sabato 22 dicembre 2018

Garante privacy e aggiornamenti sulle autorizzazioni generali

Il Garante privacy ha avviato i lavori relativi agli aggiornamenti sulle autorizzazioni generali. La notizia sulla newsletter fa il punto delle autorizzazioni che non sono più valide ("hanno cessato completamente i loro effetti"):
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9069012.

Il Provvedimento (doc. web 9068972), invece, fa il punto su quelli che risultano compatibili con il GDPR e prevede di avviare una consultazione pubblica per aggiornarle:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9068972.

Quindi: siamo ancora all'idea di bozze. Ci saranno i soliti che si agiteranno, ma in realtà ci sarà da aspettare.

Penale per Facebook per ritardo nella riattivazione di un account sospeso immotivatamente

Luca De Grazia mi ha informato di un'interessante sentenza: Facebook è stata punita perché disabilitò un'utenza senza assicurarle un minimo di diritto di difesa.

Luca De Grazia mi ha segnalato l'articolo su Quotidiano Giuridico:
- http://www.quotidianogiuridico.it/documents/2018/12/20/sospensione-immotivata-dell-account-penale-per-facebook-in-caso-di-ritardo-nella-riattivazione#.

Segnalo altri due articoli sulla medesima questione. Uno è giornalistico da Italia Oggi:
- https://www.italiaoggi.it/news/stop-alle-censure-immotivate-da-parte-di-facebook-2321752.

Un altro è più tecnico, da Studio Cataldi:
- https://www.studiocataldi.it/articoli/32919-facebook-non-puo-disattivare-un-account-senza-motivo.asp.

venerdì 21 dicembre 2018

NIST Risk management framework

Il NIST ha pubblicato la rev. 2 del SP 800-37 dal titolo "Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy":
- https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final.

Solitamente apprezzo le pubblicazioni del NIST, ma questa mi pare un rifacimento di cose vecchie. In particolare ripropone una valutazione del rischio basata sugli asset senza ulteriori riflessioni.

Dal NIST, poi, speravo di ricevere un maggior numero di esempi, che invece non ci sono.

Come pragmatismo, infine, non posso non notare quanto si aggrovigli sui concetti di "autorizzazione", dedicandoci anche due appendici per un totale di 32 pagine. Se ho capito correttamente, si tratta di "approvazione del rischio residuo e del piano di trattamento" e, quindi, parte delle riflessioni riguardano le responsabilità dei sistemi, visto che spesso si intrecciano in forme non facilmente discernibili.

giovedì 20 dicembre 2018

Cyber lexicon

Enrico Luigi Toso mi ha segnalato questo Cyber Lexicon:
- http://www.fsb.org/2018/11/cyber-lexicon/.

E' stato preparato dall'FSB, quindi è indirizzato al settore finanziario. Però può essere di interesse per tutti.

mercoledì 19 dicembre 2018

Sicurezza nei sistemi missilistici USA

Giulio Boero su LinkedIn mi ha consigliato questa notizia dal lungo titolo "Security Controls at DoD Facilities for Protecting Ballistic Missile Defense System Technical Information DODIG-2019-034":
- http://www.dodig.mil/reports.html/Article/1713611/security-controls-at-dod-facilities-for-protecting-ballistic-missile-defense-sy/.

Gli ispettori del US Department of Defense (DOD) Office of Inspector General (OIG) hanno elencato le carenze in materia di sicurezza informatica presso l'US ballistic missile defense systems (BMDS).

In sintesi:
- non è presente un meccanismo di autenticazione a 2 fattori;
- le vulnerabilità di rete non sono state mitigate;
- i rack non sono chiusi a chiave;
- i media rimovibili non sono sufficientemente monitorati e protetti;
- le trasmissioni non sono cifrate;
- non è attivo un IDS sulla rete classificata;
- non sono disponibili giustificazioni scritte per elevare i privilegi degli utenti.

Nulla di nuovo o di specifico. Certamente alcune cose fanno paura.

Però segnalo che tutto manca di contesto. Per esempio: i rack non sono chiusi a chiave, ma l'accesso al data centre è controllato? quali vulnerabilità di rete non sono state mitigate e si tratta di vulnerabilità visibili all'esterno della rete?

Alcune cose, però, sono ingiustificabili, come per esempio l'assenza di 2FA e di trasmissioni cifrate.

Insomma: notizia che mi ha impressionato soprattutto perché vedo che negli USA rendono pubbliche queste cose.

martedì 18 dicembre 2018

Sicurezza da dilettanti

Bruce Schneier, nell'ultimo numero di Crypto-Gram, ha pubblicato un breve articolo dal titolo "Worst-Case Thinking Breeds Fear and Irrationality":
https://www.schneier.com/blog/archives/2018/11/worst-case_thin_1.html.

Ha colto l'idea da una notizia da Brighton: un tizio vede un adulto e una bambina e chiama la polizia dicendo di aver visto un adulto rapire una bambina; la polizia interviene con tutto l'armamentario del caso e poi scoprire che si trattava di un padre con la propria figlia.

Ultimamente sto notando l'ansia eccessiva intorno ai bambini e non mi stupisce che ci siano persone che o ne approfittano o dimostrano ulteriore ansia.

Io rifletto che le statistiche sono poche (pare che negli USA si parli di 105 casi all'anno; ma non ho trovato ricerche che diano dettagli sulle età, sui diversi tipi di sparizione, sulla certezza delle cause di sparizione, eccetera) e quasi nessuno legge le poche a disposizione; crescono le notizie false, i conseguenti allarmi falsi e la successiva ansia ingiustificata. Questo succede anche nella sicurezza delle informazioni (e lo si è visto con la "corsa al GDPR").

Bruce Schneier conclude dicendo che se ci si rivolge ai dilettanti, non bisogna stupirsi se poi si fa una sicurezza da dilettanti. Mi sembra un'ulteriore riflessione degna di nota.

sabato 15 dicembre 2018

Guida per la sicurezza informatica sulle navi

Dal SANS NewsBites del 14 dicembre, segnalo la notizia della pubblicazione, del documento "The guidelines on cyber security onboard ships":
- https://iumi.com/news/blog/bimco-the-guidelines-on-cyber-security-onboard-ships.

L'articolo di ZDnet suggerito dal SANS NewsBites si concentra troppo sugli incidenti registrati negli ultimi anni:
- https://www.zdnet.com/article/ships-infected-with-ransomware-usb-malware-worms/.

L'esercizio sugli attacchi è interessante non tanto per l'impatto giornalistico, ma perché evidenzia lo sforzo di analisi fatto. Questo sforzo si riflette anche sulla descrizione delle misure e sulle altre parti del documento, che ripetono sì le "solite cose", ma ben personalizzate per l'ambiente di riferimento. Questo include una breve riflessione sulla differenza tra i sistemi informatici tradizionali (IT system) e quelli industriali o, nel caso, della nave (Operational system o OT system).

Segnalo poi, accanto alla completezza, la sinteticità del documento: 56 pagine.

giovedì 13 dicembre 2018

Pentesting

Pentesting (con un piccolo e divertente gioco di parole):
- https://nymag.com/strategist/article/best-pens-gel-ballpoint-rollerball-felt-fountain.html.

E' vero: non c'entra niente con le notizie che do di solito. Però è divertente.

OWASP per applicazioni per dispositivi mobili

OWASP ha recentemente pubblicato due documenti interessanti sulla sicurezza delle applicazioni per dispositivi mobili. Sono gratuiti e si possono trovare sul sito di OWASP:
- https://www.owasp.org/index.php/OWASP_Mobile_Security_Testing_Guide.

Segnalo in particolare il pdf per la "Mobile Security Testing Guide (MSTG)" - 1.1.0 Release (406 pagine):
- https://github.com/OWASP/owasp-mstg/releases.

La "Mobile App Security Requirements and Verification" è ora alla versione 1.1 ed è di più rapida lettura (30 pagine). Si può scaricare direttamente dal sito di OWAS (dalla prima pagina indicata in questo post).

Le tabelle della "Mobile App Security Requirements and Verification" sono disponibili anche in Excel:
- https://github.com/OWASP/owasp-mstg/tree/master/Checklists.

Sviluppo sicuro: tipi di scansione

Segnalo questo articolo su ICT Security Magazine dal titolo "Sviluppo sicuro del codice… 4 semplici domande a 3 strati di una cipolla":
- https://www.ictsecuritymagazine.com/articoli/sviluppo-sicuro-del-codice-4-semplici-domande-a-3-strati-di-una-cipolla/.

