mercoledì 10 luglio 2024

Legge 90 del 2024 sulla cybersicurezza nazionale

Segnalo la pubblicazione della Legge 90 del 2024 "Disposizioni in materia di rafforzamento della cybersicurezzanazionale e di reati informatici": https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2024-06-28;90!vig=2024-07-10.

 

Segnalo un articolo di analisi completa della norma (grazie a Luisa di Giacomo degli Idraulici della privacy): https://www.altalex.com/documents/2024/07/03/l-90-2024-cybersicurezza-g-u-adempimenti-p-a-societa-private.

 

Nel mio piccolo, segnalo alcune cose pensando alle aziende, non alle istituzioni come ACN.

 

Il primo punto riguarda l’ambito di applicabilità della notifica degli incidenti e, in generale, di tutta la Legge, visto che è dato dall'articolo 1 nei commi 1 e 3, non perfettamente allineati tra loro. La lettura è complicata per i tanti richiami ad altri dispositivi normativi. Riassumendo molto (e anche troppo), la norma è applicabile a pubblica amministrazione, società di trasporto pubblico, aziende sanitarie locali, società in house, società che erogano servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali o di gestione dei rifiuti.

 

Il secondo punto (articolo 1) riguarda, per le società in ambito, la procedura di gestione degli incidenti, che dovranno essere notificati ad ACN con prima notifica entro 24 ore e rapporto finale entro 72 ore dalla conoscenza dell'incidente. Gli incidenti dovranno essere segnalati alla pagina di ACN https://www.csirt.gov.it/segnalazione (che dovrà quindi essere aggiornata), usando la tassonomia, stabilita dalla Determina del 3 gennaio 2023 di ACN (https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2023-01-10&atto.codiceRedazionale=23A00114), che prevede 14 tipologie di incidente (ovviamente diverse dalle 25 previste dal DPCM 81 del 2021 per evitare di renderci la vita troppo facile).

 

Notare che i tempi sono disallineati rispetto a quelli previsti dal perimetro di sicurezza nazionale cibernetica (PSNC) di 6 ore, ma uguali a quelli della NIS 2.

 

Per alcune entità, la norma entrerà in vigore il 17 luglio, per altre, i tempi di adeguamento saranno di 6 mesi e un mio calcolo veloce e sicuramente inesatto dice da  gennaio 2025.

 

Il terzo punto (articolo 8) riguarda la necessità di stabilire una “struttura” (ossia un’unità organizzativa) che si occupi di sicurezza, dal punto di vista sia procedurale sia tecnico, e un “referente per la cybersicurezza” da segnalare ad ACN. E' richiesta professionalità e competenza, ma non mi sembra ci siano requisiti in merito all'indipendenza. Viene segnalato che l'incarico potrebbe essere ricoperto anche dal responsabile della transizione digitale. Da alcuni punti di vista, è positivo che non siano state imposte molte restrizioni in merito a questa figura, soprattutto in questa prima fase di attuazione.

 

L' articolo 9 richiede che venga verifica "che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che utilizzano soluzioni crittografiche, rispettino le linee guida sulla crittografia nonché quelle sulla conservazione delle password adottate dall'Agenzia per la cybersicurezza nazionale e dal Garante per la protezione dei dati personali e non comportino vulnerabilità note, atte a rendere disponibili e intellegibili a terzi i dati cifrati". A questo obbligo sono tenute anche le organizzazioni nel PSNC. Ho qualche dubbio sulla correttezza nel citare un documento tecnico in una Legge. Il documento si può scarica da qui: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9962384.

 

L'articolo 14 prevede che venga emanato, entro fine 2024, un DPCM con i requisiti da tenere “in considerazione nelle attività di approvvigionamento di beni e servizi informatici”. Questo sarà da utilizzare per le organizzazioni in ambito, ma sarà importante anche per le organizzazioni che lavorano con la PA, visto che dovranno rispettarli. Da notare che questi requisiti saranno applicabili dove è in gioco “la tutela della sicurezza nazionale”. Prevedo però che molti li richiederanno a tutti, visto che sarà più semplice. Sarà importante che le offerte per i soggetti in ambito comincino già a riportare considerazioni di sicurezza informatica.

 

Segnalo poi che l'articolo 24 bis introduce nuovi reati nel D. Lgs. 231 del 2001.

 

Mia considerazione finale riguarda l'opportunità di questa Legge. Infatti, per ovvi motivi complica il quadro di riferimento al posto di semplificarlo e questo non è un bene. Mi spiego: adesso è in vigore la NIS, deve essere ancora recepita la NIS 2 e devono ancora essere pubblicati gli implementing acts; è in vigore anche il PSNC con i suoi 4 DPCM e altri atti correlati, come dimostrato dai link qui sopra; entreranno in vigore anche altre normative come la CER. Penso che sarebbe stato meglio pubblicare un atto come questo dopo la messa a punto degli altri dispositivi, in modo da cogliere l'occasione per un raccordo tra tutti. Invece è stato pubbicato prima e, ovviamente, un numero maggiore di elementi è sempre potenzialmente più confuso di uno minore.

 

Come sempre, sono consapevole che questa è una mia prima analisi. Invito tutti a segnalarmi se ci sono errori o se non concordano.

 

 

martedì 9 luglio 2024

ISO/IEC 20000-1: Clarifying measurements

L' ISO/IEC JTC 1/SC 40 ha pubblicato (il 14 febbraio 2022) il white paper "ISO/IEC 20000-1: Clarifying measurements". Purtroppo non riesco a trovarlo nel surface web, ma solo nel deep web, ossia su LinkedIn, qui: https://www.linkedin.com/groups/12777402/.

