mercoledì 29 aprile 2020

Protocollo COVID-19 sui luoghi di lavoro (24 aprile)

Il 24 aprile è stato aggiornato l'aggiornamento del "Protocollo condiviso sulle misure per il contrasto al Covid-19 negli ambienti di lavoro". Si trova qui:
- https://www.lavoro.gov.it/notizie/pagine/sicurezza-sul-lavoro-integrato-il-protocollo-condiviso-sulle-misure-per-il-contrasto-al-covid-19-negli-ambienti-di-lavoro.aspx/.

Ringrazio Daniela Pollino di Pidielle S.p.A. per la segnalazione.

Il protocollo stabilisce anche le modalità di ingresso in azienda, prevedendo il controllo della temperatura. Per questo è necessario quindi prevedere opportune informative privacy.

A questo punto segnalo il modello di informativa proposto dallo Studio Stefanelli. Fa riferimento al precedente protocollo del 14 marzo, ma credo vada bene lo stesso. Segnalo la pagina in cui è disponibile questo documento e anche altri:
- https://www.studiolegalestefanelli.it/it/solidarieta-digitale-smartworking.

Stato delle norme ISO/IEC 270xx - Aprile 2020

Si è appena concluso il 62mo meeting dell'ISO/IEC JTC 1 SC 27. Doveva essere a Sanpietroburgo, ma si è invece tenuto tutto in ambiente virtuale. Esperienza decisamente difficile, ma riuscita (anche se si è confermato che gli incontri fisici sono più efficaci di quelli virtuali).

Hanno partecipato più di 120 delegati da 34 Paesi.

La delegazione italiana era composta da 7 persone, tra cui: Fabio Guasconi (Presidente), Andrea Caccia, Alessandro Cosenza, Stefano Ramacciotti, Daniele Tumietto e me stesso.

Per quanto riguarda le norme del WG 1, non ci sono grosse novità. Mi limito, come al solito, ad indicare lo stato di avanzamento di alcune norme:
- ISO/IEC 27002 (controlli di sicurezza): sono proseguiti i lavori e sono stati fatti molti commenti; per migliorare ulteriormente la qualità della norma, gli esperti hanno ritenuto opportuno "rallentarne" l'uscita, che a questo punto sarà, nella migliore delle ipotesi, ad autunno 2021;
- ISO/IEC 27003 (guida all'uso della ISO/IEC 27001): confermata così com'è;
- ISO/IEC 27005 (sul risk management): sono proseguiti i lavori, ma la pubblicazione della nuova versione è ancora lontana (nella migliore delle ipotesi, sarà nel 2022);
- ISO/IEC 27013 (relazioni tra ISO/IEC 20000-1 e ISO/IEC 27001): sono proseguiti i lavori e si spera di pubblicare ad autunno 2021.

La norma ISO/IEC 27558, con i requisiti di accreditamento degli organismi di certificazione per svolgere gli audit ISO/IEC 27701, è una norma di competenza del WG 1 e del WG 5 (dedicato alla privacy). Per questa norma sono state fatte tre scelte importanti:
- dare un'accelerazione ai lavori in modo da pubblicarla, auspicabilmente, per metà 2021 (non mi dilungo nei dettagli tecnici; dico solo che non sarà un "International Standard", ma una "Technical Specification");
- avviare una richiesta di commenti specifica per il calcolo dei tempi di audit (io qui prevedo un grande macello per poi "accontentarsi" del solito calcolo basato sul numero di persone in ambito);
- sarà numerata ISO/IEC 27006-2; così l'attuale ISO/IEC 27006 sarà numerata ISO/IEC 27006-1.

Per quanto riguarda le norme del WG 5 (privacy), segnalo solo:
- ISO/IEC 29134 (sulla PIA): sarà avviato un lavoro di "correzione".

Per il WG 4, che si occupa di norme più tecniche, mi sono interessato a quelle sull'IoT e sull'industriale (ISO/IEC 24391, Guidelines for IoT domotics security and privacy; ISO/IEC 24392, Security reference model for industrial internet platform; ISO/IEC 27030, che cambierà numero in ISO/IEC 27400, IoT security and privacy – Guidelines; 27402, IoT security and privacy – Device baseline requirements) e sono meno interessato ad altre norme, anche se il titolo sembra promettente, perché temo possano essere troppo fuffose (la nuova edizione della ISO/IEC 27032, Guidelines for Internet security; ISO/IEC 27035, sulla gestione degli incidenti). Ad ogni modo, non sono riuscito a seguire i lavori di nessuna di queste norme e me ne dispiace molto.