Mi pare che questo articolo faccia chiarezza sulle 3 analisi di sicurezza del codice:
- scansione statica del codice, da fare con strumenti automatici in ambiente di sviluppo e test;
- scansione dinamica del codice, da fare con strumenti parzialmente automatici in ambiente di test;
- penetration test, da fare con vari strumenti in ambiente di produzione.

Mi piacciono le argomentazioni proposte, anche se mi rimangono alcune domande:
- la scansione dinamica va fatta coinvolgendo specialisti o può essere fatta dagli stessi sviluppatori (osservando che i PT rientrano nel primo caso)?
- quali strumenti sono oggi ritenuti più interessanti per le scansioni statiche e dinamiche?

martedì 11 dicembre 2018

Executive Perspectives on Top Risks for 2019 di Protiviti

Segnalo questo documento di Protiviti dal titolo "Executive Perspectives on Top Risks for 2019":
- https://www.protiviti.com/IT-it/insights/protiviti-top-risks-survey.

Io ho molte perplessità di fronte a queste indagini, visto che sono palesemente guidate. Inoltre trovo eccessivamente pomposo il sottotitolo "Key Issues Being Discussed in the Boardroom and C-Suite".

Però trovo interessante il lavoro preparatorio di selezione di 30 rischi da sottoporre agli intervistati. Sono convinto si tratti di una selezione condotta tra i vari consulenti e che quindi sia maggiormente significativa delle successive analisi sui 10 rischi "più significativi".

Molti sono rischi non operativi (per la qualità o la sicurezza delle informazioni), ma fanno parte del "contesto" di cui tanto si parla con gli standard relativi ai sistemi di gestione e basati sull'HLS (ISO 9001:2015, ISO/IEC 27001:2013, ISO/IEC 20000-1:2018 e così via). Consiglio quindi una lettura della tabella 1 (pagine 4, 5 e 6).

lunedì 10 dicembre 2018

Linea Guida EDPB sull'applicazione territoriale del GDPR

Questa "Guidelines 3/2018 on the territorial scope of the GDPR" dell'EDPB la segnalo perché l'applicazione territoriale del GDPR mi ha dato da pensare in un paio di occasioni:
- https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-32018-territorial-scope-gdpr-article-3_en.

Al momento è solo in inglese.

Non l'ho ancora letta, ma il testo di accompagnamento del nostro Garante copre i miei punti di attenzione:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9065814#3.

giovedì 6 dicembre 2018

Articolo sulla blockchain

Mi ero ripromesso di non occuparmi più di blockchain, dopo aver visto che si tratta, nei casi che riguardano il mio lavoro, di una bufala. Ma come fare? Troppi articoli e troppa pubblicità; troppi venditori di fumo o, per chi apprezza l'importazione, di snakeoil.

Allora rilancio con un articolo dal programmatico titolo di "La blockchain è una tecnologia scadente e una pessima idea per il futuro":
- https://thevision.com/innovazione/blockchain/.

Segnalo ulteriori perplessità su questa tecnologia, riportate da un altro articolo che avevo segnalato ad agosto
(https://medium.com/@kaistinchcombe/decentralized-and-trustless-crypto-paradise-is-actually-a-medieval-hellhole-c1ca122efdec).

mercoledì 5 dicembre 2018

Pubblicata la ISO/IEC 29101 "Privacy architecture framework"

E' stata pubblicata la seconda edizione della ISO/IEC 29101 "Privacy architecture framework":
- https://www.iso.org/standard/75293.html.

Questa versione del 2018 sostituisce quella del 2013.

Nella prefazione è detto che la modifica più significativa è l'eliminazione dell'Appendice D, dove i "controlli privacy" erano correlati ai "controlli della ISO/IEC 27001:2005".

Personalmente pensavo che la versione del 2013 fosse una roba inutile. Continuo a pensarlo della versione del 2018.

Regolamento UE contro il geo-blocking

Ivo Trotti di Kantar Italia, visto il mio interesse in materia di accessibilità, mi ha segnalato questo:
- https://www.consorzionetcomm.it/notizie/entra-in-vigore-il-regolamento-sul-geoblocking.kl.

E' quindi possibile accedere alla pagina ufficiale della UE sulla materia:
- https://ec.europa.eu/digital-single-market/en/faq/geo-blocking.

In sostanza, da quando entrerà in vigore il Regolamento, non sarà più possibile, per i siti di uno Stato membro, bloccare l'accesso o i pagamenti a utenti di altri Stati membri, pratica che è invece vista come discriminante.

lunedì 3 dicembre 2018

Linee guida ENISA per gli audit NISD

Franco Vincenzo Ferrari di DNV GL mi ha segnalato questa pubblicazione di ENISA dal titolo "Guidelines on assessing DSP security and OES compliance with the NISD security requirements":
- https://www.enisa.europa.eu/publications/guidelines-on-assessing-dsp-security-and-oes-compliance-with-the-nisd-security-requirements.

Si tratta di una guida per gli audit interni per i "Digital service provider" (DSP) e gli operatori di servizi essenziali (OES) che vogliono conformarsi ai requisiti della Direttiva NIS e per gli audit che potrebbero condurre le autorità nazionali (national competent authorities o NCA o, in Italia, le "autorità competenti NIS") sempre sulle società a cui è indirizzata la NIS.

Della NIS ne parlai tempo fa:
- http://blog.cesaregallotti.it/2018/06/direttiva-nis-in-vigore-veramente.html.

Ho trovato alcuni punti confusi qua e là (mi chiedo, per esempio, perché usare la definizione di audit dell'ISACA, che non richiama la conformità, e non altre, perché confondano metodologie di valutazione del rischio come il CRAMM con altri documenti come la ISO/IEC 27001; perché citino il CRAMM non più mantenuto dal 2003 o perché usino il termine "ecosistema"). Però ho trovato molto interessanti i due elenchi di misure da considerare perché presentano un elenco di misure che possiamo considerare come "minime" nell'ambito NIS.

Confermo quello che ho scritto: apprezzo questo lavoro che parte dalle basi e ne suggerisco la consultazione.

venerdì 30 novembre 2018

Libro "European Data Protection" di IAPP

Per prepararmi all'esame CIPP/E dell'IAPP ho letto il libro ufficiale dell'IAPP.

Ne consiglio la lettura perché mi pare scritto bene e in modo pragmatico, anche se si tratta sempre di un libro teorico.

Riporto il commento di Pierfrancesco Maistrello: "Mi ha insegnato cose che non sapevo, e ogni tanto fa sintesi concettuali che in italia o te le fai da solo, se hai tempo e sei capace, o te le scordi".

Penso che in Italia si paghino gli interventi troppo concettuali di questi anni.

Comunque... il libro si trova in versione digitale e cartacea sul sito dell'IAPP:
- (digitale) https://iapp.org/store/books/a191a000002FJK5AAO/;
- (cartacea) https://iapp.org/store/books/a191a000002F94uAAC/.

sabato 24 novembre 2018

PEC o SERCQ? Scenari dal 1 gennaio 2019

Franco Vincenzo Ferrari di DNV GL mi ha segnalato questo articolo dal titolo "Dalla PEC al domicilio digitale, il passaggio nel 2019: ecco che può succedere":
- https://www.agendadigitale.eu/documenti/fatturazione-elettronica/dalla-pec-al-domicilio-digitale-il-passaggio-nel-2019-ecco-che-puo-succedere/.

In sostanza, la PEC non sarà più regolamentata ai sensi dell'articolo 48 del CAD. Quindi ci sarà una migrazione verso il Servizio di recapito certificato (SERC), regolamentato invece dal Regolamento eIDAS.

Nell'articolo sono presentati dei possibili scenari futuri. A mio parere, per chi non deve qualificarsi esperto della materia, è importante sapere che ci sarà una migrazione ed evitare, quando ci sarà, di fare la faccia stupita.

giovedì 22 novembre 2018

Violazione delle PEC

Riporto da Wired una notizia dal titolo "Un attacco hacker ha violato 500mila caselle pec in Italia":
- https://www.wired.it/internet/web/2018/11/20/italia-attacco-hacker-account-mail-pec/.

Su ICT Business è detto che l'attacco è iniziato il 12 novembre:
http://www.ictbusiness.it/cont/news/attacco-alla-pec-italiana-colpite-500mila-caselle/42536/1.html.

Altro articolo del 15 novembre (letto su Twitter, da @Il_Vitruviano):
- http://www.dagospia.com/rubrica-29/cronache/hacker-all-rsquo-assalto-tribunali-interrotti-servizi-informatici-187938.htm.