 

Lettura interessante perché fornisce qualche esempio di misurazione di un sistema per la gestione dei servizi da considerare. Si osservi però che gli esempi non sono numerosi e confermano il fatto che non bisogna necessariamente avere tante misurazioni per gestire correttamente un sistema.

 

Da un punto di vista teorico, segnalo la suddivisione delle misurazioni tra quelle necessarie per valutare il sistema di gestione, la prestazione dei servizi e gli impatti (ossia il valore) del sistema di gestione.

giovedì 4 luglio 2024

VERA 7.5

Ho pubblicato file e manuale di VERA 7.5, con i controlli della ISO/IEC 27017 e 27018: https://github.com/CesareGallotti/VERA/.

 

Ho anche aggiunto una piccola check list sui requisiti (capitoli 4-10) della 27001 e qualche campo che nel tempo mi è tornato utile o mi è stato segnalato come utile.

 

Siete sempre invitati a segnalarmi errori o possibili miglioramenti (anche per come il tutto è disponibile su GitHub, che sto usando come un modesto principiante).

venerdì 28 giugno 2024

Articolo "Dalla ISO 27001 alla compliance DORA"

Franco Vincenzo Ferrari mi ha segnalato un articolo di Matteo Sironi e Fabio Guasconi dal titolo "Dalla ISO 27001 alla compliance DORA: conformità e sicurezza in pochi passaggi": https://www.cybersecitalia.it/dalla-iso-27001-alla-compliance-dora-conformita-e-sicurezza-in-pochi-passaggi/35356/.

 

In poche parole mi ha fatto capire meglio il DORA (a un livello molto generale) e alcune sue caratteristiche.

giovedì 27 giugno 2024

Mio articolo sulle figure professionali per l'IA

Agenda digitale ha pubblicato un mio articolo dal titolo "I professionisti dell’IA: chi sono e quali competenze devono avere": https://www.agendadigitale.eu/cultura-digitale/competenze-digitali/i-professionisti-dellia-chi-sono-e-quali-competenze-devono-avere/.

 

L'ho scritto principalmente per poter studiare io quelle figure, richieste anche dalla ISO/IEC 42001. Quindi vi prego di segnalarmi errori o omissioni.

mercoledì 19 giugno 2024

Mio articolo sull'uso del non digitale per la sicurezza

Su Digeat è uscito un mio articolo dal titolo "I documenti “non digitali” come argine per la sicurezza": https://digeat.info/.

Il titolo dice già molto e, se vi interessa, buona lettura.

domenica 16 giugno 2024

Garante privacy e conservazione email e metadati 03

Il Garante privacy ha pubblicato l'aggiornamento del tanto discusso Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10026277.

Per il momento mi sembra di capire che abbia chiarito che i "metadati" da cancellare sono i log dei mail server relativi all'invio e ricezione dei messaggi. Inoltre ha stabilito che il tempo di conservazione consigliato è di 21 giorni.

Per il resto, aspetto pazientemente articoli e commenti di persone più attente di me.

Grazie a Pippo Alverone per averlo segnalato agli Idraulici della privacy.

Grazie a Christian Bernieri (un altro Idraulico della privacy) per aver messo a disposizione un confronto tra il precedente e l'attuale documento: https://drive.google.com/file/d/1pVaPeBjedyomY_buaAzFznyNH2MH0-Fo/.

lunedì 3 giugno 2024

Documento APG sui cambiamenti climatici nella ISO 9001

Il ISO 9001 Auditing Practices Group ha pubblicato il documento "Guidance on: Auditing Climate Change issues in ISO 9001": https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html.

Ricordo che il APG è un gruppo informale composto di persone che partecipano ai lavori di redazione della ISO 9001. Il loro parere non è vincolante né deve essere accettato ciecamente. E' però frutto di riflessione di persone preparate e quindi vale la pena considerarlo.

lunedì 27 maggio 2024

Transizione alla ISO/IEC 27006-1:2024

La ISO/IEC 27006-1 è stata aggiornata nel 2024 e gli organismi di certificazione che certificano ISO/IEC 27001 devono adattarsi. IAF ha pubblicato le linee guida e i termini per adeguarsi: https://iaf.nu/en/news/iaf-publishes-md-for-transition-to-iso-iec-27006-12024/.

Tutto ciò non riguarda le organizzazioni che si certificano.

Grazie a Franco Vincenzo Ferrari per la segnalazione.

 

Tribunale di Milano: Modello 231 "efficace"

Segnalo l'articolo "231: le indicazioni del Tribunale di Milano per un Modello organizzativo “efficacemente strutturato”": https://www.altalex.com/documents/2024/05/21/231-indicazioni-tribunale-milano-modello-organizzativo-efficacemente-strutturato.

Il Tribunale di Milano, infatti, ha emesso "una delle rare pronunce assolutorie basate su un giudizio positivo in merito al requisito della idoneità dei modelli" e l'ha accompagnata da una disquisizione su come dovrebbe essere un modello ben strutturato.

Lettura interessante.

martedì 21 maggio 2024

Pubblicazione ICO "Learning from the mistakes of others - A retrospective review"

Dalla newsletter di Project:IN Avvocati, segnalo che ICO ha pubblicato "Learning from the mistakes of others – A retrospective review": https://cy.ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/learning-from-the-mistakes-of-others-a-retrospective-review/.

Copio dalla newsletter: "Il report, in particolare, si concentra sulle cause più frequenti di violazioni della sicurezza informatica, quali (i) il phishing, (ii) attacchi informatici, (iii) errori umani ed errori nel servizio e (iv) attacchi alla catena di fornitura del servizio".

