Segnalo questo articolo di Laura Zarrillo dal titolo "On the Frontlines:
Building Operational Resilience":
-
https://iaonline.theiia.org/blogs/Your-Voices/2021/Pages/On-the-Frontlines-Building-Operational-Resilience.aspx.
La continuità operativa a questi livelli (e in particolare nel settore
bancario e finanziario) non è propriamente il mio settore, ma penso sia
comunque opportuno tenersi aggiornati su cosa sta succedendo.
In particolare qui ci sono riferimenti alla necessità di controllare meglio
i fornitori, i fornitori cloud e i sub-fornitori, stabilire il livello di
accettabilità più sugli impatti che sui rischi, porre attenzione al ruolo dell'intelligenza artificiale e del machine learning, omogeneizzare la
classificazione degli incidenti.
Ci sono altri spunti di interesse in questo articolo e ne raccomando la lettura.
venerdì 17 settembre 2021
giovedì 16 settembre 2021
Attacco SolarWinds del dicembre 2020: una sintesi
Da Crypto-Gram del 15 settembre 2021, segnalo questo articolo dal titolo
"SolarWinds and the Holiday Bear Campaign: A Case Study for the Classroom":
- https://www.lawfareblog.com/solarwinds-and-holiday-bear-campaign-case-study-classroom.
Scritto bene e interessante.
Purtroppo sembra che non sia ancora noto come abbiano fatto a compromettere i server di sviluppo del prodotto Orion. Saperlo, credo, ci permetterebbe di imparare una lezione importante.
- https://www.lawfareblog.com/solarwinds-and-holiday-bear-campaign-case-study-classroom.
Scritto bene e interessante.
Purtroppo sembra che non sia ancora noto come abbiano fatto a compromettere i server di sviluppo del prodotto Orion. Saperlo, credo, ci permetterebbe di imparare una lezione importante.
lunedì 13 settembre 2021
Privacy: Nuove clausole contrattuali standard per i trasferimenti all'estero
Il 4 giugno 2021, la Commissione europea ha pubblicato le nuove clausole
contrattuali standard (standard contractual clauses, SCC) per i
trasferimenti all'estero:
-
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimens
ion-data-protection/standard-contractual-clauses-scc_en.
Questo era dovuto anche perché i modelli precedenti del 2010 si basavano
sulla Direttiva 95/46 e non sul GDPR.
Io insisto su un punto, ossia sul fatto che anche nel caso di trasferimenti
tra titolari sono indicate le misure di sicurezza e quindi penso che debba
essere previsto anche nel caso di trasferimenti tra titolari all'interno
dello stesso Paese.
Segnalo che è interessante il fatto che, rispetto alle precedenti SCC che
erano per trasferimenti da titolare a titolare o da titolare a responsabile,
qui sono stati aggiunti i casi di trasferimenti da responsabile a
responsabile e da responsabile a titolare.
contrattuali standard (standard contractual clauses, SCC) per i
trasferimenti all'estero:
-
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimens
ion-data-protection/standard-contractual-clauses-scc_en.
Questo era dovuto anche perché i modelli precedenti del 2010 si basavano
sulla Direttiva 95/46 e non sul GDPR.
Io insisto su un punto, ossia sul fatto che anche nel caso di trasferimenti
tra titolari sono indicate le misure di sicurezza e quindi penso che debba
essere previsto anche nel caso di trasferimenti tra titolari all'interno
dello stesso Paese.
Segnalo che è interessante il fatto che, rispetto alle precedenti SCC che
erano per trasferimenti da titolare a titolare o da titolare a responsabile,
qui sono stati aggiunti i casi di trasferimenti da responsabile a
responsabile e da responsabile a titolare.
sabato 28 agosto 2021
Non rispondere ai troll
Segnalo questo articolo dal titolo "Perché non dovresti mai rispondere ad un
commento idiota su LinkedIn (e gli altri social)":
https://www.linkedin.com/posts/andreagiuliodori_social-community-troll-activity-6831912768891842560-isrC.
Ritengo che sia utile a chiunque fa attività di formazione e sensibilizzazione, visto che i troll non esistono solo sui social, ma anche nel mondo fisico.
Grazie a un link del mio amico Andrea Merico di Methos.
https://www.linkedin.com/posts/andreagiuliodori_social-community-troll-activity-6831912768891842560-isrC.
Ritengo che sia utile a chiunque fa attività di formazione e sensibilizzazione, visto che i troll non esistono solo sui social, ma anche nel mondo fisico.
Grazie a un link del mio amico Andrea Merico di Methos.
ENISA Threat Landscape for Supply Chain Attacks
A fine luglio 2021, ENISA ha pubblicato un documento dal titolo "Threat
Landscape for Supply Chain Attacks":
- https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks.
Lo segnalo perché al capitolo 4 e in appendice A sono riportate le
descrizioni degli attacchi alle filiere di fornitura più noti. Ovviamente,
può anche essere utile a chi vuole approfondire questo tipo di attacchi.
Le misure di sicurezza proposte, però, non mi sembrano assolutamente
innovative. Si possono ricondurre tutte al "controlla bene i tuoi fornitori"
(e d'altra parte ad esse sono dedicate solo 3 pagine).
Altra nota di interesse è il capitolo 6 dal titolo "Not everything is a
supply chain attack": una paginetta che però serve a ricordarci di non
concentrare l'attenzione solo su un tipo di attacco.
mercoledì 25 agosto 2021
Intelligenza Artificiale, proposto il nuovo quadro normativo europeo
Segnalo questo articolo di Altalex dal titolo (leggermente fuorviante, visto
che il quadro normativo è al momento in fase di proposta) "Intelligenza
Artificiale, il nuovo quadro normativo europeo" e sottotitolo "La proposta
di Regolamento del Parlamento europeo e del Consiglio stabilisce norme
armonizzate in materia di AI e modifica alcuni atti legislativi
dell'Unione":
- https://www.altalex.com/documents/news/2021/05/20/intelligenza-artificiale-nuovo-quadro-normativo-europeo.
Non segnalo quasi mai interventi su proposte o bozze, ma penso che sia comunque opportuno cominciare a studiare il tema dell'intelligenza artificiale.
A questo proposito ricordo anche il libro (gratuito!) del Clusit dal titolo " Intelligenza artificiale e sicurezza: opportunità, rischi e raccomandazioni":
- https://iasecurity.clusit.it/.
- https://www.altalex.com/documents/news/2021/05/20/intelligenza-artificiale-nuovo-quadro-normativo-europeo.
Non segnalo quasi mai interventi su proposte o bozze, ma penso che sia comunque opportuno cominciare a studiare il tema dell'intelligenza artificiale.
A questo proposito ricordo anche il libro (gratuito!) del Clusit dal titolo " Intelligenza artificiale e sicurezza: opportunità, rischi e raccomandazioni":
- https://iasecurity.clusit.it/.
martedì 24 agosto 2021
Riservatezza e confidenzialità
A giugno, analizzando il DL 82 del 2021, avevo notato che era usato il
termine "confidenzialità" al posto di "riservatezza". Su questo mi ha
risposto Stefano Ramacciotti di (ISC)2 Italy Chapter e lo ringrazio.
Insieme abbiamo elaborato la seguente sintesi: una possibile spiegazione è che il termine "riservato" è usato nell'ambito delle classifiche di segretezza che indicano il livello di segretezza di una informazione contenuta in documenti, atti, cose, materiali, luoghi, ecc., e servono a limitarne la diffusione, circoscrivendo l'ambito di quanti possono venirne legittimamente a conoscenza al fine di tutelare la sicurezza dello Stato.
Per questo, quando si tratta di documenti che non hanno a che fare con la sicurezza dello Stato, talvolta, ma non sempre, si preferisce utilizzare un termine che non rientra nelle classifiche di segretezza. Infatti, per quanto riguarda le classifiche di segretezza, la corretta traduzione di confidential in italiano è riservatissimo e non confidenziale.
Per ulteriori informazioni si veda il Decreto del Presidente del Consiglio dei ministri 6 novembre 2015, n. 5 recante "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva". Il testo è stato successivamente modificato con le disposizioni contenute nel DPCM 2 ottobre 2017, n. 3. Qui viene spiegato che le informazioni classificate vanno da Riservato (Restricted), a Riservatissimo (Confidential), a Segreto (Secret) e a Segretissimo (Top Secret).
Da notare che altri, per esempio nei Paesi anglosassoni, sono meno precisi, visto che usano sempre il termine "confidential", sia nell'ambito delle classifiche di segretezza, sia in altri contesti.
Insieme abbiamo elaborato la seguente sintesi: una possibile spiegazione è che il termine "riservato" è usato nell'ambito delle classifiche di segretezza che indicano il livello di segretezza di una informazione contenuta in documenti, atti, cose, materiali, luoghi, ecc., e servono a limitarne la diffusione, circoscrivendo l'ambito di quanti possono venirne legittimamente a conoscenza al fine di tutelare la sicurezza dello Stato.
Per questo, quando si tratta di documenti che non hanno a che fare con la sicurezza dello Stato, talvolta, ma non sempre, si preferisce utilizzare un termine che non rientra nelle classifiche di segretezza. Infatti, per quanto riguarda le classifiche di segretezza, la corretta traduzione di confidential in italiano è riservatissimo e non confidenziale.
Per ulteriori informazioni si veda il Decreto del Presidente del Consiglio dei ministri 6 novembre 2015, n. 5 recante "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva". Il testo è stato successivamente modificato con le disposizioni contenute nel DPCM 2 ottobre 2017, n. 3. Qui viene spiegato che le informazioni classificate vanno da Riservato (Restricted), a Riservatissimo (Confidential), a Segreto (Secret) e a Segretissimo (Top Secret).
Da notare che altri, per esempio nei Paesi anglosassoni, sono meno precisi, visto che usano sempre il termine "confidential", sia nell'ambito delle classifiche di segretezza, sia in altri contesti.
lunedì 23 agosto 2021
Misure del CSIRT per difendersi dagli attacchi ransomware
Glauco Rampogna degli Idraulici della privacy mi ha segnalato il documento
del CSIRT dal titolo "Ransomware - Misure di protezione e organizzazione dei
dati per un ripristino efficace":
- https://csirt.gov.it/contenuti/ransomware-misure-di-protezione-e-organizzazione-dei-dati-per-un-ripristino-efficace.
Lo ringrazio e però penso siano eccessivamente generiche per essere di vero aiuto.
Giusto per un esempio, la PR.DS-5 recita "Sono implementate tecniche di protezione (es. controllo di accesso) contro la sottrazione dei dati (data leak)". E il commento è: "Il fenomeno della double extortion è estremamente comune nei ransomware attuali, di conseguenza le tecniche di data leak prevention giocano un ruolo fondamentale nel contrasto a questo tipo di minaccia".
Quindi penso che queste misure siano espresse in modo troppo generico e, alla fine, non dicono alcunché. Peccato.
- https://csirt.gov.it/contenuti/ransomware-misure-di-protezione-e-organizzazione-dei-dati-per-un-ripristino-efficace.
Lo ringrazio e però penso siano eccessivamente generiche per essere di vero aiuto.
Giusto per un esempio, la PR.DS-5 recita "Sono implementate tecniche di protezione (es. controllo di accesso) contro la sottrazione dei dati (data leak)". E il commento è: "Il fenomeno della double extortion è estremamente comune nei ransomware attuali, di conseguenza le tecniche di data leak prevention giocano un ruolo fondamentale nel contrasto a questo tipo di minaccia".
Quindi penso che queste misure siano espresse in modo troppo generico e, alla fine, non dicono alcunché. Peccato.
Agenzia per la cybersicurezza nazionale - Articolo
In merito al DL 82 del 2021 convertito in Legge dalla L. 109 del 2021,
segnalo l'articolo di analisi di Altalex:
- https://www.altalex.com/documents/news/2021/08/19/cybersecurity-convertito-legge-decreto-ora-parole-fatti.
Non è molto approfondito, ma permette di capire cosa prevede il DL, la cui lettura è certamente difficile.
- https://www.altalex.com/documents/news/2021/08/19/cybersecurity-convertito-legge-decreto-ora-parole-fatti.
Non è molto approfondito, ma permette di capire cosa prevede il DL, la cui lettura è certamente difficile.
domenica 22 agosto 2021
Agenzia per la cybersicurezza nazionale - Aggiornamento
Avevo scritto dell'istituzione dell'Agenzia per cybersicurezza nazionale con
il DL 82 del 2021:
- http://blog.cesaregallotti.it/2021/06/agenzia-per-la-cybersicurezza-nazionale.html.
Stefano Ramacciotti di (ISC)2 Italy Chapter mi ha segnalato che il DL è stato convertito in Legge con la Legge 109 del 2021.
La Legge 109 apporta alcune modifiche al DL. Mi sembra che le più importanti riguardino i poteri dell'agenzia per sviluppare tecnologie di sicurezza e promuovere "corsi formativi universitari in materia" e ritengo siano molto interessanti. Ovviamente bisognerà vedere cosa succederà nella realtà, ma penso che l'iniziativa sia molto positiva.