Il nostro "vice direttore per la cybersecurity del Dipartimento delle informazioni per la sicurezza (Dis)" Roberto Baldoni suggerisce di cambiare la password della nostra PEC, ma questo è un consiglio che tecnicamente non mi pare significativo: se il mio provider di PEC non è stato compromesso (sembra sia stato compromesso quello di TIM), perché dovrei cambiare la password?

E poi ancora: se è vero che l'attacco non era molto raffinato, quali vulnerabilità sono state sfruttate?

Studio ENISA su Industria 4.0

ENISA ha pubblicato uno studio dal titolo "Good Practices for Security of Internet of Things in the context of Smart Manufacturing":
- https://www.enisa.europa.eu/publications/good-practices-for-security-of-iot.

La lettura è decisamente interessante anche se, a mio parere, il documento poteva essere più sintetico. Rimane una lettura molto consigliata, non solo per chi si occupa di IoT o di Industria.

Elenco del Garante dei trattamenti che necessitano di PIA

L'11 ottobre il Garante italiano ha pubblicato l'elenco dei trattamenti che necessitano di PIA:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9058979.

L'elenco recepisce i commenti dell'EDPB del 26 settembre.

Non mi pare introduca trattamenti imprevisti. Alcuni però li trovo scritti in modo lievemente ambiguo e secondo me in alcuni casi si scateneranno dei dibattiti.

L'elenco fa spesso riferimento alla linea guida WP 248. Si può trovare in questa pagina (per l'italiano è necessario aprire lo zip cliccando su "Available language versions"):
- https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236.

venerdì 16 novembre 2018

Accredia e i laboratori di vulnerability assessment

Accredia ha lanciato un servizio di accreditamento dei laboratori di vulnerability assessment rispetto alla ISO/IEC 17025 (grazie a Franco Vincenzo Ferrari di DNV GL per la segnalazione):
- https://www.accredia.it/servizio-accreditato/vulnerability-assessment/.

I laboratori possono essere certificati ISO 9001 o ISO/IEC 27001, ma possono anche essere direttamente accreditati dall'Organismo di accreditamento, che in Italia è Accredia.

L'esigenza viene principalmente dall'attuazione italiana del Regolamento eIDAS e di altri servizi fiduciari quali per esempio quelli relativi alla conservazione dei documenti. Come troppo spesso succede, AgID e Accredia hanno voluto essere più bravi di quelli bravi e imporre l'uso di laboratori accreditati per l'esecuzione di vulnerability assessment presso i fornitori di servizi fiduciari.

Potevano ovviamente richiedere, ai fornitori di servizi di vulnerability assessment, le "sole" certificazioni ISO 9001 o ISO/IEC 27001. Invece hanno voluto richiedere l'accreditamento come laboratori.

Vedremo come sarà recepito questo nuovo schema, gestito direttamente da Accredia.

mercoledì 7 novembre 2018

Come spiare la CIA? Usando Google

Questo articolo di cui dà notizia il Sans NewsBites (l'avevo già visto su Twitter, ma in un momento di pigrizia) ha titolo "How did Iran find CIA spies? They Googled it":
- https://arstechnica.com/tech-policy/2018/11/how-did-iran-find-cia-spies-they-googled-it/.

In sostanza e se ho capito correttamente, dopo aver scoperto inizialmente come gli agenti della CIA comunicavano tra loro usando certi siti web, gli iraniani riuscivano a seguire le comunicazioni semplicamente usando Google.

Ancora una volta questo dimostra quanto siamo inconsapevoli della potenza delle tecnologie che usiamo e sarebbe quindi opportuno smettere di essere così ingenui.

Configurare i browser per la privacy

Dal Sans NewsBites del 7 novembre, ecco un articolo dal titolo "How to Lock Down What Websites Can Access on Your Computer":
- https://www.wired.com/story/how-to-lock-down-websites-permissions-access-webcam/.

La cosa interessante, come fa notare un commento del SANS, è che oggi o browser sono così complessi che hanno delle funzionalità per configurare delle funzionalità e che molto spesso poi queste cambiano, rendendo difficile la rincorsa.

martedì 6 novembre 2018

Le password peggiori del 2017

Come ogni anno, Splashdata pubblica le password peggiori:
https://www.teamsid.com/worst-passwords-2017-full-list/.

Lettura divertente, non troppo originale, ma da conoscere.

Come diffondiamo le nostre informazioni

Segnalo questo tweet:
- https://twitter.com/stefanoepifani/status/1058700175634513921.

Ho notato in questi mesi quanto le persone siano paranoiche nella vita "reale" (io a scuola andavo da solo da quando ho 7 anni e Milano non era più sicura negli anni Settanta - Ottanta) e invece poco attente nella vita "social-virtuale" (confesso che aspetto con sempre maggiore impazienza la notizia di qualche furto in casa di quelli che si sentono in dovere di segnalare sempre dove sono).

A parte le mie considerazioni personali, è necessario ricordare come la cultura quotidiana ha poi impatti nella sicurezza delle informazioni.

sabato 27 ottobre 2018

Attacchi ai fornitori di software

Dal SANS NewsBites del 26 ottobre, segnalo la notizia dal titolo "Two New Developer Supply Chain Attacks":
- https://www.sans.org/newsletters/newsbites/xx/85#2.

Sono due attacchi a software open source: i malintenzionati hanno modificato parti del codice. La cosa è ovviamente inquietante e mi pare sia difficile trovare contromisure (a meno di non promuovere il software proprietario, che però ha altri problemi).

Questa notizia me ne ricorda un'altra relativa alla filiera di fornitura IT: quella per cui alcuni microchip, prodotti in Cina, sono stati alterati inserendo dei dispositivi di intercettazione. Si trova nel numero precedente del SANS Newsbites:
- https://www.sans.org/newsletters/newsbites/xx/84.

La notizia originale era stata data da Bloomberg, ma molti pensano sia un falso (tra l'altro per rinforzare la voglia di autarchia dimostrata da parte degli statunitensi). Visto che ha fatto notizia, la segnalo:
- https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies.

giovedì 11 ottobre 2018

Stato delle norme ISO/IEC 270xx - Ottobre 2018

La prima settimana di ottobre a Gjøvik (Norvegia) si è concluso l'incontro semestrale del ISO/IEC JTC 1 SC 27, ossia del comitato che si occupa della redazione delle norme della serie ISO/IEC 27000.

Non ho partecipato direttamente e quindi fornisco indicazioni tratte dai resoconti finali.

Per quanto riguarda i lavori sulle norme della privacy:
  • la ISO/IEC 27552 (ossia lo standard che potrebbe essere quello su cui sarà basata la "certificazione GDPR") dovrebbe passare allo stato di DIS e quindi essere pubblicata a fine 2019;
  • la ISO/IEC 27018 (Code of practice for PII protection in public clouds acting as PII processors) è stata aggiornata per allinearla alle altre norme uscite in questi anni e la pubblicazione della nuova versione è prevista per fine anno;
  • per la l'ISO/IEC 29101 (Privacy Architecture Framework), la situazione è la medesima della ISO/IEC 27018;
  • per la ISO/IEC 27550 (Privacy engineering for system life cycle processes) sono proseguiti i lavori.

Per quanto riguarda le attività del WG 1, ossia quelle più strettamente collegate alla ISO/IEC 27001, segnalo le cose per me più interessanti:
  • avvio formale, con la prima bozza, dei lavori per la prossima versione della ISO/IEC 27002 sui controlli di sicurezza (a questo punto prevista non prima del 2021);
  • ulteriore proseguimento dei lavori per la futura ISO/IEC 27005 sulla valutazione del rischio (i lavori sono ripartiti dalle discussioni preliminari);
  • continuazione dei lavori per apportare correzioni alla ISO/IEC 27006, la norma per gli organismi che certificano ISO/IEC 27001;
  • continuazione dei lavori per aggiornare la ISO/IEC 27013, ossia la norma che tratta delle relazioni tra ISO/IEC 27001 e 20000-1, visto il recente aggiornamento di quest'ultima;
  • avvio dei lavori per un aggiornamento minore della ISO/IEC 27007, linea guida per la conduzione degli audit sulla ISO/IEC 27001, per allineamento alla ISO 19011:2018; pertanto partirà dallo stato di DIS per essere pubblicata ad autunno 2019 (ricordo che la ISO/IEC 27007 è stata aggiornata nel 2017 e tutte queste rilavorazioni di norme mi lasciano perplesso);
  • passaggio a DIS (con possibile pubblicazione ad autunno 2019) della ISO/IEC 27102 sulle cyber-assicurazioni;
  • sono proseguite le discussioni sull'utilità del SOA; dal rapporto dell'incontro capisco che il 75% dei partecipanti vuole mantenere nella ISO/IEC 27001 l'Annex A e il requisito sul SOA.