Insomma: nulla di troppo nuovo, ma:

- mette l'accento non solo sugli attacchi (che fanno notizia), ma anche sugli errori (che non fanno notizia, ma sono comunque importanti);

- il titolo è accattivante e dimostra un approccio condivisibile (non ipotesi teoriche, ma casi pratici) per coinvolgere meglio il lettore.

giovedì 16 maggio 2024

Articolo su come scegliere i controlli di sicurezza

Segnalo questo mio articolo dal titolo "Valutare il rischio cyber, la scelta dei controlli di sicurezza e le check list": https://www.agendadigitale.eu/sicurezza/valutare-il-rischio-cyber-la-scelta-dei-controlli-di-sicurezza-e-le-check-list/.

Mi soffermo sulla necessità di non scegliere le misure di sicurezza solo perché sono indicate da liste più o meno autorevoli, ma anche sulla base di una valutazione del rischio.

Gli uomini possono fare tutto (maggio 2024)

In realtà gli uomini NON possono fare tutto. Però possono mantenere i rapporti con gli altri genitori delle classi dei propri figli.

Così per le gite scolastiche dei figli, fissate quando io e mia moglie avevamo già preso impegni non spostabili, ho avuto l'aiuto di altri genitori per portare i figli in stazione.

Ovviamente non abbiamo potuto evitare di svegliarci presto per preparare zainetto, merenda e pranzo al sacco e portarli dai genitori accompagnatori (colgo l'occasione per ringraziarli).

domenica 12 maggio 2024

Rapporto semestrale UFCS

Adesso l'ente che si occupa di sicurezza informatica o cibersicurezza in Svizzera si chiama NCSC (Ufficio federale della cibersicurezza). Io continuo a ricordami "Melani".

Comunque continuano a produrre ottimi rapporti semestrali con sintesi delle minacce e degli attacchi dell'ultimo semestre (in questo caso il secondo del 2023) e con raccomandazioni per proteggersi.

L'ultimo rapporto semestrale è pubblicato all'indirizzo: https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2023-2.html.

venerdì 3 maggio 2024

UNI CEI EN 17740:2024 sui profili professionali privacy

Segnalo che è stata pubblicata la  UNI CEI EN 17740:2024 "Requisiti per i profili professionali relativi al trattamento e protezione dei dati personali": https://store.uni.com/uni-cei-en-17740-2024.

Questa norma sostituisce la UNI 11697:2017 e ne è molto simile.

Questa è la traduzione italiana della  EN 17740:2023 "Requirements for professional profiles related to personal data processing and protection": https://store.uni.com/en-17740-2023.

martedì 23 aprile 2024

European Accessibility Act: D. Lgs. 82 del 2022

Claudio Nasti di Chantecler mi ha segnalato che è stato approvato, ormai diverso tempo fa, il D. Lgs. 82 del 2022, di recepimento del European Accessibility Act (Direttiva europea 882 del 2019), con requisiti di accessibilità dei prodotti e dei servizi.

Questo D. Lgs. estende quanto previsto dalla Legge Stanca (L. 4 del 2004) a diversi prodotti e servizi. Tali prodotti e servizi devono quindi assicurare l'accessibilità a persone con disabilità.

Il link al D. Lgs. 82 del 2022 da Normattiva: https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2022-05-27;82!vig=2024-04-23.

Un articolo che mi sembra utile per iniziare a capire: https://scuderimottaeavvocati.it/accessibility-act-verso-uneuropa-piu-inclusiva/.

La pagina AgID sull'accessibilità: https://www.agid.gov.it/it/design-servizi/accessibilita.

Un punto importante, a mio avviso, riguarda i siti di e-commerce. Infatti anche questi devono rispettare la normativa dal 28 giugno 2025. Però, se ho capito correttamente, per i siti già attivi, l'adeguamento va assicurato dal 28 giugno 2030.

Vanno comunque analizzati i servizi e prodotti che devono rispettare la normativa.

domenica 21 aprile 2024

Posizione EDPB su "paga o consenti alla profilazione per pubblicità"

Chiara Ponti, Idraulica della privacy, ha segnalato a noialtri idraulici la "Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms" dell'EDPB: https://www.edpb.europa.eu/news/news/2024/edpb-consent-or-pay-models-should-offer-real-choice_en.

Ho rimandato al comunicato stampa del 17 aprile 2024.

Alcuni punti a mio parere salienti:

- si riferisce alla "grandi" piattaforme online, quindi sicuramente a Facebook e forse non al Corriere della sera;

- infatti fa riferimento a servizi con ruolo "promimente" o è decisivo per la partecipazione a una vita sociale o alle reti professionali;

- richiede di proporre una terza alternativa, oltre al "paga o dai il consenso", per esempio con pubblicità senza profilazione.

Io dico che, da quando Meta ha attivato il "consent or pay", non accedo più a Facebook (già lo facevo pochissimo da qualche anno) e Instagram. Nelle brevi attese, al posto di guardare anteprime su Netflix e Disney+, tecniche di judo, i disegni del mio amico Dulio, ricette di dolci e passeggiate vicino a Milano, leggo il giornale online e quello in genere, purtroppo, mi mette di malumore. Ecco l'unico punto negativo dell'aver rinunciato a questi social network.

lunedì 15 aprile 2024

Gli uomini possono fare tutto (apr 2024)

Per una festa, mi hanno chiesto di portare una torta. La faccio e la porto insieme ad altre 2 torte fatte da mia mamma. A riceverle ci sono 3 donne. Fioccano complimenti alle donne di famiglia e devo far notare che una torta è stata fatta da un uomo. Si scusano.

Poi segnalo che una torta è senza glutine e senza lattosio e ho portato anche la lista degli ingredienti. Fioccano i complimenti a mia mamma, anche se si trattava proprio della torta fatta da me.

Non voglio vantarmi (anche se seguo una ricetta veramente buona per le crostate), ma riflettere sul fatto che 3 donne, in automatico, avevano pensato che le torte fossero state fatte da donne, anche se fisicamente le aveva portate un uomo.