- http://blog.cesaregallotti.it/2021/06/agenzia-per-la-cybersicurezza-nazionale.html.
Stefano Ramacciotti di (ISC)2 Italy Chapter mi ha segnalato che il DL è stato convertito in Legge con la Legge 109 del 2021.
La Legge 109 apporta alcune modifiche al DL. Mi sembra che le più importanti riguardino i poteri dell'agenzia per sviluppare tecnologie di sicurezza e promuovere "corsi formativi universitari in materia" e ritengo siano molto interessanti. Ovviamente bisognerà vedere cosa succederà nella realtà, ma penso che l'iniziativa sia molto positiva.
sabato 21 agosto 2021
Perimetro di sicurezza: DPCM 81 del 2021 su notifiche e misure di sicurezza
Avevo scritto a marzo della bozza di un DPCM relativo alle regole per
notificare gli incidenti da parte delle organizzazioni che fanno parte del
"perimetro di sicurezza nazionale cibernetica" e alle misure di sicurezza
che devono applicare.
E' stato quindi approvato come DPCM 81 del 14 aprile 2021 (ma pubblicato in GU l'11 giugno):
- http://www.normattiva.it/eli/id/2021/06/11/21G00089/ORIGINAL.
Ringrazio Franco Vincenzo Ferrari di DNV per avermelo segnalato.
La lettura del DPCM è complessa perché sono presenti molti riferimenti ad altra normativa relativa al "perimetro" e non solo. Va però detto che gli approfondimenti sono necessari solo per le organizzazioni include nel perimetro, mentre le altre potrebbero ignorare completamente questo DPCM. Mi permetto però di segnalare che in Allegato B sono riportate le misure di sicurezza e ne raccomando vivamente la lettura anche a chi non lavora per organizzazioni all'interno del perimetro, ma comunque con significative esigenze di sicurezza.
A marzo avevo scritto che le misure di sicurezza erano riportate in altri documenti (lo avevo fatto con errori, segnalatomi da Giancarlo Caroti di Neumus, per cui avevo poi inviato un errata corrige). Nella versione definitiva del DPCM le misure sono riportate direttamente in un Allegato B e confesso di non aver verificato la loro aderenza ai documenti iniziali.
Però le ho lette e devo dire che mi hanno convinto e mi sembra che prevedano molti miglioramenti ad altri elenchi che avevo letto rispetto alle misure minime AgID e a quelle del "framework nazionale" (ancora una volta non ho verificato puntualmente, visto che non lo ritengo molto utile). Ovviamente ho visto alcuni refusi e ho notato alcune misure con impostazione vecchia o troppo burocratica, ma si tratta di poca cosa, se consideriamo che sono descritte in 13 dense pagine.
Aggiungo poi che le misure sono suddivise in due categorie (con fantasia indicate come "A" e "B") a seconda dell'urgenza con cui devono essere attuate. Anche questa indicazione può essere utile anche a chi non fa parte del perimetro.
A marzo avevo commentato soprattutto le regole relative alla notifica degli incidenti e le ribadisco qui, con qualche piccolo aggiornamento:
- acquista importanza lo CSIRT nazionale, a cui vanno comunicati gli incidenti;
- i tempi di comunicazione sono strettissimi e sono di un'ora per gli incidenti più gravi e 6 ore per quelli meno gravi; forse eccessivamente brevi per un'organizzazione che sarà impegnata nella loro chiusura;
- non viene detto da dove è stata ricavata la tassonomia degli incidente in allegato A ed è un peccato, visto che un riferimento autorevole ed esplicito era auspicabile (ho anche dei dubbi su alcune descrizioni di incidenti come quella troppo generica di "Perdita di confidenzialità o integrità", peraltro presente nella tabella degli incidenti "meno gravi");
- mi chiedo come questa tassonomia si integri con quella di ENISA per i fornitori di servizi eIDAS (https://www.enisa.europa.eu/publications/article19-incident-reporting-framework); non vorrei che troppe tassonomie tra loro scollegate facciano più male che bene;
- è richiesto (articolo 5) che le informazioni sugli incidenti vengano comunicate a molti soggetti e penso che questa diffusione di informazioni sia rischiosa (anche se l'allegato C specifica le misure di sicurezza da prevedere per queste informazioni, bisogna dire che sono talmente generica da non essere significative).
E' stato quindi approvato come DPCM 81 del 14 aprile 2021 (ma pubblicato in GU l'11 giugno):
- http://www.normattiva.it/eli/id/2021/06/11/21G00089/ORIGINAL.
Ringrazio Franco Vincenzo Ferrari di DNV per avermelo segnalato.
La lettura del DPCM è complessa perché sono presenti molti riferimenti ad altra normativa relativa al "perimetro" e non solo. Va però detto che gli approfondimenti sono necessari solo per le organizzazioni include nel perimetro, mentre le altre potrebbero ignorare completamente questo DPCM. Mi permetto però di segnalare che in Allegato B sono riportate le misure di sicurezza e ne raccomando vivamente la lettura anche a chi non lavora per organizzazioni all'interno del perimetro, ma comunque con significative esigenze di sicurezza.
A marzo avevo scritto che le misure di sicurezza erano riportate in altri documenti (lo avevo fatto con errori, segnalatomi da Giancarlo Caroti di Neumus, per cui avevo poi inviato un errata corrige). Nella versione definitiva del DPCM le misure sono riportate direttamente in un Allegato B e confesso di non aver verificato la loro aderenza ai documenti iniziali.
Però le ho lette e devo dire che mi hanno convinto e mi sembra che prevedano molti miglioramenti ad altri elenchi che avevo letto rispetto alle misure minime AgID e a quelle del "framework nazionale" (ancora una volta non ho verificato puntualmente, visto che non lo ritengo molto utile). Ovviamente ho visto alcuni refusi e ho notato alcune misure con impostazione vecchia o troppo burocratica, ma si tratta di poca cosa, se consideriamo che sono descritte in 13 dense pagine.
Aggiungo poi che le misure sono suddivise in due categorie (con fantasia indicate come "A" e "B") a seconda dell'urgenza con cui devono essere attuate. Anche questa indicazione può essere utile anche a chi non fa parte del perimetro.
A marzo avevo commentato soprattutto le regole relative alla notifica degli incidenti e le ribadisco qui, con qualche piccolo aggiornamento:
- acquista importanza lo CSIRT nazionale, a cui vanno comunicati gli incidenti;
- i tempi di comunicazione sono strettissimi e sono di un'ora per gli incidenti più gravi e 6 ore per quelli meno gravi; forse eccessivamente brevi per un'organizzazione che sarà impegnata nella loro chiusura;
- non viene detto da dove è stata ricavata la tassonomia degli incidente in allegato A ed è un peccato, visto che un riferimento autorevole ed esplicito era auspicabile (ho anche dei dubbi su alcune descrizioni di incidenti come quella troppo generica di "Perdita di confidenzialità o integrità", peraltro presente nella tabella degli incidenti "meno gravi");
- mi chiedo come questa tassonomia si integri con quella di ENISA per i fornitori di servizi eIDAS (https://www.enisa.europa.eu/publications/article19-incident-reporting-framework); non vorrei che troppe tassonomie tra loro scollegate facciano più male che bene;
- è richiesto (articolo 5) che le informazioni sugli incidenti vengano comunicate a molti soggetti e penso che questa diffusione di informazioni sia rischiosa (anche se l'allegato C specifica le misure di sicurezza da prevedere per queste informazioni, bisogna dire che sono talmente generica da non essere significative).
lunedì 2 agosto 2021
Sito No more ransom
Segnalo, dalla newsletter SANS NewsBites del 27 luglio, il sito web
https://www.nomoreransom.org/.
Leggo che è disponibile in 37 lingue, mette a disposizione più di 120 strumenti per decifrare più di 150 tipi di ransomware.
Ci ho fatto un breve giro e ho trovato interessante anche il supporto fornito per riconoscere di quale ransomware si è vittime.
Ulteriore nota di interesse è la sezione "Prevention advice" (in italiano "Consigli sulla Prevenzione"), da leggere assolutamente.
Leggo che è disponibile in 37 lingue, mette a disposizione più di 120 strumenti per decifrare più di 150 tipi di ransomware.
Ci ho fatto un breve giro e ho trovato interessante anche il supporto fornito per riconoscere di quale ransomware si è vittime.
Ulteriore nota di interesse è la sezione "Prevention advice" (in italiano "Consigli sulla Prevenzione"), da leggere assolutamente.
giovedì 29 luglio 2021
FAQ sulle certificazioni privacy
Il Garante e Accredia hanno pubblicato le FAQ sulle certificazioni privacy:
- https://www.gpdp.it/regolamentoue/certificazione-e-accreditamento.
Non dicono nulla che i miei lettori già non sanno.
Io non le avrei neanche segnalate, ma mi ha convinto Nicola Nuti dicendomi che secondo lui "sono da prendere in considerazione perché perseguono l'obiettivo di far crescere le PMI nel rispetto delle cogenze "privacy", non sono teoriche ma specifiche".
A mio parere, queste FAQ hanno il difetto di non sottolineare il fatto che ad oggi non sono ancora stati approvati schemi di certificazione ai sensi del GDPR.
- https://www.gpdp.it/regolamentoue/certificazione-e-accreditamento.
Non dicono nulla che i miei lettori già non sanno.
Io non le avrei neanche segnalate, ma mi ha convinto Nicola Nuti dicendomi che secondo lui "sono da prendere in considerazione perché perseguono l'obiettivo di far crescere le PMI nel rispetto delle cogenze "privacy", non sono teoriche ma specifiche".
A mio parere, queste FAQ hanno il difetto di non sottolineare il fatto che ad oggi non sono ancora stati approvati schemi di certificazione ai sensi del GDPR.
martedì 20 luglio 2021
Mia breve intervista per DNV
DNV ha pubblicato una mia intervista sulla sicurezza delle informazioni:
- https://www.youtube.com/watch?v=heYFFcvSKAg.
Mi avevano chiesto di avere una parete bianca alle spalle, ma, a casa mia, le pareti sono occupate da ricordi, foto, libri, armadi, scrivanie eccetera. Ho trovato un pezzettino di parete bianca abbastanza grande sedendomi per terra. Meno male che l'intervista è stata molto breve (meno di 3 minuti).
- https://www.youtube.com/watch?v=heYFFcvSKAg.
Mi avevano chiesto di avere una parete bianca alle spalle, ma, a casa mia, le pareti sono occupate da ricordi, foto, libri, armadi, scrivanie eccetera. Ho trovato un pezzettino di parete bianca abbastanza grande sedendomi per terra. Meno male che l'intervista è stata molto breve (meno di 3 minuti).
sabato 10 luglio 2021
Mie riflessioni sui recenti attacchi ransomware
Chiara Ponti degli Idraulici della privacy mi ha chiesto qualche riflessione
in merito ai recenti (e meno recenti) attacchi ransomware. Lei era partita
da un articolo oggettivamente superficiale e quindi non lo cito.
Intanto dobbiamo distinguere due tipi di attacchi: quello ransomware mirato direttamente alla vittima e gli attacchi sulla filiera di fornitura o "supply chain". Questi ultimi prevedono di attaccare un fornitore in modo poi da usarlo come "ponte" per colpire altre vittime. In questo caso, il fornitore è stato attaccato per impiantare ransomware presso le vittime.
Per il ransom qualcosa l'avevo già scritta (http://blog.cesaregallotti.it/2021/05/attacco-colonial-pipeline.html), ma vorrei ribadire che la prima regola è quella di segregare le reti, oltre a fare backup e aggiornare i sistemi. Tutto questo richiede molti investimenti e non è sempre fattibile (per esempio, se i software possono essere compromessi dagli aggiornamenti di altri software). Inoltre difendersi da questi attacchi è super difficile, soprattutto quando sono mirati. Basta solo un errore e i danni sono altissimi.
Tutto richiede un'ulterore riflessione sulla spinta alla convergenza, sempre più elevata. Pensiamo al fatto che vogliamo farci connettere la casa, i sistemi di ufficio, la macchina, l'industria, i giochi elettronici e via così. Tutti sulla stessa rete e basati su tre o quattro protocolli e sistemi operativi. O si cambia tendenza o attacchi come quello alla Colonial Pipeline saranno all'ordine del giorno. Recentemente si è anche avuto il blocco dei POS di una catena di supermercati.
E' difficile, per il singolo, evitare la spinta alla convergenza, anche perché questa permette, alle organizzazioni, di avere maggiori risparmi e dati e, ai privati, maggiore comodità. Inoltre le stesse tecnologie sono fatte per spingere alla convergenza; in particolare gli smartphone cercano di far convergere su di loro ogni attività degli utenti. Eppure, solo una certa separazione permetterà di ridurre i danni.
Per quanto riguarda gli attacchi alla filiera di fornitura, bisogna dire che è difficile controllarla. Anzi: impossibile.