Il WG 4, dedicato ad aspetti più tecnici della sicurezza, ha lavorato alla seconda bozza di lavoro della norma ISO/IEC 27030 dal titolo "Guidelines for security and privacy in Internet of Things (IoT)". La prima bozza era un documento sostanzialmente vuoto.

Altri documenti su cui ha lavorato il WG 4, che io ritengo interessanti, ma ancora in fase di bozza, sono:
  • aggiornamento della ISO/IEC 27031 sulla continuità operativa;
  • aggiornamento della ISO/IEC 27032 sulla sicurezza Internet (era un documento dedicato alla Cybersecurity, tema ora demandato alle norme della serie 271xx);
  • ISO/IEC 27045 sui big data.

Per quanto riguarda i partecipanti, so solo che al WG 1 (i gruppi sono 5 e il WG 1 è il più numeroso) hanno partecipato esperti e delegati da 29 Paesi. La delegazione italiana (per i soli WG 1 e WG 5) era composta da ben (!) tre persone.

Prossimo meeting: aprile 2019.

Mio articolo sulla nuova ISO/IEC 29100 "Privacy framework"

Avevo già scritto che è stato recentemente pubblicato un aggiornamento della ISO/IEC 29100 dal titolo "Privacy framework". Ho approfondito un po' la questione in questo articolo:
- https://www.ictsecuritymagazine.com/notizie/aggiornamento-della-iso-iec-29100-privacy-framework/.

lunedì 17 settembre 2018

Nuova versione della ISO/IEC 20000-1

E' stata pubblicata la ISO/IEC 20000-1:2018 che sostituisce la versione del 2011:
- https://www.iso.org/standard/70636.html.

Per chi non lo sapesse, la ISO/IEC 20000-1 ha titolo "Service management system requirements" e rappresenta (mi scusino i puristi) la norma che permette di certificare l'adozione di ITIL da parte delle aziende.

Non l'ho ancora letta. So solo che è stata modificata per recepire l'HLS, ossia per essere impostata come le altre norme sui sistemi di gestione (per esempio, ISO 9001 e ISO/IEC 27001), con l'analisi del contesto, delle parti interessati, dei rischi e delle opportunità, eccetera.

domenica 16 settembre 2018

Sentenza del TAR e competenze dei DPO (Post scriptum)

Ulteriori considerazioni dopo il post sulla sentenza del TARI del Friuli Venezia Giulia sulle competenze del DPO:
- http://blog.cesaregallotti.it/2018/09/sentenza-del-tar-e-competenze-dei-dpo.html.

Post scriptum 1
Monica Perego ha scritto a me e ad altri quanto segue. Lo sottoscrivo pienamente.
"Trattare i temi privacy significa possedere un mix di competenze organizzative, legali e tecniche. Per le ultime due puoi ricorrere ad esperti sulla base delle specifiche esigenze. La prima è più on-off. Questo si comprende molto bene quando si fa analisi dei rischi. Io in aula lavoro sulla acquisizione delle competenze organizzative. Per quello che mi riguarda il DPO deve capirne di processi e di logiche di funzionamento delle organizzazioni. Il resto se lo prende all'esterno se non lo possiede."

Post scriptum 2
Con Monica Perego avevamo pensato a come dare maggior valore legale alla richiesta della certificazione Lead auditor ISO/IEC 27001. La soluzione ce la fornisce Accredia, con la sua linea guida "I riferimenti all'accreditamento e alla certificazione nelle richieste di offerta e nei bandi di gara" (al capitolo 6 ci sono esempi pratici e ricordo che Accredia usa il termine "ISMS Responsabile gruppo di audit"):
- http://www.accredia.it/news_detail.jsp?ID_NEWS=1711&areaNews=94&GTemplate=default.jsp.

Nota
Io il bando di gara oggetto della sentenza non l'ho letto. Ma mi sembra strano che la sentenza non chiarisca se il certificato LA 27001 era richiesto come sostituto di laurea.

Ampliata la Legge accessibilità alle app

E' stato pubblicato il D. Lgs. 106 del 2018 dal titolo "Riforma dell'attuazione della direttiva (UE) 2016/2102 relativa all'accessibilità dei siti web e delle applicazioni mobili degli enti pubblici":
- www.gazzettaufficiale.it/eli/id/2018/09/11/18G00133/sg.

Modifica la Legge 4 del 2004 sull'accessibilità agli strumenti informatici da parte delle persone con disabilità. La estende ai siti web e alle applicazioni mobili degli enti pubblici.

Mi pare una bella cosa (anche se non avevo capito che la precedente Legge non includeva i siti web).

Sentenza del TAR e competenze dei DPO

Una recente sentenza del TAR del Friuli Venezia Giulia ripropone la questione sulle competenze del DPO. Parto con il link diretto alla sentenza (grazie a Glauco Rampogna):
- https://www.giustizia-amministrativa.it/cdsintra/cdsintra/AmministrazionePortale/DocumentViewer/index.html?ddocname=5LLMWH2MBE2JVPC536FUMJHNYU&q=.

La discussione su LinkedIn è qui:
- https://www.linkedin.com/pulse/il-dpo-%C3%A8-un-professionista-del-diritto-i-diplomi-iso-balducci-romano/.

Come sempre ci sono giuristi che al termine "misure adeguate" pensano a qualche bel "protocollo", come finora hanno fatto per la 231 e per la privacy. Ci sono anche giuristi che non hanno ancora capito la differenza tra "designazione" e "autorizzazione" e "contratto". Ci sono anche giuristi che hanno inviato un "contratto di nomina a responsabile" al fornitore. E giuristi che NON rispondono agli interessati in modo chiaro, o fanno scrivere informative incomprensibili (alla faccia di quanto chiesto dal GDPR). Ci sono non-giuristi messi ugualmente male.

Detto questo, c'è chi ne sa più di me (EDPS) e ha scritto questo (grazie a Pierfrancesco Maistrello per averlo segnalato):
- https://edps.europa.eu/sites/edp/files/publication/10-10-14_dpo_standards_en.pdf.

Su LinkedIn ho letto i commenti di Riccardo Marchetti e Luca Lezzerini e concordo con loro. Riassumo: perché il DPO deve essere un giurista affiancato da tecnici e non viceversa?

Mia personale conclusione: i criteri imposti dal TAR (ossia dedurre che il DPO debba essere una persona con competenze prevalentemente giuridiche) sono buoni tanto quanto quelli originali. Solo che non è elegante che dei legali (con potere) dicono che un certo lavoro debba essere fatto da legali.

Il testo della sentenza mi ha ricordato alcune discussioni per cui c'è chi vede un conflitto di interessi tra DPO (che deve tutelare gli interessati) e il responsabile della sicurezza (che deve tutelare l'organizzazione). Non le condivido, anche perché la stessa discussione si basa sulla richiesta indipendenza del DPO. Come è noto, però, il DPO è pagato dal titolare e quindi la sua indipendenza è sempre incompleta (qui sto parlando di sostanza, nella teoria siamo tutti bravi a dire il contrario; vedo e vivo gli stessi problemi da anni con gli auditor "indipendenti").

Altri hanno commentato ricordando che il Titolare è responsabile delle proprie azioni e quindi non è compito del TAR discuterle. Condivido anche questa.

Sempre Glauco Rampogna ricorda alcuni punti: "si tenta di legittimare la separazione tra la conoscenza dell'applicazione delle misure di sicurezza e la tutela dei diritti dell'interessato, che invece il GDPR tende ad includere nel ruolo del DPO, a tutto vantaggio della parte giuridica. Il fatto poi di essere in ambito pubblico potrebbe spingere altri soggetti pubblici ad avallare questa tesi in altri ambiti, per un effetto a cascata".

sabato 15 settembre 2018

I rischi dell'autenticazione a due fattori

Avevo scritto due post sull'autenticazione a due fattori (o 2FA):
- http://blog.cesaregallotti.it/2018/08/violazione-reddit-e-debolezze-della-2fa.html;
- http://blog.cesaregallotti.it/2018/08/violazione-reddit-e-debolezze-della-2fa_15.html.

Bruce Schneier ha segnalato un articolo dal titolo "Before You Turn On Two-Factor Authentication…" che riporta i rischi della 2FA:
- https://medium.com/@stuartschechter/before-you-turn-on-two-factor-authentication-27148cc5b9a1.

Ci ricorda quindi che ogni misura di sicurezza porta con se dei rischi e che la sua introduzione va sempre attentamente ponderata.