Mi chiedo quindi che percezione hanno alcune donne su chi fa le torte per beneficenza: è un'idea positiva (anche se non favorevole agli uomini che forse fanno torte e forse fanno beneficenza, ma non torte per beneficenza) o negativa.

Stato delle norme ISO/IEC 270xx

Tra fine marzo e metà aprile si sono tenuti i meeting semestrali del WG 1 e del WG 5 del ISO/IEC JTC 1 SC 27, ossia dei gruppi che si occupano degli standard ISO/IEC legati ai sistemi di gestione per la sicurezza delle informazioni (ISO/IEC 27001 e linee guida) e alla privacy (ISO/IEC 27701 e altre).

Per quanto riguarda il WG 1, sono stati discussi gli standard ISO/IEC 27003 (guida per i sistemi di gestione per la sicurezza delle informazioni) e ISO/IEC 27017 (controlli per i servizi cloud). Non saranno pubblicati a breve.

Si è fatto anche il punto sugli standard oggetto di discussione nel corso del semestre. Inoltre sono partiti i lavori per l'aggiornamento della ISO/IEC 27004 (guida per la misurazione).

Partirà anche un gruppo per verificare se è opportuno avviare azioni relative ai cambiamenti climatici, che sono entrati nella ISO/IEC 27001 (anticipo che l'idea di partenza sembra essere un "nessuna azione", ma tutto potrà cambiare, ovviamente).

Per quanto riguarda il WG 5, io ho partecipato alle attività relative alla nuova versione delle ISO/IEC 27701 (sistemi di gestione per la privacy), ISO/IEC 27018 (controlli privacy per il cloud), ISO/IEC 27006-2 (per gli organismi che certificano rispetto alla ISO/IEC 27706 e che forse sarà rinumerata ISO/IEC 27706), ISO/IEC 29151 (con l'estensione alla privacy dei controlli ISO/IEC 27002).

Si prevede l'uscita delle norme in discussione tra fine 2024 e inizio 2025.

Sanzione del Garante per l'attacco ai sistemi informatici della Regione Lazio

Il Garante ha emesso 3 Provvedimenti al termine dell'analisi dell'attacco ai sistemi informatici della Regione Lazio del 31 luglio 2021: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10002052.

Se ho capito bene: gli attaccanti hanno individuato i server accessibili dalla VPN di Regione Lazio, ne hanno trovato uno con software obsoleti (anche perché erano installate applicazioni non compatibili con gli aggiornamenti) e l'hanno attaccato. Nello stesso tempo, per il cambio del fornitore, i sistemi non erano monitorati da un SIEM. Inoltre è segnalata una segregazione interna delle reti (tra quella utenti e quella server) che richiedeva un miglioramento.

Da osservare che le password di amministrazione erano lunghe 20 caratteri e cambiate almeno ogni 30 giorni. Qui mi pare che si possa ricordare l'importanza, oggi, di adottare sistemi di autenticazione e più fattori (MFA).

Interessante il richiamo alle certificazioni che, ovviamente, non assicurano un livello di sicurezza predefinito.

Ecco quindi che se ne possono trarre utili lezioni relative all'importanza delle misure richiamate: aggiornare i sistemi esposti, implementare sistemi di monitoraggio della sicurezza, segregare le reti, attivare la MFA.

Disaccordo sulla decisione della CNIL a favore di Microsoft

Su LinkedIn ho letto questo post dal titolo "I fornitori francesi attaccano la decisione della CNIL a favore di Microsoft": https://www.linkedin.com/feed/update/urn:li:activity:7175902181697404929/.

Ovviamente la lamentela è supportata da chi ha perso la gara contro Microsoft, però mi sembra comunque una notizia interessante: si lamentano perché l'autorità garante non è stata abbastanza rigida. Cosa che si vede raramente, almeno in pubblico.

Rischi dell'IA comparati ai social media

Bruce Schneier ha sviluppato una comparazione tra l'evoluzione dei rischi dell'intelligenza artificiale comparata a quanto abbiamo visto per i social media: https://www.schneier.com/blog/archives/2024/03/ai-and-the-evolution-of-social-media.html.

I rischi sono quelli legati all'uso della pubblicità, alla sorveglianza, alla viralità (ossia alla disinformazione), al lock-in e alla monopolizzazione (ossia alla crescita di poche mega società). Li abbiamo visti per i social media e rischiamo di vederli anche per gli strumenti di intelligenza artificiale.

venerdì 12 aprile 2024

Il caso XZ Utils

A fine marzo è stata scoperta una vulnerabilità grave alla libreria XY Utils.

Su questo caso e le lezioni da ricordare, segnalo l'articolo dal titolo (un po' troppo drammatico, a mio avviso) "Le due facce dell’Open Source: come abbiamo rischiato l’apocalisse IT": https://www.zerounoweb.it/editoriali/le-due-facce-dellopen-source-come-abbiamo-rischiato-lapocalisse-it/.

Mi sembra che, in sintesi, dica tutto quanto necessario per chi non richiede approfondimenti tecnici.

giovedì 4 aprile 2024

Slide Security Summit Milano 2024

Sono disponibili le slide del Security Summit, tenutosi a Milano il 19-21 marzo: https://securitysummit.it/milano-2024#agenda.

Io e Fabio Guasconi abbiamo tenuto un intervento al Security Summit dal titolo "Novità e prospettive dal mondo della normazione": https://securitysummit.it/milano-2024/novita-e-prospettive-dal-mondo-della-normazione.

Rapporto Clusit 2024

Con il Security Summit di Milano, è stato pubblicato il Rapporto Clusit 2024 sulla sicurezza informatica: https://clusit.it/rapporto-clusit/.

