Analisi delle vulnerabilità 2021 del CISA

Il CISA è la Cybersecurity & Infrastructure Security Agency degli USA e ha
pubblicato il documento "CISA Analysis: FY2021 Risk and Vulnerability
Assessments":
- https://www.cisa.gov/cyber-assessments (bisogna poi andare nella sezione
"Attachment media").

Qui si trovano le vulnerabilità più significative evidenziate nel 2021
durante le attività di vulnerability assessment presso alcune strutture USA.
La cosa interessante è che, per ogni vulnerabilità, sono raccomandate alcune
azioni di mitigazione.

Ricorda un po' le OWASP Top 10, ma qui le vulnerabilità sono 11 e non solo
di tipo applicativo.

PS: raccomando di iscriversi alle newsletter del CISA. Spesso sono troppo
tecniche, ma ogni tanto segnalano perle come questa.

NIST SP 800-53 sui controlli di sicurezza e privacy

Franco Vincenzo Ferrari di DNV mi ha segnalato un articolo in merito al
recente aggiornamento della NIST SP 800-53A "Assessing Security and Privacy
Controls in Information Systems and Organizations". Questa linea guida si
trova qui:
- https://csrc.nist.gov/publications/detail/sp/800-53a/rev-5/final.

Essa riporta le modalità per verificare le misure di sicurezza riportate
dalla NIST SP 800-53.

A me sembrano documenti eccessivamente lunghi (la 53 è di quasi 500 pagine,
la 53A è di più di 700 pagine) e si rischia di spostare l'attenzione della
sicurezza alla decifrazione e compilazione di lunghe liste.

Esiste anche una 53B, che fornisce le "baseline", ossia i controlli da
selezionare a seconda del livello di sicurezza che si vuole raggiungere
(solo privacy, basso, medio, alto, indefinito).

L'articolo di cui sopra è reperibile a questo indirizzo:
-
https://www.cybersecurity360.it/soluzioni-aziendali/controlli-di-sicurezza-e

Valutazione con il Framework nazionale per la cybersecurity e la data protection

Chiara Ponti degli Idraulici della privacy ha segnalato la pubblicazione della "Metodologia per il cybersecurity assessment con il Framework Nazionale per la Cybersecurity e la Data Protection" del settembre 2021:
- https://www.cybersecurityframework.it/.

Glauco Rampogna ha sintetizzato così: il framework viene ripreso e indicato come riferimento nel regolamento AgID/ACN. Potrebbe essere usato per la classificazione dei dati e servizi delle PA, che dovrà essere mandato entro il 18 luglio ad ACN. Il framework stesso è un insieme di richiami a ISO, Cobit, GDPR, 196, NIST, MMS AgID, NIS, insomma un mega cherry picking.

Davide Foresti suggerisce di usare le contestualizzazioni:
- https://www.cybersecurityframework.it/contestualizzazioni.

E' noto che non sono un fan di questa iniziativa, anche se ha i suoi estimatori (in sintesi, penso che sia stato un errore utilizzare lo schema NIST e non le ISO/IEC 27001 e ISO/IEC 27002, frutto di un lavoro internazionale e condiviso).

Per quanto riguarda le contestualizzazioni, ne sono proposte 4. Il primo sulle PMI è su web e non si può scaricare (non sembrerebbe male), il secondo del Comune di Marsciano è in sostanza l'elenco delle misure minime, il terzo di Civita Castellana non è raggiungibile, il quarto di ASSECURE mette su qualche linea qualche dettaglio in più, oltre a dare il livello di priorità.

Di base la contestualizzazione aggiunge le colonne priorità e maturità agli elementi del core in modo da indicare quali sono quelle auspicate per un certo ambito (o profilo). In questo modo, alcune sottocategorie non vengono più considerate per alcuni ambiti. Penso che questa idea delle contestualizzazioni sia molto positiva (contesto quindi l'insieme di partenza dei controlli, non questa idea).

Per quanto riguarda il "il cybersecurity assessment", non ho studiato bene il metodo di calcolo. In sostanza dice:
- fai la contestualizzazione (ossia quello che ritieni debba essere fatto), dove ogni controllo può essere suddiviso in elementi e a ogni controllo è data una priorità;
- verifica cos'hai fatto e per ogni controllo indica quanto hai coperto i suoi elementi (da 0 a 5) e con che livello di maturità (da 1 a 5);
- fai un calcolo e ottieni a che punto sei.