Per completezza, il post di Bruce Schneier è qui:
- https://www.schneier.com/blog/archives/2018/08/good_primer_on_.html.

mercoledì 12 settembre 2018

Pubblicata la UNI/PdR 43 per la certificazione GDPR

Fabio Guasconi di Bl4ck Swan e Glauco Rampogna mi hanno segnalato la pubblicazione delle UNI/PdR 43. Come scrive Fabio: "la prima ha una valenza di linea guida; la seconda esprime requisiti che POTREBBERO costituire la base per una certificazione ex articolo 42 del GDPR".

Sono disponibili gratuitamente:
- http://store.uni.com/catalogo/index.php/uni-pdr-43-1-2018.html
- http://store.uni.com/catalogo/index.php/uni-pdr-43-2-2018.html.

Le avevo già commentate quando furono pubblicate le bozze:
- http://blog.cesaregallotti.it/2018/05/privacy-bozza-di-prassi-uni-per-la.html.

Aggiungo solo che la prima parte risulta corretta rispetto alla versione che avevo criticato. Continuo però a pensare che sia inutile alla luce di altri contributi, a mio parere più autorevoli, oggi disponibili.

martedì 11 settembre 2018

IoT Devices security

Niccolò Castoldi (che ringrazio) mi ha segnalato questo documento dal titolo "CTIA Cybersecurity Certification Test Plan for IoT Devices". Il pdf si trova in questa pagina, sotto la rubrica "IoT Cybersecurity Certification Program":
- https://www.ctia.org/about-ctia/programs/certification-resources.

Il commento di Niccolò: "si tratta di una serie di controlli che la CTIA ha elaborato sulla base di molti altri standard e best practice; mi è sembrato ben fatto".

Sono d'accordo con Niccolò. Aggiungo che il documento riguarda solo i dispositivi, non anche gli altri elementi dell'architettura IoT (server o "cloud" e applicazioni per dispositivi mobili).

Aggiornato il Codice privacy (parte 2)

Nel mio post precedente sul Dlgs 101 (http://blog.cesaregallotti.it/2018/09/aggiornato-il-codice-privacy.html) avevo scritto "ci sono molti aggiornamenti sui trattamenti specifici o relativi a specifici settori (ognuno deve quindi verificare quelli applicabili al proprio caso)".

Cerco quindi di elencare queste specificità:
  • Esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (articoli 2-bis, 2-sexies, 2-quinquiesdecies; dove è specificato cos'è l'interesse pubblico rilevante per cui si possono trattare dati di categorie particolari e dove è richiesto un Provvedimento specifico del Garante);
  • Minorenni (articolo 2-quinquies);
  • Trattamenti di dati genetici, biometrici e relativi alla salute (articolo 2-septies, che però richiede sia preparato un Provvedimento del Garante);
  • Dati relativi a condanne penali e reati (articolo 2-octies, che secondo me complica inutilmente quanto già stabilito dall'articolo 6 del GDPR);
  • Ragioni di giustizia (articolo 2-duodecies);
  • Persone decedute (articolo 2-terdecies);
  • Forze di Polizia (abrogati, sostanzialmente, gli articoli dal 53 al 57);
  • Difesa e sicurezza dello Stato (articolo 58);
  • Uso dei dati pubblici (articolo 61 che richiede regole deontologiche);
  • Ambito sanitario (dall'articolo 75);
  • Dati relativi a studenti (articolo 96);
  • Ricerca scientifica o storica o a fini statistici (articolo 97 e seguenti; articolo 104 e seguenti; è promosso un altro codice deontologico);
  • Rapporto di lavoro (articoli dal 111 al 115, dove sono ribadite cose note e dove sono richieste altre regole deontologiche);
  • Assicurazioni (rimane solo l'articolo 120);
  • Servizi di comunicazione elettronica (articoli dal 121);
  • Giornalismo, libertà di informazione e di espressione (articolo 136 e seguenti e dove sono richieste altre regole deontologiche).

Alla fine, nella maggior parte dei casi, il Codice privacy modificato non fornisce indicazioni utili e, per capire come agire da un punto di vista operativo, dovremo aspettare i provvedimenti o le regole deontologiche o i codici deontologici da parte del Garante.

Per questa veloce analisi mi sono basato sulla versione consolidata (e non ufficiale) del Codice privacy preparata da Francesco Paolo Micozzi di Array:
- https://www2.array.eu/it/nuovo-testo-codice-privacy/.

lunedì 10 settembre 2018

sabato 8 settembre 2018

Correzione alla ISO/IEC 27011

E' stata pubblicata una correzione alla ISO/IEC 27011 dal titolo "Code ofvpractice for Information security controls based on ISO/IEC 27002 for telecommunications organizations":
- https://www.iso.org/standard/76487.html.

La correzione prevede solo la modifica del titolo del paragrafo 8.2.1 da "Classification guidelines" a "Classification of information". Non molto...

La correzione è visibile direttamente dalla pagina web di iso.org attraverso la "Preview".

La ISO/IEC 27011 presenta un elenco di controlli di sicurezza per gli operatori di servizi di telecomunicazione. Questi controlli sono in realtà un'estensione di quelli della ISO/IEC 27002.

mercoledì 5 settembre 2018

Aggiornato il Codice privacy

Con il D. Lgs. 101 del 2018, è stato aggiornato il D. Lgs. 196 del 2003 (Codice della privacy). Il D. Lgs. 101 si trova sul sito della Gazzetta ufficiale:
- www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg.

Ringrazio una mia anonima amica per la segnalazione. Devo però dire che in questi giorni ho visto troppa fibrillazione per l'attesa di questo D. Lgs., come non vedevo neanche quelli che facevano la schedina e aspettavano i risultati delle partite. E, una volta uscita la notizia, tutti a dire quanto sono stati veloci a fornirla (come fossero dei personaggi dei film sui giornalisti). Secondo me, troppi stanno perdendo il senso del nostro mestiere.

Detto questo: il D. Lgs. 196 modificato non è ancora disponibile su Normattiva, ma, per chi non lo sapesse, è quello il posto giusto dove guardare:
- http://www.normattiva.it/.

Il commento di Francesco Pizzetti su Agenda Digitale mi sembra utile (ma sicuramente in futuro usciranno altri articoli; prego tutti di prestare attenzione alla reale competenza di chi li scrive):
- https://www.agendadigitale.eu/sicurezza/privacy/delega-per-il-gdpr-i-punti-forti-e-deboli-un-primo-giudizio/.

Altro articolo (molto sintetico) è di Giusella Finocchiaro:
- http://www.studiolegalefinocchiaro.it/2018/08/10/il-sole-24-ore-privacy-protetta-da-sanzioni-penali/.

Io, dopo una prima lettura, mi sono segnato alcuni punti, ma evito di trattarli nel dettaglio: altri lo faranno in modo molto più approfondito. Darò in futuro qualche link se mi sembrerà interessante. Rimane però la regola: leggere prima direttamente la normativa (il testo consolidato quando sarà disponibile) e solo successivamente gli articoli di giornale o i post sui social network.

Ecco i miei punti:
- ci sono molti aggiornamenti sui trattamenti specifici o relativi a specifici settori (ognuno deve quindi verificare quelli applicabili al proprio caso), con anche richiami sulle norme deontologiche, i minorenni;
- sono fornite le definizioni di "comunicazione" e "diffusione" (dovrò rileggere il Codice privacy e il GDPR per verificare meglio se questo ha impatto per esempio nelle informative);
- in molti casi mi pare siano promossi provvedimenti del Garante con misure prescrittive, tornando indietro rispetto all'impostazione basata sulla valutazione di adeguatezza; infatti sono stabilite regole sul mantenimento in vigore dei codici di condotta, delle prescrizioni attualmente richieste dalle autorizzazioni generali (che quindi saranno eliminate come autorizzazioni, ma rimarranno come prescrizioni), dei provvedimenti generali; è quindi necessario controllare gli aggiornamenti sul sito del Garante; questo mi induce anche a non dare per morto, tra gli altri, il Provvedimento AdS (anche se avrei voluto farlo);
- segnalo l'autorizzazione all'uso di dati biometrici per i dispositivi di controllo degli accessi, i limiti ai diritti degli interessati (per esempio, se sono in contrasto con le normative anti-riciclaggio o alla protezione delle vittime di estorsione), i diritti riguardanti le persone decedute;
- continua a sorprendermi che sia necessaria una norma per ricordare che il titolare o il responsabile (intesi come organizzazioni) possono distribuire le responsabilità all'interno dell'organizzazione stessa;
- non mi pare sia stato modificato il comma 4 dell'articolo 130, che introduce il "consenso soft"; visto che ci sono difficoltà di interpretazione su "marketing diretto per legittimo interesse e non sulla base del consenso", speravo in qualcosa di diverso;
- introdotto un articolo un po' assurdo sull'obbligo, per i fornitori di trasmissione IT (e non dei servizi più evoluti), di fornire informazioni sui rischi di violazione della sicurezza della rete; dovremo vedere come sarà attuato;
- sono introdotte, come previsto, le sanzioni penali;
- la deroga alle sanzioni è formulata in modo curioso, vago e forse inutile (visto che il GDPR fornisce dei massimi e che il Garante non è l'unico a comminare sanzioni): "Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante tiene conto della fase di prima applicazione delle disposizioni sanzionatorie";
- come previsto, l'allegato B con le misure minime è stato eliminato.