Come è noto, non mi convincono molto le cifre (in questo caso, l'aumento del 12% degli attacchi) perché ci dicono sempre la stessa cosa: Internet è insicura e la sicurezza dei sistemi informatici, di qualsiasi tipo, è sempre a rischio. Cosa che sappiamo già da parecchi anni. E poi penso che sia troppo incentrata sugli attacchi volontari, quando sappiamo che molti incidenti sono dovuti a errori e non vanno quindi sottovalutati.

Però ho trovato molto interessanti gli interventi di Fastweb e  della Polizia postale e delle Comunicazioni perché trattano di alcuni attacchi che è bene tenere presente.

Detto questo, il lavoro fatto è molto bello e interessante e ne raccomando la lettura.

mercoledì 3 aprile 2024

Pagina CISA per risorse di sicurezza informatica per le "High-Risk Communities"

Il CISA (Cybersecurity & infrastructure security agency degli USA) ha pubblicato una pagina "High-Risk Communities", con risorse gratuite o a basso costo: https://www.cisa.gov/audiences/high-risk-communities.

Mi sembrano risorse soprattutto procedurali, in particolare per la formazione (Project Upskill: Cybersecurity Training). Io ho  trovato interessanti soprattutto la sezione "JCDC Cyber Incident Exercise Discussion", con esercitazioni relative alla gestione degli incidenti.

Infatti, penso che molti standard e best practice chiedono di condurre esercitazioni relative alla gestione degli incidenti (oltre a quelle relative agli incidenti di continuità), però abbiamo pochi esempi autorevoli. Questi 3 scenari mi sembrano utili come punto di partenza.

mercoledì 27 marzo 2024

Webinar (concluso) "Direttiva NIS2: la scadenza si avvicina."

Il 26 marzo ho partecipato al Webinar "Direttiva NIS2: la scadenza si avvicina…": https://www.csipiemonte.it/it/webinar_direttivaNIS2.

Il webinar è stato organizzato dal CSI Piemonte, che ringrazio molto.

Nella pagina trovate, oltre alla mia presentazione, quelle di Valentina Frediani e Federico Lucia.

martedì 26 marzo 2024

Nuove versioni degli standard per i cambiamenti climatici - Un mio approfondimento

In post precedenti avevo segnalato gli Amendment agli standard ISO sui sistemi di gestione per introdurre la questione relativa ai cambiamenti climatici. Avevo espresso perplessità, non tanto sul tema in sé (che mi trova assolutamente attento e preoccupato), ma sulle modalità.

Il punto è la pertinenza: per molti standard, per esempio la ISO/IEC 27001, la questione relativa ai cambiamenti climatici non è pertinente. Per questo, a mio parere, andava evitata e cerco di approfondire con tre argomentazioni.

La prima riguarda l'atomicità e il fatto che uno standard dovrebbe affrontare una questione e non tante. Questo è noto a chiunque si occupa di risolvere problemi e sa che vanno ridotti in problemi specifici per poter essere risolti, se no si crea confusione. Gli standard relativi ai sistemi di gestione nascono non per essere totali, ma, giustamente, per affrontare una specifica questione (la qualità, l'ambiente, la sicurezza delle informazioni, la corruzione, la gestione dei servizi, la privacy, eccetera). Questo amendment, invece, va contro questo principio.

La seconda riguarda le competenze: io conosco la sicurezza delle informazioni, non le tecniche di controllo del clima. Per questo motivo, non posso occuparmene neanche come auditor. Già è difficile trovare consulenti e auditor preparati su disciplina, settore e tipo di organizzazione, figuriamoci trovarne adeguatamente preparati e con le giuste modalità di relazione su altri argomenti. Purtroppo gli esempi sono tanti (e abbiamo visto i danni fatti da consulenti e auditor che hanno voluto discutere di direzione generale di un'impresa, di direzione strategica, di controllo nelle PMI).

La terza è che, dopo questo amendment, anche altri dovrebbero essere considerati, tra cui: la parità di genere, la responsabilità sociale, la parità di opportunità a prescindere dalle origini, la sostenibilità economica.

Aggiungo che, proprio per questi motivi, gli auditor sono invitati a non ampliare il proprio mandato oltre alla disciplina per cui sono chiamati a operare. Faccio un esempio: se, in un audit del sistema di gestione per la sicurezza delle informazioni, dovessi rilevare che l'organizzazione non separa i rifiuti, non dovrei segnalare alcuna non conformità.

Concludo dicendo che su questo argomento, nell'ambito delle materie che seguo, come consulente e auditor, mi limiterò a raccogliere le indicazioni delle organizzazioni per le quali lavoro e a indicare loro, informalmente, esperienze viste in altre organizzazioni.

sabato 23 marzo 2024

Nuove versioni degli standard per i cambiamenti climatici - Due articoli

Avevo scritto brevemente degli Amendment degli standard ISO relativi ai sistemi di gestione (ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301, eccetera) che richiedono di considerare i cambiamenti climatici. Avevo già espresso le mie preplessità (https://blog.cesaregallotti.it/2024/03/nuove-versioni-degli-standard-per-i.html).

Sono usciti due articoli molto approfonditi su questo tema. Il primo, di Nicola Nuti e Monica Perego, ha titolo “Ambiente, il nuovo Annex SL sui sistemi di gestione ISO: cosa devono fare le aziende”: https://www.agendadigitale.eu/smart-city/climate-change-liso-aggiorna-le-norme-sui-sistemi-di-gestione-cosa-devono-fare-le-aziende/.

Il secondo, di Davide Foresti e Monica Perego, ha titolo “ISO/IEC 27001, nuovi requisiti sul climate change: cosa implicano per la sicurezza delle informazioni”: https://www.cybersecurity360.it/soluzioni-aziendali/iso-iec-27001-nuovi-requisiti-sul-climate-change-cosa-implicano-per-la-sicurezza-delle-informazioni/.