Purtroppo, da questo punto di vista, l'approccio che vedo imporsi è quello sbagliato: documenti, analisi, registrazioni; non strumenti, formazione, tecnologie. Gli auditor e le autorità di controllo spingono verso investimenti sbagliati: un mio cliente ha dovuto assumere una persona (oltre al mio supporto) solo per rispondere ai questionari privacy e "Sicurezza" dei clienti. Tutta roba burocratica e spesso inutilmente dettagliata. Molti suoi progetti di miglioramento tecnologico (presidio del patching, uso dell'MDM, separazione netta tra sviluppatori e sistemisti).
Anche Renato Castroreale ha risposto a Chiara, dicendole: Questi attacchi sono oggi un business, anche appoggiato da Stati come Russia e Stati Uniti (Kaseya è utilizzato da Apple, dalle forze armate statunitensi, da molte agenzie governative inclusa l'FBI che sta lavorando assiduamente con il brand). La consapevolezza, l'attenzione e la voglia di investire fanno la differenza. Ma nessuno può realmente essere al sicuro, mai ed in nessuna condizione".
Renato aggiunge che la sua azienda è riuscita a resistitere all'attacco, e dà il merito alla sua prontezza, ma anche alla fortuna e agli investimenti fatti (chiedendosi quanti possono farli).
Ringrazio Chiara e Renato perché ci permettono di ricordare che la sicurezza non si ottiene con uno schiocco delle dita o facili formulette.
Intanto dobbiamo distinguere due tipi di attacchi: quello ransomware mirato direttamente alla vittima e gli attacchi sulla filiera di fornitura o "supply chain". Questi ultimi prevedono di attaccare un fornitore in modo poi da usarlo come "ponte" per colpire altre vittime. In questo caso, il fornitore è stato attaccato per impiantare ransomware presso le vittime.
Per il ransom qualcosa l'avevo già scritta (http://blog.cesaregallotti.it/2021/05/attacco-colonial-pipeline.html), ma vorrei ribadire che la prima regola è quella di segregare le reti, oltre a fare backup e aggiornare i sistemi. Tutto questo richiede molti investimenti e non è sempre fattibile (per esempio, se i software possono essere compromessi dagli aggiornamenti di altri software). Inoltre difendersi da questi attacchi è super difficile, soprattutto quando sono mirati. Basta solo un errore e i danni sono altissimi.
Tutto richiede un'ulterore riflessione sulla spinta alla convergenza, sempre più elevata. Pensiamo al fatto che vogliamo farci connettere la casa, i sistemi di ufficio, la macchina, l'industria, i giochi elettronici e via così. Tutti sulla stessa rete e basati su tre o quattro protocolli e sistemi operativi. O si cambia tendenza o attacchi come quello alla Colonial Pipeline saranno all'ordine del giorno. Recentemente si è anche avuto il blocco dei POS di una catena di supermercati.
E' difficile, per il singolo, evitare la spinta alla convergenza, anche perché questa permette, alle organizzazioni, di avere maggiori risparmi e dati e, ai privati, maggiore comodità. Inoltre le stesse tecnologie sono fatte per spingere alla convergenza; in particolare gli smartphone cercano di far convergere su di loro ogni attività degli utenti. Eppure, solo una certa separazione permetterà di ridurre i danni.
Per quanto riguarda gli attacchi alla filiera di fornitura, bisogna dire che è difficile controllarla. Anzi: impossibile.
Purtroppo, da questo punto di vista, l'approccio che vedo imporsi è quello sbagliato: documenti, analisi, registrazioni; non strumenti, formazione, tecnologie. Gli auditor e le autorità di controllo spingono verso investimenti sbagliati: un mio cliente ha dovuto assumere una persona (oltre al mio supporto) solo per rispondere ai questionari privacy e "Sicurezza" dei clienti. Tutta roba burocratica e spesso inutilmente dettagliata. Molti suoi progetti di miglioramento tecnologico (presidio del patching, uso dell'MDM, separazione netta tra sviluppatori e sistemisti).
Anche Renato Castroreale ha risposto a Chiara, dicendole: Questi attacchi sono oggi un business, anche appoggiato da Stati come Russia e Stati Uniti (Kaseya è utilizzato da Apple, dalle forze armate statunitensi, da molte agenzie governative inclusa l'FBI che sta lavorando assiduamente con il brand). La consapevolezza, l'attenzione e la voglia di investire fanno la differenza. Ma nessuno può realmente essere al sicuro, mai ed in nessuna condizione".
Renato aggiunge che la sua azienda è riuscita a resistitere all'attacco, e dà il merito alla sua prontezza, ma anche alla fortuna e agli investimenti fatti (chiedendosi quanti possono farli).
Ringrazio Chiara e Renato perché ci permettono di ricordare che la sicurezza non si ottiene con uno schiocco delle dita o facili formulette.
Privacy: nuove linee guida sui cookie
Monica Belfi degli Idraulici della privacy ha segnalato la pubblicazione
delle nuove linee guida sui cookie del 10 giugno 2021:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876.
Elenco qui i miei appunti:
- utile il riferimento al fingerprinting, attività di profilazione dell'utente anche senza cookie;
- la classificazione dei cookie e duplice: tecnici o di profilazione; di prima o di terza parte;
- per il consenso, lo scrolling non è normalmente idoneo, così come il cookie wall se non permette una vera scelta in merito al tracciamento;
- la richiesta di consenso (banner o simile) non va normalmente ripetuta; ammissibile se avviene dopo almeno 6 mesi dall'ultima (ultimamente stavano girando voci sulla sua necessità; qui invece si parla di possibilità);
- ribadisce che l'opzione predefinita deve essere quella di non accettare il tracciamento.
Nulla viene detto in merito ai cookie gestiti dall'estero, ossia quasi tutti, vista la quasi onnipresenza di Google Analytics.
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876.
Elenco qui i miei appunti:
- utile il riferimento al fingerprinting, attività di profilazione dell'utente anche senza cookie;
- la classificazione dei cookie e duplice: tecnici o di profilazione; di prima o di terza parte;
- per il consenso, lo scrolling non è normalmente idoneo, così come il cookie wall se non permette una vera scelta in merito al tracciamento;
- la richiesta di consenso (banner o simile) non va normalmente ripetuta; ammissibile se avviene dopo almeno 6 mesi dall'ultima (ultimamente stavano girando voci sulla sua necessità; qui invece si parla di possibilità);
- ribadisce che l'opzione predefinita deve essere quella di non accettare il tracciamento.
Nulla viene detto in merito ai cookie gestiti dall'estero, ossia quasi tutti, vista la quasi onnipresenza di Google Analytics.
martedì 6 luglio 2021
Privacy: adeguatezza UK per il GDPR
La Commissione europea adotta decisioni di adeguatezza privacy per il Regno
Unito:
-
https://studiolegalelisi.it/approfondimenti/protezione-dei-dati-la-commissione-adotta-decisioni-di-adeguatezza-per-il-regno-unito/.
L'articolo spiega già tutto e mi sembra che sia una soluzione che ci
semplificherà la vita a tutti.
Ringrazio Monica Belfi degli Idraulici della privacy per la segnalazione.
PS: la pagina della Commissione con gli aggiornamenti sulle decisioni di adeguatezza è: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
sabato 3 luglio 2021
Privacy e EDPB: raccomandazioni per i trasferimenti extra SEE (versione 2)
L'EDPB ha pubblicato a giugno 2021 la versione 2 delle "Recommendations
01/2020 on measures that supplement transfer tools to ensure compliance with
the EU level of protection of personal data":
- https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en.
Ringrazio Chiara Ponti degli Idraulici della privacy per la segnalazione.
Leggendo, mi sono segnato alcune note che condivido (alcune ripetono cose che scrissi dopo la lettura della versione 1 delle raccomandazioni).
- Al punto 13 specifica che permettere gli accessi da altri Paesi (per esempio per il supporto dei sistemi IT) rappresenta un trasferimento al di fuori della SEE. Questo amplia notevolmente l'ambito dei trasferimenti, in sostanza a tutti i cloud provider. Questo dovrà essere opportunamente affrontato anche quando, per i fornitori cloud, si specificano i data center in Europa.
- Al punto 18 ci ricordo, e ringrazio, che la lista delle decisioni di adeguatezza è all'URL https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
- I punti 30 e 31 dicono cosa bisogna valutare prima di iniziare un trasferimento extra SEE. Io continuo a pensare che pochissimi possono affrontare questo tipo di analisi e quindi le PMI dovrebbero evitare ogni trasferimento (tra Idraulici abbiamo convenuto per si potrebbe "sbagliare in compagnia", usando i servizi degli OTT).
- Alcune misure sono difficilmente applicabili anche dai più grandi. A questo punto, o si decide di "sbagliare in compagnia", o si dovrebbero solo usare fornitori nello Spazio economico europeo.
- In Appendice C ci sono link per raccogliere elementi di analisi sui Paesi dove trasferire i dati, ma nella realtà non sono proprio d'aiuto.
- Lo Use Case 7 (punto 96 e seguenti) tratta dei trasferimenti all'interno di Gruppi. Si tratta di un aspetto problematico perché le filiali europee hanno spesso difficoltà a farsi sentire presso le Case madri in UK o USA. Purtroppo le raccomandazioni non accennano a questi problemi.
- I punti 105 e 106, in sostanza, suggeriscono di imporre all'importatore di fare lui l'analisi di adeguatezza. Mi sembra abbastanza divertente perché, con parole meno dirette, suggeriscono di scaricare il barile.
Ringrazio tutti gli Idraulici della privacy per aver dibattuto con me i punti.
Il CNIL ha pubblicato una mappa "Data protection around the world":
- https://www.cnil.fr/en/data-protection-around-the-world.
Immaginavo potesse aiutare per le valutazioni richieste da EDPB, ma in realtà fornisce indicazioni non utili (solo accenni sulla normativa privacy in vigore nei diversi Paesi e la presenza di un'autorità garante). Mi permetto di sperare nel futuro.
- https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en.
Ringrazio Chiara Ponti degli Idraulici della privacy per la segnalazione.
Leggendo, mi sono segnato alcune note che condivido (alcune ripetono cose che scrissi dopo la lettura della versione 1 delle raccomandazioni).
- Al punto 13 specifica che permettere gli accessi da altri Paesi (per esempio per il supporto dei sistemi IT) rappresenta un trasferimento al di fuori della SEE. Questo amplia notevolmente l'ambito dei trasferimenti, in sostanza a tutti i cloud provider. Questo dovrà essere opportunamente affrontato anche quando, per i fornitori cloud, si specificano i data center in Europa.
- Al punto 18 ci ricordo, e ringrazio, che la lista delle decisioni di adeguatezza è all'URL https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
- I punti 30 e 31 dicono cosa bisogna valutare prima di iniziare un trasferimento extra SEE. Io continuo a pensare che pochissimi possono affrontare questo tipo di analisi e quindi le PMI dovrebbero evitare ogni trasferimento (tra Idraulici abbiamo convenuto per si potrebbe "sbagliare in compagnia", usando i servizi degli OTT).
- Alcune misure sono difficilmente applicabili anche dai più grandi. A questo punto, o si decide di "sbagliare in compagnia", o si dovrebbero solo usare fornitori nello Spazio economico europeo.
- In Appendice C ci sono link per raccogliere elementi di analisi sui Paesi dove trasferire i dati, ma nella realtà non sono proprio d'aiuto.
- Lo Use Case 7 (punto 96 e seguenti) tratta dei trasferimenti all'interno di Gruppi. Si tratta di un aspetto problematico perché le filiali europee hanno spesso difficoltà a farsi sentire presso le Case madri in UK o USA. Purtroppo le raccomandazioni non accennano a questi problemi.
- I punti 105 e 106, in sostanza, suggeriscono di imporre all'importatore di fare lui l'analisi di adeguatezza. Mi sembra abbastanza divertente perché, con parole meno dirette, suggeriscono di scaricare il barile.
Ringrazio tutti gli Idraulici della privacy per aver dibattuto con me i punti.
Il CNIL ha pubblicato una mappa "Data protection around the world":
- https://www.cnil.fr/en/data-protection-around-the-world.
Immaginavo potesse aiutare per le valutazioni richieste da EDPB, ma in realtà fornisce indicazioni non utili (solo accenni sulla normativa privacy in vigore nei diversi Paesi e la presenza di un'autorità garante). Mi permetto di sperare nel futuro.
mercoledì 30 giugno 2021
Nuove regole sulla conservazione
AgID ha pubblicato le nuove regole per i fornitori di servizi di
conservazione per la Pubblica amministrazione (ringrazio Franco Vincenzo
Ferrari di DNV per la segnalazione):
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2021/06/25/conservazione-documenti-informatici-pubblicato-il-regolamento-sui-criteri-fornitura.
Esse si affiancano alle "Linee Guida sulla formazione, gestione e conservazione dei documenti informatici", pubblicate a settembre 2020:
- https://trasparenza.agid.gov.it/archivio19_regolamenti_0_5385.html.