Invito a segnalarmi errori, che sicuramente ci sono, o ulteriori considerazioni di tipo "pratico".

PS: Grazie, per avermi segnalato correzioni, a Stefano Posti.

martedì 4 settembre 2018

EN 301 549 sull'accessibilità

Non sono per niente un esperto in materia, ma credo sia importante seguirla.


E' stato pubblicato lo standard EN 301 549 con le specifiche per l'accessibilità (da parte di invalidi) ai siti web e alle applicazioni per dispositivi mobili, con i requisiti di percezione, operatività, comprensibilità e robustezza definiti dalla Web and Mobile Accessibility Directive:
- https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=50127.

Rapporto ENISA sugli incidenti di sicurezza in ambito telecom

Segnalo questo rapporto di ENISA relativo agli incidenti di sicurezza nel settore degli operatori delle telecomunicazioni:
- https://www.enisa.europa.eu/news/enisa-news/169-telecom-incidents-reported-extreme-weather-major-factor/.

Per i più pigri: la maggior parte degli incidenti ha come causa errori hardware o bug software, maltempo, blackout. Il 2% hanno come causa attacchi da parte di malintenzionati.

Parere personale: questo insegna anche alle imprese di altri settori che è bene non sottovalutare gli attacchi degli esterni, ma che è opportuno non dimenticare le minacce meno "di moda" ma comunque significative. Questo discorso, comunque, è vecchio e porta alla conclusione (nota da anni) che chi si occupa di sicurezza informatica deve anche occuparsi di sicurezza fisica e di manutenzione.

venerdì 31 agosto 2018

Eventi, foto pubblicate e privacy

Un mio cliente vuole filmare (e poi diffondere i video) un evento con pubblico a pagamento. Come è noto ogni tanto si fanno dei primi piani dei partecipanti.

Ho chiesto ai miei contatti se potevano aiutarmi (ovviamente sapevo che la soluzione ideale è avere la liberatoria di OGNI partecipante).

Riccardo Lora degli Idraulici della privacy mi ha segnalato questo link molto utile sui casi pratici per la pubblicazione di foto degli eventi:
- http://www.fotografi.org/pubblicabilita_foto_ritratto_esempi_concreti.htm.

Pietro Calorio (sempre degli Idraulici della privacy) ha segnalato questa proposta (forse non seria) per considerare chi non vuole fornire il consenso ad essere ripreso:
- https://petapixel.com/2018/08/17/festival-dont-want-to-be-in-photos-put-a-red-dot-on-your-forehead/.

Li ringrazio molto e ringrazio anche chi vorrà fornire ulteriori approfondimenti.

giovedì 30 agosto 2018

Opinioni EDPB in italiano

Sabrina Prola mi ha segnalato la pubblicazione in italiano di alcune linee guida sull'applicazione del GDPR già pubblicate in passato dal WP Art. 29 (oggi nel EDPB) in inglese.

Le linee guida sono le seguenti:
- 250 rev. 01 sulle violazioni dei dati personali;
- 251 rev. 01 sui processi decisionali automatizzati e sulla profilazione;
- 259 rev. 01 sul consenso;
- 260 rev. 01 sulla trasparenza.

Queste linee guida si trovano sul sito del Garante:
- https://www.garanteprivacy.it/web/guest/regolamentoue.

Si trovano anche sul sito dell'EDPB, con la traduzione in tutte le altre lingue:
- https://edpb.europa.eu/our-work-tools/our-documents/publication-type/guidelines_it.

Minimum standard for improving ICT resilience

Giulio Boero mi ha segnalato il documento "Minimum standard for improving ICT resilience" dell'ufficio federale FONES della Confederazione Svizzera:
https://www.bwl.admin.ch/bwl/en/home/themen/ikt/ikt_minimalstandard.html.

A me sembra un documento ben fatto, anche se sono sempre critico nel vedere il numero sempre più elevato di standard, linee guida, check list e simili.

Riporto quanto scritto da Giulio Boero stesso (e lo ringrazio): << il documento (corredato da relativo assessment tool in .xlsx) è prodotto dalla Confederazione Svizzera. E' abbastanza interessante (seppur non così "rivoluzionario", ma ormai c'è poco di nuovo da inventare ) e presenta un approccio "elvetico" alla sicurezza informatica che può dare spunti interessanti. Il tutto mappato sui principali standard di sicurezza. >>

Guida AgID su metriche software applicativo

Franco Vincenzo Ferrari di DNV GL mi ha segnalato la "Guida tecnica all'uso di metriche per il software applicativo sviluppato per conto delle pubbliche amministrazioni" di AgID (si trova al link seguente sotto "Documentazione"):
- https://www.agid.gov.it/it/design-servizi/linee-guida-design-servizi-digitali-pa.

Mi sembra interessante ma forse (!) troppo teorico e inattuabile nella realtà.

martedì 28 agosto 2018

Sulla blockchain

Avevo detto che avrei cercato di capire meglio la blockchain.

Da un punto di vista funzionale, il concetto è abbastanza semplice: è un sistema che permette di tracciare le transazioni.

Tecnologicamente è molto complesso perché i database su cui sono tracciate le transazioni (ledger) non si trovano su un server, ma sui pc dei partecipanti. Pertanto questi database devono avere degli elevati livelli di sicurezza, tali da non permettere ai partecipanti di violarli.

Questa soluzione ha diversi problemi tecnologici (le soluzioni basate su blockchain non sono così semplici da usare, anche perché le modifiche sono molto difficili da apportare) e filosofici. Mi è piaciuto questo articolo, peraltro molto critico:
- https://medium.com/@kaistinchcombe/decentralized-and-trustless-crypto-paradise-is-actually-a-medieval-hellhole-c1ca122efdec.

Commento personale: sono molto perplesso perché quasi tutti gli articoli sulla blockchain ne promuovono la tecnologia ("la blockchain risolverà tutti i vostri problemi"), senza però indicarne i campi di applicazione, se non in modo generico.

Non sarò mai un esperto di blockchain e non credo me ne occuperò ulteriormente (ma forse questo non interessa nessuno).

Edge e fog computing

Tempo fa avevo scritto di fog e mist computing, dichiaranto la mia incompetenza:
- http://blog.cesaregallotti.it/2018/03/fog-e-mist-computing.html.

Franco Vincenzo Ferrari di DNV GL mi ha inoltrato questo articolo dal titolo "What Is Edge Computing?":
- https://www.cbinsights.com/research/what-is-edge-computing/.

In sostanza: con il termine "IoT" si intendono solo i sensori con limitatissime capacità computazionali (e collegati ad un server detto "cloud"); con il termine "Edge" si intendono i sensori con una capacità computazionale maggiore (o sensori collegati ad un processore "nelle vicinanze"). Questo permette di attivare elaborazioni senza transitare dal cloud.

Fin qui mi sembra tutto semplice. Solo una questione terminologica per dire cose abbastanza ovvie (a parte la tecnologia che ci sta dietro).

Poi l'articolo tira fuori il "fog computing" e io continuo a non capire di cosa si tratta.

lunedì 27 agosto 2018

DFIR for Genoa

Raccolta fondi per Genova della comunità DFIR:
- https://www.gofundme.com/dfir-for-genoa.

Mattia non è solo un amico di Genova, è un grande professionista e consiglio quanti vorrebbero "fare qualcosa" di aderire.

Corso di perfezionamento su Criminalità Informatica e investigazioni digitali

L'Università statale di Milano organizza il corso "Criminalità Informatica e investigazioni digitali":
- http://www.beccaria.unimi.it/ecm/home/didattica/corsi-di-perfezionamento/criminalita-informatica-e-investigazioni-digitali.

Lo promuovo e consiglio a tutti di partecipare (sono anche Presidente dell'associazione degli ex alunni; www.perfezionisti.it).

