martedì 21 dicembre 2021

Le icone per le informative privacy

Grazie a un tweet di Daniela Quetti, scopro che si è concluso un concorso del Garante per proprorre icone nelle informative privacy:
- https://www.garanteprivacy.it/temi/informativechiare.

Le icone dovrebbero far capire al volo dove si parla di "accesso ai dati", "finalità", "titolare", eccetera.

Manuel Salvi ha espresso perplessità in merito alla chiarezza delle informative in generale che condivido:
- https://www.linkedin.com/posts/manuelsalvi_gdpr-activity-6877893872488378368-WD-w.

Io guardo le icone e non mi aiutano proprio a capire al volo che lì si parla di titolare (o responsabile, o finalità, o DPO e via così). Potrei usarle per rendere più piacevoli le informative con qualche elemento grafico, ma "Titolare" dovrò pur sempre scriverlo.

L'idea delle icone è carina e interessante, ma, nella migliore delle ipotesi, ci vorranno anni per renderle familiari. Io poi penso che non ci arriveremo mai, visto che (ad esclusione di chi lavora nella privacy) le persone "normali" le vedono una o due volte al mese al massimo, non come i cartelli stradali o i bottoni sui pc che invece vedono quotidianamente per tempi lunghi.

Insomma, penso che si stia rincorrendo un'illusione (e allora preferisco impiegare il mio tempo inseguendo altre illusioni).

lunedì 20 dicembre 2021

"Cybersecurity Made in Europe Label"

Franco Vincenzo Ferrari di DNV mi ha inoltrato la segnalazione relativa al "Cybersecurity Made in Europe Label":
- https://www.corrierecomunicazioni.it/cyber-security/cybersicurezza-arriva-il-bollino-europeo-di-qualita-per-le-aziende/.

Va guardato anche il sito vero e proprio:
- https://www.cybersecurity-label.eu/.

Devo dire che l'iniziativa poteva essere bella, ma il sito non è chiaro e, anzi, mi ha lasciato perplesso se non preoccupato. I motivi sono i seguenti:

Primo: sembra che si tratti di un'etichetta per dire che si è bravi ad erogare servizi di cybersicurezza (ma niente a che vedere con le certificazioni previste dal Cybersecurity act), ma non si distingue assolutamente tra i vari servizi, come se fossero un grande blob unico. Sappiamo che i servizi sono tanti: monitoraggio, gestione sistemistica o della rete, VA/PT infrastrutturali o delle applicazioni (e, a loro volta, di tantissimi tipi), allarmi preventivi, chi ne ha più ne metta. Qui sembra che tutti i servizi possono avere l'etichetta "Cybersecurity Made in Europe Label", senza distinzione alcuna.

Secondo: il registro delle aziende "etichettate" riporta solo il link al loro sito web, senza dire quale servizio è stato valutato.

Terzo: nelle istruzioni per ricevere l'etichetta, gli unici criteri di verifica che ho trovato richiedono solo dichiarazioni e una breve check list di due paginette. La check list (dal titolo "The Label Conformity Declaration with ENISA's Indispensable baseline security requirements for the procurement of secure ICT products and services"), tra l'altro, riporta domande sulla sicurezza del "prodotto", non sulla qualità di un servizio di sicurezza.

Allora sembrerebbe che l'etichetta serva solo a dichiarare di essere un'impresa che si occupa di cybersicurezza e che ha sede in Europa. Beh... non mi sembra questa gran cosa. Sembra un'iniziativa in cui le aziende spendono soldi per essere inserite in un registro (almeno apparentemente) inutile (anzi, direi dannoso, visto che toglie energie a cose più importanti e dà false idee su cos'è la sicurezza, purtroppo avallate da troppe imprese).

O forse sbaglio (lo spero proprio) e non ho visto tutto?

D. Lgs. 170 e 173 del 2021 per il Codice del consumo e la vendita di dati personali

Grazie all'informativa di B&C Legal and compliance vedo che sono entrati in vigore i D. Lgs. 170 e 173 del 2021 con modifiche al codice del consumo.

Per questo segnalo due articoli di Altalex. Il primo riguarda il D. Lgs. 170 e tratta soprattutto delle responsabilità del venditore (e quindi dei diritti dei consumatori) di beni digitali:
- https://www.altalex.com/documents/news/2021/12/03/codice-del-consumo-le-modifiche-alla-disciplina-sulla-vendita-di-beni.

Il secondo riguarda il D. Lgs. 173 del 2021 e riguarda i contratti di fornitura di servizi digitali, incluso il "pagamento con dati personali":
- https://www.altalex.com/documents/news/2021/12/09/fornitura-di-contenuti-o-servizi-digitali-le-modifiche-al-codice-del-consumo.

Per quanto riguarda il secondo caso, sembra che le interpretazioni siano ancora dubbiose e quindi ci vorrà del tempo per capirne meglio la portata.

