lunedì 23 dicembre 2019

Attacco Idiot wind

Prendo a prestito il titolo di una canzone di Bob Dylan (di un grande album) per nominare il seguente tipo di attacco, successo veramente anche se anonimizzato (ringrazio la persona che me lo ha segnalato).

Una società produce molta documentazione cartacea. Quindi la raccoglie e la digitalizza (scansione). Quindi raccoglie la documentazione cartacea ormai digitalizzata e la distrugge con distruggi-documenti. Però un giorno succede che qualcuno apre la finestra e i documenti in attesa di essere distrutti volano via, in strada.

Salva la disponibilità e l'integrità delle informazioni (visto che i documenti erano già stati acquisiti), ma non la riservatezza.

Qualcuno mi ha detto che avrebbero dovuto distruggere i documenti appena acquisiti, ma bisogna stare attenti a dare soluzioni senza conoscere la realtà (neanche io la conosco). Forse le acquisizioni sono a lotti e questi lotti vanno verificati bene prima di procedere alla distruzione degli originali o forse la procedura solita bilanciava bene le esigenze di qualità ed efficienza o chissà.

Red and blue team (seconda puntata)

Avevo scritto dei red e blue team, concludendo che mi sembravano nuovi nomi per vecchie cose:
- http://blog.cesaregallotti.it/2019/12/red-and-blue-team.html.

Niccolò Castoldi mi ha segnalato un articolo che dettaglia le differenze tra red team e penetration tester e tra blue team e SOC:
- https://danielmiessler.com/study/red-blue-purple-teams/.

In sintesi, l'articolo dice che il red team svolge attività continuative di test, mentre i penetration tester svolgono attività in tempi e ambiti predefinitivi; i blue team svolgono attività costante di ricerca e di miglioramento, mentre i SOC sono solo reattivi.

Come spesso succede nel campo dell'informatica (e non solo), bisogna sapere quali sono i termini in uso, essere consapevoli che non tutti li usano allo stesso modo e che bisogna chiarire con gli interlocutori cosa intendono con certi termini quando li usano (e aspettarsi di essere guardati con la faccia di chi pensa di dirti un'ovvietà e quindi di dovergli rispondere che non lo è).

giovedì 19 dicembre 2019

Partito l'accreditamento per la ISO/IEC 27701 (certificazione privacy)

Accredia ha pubblicato la "Circolare tecnica DC N° 10/2019 – Disposizioni in merito all'accreditamento norma ISO/IEC 27701":
- https://www.accredia.it/documento/circolare-tecnica-dc-n-10-2019-disposizioni-in-merito-allaccreditamento-norma-iso-iec-27701/.

In essa sono fornite le regole che devono seguire gli organismi di certificazione per accreditarsi e quindi fornire servizi di certificazione per la ISO/IEC 27701.

Ricordo che la ISO/IEC 27701 è la norma per certificare il sistema di gestione per la protezione dei dati personali (personal information management system), di cui già parlai in precedenza:
- http://blog.cesaregallotti.it/2019/10/stato-delle-norme-isoiec-270xx-aggiunta.html.

Questa mossa sta facendo muovere un po' di cose. Purtroppo ho letto, anche su testate prestigiose, elucubrazioni in merito alla possibilità di usare questa norma per la "certificazione in base all'articolo 42 del GDPR" (errori in cui io stesso incappai, per la verità) e retroscena mai visti.

Ribadisco: la ISO/IEC 27701 non può essere usata per la "certificazione in base all'articolo 42 del GDPR" e al momento non sono disponibili standard di organismi di normazione riconosciuti che vanno in questo senso. L'unico retroscena è che il gruppo editoriale non aveva pienamente riflettuto sul fatto che uno standard costruito sulla base della ISO/IEC 27001 (come la ISO/IEC 27701) non avrebbe potuto riportare requisiti per la certificazione  di un processo (ossia sulla base della ISO/IEC 17065, come richiesto dal GDPR), ma solo per la certificazione di un sistema di gestione (ossia sulla base della ISO/IEC 17021).

Purtroppo poi alcuni nomi, anche significativi, confondono le acque, fornendo indicazioni e critiche non completamente corrette, per promuovere altri schemi (che però hanno più problemi di quelli denigrati):
- https://dptel.imperialida.com/2019/12/prassi-di-riferimento-e-simili-come-meccanismi-di-certificazione-della-protezione-dei-dati/.

Per questo, raccomando di leggere la risposta di Fabio Guasconi su LinkedIn:
- https://www.linkedin.com/posts/rosarioimperiali_prassi-di-riferimento-e-simili-come-meccanismi-activity-6611178784567762944-xdP-/.

Tornando alla circolare Accredia, apprezzo il fatto che alcune richieste sono poste in modo meno prescrittivo, mentre per altri schemi erano poste in modo molto più preciso. Mi riferisco ad alcune richieste che io ritengo fuori luogo, come la visita presso tutti i data centre o la necessità, per gli auditor, di avere competenze sulla ISO/IEC 20000 o altri standard non pertinenti.

PS: purtroppo ho successivamente visto che la circolare Accredia impone, per i fornitori di servizi cloud, anche la ISO/IEC 27017 e 27018 per chi volesse ottenere la certificazione ISO/IEC 27701. Questo è un errore perché aggiunge impropriamente requisiti alla ISO/IEC 27701 (che, tra l'altro, è stata scritta anche considerando quelle due norme).

sabato 14 dicembre 2019

Privacy: ISDP 10003:2018 di Inveo disponibile gratuitamente

Inveo ha reso disponibile gratuitamente la ISDP 10003:2018, ossia il documento con i requisiti per ottenere una certificazione privacy e con accreditamento ISO/IEC 17065 (ossia come richiesto dal GDPR):
- https://www.in-veo.com/it/newsletter-privacy-tools.

Io ebbi l'opportunità di leggere le bozze (questa non la scarico perché richiede la registrazione), ma avevo sollevato delle obiezioni. Non ricordo bene quali, per la verità. In generale, però, non ho colto finezze particolari per la certificazione di processo anziché di sistema di gestione.

L'obiettivo è evidentemente quello di promuovere e diffondere ulteriormente lo schema e si aggiunge ad altre iniziative di Inveo in questo senso (la pubblicità, la partecipazione a studi, la richiesta, purtroppo accolta, ad Accredia di promuovere i corsi su questa norma).

Io continuo a pensare che queste certificazioni dovrebbero basarsi su norme discusse e pubblicate da enti di normazione riconosciuti, non da singoli enti (per quanto meritori possano essere).

Ringrazio Andrea Caccia per la segnalazione (e anche per il supporto).

lunedì 9 dicembre 2019

Red and blue team

Vito Losacco mi ha segnalato questo articolo dal titolo "Cybersecurity Red Team Versus Blue Team — Main Differences Explained":
- https://securitytrails.com/blog/cybersecurity-red-blue-team.

Mi pare dia nomi nuovi a gente che prima chiamavamo "Ethical hacker" e "SOC". Però è sempre bene conoscerli.

Trovo interessante la lista delle cose che deve fare la squadra blu (blue team, aka SOC):
- Security audits, such as a DNS audit;
- Log and memory analysis;
- pcap;
- Risk intelligence data analysis;
- Digital footprint analysis;
- Reverse engineering;
- DDoS testing;
- Developing risk scenarios.

ISO/IEC 330xx - Process assessment (e ISO/IEC 15504 - SPICE)

Sono noti alcuni schemi di valutazione della maturità (o della capacità) dei processi. A me non convincono perché troppo basati sulla quantità di documenti e di registrazioni e perché sono convinto che la realtà non sia facilmente modellabile e l'illusione di farlo, oltre che costare tanto, è pericolosa. Però è bene conoscere questi standard.

Lo schema dell'ISO/IEC era noto come ISO/IEC 15504 e con il nome, piuttosto divertente, di SPICE (Software process improvement and capability determination), dal nome del progetto da cui è partito lo sviluppo dello standard.

Per motivi a me ignoti, la serie ISO/IEC 15504 è in fase di sostituzione da parte degli standard della serie ISO/IEC 330xx.

Ecco quindi lo stato attuale degli standard:
- ISO/IEC 33001: 2015 (concetti e terminologia), che sostituisce la parte 1 della ISO/IEC 15504;
- ISO/IEC 33002:2015 (requisiti per valutare i processi), ISO/IEC 33003:2015 (requisiti per misurare i processi) e ISO/IEC 33004:2015 (requisiti per i modelli di processo) che sostituiscono le parti 2 e 7 della ISO/IEC 15504;
- ISO/IEC 33015:2019 (determinazione dei rischi di processo) al posto delle ISO/IEC 15504-4 e ISO/IEC 15504-9;
- ISO/IEC 33020: 2015 (misurazioni per la valutazione della capacità) che sostituisce parte della 15504-2;
- ISO/IEC 33030:2017 (esempio di valutazione) che sostituisce parte della 15504-3;
- ISO/IEC 33053:2019 (Process Reference Model (PRM) for quality management).

Rimangono ancora "vive" le seguenti:
- ISO/IEC 15504-5 (An exemplar software life cycle process assessment model);
- ISO/IEC 15504-6 (An exemplar system life cycle process assessment model);
- ISO/IEC 15504-8 (An exemplar process assessment model for IT service management);
- ISO/IEC 15504-10 (Safety extension).

Ulteriori documenti sono in fase di lavorazione nella serie ISO/IEC 330xx.

Statistiche sui dipendenti pubblici

Riporto un tweet di Paride Leporace, da un tweet di Ernesto Belisario: "L'Italia è un paese di impiegati di mezza età : Dipendenti pubblici sotto i trent'anni d'età: 2,9% . Età media del dipendente pubblico ministeriale: 54,9 anni".

Ho ritrovato questi dati (ricercando qualche fonte) in questo articolo del Corriere della Sera:
- https://www.corriere.it/economia/finanza/19_ottobre_22/porte-aperte-statali-ma-chi-sceglie-giovani-df58d144-f4b3-11e9-bd4f-0986d8452d56.shtml.

Il commento di Ernesto Belisario: "L'età media dei dipendenti pubblici è un fattore che deve essere tenuto in considerazione in tutte le iniziative di trasformazione digitale. Ma - a mio avviso - non rappresenta, in assoluto, un ostacolo all'innovazione del settore pubblico".

Direi che ce n'è abbastanza per ragionare.

Però aggiungerei anche altri dati. Il primo è che il 73% degli italiani usa Internet (uno su quattro NON lo usa!). Il secondo è che solo una parte di questi italiani usa i social network:
- https://wearesocial.com/it/blog/2018/01/global-digital-report-2018.

Io quindi emenderei così il commento: la capacità (e l'età) del personale di un'organizzazione e dei cittadini di usare Internet e gli strumenti informatici, oltre alle esigenze di sicurezza informatica, deve essere tenuta in considerazione quando si avviano iniziative di trasformazione digitale.

sabato 7 dicembre 2019

Controlli sui lavoratori e certificati penali (sentenze cassazione)

Luca De Grazia mi ha segnalato un articolo di Donato Apollonio su Pluris (a cui non ho accesso).

Sui precedenti penali, mi sono segnato quanto segue.