CSA Top Threats to Cloud Computing

Franco Vincenzo Ferrari di DNV GL mi ha segnalato la pubblicazione del documento "Top Threats to Cloud Computing: Deep Dive" del Cloud Security Alliance (richiede registrazione):
- https://cloudsecurityalliance.org/media/press-releases/csa-releases-top-threats-to-cloud-computing-deep-dive/.

Si tratta di un elenco di 12 attacchi (non minacce!) particolarmente significativi e avvenuti negli ultimi anni.

Segnalo quelli per me più significativi (e, a ben vedere, non si tratta di "minacce cloud").

Il caso del 2016 di due dipendenti della società Zynga che hanno portato dati da un concorrente:
- https://arstechnica.com/tech-policy/2016/11/zynga-sues-2-former-employees-over-alleged-massive-data-heist/.

L'attacco a Yahoo! del 2013, che ha dimostrato diverse leggerezze procedurali:
- http://fortune.com/2016/12/19/yahoo-hack-cyber-security/.

mercoledì 15 agosto 2018

Violazione Reddit e debolezze della 2FA - Post scriptum

Avevo già scritto brevemente e recentemente dell'autenticazione a due fattori:
- http://blog.cesaregallotti.it/2018/08/violazione-reddit-e-debolezze-della-2fa.html.

Nel numero di Crypto-Gram di agosto 2018, Bruce Schneier segnala che Google ora produce il suo token:
- https://www.schneier.com/blog/archives/2018/07/google_employee.html.

La mia competenza in materia è ahimè scarsa, ma cerco di migliorarla. In precedenza avevo segnalato alcuni meccanismi di 2FA, ma non avevo colto il fatto che possono essere in ordine di livello di sicurezza (i link si trovano sul post di Bruce Schneier):
- codici temporanei, o one-time, inviati via SMS (ritenuti molto insicuri);
- codici temporanei inviati via app per dispositivi mobili (esempi sono Google Auth e MS Authenticator);
- chiavi USB o Bluetooth (o NFC o altro) da collegare al pc o al dispositivo mobile (esempi sono YubiKey di Yubico, U2F Security Key di Feitian e il recente Titan Key di Google, basati sul protocollo FIDO).

Prego di inviarmi ulteriori approfondimenti su questa materia.

sabato 4 agosto 2018

Proroga autorizzazioni del Garante

Il Garante, visto che non è stata ancora approvata la "nuova normativa italiana in materia di privacy", ha preferito prorogare le autorizzazioni per i trattamenti di dati sensibili e giudiziari previste dal Dlgs 196 del 2003:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9026901.

E' una notizia forse non importante (nel senso che chi si occupa di privacy avrebbe già dovuto conoscerle). Comunque ringrazio Pietro Calorio e Chiara Ponti degli Idraulici della privacy per aver segnalato la notizia.

Violazione Reddit e debolezze della 2FA

La notizia, giunta via Twitter da @skhemissa è che Reddit è stata violata da qualcuno che ha compromesso le credenziali di personale interno per accedere a dei server cloud e di immagazzinamento di codice sorgente (e quindi a dei backup di dati degli utenti in sola lettura):
- https://thehackernews.com/2018/08/hack-reddit-account.html.

La stessa notizia l'ho trovata (più sintetica) sul SANS NewsBites Vol. 20 Num. 061, che si può consultare su questa pagina:
- https://www.sans.org/newsletters/newsbites/.

Questa notizia è importante perché le credenziali erano protette da un sistema di autenticazione a due fattori (o 2-factor-authentication o 2FA) basato su SMS e questo attacco ha dimostrato che è facile comprometterlo.

Se il 2FA basato su SMS è debole, ancora più debole è il sistema basato sulle sole user-id e password.

E quindi io mi chiedo: quanti hanno detto ai loro clienti che i servizi accedibili con sole user-id e password sono vulnerabili? Penso in particolare ai servizi su cloud (tra cui email, file sharing, backup), ma anche, ovviamente, agli altri.

Ricordo, copiando dal SANS NewsBites, alcuni punti:
- la pubblicazione NIST SP 800-63-3 (che già segnalai a suo tempo) raccomandava di non usare sistemi 2FA basati su SMS;
- il 2FA basato su SMS è comunque preferibile ai sistemi basati su sole user-id e password ed è più economico dei sistemi 2FA basati su token;
- esempi di sistemi 2FA basati su token sono Google Auth, MS Authenticator, YubiKey e RSA SecurID.

giovedì 2 agosto 2018

Provvedimento Garante: Localizzazione di veicoli aziendali

Segnalo questo Provvedimento del Garante sulla localizzazione di veicoli aziendali:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9023246.

In sostanza ricapitola i Provvedimenti precedenti e alcune nuove misure in relazione ai GPS sui mezzi aziendali, pertanto è utile per le aziende (e i loro fornitori!) che usano tali misure.

Il Provvedimento è stato anche pubblicizzato come "storico" perché usa per la prima volta il principio di privacy by design e privacy by default. Ritengo sia esagerato. Ma il provvedimento è comunque importante.

martedì 31 luglio 2018

Circolare dei consulenti del lavoro

Alla fine di questo caldo luglio italiano, il Consiglio Nazionale dell'Ordine dei Consulenti del lavoro hanno pubblicato una circolare sul "Ruolo del Consulente del Lavoro" nei termini del GDPR:
- http://www.consulentidellavoro.gov.it/index.php/component/k2/item/911-circolare-cncl-del-23-luglio-2018-n-1150.

In sostanza la circolare dice che il consulente del lavoro dovrebbe essere inteso come "contitolare" (che loro scrivono come "co-titolare").

In tanti ne hanno scritto. Io penso che il commento più in sintonia con il mio sentire l'ha scritto Davide Foresti su LinkedIn:
- https://www.linkedin.com/pulse/lordine-dei-consulenti-del-lavoro-e-il-falso-problema-davide-foresti.

Io ho avuto a che fare con consulenti del lavoro che vogliono essere titolari (e però il contratto lo hanno con l'azienda che gli trasferisce i dati personali e che pertanto deve specificare le condizioni nel contratto), altri che accettano il ruolo di responsabile (con relativo contratto). A mio avviso, purché il contratto riporti le clausole, il resto mi ricorda il dibattito sulla natura della luce (ossia incomprensibile, se non che la soluzione è impossibile nei termini posti).

Allarme sulle catene di fornitura del software

L'US National Counterintelligence and Security Center (NCSC) ha pubblicato un report dal titolo "Foreign Economic Espionage in Cyberspace". Si trova sul sito dell'NCSC:
- https://www.dni.gov/index.php/ncsc-home.

Il SANS NewsBites ne ha dato risalto fornendo un collegamento ad un articolo di infosecurity-magazine.com:
- https://www.infosecurity-magazine.com/news/us-warns-of-supply-chain-attacks/.

Non vorrei elogiarmi troppo, ma sono anni che dico che, in materia di filiere di fornitura, non bisogna prestare attenzione ai soli fornitori cloud. Ora è considerata "in crescita", ma secondo me è sempre stata troppo sottovalutata (aggiungo che dopo l'entrata in vigore del GDPR vedo maggiore attenzione nei contratti stipulati con i fornitori, mentre prima la situazione era ai confini del disastrosa).

venerdì 27 luglio 2018

Eredità digitale: che fine fanno i dati dopo la morte

Alessandro Iocco mi ha segnalato questo articolo dal titolo "Eredità digitale: che fine fanno i dati dopo la morte":
https://inno3.it/2018/07/26/eredita-digitale-che-fine-fanno-i-dati-dopo-la-morte/.

In questi ultimi mesi ne avevo parlato con qualcuno e mi sembra un argomento da considerare. Infatti avevo assistito, a inizio 2017, ad una presentazione di Giovanni Ziccardi del suo libro "Il libro digitale dei morti", che però non ho mai letto (accipicchia!):
- http://www.utetlibri.it/libri/il-libro-digitale-dei-morti/.

Un altro articolo:
- https://www.corrierecomunicazioni.it/privacy/il-profilo-facebook-passa-agli-eredi-in-caso-di-morte-la-sentenza-storica-della-corte-tedesca/.

Quando hai bisogno della blockchain? Un modello decisionale

Appena ho pensato che la blockchain stava diventando materia per il "next big thing" con cui cercheranno di fare soldi consulenti, informatici, venditori di fuffaware, passanti e chissà chi altro, ecco questo bell'articolo dal titolo "When do you need blockchain? Decision models":
- https://medium.com/@sbmeunier/when-do-you-need-blockchain-decision-models-a5c40e7c9ba1.

Ovviamente il primo modello è il più semplice!