L'introduzione degli elementi mi sembra un'inutile elemento di complessità e la complessità non fa bene alla sicurezza. E poi mette insieme la copertura con la maturità, creando ulteriori sovrapposizioni probabilmente evitabili.

Le password più comuni del 2021

Stefano Ramacciotti mi ha segnalato questo sito con le password più comuni
del 2021:
- https://nordpass.com/it/most-common-passwords-list/.

Il bello è che è possibile analizzarle anche per ogni Paese e non solo per
gli USA come spesso accade.

Newsletter di NCSC di metà 2022

Segnalo, come sempre, la newsletter del Centro nazionale per la
cibersicurezza NCSC della Confederazione svizzera:
-
https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/h
albjahresbericht-2021-2.html.

Come sempre, si tratta di un ottimo prodotto: sintetico, corretto, ben
strutturato.

Però la parte sugli attacchi alla filiera di fornitura, questa volta, mi
sembra affrontata al solito livello a cui mi avevano abituato.

Aggiornamento su NIST SP 800-161 sulla supply chain

Il NIST ha pubblicato la SP 800-161r1 (aggiornamento della SP 800-161) con
titolo " Cybersecurity Supply Chain Risk Management Practices for Systems
and Organizations":
- https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final.

Ne avevo già parlato criticamente in occasione dell'uscita della prima
versione (https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final).
Mi sembra che siano migliorate alcune descrizioni di minacce, ma penso che
sia comunque troppo prolisso.

CNIL dichiara illegali i Google Analytics

Il CNIL, su reclamo dell'associazione noyb, ha in sostanza dichiarato illegale l'uso dei Google Analytics:
- https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply.

Sembra che Google non abbia fatto abbastanza per impedire l'accesso ai dati ai servizi di intelligence degli USA.

Grazie a Riccardo Lora degli Idraulici della privacy per aver segnalato questa notizia.

Mi pare che sia abbastanza facile togliere dal proprio sito i Google Analytics (anche se io non saprei come fare dal mio blog). Temo però che la stessa decisione possa applicarsi alle altre soluzioni Google (penso all'email e al file sharing) e ad altre soluzioni cloud negli USA e quindi sarà molto più difficile cambiare. Spero di leggere interpretazioni e casi di studio interessanti.

Stato degli standard ISO/IEC 270xx

Agli inizi di aprile 2022 si sono tenuti i meeting del ISO/IEC JTC 1 SC 27, ossia del gruppo che segue gli standard della famiglia ISO/IEC 27001, sicurezza e privacy.

Gli incontri sono online e alcuni sono in orari convenienti per chi abita in Italia, altri sono decisamente proibitivi per me, ma convenienti per chi abita in altri Paesi. Io questa volta non ho partecipato perché si è verificato il secondo caso.

Segue il mio resoconto, dove sono indicate solo le norme di mio interesse, secondo quanto ho ricavato dai resoconti:
- l'amdendment della ISO/IEC 27001:2013 dovrebbe uscire a inizio ottobre; ipotizzo quindi che la nuova ISO/IEC 27001 uscirà nel 2023 (e dovrò aggiornare il mio libro, ahimè); su questo però ho difficoltà a capire correttamente il resoconto e quindi spero di sbagliarmi;
- la nuova ISO/IEC 27005, sulla valutazione del rischio, dovrebbe uscire a settembre; il testo che ho visto non mi piace perché confuso, però trovo positivo che sia ufficialmente superato il modello basato sugli asset;
- la nuova ISO/IEC 27006-1, con i requisiti per gli organismi di certificazione, dovrebbe uscire nella primavera 2023;
- per la ISO/IEC 27017, sui controlli nel cloud, sono partiti i lavori per la nuova versione;
- la ISO/IEC 27701 sarà oggetto di aggiornamento non particolarmente significativo per allineare i controlli già esistenti a quelli della ISO/IEC 27002:2022 (i lavori sono partiti su suggerimento della delegazione italiana);
- similmente, anche la ISO/IEC 27018 (sulla privacy nel cloud) sarà riesaminata, sempre su suggerimento italiano, alla luce della ISO/IEC 27002:2022;
- per la privacy, seguono le attività per la ISO/IEC 27557 sulla valutazione del rischio organizzativo; norma non essenziale, ma negli ultimi anni ho seguito con interesse i lavori da cui ho tratto molti spunti di riflessione.