La sentenza Cass. Sez. Lav. 17 luglio 2018, n. 19012 dice: la richiesta del certificato penale integra un limite rispetto alla previsione di cui all'articolo 8 dello Statuto dei Lavoratori ("è fatto divieto al datore di lavoro, ai fini dell'assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi (...) su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore") che si giustifica con la rilevanza ai fini della valutazione dell'attitudine professionale del lavoratore della conoscenza di date informazioni relative all'esistenza di condanne penali passate in giudicato".

Quindi sembra che sia legittimo richiedere il certificato penale in molti casi.

Più curiosa è la questione relativa all'aspirante lavoratore che si è impegnato a produrre il certificato dei carichi pendenti mediante la sottoscrizione di un format di dichiarazione individuale. In questo caso, risultano irrilevanti le lamentate violazioni di legge in ordine all'art. 8 dello Statuto dei lavoratori e all'art. 27 della Costituzione ed è legittimo il rifiuto del datore di procedere all'assunzione per carenza dei requisiti previsti (Cass. Sez. Lav. 12 settembre 2018, n. 22173; in senso conforme è anche Cass. Sez. Lav. 16 maggio 2017, n. 12086).

Io sono sempre dell'idea che sia scorretto valutare la professionalità di una persona in base ai suoi precedenti (sia perché il debito nei confronti della società dovrebbe essere estinto, sia perché l'impossibilità di lavorare potrebbe riportare la persona a delinquere), però mi pare giusto segnalare questi orientamenti.

Aggiungo però (anche perché ripreso da Pierfrancesco Maistrello!) che non mi pare che queste sentenze citino il GDPR. E infatti il GDPR prevede che i dati giudiziari possano essere trattati solo se questo è autorizzato da una norma di legge e non mi pare che la normativa citata dalle sentenze autorizzi esplicitamente al trattamento dei dati giudiziari nell'ambito lavorativo in questione.

giovedì 5 dicembre 2019

Ricerca DNV GL su Privacy & Information Security

DNV GL Business Assurance ha pubblicato la sua ricerca su privacy e sicurezza:
- https://www.dnvgl.com/assurance/viewpoint/viewpoint-surveys/2019Q4/highlights.html.

La segnalo anche perché ho partecipato alla sua progettazione e ho collaborato per alcune sue parti.

Non mi piacciono molto le ricerche, come ho già avuto modo di dire. Però segnalo alcune cose interessanti (a mio parere) emerse da questa:
- consapevolezza del fatto che le competenze sono più necessarie degli strumenti (tool); sembra banale per chi si occupa di sistemi di gestione, ma molti, in realtà, pensano siano più importanti gli strumenti;
- la maggior parte degli intervistati è incerta sugli impatti, in termini di privacy e sicurezza, positivi o negativi delle nuove tecnologie; questa risposta è in controtendenza rispetto a quello che è promosso;
- poche persone si qualificano come esperte in sicurezza e privacy; a vedere lo sbandieramento di certificati e articoli, avrei scommesso su un minor livello di umiltà.

Altre cose si possono ricavare dal rapporto; io ho indicato quelle che a me hanno colpito maggiormente.

mercoledì 4 dicembre 2019

Multa del CNIL per chiamate di marketing indesiderate (e uso del campo note)

Pierfrancesco Maistrello mi ha segnalato la multa di 500mila Euro fatta dal CNIL alla società Futura Internationale per violazione del GDPR:
- https://www.cnil.fr/fr/futura-internationale-sanction-de-500-000-euros-pour-demarchage-telephonique-illegal.

In sostanza, questa società ha chiesto a diversi contact centre esteri di fare chiamate di marketing ai potenziali clienti, senza però attivare processi per l'esercizio del diritto di opposizione. Trovo bello poi che il CNIL abbia multato anche la carenza di informazioni fornite al personale interno. Altri due punti sono: mancata collaborazione con l'autorità e carenza di garanzie nel trasferimento dei dati.

Ultimo punto significativo del provvedimento è l'uso scorretto dei campi note nei software usati per tracciare le chiamate e le relazioni con i clienti e potenziali clienti. Su questo argomento non avevo mai riflettuto. Invece il CNIL ha scritto una nota:
- https://www.cnil.fr/fr/zones-bloc-note-et-commentaires-les-bons-reflexes-pour-ne-pas-deraper.

Ecco i consigli:
- informare gli interessati della raccolta delle note;
- pensare che gli interessati potrebbero esercitare il diritto di accesso;
- scrivere note oggettive, mai eccessive o insultanti (su questo vanno formati gli operatori);
- attenzione ai dati personali appartenenti a categorie particolari;
- usare strumenti tecnologicamente appropriati (p.e. evitare i campi note in favore di menu a tendina, avere funzionalità per verificare periodicamente come sono usati i campi note).

lunedì 25 novembre 2019

Fine supporto Windows 7

Sta finendo il supporto a Windows 7. Questo articolo di Agenda Digitale indica alcune possibili soluzioni (oltre ad aggiornare i sistemi):
- https://www.agendadigitale.eu/sicurezza/fine-aggiornamenti-windows-7-e-2008-a-rischio-i-pc-della-pa-ecco-i-consigli.

Prego osservare come, in alcuni ambiti, l'esperienza acquisita con la fine del supporto di Windows XP NON sia servita e alcuni si trovano in difficoltà anche in questo caso.

Attenzione: non voglio dire che sia facile dismettere un sistema operativo da un'organizzazione, solo che, in alcuni ambiti, non si è riusciti ad evitare il ripresentarsi dei problemi poco tempo prima della scadenza.

Conversione del DL Perimetro sicurezza nazionale cibernetica

Fabrizio Monteleone di DNV GL mi ha segnalato la conversione del DL 105 del 2019 "Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica ((e di disciplina dei poteri speciali nei settori di rilevanza strategica))". La conversione è avvenuta con la Legge 133 del 2019. Su Normattiva si consulta il DL 105 modificato:
- https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legge:2019-09-21;105!vig=.

Alcuni spunti sulle novità sono in questo articolo su Agenda Digitale:
- https://www.agendadigitale.eu/sicurezza/sicurezza-cibernetica-italiana-cosi-le-misure-si-rafforzano-in-parlamento/.

mercoledì 20 novembre 2019

ENISA good practices for security of IoT

Alessandro Cosenza di BTicino mi ha segnalato che ENISA ha recentemente pubblicato (19 novembre 2019) di "Good practices for security of IoT: Secure Software Development Lifecycle":
- https://www.enisa.europa.eu/publications/good-practices-for-security-of-iot-1.

Mi sembra molto completo. Tratta di governo, processi, gestione del personale e soluzioni tecnologiche. Mentre i primi punti sono "i soliti", più originali sono le soluzioni tecnologiche. Per chi volesse approfondire, poi, sono segnalati diversi riferimenti (anche se molti riferimenti "tecnici" sono in realtà generici).

martedì 12 novembre 2019

Stato delle assicurazioni GDPR in Europa

Pierfrancesco Maistrello mi ha segnalato questo schema che indica la possibilità di assicurarsi rispetto alle multe del GDPR:
- https://www.dlapiper.com/de/austria/insights/publications/2019/07/updated-guide-on-the-insurability-of-gdpr-fines-across-europe/.

Lo studio completo è disponibile dietro registrazione e mi sembra curioso, visto che si parla di privacy. Comunque ho deciso di non registrarmi e quindi di non leggere il rapporto completo. Infatti l'Italia appare come Paese in cui non sono disponibili assicurazioni per multe da GDPR, ma mi sembra che qualche cosa sia invece stato sviluppato. Forse il rapporto completo riporta qualche indicazione in più.

giovedì 7 novembre 2019

Nuova versione della ISO 22301

E' uscita la nuova versione della ISO 22301, lo standard con i requisiti per (e per certificare) un sistema di gestione per la continuità operativa. Il titolo corretto è: "ISO 22301:2019 - Security and resilience — Business continuity management systems — Requirements":
- https://www.iso.org/standard/75106.html.

Ringrazio Claudio Sartor che mi ha segnalato questo articolo dal titolo "Come cambia lo standard internazionale di business continuity (ISO 22301)":
- https://www.ictsecuritymagazine.com/articoli/come-cambia-lo-standard-internazionale-di-business-continuity-iso-22301/.

martedì 5 novembre 2019

TISAX

TISAX è uno schema relativo ai sistemi di gestione per la sicurezza delle informazioni per il settore automotive.

Lo schema riprende quanto già previsto dalla ISO/IEC 27001. Però è interessante leggere l'Excel di autovalutazione, visto che approfondisce alcuni temi:
- https://www.vda.de/en/services/Publications/information-security-assessment.html.

Rapporto MELANI 2019/01

Melani è la "Centrale d'annuncio e d'analisi per la sicurezza dell'informazione" della Confederazione Svizzera. Forse sbaglio, ma dovrebbe essere il CERT nazionale o un suo equivalente. Ogni 6 mesi pubblica un rapporto sullo stato della sicurezza. L'ultimo è quello relativo al primo semestre 2019:
- https://www.melani.admin.ch/melani/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2019-1.html.

Io penso che sia il rapporto meglio scritto e meglio organizzato di tutti quelli che ho visto. Conosco pochissimi equivalenti e li ritengo meno interessanti (e mi dispiace che non non ci siano più emulatori; il nostro www.certnazionale.it è inguardabile, da questo punto di vista).

MELANI ha anche creato liste di controllo per attacchi DDOS, sistemi industriali, CMS e siti web (oltre ad altri documenti):
- https://www.melani.admin.ch/melani/it/home/dokumentation/liste-di-controllo-e-guide.html.

lunedì 28 ottobre 2019

Telecamere sul posto di lavoro e nel processo penale

Sull'uso delle telecamere, recentemente sono arrivate due notizie.

La prima la fornisco in modo molto sintetico perché non ho molto di più. Però dal titolo si capisce molto: "La violazione della disciplina privacy non è motivo di inutilizzabilità delle videoriprese nel processo penale".
- https://www.forensicsgroup.eu/2019/10/la-violazione-della-disciplina-a-tutela-della-privacy-non-puo-costituire-uno-sbarramento-rispetto-alle-preminenti-esigenze-del-processo-penale/.

La seconda è invece un intervento del nostro Garante su una sentenza della Corte di Strasburgo. Il comunicato "Telecamere sul luogo di lavoro: dichiarazione di Antonello Soro, Presidente del Garante per la privacy, su sentenza Corte di Strasburgo":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9164334.

Mi pare che si possa sempre ritrovare il rispetto del principio di proporzionalità (ossia installazione sulla base di sospetti circostanziati, tempo e area limitati, mancanza di alternative per dimostrare l'evento). Copio e incollo: La videosorveglianza occulta è, dunque, ammessa solo in quanto extrema ratio, a fronte di "gravi illeciti" e con modalità spazio-temporali tali da limitare al massimo l'incidenza del controllo sul lavoratore. Non può dunque diventare una prassi ordinaria.

Una riflessione sulle certificazioni ISO/IEC 27701

Pierfrancesco Maistrello mi ha scritto una riflessione interessante sulle certificazioni privacy, la ISO/IEC 27701 e la necessità o meno di avere certificazioni con accreditamento ISO/IEC 17021 o 17065 (ricordo che il GDPR richiede il secondo).