Io sono uno scettico, come è noto, e quindi il modello di Lewis mi convince molto (hai un vero bisogno non ancora risolto? lo avevi risolto prima di aver sentito parlare della blockchain? allora non usare la blockchain!). Quasi tutti, comunque, dicono di non buttarsi su questa tecnologia se non quando strettamente necessario e, francamente, i casi che ho sentito finora (tracciabilità dei certificati ISO, tracciabilità del cibo, tracciabilità delle cartelle mediche, elezioni) non mi convincono.

Però ripeto che non sono un esperto di questa materia, né mai lo sarò (ofelè fa el tò mesté). Però ritengo sia necessario sapere cos'è.

ENISA Threat landscape 2017

Come ogni anno, ENISA ha pubblicato la sua analisi delle minacce:
- https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2017.

Il periodo di riferimento è il 2017.

Le minacce considerate sono raccolte in 15 famiglie (dal malware allo spionaggio). Per ognuna sono riportate le "Specific mitigation actions", cosa decisamente interessante. Per alcune avrei sottolineato di più il ruolo dei processi e per altre avrei raccomandato misure più semplici (per esempio, per la minaccia "interni malintenzionati" avrei previsto il controllo accessi, non uno IAM).

Criticare è sempre più facile di fare. Ne sono consapevole, ma sono anche consapevole dell'elevata qualità di questa pubblicazione, che ogni anno migliora. Ne raccomando quindi la lettura.

Testo consolidato del GDPR

Da un tweet dell'EDPB, il link al testo consolidato del GDPR:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:02016R0679-20160504

Il testo non include i considerando. Con mia gioia, visto che non apprezzo i testi non normativi che sono però considerati "quasi normativi".

Segnalo poi che il tweet iniziava così: "Cercate una lettura per l'estate?". Mi ha divertito.

Commento sulle società di audit PCI

Avevo dato la notizia "Società di audit PCI citata in giudizio":
- http://blog.cesaregallotti.it/2018/07/societa-di-audit-pci-citata-in-giudizio.html.

Fabio Guasconi di Bl4ckSwan, che ringrazio, mi ha risposto come segue.

<< È tutto legato al mondo specifico che regola l'operato di una QSA company, incorniciata dalle assicurazioni specifiche ad essa richieste, dalle regole dei circuiti internazionali ivi incluse le sanzioni
comminabili.

Tipicamente in caso di violazione vengono svolte delle analisi forensi dai circuiti volte ad accertare cosa è successo e se ci sono responsabilità anche dovute a negligenza / errori.

Se a valle di queste attività si scopre che il soggetto violato non aveva colpa allora non vengono erogate sanzioni e i costi di riemissione / danni legati alle carte sono gestiti dai circuiti, altrimenti tutto ricade direttamente o indirettamente sul soggetto violato.

In questo caso il soggetto violato sta dicendo che la colpa non è solo sua ma anche della QSA Company che l'ha certificato pur in presenza di una situazione non conforme, cosa che un buon QSA non dovrebbe fare né accidentalmente né tantomeno intenzionalmente. >>

mercoledì 25 luglio 2018

Assicurazioni sui rischi informatici

Su LinkedIn (ringrazio soprattutto Dany Elie Aronovitch per avermi fornito il link e il commento giusto), ho visto che il Comune di Reggio Emilia si è dotato di una polizza assicurativa "Rischi informatici".

Il commento di Dany Elie Aronovitch: "Durante la prima gara, di ottobre 2017, la parte di cyber andò deserto (nessuna offerta presentata), poi i miracoli del gdpr hanno fatto il resto. Qui il link":
- https://www.comune.re.it/Sottositi/AvvisiPubblici-Profilocommittente.nsf/SottoSitoDocumentiFull/4543E29448D82B30C12581C20036C5FD?opendocument&FT=V&TAG=Esiti%20di%20gara.

Per il post completo su LinkedIn:
- https://www.linkedin.com/feed/update/urn:li:activity:6426006584371007488.

Questa non mi pare essere una polizza "per tutti", ma studiata per uno specifico bando.

Periodicamente ritorna il discorso "polizze assicurative". Finora ho visto solo cose che riducevano il tutto ai "normali" danni informatici. Ora ho avuto notizia di questa polizza (offerta dalla Compagnia Chubb European Group Limited) e un'altra offerta da Mansutti (in tutti e due i casi non ho però accesso al modello di contratto vero e proprio). Mi sembrano più rispondenti alle necessità di chi si occupa di sicurezza delle informazioni, però chiedo se altri hanno maggiori e migliori informazioni.

Attacco ai fornitori di energia USA

Un attacco (informatico) ai fornitori di energia USA che ricorda quanto sia importante prestare attenzione ai fornitori. Infatti l'attacco è stato condotto inviando email con link a siti compromessi al personale dei piccoli subfornitori:
- https://www.bbc.co.uk/news/technology-44937787.

Dati automotive compromessi per un errore del fornitore

In questi giorni sto ricordando la necessità di non concentrarsi sui fornitori cloud, ma su tutti i fornitori (anche non informatici).

Come per magia, su SANS NewsBites questa notizia su un server mal configurato di un fornitore non cloud:
- https://www.infosecurity-magazine.com/news/robotics-supplier-error-leaks/.

Altra cosa interessante: si tratta di una violazione di dati... non personali.

venerdì 20 luglio 2018

Correzione alla ISO/IEC 29100 (privacy framework)

La ISO/IEC 29100 è il "Privacy framework" della ISO e la versione in vigore è quella del 2011:
- https://www.iso.org/standard/45123.html.

Lo standard è gratuito e può essere reperito nel sito ufficiale:
http://standards.iso.org/ittf/PubliclyAvailableStandards/.

A giugno 2018 è stato pubblicato un documento di correzione (Amd 1):
- https://www.iso.org/standard/73722.html.

Ho chiesto chiarimenti a chi ha seguito i lavori per questa correzione (ringrazio!) e mi ha segnalato i principali punti:
- eliminazione, modifica, inserimento di alcune definizioni anche a causa di presenza di riferimenti circolari;
- miglioramento di alcune espressioni utilizzate nel testo che possono comportare ambiguità anche in relazioni a traduzioni della norma tecnica in altre lingue.

Conclusione: nulla di critico e nulla per cui precipitarsi a comprare la correzione (eh già: il documento del 2011 è gratuito, ma la correzione costa 16 CHF!).

lunedì 16 luglio 2018

Nuova ISO/IEC 27005

Come preannunciato a novembre, è stata pubblicata la nuova ISO/IEC 27005:2018 dal titolo "Information security risk management":
- https://www.iso.org/standard/75281.html.

Rispetto alla precedente versione riporta solo alcune correzioni necessarie per l'allineamento ad altre norme. Nella sostanza non è cambiato nulla e pertanto ne sconsiglio l'acquisto a chi ha già la versione del 2011 (che a sua volta non riportava grandi modifiche rispetto alla versione del 2008).

domenica 15 luglio 2018

Algeria spegne Internet per evitare truffe agli esami

Da Crypto-Gram di luglio, segnalo questa notizia dal titolo "Algeria blocks internet to prevent students cheating during exams":
- https://www.theguardian.com/world/2018/jun/21/algeria-shuts-internet-prevent-cheating-school-exams.

E' certamente una notizia "di colore", ma ci ricorda che le soluzioni estreme vanno sempre considerate e non per forza evitate. Per esempio: bloccare tutte le porte USB dei PC e bloccare ogni forma di installazione di software, evitare ogni forma di BYOD (e quindi non mettere a disposizione neanche la webmail).

Ovviamente è da evitare anche l'eccesso di zelo. Ma non si può prendere una decisione bilanciata senza conoscere le possibili alternative e valutarle seriamente.

WPA3

Da Crypto-Gram di luglio: sono state pubblicate le specifiche del WPA3, il protocollo sicuro per le connessioni wi-fi che sostituirà l'attuale WPA2:
- https://www.wired.com/story/wpa3-wi-fi-security-passwords-easy-connect/.

I dispositivi saranno però disponibili tra qualche tempo.

Rapporto sulla manipolazione dei social

Da Crypto-Gram di luglio, ribatto la pubblicazione del rapporto "Deceived by design" della Norwegian Consumer Council:
- https://www.forbrukerradet.no/side/facebook-and-google-manipulate-users-into-sharing-personal-data/.

In pochissime parole: Facebook e Google cercano di rendere difficilmente accessibili le funzionalità per aumentare la propria privacy, sconsigliano costantemente gli utenti di disattivare alcune funzionalità e cercano costantemente di far loro attivarne altre.


Il discorso potrebbe estendersi ai dispositivi mobili e alle loro applicazioni (un incubo!).