Il prossimo meeting sarà a metà settembre a Varsavia (Polonia). Speriamo...

Ringrazio Fabio Guasconi (e non solo...) per avermi segnalato alcuni errori presenti in questo breve articolo.

martedì 28 aprile 2020

Data center Amazon in Italia

Paolo Sferlazza di Gerico Security (che ringrazio) mi ha segnalato questa interessante notizia dal titolo "La nuova Regione AWS in Italia":
- https://aws.amazon.com/it/local/italy/milan/.

Non sono un fan di Amazon, ma bisogna dire che questa mossa ha un impatto interessante per quanto riguarda l'applicazione del GDPR. Sarà anche interessante vedere come questo esempio sarà seguito in Europa e in Italia.

lunedì 20 aprile 2020

Articolo sulla protezione delle piattaforme tecno-industriali

Segnalo questo articolo dal titolo "Protezione delle piattaforme tecno-industriali. Compliance NIS e oltre" di Giulio Carducci:
- https://www.ictsecuritymagazine.com/articoli/protezione-delle-piattaforme-tecno-industriali-compliance-nis-e-oltre/.

L'articolo propone un approccio per la valutazione del rischio relativo alla sicurezza OT (tradotta, molto bene, a mio parere, con "tecno-industriale").

L'articolo ha il pregio di non nascondere i punti di "semplificazione" dell'approccio battezzato IPSEM. Ma questi passaggi sono molto ben spiegati e giustificati, sia facendo riferimento alle caratteristiche peculiari dell'ambiente tecno-industriale, differente da quello "gestionale", sia alle solite caratteristiche del rischio relativo alla sicurezza delle informazioni.

Per la cronaca: Giulio Carducci è stato uno dei miei maestri, ma questo articolo l'ho "scoperto" da solo e mi fa piacere segnalarlo.

Documento ENISA sulla sicurezza del software

ENISA ha pubblicato il rapporto "Advancing Software Security in the EU":
- https://www.enisa.europa.eu/publications/advancing-software-security-through-the-eu-certification-framework.

Sono 16 pagine molto dense.

Infatti da una parte il paragrafo 2.4 "Existing standards and good practices" riporta alcuni documenti significativi relativi allo sviluppo sicuro. In particolare, io non conoscevo per niente l'OWASP ASVS, che ho invece trovato molto interessante (anche se avrei preferito, come al solito, un documento di "progettazione" e non di "verifica"):
- https://owasp.org/www-project-application-security-verification-standard/.


Il capitolo 3, dedicato ai problemi relativi alla sicurezza del software, anche se molto corto, riporta considerazioni che non ho mai trovato altrove. Le raccomandazioni, ossia i successivi passi che ENISA e altre istituzioni europee potrebbero prendere, mi sembrano anch'esse di adeguata profondità
(anzi... evitano proprio di citare la solita "formazione", che è sì importante, ma sembra il rifiugio di chi non ha idee).

domenica 19 aprile 2020

EDPS Web site collector per l'analisi privacy

Ringrazio per questo link Nicola Nuti. L'EDPS ha messo a disposizione uno strumento per analizzare i siti web e la loro conformità relativamente alla protezione dei dati personali.

Questa è notizia non proprio recente. Ma questo articolo che spiega bene come funziona è invece recente:
- http://www.dirittoegiustizia.it/news/23/0000098319/Website_Evidence_Collector_il_tool_gratuito_del_Garante_Europeo_per_la_Protezione_dei_dati_personali.html.

La pagina per scaricare lo strumento è questa:
- https://joinup.ec.europa.eu/solution/website-evidence-collector/releases.

venerdì 17 aprile 2020

Le App per il tracciamento COVID-19 - L'app Immuni

Al volo, ricevo da Glauco Rampogna la notizia che "pare che si siamo, è stata scelta la app di Bending Spoons per l'italia":
- https://www.open.online/2020/04/17/coronavirus-arriva-immuni-app-per-il-tracciamento-dei-contagi-scelta-dal-governo/.

