente un argomento tecnico": https://digeat.info/articolo-rivista/la-modifica-periodica-delle-password-come-affrontare-professionalmente-un-argomento-tecnico/. Lo raccomando.

domenica 17 marzo 2024

ENISA Telecom security incidents 2022

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione, il 14 marzo 2024, del rapporto ENISA "Telecom security incidents 2022": https://www.enisa.europa.eu/publications/telecom-security-incidents-2022.

Il totale di incidenti segnalato è basso: 155.

Interessante notare che solo il 6% è dovuto ad azioni malevole, il resto è dovuto a guasti (72%), errori umani (15%) e fenomeni naturali (6%).

Questo non vuol dire che si debbano ignorare gli attacchi intenzionali, ma che la sicurezza riguarda anche (e forse soprattutto) la prevenzione degli errori e il controllo di guasti ed eventi naturali, spesso sottovalutati forse perché non richiamano battaglie all'ultimo bit o situazioni da film d'avventura. Da non dimenticare comunque che ogni rete è oggetto di più scansioni ogni giorno (ma questo dato non si trova in questo rapporto di ENISA e, anzi, chiedo dove ritrovarlo perché il mio riferimento risale ai primi anni 2000).

 

 

eIDAS 2.0

eIDAS 2.0 non è stato ancora approvato in modo definitivo, ma si può pensare che il testo sia quello. Per questo Franco Vincenzo Ferrari mi ha segnalato un articolo di Giovanni Manca dal titolo "eIDAS 2.0: tutte le novità": https://www.forumpa.it/pa-digitale/eidas-2-0-tutte-le-novita/.

Ringrazio e ne raccomando la lettura.

Approvato l'AI Act europeo

Negli ultimi mesi sono girate tante notizie sull'AI Act,, però prima che fosse approvato.

Il 13 marzo è stato approvato dal Parlamento Europeo. Io non ne parlo direttamente e preferisco indirizzare a Guerre di rete: https://guerredirete.substack.com/p/guerre-di-rete-ai-act-infine.

Ovviamente ci sono tantissimi altri articoli che ne parlano. Io per ora mi fermo qui.

venerdì 15 marzo 2024

Repository VERA su GitHub

Tanti mi segnalano variazioni a VERA o mi raccomandano aggiunte e modifiche. Io cerco di mantenere il file nel modo più semplice possibile e ho deciso di pubblicarlo su GitHub: https://github.com/CesareGallotti/VERA.

In questo modo, mi sarà forse più facile caricare gli aggiornamenti e chiunque potrà creare un fork per presentare la propria variazione (o forse lo farò io stesso).

Ogni suggerimento sull'uso di GitHub sarà gradito. Se qualcuno vorrà proporre alternative, le prenderò in considerazione (almeno finché non ci saranno fork).

Per intanto, ho caricato il VERA 7.3 (l'ultima versione con qualche correzione) in italiano e inglese e il manuale in italiano e in inglese.

Note sulla NIS2

Miei appunti e riflessioni sulla NIS2. In molti mi hanno chiesto cosa ne so e cosa ne penso, quindi pubblico tutto quello che ne so e ne penso.

Si trova sul mio file "I miei appunti sulla NIS2" scaricabile da qui: https://www.cesaregallotti.it/Pubblicazioni.html.

Due parole sulla NIS 2

NIS 2 (Direttiva UE 2022/2055) entrata in vigore il 17 gennaio 2023. 

NIS2 dovrà essere recepita entro ottobre 2024.

  • Aumentano i soggetti.
  • Richiede un’analisi dei rischi.
  • Le misure dovrebbero essere adeguate al contesto, considerando quindi anche la capacità di spesa.

Soggetti a cui si applica la NIS2

L’applicabilità dipende dai settori e dalla dimensione (più di 50 addetti e giro d’affari superiore ai 10 milioni di Euro; escludendo quindi le piccole) dell’organizzazione. La NIS2 è applicabile quindi a: 

  • soggetti essenziali (essential entities);
  • soggetti importanti (important entities).

La differenza pratica riguarda i controlli e le sanzioni.

La NIS2 coinvolge più aziende rispetto al PNCS.

Con la NIS 2 le entità dovranno riconoscersi come soggetti che devono applicare la NIS 2, non è più l’autorità che le designa come tali. E’ previsto che le entità si registrino secondo regole che saranno fornite.

Sulla base delle registrazioni, entro il 17 aprile 2025, gli Stati membri creano un elenco dei soggetti essenziali e importanti e dei soggetti che forniscono servizi di registrazione dei nomi di dominio.

Lo schema seguente si trova sul sito https://ccb.belgium.be/en/nis-2-directive-what-does-it-mean-my-organization.

Rientreranno nel perimetro di applicazione anche i soggetti definiti “critici” dalla Direttiva (UE) 2022/2557, meglio nota come Direttiva CER.