Per una lettura critica delle nuove regole, rimando a un recente articolo su Agenda digitale:
- https://www.agendadigitale.eu/documenti/conservazione-perche-il-regolamento-agid-distrugge-il-mercato/.
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2021/06/25/conservazione-documenti-informatici-pubblicato-il-regolamento-sui-criteri-fornitura.
Esse si affiancano alle "Linee Guida sulla formazione, gestione e conservazione dei documenti informatici", pubblicate a settembre 2020:
- https://trasparenza.agid.gov.it/archivio19_regolamenti_0_5385.html.
Per una lettura critica delle nuove regole, rimando a un recente articolo su Agenda digitale:
- https://www.agendadigitale.eu/documenti/conservazione-perche-il-regolamento-agid-distrugge-il-mercato/.
lunedì 28 giugno 2021
Agenzia per la cybersicurezza nazionale
Il DL 82 del 2021 istituisce la "Agenzia per la cybersicurezza nazionale".
NB: trattandosi di un DL, il suo recepimento in Legge potrà comportare alcune modifiche al testo che commento nel seguito.
Innanzi tutto va specificato cosa si intende per "cybersicurezza" (e qui
apprezzo il fatto che non si usa più lo scorretto "sicurezza cibernetica",
anche se il termine "cibernetico" è comunque, e sempre scorrettamente, usato
in altre parti del DL). Copio e incollo: l'insieme delle attività
necessarie per proteggere dalle minacce informatiche reti, sistemi
informativi, servizi informatici e comunicazioni elettroniche,
assicurandone la disponibilità, la confidenzialità e l'integrità, e
garantendone altresì la resilienza".
Mi chiedo perché qui usino "confidenzialità", quando nella PA si parla in
altre norme, di "riservatezza". Non ho una risposta e spero qualcuno me la
possa fornire.
Poi, istigato da Chiara Ponti (degli Idraulici della privacy), osservo che
la definizione tratta di "minacce informatiche", senza però esplicitare cosa
si intende con questa espressione. Io sicuramente includerei le minacce da e
a sistemi informatici (p.e. virus, tentativi di intrusioni da esterni via
rete Internet). Includerei anche le minacce originate da errori (p.e. il
blocco perché lo spazio per i log è esaurito perché configurato o monitorato
male). Escluderei invece quelle fisiche (incendi, danneggiamenti, guasti),
ma includerei quelle derivate dalle minacce fisiche (p.e. la lettura da
dispositivi di memoria dismessi o l'accesso a file su pc rubati).
Sicuramente sono escluse le minacce alle informazioni su supporto cartaceo o
quelle trasmesse oralmente, ma sono incluse le minacce rivolte ai sistemi IT "senza informazioni" o "con solo informazioni di configurazione", come molti
dispositivi IoT e molti sistemi di controllo industriale e di domotica.
Poi il provvedimento si fa di difficile lettura a causa dei molti
riferimenti verso altre norme. Provo a sintetizzare alcuni punti e a
commentarli, ricordando che io sono interessato principalmente agli impatti verso le "normali organizzazioni" e non all'organizzazione complessiva della PA.
- L'Agenzia diventa il "punto di contatto unico" previsto dal D. Lgs.
65/2018 (Direttiva NIS).
- L'Agenzia sarà la "Autorità nazionale di certificazione della
cybersicurezza" secondo quanto previsto dal Cybersecurity Act (Regolamento
UE 2019/881). Questo è molto importante per le future attività di certificazione di prodotti e servizi informatici.
- L'Agenzia incorpora il CVCN (Centro di valutazione e certificazione
nazionale, parte del MiSE), istituito dal DL 105/2019 (cosiddetto "Perimetro
di sicurezza nazionale cibernetica") e le relative attività di ispezione e
verifica.
- Come autorità di certificazione, accredita le appropriate strutture del
Ministero della difesa e del Ministero dell'interno quali organismi di
valutazione della conformità per i sistemi di rispettiva competenza. Al
momento sono un po' confuso su chi fa cosa, ma capirò meglio quando saranno
attivati gli schemi di certificazione. Le ultime notizie, però, suggeriscono
che dovremo aspettare ancora qualche anno.
- Accentra le attività di definizione delle misure di sicurezza che devono
adottare gli operatori di telecomunicazione e le relative attività di
verifica, previste dal D. Lgs. 259 del 2003 (Codice delle comunicazioni
elettroniche) e in precedenza attribuite al MiSE.
- Assume le funzioni attribuite alla Presidenza del Consiglio dei ministri e
al DIS dal Perimetro nazionale e dal DPCM di attuazione e (cose relative al
settore spazio e aerospazio). Importante, mi sembra, è il fatto che quindi
sia responsabile dell'elencazione dei soggetti inclusi nel perimetro e della raccolta delle descrizioni dei sistemi e delle valutazioni del rischio di
tali soggetti.
- Assume le funzioni attribuite ad AgID in materia di sicurezza informatica.
Pertanto le PA dovranno monitorare le indicazioni fornite dall'Agenzia in
questo ambito.
- Diventa punto di riferimento per numerose attività. Leggerle tutte
richiede molta attenzione e dovremo soprattutto vederne in futuro gli
impatti. Per certo dovremo monitorare le attività dell'Agenzia.
- Incorpora il CSIRT Italia, già istituito da più di un anno.
Concludo dicendo che il DL è pieno di ulteriori disposizioni, ma azzardo
dicendo che la sua vera portata la vedremo dispiegarsi nei prossimi mesi, in
termini di messa a disposizione di indicazioni utili per tutti gli operatori
e di supporto.
giovedì 24 giugno 2021
Privacy, appIO e polemiche inutili
In questo periodo sono state riportate sui giornali alcune considerazioni
sulla privacy che appesantisce o rallenta processi importanti. In
particolare, personaggi anche molto autorevoli e attenti hanno criticato il provvedimento del Garante sull'AppIO, il cui uso è previsto per il
certificato vaccinale.
Allora ho letto il Provvedimento del 9 giugno 2021 che è qui:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9668051.
Dalla lettura ho visto che il Garante aveva chiesto quattro cose:
- informare gli utenti sulle notifiche push e sui relativi trattamenti;
- permettere agli utenti di decidere se ricevere o meno notifiche push (evitando però che siano attive di default);
- permettere agli utenti di decidere se attivare o meno i 12 mila servizi disponibili (evitando che siano attivi di default);
- garantire la correttezza dei trattamenti in occasione dei trasferimenti a Microsoft, Google (per tracciamenti e attività analitiche), Instabug e Mixpanel (per analisi dei comportamenti degli utenti sull'app).
A me viene da pensare che la polemica è fuori luogo, visto che si tratta di adempimenti di base, a cui un soggetto pubblico per primo dovrebbe prestare attenzione. Tra l'altro si tratta spesso e volentieri di richieste per evitare che gli utenti siano sommersi da notifiche non richieste, che la batteria dell'apparecchio si esaurisca perché sono attive cose inutili o non richieste e per ridurre il potere dei giganti di Internet nei nostri confronti. Vi pare poco? Certamente è più importante garantire la diffusione del vaccino, ma chi lo promuove non dovrebbe dimenticare anche altri aspetti.
Aggiungerei poi che si sta parlando di un'applicazione per "monitorare" il COVID. Visto l'insuccesso della app Immuni, non credo proprio che il ritardo (minimale, tra l'altro, visto che il tutto è stato chiuso 10 giorni dopo) dovuto alle richieste del Garante sarà quello che ne determinerà o meno il successo. Ricordo che l'insuccesso di Immuni fu dovuto anche ai timori relativi alle possibili violazioni in materia di privacy (fino ad arrivare a teorie cospiratorie) e quindi penso che questo atteggiamento verso le richieste del Garante sia proprio quello che non ci vuole per promuovere l'AppIO.
Ringrazio Pierfrancesco Maistrello per avermi confermato che il Garante aveva contestato proprio i punti sopra elencati (avendo letto le polemiche ero molto stupito che i problemi fossero solo quelli).
Allora ho letto il Provvedimento del 9 giugno 2021 che è qui:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9668051.
Dalla lettura ho visto che il Garante aveva chiesto quattro cose:
- informare gli utenti sulle notifiche push e sui relativi trattamenti;
- permettere agli utenti di decidere se ricevere o meno notifiche push (evitando però che siano attive di default);
- permettere agli utenti di decidere se attivare o meno i 12 mila servizi disponibili (evitando che siano attivi di default);
- garantire la correttezza dei trattamenti in occasione dei trasferimenti a Microsoft, Google (per tracciamenti e attività analitiche), Instabug e Mixpanel (per analisi dei comportamenti degli utenti sull'app).
A me viene da pensare che la polemica è fuori luogo, visto che si tratta di adempimenti di base, a cui un soggetto pubblico per primo dovrebbe prestare attenzione. Tra l'altro si tratta spesso e volentieri di richieste per evitare che gli utenti siano sommersi da notifiche non richieste, che la batteria dell'apparecchio si esaurisca perché sono attive cose inutili o non richieste e per ridurre il potere dei giganti di Internet nei nostri confronti. Vi pare poco? Certamente è più importante garantire la diffusione del vaccino, ma chi lo promuove non dovrebbe dimenticare anche altri aspetti.
Aggiungerei poi che si sta parlando di un'applicazione per "monitorare" il COVID. Visto l'insuccesso della app Immuni, non credo proprio che il ritardo (minimale, tra l'altro, visto che il tutto è stato chiuso 10 giorni dopo) dovuto alle richieste del Garante sarà quello che ne determinerà o meno il successo. Ricordo che l'insuccesso di Immuni fu dovuto anche ai timori relativi alle possibili violazioni in materia di privacy (fino ad arrivare a teorie cospiratorie) e quindi penso che questo atteggiamento verso le richieste del Garante sia proprio quello che non ci vuole per promuovere l'AppIO.
Ringrazio Pierfrancesco Maistrello per avermi confermato che il Garante aveva contestato proprio i punti sopra elencati (avendo letto le polemiche ero molto stupito che i problemi fossero solo quelli).
domenica 20 giugno 2021
La mappa delle culture
Segnalo questo interessante libro di Erin Meyer dal titolo "La mappa delle
culture" (The culture map):
- https://www.roiedizioni.it/prodotto/libri/la-mappa-delle-culture-erin-meyer/.
Presenta alcune caratteristiche culturali, per cui ogni Paese ha le sue modalità per comunicare (con tanti o pochi dettagli, verbalizzando o no), fornire riscontri negativi (in modo più o meno diretto), persuadere (presentando prima i principi o gli esempi o seguendo una visione complessiva (ossia un approccio olistico, ma non nel senso banale con cui questo termine viene spesso usato)), guidare i gruppi di lavoro (in modo ugualitario o gerarchico), prendere e accettare decisioni (attraverso il consenso o dall'alto, con riflessi anche su quanto la decisione presa va considerata definitiva o potenzialmente ulteriormente sindacabile), avere fiducia negli altri (più per come lavorano o più per come costruiscono una relazione personale, senza confondere la relazione personale con l'amichevolezza e riflettendo su quanto i diversi approcci hanno impatti sulla gestione del tempo), confrontarsi (cercando o meno il confronto) e gestire il tempo (seguendo pianificazioni lineari o un approccio flessibile, che poi si manifesta anche su come sono seguite le code).
Io ho lavorato e lavoro con società e persone di altri Paesi e altri continenti e avrei voluto e dovuto leggere questo libro (del 2014) tanto tempo fa.
Però attenzione che è molto utile anche a chi non lavora in ambienti internazionali, ma vuole capire meglio come affrontare alcune pratiche di origine anglosassone (le norme ISO in principal modo) e perché ci sono alcune resistenze in Italia (e non sono quelle che solitamente ci diamo per autogiustificarci!).
Questo libro mi fu consigliato da qualcuno più di un anno fa. Purtroppo non ricordo chi, ma lo ringrazio molto e mi scuso per averlo iniziato dopo così tanto tempo.
- https://www.roiedizioni.it/prodotto/libri/la-mappa-delle-culture-erin-meyer/.
Presenta alcune caratteristiche culturali, per cui ogni Paese ha le sue modalità per comunicare (con tanti o pochi dettagli, verbalizzando o no), fornire riscontri negativi (in modo più o meno diretto), persuadere (presentando prima i principi o gli esempi o seguendo una visione complessiva (ossia un approccio olistico, ma non nel senso banale con cui questo termine viene spesso usato)), guidare i gruppi di lavoro (in modo ugualitario o gerarchico), prendere e accettare decisioni (attraverso il consenso o dall'alto, con riflessi anche su quanto la decisione presa va considerata definitiva o potenzialmente ulteriormente sindacabile), avere fiducia negli altri (più per come lavorano o più per come costruiscono una relazione personale, senza confondere la relazione personale con l'amichevolezza e riflettendo su quanto i diversi approcci hanno impatti sulla gestione del tempo), confrontarsi (cercando o meno il confronto) e gestire il tempo (seguendo pianificazioni lineari o un approccio flessibile, che poi si manifesta anche su come sono seguite le code).