Guida per le PMI per la sicurezza e la privacy

Franco Vincenzo Ferrari di DNV mi ha segnalato la "SME Guide on Information Security Controls" della SBS:
- https://www.digitalsme.eu/new-sme-guide-on-information-security-controls/.

La guida è curiosamente basata sulla precedente versione del 2013 della ISO/IEC 27001.

Comunque è interessante. Non ammorba con la valutazione del rischio e spiega i controlli più significativi. Interessante poi trovare il controllo "Cyberthreats watch" che finora era ignorato in questo genere di guide.

Certificazioni GDPR: il punto della situazione

Elia Barbujani mi ha intervistato per IusLaw Web Radio su "Certificazioni GDPR: il punto della situazione":
- https://webradioiuslaw.it/certificazioni-gdpr-il-punto-della-situazione-speciale-adeguamento-privacy/.

Devo dire che mi sono divertito molto a riflettere con Elia su questo tema e lo ringrazio per questa bella opportunità che mi ha dato.

Analisi dei nuovi controlli della ISO/IEC 27002

Giulia Zanchettin mi ha segnalato questa pagina web dal titolo "Detailed explanation of 11 new security controls in ISO 27001:2022":
- https://advisera.com/27001academy/explanation-of-11-new-iso-27001-2022-controls.

Penso che sia una pagina utile e fatta molto bene. Io avrei solo aggiunto qualche commento e qualche riferimento in più sulla tecnologia disponibile.

Un semplice esempio: per il controllo A.8.16 (Monitoring activities) si poteva dire che era assurdamente non presente nella versione del 2013 (sicuramente per errore e perché parte, anche se impropria, dei controlli relativi alla raccolta dei log) e che per attuarlo è necessario investire in tecnologie come i SIEM.

Però è sempre facile criticare e dire che si poteva fare di più. E quindi ne raccomando la lettura.

Pubblicazione Enisa sugli standard di valutazione del rischio

Glauco Rampogna mi ha segnalato la pubblicazione ENISA dal titolo "Risk management standards":
- https://www.enisa.europa.eu/publications/risk-management-standards.

Distingue tra standard (come la ISO 31000 e la ISO/IEC 27005) e metodologie (in particolare EBIOS) e, nonostante il titolo, parla anche di queste ultime.

Lettura non molto approfondita (non ci sono neanche i link alle metodologie! e poi cita ancora il CRAMM che non credo esista ancora), ma comunque necessaria. Ho trovato particolarmente interessante il paragrafo "Practical use of standards and methodologies" perché fornisce un processo pratico, fatto di 5 incontri, per valutare il rischio. Non tutto mi trova d'accordo, ma anche questa è una lettura utile.

Guida CERT EU sulla sicurezza

Il CERT EU ha pubblicato la "Security Guidance 2022-01 - Cybersecurity mitigation measures against critical threats":
- https://media.cert.europa.eu/static/WhitePapers/TLP-WHITE-CERT-EU_Security_Guidance-22-001_v1_0.pdf.

Nulla di nuovo, se non che il documento è molto sintetico e pragmatico. Poi c'è il "Annex A: Hardening recommendations", utile per chi vuole un riferimento per l'hardening.

PCI DSS 4.0

Fabio Guasconi di Bl4ckSwan ha segnalato la pubblicazione della PCI DSS 4.0:
- https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub (e poi da qui bisogna accedere alla library).

Il PCI DSS specifica le misure di sicurezza per i dati delle carte di credito. Il documento è di 360 pagine e la lettura non è certo semplice. Però specifica le misure di sicurezza con un elevato livello di dettaglio e quindi è utile conoscerle.

Rapporto Clusit 2022

Se qualcuno non l'avesse ancora notato, il Clusit ha pubblicato il suo rapporto "sulla sicurezza ICT in Italia":
https://clusit.it/rapporto-clusit/.