Penso che si debba stare attenti alla pertinenza dei cambiamenti climatici su alcuni sistemi di gestione. Mi spiego: usare data center attenti al risparmio energetico è cosa ecomiabile, ma la scelta non è pertinete alla sicurezza delle informazioni. Quindi, promuoviamo l’attenzione a questi temi, ma stiamo attenti a non farli diventare indigesti o un altro adempimento formale e non pratico.

Patch di Windows Server può causare problemi

Dal SANS Newsbytes, segnalo un articolo dal titolo "Microsoft confirms Windows Server issue behind domain controller crashes ": https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-windows-server-issue-behind-domain-controller-crashes.

Quindi, in breve, una patch per Windows server 2022, 2019, 2016 e 2012 R2 può causare interruzioni.

Così ricordiamo due lezioni:

1- il tempo di installazione delle patch va bilanciato con la possibilità che queste possano introdurre problemi;

2- andrebbero fatti test prima di installare le patch in ambiente di produzione.

giovedì 21 marzo 2024

Note sulla NIS 2 (errata corrige)

Avevo scritto dei miei appunti sulla NIS 2. Si trovano sul mio blog (https://blog.cesaregallotti.it/2024/03/note-sulla-nis2.html) e sul mio sito in italiano (https://www.cesaregallotti.it/Pubblicazioni.html) e inglese (https://www.cesaregallotti.it/English_essays.html).

Giancarlo Caroti di Neumus mi ha segnalato che avevo scritto che la NIS 2 non è applicabile alle piccole-medie imprese, visto che comincia ad essere applicabile alle aziende con più di 50 addetti. Sbagliavo, perché la Raccomandazione 2003/361/CE della Commissione europea definisce come medie le imprese che hanno tra i 50 e i 250 addetti.

Quindi ho corretto, spero senza aggiungere altri errori.

Ringrazio Giancarlo, anche se mi ha fatto lavorare.

Gli uomini possono fare tutto (marzo 2024)

Iniziai questa rubrica esattamente un anno fa e mi sembrò di aver individuato un punto di vista originale sulla discriminazione di genere.

Ma ecco cosa scriveva Bianca Pitzorno nel 1979 in "Extraterrestre alla pari": "Saremo veramente liberi, noi terrestri, non tanto quando le donne diventeranno minatori o guidatori di locomotive, ma quando gli uomini si stireranno le camicie, ricameranno, cucineranno e accudiranno con piacere ai propri bambini".

mercoledì 20 marzo 2024

Telemarketing, Garante privacy: al via il Codice di condotta.

Il Garante privacy approva il Codice di condotta relativo alle attività di telemarketing: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9993833.

Iniziativa a mio parere importantissima e lodevolissima. Purtroppo non fermerà i pirati del telemarketing, ma sarà un valido punto di riferimento per chi vuole lavorare correttamente.

Ristoranti McDonald's chiusi per problemi IT

Articolo "McDonald's: Global outage was caused by configuration change": https://www.bleepingcomputer.com/news/technology/mcdonalds-global-outage-was-caused-by-configuration-change.

Due cose il titolo non dice:

- l'errore è dovuto a un errore di un fornitore (non a un attacco);

- l'incidente ha fatto chiudere alcuni ristoranti per tutta la giornata.

Così ripassiamo le lezioni (sempre utile):

- la sicurezza (ciber- e delle informazioni) non riguarda solo gli attacchi volontari da parte di malintenzionati, ma anche gli errori e i guasti;

- la sicurezza delle informazioni è parte integrante dell'affidabilità e della qualità dei servizi;

- i fornitori sono vettori di attacco (volontario o involontario) e quindi vanno controllati.

Rivista digitale Digeat e articolo sulle password a cui ho collaborato

Segnalo l'uscita della nuova rivista digitale Digeat. Il n.1 è online: www.digeat.info.

C'è anche un articolo scritto principalmente da Stefano Ramacciotti (io ho fatto poco più della correzione di bozze): "La modifica periodica delle password: come affrontare professionalmente un argomento tecnico": https://digeat.info/articolo-rivista/la-modifica-periodica-delle-password-come-affrontare-professionalmente-un-argomento-tecnico/. Lo raccomando.

domenica 17 marzo 2024

ENISA Telecom security incidents 2022

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione, il 14 marzo 2024, del rapporto ENISA "Telecom security incidents 2022": https://www.enisa.europa.eu/publications/telecom-security-incidents-2022.

Il totale di incidenti segnalato è basso: 155.

Interessante notare che solo il 6% è dovuto ad azioni malevole, il resto è dovuto a guasti (72%), errori umani (15%) e fenomeni naturali (6%).

Questo non vuol dire che si debbano ignorare gli attacchi intenzionali, ma che la sicurezza riguarda anche (e forse soprattutto) la prevenzione degli errori e il controllo di guasti ed eventi naturali, spesso sottovalutati forse perché non richiamano battaglie all'ultimo bit o situazioni da film d'avventura. Da non dimenticare comunque che ogni rete è oggetto di più scansioni ogni giorno (ma questo dato non si trova in questo rapporto di ENISA e, anzi, chiedo dove ritrovarlo perché il mio riferimento risale ai primi anni 2000).

 

 

eIDAS 2.0

eIDAS 2.0 non è stato ancora approvato in modo definitivo, ma si può pensare che il testo sia quello. Per questo Franco Vincenzo Ferrari mi ha segnalato un articolo di Giovanni Manca dal titolo "eIDAS 2.0: tutte le novità": https://www.forumpa.it/pa-digitale/eidas-2-0-tutte-le-novita/.

Ringrazio e ne raccomando la lettura.