Ulteriori soggetti potrebbero essere aggiunti dalla normativa nazionale.

Valutazione del rischio

NIS2 è multirischio: logico, fisico, governo, lock in tecnologico, utilities. E considera l’impatto “sociale ed economico” e richiede un “livello appropriato” di sicurezza.

Il Belgio mette a disposizione un approccio piuttosto semplice (ma non capisco bene come funziona): https://ccb.belgium.be/en/choosing-right-cyber-fundamentals-assurance-level-your-organisation.

Interessante la tabella degli impatti, perché forse potrebbe essere riutilizzata per identificare gli incidenti significativi (vedere sotto).

Gli Orientamenti della Commissione del 13.9.2023 indicano di considerare le seguenti minacce, sempre in una logica di multirischio:

  • sabotaggi,
  • furti,
  • incendi,
  • inondazioni,
  • problemi di telecomunicazione,
  • problemi di interruzioni di corrente,
  • qualsiasi accesso fisico non autorizzato in grado di compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informativi e di rete o accessibili attraverso di essi,
  • guasti del sistema,
  • errori umani,
  • azioni malevole, fenomeni naturali.

Commento

L’auspicio è che, se saranno date indicazioni su come condurre una valutazione del rischio, non venga riproposto il modello formale, ma non utile, basato su asset, minacce e vulnerabilità, ma invece un modello, come poi si vede negli Orientamenti, basato sugli eventi, per cui non è utile avere un dettaglio di tutti gli asset a questo scopo (è invece necessario per attività operative).

Misure di sicurezza

La Direttiva identifica (articolo 21 paragrafo 2) le misure di gestione del rischio, ossia:

  1. Politiche di analisi dei rischi e della sicurezza dei sistemi informatici
  2. Sistemi di gestione degli incidenti
  3. Soluzioni di business continuity capaci di garantire la continuità operativa e la gestione della crisi, dai backup al disaster recovery
  4. Misure di sicurezza dell’intera supply chain, a comprendere perciò i rapporti tra ogni soggetto e i suoi fornitori
  5. Sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi e delle reti informatiche, compresa la gestione e la divulgazione delle vulnerabilità
  6. Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity
  7. Pratiche di igiene informatica basilari e formazione in materia di sicurezza informatica
  8. Procedure relativa all’uso della crittografia e, se necessario, della cifratura
  9. Misure per la sicurezza delle risorse umane grazie a strategie e politiche di controllo degli accessi (log management) e gestione degli asset
  10. Uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti all’interno dell’entità, ove opportuno.
Perri dice che c’è un indice sulla valutazione delle competenze, ma io non l’ho trovato (o forse ho capito male); forse nelle interpretazioni.

Entro il 17 ottobre 2024, la Commissione adotta atti di esecuzione che stabiliscono i requisiti tecnici e metodologici delle misure di cui sopra per quanto riguarda i fornitori di:

  • servizi DNS,
  • registri dei nomi di dominio di primo livello (TLD),
  • servizi di cloud computing,
  • servizi di data center,
  • reti di distribuzione dei contenuti,
  • servizi gestiti,
  • servizi di sicurezza gestiti,
  • mercati online,
  • motori di ricerca online,
  • piattaforme di servizi di social network,
  • prestatori di servizi fiduciari.
Alcuni prevedono che siano quindi da applicare:
  • requisiti specifici settoriali stabiliti dalla Commissione (o, in alternativa, requisiti raccomandati da ENISA o dalle autorità nazionali);
  • requisiti di base comuni (o, in alternativa, certificazione ISO/IEC 27001).

Il Belgio (come l’Italia) propone elenchi di misure basati sul NIST CSF: https://ccb.belgium.be/en/cyberfundamentals-framework.

Allo stato attuale (13 marzo 2024) non sono state stabilite le misure da adottare. In Italia sappiamo che adesso, per i soggetti sotto NIS, sono richieste quelle del Framework Nazionale per la Cybersecurity e la Data Protection (https://www.cybersecurityframework.it/framework2) e così in altri Paesi. Forse con la NIS 2 seguiranno altri schemi.

Attenzione che le misure stabilite dagli Stati membri e di cui all’articolo 21 paragrafo 1 della NIS2 vanno applicate a tutte le attività operative operazioni e a tutti i servizi del soggetto interessato, non solo a risorse informatiche specifiche o a servizi critici forniti dal soggetto. Mia interpretazione: per evitare che un soggetto con servizi “sicuri” e “non sicuri” possa essere violato sfruttando le carenze dei servizi “non sicuri” per poi, con movimenti laterali, compromettere anche quelli “sicuri”.