Sempre pieno di dati interessanti.

Solo una critica: fino al 2017 il rapporto riportava alcuni attacchi rappresentativi dell'anno precedente e mi spiace che questa parte non ci sia più.

Incidente: mezzi meccanici che non funzionano senza l'IT

Pierluigi Stefli mi ha segnalato questa notizia dal titolo "Furto in un'azienda agricola di Rottofreno: rubati oltre 250mila euro di materiale":
- https://www.liberta.it/news/cronaca/2022/04/02/furto-in-unazienda-agricola-di-rottofreno-rubati-oltre-250mila-euro-di-materiale/.

In breve dei malviventi hanno rubato i computer di un'azienda agricola e senza di questi i trattori non possono lavorare. Ecco quindi che:
1- non avevano pensato a come lavorare in caso di assenza di sistemi informatici;
2- non avevano fatto i backup;
3- avevano investito tanti soldi e si sono dimenticati del piano di continuità.

Conclude Pierluigi: "tutta questa meravigliosa innovazione deve essere valutata e gestita".

Questo è un interessante caso da ricordare come esempio (anche se mi dispiace per le vittime).

BCI Horizon Scan Report 2022

Il BCI ha pubblicato la versione 2022 del suo Horizon Scan Report:
- https://www.thebci.org/resource/bci-horizon-scan-report-2022.html.

Non mi sembra ci sia niente di significativamente nuovo e le minacce sono facilmente intuibili: pandemia e malattie, lavoro da remoto e attacchi informatici, difficoltà a viaggiare, interruzioni della filiera di fornitura (supply chain distruptions), difficoltà a reperire le competenze. L'ultimo, a dire il vero, non me lo aspettavo.

La scarsità di novità è insita in questo tipo di rapporti, dove la notizia è quali sono gli eventi ritenuti più probabili da parte di manager (quindi con competenze "medie") sulla base di un elenco preparato dagli esperti. Però questo report è pubblicato da un attore autorevole e quindi può essere utile a qualcuno.

Guida ENISA sul Data protection engineering

Chiara Ponti degli Idraulici della privacy ha segnalato la pubblicazione da parte di ENISA della guida "Data protection engineering":
- https://www.enisa.europa.eu/publications/data-protection-engineering.

E' un documento piuttosto impegnativo perché tratta molte misure (anonimizzazione, pseudonimizzazione, mascheramento, elaborazione, canali di comunicazione, controllo accessi, trasparenza) e modalità per realizzarle in modo molto sintetico e pertanto alcune di esse richiedono approfondimenti.

E' comunque una lettura utile e consigliata.

Libro "Rischio digitale Innovazione e Resilienza" del Clusit

Segnalo il libro dal titolo (con troppe maiuscole, ahimè) "Rischio digitale Innovazione e Resilienza: Conoscere, affrontare e mitigare il rischio digitale":
- https://risk.clusit.it.

E' liberamente scaricabile.

Ho contribuito anche io e ne sono molto contento.

Intanto diciamo che vuole presentare molte cose e si nota una certa eterogeneità degli argomenti. Poi i "framework" non sono propriamente di valutazione del rischio ma di controllo.

Ci sono però molti pregi: una panoramica su molti settori significativi per la valutazione del rischio (e che dovrebbe conoscere anche chi non ci lavora, per ampliare la propria cultura e competenza), una panoramica sui framework di sicurezza e alcuni spunti in merito alla conduzione della valutazione del rischio (anche se non li convido tutti, penso sia necessario comprenderli per poi scegliere consapevolmente l'approccio da seguire).

Il mio punto preferito è il 5.7.2 "Aspetti psicologici e pregiudizi (bias) nella percezione del rischio" perché penso sia importantissimo da conoscere. Me ne rendo conto soprattutto quando sento parlare di "oggettività della valutazione del rischio".

NIST SP 1800-10 sulla sicurezza dei sistemi industriali (ICS)

Il NIST ha pubblicato la SP 1800-10 con titolo "Protecting Information and System Integrity in Industrial Control System Environments: Cybersecurity for the Manufacturing Sector":
- https://www.nccoe.nist.gov/manufacturing/protecting-information-and-system-integrity-industrial-control-system-environments.