Approvato l'AI Act europeo

Negli ultimi mesi sono girate tante notizie sull'AI Act,, però prima che fosse approvato.

Il 13 marzo è stato approvato dal Parlamento Europeo. Io non ne parlo direttamente e preferisco indirizzare a Guerre di rete: https://guerredirete.substack.com/p/guerre-di-rete-ai-act-infine.

Ovviamente ci sono tantissimi altri articoli che ne parlano. Io per ora mi fermo qui.

venerdì 15 marzo 2024

Repository VERA su GitHub

Tanti mi segnalano variazioni a VERA o mi raccomandano aggiunte e modifiche. Io cerco di mantenere il file nel modo più semplice possibile e ho deciso di pubblicarlo su GitHub: https://github.com/CesareGallotti/VERA.

In questo modo, mi sarà forse più facile caricare gli aggiornamenti e chiunque potrà creare un fork per presentare la propria variazione (o forse lo farò io stesso).

Ogni suggerimento sull'uso di GitHub sarà gradito. Se qualcuno vorrà proporre alternative, le prenderò in considerazione (almeno finché non ci saranno fork).

Per intanto, ho caricato il VERA 7.3 (l'ultima versione con qualche correzione) in italiano e inglese e il manuale in italiano e in inglese.

Note sulla NIS2

Miei appunti e riflessioni sulla NIS2. In molti mi hanno chiesto cosa ne so e cosa ne penso, quindi pubblico tutto quello che ne so e ne penso.

Si trova sul mio file "I miei appunti sulla NIS2" scaricabile da qui: https://www.cesaregallotti.it/Pubblicazioni.html.

Due parole sulla NIS 2

NIS 2 (Direttiva UE 2022/2055) entrata in vigore il 17 gennaio 2023. 

NIS2 dovrà essere recepita entro ottobre 2024.

  • Aumentano i soggetti.
  • Richiede un’analisi dei rischi.
  • Le misure dovrebbero essere adeguate al contesto, considerando quindi anche la capacità di spesa.

Soggetti a cui si applica la NIS2

L’applicabilità dipende dai settori e dalla dimensione (più di 50 addetti e giro d’affari superiore ai 10 milioni di Euro; escludendo quindi le piccole) dell’organizzazione. La NIS2 è applicabile quindi a: 

  • soggetti essenziali (essential entities);
  • soggetti importanti (important entities).

La differenza pratica riguarda i controlli e le sanzioni.

La NIS2 coinvolge più aziende rispetto al PNCS.

Con la NIS 2 le entità dovranno riconoscersi come soggetti che devono applicare la NIS 2, non è più l’autorità che le designa come tali. E’ previsto che le entità si registrino secondo regole che saranno fornite.

Sulla base delle registrazioni, entro il 17 aprile 2025, gli Stati membri creano un elenco dei soggetti essenziali e importanti e dei soggetti che forniscono servizi di registrazione dei nomi di dominio.

Lo schema seguente si trova sul sito https://ccb.belgium.be/en/nis-2-directive-what-does-it-mean-my-organization.

Rientreranno nel perimetro di applicazione anche i soggetti definiti “critici” dalla Direttiva (UE) 2022/2557, meglio nota come Direttiva CER.

Ulteriori soggetti potrebbero essere aggiunti dalla normativa nazionale.

Valutazione del rischio

NIS2 è multirischio: logico, fisico, governo, lock in tecnologico, utilities. E considera l’impatto “sociale ed economico” e richiede un “livello appropriato” di sicurezza.

Il Belgio mette a disposizione un approccio piuttosto semplice (ma non capisco bene come funziona): https://ccb.belgium.be/en/choosing-right-cyber-fundamentals-assurance-level-your-organisation.

Interessante la tabella degli impatti, perché forse potrebbe essere riutilizzata per identificare gli incidenti significativi (vedere sotto).

Gli Orientamenti della Commissione del 13.9.2023 indicano di considerare le seguenti minacce, sempre in una logica di multirischio:

  • sabotaggi,
  • furti,
  • incendi,
  • inondazioni,
  • problemi di telecomunicazione,
  • problemi di interruzioni di corrente,
  • qualsiasi accesso fisico non autorizzato in grado di compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informativi e di rete o accessibili attraverso di essi,
  • guasti del sistema,
  • errori umani,
  • azioni malevole, fenomeni naturali.

Commento

L’auspicio è che, se saranno date indicazioni su come condurre una valutazione del rischio, non venga riproposto il modello formale, ma non utile, basato su asset, minacce e vulnerabilità, ma invece un modello, come poi si vede negli Orientamenti, basato sugli eventi, per cui non è utile avere un dettaglio di tutti gli asset a questo scopo (è invece necessario per attività operative).

Misure di sicurezza

La Direttiva identifica (articolo 21 paragrafo 2) le misure di gestione del rischio, ossia:

  1. Politiche di analisi dei rischi e della sicurezza dei sistemi informatici
  2. Sistemi di gestione degli incidenti
  3. Soluzioni di business continuity capaci di garantire la continuità operativa e la gestione della crisi, dai backup al disaster recovery
  4. Misure di sicurezza dell’intera supply chain, a comprendere perciò i rapporti tra ogni soggetto e i suoi fornitori
  5. Sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi e delle reti informatiche, compresa la gestione e la divulgazione delle vulnerabilità
  6. Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity
  7. Pratiche di igiene informatica basilari e formazione in materia di sicurezza informatica
  8. Procedure relativa all’uso della crittografia e, se necessario, della cifratura
  9. Misure per la sicurezza delle risorse umane grazie a strategie e politiche di controllo degli accessi (log management) e gestione degli asset
  10. Uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti all’interno dell’entità, ove opportuno.
Perri dice che c’è un indice sulla valutazione delle competenze, ma io non l’ho trovato (o forse ho capito male); forse nelle interpretazioni.