Regolamento AgID per il cloud delle PA

Franco Vincenzo Ferrari di DNV mi ha segnalato che AgID ha pubblicato il "Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione, nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione":
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2021/12/15/cloud-pa-adottato-il-regolamento.

Per leggere le misure vere e proprie, bisogna scaricare l'allegato dalla pagina:
- https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_123065_725_1.html.

Nulla di particolarmente innovativo (ma non per questo scorretto), ma è importante conoscere le misure richiesta alla PA e ai suoi fornitori.

sabato 18 dicembre 2021

VERA 6

Finalmente sono riuscito a completare e pubblicare il VERA 6 in italiano e inglese. Si scarica dal mio sito:
- https://www.cesaregallotti.it/Pubblicazioni.html.

Le modifiche principali:
- forse la più importante è che riporta i controlli della ISO/IEC 27001 del 2013 e del 2022 con lista di riscontro;
- il piano di trattamento del rischio con anche il rischio atteso dopo l'azione.

Per quanto riguarda i controlli, ho cercato di avere una relazione 1-1 tra quelli del 2013 e quelli del 2022. Questo ha comportato un aumento di 14 controlli, mentre tra le due edizioni c'è stata una diminuzione. Però penso che in alcuni casi gli accorpamenti siano stati eccessivi, fino a rendere meno chiari alcuni controlli. Quindi alla fine penso che non sia una cosa così negativa avere qualche controllo in più, purché si aggiunga chiarezza.

Quindi ho anche aggiunto note ai controlli.

Come sempre, invito tutti a segnalarmi errori o possibili miglioramenti.

giovedì 9 dicembre 2021

NISTIR 8286A sulla valutazione del rischio

Il NIST ha pubblicato la NISTIR 8286A "Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management":
- https://csrc.nist.gov/publications/detail/nistir/8286a/final.

L'ho letta un po' velocemente, ma devo dire che contiene cose molto interessanti. Si tratta quasi di un lungo articolo su alcune questioni relative alla valutazione del rischio relativo alla sicurezza delle informazioni.

Vorrei segnalare che propone una valutazione del rischio in qualche modo più semplice di quella che di solito vediamo. In sostanza chiede di enumerare le minacce e per ciascuna di esse di indicare la probabilità e l'impatto. Solo a un certo punto suggerisce di indicare su cosa la minaccia può avere impatti.

Ho trovato interessante la tabella 1, con esempi su come esplicitare la tolleranza al rischio (i "criteri di rischio" o "criteri di accettabilità del rischio" ad alto livello) e può suggerire alcune soluzioni a molti.

C'è una tabella 4 con una discussione sulle possibili distorsioni (bias) quando si valuta il rischio e anche questo l'ho trovato molto interessante.

Altre cose mi lasciano perplesso, ma vale comunque la pena buttarci un occhio.

giovedì 2 dicembre 2021

NIST SP 800-213 sulla sicurezza IoT

Il NIST ha pubblicato la NIST SP 800-213 dal titolo "IoT Device Cybersecurity Guidance for the Federal Government". Essa è divisa in due parti: il corpo principale ("Establishing IoT Device Cybersecurity Requirements") e l'elenco delle misure di sicurezza ("IoT Device Cybersecurity Requirement Catalog"). Si può scaricare dal sito del NIST:
- https://csrc.nist.gov/publications/detail/sp/800-213/final.

Il corpo principale non mi sembra dica cose straordinarie, ma è utile per capire l'architettura di un sistema IoT e le sue caratteristiche significative per la sicurezza. Interessante il catalogo, anche se qualche misura mi sembra non scritta terra-terra.

Lettura consigliata per chi si occupa di questa materia, anche se penso che la guida
(http://blog.cesaregallotti.it/2019/02/etsi-ts-103-645-cyber-security-for.html), per sintesi, è più pratica.

Avevo segnalato a suo tempo (giugno 2020) le NIST NISTIRs 8259 e 8259A, dicendo che erano troppo generali. Questa supera questo problema.

ISO/IEC 27013:2021 sulle relazioni tra ISO/IEC 27001 e ISO/IEC 20000-1

E' stata appena pubblicata la ISO/IEC 27013:2021 con titolo "Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1":
- https://www.iso.org/standard/78752.html.

Questa è una norma che esiste dal 2012 e a mio parere contiene alcune indicazioni utili. In alcuni casi il testo è inutilmente complicato, ma molte volte permette di guardare consapevolmente alle differenze (soprattutto di linguaggio) tra i due standard.

Ho visto che Fabrizio Cirilli ha segnalato la pubblicazione su LinkedIn qualche giorno fa. Lo ringrazio.

lunedì 29 novembre 2021

ISO/TS 22317:2021 sulla BIA

Nuova ISO/TS 22317:2021, "Guidelines for business impact analysis" per la continuità operativa:
- https://www.iso.org/standard/79000.html.