Oltre al testo principale, c'è la parte A (Executive summary), la parte B (4 esempi di architetture, con specifici prodotti e configurazioni), la parte C (specifiche dettagliate per configurare i prodotti riportati nella parte B).

Sono documenti estremamente tecnici. Il NIST ne ha prodotti diversi. Il documento meno tecnico è la SP 800-82, comunque di 250 pagine.

Corso (gratuito) sulla ISO/IEC 27701

Ho avuto modo di conoscere (tramite social) Leocadio Marrero Trulillo. Ho quindi scoperto che tiene numerosi corsi sulla sicurezza e lui stesso mi ha segnalato questo suo video "Bootcamp Sochisi 2022 - Taller N°5: Uso práctico empresarial de la Privacidad ISO 27701":
- https://www.youtube.com/watch?v=lxVLCz0o1HE.

Intanto dico che è in spagnolo. Poi dico che non conoscevo asollutamente la Fundación Sochisi, però mi sembra che ci sia materiale decisamente interessante.

Per quanto riguarda il corso sulla ISO/IEC 27701 (di 2 ore e 20 minuti), io penso che spieghi molto bene la norma (e anche la privacy). E sono anche un po' invidioso per la chiarezza con cui i vari argomenti sono presentati.

VERA 7 - In lavorazione

Sto lavorando al VERA 7, con un'impostazione leggermente diversa dalle precedenti. Niente di sconvolgente, eh... Solo che volevo semplificare un po' l'aggiunta delle minacce e dei controlli in modo da poter integrare più valutazioni del rischio.

Se qualcuno volesse riceverle la bozza per segnalare suggerimenti, la invio volentieri.

Mi piacerebbe anche un aiuto per i rischi relativi all'efficacia del sistema di gestione.

NSA Network Infrastructure Security Guidance

@CISAgov recommends the Il CISA (Cybersecurity and Infrastructure Security Agency degli USA) ha segnalato che l'NSA ha pubblicato un documento dal titolo "Network Infrastructure Security Guidance":
- https://www.cisa.gov/uscert/ncas/current-activity/2022/03/03/nsa-releases-network-infrastructure-security-guidance.

Mi sembra un documento sintetico (58 pagine) e completo. Può essere, a mio avviso, usato validamente come riferimento per la configurazione della rete.

Confesso che non tutto mi è chiaro e purtroppo sento la mancanza di un testo altrettanto completo e rigoroso, ma orientato allo studio (come era "Building Internet Firewalls", del 2000). Però sono sicuro che un sistemista capirà tutto e potrà applicare queste linee guida senza difficoltà, a parte il tempo da dedicarci, ovviamente.

Giovedì 17 marzo: mio breve intervento sulla ISO/IEC 27005 al Security Summit

Il 15-17 marzo ci sarà il Security Summit nella Milano virtuale:
- https://securitysummit.it/eventi/streaming-edition-marzo-2022/agenda.

Io terrò un intervento sulla ISO/IEC 27005 all'interno della sesssione "Nuovo anno, nuove norme: aggiornamenti sui lavori ISO, CEN, ETSI e UNINFO" il 17 marzo alle 15. Il mio intervento sarà brevissimo e con l'obiettivo di accennare alla nuova struttura della ISO/IEC 27005 e all'approccio "per eventi", alternativo a quello "per asset".

Raccomando però di seguire tutta la sessione, visto che fornirà chiarimenti sulla nuova ISO/IEC 27002, sulle norme ad essa collegate e sulla futura ISO/IEC 27001.

Mio corso di introduzione alle ISO/IEC 27001 e 27002 per Digital&Law Academy

Con Digital&Law Academy ho preparato un corso di 6 ore da seguire online sugli standard ISO/IEC 27001 e ISO/IEC 27002 per la sicurezza delle informazioni:
- https://digitalaw.it/elenco-corsi/gli-standard-iso-iec-27001-e-iso-iec-27002-per-la-sicurezza-delle-informazioni/#Programma.

E' diviso in tre moduli rispettivamente per la ISO/IEC 27001, la ISO/IEC 27002, la ISO/IEC 27701.