Entro il 17 ottobre 2024, la Commissione adotta atti di esecuzione che stabiliscono i requisiti tecnici e metodologici delle misure di cui sopra per quanto riguarda i fornitori di:

  • servizi DNS,
  • registri dei nomi di dominio di primo livello (TLD),
  • servizi di cloud computing,
  • servizi di data center,
  • reti di distribuzione dei contenuti,
  • servizi gestiti,
  • servizi di sicurezza gestiti,
  • mercati online,
  • motori di ricerca online,
  • piattaforme di servizi di social network,
  • prestatori di servizi fiduciari.
Alcuni prevedono che siano quindi da applicare:
  • requisiti specifici settoriali stabiliti dalla Commissione (o, in alternativa, requisiti raccomandati da ENISA o dalle autorità nazionali);
  • requisiti di base comuni (o, in alternativa, certificazione ISO/IEC 27001).

Il Belgio (come l’Italia) propone elenchi di misure basati sul NIST CSF: https://ccb.belgium.be/en/cyberfundamentals-framework.

Allo stato attuale (13 marzo 2024) non sono state stabilite le misure da adottare. In Italia sappiamo che adesso, per i soggetti sotto NIS, sono richieste quelle del Framework Nazionale per la Cybersecurity e la Data Protection (https://www.cybersecurityframework.it/framework2) e così in altri Paesi. Forse con la NIS 2 seguiranno altri schemi.

Attenzione che le misure stabilite dagli Stati membri e di cui all’articolo 21 paragrafo 1 della NIS2 vanno applicate a tutte le attività operative operazioni e a tutti i servizi del soggetto interessato, non solo a risorse informatiche specifiche o a servizi critici forniti dal soggetto. Mia interpretazione: per evitare che un soggetto con servizi “sicuri” e “non sicuri” possa essere violato sfruttando le carenze dei servizi “non sicuri” per poi, con movimenti laterali, compromettere anche quelli “sicuri”.

Commento

Personalmente spero sia adottata la ISO/IEC 27001. Potrebbero anche lasciare più scelte ai soggetti. Infatti delegati italiani potrebbero partecipare agli aggiornamenti e alle estensioni della ISO/IEC 27001, e non subire passivamente gli aggiornamenti del NIST.

In tutti i casi, raccomando di cominciare a implementare la ISO/IEC 27001, su cui, eventualmente, innestare le richieste specifiche che saranno fatte. Un’implementazione ISO/IEC 27001 può essere facilmente convertibile per NIST CSF o altri.

Gestione incidenti

Come già previsto dalla Direttiva NIS 1, anche NIS 2 prevede l’obbligo di notifica al CSIRT e alle autorità competenti (oltre che ai destinatari stessi del servizio) degli incidenti significativi (incidenti informatici capaci di impattare in modo significativo sulla fornitura del servizio).

Le comunicazioni al CSIRT dovranno avvenire:

  • Entro 24 ore dalla conoscenza dell’incidente con una notifica di preallarme (questo per attenuare la potenziale diffusione di incidenti e per consentire di chiedere assistenza);
    • deve riportare i dati strettamente necessari se l'incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o se potrebbe avere (ossia se è probabile che abbia) un impatto transfrontaliero;
    • deve contenere una valutazione iniziale dell'incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione.
  • Entro 72 ore dalla conoscenza dell’incidente con aggiornamenti rispetto alle informazioni fornite con il preallarme
  • Entro 1 mese dalla conoscenza dell’incidente con una relazione finale a completamento del processo di segnalazione (questo per poter trarre insegnamenti preziosi dai singoli incidenti);
    • la relazione deve essere comprensiva della sua gravità e del suo impatto, il tipo di minaccia o la causa di fondo che ha probabilmente innescato l'incidente, le misure di mitigazione adottate e in corso e, se opportuno, l'impatto transfrontaliero dell'incidente.

Alcuni soggetti sono soggetti a più normative e quindi a diverse modalità di notificazione degli incidenti. In alcuni casi, il recepimento può essere complesso.

Obbligatorietà:

  • Articolo 23, stabilisce quando è obbligatorio notificare;
  • Articolo 30, indica quando la notifica è volontaria (altri incidenti, minacce, quasi incidenti, anche da parte degli altri soggetti).
Nella NIS2 c’è la definizione di “incidente significativo” nell’articolo 23, paragrafo 3: se ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato o se si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Vanno quindi definiti meglio e forse la tabella degli impatti usata per valutare il rischio.

Definiti anche i «quasi incidenti». Un evento che avrebbe potuto compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi, ma che è stato efficacemente evitato o non si è verificato.

La NIS2 istituisce la rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe).

Altri argomenti

La NIS2 prevede ulteriori argomenti:

  • Cooperazione tra Stati membri
  • Sanzioni
  • Punti di contatto nazionali
  • Ruolo dell'ENISA

Questi però non rientrano nelle mie competenze e non li ho approfonditi.

Bibliografia

Sito web del Center for cyber security Belgium: https://ccb.belgium.be/en/choosing-right-cyber-fundamentals-assurance-level-your-organisation. Grazie ad Alessandro Cosenza per la segnalazione.

Presentazione “Directive (EU) 2022/2555 of 14 December 2022 on measures for a high common level of cybersecurity across the Union (“NIS2 directive”)”.

Sito web della UE: https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new. Però non fornisce indicazioni che io ritengo utili.

Criteri interpretativi sulla NIS2 della Commissione: https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-4-1-and-2-directive-eu-20222555-nis-2-directive. Grazie a Pierluigi Perri.

Raccomandazione della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (2003/361/CE). Grazie a Giancarlo Caroti.