Scrive Pierfrancesco:
<<
Non credo che le organizzazioni siano pronte a certificarsi GDPR art.42-43: è un passo troppo lungo e complesso per molti. Senza contare che il vantaggio di queste certificazioni è tutto da dimostrare. Ricordo sempre il ragionamento di Bolognini, che diceva che una certificazione ex art.42 non pienamente gestita o "bucata" potrebbe trasformarsi in un aggravio delle inadempienze del titolare, in caso di valutazione della sanzione amministrativa.

Ma certo molta gente ha bisogno di indicazioni per strutturare il sistema di gestione delle proprie misure e quindi una norma autorevole, anche se non coerente a GDPR art. 42-43, è utile.

Ulteriore riflessione. Guardando il recente sweep del garante fatto con Netcomm, si vede che hanno chiesto ad aziende che hanno attività e-commerce se le loro data breach policies contengono specifiche indicazioni sulla gestione delle eventuali azioni correttive. Io trovo questa attitudine al miglioramento delle misure di sicurezza la principale lacuna dei clienti con cui lavoro in questi mesi. Questo mi riporta a pensare che una norma come la ISO/IEC 27701, anche se non GDPR art. 42-43, sarà utile in questo senso.
>>

Il DPO deve essere un legale (ma forse anche no)

Ricordo che a settembre avevo citato una sentenza del TAR del Friuli Venezia Giulia per cui il DPO deve essere un legale:
- blog.cesaregallotti.it/2018/09/il-dpo-deve-essere-un-legale-cosi-dice.html.

Pierfrancesco Maistrello mi ha segnalato un commento dalla newsletter di IAPP. Non credo che il contenuto sia liberamente distribuibile, perciò traduco molto liberamente come segue.

"Non c'è niente di male nell'usare un legale come DPO, ma si rischia di pagare tanto per persone (gli avvocati) che, per attitudini, sono estremamente avversi ad ogni rischio. Ma l'applicazione di normative come il GDPR si basa su un approccio "basato sul rischio" e questo può essere garantito anche, e forse meglio, da persone non legali, ma con approccio pragmatico. I legali possono essere utilissimi per interpretazioni e chiarimenti".

sabato 19 ottobre 2019

Stato delle norme ISO/IEC 270xx (aggiunta sulla certificazione ISO/IEC 27701)

In merito alla certificazione ISO/IEC 27701, avevo già scritto che speravo di lavorare per uno schema di certificazione basato sulla ISO/IEC 17065, così come richiesto dall'art. 42 del GDPR.

In realtà mi hanno spiegato che se ISO farà uno schema di certificazione della ISO/IEC 27701 basato sulla ISO/IEC 17021, non si potrà farne un altro basato sulla ISO/IEC 17065 perché le regole EA lo proibiscono.

Sarebbe possibile fare un nuovo standard, anche uguale alla ISO/IEC 27701, ma con altra numerazione, in modo da pensare ad uno schema basato sulla ISO/IEC 17065.

Io penso che se partirà la certificazione ISO/IEC 27701 (e credo anche che partirà presto), questa avrà abbastanza successo da rendere inutile ogni altra certificazione, anche se basata sull'art. 42 del GDPR. Ci saranno certamente quelli che ribadiranno continuamente che la certificazione ISO/IEC 27701 non è coerente a quanto richiesto dall'articolo 42 del GDPR, ma nella pratica nessuno ci farà caso (esattamente come nessuno fa caso a me quando dico che cyberspazio non si traduce con "spazio cibernetico", che la "cyber-sicurezza" è in realtà la "sicurezza informatica", che certi inventari degli asset sono inutili, eccetera).

Questo lo scrivo e mi divertirà vedere se sarò smentito dalla realtà o la mia previsione sarà confermata.

Stato delle norme ISO/IEC 270xx

Venerdì 18 ottobre 2019 si è concluso a Parigi il meeting semestrale del ISO/IEC JTC 1 SC 27, ossia del gruppo che, tra gli altri, si occupa delle norme ISO/IEC 27001 e 27701.

Le persone iscritte erano più di 300 (è difficile fare i conti corretti, visto che molti si sono iscritti a più gruppi di lavoro e non riesco a calcolare correttamente il numero totale).

La delegazione italiana era composta da 4 persone (tra cui Fabio Guasconi, Andrea Caccia e io; ringrazio tutti i delegati per avermi segnalato refusi ed errori nella prima versione di questa nota).

Segue lo stato di alcune norme che ritengo essere le più interessanti in lavorazione.

Per quanto riguarda le norme relative ai sistemi di gestione, ossia quelle trattate dal WG 1:
- ISO/IEC 27001: si è avviata una revisione minore solo per allineare l'Annex A alla nuova ISO/IEC 27002 (non è previsto si modifichino altre parti della norma); si pensa quindi di avere le nuove versioni delle due norme nel 2022;
- ISO/IEC 27002 sui controlli di sicurezza: passa in CD e si prevede che la sua nuova versione sarà pubblicata nel 2022;
- ISO/IEC 27004 sulle misurazioni della sicurezza: è stata approvata la pubblicazione di una correzione (non significativa, se non per quelli particolarmente rigorosi);
- ISO/IEC 27005 sulla gestione del rischio: sono ripartiti i lavori e si spera di concluderli all'inizio del 2022;
- ISO/IEC 27011 sui controlli per gli operatori di TLC: è in fase di revisione e si spera di concluderla per fine 2022;
- ISO/IEC 27013 sui rapporti tra ISO/IEC 27001 e ISO/IEC 20000-1; è in fase di revisione per recepire la nuova versione della ISO/IEC 20000-1 (oltre che le esperienze maturate in questi anni).

E' stata avanzata la proposta di una nuova norma ISO/IEC 27104 dal titolo "Guidelines for cyber insurance". Dovrò cercare di capire perché questa norma oltre alla ISO/IEC 27102.

Credo sia significativo segnalare che:
- si prevede l'elaborazione di una qualche norma, simile alla ISO/IEC 27006, per le certificazioni ISO/IEC 27701; curiosamente molti europei si sono dichiarati contrari a usare la ISO/IEC 17065 come base per questa nuova norma, nonostante la ISO/EC 17065 sia richiamata dal GDPR; su questo dico che ci sono ancora ampi margini di manovra in fase di redazione; inoltre penso che la contrarietà sia dovuta ad una certa impostazione di rigore tecnico (visto che la ISO/IEC 27701 è uno standard per sistemi di gestione e non per processi) e non a giochetti volti a favorire qualche attore di mercato;
- sono state discusse le possibili azioni da intraprendere, in termini di chiarimenti e di suggerimenti, in merito alle certificazioni ISO/IEC 27001 che usano i controlli aggiuntivi di norme come le ISO/IEC 27001, 27017, 27018 e 27019.

Per quanto riguarda le norme relative alla privacy, ossia il WG 5, credo che la cosa più interessante sia la norma relativa alla cancellazione dei dati personali, ma solo perché la sta seguendo una rappresentante della delegazione italiana.

Per quanto riguarda le certificazioni rispetto alla ISO/IEC 27701, ho già scritto nel punto precedente.

Avrei voluto seguire alcune norme più tecniche (quelle relative all'IoT e gestite dal WG 4), ma la bizzarra organizzazione ha fatto sì che fossero trattate a più di mezzora di distanza da quelle del WG 1 e WG 5 e la logistica non mi ha permesso di spostarmi in tempo.

martedì 15 ottobre 2019

Lo spamming non è (sempre) reato

Luca De Grazia mi ha segnalato questa notizia dal titolo "Lo spamming non è reato. Anche dopo Gdpr":
- https://www.italiaoggi.it/news/lo-spamming-non-e-reato-anche-dopo-gdpr-2393718.

Luca De Grazia mi dice che il concetto del cosiddetto nocumento era da considerare anche in precedenza.

Io dico che, da un punto di vista generale, questa sentenza mi lascia perplesso perché io continuo a pensare che lo spam crei nocumento.

Sicuramente, al di là del mio pensiero, credo sia importante considerare questa sentenza. Credo anche che sia importante ricordare che l'articolo 130 (comma 3-bis) del Codice Privacy (D. Lgs. 196 del 2003) ammetto il cosiddetto soft spam.

venerdì 11 ottobre 2019

VERA 5.0

Ho pubblicato il VERA 5.0:
- http://www.cesaregallotti.it/Pubblicazioni.html.

La novità maggiore è che ho messo nello stesso file le cose per ISO/IEC 27001 e per privacy (ISO/IEC 27701).

Qualche altra modifica dalle persone che mi hanno scritto e suggerito (negli ultimi mesi: Gianluca Dalla Riva, Alessandro Gaspari, Pierfrancesco Maistrello, Arturo Messina, Nicola Nuti, Simona Persi, Chiara Ponti, Stefano Posti, Pierluigi Stefli).

Invito tutti a criticare e a farmi avere critiche e suggerimenti.

giovedì 10 ottobre 2019

IEC 62443-4-2 sulla sicurezza dei componenti OT (sicurezza industriale)

Franco Vincenzo Ferrari del DNV GL mi ha suggerito questo articolo dal titolo "Lo standard IEC 62443-4-2 per la cyber security industriale: le linee guida". Ho qualche riserva sull'articolo, in particolare sulla disinvoltura con cui confonde security e safety e sulla sua concentrazione sui dispositivi (mentre la norma è applicabile a 4 tipi di componenti), però alcune cose sono decisamente interessanti e ne raccomando la lettura:
- https://www.cybersecurity360.it/legal/lo-standard-iec-62443-4-2-per-la-cyber-security-industriale-le-linee-guida/.

Questa norma riporta i requisiti da considerare per i componenti dei sistemi informatici industriali. I componenti possono essere:
- applicazioni software;
- dispositivi integrati (Embedded device; dispositivi specifici, incluse PLC e sensori);
- pc o server generici;
- componenti di rete.

I requisiti possono poi essere usati per 4 livelli di sicurezza.

La lettura non è semplice e richiede anche di essere accompagnata dalla IEC 62443-3-3. Allo stato attuale, però, sono convinto che le IEC 62443 rappresentino la lettura allo stato dell'arte in materia di sicurezza informatica industriale (o "OT cyber security", dove però il termine "OT" non è mai usato dalle 62443).

La pagina ufficiale della norma è:
- https://webstore.iec.ch/publication/34421.

Sentenza: Sì al licenziamento per pc aziendale usato per fini personali

Segnalo questo articolo di Altalex dal titolo "Pc aziendale usato per fini personali? Sì al licenziamento in tronco":
- https://www.altalex.com/documents/news/2019/10/02/pc-aziendale-usato-per-fini-personali-si-al-licenziamento-in-tronco.

La Corte di appello di Roma ha confermato il licenziamento di una lavoratrice per aver navigato su Internet troppo frequentemente e per lungo tempo e aver anche importato un ransomware.

La sentenza è interessante (dovremo anche vedere se ci sarà un intervento della Corte di Cassazione, ma dovremo aspettare anni) perché fornisce indicazioni in merito alle indagini ex post anche in mancanza di informative privacy o simili.

martedì 8 ottobre 2019

NIST: Cybersecurity per le aziende manifatturiere

Il NIST ha pubblicato un documento dal titolo "NISTIR 8183A, Cybersecurity Framework Manufacturing Profile Low Impact Level Example Implementations Guide":
- https://csrc.nist.gov/publications/detail/nistir/8183/final.

