venerdì 30 novembre 2018

Libro "European Data Protection" di IAPP

Per prepararmi all'esame CIPP/E dell'IAPP ho letto il libro ufficiale dell'IAPP.

Ne consiglio la lettura perché mi pare scritto bene e in modo pragmatico, anche se si tratta sempre di un libro teorico.

Riporto il commento di Pierfrancesco Maistrello: "Mi ha insegnato cose che non sapevo, e ogni tanto fa sintesi concettuali che in italia o te le fai da solo, se hai tempo e sei capace, o te le scordi".

Penso che in Italia si paghino gli interventi troppo concettuali di questi anni.

Comunque... il libro si trova in versione digitale e cartacea sul sito dell'IAPP:
- (digitale) https://iapp.org/store/books/a191a000002FJK5AAO/;
- (cartacea) https://iapp.org/store/books/a191a000002F94uAAC/.

sabato 24 novembre 2018

PEC o SERCQ? Scenari dal 1 gennaio 2019

Franco Vincenzo Ferrari di DNV GL mi ha segnalato questo articolo dal titolo "Dalla PEC al domicilio digitale, il passaggio nel 2019: ecco che può succedere":
- https://www.agendadigitale.eu/documenti/fatturazione-elettronica/dalla-pec-al-domicilio-digitale-il-passaggio-nel-2019-ecco-che-puo-succedere/.

In sostanza, la PEC non sarà più regolamentata ai sensi dell'articolo 48 del CAD. Quindi ci sarà una migrazione verso il Servizio di recapito certificato (SERC), regolamentato invece dal Regolamento eIDAS.

Nell'articolo sono presentati dei possibili scenari futuri. A mio parere, per chi non deve qualificarsi esperto della materia, è importante sapere che ci sarà una migrazione ed evitare, quando ci sarà, di fare la faccia stupita.

giovedì 22 novembre 2018

Violazione delle PEC

Riporto da Wired una notizia dal titolo "Un attacco hacker ha violato 500mila caselle pec in Italia":
- https://www.wired.it/internet/web/2018/11/20/italia-attacco-hacker-account-mail-pec/.

Su ICT Business è detto che l'attacco è iniziato il 12 novembre:
http://www.ictbusiness.it/cont/news/attacco-alla-pec-italiana-colpite-500mila-caselle/42536/1.html.

Altro articolo del 15 novembre (letto su Twitter, da @Il_Vitruviano):
- http://www.dagospia.com/rubrica-29/cronache/hacker-all-rsquo-assalto-tribunali-interrotti-servizi-informatici-187938.htm.

Il nostro "vice direttore per la cybersecurity del Dipartimento delle informazioni per la sicurezza (Dis)" Roberto Baldoni suggerisce di cambiare la password della nostra PEC, ma questo è un consiglio che tecnicamente non mi pare significativo: se il mio provider di PEC non è stato compromesso (sembra sia stato compromesso quello di TIM), perché dovrei cambiare la password?

E poi ancora: se è vero che l'attacco non era molto raffinato, quali vulnerabilità sono state sfruttate?

Studio ENISA su Industria 4.0

ENISA ha pubblicato uno studio dal titolo "Good Practices for Security of Internet of Things in the context of Smart Manufacturing":
- https://www.enisa.europa.eu/publications/good-practices-for-security-of-iot.

La lettura è decisamente interessante anche se, a mio parere, il documento poteva essere più sintetico. Rimane una lettura molto consigliata, non solo per chi si occupa di IoT o di Industria.

Elenco del Garante dei trattamenti che necessitano di PIA

L'11 ottobre il Garante italiano ha pubblicato l'elenco dei trattamenti che necessitano di PIA:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9058979.

L'elenco recepisce i commenti dell'EDPB del 26 settembre.

Non mi pare introduca trattamenti imprevisti. Alcuni però li trovo scritti in modo lievemente ambiguo e secondo me in alcuni casi si scateneranno dei dibattiti.

L'elenco fa spesso riferimento alla linea guida WP 248. Si può trovare in questa pagina (per l'italiano è necessario aprire lo zip cliccando su "Available language versions"):
- https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236.

venerdì 16 novembre 2018

Accredia e i laboratori di vulnerability assessment

Accredia ha lanciato un servizio di accreditamento dei laboratori di vulnerability assessment rispetto alla ISO/IEC 17025 (grazie a Franco Vincenzo Ferrari di DNV GL per la segnalazione):
- https://www.accredia.it/servizio-accreditato/vulnerability-assessment/.

I laboratori possono essere certificati ISO 9001 o ISO/IEC 27001, ma possono anche essere direttamente accreditati dall'Organismo di accreditamento, che in Italia è Accredia.

L'esigenza viene principalmente dall'attuazione italiana del Regolamento eIDAS e di altri servizi fiduciari quali per esempio quelli relativi alla conservazione dei documenti. Come troppo spesso succede, AgID e Accredia hanno voluto essere più bravi di quelli bravi e imporre l'uso di laboratori accreditati per l'esecuzione di vulnerability assessment presso i fornitori di servizi fiduciari.

Potevano ovviamente richiedere, ai fornitori di servizi di vulnerability assessment, le "sole" certificazioni ISO 9001 o ISO/IEC 27001. Invece hanno voluto richiedere l'accreditamento come laboratori.

Vedremo come sarà recepito questo nuovo schema, gestito direttamente da Accredia.

mercoledì 7 novembre 2018

Come spiare la CIA? Usando Google

Questo articolo di cui dà notizia il Sans NewsBites (l'avevo già visto su Twitter, ma in un momento di pigrizia) ha titolo "How did Iran find CIA spies? They Googled it":
- https://arstechnica.com/tech-policy/2018/11/how-did-iran-find-cia-spies-they-googled-it/.

In sostanza e se ho capito correttamente, dopo aver scoperto inizialmente come gli agenti della CIA comunicavano tra loro usando certi siti web, gli iraniani riuscivano a seguire le comunicazioni semplicamente usando Google.

Ancora una volta questo dimostra quanto siamo inconsapevoli della potenza delle tecnologie che usiamo e sarebbe quindi opportuno smettere di essere così ingenui.

Configurare i browser per la privacy

Dal Sans NewsBites del 7 novembre, ecco un articolo dal titolo "How to Lock Down What Websites Can Access on Your Computer":
- https://www.wired.com/story/how-to-lock-down-websites-permissions-access-webcam/.

La cosa interessante, come fa notare un commento del SANS, è che oggi o browser sono così complessi che hanno delle funzionalità per configurare delle funzionalità e che molto spesso poi queste cambiano, rendendo difficile la rincorsa.

martedì 6 novembre 2018

Le password peggiori del 2017

Come ogni anno, Splashdata pubblica le password peggiori:
https://www.teamsid.com/worst-passwords-2017-full-list/.

Lettura divertente, non troppo originale, ma da conoscere.

Come diffondiamo le nostre informazioni

Segnalo questo tweet:
- https://twitter.com/stefanoepifani/status/1058700175634513921.

Ho notato in questi mesi quanto le persone siano paranoiche nella vita "reale" (io a scuola andavo da solo da quando ho 7 anni e Milano non era più sicura negli anni Settanta - Ottanta) e invece poco attente nella vita "social-virtuale" (confesso che aspetto con sempre maggiore impazienza la notizia di qualche furto in casa di quelli che si sentono in dovere di segnalare sempre dove sono).

A parte le mie considerazioni personali, è necessario ricordare come la cultura quotidiana ha poi impatti nella sicurezza delle informazioni.