Commento

Personalmente spero sia adottata la ISO/IEC 27001. Potrebbero anche lasciare più scelte ai soggetti. Infatti delegati italiani potrebbero partecipare agli aggiornamenti e alle estensioni della ISO/IEC 27001, e non subire passivamente gli aggiornamenti del NIST.

In tutti i casi, raccomando di cominciare a implementare la ISO/IEC 27001, su cui, eventualmente, innestare le richieste specifiche che saranno fatte. Un’implementazione ISO/IEC 27001 può essere facilmente convertibile per NIST CSF o altri.

Gestione incidenti

Come già previsto dalla Direttiva NIS 1, anche NIS 2 prevede l’obbligo di notifica al CSIRT e alle autorità competenti (oltre che ai destinatari stessi del servizio) degli incidenti significativi (incidenti informatici capaci di impattare in modo significativo sulla fornitura del servizio).

Le comunicazioni al CSIRT dovranno avvenire:

  • Entro 24 ore dalla conoscenza dell’incidente con una notifica di preallarme (questo per attenuare la potenziale diffusione di incidenti e per consentire di chiedere assistenza);
    • deve riportare i dati strettamente necessari se l'incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o se potrebbe avere (ossia se è probabile che abbia) un impatto transfrontaliero;
    • deve contenere una valutazione iniziale dell'incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione.
  • Entro 72 ore dalla conoscenza dell’incidente con aggiornamenti rispetto alle informazioni fornite con il preallarme
  • Entro 1 mese dalla conoscenza dell’incidente con una relazione finale a completamento del processo di segnalazione (questo per poter trarre insegnamenti preziosi dai singoli incidenti);
    • la relazione deve essere comprensiva della sua gravità e del suo impatto, il tipo di minaccia o la causa di fondo che ha probabilmente innescato l'incidente, le misure di mitigazione adottate e in corso e, se opportuno, l'impatto transfrontaliero dell'incidente.

Alcuni soggetti sono soggetti a più normative e quindi a diverse modalità di notificazione degli incidenti. In alcuni casi, il recepimento può essere complesso.

Obbligatorietà:

  • Articolo 23, stabilisce quando è obbligatorio notificare;
  • Articolo 30, indica quando la notifica è volontaria (altri incidenti, minacce, quasi incidenti, anche da parte degli altri soggetti).
Nella NIS2 c’è la definizione di “incidente significativo” nell’articolo 23, paragrafo 3: se ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato o se si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Vanno quindi definiti meglio e forse la tabella degli impatti usata per valutare il rischio.

Definiti anche i «quasi incidenti». Un evento che avrebbe potuto compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi, ma che è stato efficacemente evitato o non si è verificato.

La NIS2 istituisce la rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe).

Altri argomenti

La NIS2 prevede ulteriori argomenti:

  • Cooperazione tra Stati membri
  • Sanzioni
  • Punti di contatto nazionali
  • Ruolo dell'ENISA

Questi però non rientrano nelle mie competenze e non li ho approfonditi.

Bibliografia

Sito web del Center for cyber security Belgium: https://ccb.belgium.be/en/choosing-right-cyber-fundamentals-assurance-level-your-organisation. Grazie ad Alessandro Cosenza per la segnalazione.

Presentazione “Directive (EU) 2022/2555 of 14 December 2022 on measures for a high common level of cybersecurity across the Union (“NIS2 directive”)”.

Sito web della UE: https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new. Però non fornisce indicazioni che io ritengo utili.

Criteri interpretativi sulla NIS2 della Commissione: https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-4-1-and-2-directive-eu-20222555-nis-2-directive. Grazie a Pierluigi Perri.

Raccomandazione della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (2003/361/CE). Grazie a Giancarlo Caroti.

lunedì 11 marzo 2024

Nuova ISO/IEC 29100

Pubblicata la ISO/IEC 29100:2024 "Information technology - Security techniques - Privacy framework": https://www.iso.org/standard/85938.html.

Le novità principali non sono paticolarmente significative (aggiornati i riferimenti normativi e la bibliografia, cambiato "secondary use” con “secondary purpose”).

Va detto che la ISO/IEC 29100 fissa la terminologia relativa alla privacy nell'ambito delle norme ISO/IEC, in alcuni casi significativamente diversa da quella del GDPR (per esempio usa "PII principal" al posto di "data subject", ossia "interessato").

Forse l'acquisto di 129 CHF non vale lo sforzo, visto che le definizioni sono comunque disponibili sul ISO Online Browsing Platform (OBP): https://www.iso.org/obp/ui.

Grazie a Monica Perego (Idraulica della privacy) per la segnalazione.

 

Accreditamento EA per Europrivacy

Grazie agli Idraulici della privacy, vengo a sapere che EA ha approvato i criteri di Europrivacy per le certificazioni secondo l'articolo 43 del GDPR: https://www.linkedin.com/posts/europrivacy_gdpr-europrivacy-datacontrollers-activity-7172870504884682752-w5x-.

