mercoledì 30 gennaio 2019

Articolo sulle assicurazioni IT

Roberto Gallotti (mio papà!) mi ha segnalato un articolo del The Economist dal titolo "The market for cyber-insurance is growing":
- https://www.economist.com/finance-and-economics/2019/01/26/the-market-for-cyber-insurance-is-growing.

La sostanza è che il mercato delle assicurazioni IT (o cyber-insurance) è ancora immaturo.

Ne avevo scritto già prima del 2011, poi nel 2011 e poi, grazie ad uno studio di ENISA, nel 2012 (http://blog.cesaregallotti.it/2012/08/assicurazioni-e-sicurezza-informatica.html). Nulla è cambiato, neanche quelli che, senza aver studiato l'argomento, continuano a promuovere assicurazioni ancora inadeguate.

lunedì 28 gennaio 2019

Pubblicata la nuova ISO/IEC 27008

E' stata pubblicata a gennaio 2019 la nuova versione della ISO/IEC 27008 dal titolo "Guidelines for the assessment of information security controls":
- https://www.iso.org/standard/67397.html.

La precedente versione era la ISO/IEC 27008:2011. Questa è stata indicata come "revisione maggiore", anche perché ora si basa sui controlli della ISO/IEC 27002:2013.

Questo standard non mi piace perché in alcuni punti coglie l'occasione per "migliorare" la ISO/IEC 27002.

Pubblicata la nuova ISO/IEC 27018

E' stata pubblicata a gennaio 2019 la nuova versione della ISO/IEC 27018 dal titolo "Code of practice for PII protection in public clouds acting as PII processors":
- https://www.iso.org/standard/76559.html.

La precedente versione era la ISO/IEC 27018:2014 e questa nuova versione è indicata come "revisione minore" e sembra dovuta al solo fatto che ci fossero dei riferimenti incrociati sbagliati (questo è quello che ho trovato scritto nella "giustificazione per la revisione").

Ricordo che questa norma riporta controlli privacy che possono essere usati per estendere quelli di sicurezza della ISO/IEC 27001 e ottenere una certificazione rispetto alla ISO/IEC 27001 "estesa" con la ISO/IEC 27018. È applicabile ai fornitori di servizi cloud pubblici, che agiscono con ruolo di responsabili (e non titolari!).

giovedì 24 gennaio 2019

Cassazione: accesso a Facebook con le credenziali della moglie

Luca De Grazia mi ha segnalato, con il titolo "Condannato per essere entrato nel profilo Facebook della moglie e aver fotografato una chat", una sentenza della Cassazione.

Il commento sintetico mi pare dica tutto: "Evidente, secondo i Giudici, l'interferenza compiuta dal marito ai danni della vita privata della consorte. Irrilevante il fatto che le credenziali di accesso fossero state fornite tempo addietro dalla donna al marito".

Segnalo questo articolo (il primo che ho trovato):
- http://www.studiolegalezuco.it/accesso-abusivo-sistema-informatico-615-ter-profilo-facebook-conoscenza-credenziali-cassazione-penale-2905-2019/.

Mi pare interessante, anche perché ritorna sul caso in cui una persona condivide le proprie password con un'altra. Anche questo caso ci insegna che è sempre una cattiva idea.

mercoledì 23 gennaio 2019

Google multata in Francia per 50 milioni per mancato rispetto del GDPR

Una prima multa milionaria per il mancato rispetto del GDPR. In questo caso, il Garante francese ha multato Google perché Android non presenta chiaramente i consensi necessari per il trattamento dei dati.

Un articolo in italiano dal titolo "Consenso alla privacy poco chiaro, in Francia multa da 50 milioni di euro per Google":
- https://www.lastampa.it/2019/01/21/tecnologia/consenso-alla-privacy-poco-chiaro-in-francia-multa-da-milioni-di-euro-per-google-aDmrdULxnqJU2oMdLJeBsI/pagina.html.

Un articolo in inglese dal titolo "GDPR: Google hit with €50 million fine by French data protection watchdog":
- https://www.zdnet.com/article/gdpr-google-hit-with-eur50-million-fine-by-french-data-protection-watchdog/.

Dipendente che usa registrazioni per scopi difensivi

Questa mattina un cliente mi ha fatto una domanda per cui sono dovuto andare a ricercare questa notizia di Filodiritto dal titolo "Cassazione Civile: è illegittimo il licenziamento del dipendente che utilizza le registrazioni fonografiche occulte per scopi difensivi":
- https://www.filodiritto.com/news/2018/licenziamento-cassazione-civile-illegittimo-il-licenziamento-del-dipendente-che-utilizza-le-registrazioni-fonografiche.html.