Io ho lavorato e lavoro con società e persone di altri Paesi e altri continenti e avrei voluto e dovuto leggere questo libro (del 2014) tanto tempo fa.
Però attenzione che è molto utile anche a chi non lavora in ambienti internazionali, ma vuole capire meglio come affrontare alcune pratiche di origine anglosassone (le norme ISO in principal modo) e perché ci sono alcune resistenze in Italia (e non sono quelle che solitamente ci diamo per autogiustificarci!).
Questo libro mi fu consigliato da qualcuno più di un anno fa. Purtroppo non ricordo chi, ma lo ringrazio molto e mi scuso per averlo iniziato dopo così tanto tempo.
giovedì 17 giugno 2021
Attacco a Colonial Pipeline - Aggiornamento
Avevo scritto dell'attacco a Colonial Pipeline:
http://blog.cesaregallotti.it/2021/05/attacco-colonial-pipeline.html.
Riccardo Barison di Deda Cloud, che ringrazio, mi ha segnalato che stata identificata l'origine dell'attacco: è stata sfruttata una password riutilizzata in altri servizi. L'articolo non è molto approfondito in merito, ma ci ricorda l'importanza di una regola spesso detta e ripetuta: non usare le medesime credenziali per servizi informatici tra loro non correlati. Questo andrebbe ricordato anche nelle regole che le organizzazioni chiedono di rispettare al proprio personale.
L'articolo:
- https://www.hdblog.it/mobile/articoli/n539214/colonial-pipeline-come-successo-password-hacker/.
http://blog.cesaregallotti.it/2021/05/attacco-colonial-pipeline.html.
Riccardo Barison di Deda Cloud, che ringrazio, mi ha segnalato che stata identificata l'origine dell'attacco: è stata sfruttata una password riutilizzata in altri servizi. L'articolo non è molto approfondito in merito, ma ci ricorda l'importanza di una regola spesso detta e ripetuta: non usare le medesime credenziali per servizi informatici tra loro non correlati. Questo andrebbe ricordato anche nelle regole che le organizzazioni chiedono di rispettare al proprio personale.
L'articolo:
- https://www.hdblog.it/mobile/articoli/n539214/colonial-pipeline-come-successo-password-hacker/.
Aggiornamento legislativo IT (aggiornamento)
Ho aggiornato le mie slide "Aggiornamento legislativo 2021"
(https://www.cesaregallotti.it/Pubblicazioni.html).
Infatti Alessandro Lavezzo mi ha segnalato, sulla parte del "Settore Finance", l'opportunità di aggiungere:
- regolamenti dell'European Banking Authority (EBA);
- regolamenti dell'European Payment Council (EPC);
- la direttiva sui servizi di pagamento (PSD2).
Inoltre mi ha segnalato che la Circolare 263 è stata abrogata e i suoi contenuti sono stati riportati nella Circolare 285.
Lo ringrazio molto.
Infatti Alessandro Lavezzo mi ha segnalato, sulla parte del "Settore Finance", l'opportunità di aggiungere:
- regolamenti dell'European Banking Authority (EBA);
- regolamenti dell'European Payment Council (EPC);
- la direttiva sui servizi di pagamento (PSD2).
Inoltre mi ha segnalato che la Circolare 263 è stata abrogata e i suoi contenuti sono stati riportati nella Circolare 285.
Lo ringrazio molto.
sabato 12 giugno 2021
Elenco vittime di ransomware
Glauco Rampogna, un Idraulico della privacy, ha segnalato questo elenco
delle vittime di ransomware:
- https://drive.google.com/file/d/1MI8Z2tBhmqQ5X8Wf_ozv3dVjz5sJOs-3/view.
Utile per far capire per bene l'ampiezza del problema, anche se a mio parere manca qualche caso.
- https://drive.google.com/file/d/1MI8Z2tBhmqQ5X8Wf_ozv3dVjz5sJOs-3/view.
Utile per far capire per bene l'ampiezza del problema, anche se a mio parere manca qualche caso.
venerdì 11 giugno 2021
Standard ETSI per i fornitori di servizi IT fiduciari
Franco Vincenzo Ferrari di DNV ha assistito, il 1 giugno 2021, al webinar
"ETSI standards for trust services and digital signatures" organizzato da
ETSI stessa. Bisogna dire che non è facile orientarsi tra gli standard
pubblicati da ETSI e tra gli acronimi usati nell'ambito dei servizi
fiduciari (a partire dal primo, TSP per trust service provider).
Il materiale messo a disposizione da ETSI permette quindi di avvicinarsi all'argomento o approfondirlo. E' possibile vedere le presentazioni e il video (di 4 ore, più o meno come Via col vento) a partire dalla pagina di presentazione del webinar:
- https://www.etsi.org/events/1926-webinar-etsi-standards-for-trust-services-and-digital-signatures.
Il materiale messo a disposizione da ETSI permette quindi di avvicinarsi all'argomento o approfondirlo. E' possibile vedere le presentazioni e il video (di 4 ore, più o meno come Via col vento) a partire dalla pagina di presentazione del webinar:
- https://www.etsi.org/events/1926-webinar-etsi-standards-for-trust-services-and-digital-signatures.
lunedì 7 giugno 2021
Linee guida del Garante sul DPO
Il Garante ha pubblicato alcune linee guida per il DPO.
In particolare segnalo il "Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9589104.
Sono poi state aggiornate le faq. Tutti i documenti sono reperibili sulla pagina dedicata:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9589104.
Sono ripresi molti punti che abbiamo già discusso negli ultimi anni e senza grandi novità, anche se un ripasso fa sempre bene. La cosa interessante è quanto queste analisi siano equilibrate e le confronto con gli stracci che ogni tanto vedo volare quando parlano consulenti, aziende, avvocati, auditor eccetera. Vedo in particolare il parere in merito al curriculum del DPO, ma non è il solo.
Ecco: penso che dovremmo tutti imparare da questo documento, non solo tecnicamente, ma anche operativamente.
In particolare segnalo il "Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9589104.
Sono poi state aggiornate le faq. Tutti i documenti sono reperibili sulla pagina dedicata:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9589104.
Sono ripresi molti punti che abbiamo già discusso negli ultimi anni e senza grandi novità, anche se un ripasso fa sempre bene. La cosa interessante è quanto queste analisi siano equilibrate e le confronto con gli stracci che ogni tanto vedo volare quando parlano consulenti, aziende, avvocati, auditor eccetera. Vedo in particolare il parere in merito al curriculum del DPO, ma non è il solo.
Ecco: penso che dovremmo tutti imparare da questo documento, non solo tecnicamente, ma anche operativamente.
martedì 25 maggio 2021
Aggiornamento legislativo IT
Ho pubblicato una mia presentazione ("Aggiornamento legislativo 2021") sulla
normativa legale applicabile alle certificazioni ISO 9001, ISO/IEC 27001 e
non solo:
- https://www.cesaregallotti.it/Pubblicazioni.html.
Ogni segnalazione di errore o di omissione sarà ben accetta.
- https://www.cesaregallotti.it/Pubblicazioni.html.
Ogni segnalazione di errore o di omissione sarà ben accetta.
lunedì 24 maggio 2021
Attacco a Colonial Pipeline
Colonial Pipeline è una società statunitense dedicata al trasporto di
carburante. Ad aprile 2021 è stata attaccata da un ransomware e ha quindi
dovuto chiudere temporaneamente alcuni chilometri di rete:
- https://www.theguardian.com/technology/2021/may/08/colonial-pipeline-cyber-attack-shutdown.
Infine, ha pagato il riscatto per sbloccare i propri sistemi informatici:
- https://arstechnica.com/gadgets/2021/05/colonial-pipeline-resumes-operations-after-ransomware-prompted-closure/.
Al momento non mi sembra siano stati scritti articoli di maggior approfondimento dei dettagli su come l'attacco sia stato possibile. Ho trovato alcune dichiarazioni di esperti di sicurezza, ma è evidente, dalla loro genericitià, che le hanno fatte senza informazioni ulteriori.
La Cybersecurity and Infrastructure Security Agency aveva lanciato un allarme già a ottobre 2020, dopo aver studiato un altro attacco (mi sembra che la vittima, in questo caso, sia stata anonimizzata):
- https://us-cert.cisa.gov/ncas/alerts/aa20-049a.
Mi aggancio proprio a questo rapporto, dove la misura tecnica più importante è quella della segmentazione delle reti. Ovviamente si tratta di una misura costosa e impopolare presso gli operatori (che dovrebbero quindi avere computer o partizioni distinte per leggere le email e per svolgere le operazioni tecniche), ma sembra sia l'unica possibile. Oltre, ovviamente, all'autenticazione a più fattori per accedere da remoto (altra soluzione "scomoda", ma necessaria).
Tra l'altro, il rapporto approfondisce altre questioni, spesso dimenticate dagli esperti di sicurezza: in certi settori, le emergenze di sicurezza sicurezza IT sono molto sottovalutate rispetto a quelle operative e prevedere opeazioni manuali in caso di indisponibilità dei sistemi IT.
Meglio lasciare la lettura al rapporto (molto sintetico, ma, ripeto, molto significativo) del CISA.
Inutile dire che questo tipo di attacco non riguarda solo le reti di trasporto dei carburanti, ma tutti i settori:
- https://www.theguardian.com/technology/2021/may/13/colonial-pipeline-ransomware-attack-cyber-crime.
- https://www.theguardian.com/technology/2021/may/08/colonial-pipeline-cyber-attack-shutdown.
Infine, ha pagato il riscatto per sbloccare i propri sistemi informatici:
- https://arstechnica.com/gadgets/2021/05/colonial-pipeline-resumes-operations-after-ransomware-prompted-closure/.
Al momento non mi sembra siano stati scritti articoli di maggior approfondimento dei dettagli su come l'attacco sia stato possibile. Ho trovato alcune dichiarazioni di esperti di sicurezza, ma è evidente, dalla loro genericitià, che le hanno fatte senza informazioni ulteriori.
La Cybersecurity and Infrastructure Security Agency aveva lanciato un allarme già a ottobre 2020, dopo aver studiato un altro attacco (mi sembra che la vittima, in questo caso, sia stata anonimizzata):
- https://us-cert.cisa.gov/ncas/alerts/aa20-049a.
Mi aggancio proprio a questo rapporto, dove la misura tecnica più importante è quella della segmentazione delle reti. Ovviamente si tratta di una misura costosa e impopolare presso gli operatori (che dovrebbero quindi avere computer o partizioni distinte per leggere le email e per svolgere le operazioni tecniche), ma sembra sia l'unica possibile. Oltre, ovviamente, all'autenticazione a più fattori per accedere da remoto (altra soluzione "scomoda", ma necessaria).
Tra l'altro, il rapporto approfondisce altre questioni, spesso dimenticate dagli esperti di sicurezza: in certi settori, le emergenze di sicurezza sicurezza IT sono molto sottovalutate rispetto a quelle operative e prevedere opeazioni manuali in caso di indisponibilità dei sistemi IT.
Meglio lasciare la lettura al rapporto (molto sintetico, ma, ripeto, molto significativo) del CISA.
Inutile dire che questo tipo di attacco non riguarda solo le reti di trasporto dei carburanti, ma tutti i settori:
- https://www.theguardian.com/technology/2021/may/13/colonial-pipeline-ransomware-attack-cyber-crime.
domenica 23 maggio 2021
Vietato contattare per recuperare il consenso (puntata 2)
Avevo pubblicato un post dal titolo "Vietato contattare per recuperare il
consenso negato in precedenza" in cui si segnalava che la Cassazione aveva
confermato un parere del Garante sulla questione in oggetto:
- http://blog.cesaregallotti.it/2021/05/vietato-contattare-per-recuperare-il.html.
Davide Foresti mi ha segnalato che ho fatto un po' di confusione sui provvedimenti "originari" del Garante.
Dice che "la sentenza di Cassazione si riferisce al provvedimento del Garante del giugno 2016 ('solo' 5 anni fa..)":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5255159.
Io, su LinkedIn, avevo invece fatto confusione e avevo segnalato un altro link, ad un Provvedimento del 2018, sempre relativo al trattamento di utenze telefoniche per finalità di marketing, ma non oggetto della sentenza di Cassazione:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8233539.
Ringrazio per la correzione e la diffondo.
- http://blog.cesaregallotti.it/2021/05/vietato-contattare-per-recuperare-il.html.
Davide Foresti mi ha segnalato che ho fatto un po' di confusione sui provvedimenti "originari" del Garante.
Dice che "la sentenza di Cassazione si riferisce al provvedimento del Garante del giugno 2016 ('solo' 5 anni fa..)":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5255159.
Io, su LinkedIn, avevo invece fatto confusione e avevo segnalato un altro link, ad un Provvedimento del 2018, sempre relativo al trattamento di utenze telefoniche per finalità di marketing, ma non oggetto della sentenza di Cassazione:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8233539.