E' a pagamento (350 Euro).

Tempi per forzare le password

Glauco Rampogna degli Idraulici della privacy ha segnalato una tabella che indica il tempo per forzare le password con forza bruta. Si può scaricare da qui:
- https://www.hivesystems.io/password-table.

In sostanza, è meglio avere password di almeno 11 caratteri.

Mia intervista su IusLaw Web Radio sulla ISO/IEC 27002

Elia Barbujani mi ha fatto l'onore di intervistarmi sulla nuova ISO/IEC 27002:
- https://webradioiuslaw.it/le-nuove-iso27001-e-27002-speciale-adeguamento-privacy/.

Ne è nata una bella discussione e ringrazio ancora Elia per questa opportunità.

Vulnerabilità in Zabbix

Dal SANS NewsBites segnalo questo articolo dal titolo, non molto chiaro, "Zabbix vulnerabilities added to CISA catalog":
- https://www.zdnet.com/article/zabbix-vulnerabilities-added-to-cisa-catalog/.

Hanno trovato vulnerabilità in Zabbix, un prodotto di supporto per le attività sistemistiche. La vulnerabilità riguarda l'implementazione di SAML, che a sua volta abilita il single-sign-on (SSO) e l'autenticazione a più fattori (MFA). Quindi, in questo caso, abbiamo una vulnerabilità di un meccanismo di sicurezza di un prodotto (anche) di sicurezza.

Le patch sono disponibili da dicembre.

Lo segnalo per ricordare di prestare attenzione anche a queste cose.

Toyota ferma a causa di un incidente IT presso un fornitore

Il titolo "Toyota suspends domestic factory operations after suspected cyber attack" dice molto di questo articolo (che io segnalo dopo averlo visto sul SANS NewsBites):
- https://www.reuters.com/business/autos-transportation/toyota-suspends-all-domestic-factory-operations-after-suspected-cyber-attack-2022-02-28/.

In realtà non si sa molto dell'incidente che ha colpito il fornitore, ma rientra sicuramente nei casi di "supply chain attack" e non nell'ambito strettamente informatico.

Sarà interessante sapere di più dell'incidente.

Lista CISA di strumenti di sicurezza gratuiti

Il CISA (Cybersecurity & Infrastructure Security Agency degli USA) ha pubblicato un'interessante lista di strumenti gratuiti per la sicurezza:
- https://www.cisa.gov/free-cybersecurity-services-and-tools.

Si tratta di una lista piuttosto eterogenea: da semplicissimi fogli Excel per l'inventario degli asset a strumenti di scansione delle vulnerabilità. Di alcuni non ho capito bene le funzionalità, ma sono sicuro che altri più preparati di me non avranno problemi.

Penso sia una lista da considerare, in quanto sicuramente autorevole e utile.

Ringrazio della segnalazione Flora Tozzi di DFA.

Pubblicata la ISO/IEC 27002:2022

Ho già scritto sulla "futura" ISO/IEC 27002:2022. Ora non è più futura, ma attuale:
- https://www.iso.org/standard/75652.html.

Penso sempre che sia utile leggerla, anche se ha i suoi difetti: ci sono alcune ridondanze, spunti non approfonditi a sufficienza e altri troppo, aspetti troppo tecnologici e aspetti dove la tecnologia non è abbastanza analizzata, eccetera. Però penso che questa edizione sia notevolmente interessante e degna di essere letta.

Pubblicato "Sicurezza delle informazioni - Edizione 2022" in italiano e in inglese

Finalmente sono riuscito a publicare la nuova edizione di "Sicurezza delle informazioni", aggiornata con i controlli della ISO/IEC 27002:2022 e non solo (anzi... spero di non essere smentito in futuro sulle date di pubblicazione delle ISO/IEC 27001 e 27002, perché se no dovrò correggere!).

Ho colto l'occasione per inserire ulteriori aggiornamenti sulle tecnologie (citando IoT, OT, intelligenza artificiale, eccetera), sulle minacce e gli accreditamenti. Inoltre, Stefano Ramacciotti ha aggiornato l'appendice sui Common Criteria e sulle FIPS 140.