Secondo l'articolo, EA ha esteso quanto già fatto da Accredia. Quindi gli altri organismi di accreditamento potranno riutilizzare il lavoro già fatto.

Sanzione privacy per incompleta informativa

Dalla newsletter del Garante privacy, segnalo il Provvedimento dell'8 febbraio 2024 [9991183]: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9991183.

La cosa che mi ha fatto pensare è che la sanzione è in parte dovuta alla mancata indicazione della base giuridica sull'informativa. Un dettaglio a cui, quindi e giustamente, prestare attenzione.

Sanzione privacy a Unicredit misure di sicurezza

Segnalo, dalla newsletter del Garante privacy, il Provvedimento dell'8 febbraio 2024: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9991020.

Le motivazioni per la sanzione, per una violazione avvenuta a ottobre 2018, sono:

- risposte HTTP del sito di home banking con in chiaro nome, cognome, codice fiscale e codice identificativo dei clienti ed ex clienti (peraltro nota a seguito di vulnerability assessment condotto proprio nei giorni in cui subiva l'attacco);

- mancato controllo della robustezza del PIN scelto dall'utente (evitando, per esempio, quelli composti da sequenze di numeri o coincidenti con la data di nascita).

E' stata condannata anche NTT Data perché aveva dato in subappalto il vulnerability assessment, nonostante il subappalto fosse proibito dal contratto con Unicredit.

C'è da meditare.

Auditing Practice Articles

Segnalo la pubblicazione dell'SC 27 Journal Volume 3, Issue 4 Oct 2023 – Auditing Practice Articles: https://committee.iso.org/sites/jtc1sc27/home/wg2.html.

Si tratta di un insieme di chiarimenti sulla ISO/IEC 27001 non ufficiali scritti dagli stessi esperti del gruppo che ha scritto la ISO/IEC 27001.

Vale la pena leggerli, anche perché troppo spesso opportunità di miglioramento (p.e. di integrazione del SOA o di irrobustimento dei controlli) sono interpretate da troppi auditor e consulenti e docenti come requisiti.

Su questo vale la pensa osservare come molte energie sono spese nella valutazione del rischio e poi nell’implementare i controlli “come nell’Annex A o nella ISO/IEC 27002” e questo sia in contraddizione: la valutazione del rischio deve guidare la scelta dei controlli e di come realizzarli, non il fatto che siano presenti nell’Annex A.

Non c’è solo questo negli articoli e invito a leggerli.

giovedì 7 marzo 2024

Miei webinar su NIS 2 e whistleblowing

Mi vanto un po' e segnalo questi due webinar che terrò prossimamente.

Nel primo, il 18 aprile alle 10.30, parlerò di NIS2: https://www.coretech.it/en/service/event/eventDetail.php?ID=1124.

Nel secondo, l'8 maggio alle 10.30, parlerò di whistleblowing: https://www.coretech.it/en/service/event/eventDetail.php?ID=1125.

Studio ENISA sulla Cyber Insurance

Riccardo Lora (Idraulico della privacy, che ringrazio), mi segnala lo studio ENISA "Cyber Insurance - Models and methods and the use of AI", pubblicato il 21 febbraio: https://www.enisa.europa.eu/publications/cyber-insurance-models-and-methods-and-the-use-of-ai.

Riccardo commenta: il doc è interessante perché evidenzia come è e sarà sempre più complesso per le compagnie trovare il modo di coprire il rischio cyber con gli strumenti adottati finora come il calcolo sullo storico dei sinistri.

Io segnalo quanto segue:

  • il titolo coinvolge l'IA evidentemente per moda, visto che non è un tema così significativo per lo studio;
  • conferma la carenza di dati per poter sviluppare ulteriormente le analisi statistiche;
  • afferma che le ciber-assicurazioni possono dare benefici soprattutto se affiancate da servizi di ciber-assistenza (ma, mi sembra, senza esplicitarli compiutamente).

lunedì 4 marzo 2024

Cybersecurity Certification Scheme europeo ora anche in Italia

Accredia ha pubblicato alcuni chiarimenti in merito al Cybersecurity Certification Scheme europeo recentemente approvato: https://www.accredia.it/2024/02/28/sistema-europeo-di-certificazione-della-cybersicurezza/.

In sostanza, le certificazioni Common criteria secondo il Cybersecurity Certification Scheme europeo dipenderanno da Accredia e ACN.

Ringrazio Franco Vincenzo Ferrari per avermi segnalato la pagina.

Pubblicata la nuova ISO/IEC 27006-1:2024

Pubblicata la nuova versione della ISO/IEC 27006-1 dal titolo " Information security, cybersecurity and privacy protection - Requirements for bodies providing audit and certification of information security management systems — Part 1: General": https://www.iso.org/standard/82908.html.