Ringrazio per la correzione e la diffondo.
Codici di condotta privacy
In questo periodo stanno maturando alcune iniziative in merito ai codici di
condotta.
Il primo che segnalo è stato approvato da EDPB (anche se non è ancora disponibile il resoconto dell'incontro 49 del 19 aprile), e quindi si promuove come codice a livello europeo. Esso riguarda i servizi cloud:
- https://www.codeofconduct.cloud/.
Esso è un codice che esisteva già in passato e adesso è stato approvato da EDPB. Purtroppo il sito è fuorviante perché presenta il registro degli aderenti pre-2021.
Non mi risulta poi che siano stati identificati gli organismi di monitoraggio dei codici di condotta.
Il secondo è sempre stato oggetto di decisione da parte di EDPB il 19 aprile. La pagina del Garante belga, che ha avviato la procedura, fornisce alcuni dettagli, oltre al provvedimento di accreditamento dell'OdM (Scope Europe):
https://www.autoriteprotectiondonnees.be/citoyen/lautorite-de-protection-des-donnees-approuve-son-premier-code-de-conduite-europeen.
Il sito è questo:
- https://eucoc.cloud/.
Il Codice, purtroppo, può essere richiesto solo fornendo i propri dati (alla faccia della minimizzazione). Inoltre anche qui c'è un registro di aderenti quando ancora il tutto non era accreditato e, anche in questo caso, la cosa mi lascia perplesso.
Il terzo è il codice relativo alle informazioni commerciali, ossia alle attività che svolgono alcune società ("i fornitori") di analisi di potenziali clienti e partner, ed è solo a carattere nazionale (italiano). Non è nuovo perché era già stato approvato nel 2019, ma è stato modificato dopo aver accreditato l'Organismo di monitoraggio (indicato sempre e solo come "OdM" e quindi non capisco se è una società già esistente o un ente specifico per questo scopo).
Do il link alla notizia, da cui è possibile accedere al codice e all'accreditamento dell'OdM:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9585460.
Ho il timore di aver sbagliato qualcosa e quindi sono benvenute le
correzioni.
Il primo che segnalo è stato approvato da EDPB (anche se non è ancora disponibile il resoconto dell'incontro 49 del 19 aprile), e quindi si promuove come codice a livello europeo. Esso riguarda i servizi cloud:
- https://www.codeofconduct.cloud/.
Esso è un codice che esisteva già in passato e adesso è stato approvato da EDPB. Purtroppo il sito è fuorviante perché presenta il registro degli aderenti pre-2021.
Non mi risulta poi che siano stati identificati gli organismi di monitoraggio dei codici di condotta.
Il secondo è sempre stato oggetto di decisione da parte di EDPB il 19 aprile. La pagina del Garante belga, che ha avviato la procedura, fornisce alcuni dettagli, oltre al provvedimento di accreditamento dell'OdM (Scope Europe):
https://www.autoriteprotectiondonnees.be/citoyen/lautorite-de-protection-des-donnees-approuve-son-premier-code-de-conduite-europeen.
Il sito è questo:
- https://eucoc.cloud/.
Il Codice, purtroppo, può essere richiesto solo fornendo i propri dati (alla faccia della minimizzazione). Inoltre anche qui c'è un registro di aderenti quando ancora il tutto non era accreditato e, anche in questo caso, la cosa mi lascia perplesso.
Il terzo è il codice relativo alle informazioni commerciali, ossia alle attività che svolgono alcune società ("i fornitori") di analisi di potenziali clienti e partner, ed è solo a carattere nazionale (italiano). Non è nuovo perché era già stato approvato nel 2019, ma è stato modificato dopo aver accreditato l'Organismo di monitoraggio (indicato sempre e solo come "OdM" e quindi non capisco se è una società già esistente o un ente specifico per questo scopo).
Do il link alla notizia, da cui è possibile accedere al codice e all'accreditamento dell'OdM:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9585460.
Ho il timore di aver sbagliato qualcosa e quindi sono benvenute le
correzioni.
venerdì 21 maggio 2021
Assicurazioni e ransomware
L'assicurazione Axa ha ufficialmente smesso di offrire copertura per il
pagamento di ransomware.
Questo dopo che sono state espresse delle preoccupazioni da parte di esponenti della sicurezza francese sulla eccesiva diffusione del ransomware:
- https://www.insurancejournal.com/news/international/2021/05/09/613255.htm.
Per tutta risposta il mondo del cybercrime afferma di avere compromesso Axa per punire la sua presa di posizione.
- https://www.bleepingcomputer.com/news/security/insurer-axa-hit-by-ransomware-after-dropping-support-for-ransom-payments/.
Questa notizia me l'ha data Enos D'Andrea che ringrazio.
Questo dopo che sono state espresse delle preoccupazioni da parte di esponenti della sicurezza francese sulla eccesiva diffusione del ransomware:
- https://www.insurancejournal.com/news/international/2021/05/09/613255.htm.
Per tutta risposta il mondo del cybercrime afferma di avere compromesso Axa per punire la sua presa di posizione.
- https://www.bleepingcomputer.com/news/security/insurer-axa-hit-by-ransomware-after-dropping-support-for-ransom-payments/.
Questa notizia me l'ha data Enos D'Andrea che ringrazio.
sabato 15 maggio 2021
When AIs start hacking
Segnalo questo articolo di Bruce Schneier dal titolo "When AIs Start
Hacking":
- https://www.schneier.com/blog/archives/2021/04/when-ais-start-hacking.html.
Non mi pare dica nulla di innovativo, ma è comunque un piacere leggerlo.
Schneier fa riferimento a un suo documento molto più esteso (54 pagine, quasi un libro) dal titolo "The Coming AI Hackers":
- https://www.belfercenter.org/publication/coming-ai-hackers.
Non ho avuto il coraggio di leggerlo, ma non mi pare aggiunga molto, tranne il fatto che Bruce Schneier scrive sempre molto bene e dice comunque cose interessanti e intelligenti.
- https://www.schneier.com/blog/archives/2021/04/when-ais-start-hacking.html.
Non mi pare dica nulla di innovativo, ma è comunque un piacere leggerlo.
Schneier fa riferimento a un suo documento molto più esteso (54 pagine, quasi un libro) dal titolo "The Coming AI Hackers":
- https://www.belfercenter.org/publication/coming-ai-hackers.
Non ho avuto il coraggio di leggerlo, ma non mi pare aggiunga molto, tranne il fatto che Bruce Schneier scrive sempre molto bene e dice comunque cose interessanti e intelligenti.
giovedì 13 maggio 2021
Rapporto semestrale NCSC 2020/2
Si chiamava MELANI, oggi si chiama NCSC e a mio parere pubblica uno dei
rapporti di sicurezza informatica più interessanti e chiari. Lo si trova in
italiano:
https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2020-2.html.
E' anche disponibile in inglese, ma, a dimostrazione della qualità del rapporto, l'italiano è molto corretto e chiaro (tra l'altro, senza inutili e vezzose maiuscole e inglesismi fuori luogo).
https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2020-2.html.
E' anche disponibile in inglese, ma, a dimostrazione della qualità del rapporto, l'italiano è molto corretto e chiaro (tra l'altro, senza inutili e vezzose maiuscole e inglesismi fuori luogo).
giovedì 6 maggio 2021
Articolo su evoluzione e confusione nelle norme ISO/IEC 27xxx
Paolo Sferlazza ha pubblicato un articolo dal titolo "Evoluzione e
confusione nella famiglia delle norme ISO/IEC 27xxx":
https://www.ictsecuritymagazine.com/articoli/evoluzione-e-confusione-nella-famiglia-delle-norme-iso-iec-27xxx/.
Non penso che la situazione sarà così confusa come paventato da Paolo, ma credo comunque che valga la pena considerare il suo punto di vista e prepararsi all'uscita della nuova edizione della ISO/IEC 27002, prevista per fine 2021 o inizio 2022.
https://www.ictsecuritymagazine.com/articoli/evoluzione-e-confusione-nella-famiglia-delle-norme-iso-iec-27xxx/.
Non penso che la situazione sarà così confusa come paventato da Paolo, ma credo comunque che valga la pena considerare il suo punto di vista e prepararsi all'uscita della nuova edizione della ISO/IEC 27002, prevista per fine 2021 o inizio 2022.
mercoledì 5 maggio 2021
Sul regolamento europeo per l'intelligenza artificiale
In questi giorni si è parlato molto della bozza di regolamento europeo
sull'intelligenza artificiale. Non mi piace parlare delle bozze di leggi e
regolamenti perché poi le versioni definitive sono diverse (come abbiamo
visto con le bozze del GDPR).
Però questo articolo di Luca Sambuci, a mio parere, chiarisce alcuni aspetti relativi all'intelligenza artificiale che a mio parere è bene conoscere:
- https://www.notizie.ai/sul-regolamento-europeo-per-lintelligenza-artificiale-ce-ancora-molto-da-fare/.
Però questo articolo di Luca Sambuci, a mio parere, chiarisce alcuni aspetti relativi all'intelligenza artificiale che a mio parere è bene conoscere:
- https://www.notizie.ai/sul-regolamento-europeo-per-lintelligenza-artificiale-ce-ancora-molto-da-fare/.
sabato 1 maggio 2021
Vietato contattare per recuperare il consenso negato in precedenza
Glauco Rampogna ha segnalato agli idraulici della privacy un interessante
articolo dal titolo "Vietato contattare i consumatori per incassare il
consenso negato in precedenza":
- http://www.cassazione.net/vietato-contattare-i-consumatori-per-incassare-il-consenso-negato-in-precedenza-p43393.html.
La lettura dell'articolo richiede l'abbonamento a cassazione.net.
Esso fa riferimento alla sentenza 11019/2021 della Sez prima della Cassazione Civile del 26 aprile 2021. Si può leggerla indicando il Numero/Anno sentenza sulla pagina http://www.italgiure.giustizia.it/sncass/.
Direi che già il titolo fa capire completamente la questione.
A me interessa anche perché qualche cliente in passato mi aveva fatto domande proprio su questa questione.
Purtroppo sul sito del Garante non sono riuscito a trovare il provvedimento specifico.
- http://www.cassazione.net/vietato-contattare-i-consumatori-per-incassare-il-consenso-negato-in-precedenza-p43393.html.
La lettura dell'articolo richiede l'abbonamento a cassazione.net.
Esso fa riferimento alla sentenza 11019/2021 della Sez prima della Cassazione Civile del 26 aprile 2021. Si può leggerla indicando il Numero/Anno sentenza sulla pagina http://www.italgiure.giustizia.it/sncass/.
Direi che già il titolo fa capire completamente la questione.
A me interessa anche perché qualche cliente in passato mi aveva fatto domande proprio su questa questione.
Purtroppo sul sito del Garante non sono riuscito a trovare il provvedimento specifico.
Privacy: Blacklight analizzatore di siti web
Mi scrive Glauco Rampogna, Idraulico della privacy: non male questo
analizzatore di siti web:
- https://themarkup.org/blacklight.
Anche a me sembra ben fatto.
- https://themarkup.org/blacklight.
Anche a me sembra ben fatto.
venerdì 30 aprile 2021
Decreto sulle certificazioni richieste dal perimetro di sicurezza
Giancarlo Caroti di Neumus mi ha segnalato la pubblicazione del decreto del
Presidente della Repubblica numero 54 del 5 febbraio 2021.
Giancarlo mi sintetizza: "sono definite le procedure, le modalità e i termini da seguire ai fini delle valutazioni da parte del CVCN (Mise) ed i CV (MinInt e Difesa)". E commenta: "Pare molto impattante sulle dinamiche di acquisizione di prodotti e servizi ICT dei soggetti nel perimetro e dunque merita attenzione e credo che sarà spesso invocato (non sempre per lodarlo)!".
Dove reperirlo:
- www.gazzettaufficiale.it/eli/id/2021/04/23/21G00060/sg.
Qualche mio commento:
- gli enti all'interno del perimetro dovranno fare un'analisi del rischio e della sicurezza di ciascun prodotto o servizio ICT che intendono acquistare; credo che in molti copi-incolleranno, ma penso che sarà comunque una pratica utile (purché l'approccio richiesto, che dovrà essere pubblicato tra un paio di mesi, non sarà inutilmente oneroso);
- CV e CVCN potranno specificare quali test dovranno essere condotti prima di approvare un acquisto; anche questi saranno pubblicati tra un paio di mesi e, secondo me, permetteranno, nel tempo, di innalzare il livello complessivo della sicurezza informatica, grazie alla condivisione delle competenze, anche a chi è fuori dal perimetro.
Giancarlo mi sintetizza: "sono definite le procedure, le modalità e i termini da seguire ai fini delle valutazioni da parte del CVCN (Mise) ed i CV (MinInt e Difesa)". E commenta: "Pare molto impattante sulle dinamiche di acquisizione di prodotti e servizi ICT dei soggetti nel perimetro e dunque merita attenzione e credo che sarà spesso invocato (non sempre per lodarlo)!".