E' un malloppo di più di 700 pagine divise in 3 documenti.

Il primo è abbastanza generico: riporta le "solite" misure di sicurezza, senza spiegarne bene gli impatti in ambito industriale (o ICS). Però si cela una piccola sorpresa, scritta in piccolo e nelle tabelle di correlazione con le funzionalità. Infatti, per ogni misura del NIST Cybersecurity framework si leggono degli strumenti per attuare la misura indicata.

Il secondo volume presenta esempi di documenti e strumenti per le aziende manifatturiere in serie, mentre il terzo è dedicato alle aziende manifatturiere di singoli prodotti (la terminologia usata dal NIST è "di processo" e "discrete"). Qui le sorprese e le indicazioni sono tante.

Intanto i modelli di documento. Ci sono modelli per le politiche, per le procedure operative (tutte accorpate in un unico documento), per la valutazione del rischio, per la gestione degli incidenti, per il ripristino e per i contratti con i fornitori.

Non tutto condivido (per esempio l'accorpamento di tutte le procedure operative in un unico documento e l'eccessivo livello di dettaglio suggerito; per esempio anche il modello di valutazione del rischio, che non permette di rilevarne l'utilità, visto che è troppo dedicato al calcolo e non all'uso). Altri sicuramente non condivideranno altre cose. Ma penso che il livello di dettaglio sia né troppo né troppo poco e lascia ampio spazio alla personalizzazione da parte degli utilizzatori. Ritengo notevole lo sforzo fatto da una fonte così autorevole.

Al capitolo 4 si trova un elenco, con descrizione e commenti (e con anche suggerimenti per l'installazione e la configurazione), di strumenti tecnologici per attuare alcune misure. L'elenco include strumenti per la rilevazione dei dispositivi (discovery dell'hardware), per la valutazione del rischio, per il backup, per la raccolta e analisi dei log, per i vulnerability assessment, per i ticket di gestione degli incidenti, di data loss prevention, per la cancellazione sicura. Alcuni sono free, altri sono a pagamento. In tutti i casi, un'utile punto di riferimento.

lunedì 7 ottobre 2019

Marketplace e IVA

Dalla Circolare 8 del 2019 della Borioli & Colombo Associati, Il Drecreto "crescita", DL 34 del 2019, stabilisce nuove misure in merito alle comunicazioni IVA dei cosiddetti marketplace:
- https://www.commercialistatelematico.com/articoli/2019/05/e-commerce-e-decreto-crescita.html.

Io non conosco assolutamente questa materia (conosco solo Maremagnum come marketplace italiano), ma penso che, per il mio lavoro, sia comunque utile tenerla sotto controllo.

mercoledì 2 ottobre 2019

Sentenza: Hacking etico in Italia: archiviazione per divulgazione di vulnerabilità

Luca De Grazia mi ha segnalato questo interessante sentenza:
- https://www.tomshw.it/altro/tribunale-di-catania-archiviazione-per-un-caso-di-hacking-etico/.

Il GIP di Catania ha reputato infondate le accuse nei confronti di un hacker che aveva segnalato le vulnerabilità di un'applicazione. Insomma, sembra sia la prima sentenza in merito alla "divulgazione responsabile" (o "vulnerability disclosure").

lunedì 30 settembre 2019

Perimetro di sicurezza nazionale cibernetica

Premetto che mi piacerebbe essere contraddetto rispetto a quello che qui scrivo.

E' stato approvato il Decreto Legge 105 del 2019 con titolo "Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica", noto anche come il decreto sul "Perimetro di sicurezza nazionale cibernetica":
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legge:2019-09-21;105!vig=

Ricordo che si tratta di un Decreto Legge e pertanto dovrebbe essere convertito in Legge entro 3 mesi. La conversione potrebbe avvenire con modifiche o non avvenire proprio. E' pertanto necessario prestare le dovute cautele (e magari ristudiare il testo quando sarà definitivo).

Non l'ho letto (anche perché ci sono troppi incroci con altre normative e non vorrei che poi fra 3 mesi questi siano cambiati), ma ho letto con attenzione l'articolo di Stefano Mele:
- https://www.agendadigitale.eu/sicurezza/sicurezza-nazionale-ict-perche-il-decreto-sul-perimetro-fara-la-differenza/.

Giancarlo Caroti (grazie!) mi ha anche segnalato che ora abbiamo anche la brochure istituzionale:
- https://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/la-rete-diplomatica-promuove-il-cyber-made-in-italy.html.

Detto questo, il DL era già stato proposto qualche tempo fa (precedente Governo) come DDL. Ora sembra che si voglia imprimere maggiore velocità al tema e quindi si è preferita la strada del DL, in modo da avere la Legge entro 3 mesi.

Il DL prevede siano indicate le entità che costituiscono il "Perimetro di sicurezza nazionale nel cyberspazio", in modo simile a quanto fatto per la Direttiva NIS che richiedeva fossero identificati gli operatori di servizi essenziali (OSE). Qui, evidentemente, si pensa di estendere l'insieme delle organizzazioni significative da un punto di vista informatico (io, poi, non capisco le differenze tra gli OSE e le organizzazioni previste dal "perimetro", ma non credo sia così importante).

A queste organizzazioni, come già fatto per gli OSE, si impone l'attuazione del Framework per la Cybersecurity del CINI, che ho già criticato e che continuo a non considerare come valido riferimento (l'uso del framework del CINI non è esplicitato, ma credo si nasconda tra i riferimenti ad altre normative.

Questo vuol dire che è esteso l'obbligo (anche con pesanti sanzioni) di applicare delle misure "minime" di sicurezza ad un numero maggiore di organizzazioni rispetto a quelle previste dalla Direttive NIS. Per quanto io critichi lo schema del CINI, ritengo che sia un bene.

Si aggiunge un meccanismo di segnalazione di incidenti. Questa ossessione per la segnalazione degli incidenti non la capisco molto bene. Infatti, per lo meno a livello di grande pubblico, non mi pare di aver visto nessun ritorno utile per la prevenzione degli attacchi (i bollettini dei CIRT italiani nulla dicono in merito; gli unici che mi sembra facciano riferimento a incidenti segnalati sono gli svizzeri di Melani). Ricordo che l'obiettivo dovrebbe essere proprio la prevenzione degli attacchi.

Il DL stabilisce un centro di valutazione dei prodotti informatici (il Centro di Valutazione e Certificazione Nazionale, o CVCN, del MiSE), come peraltro già previsto, seppur parzialmente, dal Cybersecurity Act (e di cui vorrei capire le relazioni con il già esistente OCSI, http://www.ocsi.isticom.it/).

Il DL dà la possibilità al Governo di spegnere una rete in caso di grave incidente. Spero di non vedere mai attuata questa opzione.

Infine introduce la golden power in alcuni settori. Questo non è tema su cui posso dirmi competente, ma permetterebbe di orientare alcuni acquisti in modo da evitare interferenze da parte di altre entità (al momento l'attenzione è concentrata sulla possibilità che la Cina, con il monopolio degli apparati 5G, possa spiare le nostre comunicazioni; credo però che questa misura avrà ulteriori e significativi impatti).

Lascio in conclusione una nota formale. Purtroppo sembra che la traduzione pigra di cyber (usato solo come prefisso) con "cibernetica" (che è un'altra cosa) sia diventata la traduzione ufficiale. Queste sono cose che mi lasciano molto sconcertato.

Mio articolo: I rischi della percezione

Ho scritto questo articolo dal titolo "I rischi della percezione":
- https://www.safetysecuritymagazine.com/articoli/i-rischi-della-percezione/.

Si tratta di alcune riflessioni nate leggendo un libro molto interessante.

Note spese: dematerializzazione e conservazione elettronica

In materia di dematerializzazione delle note spese, Luca De Grazia mi ha segnalato la risposta dell'Agenzia delle Entrate numero 388 del 20 settembre 2019. Le risposte della AE si trovano qui:
- https://www.agenziaentrate.gov.it/portale/web/guest/normativa-e-prassi/risposte-agli-interpelli/interpelli.

Un sunto si trova qui:
- https://www.edotto.com/articolo/note-spese-trasfertisti-possibile-la-conservazione-elettronica.

Mi pare di capire, insomma, che venga richiesto un sistema di conservazione.


Però... ho trovato un articolo più critico e mi pare corretto consultarlo:
- https://www.studiofailla.com/note-spese-digitali-e-fisco/.

Un articolo su una precedente risposta dell'Agenzia delle Entrate si trova qui:
- https://www.leggioggi.it/2017/07/31/note-spese-conservazione-diventa-anche-solo-elettronica/.

Mi pare utile seguire questo tema, in quanto stabilisce le basi della conservazione dei documenti, non solo delle note spese.

giovedì 26 settembre 2019

Istruzioni in caso di attacco ransomware

Un mio amico è stato colpito dal ransomware NESA. Ho chiesto aiuto a Glauco Rampogna, soprattutto per orientarmi nella marea di articoli e strumenti disponibili.

Mi sembra giusto condividere (anche per ricordarmene) la sua risposta.

"Se l'intenzione è di rimuovere il ransomware, ci sono molti tool (io uso Malwarebytes), ma per decifrare i files purtroppo non posso esserti di aiuto immediato, a quanto pare non è stata ancora trovata la chiave di Nesa.

Nesa è una variante del Ransomware DJVU/STOP su cui i ricercatori stanno lavorando:
- https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/?p=4442422.

Per recuperare i file, o si hanno copie di backup o shadow, oppure è necessario salvare tutti i files cifrati e attendere la decifratura. Alcuni siti sono aggiornati con le varianti decifrate. Ad esempio:
- https://www.nomoreransom.org/;
- https://noransom.kaspersky.com/.

Per verificare se è uno scherzo (quindi si vedono i file con estensione .nesa, ma in realtà un altro cryptolocker), si possono inviare due campioni su questi siti:
- https://www.nomoreransom.org/crypto-sheriff.php;
- https://id-ransomware.malwarehunterteam.com/index.php".

Non mi resta che ringraziare Glauco.

PS: un altro mio amico mi ha scritto che qualcuno potrebbe pensare che il "mio amico" sono in realtà io. Non è così. Ricordo che in quel caso si dice "mio cugino", non "mio amico".

lunedì 23 settembre 2019

Codice di condotta privacy per i sistemi IT per informazioni creditizie

Chiara Ponti degli Idraulici della privacy ha segnalato che è stato pubblicato il "Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9141941.

Innanzi tutto vedo che stanno uscendo questi codici di condotta previsti dal GDPR. Non mi pare sia stato stabilito un meccanismo per la loro certificazione, ma almeno ci sono e questo è un bene.

Mi pare un po' curioso che vengano pubblicati codici di condotta per la gestione dei sistemi IT in un settore specifico e non più generali. Forse però è questo che il Garante ha avuto come proposta (anche per il rinnovo dei codici preesistenti) e questo può approvare.