Questo è uno standard che usano gli organismi di certificazione per le attività di certificazione ISO/IEC 27001 e non fornisce indicazioni utili per le altre organizzazioni.

venerdì 1 marzo 2024

Sanzione privacy a ENEL Energia e misure di sicurezza

Il Garante ha sanzionato per 80 milioni di Euro Enel Energia per non aver protetto adeguatamente i dati di contatto dei propri clienti e, quindi, permettendo ad agenzie di marketing non autorizzate di usarli per contattare tali clienti per attività non autorizzate.

Il Provvedimento (documento 9988710) dell'8 febbraio 2024, segnalatomi da Monica Perego (Idraulica della privacy): https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9988710.

Mi interessano soprattutto le misure di sicurezza contestate:

  • Controllo accessi a 2 fattori, ma che non impedisce l'accesso contemporaneo dello stesso utente da due postazioni distinte e che quindi permette a più persone di usare le medesime credenziali. Questo non mi convince perché un operatore può trovare comodo aprire più istanze della stessa applicazione, come ho sperimentato anche personalmente. Questo però mi permette di capire meglio il perché di una vecchia misura minima del DPR 318 del 1999, che peraltro era già stata oggetto di molte contestazioni all'epoca e infatti non fu ripresa dalle misure minime del D. Lgs. 196 del 2003.
  • Mancata analisi dei log per intercettare tecniche di "sottobosco di marketing", peraltro note e identificabili con analisi dei quantitativi di contratti inseriti.
  • Mancata analisi dei log per identificare connessioni multiple e accessi da locazioni geografiche sospette. La giustificazione da parte di Enel Energia si basa sulla poca significatività di tali analisi, considerando l'uso di dispositivi portatili e del lavoro agile.
  • Accettazione di contratti inseriti da società non presenti nella rete vendita. Non trovo approfondimenti su questo aspetto nel Provvedimento. Io lo collegherei alla scorretta attivazione, alla mancata disattivazione o ai carenti riesami delle utenze delle società.
  • Mancato controllo dei responsabili e dei sub-responsabili.

Non mi interessa analizzare deduzioni e controdeduzioni presenti nel Provvedimento, ma solo prendere nota delle misure considerate necessarie e, per me, da considerare nelle mie attività.

Nuove versioni degli standard per i cambiamenti climatici

Molti avranno notato la pubblicazione di Amendment di numerosi standard ISO e ISO/IEC. In particolare della ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1.

Sono state aggiunte due frasi:

  • nell'ambito della comprensione del contesto (4.1), è richiesto di determinare se il cambiamento climatico è una questione pertinente;
  • nell'ambito della comprensione dei requisiti delle parti interessate (4.2), è stata inserita una nota per segnalare che le parti interessate possono avere requisiti relativi al cambiamento climatico.

Monica Perego (Idraulica della privacy) mi ha segnalato la pubblicazione IAF (l'ente che coordina a livello internazionale gli organismi di accreditamento che, a loro volta, controllano gli organismi di certificazione) dal titolo "IAF-ISO Joint Communiqué on the addition of Climate Change considerations to Management Systems Standards". Si trova tra i comunicati dell'IAF su questa pagina: https://iaf.nu/en/iaf-documents/?cat_id=1.

Parere personale: io prendo molto sul serio il cambiamento climatico e sono convinto si debbano fare molte cose anche urgentemente. Non credo però che questa iniziativa, che può creare anche confusione, porterà significativi miglioramenti. Inoltre ogni edizione degli standard non può essere emendate per più di due volte e questa iniziativa ne toglie una.

Avrei preferito una nota e aggiunte in tutte le nuove edizioni degli standard, mano a mano che escono.

Almeno gli Amendment sono gratuiti per tutti gli standard sul sito www.iso.org. Però bisogna registrarsi e dare il numero di carta di credito (mi sono fermato a questo punto).

giovedì 29 febbraio 2024

Pubblicato il nuovo NIST Cybersecurity framework (NIST CFS 2.0)

Avevo segnalato la bozza del NIST CSF 2.0: https://blog.cesaregallotti.it/2023/08/nist-cybersecurity-framework-20-in-bozza.html.

Davide Giribaldi di Swiss Cyber Com mi ha informato che ne è stata pubblicata la versione definitiva: https://www.nist.gov/cyberframework.

Mi riporta anche le caratteristiche:

  • Aggiunge il pilastro Governance a quelli già presenti;
  • Valido non più solo per le infrastrutture critiche;
  • Gestione rischio terze parti.