Per questa edizione ho avuto un revisore d'eccezione: Monica Perego. Ma non sempre ho seguito i suoi suggerimenti e quindi eventuali errori sono miei.

 La pagina di presentazione dell'edizione in italiano (consigliata, perché è l'originale, mentre l'inglese è una traduzione):
- http://blog.cesaregallotti.it/p/blog-page.html.

La pagina di presentazione dell'edizione in inglese:
- https://blog.cesaregallotti.it/p/blog-page_20.html.

Attenzione che la copertina è quella con i Giganti della Sila (alberi). Non comprate, quindi, l'edizione con il Perito Moreno (ghiacciaio).

EDPB e i requisiti di certificazione CARPA

Franco Ferrari mi ha segnalato il fatto che EDPB ha emesso l'Opinion 1/2022 sui "certification criteria" GDPR - CARPA e la decisione del Garante lussemburghese:
- https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-12022-draft-decision-luxembourg_en.

E' evidente che è molto importante perché è un ulteriore passo verso lo schema di certificazione privacy "secondo il GDPR". Però EDPB ha chiesto "un numero di cambiamenti" (vedere soprattutto quelli elencati dal punto 2.4 in poi) e quindi dovremo aspettare ulteriormente.

Più semplice è la notizia:
- https://edpb.europa.eu/news/news/2022/edpb-adopts-first-opinion-certification-criteria_it.

Non mi è chiaro perché "The present certification is not a certification according to article 46(2)(f) of the GDPR meant for international transfers".

Leggendo l'Opinion, poi, si vede che viene richiesto l'uso delle norme ISAE 3000 che non conosco. Però, curiosamente, il parere dice che non fanno parte dei "certification criteria" e non mi convince. Infatti la certificazione "secondo GDPR" dovrebbe basarsi sulla ISO/IEC 17065, che non parla mai di "certification criteria", ma di "certification requirements" e questa è una cosa che può creare confusione. Inoltre penso che si debba indagare anche il funzionamento dello "schema di certificazione", se no si rischiano derive e interpretazioni non controllate.

Qualificazione dei servizi cloud delle PA

Glauco Rampogna (un Idraulico della privacy) mi ha segnalato la pubblicazione degli atti per qualificare i servizi cloud delle PA:
- https://innovazione.gov.it/notizie/articoli/cloud-pa-online-gli-atti-per-classificare-dati-e-servizi-e-qualificare-i-servizi/.

Provo a fare un brevissimo riassunto (attenzione che il titolo della pagina è leggermente fuorviante, visto che parla di classificazione, che si trova in altri documenti, e non cita il cloud).

Un documento riguarda la predisposizione dell'elenco e della classificazione di dati e di servizi delle PA e prevede un questionario. Non so come accedere al questionario e immagino sia a disposizione solo delle PA.

Un altro documento riporta, nell'allegato A2, i "livelli minimi di sicurezza" per i servizi cloud delle PA. Mi sembra molto interessante e credo, come ho già detto altrove, che sia utile confrontarsi con questi criteri anche se non si erogano servizi cloud per le PA.

Nello stesso documento è presente un Allegato B2, con riportate le "caratteristiche di qualità, sicurezza, performance, scalabilità, interoperabilità e portabilità dei servizi cloud per la PA".

Il tutto serve per poi classificare i servizi cloud e le infrastrutture cloud per la PA.

I documenti fanno spesso riferimento al "Regolamento", ossia al ""Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione, nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione". Il nome è in effetti un po' lungo e non aiuta. Comunque si trova qui:
- https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_12 3065_725_1.html.

In esso sono riportati criteri di classificazione dei dati e dei servizi digitali (articolo 3, comma 3). Purtroppo mi erano sfuggiti a dicembre, ma li trovo interessanti perché, in sostanza, prevedono una classificazione molto semplice in 3 livelli e non prevede etichettatura. Mi viene da pensare che potrebbero essere usati come base di partenza per la classificazione (e la non-etichettatura) anche dalle organizzazioni non della PA.

Una nota di demerito: gli allegati che ho richiamato sopra sono in un pdf che non permette né la ricerca né il copia-incolla. Spero che, in un'ottica di miglioramento generale della sicurezza, vengano presto messi a disposizione in un altro formato.