Speravo in qualcosa di più interessante, da cui ricavare indicazioni applicabili ad altri ambiti. Invece sono rimasto deluso. Elenco i punti che ho sottolineato:
- come unica misura tecnica precisa, si specifica che "All'atto del ricevimento dei dati, il gestore verifica la loro congruità attraverso controlli di carattere formale e logico"; si richiama nel seguito la necessità di attuare "adeguate misure tecniche ed organizzative" (come da testo del GDPR), ma ancora una volta il Garante si rifiuta entrare nel merito, superando così l'impostazione precedente (quella delle misure minime);
- fanno eccezioni richiami a "modalità di accesso graduale e selettivo", preclusione di "modalità di accesso che permettano interrogazioni di massa o acquisizioni di elenchi di dati personali", verifica periodica degli algoritmi;
- dedica un intero allegato ai tempi di conservazione; forse sono troppo complicati per le finalità della maggior parte delle imprese, però il punto 8 dell'Allegato 2 è applicabile a quasi tutte (tratta dei backup e della conservazione per 10 anni per "difesa di un proprio diritto in sede giudiziaria, amministrativa, arbitrale o di conciliazione (inclusa la fase propedeutica)";
- presenta un esempio di contitolarità (in questo caso tra il gestore e i partecipanti); il Codice presenta alcune clausole (ricorda che i partecipanti accedono con gli strumenti individuati dal gestore e quali persone possono accedere);
- formalmente, il Codice parla di "autonomo titolare", quando alcuni invece dicono di non usare il termine "autonomo" perché il GDPR non lo usa (secondo me, però, l'uso dell'aggettivo rinforza il concetto nel corso della lettura);
- nell'Allegato 3 è presentato un modello di informativa, che ad alcuni potrebbe risultare utile.

venerdì 20 settembre 2019

ISO/IEC 27701, la norma internazionale per certificare la protezione dei dati personali

Dopo aver segnalato miei articoli sulla ISO/IEC 27701, segnalo questo articolo di Fabio Guasconi dal titolo "ISO/IEC 27701, la norma internazionale per certificare la protezione dei dati personali":
https://www.ictsecuritymagazine.com/articoli/iso-iec-27701-la-norma-internazionale-per-certificare-la-protezione-dei-dati-personali/.

In questo articolo sono anche sottolineate le difficoltà per le PMI ad usare questa norma.

Minacce e attacchi: Frode con imitazione (con AI) della voce del CEO

Il Wall Street Journal racconta di una frode perpetrata utilizzando un simulatore di voce (basato su AI) di un CEO di un'azienda. La frode è costata all'azienda 243 mila dollari:
- https://thenextweb.com/security/2019/09/02/fraudsters-deepfake-ceos-voice-to-trick-manager-into-transferring-243000/.

Io penso che ci sia qualcosa di sbagliato se un'azienda fa un bonifico sulla base di un'autorizzazione data al telefono. Qui sembra che il finto CEO abbia segnalato la necessità di rimborsare un fornitore, ma chi ha fatto il bonifico vero e proprio avrebbe dovuto ricevere anche una fattura o simile.

Se ho capito bene il caso, è il classico caso in cui la tecnologia è solo la ciliegina sulla torta di uno sfruttamento di altre e meno tecnologiche vulnerabilità.

Privacy: Medico competente è titolare

Elia Barbujani degli Idraulici della privacy mi ha segnalato una risposta del Garante ad un quesito in merito al medico competente. Purtroppo non trovo questo documento sul sito del Garante.

Ma, in poche parole, il Garante ritiene che il medico competente debba essere considerato autonomo rispetto al datore di lavoro. Il Garante fa riferimento anche ad un ulteriore Provvedimento, che però non ho trovato altrettanto chiaro e che è del 2016:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5149198.

Intanto NON ringrazio Elia perché mi costringe a qualche correzione (ehm ehm ehm).

Su questo però voglio riflettere sui numerosi casi per cui un titolare si sente esente da controlli sulla sicurezza quando trasferisce i dati ad altro titolare. In questo caso specifico, già mi vedo i datori di lavoro non chiedere più alcuna garanzia di sicurezza ai medici competenti.

Questo, a mio parere, è un grave errore. Infatti l'interessato non può decidere di quale medico competente avvalersi ed è costretto ad usare quello scelto dal datore di lavoro. A sua volta il datore di lavoro può scegliere il medico competente e quindi ne è (parzialmente) responsabile. In particolare, deve assicurarsi che il medico garantisca un adeguato livello di sicurezza dei dati. Per questo dovrebbe stipulare un contratto con clasole simili a quelle previste dal GDPR per il rapporto tra titolare e responsabile.

Il DPO esterno deve essere dipendente dell'azienda

Il TAR Puglia ha recentemente annullato un incarico a DPO ad una persona giuridica, in quanto il suo referente (persona fisica) non sembrava "appartenere" ad essa.

Su questo Pietro Calorio degli Idraulici della privacy ha scritto un breve ma esaustivo articolo su LinkedIn:
- https://www.linkedin.com/pulse/quando-il-dpo-%25C3%25A8-una-persona-giuridica-soggetto-che-svolge-calorio.

Pietro cita l'articolo di Giovanni Gallus. Eccolo qui:
- https://www.cybersecurity360.it/news/il-dpo-deve-essere-un-dipendente-non-puo-essere-esterno-il-tar-lecce-fa-discutere/.

UNI/PdR 66:2019 per la certificazione dei professionisti privacy

Chiara Ponti degli Idraulici della privacy mi ha informato che è stata pubblicata la norma UNI/PdR 66 dal Titolo "Raccomandazioni per la valutazione di conformità ai requisiti definiti dalla UNI 11697:2017 "Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza, abilità e competenza"":
- http://store.uni.com/catalogo/index.php/uni-pdr-66-2019.html.

Il comunicato stampa:
http://www.uni.com/index.php?option=com_content&view=article&id=8543%3Atrattamento-e-protezione-dei-dati-personali-ecco-la-uni-pdr-66&catid=171&Itemid=2612.

Non l'ho letta e leggo solo il titolo e mi pare di capire: c'è la UNI 11697 con i requisiti per la certificazione delle figure professionali in materia di privacy e poi queste altre ulteriori raccomandazioni. Secondo me stanno eccedendo in zelo. Ma, ribadisco, lo dico solo leggendo i titoli.

martedì 17 settembre 2019

Articolo sulle assicurazioni IT (da Bruce Schneier)

Su Crypto-gram di settembre 2019 è stato segnalato un articolo dal titolo "Does insurance have a future in governing cybersecurity?". Segnalo il post di Crypto-gram, che ne propone un estratto:
- https://www.schneier.com/blog/archives/2019/09/on_cybersecurit.html.

Faccio un estratto dell'estratto le assicurazioni sono una forma debole di trattamento del rischio perché:
- gli assicuratori, al momento, si concentrano troppo sulle procedure organizzative e troppo poco su quelle tecnologiche;
- gli assicuratori, anzi, richiedono procedure di base e non offrono incentivi reali per investire in sicurezza;
- coprono i costi di risposta agli incidenti (spesso attraverso servizi esterni), ma si tratta di misure post-incidente, meno utili di quelle di mitigazione preventiva (questo anche perché i costi del recupero sono più facili da quantificare).

D'altra parte, dice sempre l'articolo, degli approcci rigorosi e standard migliorerebbero la sicurezza dei clienti. Tali approcci, però, si baserebbero su misure che poi sarebbero soggette alla legge di Goodhart ("quando una misura diventa un obiettivo cessa di essere una buona misura") perché chi deve essere misurato cercherà di migliorare le misure e non di ridurre il rischio.

Io ho sempre avuto dei dubbi sulle assicurazioni di sicurezza IT e qui trovo ulteriori elementi per essere dubbioso.

Mi piace anche il fatto che si sottolinea il fatto che le misure di prevenzione dovrebbero essere preferite a quelle di recupero (e io aggiungo: anche a quelle di monitoraggio).

Conservazione dei dati: criteri e criticità

Segnalo questo articolo di Monica Perego e Chiara Ponti dal titolo "Conservazione dei dati: criteri e criticità (nell’incertezza normativa)":

Monica e Chiara sono due amiche, ma sono soprattutto, a mio parere, molto competenti.

L'articolo è interessante, anche se non condivido con loro la necessità di chiedere al Garante indicazioni "ufficiali": penso che siamo abbastanza grandi per trovare da soli la risposta sui tempi di conservazione.


sabato 14 settembre 2019

Corso di perfezionamento in digiltal forensics (Milano)

Segnalo il Corso di Perfezionamento in Criminalità Informatica e Investigazioni Digitali dell'Università di Milano:
- http://www.forensics.unimi.it/.

Il bando per iscriversi scade il 25 settembre.

Io l'ho seguito anni fa e continuo a pensare sia uno dei corsi più interessanti che abbia seguito, anche se non farò mai un'analisi forense di alcun dispositivo digitale. Ma si impara a conoscere meglio la normativa vigente non solo in materia di digital forensics e alcune tecnologie: conoscenze utili a chi si occupa di sicurezza delle informazioni, sia da un punto di vista tecnico che organizzativo. Il corso, comunque, non richiede particolari competenze tecnico-informatiche.

Ah... sì: sono il presidente dell'associazione degli ex alunni (www.perfezionisti.it; siamo quasi mille), quindi sono decisamente parte in causa.

mercoledì 4 settembre 2019

Nuove ISO/IEC 20000-2 (guida) e 20000-3 (ambito)

Sono stati pubblicati due standard che "completano" la nuova versione della ISO/IEC 20000-1, norma di requisiti sulla gestione dei servizi IT.

Il primo è la guida che accompagna i requisiti ed è la ISO/IEC 20000-2:2019 dal titolo "Information technology -- Service management -- Part 2: Guidance on the application of service management systems":
- https://www.iso.org/standard/72120.html.

Il secondo è la guida per stabilire l'ambito di applicabilità dei requisiti ed è la ISO/IEC 20000-3:2019 dal titolo "Information technology -- Service management -- Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1":
- https://www.iso.org/standard/72121.html.

lunedì 2 settembre 2019

PSD2 - Pubblicazione in Gazzetta ufficiale

Avevo segnalato poco tempo fa la Direttiva PSD2, che le banche hanno sicuramente già trattato, ma che è di interesse per tutti per la richiesta di autenticazione forte fatta a tutti i negozi virtuali:
- http://blog.cesaregallotti.it/2019/06/psd2.html.

Franco Vincenzo Ferrari di DNV GL mi ha segnalato questo articolo dal titolo "Fintech, l'Italia adegua le norme alla direttiva Psd2", relativo ai soli istituti di pagamento e istituti di moneta elettronica:
- https://www.corrierecomunicazioni.it/finance/e-payment/fintech-litalia-si-adegua-alle-nuove-norme-psd2/.

L'articolo sintetizza le disposizioni di vigilanza pubblicate in Gazzetta ufficiale a luglio:
- www.gazzettaufficiale.it/eli/id/2019/08/19/19A05009/sg.

Tra l'altro, queste disposizioni si affiancano a quelle relative alle banche, di cui scrissi a luglio (io confesso di essermi un po' perso):
- http://blog.cesaregallotti.it/2019/08/aggiornamento-delle-disposizioni-di.html.

sabato 31 agosto 2019

Articolo sulle assicurazioni IT (sul ransomware)

Tommaso Assandri, che mi sta tenendo aggiornato sul capitolo delle assicurazioni IT, mi ha segnalato questo articolo (ne avevo già segnalati altri 2 in precedenza) dal titolo "The Extortion Economy: How Insurance Companies Are Fueling a Rise in Ransomware Attacks":
- https://www.propublica.org/article/the-extortion-economy-how-insurance-companies-are-fueling-a-rise-in-ransomware-attacks.