E' la soluzione basta su Blutooth, sulla cui utilità ho parecchi dubbi, come ho già scritto.

Le App per il tracciamento COVID-19 - Mia intervista

Sulla faccenda delle app per il tracciamento COVID-19 mi hanno intervistato per Byoblu:
- https://www.youtube.com/watch?v=hYPu4v4x-n8.

Non credo di aver fatto un bell'intervento (preferisco sempre scrivere al parlare) perché molte cose non le ho dette e ne ho dette altre inutili. Ma mi ha divertito fare questa intervista via Skype e spero di aver presentato le cose in modo equanime, presentando i punti critici senza fare allarmismo o scandalo inutile. Devo dire che la mia analisi preliminare del sito https://www.byoblu.com/ mi aveva fatto temere un approccio scandalistico che invece non ho visto alla prova dei fatti. Anzi: ho notato un atteggiamento attento e professionale.

I commenti al video non mi trovano d'accordo perché buttano tutto in caciara. Ma almeno mi sembra che nessuno mi abbia dato (ancora) del cretino.

giovedì 16 aprile 2020

Le App per il tracciamento COVID-19 - Bruce Schneier

Anche Bruce Schneier (a sua volta citando Ross Anderson) dice la sua sulle applicazioni di tracciamento:
- https://www.schneier.com/blog/archives/2020/04/contact_tracing.html.

Fa un po' di riflessioni sul fatto che l'efficacia di un'applicazione di tracciamento non è provata, che bisognerà affrontare i falsi positivi e i falsi negativi e che, soprattutto, senza un metodo economico, veloce e accurato per verificare lo stato di salute, l'applicazione è inutile. E' la risposta tecnologica a un problema che invece è sociale.

Oh... ci ero arrivato da solo io stesso! O sono particolarmente intelligente (dubito) o ho fatto un po' di esperienza e non mi faccio accecare dalle soluzioni basate sui tool.

Inoltre Bruce Schneier riporta la riflessione di Ross Anderson che dice che tutto nasce da un falso sillogismo (in questo caso, un sillogismo cicliico): qualcosa deve essere fatto e l'applicazione è qualcosa e quindi dobbiamo farlo.

martedì 14 aprile 2020

Le App per il tracciamento COVID-19

Sulle app per il tracciamento della diffusione del COVID-19 ho gà scritto la mia:
- http://blog.cesaregallotti.it/2020/03/corea-del-sud-e-italia-cultura-e.html.

La newsletter Guerre di rete riporta una sintesi degli interventi in materia (ringrazio Glauco Rampogna degli Idraulici della privacy per la segnalazione):
- https://guerredirete.substack.com/p/guerre-di-rete-contact-tracing-a.

Di questo articolo trovo particolarmente interessanti le domande poste:
<< Ma la finalità qual è? E qui la risposta non può essere solo quella di "tracciare i contatti dei contagiati". Una volta raccolti i contatti di un contagiato, cosa succede, a livello individuale, al singolo, ma anche a livello globale? Che procedure sanitarie si attiveranno, e sono in grado di scalare su numeri che potrebbero essere molto consistenti? Come si integrano i dati della app col resto delle misure da prendere e le risorse del sistema sanitario? Con la capacità di fare test o di assistere persone che devono stare isolate? O la si userà solo per mettere in quarantena volontaria e fai-da-te migliaia di persone che secondo la app sono state vicine a un contagiato? e staranno in quarantena in casa con altre persone? e loro come si comporteranno? (Anche sulla cancellazione dei dati, se si dice che verrà fatta al raggiungimento della finalità bisogna specificare quale sia e quando verrà raggiunta). >>

Però l'articolo è molto "giornalistico".

Da un punto di vista più tecnico, segnalo come notevole la ricerca e l'analisi di Paolo Attivissimo (ringrazio sempre Glauco per la segnalazione):
- https://www.zeusnews.it/n.php?c=27995.

Servizi di test malware online

Ho "scoperto", da una sezione del libro "Tecnologia e diritto: Volume III" scritta da Paolo Dal Checco, questi due siti che permettono di verificare i programmi e i file su computer sicuri e remoti, in modo da poter rilevare la presenza di malware:
- https://any.run/;
- https://hybrid-analysis.com/.