Mi chiede cosa ne penso. Ed ecco cosa ne penso, considerando che l'ho solo sfogliato:

  • non ho trovato un file xls (o cvs) come c'era per la precedente versione ed era molto comodo; anzi, è poco chiaro come navigare tra i requisiti;
  • i requisiti di sicurezza sono, alla fine, sempre quelli; la differenza tra uno schema e l'altro è la loro facilità d'uso; mi sembra sia diventato più complicato e più prolisso e questo non è un bene; per dare un giudizio completo dovrei contare il numero di controlli e quindi aspetto il formato xls;
  • alcuni requisiti sono evidentemente tarati per aziende che possono permettersi una struttura documentale significativa e il CSF non discute possibili alternative (o, meglio, non parte da un minimo che possa essere ampliato).

Davide segnala che a questo punto dovrà essere aggiornato il Framework Nazionale per la Cybersecurity e la Data Protection (https://www.cybersecurityframework.it/framework2).

Cosa ne penso? Che potrebbe essere l'occasione per ripartire dalla ISO/IEC 27001, standard internazionale a cui collabora anche l'Italia.

Multa ad Avast (fornitore di servizi di sicurezza) per vendita non autorizzata di dati personali

Altre notizie che richiamano sempre la mia attenzione sono quelle relative ai fornitori di sicurezza insicuri.

La notizia riguarda Avast e l'ho avuta dalla newsletter di Project:IN Avvocati: https://www.linkedin.com/comm/pulse/82024-quando-un-software-di-protezione-dal-tracking-jvbdf.

In pochissime parole, i prodotti Avast (antivirus e no-tracker) raccoglievano i dati degli utilizzatori e poi Avast li rivendeva. Dettagli in quantità nell'articolo "FTC Order Will Ban Avast from Selling Browsing Data for Advertising Purposes, Require It to Pay $16.5 Million Over Charges the Firm Sold Browsing Data After Claiming Its Products Would Block Online Tracking": https://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-ban-avast-selling-browsing-data-advertising-purposes-require-it-pay-165-million-over.

mercoledì 28 febbraio 2024

Interruzione della rete AT&T per errore di configurazione

Io sono sempre incuriosito dalle notizie su incidenti relativi alla sicurezza delle informazioni causati da errori. Si parla tanto di attacchi (e le notizie sono tantissime), ma la sicurezza comprende anche la prevenzione di errori o il controllo dei loro impatti ed è bene non dimenticarlo.

Questo comporta la necessità di avere processi di sviluppo e change che non solo considerino le funzionalità e le architetture di sicurezza, ma anche i controlli di qualità.

Ecco quindi un articolo con sottotitolo "AT&T blamed itself for incorrect process used as we were expanding our network.": https://arstechnica.com/tech-policy/2024/02/atts-botched-network-update-caused-yesterdays-major-wireless-outage/.

La rete di AT&T negli USA è rimasta bloccata per alcune ore il 22 febbraio 2024 a causa di un errore di configurazione.

giovedì 22 febbraio 2024

Non sapevano che era impossibile

Qualche tempo fa avevo letto la storia di George Dantzig, che risolse nel 1930 due problemi impossibili, non sapendo che erano impossibili (e dimostrando però che erano possibili).

Non ricordo dove l'avevo letta, ma l'ho citata tante volte e allora l'ho ricercata sul web e ho trovato questa pagina web che la racconta bene: https://it.aleteia.org/2021/02/05/una-lezione-per-il-2021-dallerrore-di-un-matematico/.

Non sono affascinato dalle pagine di aiuto-aiuto (pensiero positivo, elogio dell'impegno a tutti i costi, stay hungry eccetera). Anzi, le rifuggo. Però penso ci sia comunque una lezione in questa storia. Non so ancora quale, ma c'è.

martedì 20 febbraio 2024

ISO/IEC 42001 sull'intelligenza artificiale (02)

Avevo già scritto in precedenza della ISO/IEC 42001 (https://blog.cesaregallotti.it/2023/12/isoiec-42001-sullintelligenza.html).

Flavio De Pretto mi ha segnalato questo articolo più dettagliato (anche meno critico del mio post), che ha scritto insieme a Attilio Rampazzo e e Stefano Gorla dal titolo "ISO/IEC 42001:2023: un approccio etico per la governance della Intelligenza Artificiale": www.ictsecuritymagazine.com/articoli/regolamentare-lintelligenza-artificiale-iso-ha-gia-pubblicato-la-norma-di-gestione/.

Se un umano ti accusa di aver usato un'AI

Da Guerre di rete del 18 febbraio 2024 (https://guerredirete.substack.com/) segnalo questo articolo dal titolo ‘Obviously ChatGPT’ — how reviewers accused me of scientific fraud: https://www.nature.com/articles/d41586-024-00349-5.

Il suggerimento per chi scrive (senza l'aiuto di chat GPT) è: usare Git per dimostrare gli avanzamenti di quanto prodotto.

lunedì 19 febbraio 2024

Garante privacy e conservazione email e metadati 02

In merito alle indicazioni del Garante privacy sui metadati delle email (ne ho parlato nel post https://blog.cesaregallotti.it/2024/02/garante-privacy-e-conservazione-email-e.html), mi hanno segnalato il lavoro fatto dal Comune di Preganziol (con il supporto di un Idraulico della privacy).