Questo articolo, in gran parte, dice come alle aziende convenga pagare il riscatto richiesto dai ransomware e poi ricevere il rimborso dell'assicurazione, alimentando però la criminalità.

L'articolo presenta anche un'altra analisi: vista la carenza di dati reali su cui basare i calcoli necessari al bilanciamento delle polizze, risulta che le assicurazioni IT sono molto profittevoli per le compagnie di assicurazioni, visto che le loro perdite in questo settore sono solo del 35% (in altre parole: raccolgono 100 di premi e ne spendono 35 in risarcimenti).

venerdì 30 agosto 2019

Privacy e "Non ho niente da nascondere"

Questo mese ho visto richiamata 2 volte la questione della privacy e di chi "non ha niente da nascondere".

Un primo elemento è questo articolo, ormai del 2007, di Daniel J. Solove (da un tweet di @raistolo):
- https://papers.ssrn.com/sol3/papers.cfm?abstract_id=998565.

L'articolo, a mio parere, è vecchio e, a mio parere, non dice nulla di veramente significativo, anche perché allora alcune cose non erano state dimostrate.

Questo video di Duck Duck Go, invece, mi sembra molto più significativo (non riesco a ricostruire da chi io abbia ripreso il retweet):
- https://vimeo.com/352982792.

Per la cronaca: io uso Qwant come motore di ricerca e quasi non uso Facebook (ma uso WhatsApp e limito l'uso di Twitter e LinkedIn alle sole cose professionali), però penso che il video colga i punti salienti del perché il "non ho niente da nascondere" non è un atteggiamento condivisibile.

Progettare l'accessibilità dei servizi IT - Poster

Da un tweet di Daniela Quetti, riporto le sue parole: "segnalo questi bellissimi poster che vanno oltre l'accessibilità definita per legge; dovrebbero essere appesi in qualsiasi luogo in cui si progettano servizi digitali":
- https://ukhomeoffice.github.io/accessibility-posters/.

Io non tratto solo di sicurezza, ma anche di qualità e di gestione dei servizi IT e quindi questa segnalazione non è assolutamente fuori tema. Però voglio ricordare che anche chi si occupa di sicurezza deve pensare all'accessibilità anche nella sua accezione più vasta (che potrei denominare con "comodità"), visto che uno dei principi della sicurezza è il KISS: "keep it simple (and stupid)".

Sull'inutilità delle presentazioni (Power Point)

In molti negano l'utilità di Power Point e io comincio a pensare che abbiano ragione.

Intanto ecco un articolo nato osservando un concorso in cui i partecipanti dovevano replicare un articolo in una presentazione:
- https://www.inc.com/geoffrey-james/harvard-just-discovered-that-powerpoint-is-worse-than-useless.html.

I motivi per cui PowerPoint è inutile (o dannoso) è che cala l'attenzione nei partecipanti se un oratore ripete le cose già scritte (ricordo bene il corso di Algebra all'Università; tanto più che i lucidi (all'epoca si usavano quelli!) ripetevano le cose del libro) e poi le necessità di creare diapositive rende la logica del discorso carente, l'approfondimento nullo.

A mio parere non bisogna neanche esagerare nel rifiuto totale delle presentazioni (lo stesso Bruce Schneier dice che per i corsi deve far uso di presentazioni), però tutto questo fa riflettere (io però continuo a non capire quelli che fanno le offerte in PowerPoint).

martedì 27 agosto 2019

Digital content directive

Da un tweet di @Silvia_Mar_ vedo che è stata approvata la Digital content directive:
- https://ec.europa.eu/info/business-economy-euro/doing-business-eu/contract-rules/digital-contracts/digital-contract-rules_en.

Dovrà essere recepita dagli stati membri entro 2 anni (giugno 2021).

La Direttiva riguarda il commercio elettronico di beni digitali (dalla pagina della European Commission imparo che le precedenti Direttive riguardavano il commercio elettronico di beni fisici) e permette di rispondere a problemi dei clienti finali come file musicali (o ebook o video) comprati che non funzionano su un dispositivo o software che non funzionano più. La Direttiva tratta di prodotti acquistati con denaro o anche gratuiti (spesso acquistati fornendo dati personali).

lunedì 26 agosto 2019

The DPO Handbook (del programma T4DATA)

E' stato pubblicato il "The DPO Handbook: Guidance for data protection officers in the public and quasi public sectors on how to ensure compliance with the European Union General Data Protection Regulation (Regulation (EU) 2016/679):
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9127859.

Il documento è in inglese ed è sponsorizzato dal nostro garante.

Non mi sembra aggiunga ulteriori elementi a quello che sapevamo già. Anzi: forse è un po' troppo generico.

Grazie a Glauco Rampogna per averlo segnalato agli Idraulici della privacy.

Privacy: la richiesta di consenso ai lavoratori può venire sanzionata

Mario Mosca degli Idraulici della privacy ha segnalato questa notizia dal titolo "Privacy, il consenso dei lavoratori a volte non basta":
- www.italiaoggi.it/amp/news/privacy-il-consenso-dei-lavoratori-a-volte-non-basta-2378468.

In sintesi: PWC in Grecia chiedeva il consenso per il trattamento dei dati personali dei lavoratori; questi hanno chiesto l'intervento del Garante (greco), che ha multato PWC.

L'articolo ricorda che il consenso non va chiesto ai lavoratori, in quanto sono in posizione subordinata e non lo darebbero "liberamente" come previsto dal GDPR. Questa posizione è anche nell'Opinione 2 del 2017 dell'Art. 29 WP e ovviamente prevede eccezioni (segnalo che non ho controllato se l'EDPB ha "aggiornato" questa opinione).

Questa notizia mi piace perché sconfessa ancora una volta la linea di pensiero del "non si sa mai". Questa linea, di per se stessa, non è sbagliata, ma spesso introduce un inutile sovraccarico di lavoro e pertanto va scoraggiata.

domenica 25 agosto 2019

ISO/IEC 27102 sulle cyber-insurance

E' stata pubblicata la ISO/IEC 27102:2019 dal titolo "Information security management - Guidelines for cyber-insurance":
- https://www.iso.org/standard/72436.html.

Mi sembra sia un buon documento, che elenca le possibili cose da assicurare:
- responsabilità verso altri;
- costi per rispondere agli incidenti, inclusi i costi diretti (costi di notifica, per il personale, per i consulenti) e indiretti per la perdita di informazioni e quelli per la perdita di immagine;
- ricatti;
- interruzioni delle attività;
- multe e penali per mancato rispetto della normativa vigente;
- multe e penali per mancato rispetto dei contratti;
- danneggiamenti.

Ulteriori elementi sono considerati, incluse le possibili esclusioni.

Mi paiono invece poco approfondite le parti relative alla valutazione dei controlli esistenti. Però credo che non possa essere altrimenti: in caso contrario avrebbero dovuto riscrivere le ISO/IEC 27001 e 27002.

sabato 24 agosto 2019

Privacy: Contitolarità dei tasti "Like" di Facebook

Luca De Grazia mi ha segnalato questa sentenza della Corte di Giustizia UE: il gestore di un sito Internet che utilizzi il pulsante «Mi piace» di Facebook può essere congiuntamente responsabile con il social network della raccolta e trasmissione dei dati personali dei visitatori del suo sito. Per contro, in linea di principio, non è responsabile del trattamento successivo di tali dati effettuato esclusivamente da Facebook.

La sentenza si trova qui:
- http://curia.europa.eu/juris/document/document.jsf?text=&docid=216555&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=5673263.

Mi pare che abbia un senso: un gestore del sito decide se usare o meno i tasti "Like" di Facebook e pertanto è titolare di una prima parte del trattamento e ne deve informare gli utenti (non credo debba fare di più, ma sono sempre pronto ad essere contestato). Per tutto il resto, è responsabile Facebook.

Credo che questa sentenza si debba estendere agli altri pulsanti utilizzabili sui siti (LinkedIn, Twitter, eccetera).

Questa sentenza me ne ricorda un'altra, di un anno fa, per cui un ente (o un'organizzazione, o un'azienda) sono co-titolari con Facebook per le pagine Facebook aziendali:
- http://blog.cesaregallotti.it/2018/06/informativa-per-i-cookies-dei-social.html.

Insomma: l'uso dei social network sembra materia semplice, ma non lo è.

Per quanto riguarda gli utenti, Glauco degli Idraulici della privacy ha segnalato alcune soluzioni (ho cercato di riassumere e quindi gli errori sono miei):
- Shariff (https://github.com/heiseonline/shariff), per i gestori di siti che usano comunque le funzionalità di Facebook, mantenendo la privacy degli utenti;
- Social Share Privacy (http://panzi.github.io/SocialSharePrivacy/) che abilita il caricamento del tasto solo su azione dell'utente.

giovedì 22 agosto 2019

Perimetro di sicurezza cibernetica

Sono in dubbio se dare questa notizia, viste le incerte sorti del Governo, ma lo faccio per completezza. E' stato presentato un Disegno di legge sul "perimetro di sicurezza cibernetica", ossia una sorta di NIS dedicata ad altri servizi. Meglio leggere l'articolo di Corrado Giustozzi su Agenda
Digitale:
- https://www.agendadigitale.eu/sicurezza/perimetro-di-sicurezza-cibernetica-cosi-rendera-litalia-piu-cyber-protetta/.

Personalmente, oltre a deprimermi per l'uso improprio del termine "cibernetico", mi chiedo perché avere la NIS e poi questa (per non parlare del Dlgs sulle infrastrutture critiche): troppa roba e apparentemente confusa.

Dall'articolo vengo poi a sapere che è stato istituito recentemente il "Centro di valutazione e certificazione nazionale" per la valutazione dei prodotti IT, come peraltro previsto dalla Direttiva NIS. Dovremo vedere cosa succederà anche in merito a questi schemi di valutazione, visto che potenzialmente saranno numerosi e si potrà fare fatica a districarsi tra loro.

lunedì 19 agosto 2019

Sicurezza dei micro-services (guida NIST)

Il NIST ha pubblicato la SP 800-204 dal titolo "Security Strategies for Microservices-based Application Systems":
- https://csrc.nist.gov/publications/detail/sp/800-204/final.

La segnalo perché recentemente vedo che questo approccio è sempre più utilizzato e quindi questa guida può essere utile.

Pubblicata la ISO/IEC 27701 (già 27552) sui sistemi di gestione privacy

E' stata finalmente pubblicata la norma ISO/IEC 27552 con un nuovo numero: ISO/IEC 27701. Il titolo è sempre lo stesso: "Security techniques -- Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management -- Requirements and guidelines":
- https://www.iso.org/standard/71670.html.

E' già stata adottata come standard europeo (EN) e pertanto potrà anche essere indicata come EN ISO/IEC 27701.

Tutto quanto detto e scritto finora rimane valido anche dopo la numerazione. In particolare, ricordo un mio articolo:
- https://www.agendadigitale.eu/sicurezza/privacy/gestione-dei-dati-personali-ecco-le-novita-della-norma-iso-iec-27552/.

Dovrò modificare il mio VERA, ma era una cosa già in programma (ho intenzione di fare un unico VERA privacy e 27001; spero di non fare una schifezza).