Questi siti permettono invece di verificare se un sito web, soprattutto se poco noto, contiene materiale rischioso:
- https://urlscan.io/;
- https://www.virustotal.com/gui/home (questo permette anche di verificare file).

Micromarketing, microtargeting e profilazione

Mi sono trovato spesso a pensare alla profilazione così come espressa dal GDPR e alla segmentazione dei alcune offerte commerciali.

Spesso, molte aziende inviano messaggi pubblicitari a clienti che hanno comprato prodotti simili (che io ho imparato a chiamare "prodotti gemelli", anche se non è un termine riconosciuto) a quello in promozione. Ho sempre pensato che non si tratti di profilazione secondo la definizione del GDPR ("trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica").

A questo proposito ho scoperto il "micro marketing", che invece mi sembra rientri maggiormente nella profilazione. Per approfondire l'argomento, c'è ovviamente la pagina di Wikipedia:
- https://it.wikipedia.org/wiki/Micromarketing.

Per i più interessati, l'articolo, del 2000, "Dalle carte fedeltà a Internet: l'evoluzione del micromarketing" di Lugli e Ziliani si trova on line (io ho trovato anche un pdf):
- https://www.yumpu.com/it/document/view/19497092/dalle-carte-fedelta-a-internet-levoluzione-del-escp-europe.

Sottopongo queste riflessioni a chi si fosse posto le mie stesse domande sulla profilazione.

Libro "Tecnologia e diritto"

Ho finito di leggere i 3 volumi di "Tecnologia e Diritto" di informatica giuridica (il link è al solo primo volume):
- https://shop.giuffre.it/tecnologia-e-diritto-i-fondamenti-d-informatica-per-il-giurista.html.

E' un libro destinato agli studenti dell'Università di giurisprudenza e pertanto molte cose non sono esposte in modo direttamente utilizzabile dalle aziende e molti argomenti non sono di interesse per chi si occupa di consulenza alle aziende. Ma proprio qui sta l'interesse di questi libri: permettono di farsi un quadro generale dell'informatica giuridica e dei suoi temi più significativi.

Penso che proprio la capacità di avere un quadro più generale di un argomento debba essere una caratteristica degli "esperti" e pertanto raccomando la lettura di questi libri.

Ultima nota: tranne i due capitoli sulla blockchain (che si perdono in riflessioni fumosissime), il libro è scritto anche molto bene. Cosa che non guasta...

lunedì 13 aprile 2020

Le scuole e la digitalizzazione forzata (segnalazione)

Sulla scuola e la digitalizzazione ai tempi del COVID-19 ho già scritto:
- http://blog.cesaregallotti.it/2020/03/le-scuole-la-digitalizzazione-forzata-e_31.html.

Sulla privacy, Biagio Lammoglia degli Idraulici della privacy ha segnalato questo articolo di Scuola Informa:
- https://www.scuolainforma.it/2020/03/31/scuola-didattica-online-il-piu-grande-data-breach-della-storia.html.

A chi mastica già di privacy non dice niente di nuovo, ma le conclusioni sono, mutatis mutandis, le mie (ossia che la didattica a distanza andrebbe guidata meglio e non lasciarla alla buona volontà dei singoli).

domenica 5 aprile 2020

Articolo di approfondimento sul CMMC

Segnalo questo articolo di Giustino Fumagalli e Paolo Sferlazza dal titolo "Una nuova frontiera nelle certificazioni di sicurezza cyber: Il CMMC":
- https://www.ictsecuritymagazine.com/articoli/una-nuova-frontiera-nelle-certificazioni-di-sicurezza-cyber-il-cmmc/.

Mi sembra un articolo molto chiaro che permette di capire bene cos'è questo CMMC, anche dal punto di vista tecnico.

Del CMMC avevo già accennato a febbraio 2020, facendo riferimento a due altri articoli in inglese:
- http://blog.cesaregallotti.it/2020/02/cybersecurity-maturity-model.html.

Il modello al momento si trova a questo URL:
- https://www.acq.osd.mil/cmmc/draft.html.