La pagina è questa: https://servizionline.comune.preganziol.tv.it/zf/index.php/trasparenza/index/index/categoria/393 e il documento è la "Informativa sul trattamento dei dati personali e dei metadati nei servizi informatici di gestione della posta elettronica nel contesto lavorativo".

Credo sia molto completa e dia ottime indicazioni su come affrontare questo argomento.

Mi scrive Glauco Rampogna, che ha avuto il supporto di Monica Perego (ambedue Idraulici della privacy) che il Comune non usa servizi cloud per l'email e quindi l'informativa va letta con questa attenzione.

Continuità operativa, sigle (MBCO e RTO) e relativismo

Nell'ambito della continuità operativa, si usa spesso il parametro MBCO, Minimum business continuity objective.

Io, al di là delle definizioni ufficiali, l'ho sempre inteso così: a seguito di un incidente bloccante e di un'interruzione più o meno lunga (la cui durata dovrebbe essere inferiore all'MTPD e all'RTO), le attività possono ripartire con prestazioni inferiori al normale e queste prestazioni sono determinate dall'MBCO.

Venendo dalla continuità operativa in ambito informatico, l'esempio è il DR (disaster recovery): RTO è il tempo di ripartenza massimo, RPO è il tempo tra un backup e l'altro, MBCO è il dimensionamento delle macchine nel sito di DR. Ho imparato subito che, oltre alle macchine, è necessario includere nell'MBCO le persone.

Nel seguito ho imparato che l'MBCO va accompagnato da un tempo massimo in cui si può proseguire con quelle prestazioni (una sorta di RTO-2).

Ho imparato poi che, in fase di emergenza, dall'incidente al riavvio con prestazioni ridotte, sono richieste risorse, soprattutto persone, diverse da quelle necessarie a proseguire le attività con prestazioni ridotte. Infatti è necessario avviare i processi "ridotti" e per questo possono essere necessari tecnici diversi da quelli che poi dovranno presidiarli successivamente. Una sorta di MBCO-0.

Molto recentemente mi hanno fatto invece notare che la definizione di MBCO riguarda le prestazioni che vanno comunque garantite. In altre parole, se ho RTO maggiore di zero (quindi i processi possono rimanere fermi per un certo tempo), l'MBCO deve essere zero.

Non sono molto convinto di questo approccio, ma poco importa. Quello che mi importa è che tutta questa terminologia porta a una semplificazione che non può esistere nella realtà. Infatti ci sono più tempi da rispettare (come minimo: il tempo di interruzione totale, il tempo di attività con prestazioni ridotte) e più risorse necessarie (quelle da garantire in ogni caso, quelle da garantire per far ripartire le attività, quelle per le attività con prestazioni ridotte).

Allora apprezzo maggiormente la terminologia della ISO 22301 che usa "archi temporali" (time frames) e "risorse". Termini più generali, che lasciano aperte più possibilità.

Forse un giorno saranno identificate sigle utili. Per intanto, ho imparato che quando sento "RTO", "RPO" e "MBCO" chiedo sempre cosa intende il mio interlocutore e, tranne casi particolarissimi, lo accetto. Poi trovo sempre sorpresa davanti alla mia domanda, e allora devo spiegare il motivo.

domenica 18 febbraio 2024

Sul cambio delle password - 02

Dopo il post in cui riportavo lo scambio di idee tra me e Stefano Ramacciotti sul cambio periodico o meno delle password (https://blog.cesaregallotti.it/2024/02/sul-cambio-delle-password.html), mi ha scritto Pietro, che desidera essere anonimo e che ringrazio (si definisce addirittura mio fan).

Riassumo quanto da lui scritto.

<< 

Per me, il nuovo approccio che prevede di non cambiare più periodicamente la password è stato veramente una liberazione, più che altro per sensibilizzare quegli amministratori di sistema che impongono ancora il cambio molto, troppo spesso.

E' sempre stato evidente, e mi meraviglia che ci si sia arrivati in decenni, che gli utenti non potranno o vorranno mai memorizzare le loro credenziali, se le cambiano di continuo in maniera sostanziale, con le conseguenze che tutti sappiamo: non vengono più memorizzate ma trascritte o vengono cambiate solo di una virgola. Questo permetteva solo, a certi amministratori di sistema, di giustificarsi dicendo che facevano fatto il loro dovere sorvolando sull'efficacia o meno del controllo. Era talmente entrato nella cultura che non potevi non obbligare il cambio password, saresti stato uno scellerato. Ricordo sempre con un sorriso un utente che mi chiese come mai non lo obbligavo a cambiare la password, perché dove era prima era abituato così, e mi pregò di applicare questa policy altrimenti lui non si sarebbe mai ricordato di farlo e ciò lo metteva a disagio per la sicurezza del suo accesso. Ovviamente mi capitò tempo dopo di scoprire che la sua password era del tipo "Qualcosa11" dove il numero finale era circa il numero dei mesi dall'assunzione.