PS: grazie a Sandro Sanna per avermi segnalato un refuso (avevo scritto nel titolo "17701" al posto di "27701").

domenica 18 agosto 2019

Le immagini della sicurezza (da re-immaginare)

Su Crypto-Gram del 15 agosto è presente un articolo dal titolo "Wanted: Cybersecurity Imagery":
- https://www.schneier.com/blog/archives/2019/07/wanted_cybersec.html.

In poche parole: tutte le immagini e i video sulla sicurezza presentano le stesse figure (tizio con il cappuccio, tizio nel buio che smanetta su una tastiera, lucchetto) e la Hewlett Foundation ha lanciato un concorso per promuovere nuove idee:
- https://www.openideo.com/challenge-briefs/cybersecurity-visuals.

Ho letto la presentazione "Reimagining Visuals for Cybersecurity Design Research" (si trova in fondo alla pagina) e l'ho trovata molto interessante.

Io faccio presentazioni per professionisti e quindi non sono un buon caso da analizzare, però cerco di evitare le solite immagini. Ingenuamente uso mie foto che in realtà non c'entrano molto con la presentazione stessa (nella mia testa un collegamento c'è, ma molto molto tenue); ho visto che in molti non fanno proprio alcuno sforzo (quando invio articoli, li invio sempre con una mia foto che viene regolarmente cambiata, visto che "non si sa mai", con lucchetti, tizi con cappuccio o anche nuvolette) e sarebbe invece bello vedere più fantasia.

Sviluppatori e sicurezza

Su Crypto-Gram del 15 agosto è segnalato un articolo di ZDNet dal titolo "No love lost between security specialists and developers":
- https://www.zdnet.com/article/no-love-lost-between-security-specialists-and-developers/.

Riguarda un'indagine condotta presso gli sviluppatori e i professionisti della sicurezza e Bruce Schneier riporta alcuni dati:
- il 49% dei professionisti della sicurezza (immagino quindi di estrazione sistemistica o reziaria) denuncia fatica nel rendere prioritarie le correzioni delle vulnerabilità presso gli sviluppatori;
- il 68% dei professionisti della sicurezza pensa che meno della metà degli sviluppatori sia capace di individuare le vulnerabilità nel codice prima di passarlo in ambiente di test;
- il 70% degli sviluppatori, dall'altra parte, dichiare di non riceve alcun aiuto o linea guida per scrivere codice sicuro.

Io non sono un gran sostenitore di tutte queste indagini ("survey"), ma penso che queste indicazioni siano molto interessanti.

Furto di identità con email

Da Crypto-Gram del 15 agosto 2019 segnalo questo articolo dal titolo "My job application was withdrawn by someone pretending to be me":
- https://www.bbc.com/news/business-48995846.

In poche parole: un tizio aveva fissato un appuntamento di lavoro con un'azienda, ma qualcun altro ha creato un account gmail con il suo nome e cognome e ha disdetto l'appuntamento.

Questo per ricordarci che oggi pensiamo spesso all'indirizzo email come un "documento di identità", ma che invece non ha alcuna caratteristica di sicurezza. Questo ci ricorda anche che molti attacchi possono richiedere competenze tecnologiche pressoché nulle.

sabato 17 agosto 2019

Aggiornata sezione data breach del Garante

Mi hanno segnalato (privacy, please!) che è stata aggiornata la scheda informativa sulle violazioni dei dati personali del Garante:
- https://www.garanteprivacy.it/regolamentoue/databreach.

Chi è più bravo di me capirà le differenze rispetto a prima. Per intanto penso che questa pagina sia molto utile.

TIA e schema di audit (aggiornamento)

Alessandro Gaspari, poco dopo avermi aggiornato a fine luglio sulle certificazioni TIA (vedere post
http://blog.cesaregallotti.it/2019/08/qualche-considerazione-sulla-tia-942.html), ha visto che pochi giorni dopo (il 7 agosto) che TIA ha lanciato il proprio schema di certificazione, con il supporto dell'ente di accreditamento Certac (a me ignoto):
- https://www.tiaonline.org/press-release/tia-launches-ansi-tia-942-accreditation-scheme-for-certification-of-data-centers-selects-certac-to-manage-program/.

Alessandro mi dice che "questo ovviamente fa cadere le considerazioni precedenti", anche se credo che alcune siano ancora valide.

giovedì 1 agosto 2019

Qualche considerazione sulla TIA-942

Recentemente ho scritto un articolo e fatto una presentazione sugli standard e le certificazioni per i data centre:
- articolo: https://www.ictsecuritymagazine.com/articoli/gli-standard-en-50600-e-iso-iec-ts-22237-per-i-data-center/;
- presentazione: http://www.cesaregallotti.it/Pubblicazioni.html.

A questo proposito Alessandro Gaspari di Euris mi ha scritto in merito alle "certificazioni" sulla TIA-942. Io nel seguito riporto quanto mi ha scritto.

La "certificazione" TIA-942 si dovrebbe in realtà chiamare "dichiarazione di conformità", visto che per la TIA non esiste un percorso di accreditamento. EPI si è inventata un "prodotto": il sito e bollino tia-942.org. TIA-942.org non è quindi un sito ufficiale TIA né la TIA riconosce alcuna Società come ente certificatore. La conformità al momento può essere rilasciata da chiunque, ma ovviamente, avendo promosso bene il servizio tia-942.org il risultato è che tutti finiscono li.

Come richiamato dalla pagina https://en.wikipedia.org/wiki/TIA-942, TIA non offre programmi di certificazione ("The Telecommunications Industry Association does not offer certification programs or certify compliance to TIA standards. In many cases, there are other organizations and consultants that can provide those services. However, TIA does not certify these organizations or consultants").

Per la precisione, EPI ha solo la licenza per erogare la formazione, come dichiarato nel sito ("…have entered into a licensing agreement that allows EPI to build and conduct international certified training courses for the ANSI/TIA-942 Telecommunications Infrastructure Standards for Data Centres. The courses will initially be launched in Asia, but will eventually become available to Data Centre professionals worldwide"):
- https://www.epi-ap.com/content/19/23/TIA_and_EPI_announce_Licensing_Agreement_for_ANSI/TIA-942_Training

A questo proposito, sono interessanti due articoli:
- https://www.capitoline.org/data-centre-audit-2/tia-942-audit-and-certification/;
- https://www.linkedin.com/pulse/standards-v-update-john-booth-mbcs-cdcap/.

Per concludere, Alessandro ci ha tenuto a ricordare che ha fatto la formazione e le relative certificazioni con EPI e che le loro persone sono molto competenti con esperienze internazionali di alto livello. Il punto chiave è quindi che EPI non ha "un'esclusiva" sulle certificazioni TIA-942.

Copertura assicurativa Cyber risk per Consip

Tommaso Assandri, mio lettore, mi ha segnalato che Consip ha assegnato una gara per dare a Sogei una copertura assicurativa sui "cyber risk".

La documentazione di gara si trova qui:
- http://www.consip.it/bandi-di-gara/gare-e-avvisi/gara-cyber-risk-ii-rischio-per-sogei.

Interessante, nella "Documentazione di gara", il documento "All. 4 Cyber Secondo rischio_DEF.pdf" perché finalmente sono riportati rischi informatici veri e propri e non solo quelli relativi a danneggiamenti fisici o furti di apparati o dispositivi.

Segnalo poi che Sogei ha dichiarato di avere ulteriori polizze:
- Frode Informatica-Infedeltà;
- RC professionale II rischio.

Sulle assicurazioni di sicurezza informatica e delle informazioni avevo scritto in precedenza con molte critiche. Penso che le critiche rimangano valide, ma almeno vedo qualcosa di nuovo.

Aggiornamento delle Disposizioni di Vigilanza di Banca d'Italia

La Banca d'Italia, a luglio 2019, ha aggiornato le Disposizioni di Vigilanza per le banche (segnalazione di Enzo Ascione di Intesa Sanpaolo):
- https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c285/index.html.

L'ultimo aggiornamento del 23 luglio 2019 riporta molte indicazioni sulla gestione, la sicurezza e la disponibilità dei sistemi informatici. A me non sembrano indicazioni particolarmente innovative, ma le ho lette molto superficialmente.

Per non impazzire e cercare i singoli cambiamenti, il file "Aggiornamento n. 28 del 23 luglio 2019" riporta solo le parti aggiornate, ossia quelle relative ai sistemi IT.

giovedì 25 luglio 2019

Garante e prescrizioni per i trattamenti dei dati "particolari"

Il Garante ha pubblicato il "Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101 [9124510]":
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9124510.

Riassumendo: si tratta degli obblighi per il trattamento di particolari categorie di dati personali (ex "dati personali sensibili") nei rapporti di lavoro e per scopi di ricerca scientifica e nel caso degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose.

Sostituisce le precedenti autorizzazioni generali, oggi non più previste dal GDPR. Alcune di queste sono state riprese dall'attuale provvedimento, altre no.

Infine l'autorizzazione generale sul trattamento dei dati giudiziari da parte di privati, enti pubblici economici e soggetti pubblici non è "rinnovata" (anche se, a mio parere, qualche chiarimento sarebbe stato necessario, visto gli orrori che vedo in giro).

venerdì 19 luglio 2019

Sanzioni GDPR (Google, Facebook, Marriott e BA) e riflessioni

In questi tempi si moltiplicano le notizie sulle sanzioni milionarie a seguito di violazioni di dati personali.

Google è stata multata per mancanza di trasparenza:
- https://www.bbc.com/news/technology-46944696;
- https://www.agendadigitale.eu/sicurezza/google-e-facebook-con-la-privacy-non-si-scherza-piu-le-prime-avvisaglie-in-europa-e-usa.

E infine Facebook per diverse violazioni:
https://arstechnica.com/tech-policy/2019/07/facebooks-ftc-fine-will-be-5-billion-or-one-months-worth-of-revenue/.

Non ne ho parlato perché in definitiva non aggiungono niente di nuovo sulle "cose da fare".

Mi hanno invece incuriosito molto le vicende della Marriott e della British Airways, ambedue sottoposte a multe miliardarie dall'ICO, ossia il Garante UK.

Un articolo sulla multa alla catena di hotel Marriott:
- http://www.ictbusiness.it/cont/news/nuova-vittima-del-gdpr-maxi-multa-anche-per-marriott-international/43277/1.html.

L'annuncio dell'EDPB sulla multa alla Marriott:
- https://edpb.europa.eu/news/national-news/2019/ico-statement-intention-fine-marriott-international-inc-more-ps99-million_en.

Su questa c'è anche un articolo più tecnico sull'attacco alla Marriott:
- https://www.zdnet.com/article/marriott-ceo-shares-post-mortem-on-last-years-hack/.

Mi pare che quelli della Marriott abbiano dimostrato molta attenzione sulla vicenda e che siano stati loro stessi a renderla pubblica. In altre parole, non mi pare che la multa sia giustificata.

Anzi: quelli della Marriott usavano una tecnologia (IBM Guardium) dedicata a lanciare allarmi relativi a "strane" query sui database. IBM sarà contenta della pubblicità gratuita, ma mi pare interessante sapere che esistono queste tecnologie (temo però che al momento siano molto costose e difficili da mantenere).