Penso che possa di essere interesse anche per i miei lettori.

Mi ha stupito il fatto che la sentenza faccia riferimento al GDPR. Infatti mi sembrava dovesse essere escluso in quanto non "trattamento interamente o parzialmente automatizzato di dati personali" o "di trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi" e, anzi, "attività a carattere esclusivamente personale". Sicuramente ha ragione la Cassazione.

martedì 15 gennaio 2019

Foto dei figli sui social network

Da un tweet di @a_oliveri, segnalo questo articolo dal titolo "Foto sui social dei figli minorenni, i genitori rischiano fino a 10mila euro di multa":
- https://www.repubblica.it/tecnologia/2018/01/08/news/multa_foto_figli_social-186077784/.

Credo che queste vicende dicano tanto sulla cultura del "non abbiamo segreti per nessuno; anzi... facciamo vedere a tutti i fatti nostri!". Questa cultura va capita da chi si occupa di sicurezza delle informazioni e di privacy, perché si concretizza in violazioni di dati.

giovedì 10 gennaio 2019

Sensibilizzazione 04 - Materiale NCSC

Dark Reading Weekly segnala che lo statunitense National Counterintelligence and Security Center (NCSC) ha messo online del materiale di sensibilizzazione:
- https://www.dni.gov/index.php/ncsc-how-we-work/ncsc-know-the-risk-raise-your-shield/ncsc-awareness-materials.

I video mi sembrano molto interessanti. Non proprio divertentissimi, ma interessanti. Il resto del materiale mi sembra di difficile interpretazione (io, perlomeno, faccio fatica a capirlo). Tutto è in inglese, ma può isprirare inziative in italiano (per chi ne avesse voglia).

mercoledì 9 gennaio 2019

Differenze tra sicurezza IT e sicurezza ICS (e non solo)

Da un tweet di @yvetteagostini, segnalo questa breve riflessione dal titolo "IT+OT Cyber security experts?":
- lnkd.in/eE5j5qs.

In sostanza dice che chi si occupa di sicurezza informatica (orientata alla difesa di riservatezza, integrità e disponibilità) non può riutilizzare gli stessi concetti alla sicurezza industriale (sicurezza per OT o Operational technology o per ICS o Industrial Control Systems, di cui fanno parte gli SCADA). Infatti la sicurezza per OT si concentra sulla difesa di sicurezza fisica (safety), affidabilità (reliability) e produttività (productivity). A maggior ragione, non è pensabile una roba come la "convergenza di sicurezza IT e OT".

Non sono molto d'accordo (per esempio perché sono convinto che la sicurezza IT debba anche considerare la produttività e la sicurezza OT debba anche considerare la riservatezza; gli altri parametri sono sovrapponibili), ma trovo istruttivo questo sottolineare la differenza culturale tra le due materie.

È innegabile che, per affrontare bene una materia, è necessario capirne la cultura di fondo. Questo l'ho visto, per esempio, quando ho affrontato la qualità dopo essermi dedicato alla sicurezza delle informazioni e poi, nella mia crescita professionale, sono ritornato alla sicurezza delle informazioni e poi alla gestione dei servizi, alla continuità operativa, alla privacy, eccetera. Ogni materia ha le sue peculiarità e queste vanno capite e apprezzate prima di farle "convergere".

È anche per questi motivi che ho sempre cercato di non fare elenchi di correlazione tra norme sulla sicurezza (ISO/IEC 27001), sulla gestione dei servizi (ISO/IEC 20000-1), sulla privacy e altro. Ed è anche per questi motivi che evito l'uso dell'espressione "cybersecurity", visto che è usato in modo molto vago, per includere o escludere la sicurezza IT  o OT, a seconda dell'interlocutore.

Bufale su Internet

Penso che le bufale (o "fake news", come si usa dire oggi in inglese) siano un argomento non proprio pertinente il mio mestiere, ma comunque interessante.

Infatti siamo testimoni di bufale relative alle misure di sicurezza o adempimenti inesistenti (o non più inesistenti). Siamo anche testimoni di paure ingiustificate su possibili attacchi quasi impossibili (inclusi i terremoti a Milano) e di sottovalutazione di attacchi molto più probabili (come quelli su alcuni servizi accessibili dal web).

E' per questo che segnalo qualche link che @sramakk ha condiviso su Twitter sulle bufale su Wikipedia (forse in questi giorni avrà notato qualche esempio o avrà incontrato qualcuno troppo entusiasta di Wikipedia). Uno è di uno che è riuscito a far circolare false citazioni (sperando che a sua volta non sia una bufala):
- https://www.wired.it/internet/2014/01/15/come-ho-fregato-tg-politici-e-giornali-con-wikipedia/.