Sono d'accordo che magari, piuttosto che non cambiarla proprio mai, il cambio ogni anno o due possa essere salutare.

Io mi sono inventato un metodo rafforzativo, che potremmo chiamare l'auto-salting. Si decide una prima parte di password molto robusta e strong, diciamo di 8 caratteri almeno. Quello diventa il salt: non cambia mai. E una parte successiva, più semplice ma certo non troppo, insomma non proprio "mamma" per intenderci, che possa esser cambiata periodicamente. La semplicità di questa seconda parte permette all'utente di non dover barare e quindi di non cambiarne solo una virgola ma di poterla cambiare del tutto e con una certa frequenza.

A questo, aggiungo sempre questo mio suggerimento che credo piacerà: l'uso del dialetto. E' un modo simpatico, e soprattutto facilmente memorizzabile, di usare una lingua che (per lo più) non è in nessun dizionario di bruta forza dell'attaccante, il che lo rende quasi equivalente a una sequenza random di caratteri (poi è chiaro che l'uso di più parole e l'aggiunta di un qualche numeretto o carattere speciale etc possano aiutare a rafforzare ulteriormente). E tra l'altro è un modo piacevole di tenere calde le nostre origini. Io nel mio studio tengo apposta un libro discorsivo nel mio dialetto, che consulto a questo scopo.

Serve comunque buonsenso: un mio cliente di Bologna, di fronte a tale consiglio, ha risposto "Qui a Bologna al 99% userebbero la stessa password" e non la riporto. E' ovvio che funziona sempre e solo cercando un minimo di originalità.

>>

Ringrazio Pietro perché, da un'esperienza diversa da quella mia e di Stefano, alla fine, concordiamo.

giovedì 15 febbraio 2024

Pubblicata la ISO/IEC 27001:2022 in italiano

Pubblicata (e disponibile dal 20 febbraio) la UNI CEI EN ISO/IEC 27001:2024 "Sicurezza delle informazioni, cybersecurity e protezione della privacy - Sistemi di gestione per la sicurezza delle informazioni - Requisiti": https://store.uni.com/uni-cei-en-iso-iec-27001-2024.

Il testo è lo stesso della ISO/IEC 27001:2022, che è anche lo stesso della EN ISO/IEC 27001:2023. Cambiano solo gli anni di recepimento, in modo da confondere un po' gli utilizzatori (scherzo).

Io continuerò a far riferimento alla ISO/IEC 27001:2022 perché è il titolo più corto.

Ringrazio Fabio Guasconi di Bl4ckSwan per avermelo segnalato.

lunedì 12 febbraio 2024

Gli uomini possono fare tutto (feb. 2024)

Il mese scorso non avevo scritto questa rubrica. Me ne scuso.

Questo mese pensavo inizialmente di scrivere in poche righe che avevo rinunciato a quasi tutto l'incontro annuale degli Idraulici della Privacy (meno male che era a Milano!) per accompagnare i bambini alle loro varie attività.

Invece mi è successo questo. Inizio le attività annuali presso un cliente e organizzo le interviste. Il referente del cliente mi segnala che la responsabile di un'area conosciuta l'anno scorso è in uscita perché "è tornata dalla maternità e tutte le donne quando tornano dalla maternità hanno pretese". Io non reagisco. Sicuramente avrei dovuto dire che non è opportuno generalizzare.

Su tutto il resto sentivo che c'era qualcosa che non andava, ma cosa? Avrei dovuto dire che non si tratta di pretese, ma di giusti diritti? Ma io non sapevo niente delle richieste della persona.

Allora ho pensato che una donna va in maternità e solitamente si assenta per un anno o un anno e mezzo. Poi torna e non sempre ha tantissima voglia di tornare in ufficio, con la strada da fare, i colleghi non sempre splendidi, i margini di libertà minori. Tanti di noi, in effetti, l'hanno sperimentato dopo la pandemia. Forse voleva fare smart working, non previsto dall'azienda. E quindi, in effetti, la richiesta non era così scontata.

Forse l'azienda, per l'anno o più di assenza, ha incaricato un'altra persona. Poi torna la titolare e cosa fare con la sostituta? In una piccola o media impresa c'è poco da fare: o la degradi o cerchi di suddividere le responsabilità. Come fai, sbagli.

Insomma, la situazione era sgradevole, ma io non sapevo perché. E forse l'unico motivo è che io sono un maschio che quindi non sono mai stato costretto ad affrontare una situazione così.