Dall'altra parte, l'ICO non si è preoccupata di rilevare gli investimenti fatti da Marriott e il livello di prevenzione adottato, ma, più o meno, ha detto: "poiché avete avuto un incidente, vuol dire che avete sbagliato e quindi dovete pagare". Non mi pare sia questo lo spirito del GDPR. Mi pare piuttosto sia di verificare se l'azienda ha fatto quanto possibile per evitare gli incidenti.

Caso simile è quello della British Airways. Qui il comunicato dell'EDPB sulla multa comminata dall'ICO:
- https://edpb.europa.eu/news/national-news/2019/ico-statement-intention-fine-british-airways-ps18339m-under-gdpr-data-breach_en.

Qui invece un articolo più tecnico che, in sostanza, dice che sarebbe stato molto ma molto difficile identificare l'attacco (sfortunatamente non spiega come prevenirlo in futuro):
- https://www.riskiq.com/blog/labs/magecart-british-airways-breach/.

giovedì 18 luglio 2019

Sistemi operativi per smartphone

Una cosa che mi preoccupa è la massa di dati che sto dando a Google. Sono già migrato a Qwant come motore di ricerca e ora sto cominciando ad usare il loro sistema di mappe (e non abbandono il mio vecchio TomTom).

Per quanto riguarda il cellulare potrei passare ad Apple, ma non sopporto la chiusura dell'iOS. Per Android sono incuriosito dai progetti di sistemi alternativi.

Uno l'ho visto segnalato da Luca Bonesini (mio collega di tanti anni fa). Si tratta del progetto /e/:
- https://e.foundation/.

Un altro progetto l'ho visto più di recente ed è il PostmarketOS:
- https://postmarketos.org/blog/2019/06/23/two-years/.

Dovrei studiare meglio la questione e, soprattutto, aspettare che gli smartphone di casa siano abbastanza obsoleti per fare qualche test. Per intanto mi appunto la questione.

Minacce e attacchi: errore in un'applicazione di 7-Eleven

E' noto che non mi interesso molto delle notizie sugli attacchi, in quanto solitamente non riportano informazioni utili, ma solo generiche.

Questo articolo non è tanto migliore, ma ci ricorda che bisogna prestare molta attenzione anche alle applicazioni per dispositivi mobili:
- https://www.zdnet.com/article/7-eleven-japanese-customers-lose-500000-due-to-mobile-app-flaw/.

In poche parole: il 7-Eleven giapponese ha commissionato un'applicazione che permetteva i pagamenti veloci. Questa permetteva anche di richiedere l'azzeramento della password, e la sua conseguente modifica, senza verificare che il richiedente fosse l'utente titolare dell'account. Il risultato è che degli attaccanti hanno azzerato la password di alcuni clienti e hanno fatto acquisti con i loro soldi.

venerdì 12 luglio 2019

Mia intervista su ISO/IEC 27552

Elia Barbujani mi ha intervistato per Web radio ius law sulla ISO/IEC 27552:
- https://webradioiuslaw.it/speciale-adeguamento-privacy-iso-iec-27552-cosa-cambia-per-le-certificazioni-privacy/.

Notizia dell'ultima ora: forse la numerazione cambierà in ISO/IEC 27701. Giusto per rendere più semplici le cose...

sabato 29 giugno 2019

NIST NISTIR 8228 su IoT

Il NIST ha pubblicato il documento NISTIR 8228 dal titolo "Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks":
- https://csrc.nist.gov/publications/detail/nistir/8228/final.

Tratta dell'IoT in modo generale, senza approfondire i campi di applicazione (industriale, automobili, sanità, eccetera).

A mio pare è più interessante la parte analitica sui rischi, mentre le misure di sicurezza sono espresse in modo troppo generale e approfondimenti li avrei graditi.

lunedì 24 giugno 2019

Mio articolo su fornitori e GDPR

Segnalo questo mio articolo dal titolo "Fornitori, valutazione del rischio e adeguamento privacy: le linee guida":
- https://www.cybersecurity360.it/legal/privacy-dati-personali/fornitori-valutazione-del-rischio-e-adeguamento-privacy-le-linee-guida/.

Ho proposto un metodo semplice per affrontare la questione dei fornitori in relazione al GDPR e una critica all'uso dei questionari purtroppo sempre più diffusi.

sabato 22 giugno 2019

Raccomandazione UE sulla cibersicurezza nel settore dell'energia

Segnalo questo articolo dal titolo "Cybersecurity nel settore energetico, ecco le raccomandazioni della Commissione europea":
- https://www.agendadigitale.eu/infrastrutture/cybersecurity-nel-settore-energetico-ecco-le-raccomandazioni-della-commissione-europea/.

Mi sembra interessante osservare che questa "Raccomandazione UE 2019/553 della Commissione del 3 aprile 2019 sulla cibersicurezza nel settore dell'energia" presenta indicazioni che potrebbero essere considerate anche in altri settori e nell'ambito industriale più generale.

Il link dell'articolo riporta alla raccomandazione in italiano. La pagina con le versioni nelle altre lingue dell'Unione è questa:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32019H0553.

Codice di condotta sulle valutazioni commerciali

Il Garante ha approvato il "Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali", ossia il codice che riguarda le aziende che analizzano le caratteristiche delle aziende per elaborare valutazioni a scopo commerciale:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9119868.

Ho riscritto la definizione di "attività di informazione commerciale", sperando di essere stato chiaro. Ad ogni modo, è possibile usare la definizione "ufficiale". Inizialmente, erroneamente, pensavo si trattasse dei contact centre. La lettura mi ha smentito.

I codici di condotta sono regolati dall'articolo 40 del GDPR. Interessante (come anche da comunicato stampa del Garante) è il ruolo dell'Organismo di monitoraggio (OdM), previsto dall'articolo 41 del GDPR, che dovrà essere valutato in senso all'EDPB.

Ho avuto modo di rileggere il GDPR su queste cose e mi è sembrato strano il meccanismo degli OdM (unici per ciascun codice di condotta), molto differente da quello relativo agli organismi di certificazione (che sono in concorrenza tra loro e controllati da Accredia). Ci sarebbe materia per riflettere.

Per finire, visto che potrei aver scritto sciocchezze (vi prego di segnalarmele), invito a leggere direttamente la newsletter del Garante:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9120035

martedì 18 giugno 2019

Presentazione "Gli standard EN 50600 e ISO/IEC TS 22237 per i data center"

Il 6 giugno ho tenuto una presentazione per un BCI Forum a Milano dal titolo "Gli standard EN 50600 e ISO/IEC TS 22237 per i data center".

Le slide sono disponibili anche dal mio sito:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Presentazione "Come migliorare le proprie competenze"

Il 24 maggio ho tenuto una presentazione per una sessione di studio di AIEA a Milano dal titolo "Come migliorare le proprie competenze".

Le slide sono disponibili anche dal mio sito:
- http://www.cesaregallotti.it/Pubblicazioni.html.

Credo che i soci AIEA possano vedere il video. Gli altri potranno anche farne a meno senza problemi.

Strumenti per la sicurezza applicativa

Credo che gli strumenti per la sicurezza delle applicazioni software siano tra i meno considerati, anche se oggi sempre più necessari.

Tutto ha un'origine storica: inizialmente la sicurezza era solo una questione di infrastruttura informatica, non delle applicazioni. Per quanto oggi tutti siano consapevoli che non è più così (e da tempo) c'è ancora carenza di reale competenza, anche sugli strumenti che si possono utilizzare. Come consulente e auditor chiedo sempre se sono usati strumenti per il controllo del software: quasi mai sono usati strumenti per il controllo della sicurezza, qualche volta sono usati quelli per il controllo della qualità e spesso non è usato niente (anzi... sono guardato con sorpresa).

Non mi proclamo esperto e quindi non so giudicarlo appieno, ma segnalo questo articolo dal titolo "10 Hottest DevSecOps Tools You Need To Know About":
- https://www.crn.com/slide-shows/security/10-hottest-devsecops-tools-you-need-to-know-about/1.

Dovrebbe essere utile almeno come punto di partenza.

sabato 15 giugno 2019

Caso pratico di phishing di successo: i 15 milioni di Tecnimont.

Fabrizio Monteleone di DNV GL mi ha segnalato questo articolo dal titolo "Truffa del Ceo alla Tecnimont: falsa mail del capo fa partire un bonifico da 18 milioni di dollari":
- https://milano.fanpage.it/truffa-del-ceo-alla-tecnimont-falsa-mail-del-capo-fa-partire-un-bonifico-da-18-milioni-di-dollari/.

Il caso di phishing mirato (o "truffa del CEO") è da manuale e vale la pena ricordarla come caso di studio. Non è la prima (ne ho trovate altre con una semplice ricerca su Qwant) e per questo andrebbe usata come esempio per tutti.

venerdì 14 giugno 2019

Pubblicato il Cybersecurity Act

Franco Vincenzo Ferrari di DNV GL mi ha segnalato la pubblicazione del Cybersecurity Act sulla Gazzetta ufficiale dell'Unione europea.

Ora l'atto in italiano si chiama ufficialmente "Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»)" ed è scaricabile da qui:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32019R0881.

Hanno tradotto con il brutto termine "cibersicurezza" e non con il termine sbagliato di "sicurezza cibernetica". C'è speranza.

Qualche mese fa avevo già segnalato un articolo (che usa malamente il termine "cibernetico" e non approfondisce gli schemi di certificazione dei prodotti):
- https://www.agendadigitale.eu/sicurezza/cybersecurity-act-ecco-cosa-ci-aspetta-dopo-la-direttiva-nis/.

Avevo anche segnalato il comunicato stampa del Consiglio della UE, con alcuni punti significativi del provvedimento:
- https://www.consilium.europa.eu/it/press/press-releases/2018/12/19/eu-to-become-more-cyber-proof-as-council-backs-deal-on-common-certification-and-beefed-up-agency/.

mercoledì 12 giugno 2019

NIST Secure Software Development Framework (SSDF)

Il NIST ha pubblicato la bozza di un documento dal titolo "White Paper: Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)":
- https://csrc.nist.gov/publications/detail/white-paper/2019/06/11/mitigating-risk-of-software-vulnerabilities-with-ssdf/draft.

Temevo fosse il solito documento "fai valutazione del rischio e arrangiati (noi autori, in realtà, non sappiamo niente di tecnologia, ma possiamo scrivere tomi su tomi sulla valutazione del rischio e sui processi)". Invece ho trovato alcuni elementi interessanti, anche se non c'è tantissima tecnologia. Però la sintesi aiuta.

In bibliografia ho trovato il riferimento ad un documento dal titolo "Fundamental Practices for Secure Software Development: Essential Elements of a Secure Development Life Cycle Program":
- https://safecode.org/news/safecode-publishes-fundamental-practices-secure-software-development-essential-elements-secure-development-life-cycle-program/.

Un altro documento abbastanza breve (38 pagine), in cui mi pare ci siano consigli pratici che non trovo facilmente in giro.

E questo documento mi ha fornito il link al "SEI CERT Coding Standards":
- https://wiki.sei.cmu.edu/confluence/display/seccode/SEI+CERT+Coding+Standards.

Penso non ci siano scuse per chi scrive in C, C++, Java, Perl e Android.

Se posso segnalare dei difetti: i siti, alla fine, si concentrano soprattutto sulla parte di codifica e poco sulla parte funzionale e su quella architetturale.