Dove reperirlo:
- www.gazzettaufficiale.it/eli/id/2021/04/23/21G00060/sg.
Qualche mio commento:
- gli enti all'interno del perimetro dovranno fare un'analisi del rischio e della sicurezza di ciascun prodotto o servizio ICT che intendono acquistare; credo che in molti copi-incolleranno, ma penso che sarà comunque una pratica utile (purché l'approccio richiesto, che dovrà essere pubblicato tra un paio di mesi, non sarà inutilmente oneroso);
- CV e CVCN potranno specificare quali test dovranno essere condotti prima di approvare un acquisto; anche questi saranno pubblicati tra un paio di mesi e, secondo me, permetteranno, nel tempo, di innalzare il livello complessivo della sicurezza informatica, grazie alla condivisione delle competenze, anche a chi è fuori dal perimetro.
Sicurezza dei servizi cloud MS
Segnalo questa interessante presentazione sulla sicurezza (e su come
configurare) dei servizi cloud di microsoft:
- https://drive.google.com/file/d/13Hmi2lSZEZfrvaAfc72EEsmK1iDcuNtM/.
C'è anche il video della presentazione fatta il 28 aprile 2021:
- https://www.youtube.com/watch?v=XOF8fw_aW5E.
- https://drive.google.com/file/d/13Hmi2lSZEZfrvaAfc72EEsmK1iDcuNtM/.
C'è anche il video della presentazione fatta il 28 aprile 2021:
- https://www.youtube.com/watch?v=XOF8fw_aW5E.
lunedì 26 aprile 2021
Privacy: Sulle sanzioni del Garante
Andrea Veneziani di Yioroi mi ha scritto in merito alle mie riflessioni
sulle sanzioni del Garante privacy:
- http://blog.cesaregallotti.it/2021/03/sulle-sanzioni-del-garante.html.
Secondo lui le sanzioni non sono abbastanza elevate perché "la nostra storia ci ha insegnato che, a fronte di sanzioni basse o lievi, poco o nulla si è ottenuto in tema di applicazione della protezione dei dati personali. Mi riferisco alle leggi anteriori al GDPR".
Aggiunge poi: "capisco che le aziende sono tartassate su molteplici fronti (costi per sicurezza sul lavoro, diritti dei lavoratori, agenzia entrate, ecc.), non capisco però le aziende che continuano a fare finta di niente in un mondo dove il singolo cittadino subisce attacchi e tentativi di frode, spamming di pubblicità da società di ogni genere, chiamate da call center al limite dello sfinimento, ecc.".
Io però vorrei ricordare che non chiedo sanzioni meno elevate. Solo mi sembra che, se le sanzioni sono elevate anche per chi si auto-denuncia (anzi, sembra che siano le più elevate in Europa), è inutile lamentarsi se le auto-denunce sono poche.
Comunque la si voglia leggere, rimane una conclusione di Andrea che condivido: "Le sanzioni fanno sì che ogni tanto ci sia una scossa e qualcuno prenda maggiori (o migliori) provvedimenti rispetto alla protezione dei dati personali e delle informazioni in genere".
- http://blog.cesaregallotti.it/2021/03/sulle-sanzioni-del-garante.html.
Secondo lui le sanzioni non sono abbastanza elevate perché "la nostra storia ci ha insegnato che, a fronte di sanzioni basse o lievi, poco o nulla si è ottenuto in tema di applicazione della protezione dei dati personali. Mi riferisco alle leggi anteriori al GDPR".
Aggiunge poi: "capisco che le aziende sono tartassate su molteplici fronti (costi per sicurezza sul lavoro, diritti dei lavoratori, agenzia entrate, ecc.), non capisco però le aziende che continuano a fare finta di niente in un mondo dove il singolo cittadino subisce attacchi e tentativi di frode, spamming di pubblicità da società di ogni genere, chiamate da call center al limite dello sfinimento, ecc.".
Io però vorrei ricordare che non chiedo sanzioni meno elevate. Solo mi sembra che, se le sanzioni sono elevate anche per chi si auto-denuncia (anzi, sembra che siano le più elevate in Europa), è inutile lamentarsi se le auto-denunce sono poche.
Comunque la si voglia leggere, rimane una conclusione di Andrea che condivido: "Le sanzioni fanno sì che ogni tanto ci sia una scossa e qualcuno prenda maggiori (o migliori) provvedimenti rispetto alla protezione dei dati personali e delle informazioni in genere".
martedì 20 aprile 2021
ISO 37301:2021 - Compliance management systems
Monica Perego mi ha segnalato la pubblicazione della norma ISO 37301:2021
dal titolo "Compliance management systems — Requirements with guidance for
use":
- https://www.iso.org/standard/75080.html.
E' facile immagirare i requisiti che riporta, visto che si basa sull'High level structure. E' però chiaro che, a chi intende certificarsi, è richiesto un livello di rigore superiore rispetto al "ogni tanto controllo qualche sito" per dimostrare la propria gestione della conformità. Per questo ci sono alcuni requisiti interessanti.
La norma ha un'Appendice A con anche una guida per l'interpretazione dei requisiti.
Non so che successo avrà questa norma, ma la trovo interessante.
- https://www.iso.org/standard/75080.html.
E' facile immagirare i requisiti che riporta, visto che si basa sull'High level structure. E' però chiaro che, a chi intende certificarsi, è richiesto un livello di rigore superiore rispetto al "ogni tanto controllo qualche sito" per dimostrare la propria gestione della conformità. Per questo ci sono alcuni requisiti interessanti.
La norma ha un'Appendice A con anche una guida per l'interpretazione dei requisiti.
Non so che successo avrà questa norma, ma la trovo interessante.
Minacce e attacchi: caso di SIM swap - Commento
Gabriele Marelli mi ha inviato un commento sul post "Minacce e attacchi:
caso di SIM swap":
http://blog.cesaregallotti.it/2021/03/caso-di-sim-swap.html.
Riporto nel seguito le sue parole e lo ringrazio.
Condivido la sua osservazione sul fatto che appaia strano che la banca abbia risarcito il cliente pur non avendo una reale colpa per l'attacco e, aggiungo, pur avendo negato le proprie responsabilità nella risposta fornita al cliente. E in effetti in casi simili è raro leggere notizie di rimborsi, anche in relazione a presunte o potenziali corresponsabilità del correntista.
In questo caso mi sembrano però dirimenti i punti 3, 4 e 15.7 della perizia del Dott. Rapetto (e forse anche l'autorevolezza del perito…), che si riferiscono ad una procedura di "Recall", forse colpevolmente non eseguita o eseguita fuori termine da parte della Banca, o forse eseguita correttamente e che quindi ha consentito di recuperare i fondi indebitamente sottratti.
E' infatti evidente che in questo caso specifico sussistessero le condizioni per l'applicazione della suddetta procedura (BEU eseguito in modo fraudolento + richiesta di "Recall" entro 10 giorni lavorativi).
Senza questo elemento a mio avviso l'esito non sarebbe stato così scontato. Temo che il diffuso e ormai annoso problema dello "SIM Swap" permanga…
http://blog.cesaregallotti.it/2021/03/caso-di-sim-swap.html.
Riporto nel seguito le sue parole e lo ringrazio.
Condivido la sua osservazione sul fatto che appaia strano che la banca abbia risarcito il cliente pur non avendo una reale colpa per l'attacco e, aggiungo, pur avendo negato le proprie responsabilità nella risposta fornita al cliente. E in effetti in casi simili è raro leggere notizie di rimborsi, anche in relazione a presunte o potenziali corresponsabilità del correntista.
In questo caso mi sembrano però dirimenti i punti 3, 4 e 15.7 della perizia del Dott. Rapetto (e forse anche l'autorevolezza del perito…), che si riferiscono ad una procedura di "Recall", forse colpevolmente non eseguita o eseguita fuori termine da parte della Banca, o forse eseguita correttamente e che quindi ha consentito di recuperare i fondi indebitamente sottratti.
E' infatti evidente che in questo caso specifico sussistessero le condizioni per l'applicazione della suddetta procedura (BEU eseguito in modo fraudolento + richiesta di "Recall" entro 10 giorni lavorativi).
Senza questo elemento a mio avviso l'esito non sarebbe stato così scontato. Temo che il diffuso e ormai annoso problema dello "SIM Swap" permanga…
giovedì 15 aprile 2021
Stato delle norme ISO/IEC 270xx - Aprile 2021
Si è concluso il 14 aprile 2021 il meeting semestrale dell'ISO/IEC JTC 1 SC
27. Si è svolto tutto in virtuale.
Come al solito indico le cose che a me hanno interessato di più.
Per i lavori collegati alla ISO/IEC 27001:
- la ISO/IEC 27002, sui controlli di sicurezza, sarà discussa a metà giugno e si spera passi in FDIS e quindi sia pubblicata entro fine 2021 (ma penso che più probabilmente sarà pubblicata a inizio 2022);
- proseguono i lavori sulla ISO/IEC 27005 sulla valutazione del rischio (pubblicazione prevista per fine 2022);
- ripartiranno i lavori per aggiornare la sola appendice A della ISO/IEC 27001 in modo che sia allineata alla nuova ISO/IEC 27002 (si cercherà di seguire una strada veloce, che prevede anche il fatto che la norma non cambierà edizione e rimarrà quindi ISO/IEC 27001:2013);
- partiranno i lavori per aggiornare la ISO/IEC 27006-1 in modo che sia progettata in modo da rendere meglio gestibili le altre parti (l'attuale ISO/IEC 27006-2 e le eventuali future parti dedicate ad altri schemi di estensione della ISO/IEC 27001);
- si è anche discusso dei lavori che dovranno riguardare alcune norme (p.e. la ISO/IEC 27017) strettamente collegate alla ISO/IEC 27002.
Per quanto riguarda le norme sulla privacy, segnalo:
- la discussione sulla ISO/IEC 27006-2 (regole di accreditamento, e quindi di certificazione, per la ISO/IEC 27701), perché si ha l'intenzione di riprenderla in mano in modo da correggere alcune cose, migliorare il calcolo delle giornate di audit e farla uscire come International standard e non più come TS entro fine 2023; non penso che per noi italiani questo aggiornamento sia particolarmente urgente, ma sembra che per altri Paesi lo sia e quindi dobbiamo rispettare le loro esigenze;
- i lavori della ISO/IEC 27557 (Organizational privacy risk management), che ho seguito per il dibattito su alcuni concetti interessanti e non per l'importanza della norma;
- la prossima pubblicazione in autunno 2021 della ISO/IEC 27555 sulla cancellazione dei dati personali.
Sicuramente avrò dimenticato qualcosa per colpa della fretta e me ne scuso
con tutti i lettori.
Come al solito indico le cose che a me hanno interessato di più.
Per i lavori collegati alla ISO/IEC 27001:
- la ISO/IEC 27002, sui controlli di sicurezza, sarà discussa a metà giugno e si spera passi in FDIS e quindi sia pubblicata entro fine 2021 (ma penso che più probabilmente sarà pubblicata a inizio 2022);
- proseguono i lavori sulla ISO/IEC 27005 sulla valutazione del rischio (pubblicazione prevista per fine 2022);
- ripartiranno i lavori per aggiornare la sola appendice A della ISO/IEC 27001 in modo che sia allineata alla nuova ISO/IEC 27002 (si cercherà di seguire una strada veloce, che prevede anche il fatto che la norma non cambierà edizione e rimarrà quindi ISO/IEC 27001:2013);
- partiranno i lavori per aggiornare la ISO/IEC 27006-1 in modo che sia progettata in modo da rendere meglio gestibili le altre parti (l'attuale ISO/IEC 27006-2 e le eventuali future parti dedicate ad altri schemi di estensione della ISO/IEC 27001);
- si è anche discusso dei lavori che dovranno riguardare alcune norme (p.e. la ISO/IEC 27017) strettamente collegate alla ISO/IEC 27002.
Per quanto riguarda le norme sulla privacy, segnalo:
- la discussione sulla ISO/IEC 27006-2 (regole di accreditamento, e quindi di certificazione, per la ISO/IEC 27701), perché si ha l'intenzione di riprenderla in mano in modo da correggere alcune cose, migliorare il calcolo delle giornate di audit e farla uscire come International standard e non più come TS entro fine 2023; non penso che per noi italiani questo aggiornamento sia particolarmente urgente, ma sembra che per altri Paesi lo sia e quindi dobbiamo rispettare le loro esigenze;
- i lavori della ISO/IEC 27557 (Organizational privacy risk management), che ho seguito per il dibattito su alcuni concetti interessanti e non per l'importanza della norma;
- la prossima pubblicazione in autunno 2021 della ISO/IEC 27555 sulla cancellazione dei dati personali.
Sicuramente avrò dimenticato qualcosa per colpa della fretta e me ne scuso
con tutti i lettori.
Not boring privacy
Un'iniziativa degli Idraulici della privacy è il canale Instagram
notboringprivacy:
- https://www.instagram.com/notboringprivacy/.