Un altro è su alcune bufale particolarmente significative:
- https://www.ilpost.it/2015/04/18/wikipedia-affidabilita/.

Più o meno negli stessi giorni, ho notato anche questo tweet di @Chronotope che suggeriva un articolo dal titolo "How Much of the Internet Is Fake? Turns Out, a Lot of It, Actually", dedicato al fatto che sono create misure, utenze e contenuti solo per generare numeri utili alla pubblicità (e al denaro, ovviamente):
- https://nymag.com/intelligencer/2018/12/how-much-of-the-internet-is-fake.html.

E sempre negli stessi giorni ho visto un tweet sulla propaganda politica e sull'uso distorto dei canali di comunicazione (la stessa foto, innocente, usata in più di 180 articoli razzisti!):
- https://twitter.com/bknsty/status/1081954569196879872.

domenica 6 gennaio 2019

GDPR: verificata dal Garante la conformità dei Codici deontologici

Il Garante ha aggiornato i codici deontologici per allinearli al GDPR:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9069732.

Oggi si chiamano "Regole deontologiche". Se ho capito correttamente, non riportano novità rispetto alle precedenti versioni.

Per i più scrupolosi, la notizia è accompagnata da riflessioni sul fatto che non è stata avviata una consultazione pubblica.

Guide per avviare collaborazioni in materia di sicurezza IT

Il National Cyber Security Centre (NCSC) dei Paesi Bassi ha pubblicato delle guide per migliorare le collaborazioni settoriali, geografiche o di filiera in materia di sicurezza informatica:
- https://www.ncsc.nl/english/cooperation.

Questo può essere un ulteriore tassello per l'applicazione della Direttiva NIS (la notizia l'ho ricevuta da un tweet di @enisa_eu). Mi chiedo quanto questo argomento sarà sviluppato. In Italia abbiamo, come elemento positivo, una storia di distretti industriali da cui attingere. Penso però che, alla fine, a meno che qualche Pubblica amministrazione (come già succede in alcuni casi) non promuova alcune collaborazioni, i grandi fornitori di servizi IT metteranno sul mercato i loro servizi di SOC "generalisti".

Sono curioso di vedere come andranno le cose.

Guida ETSI per un SOC

Franco Vincenzo Ferrari di DNV GL mi ha segnalato che ETSI ha pubblicato la ETSI GS ISI 007 V1.1.1 (2018-12) dal titolo "Information Security Indicators (ISI); Guidelines for building and operating a secured Security Operations Center (SOC)":
- https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=50920.

Questo documento è importante perché la Direttiva NIS (recepita dal nostro D. Lgs. 65 del 2018) richiede ai fornitori di servizi essenziali di attivare processi di rilevazione, trattamento e segnalazione degli incidenti di sicurezza informatica, spesso compito di un SOC.

Personalmente, non credo che la lettura di una Linea guida come questa possa insegnare veramente come realizzare e operare un SOC (per questo ci sono sicuramente validi libri), ma è certamente un ottimo riferimento.

sabato 5 gennaio 2019

Guida alla sicurezza IT dell'US Dept. of Health and Human Services

Il SANS NewsBites del 4 gennaio (www.sans.org) segnala la pubblicazione della serie di documenti "Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients" da parte dell'US Dept. of Health and Human Services:
- https://www.phe.gov/Preparedness/planning/405d/Pages/hic-practices.aspx.

Un commento di un curatore del SANS segnala che questa guida è un cambio di direzione perché si basa sulle "buone pratiche", non sul "rischio". Secondo molti è un male, ma secondo me è un bene, fino ad un certo punto. Come dice lo stesso curatore del SANS NewsBites, per una vera valutazione del rischio sono necessari tempo e competenze (oltre che soldi) e spesso i risultati non sono poi così strabilianti. Allora ben venga un elenco di "buone pratiche" su cui è possibile ragionare e non un vago richiamo (come oggi va di moda) alla valutazione del rischio senza una seria valutazione delle soluzioni oggi disponibili.

E' vero che domani le soluzioni saranno diverse, ma almeno qualcuno ci spiega quelle di oggi.

A dire il vero, non mi sembra che questa guida presenti cose particolarmente innovative o relative alla sanità (persino la "Cybersecurity Practice #9: Medical Device Security" non mi è sembrata particolarmente significativa). Però confesso di non averla letta con particolare attenzione.