Io dico che mi sono iscritto a Instagram solo per seguirlo.
L'iscrizione però è inquietante e non la capisco: se inserisco la mia email
(cesare@dominio.it), mi dice "Another account is using cesare@dominio.it".
Allora gli dico che ho dimenticato la password e mi dice "No users found".
Boh...
Ma la cosa importante, dicevo, è che il canale raccoglie vignette amene
sulla privacy. Lo raccomando.
Anche perché si tratta di un'iniziativa degli Idraulici della privacy (e in particolare di Glauco Rampogna).
Android e iOS inviano dati anche se non vogliamo
E' stata pubblicata una ricerca in cui si dimostra che i dispositivi con
Android e iOS inviano molti dati a Google e Apple anche quando gli utenti li
configurano affinché non lo facciano:
- https://www.theregister.com/2021/04/01/android_ios_location/.
L'articolo segnalato riporta il link alla ricerca completa (in pdf) e le risposte, sempre inquietanti, di Google.
- https://www.theregister.com/2021/04/01/android_ios_location/.
L'articolo segnalato riporta il link alla ricerca completa (in pdf) e le risposte, sempre inquietanti, di Google.
App medicali e sicurezza
A metà 2017 avevo segnalato un articolo sul "futuro" regolamento UE sui
dispositivi medici. Poi il regolamento è stato pubblicato, ma non ho più
trattato l'argomento, anche se, in questi anni, ho collaborato in alcuni
progetti relativi ai dispositivi medici e all'attenzione che il nuovo
regolamento pone sulla sicurezza informatica.
Mi ha risvegliato Enos D'Andrea che ringrazio. Mi ha ricordato che il 26 maggio 2021 scade il termine per l'applicazione del regolamento europeo sui dispositivi medici approvato nel 2017. La scadenza era inizialmente prevista per l'anno scorso ed è stata posticipata di un anno causa COVID.
Il regolamento include anche requisiti di privacy e sicurezza per il software con finalità diagnostiche, incluse le applicazioni che monitorano i parametri di salute con finalità diagnostiche, che dovranno quindi obbligatoriamente certificarsi. Complesso è capire la differenza tra app di fitness e mediche.
Innanzi tutto ricordo l'articolo "iniziale" che avevo segnalato nel 2017:
- https://www.filodiritto.com/app-medicali-e-nuovo-regolamento-ue-sui-dispositivi-medici.
Poi segnalo dove trovare il Regolamento aggiornato ad oggi (ultimo aggiornamento del 23 aprile 2020):
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:02017R0745-20200424.
Quindi segnalo la "MDCG 2019-16 - Guidance on Cybersecurity for medical devices":
- https://ec.europa.eu/docsroom/documents/41863.
Comunque io non sono esperto di questa materia, ma credo sia giusto tenerla monitorata.
Mi ha risvegliato Enos D'Andrea che ringrazio. Mi ha ricordato che il 26 maggio 2021 scade il termine per l'applicazione del regolamento europeo sui dispositivi medici approvato nel 2017. La scadenza era inizialmente prevista per l'anno scorso ed è stata posticipata di un anno causa COVID.
Il regolamento include anche requisiti di privacy e sicurezza per il software con finalità diagnostiche, incluse le applicazioni che monitorano i parametri di salute con finalità diagnostiche, che dovranno quindi obbligatoriamente certificarsi. Complesso è capire la differenza tra app di fitness e mediche.
Innanzi tutto ricordo l'articolo "iniziale" che avevo segnalato nel 2017:
- https://www.filodiritto.com/app-medicali-e-nuovo-regolamento-ue-sui-dispositivi-medici.
Poi segnalo dove trovare il Regolamento aggiornato ad oggi (ultimo aggiornamento del 23 aprile 2020):
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:02017R0745-20200424.
Quindi segnalo la "MDCG 2019-16 - Guidance on Cybersecurity for medical devices":
- https://ec.europa.eu/docsroom/documents/41863.
Comunque io non sono esperto di questa materia, ma credo sia giusto tenerla monitorata.
domenica 11 aprile 2021
Materiale di formazione su OWASP Top 10 per il web
Glauco Rampogna (questo mese mi ha fornito molte indicazioni interessanti!)
mi ha segnalato questo sito dove sono disponibili applicazioni interattive
per formazione delle OWASP Top 10 per il web:
- https://application.security/free/owasp-top-10.
Come dice Glauco, può essere usato "al posto di mille webinar a pagamento". E in effetti ho trovato più indicazioni utili e approfondite qui che nelle presentazioni che ho sentito finora, tranne una di Paolo Perego (https://codiceinsicuro.it/) ormai troppi anni fa.
Io confesso di aver guardato solo la ricostruzione dell'attacco a Capital One con un attacco SSRF e la "Vertical Privilege Escalation". Non ho capito proprio tutto, ma penso proprio si tratti di un buon approccio per spiegare ai non tecnici come me alcune possibili vulnerabilità e ai tecnici come mitigarle.
- https://application.security/free/owasp-top-10.
Come dice Glauco, può essere usato "al posto di mille webinar a pagamento". E in effetti ho trovato più indicazioni utili e approfondite qui che nelle presentazioni che ho sentito finora, tranne una di Paolo Perego (https://codiceinsicuro.it/) ormai troppi anni fa.
Io confesso di aver guardato solo la ricostruzione dell'attacco a Capital One con un attacco SSRF e la "Vertical Privilege Escalation". Non ho capito proprio tutto, ma penso proprio si tratti di un buon approccio per spiegare ai non tecnici come me alcune possibili vulnerabilità e ai tecnici come mitigarle.
Il furto di dati personali da Facebook
Glauco Rampogna mi ha segnalato questo articolo sul furto di dati personali
da Facebook:
- https://www.businessinsider.com/stolen-data-of-533-million-facebook-users-leaked-online-2021-4?IR=T.
Ormai questa è una notizia super nota e richiamata da tutte le testate giornalistiche. Non mi sembra però di aver letto articoli tecnicamente significativi.
Tranne questo (sempre segnalato da Glauco qualche giorno dopo):
- https://www.reuters.com/article/us-facebook-data-leak/facebook-does-not-plan-to-notify-half-billion-users-affected-by-data-leak-idUSKBN2BU2ZY.
La cosa interessante è che Glauco ha cercato il mio nome e l'ha trovato con il numero di cellulare. Ora... non mi sembra di averlo mai dato a Facebook. Mi sa che l'ha reperito da WhatsApp e infatti sul profilo di Facebook il mio cellulare non risulta disponibile. Quindi vuol dire che ha aggregato dati credo senza una vera necessità. Ottimo...
Tra l'altro, in questi giorni ci sono stati altri attacchi (dati rubati a LinkedIn, blocco dei servizi a Brescia per ransomware e del servizio Axios per le scuole sempre per ransomware, analisi del Garante dell'incidente a Booking.com a inizio 2019), però nessuno degli articoli che ho visto ci insegna veramente qualcosa, tranne la necessità di stare attenti.
- https://www.businessinsider.com/stolen-data-of-533-million-facebook-users-leaked-online-2021-4?IR=T.
Ormai questa è una notizia super nota e richiamata da tutte le testate giornalistiche. Non mi sembra però di aver letto articoli tecnicamente significativi.
Tranne questo (sempre segnalato da Glauco qualche giorno dopo):
- https://www.reuters.com/article/us-facebook-data-leak/facebook-does-not-plan-to-notify-half-billion-users-affected-by-data-leak-idUSKBN2BU2ZY.
La cosa interessante è che Glauco ha cercato il mio nome e l'ha trovato con il numero di cellulare. Ora... non mi sembra di averlo mai dato a Facebook. Mi sa che l'ha reperito da WhatsApp e infatti sul profilo di Facebook il mio cellulare non risulta disponibile. Quindi vuol dire che ha aggregato dati credo senza una vera necessità. Ottimo...
Tra l'altro, in questi giorni ci sono stati altri attacchi (dati rubati a LinkedIn, blocco dei servizi a Brescia per ransomware e del servizio Axios per le scuole sempre per ransomware, analisi del Garante dell'incidente a Booking.com a inizio 2019), però nessuno degli articoli che ho visto ci insegna veramente qualcosa, tranne la necessità di stare attenti.
Risoluzione del Parlamento EU sull'applicazione del GDPR
Glauco Rampogna (un Idraulico della privacy) ha segnalato la pubblicazione
della "Valutazione della Commissione sull'applicazione del regolamento
generale sulla protezione dei dati due anni dopo la sua attuazione" e la
"Risoluzione del Parlamento europeo" in merito alla valutazione della
Commissione:
- https://www.europarl.europa.eu/doceo/document/TA-9-2021-0111_IT.html.
Il testo è di 14 pagine (il link proposto riporta all'edizione italiana). Io però preferisco riportare quello che mi ha segnalato Glauco.
Glauco segnala il punto 7:
esprime preoccupazione per il fatto che il "legittimo interesse" è molto spesso citato in modo improprio come base giuridica del trattamento; rileva che i titolari del trattamento continuano a basarsi sul legittimo interesse senza effettuare il necessario esame del bilanciamento degli interessi, che comprende una valutazione dei diritti fondamentali; esprime particolare preoccupazione per il fatto che alcuni Stati membri stanno adottando una legislazione nazionale per determinare le condizioni per il trattamento sulla base del legittimo interesse, prevedendo il bilanciamento dei rispettivi interessi del titolare del trattamento e delle persone interessate, mentre il GDPR obbliga ogni singolo titolare del trattamento a effettuare tale esame del bilanciamento a livello individuale e ad avvalersi di tale fondamento giuridico; teme che alcune interpretazioni nazionali del legittimo interesse non rispettino il considerando 47 e vietino di fatto il trattamento sulla base del legittimo interesse; si compiace che l'EDPB abbia già avviato i lavori per aggiornare il parere del gruppo di lavoro "Articolo 29" sull'applicazione del legittimo interesse quale base giuridica per il trattamento, al fine di affrontare le questioni evidenziate nella relazione della Commissione.
e il punto 23:
si rammarica del fatto che il ricorso, da parte degli Stati membri, alle clausole di specificazione facoltative (ad esempio, il trattamento nell'interesse pubblico o da parte delle autorità pubbliche sulla base del diritto dello Stato membro e dell'età del consenso dei minori) abbia pregiudicato il conseguimento di una piena armonizzazione della protezione dei dati e l'eliminazione di condizioni di mercato divergenti per le imprese in tutta l'UE, ed esprime preoccupazione in relazione al fatto che ciò può far aumentare il costo della conformità al GDPR.
Personalmente trovo particolarmente interessante il fatto che l'EDPB voglia aggiornare l'opinione del WP Art. 29 del 2014 in merito al legittimo interesse, in quanto basato sulla precedente Direttiva privacy.
- https://www.europarl.europa.eu/doceo/document/TA-9-2021-0111_IT.html.
Il testo è di 14 pagine (il link proposto riporta all'edizione italiana). Io però preferisco riportare quello che mi ha segnalato Glauco.
Glauco segnala il punto 7:
esprime preoccupazione per il fatto che il "legittimo interesse" è molto spesso citato in modo improprio come base giuridica del trattamento; rileva che i titolari del trattamento continuano a basarsi sul legittimo interesse senza effettuare il necessario esame del bilanciamento degli interessi, che comprende una valutazione dei diritti fondamentali; esprime particolare preoccupazione per il fatto che alcuni Stati membri stanno adottando una legislazione nazionale per determinare le condizioni per il trattamento sulla base del legittimo interesse, prevedendo il bilanciamento dei rispettivi interessi del titolare del trattamento e delle persone interessate, mentre il GDPR obbliga ogni singolo titolare del trattamento a effettuare tale esame del bilanciamento a livello individuale e ad avvalersi di tale fondamento giuridico; teme che alcune interpretazioni nazionali del legittimo interesse non rispettino il considerando 47 e vietino di fatto il trattamento sulla base del legittimo interesse; si compiace che l'EDPB abbia già avviato i lavori per aggiornare il parere del gruppo di lavoro "Articolo 29" sull'applicazione del legittimo interesse quale base giuridica per il trattamento, al fine di affrontare le questioni evidenziate nella relazione della Commissione.
e il punto 23:
si rammarica del fatto che il ricorso, da parte degli Stati membri, alle clausole di specificazione facoltative (ad esempio, il trattamento nell'interesse pubblico o da parte delle autorità pubbliche sulla base del diritto dello Stato membro e dell'età del consenso dei minori) abbia pregiudicato il conseguimento di una piena armonizzazione della protezione dei dati e l'eliminazione di condizioni di mercato divergenti per le imprese in tutta l'UE, ed esprime preoccupazione in relazione al fatto che ciò può far aumentare il costo della conformità al GDPR.
Personalmente trovo particolarmente interessante il fatto che l'EDPB voglia aggiornare l'opinione del WP Art. 29 del 2014 in merito al legittimo interesse, in quanto basato sulla precedente Direttiva privacy.
Iscriviti a:
Post (Atom)