Non l'ho ancora letta. La precedente versione mi sembrava un po' troppo teorica. Però vale sicuramente la pena buttarci un occhio.

Grazie a Laura Zarrillo che l'ha segnalato su LinkedIn.

domenica 14 novembre 2021

Mia presentazione sullo stato delle certificazioni GDPR

Il 13 novembre ho tenuto una breve presentazione con gli Idraulici della privacy dal titolo "Certificazioni e codici di condotta GDPR: come si sta procedendo?":
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2021-Presentazione-certificazioni-GDPR-rev01.pdf.

Ho iniziato a preparare le slide e poi, grazie agli Idraulici presenti, ho potuto integrare e aggiornare le slide. E meno male! Perché c'erano alcune cose che non avevo considerato.

martedì 9 novembre 2021

Articolo sulla valutazione dei rischi di sicurezza delle informazioni e di privacy

Monica Perego ha scritto un articolo dal titolo "La valutazione dei rischi a fronte della Norma ISO/IEC 27001:2013, del Regolamento UE 2016/679 e della Norma ISO/IEC 27701:2019":
- https://www.federprivacy.org/informazione/flash-news/la-valutazione-dei-rischi-a-fronte-della-iso-iec-27001-2013-del-regolamento-ue-2016-679-e-della-iso-iec-27701-2019.

Monica scrive sempre cose utili e da un punto di vista interessante.

E mi cita! Ne sono onorato.

lunedì 8 novembre 2021

Stato delle norme ISO/IEC 270xx

Il 26 ottobre si è concluso il meeting semestrale del WG 1 (sistemi di gestione per la sicurezza delle informazioni) dell'ISO/IEC JTC 1 SC 27 e il 27 ottobre quello del WG 5 (privacy). Gli incontri del WG 1 sono durati pochi giorni perché molti incontri di scrittura degli standard si sono tenuti da remoto nei mesi precedenti.

Per il WG 1 ho seguito i lavori per:
- l'approvazione della prossima versione della ISO/IEC 27002, che dovrebbe quindi uscire a gennaio 2022;
- l'approvazione dell'Amd per la ISO/IEC 27001 che sarà consolidato, insieme alle correzioni del 2017, in una bozza finale per avere la pubblicazione della ISO/IEC 27001:2022 a maggio 2022;
- l'approvazione della partenza dei lavori per una nuova ISO/IEC 27001 in autunno 2022 (i lavori potranno essere abbastanza lunghi e dovranno considerare le molte questioni sollevate negli anni, tra cui quella della necessità della dichiarazione di applicabilità);
- lo stato delle norme collegate alle ISO/IEC 27002 che pertanto andranno aggiornate (si inizia con ISO/IEC 27008, 27107, 27019, 27103 e segnalo che, viste le certificazioni in giro, quella più significativa è la ISO/IEC 27017; la ISO/IEC 27018 è in carico al WG 5 e quindi non se ne è discusso);
- il lancio di un nuovo studio per censire gli standard che si basano sulla ISO/IEC 27002;
- l'interessante analisi di Fabio Guasconi sulla ISO 22100-4 dal titolo "Guidance to machinery manufacturers for consideration of related IT-security (cyber security) aspects";
- l'avanzamento della ISO/IEC 27005 (che non ho seguito) in stato di DIS (si prevede quindi la pubblicazione a settembre 2022);
- l'avvio dell'aggiornamento della ISO/IEC 27006-1, che dovrebbe uscire a inizio 2023.

Per il WG 5 ho seguito i lavori per:
- ISO/IEC 27006-2, circa i requisiti aggiuntivi alla ISO/IEC 17021 e ISO/IEC 27006-1 per gli organismi di certificazione che svolgono audit e rilasciano certificazioni secondo la ISO/IEC 27701 (Privacy information management system); si sono analizzate le proposte per aggiornare l'attuale edizione; nulla di eclatante, ma si sono chiariti alcuni punti; fa eccezione il sistema di calcolo delle giornate di audit per il quale si è costituito un gruppo ad hoc (io profetizzo che i lavori si concluderanno con, parafrasando una frase di Churchill: "il calcolo basato sul numero di persone addette è il peggiore esclusi tutti gli altri"); se ne prevede la pubblicazione per metà 2024;
- ISO/IEC 27557 "Organizational privacy risk management" che si prevede di pubblicare a fine 2022;
- ISO/IEC 27555 "Guidelines on personally identifiable information deletion", che è stata pubblicata a ottobre e ha visto il contributo di un'editor italiana.

mercoledì 3 novembre 2021

NCSC Rapporto semestrale 2021/1 (ex Melani)

Segnalo il rapporto semestrale di NCSC (ex Melani):
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2021-1.html.

Come al solito è molto interessante e descrive gli incidenti più significativi registrati negli ultimi 6 mesi. Il rapporto non si ferma alla sola descrizione, ma include anche suggerimenti per le contromisure.

Spero un giorno di vedere un'iniziativa simile promossa anche dal nostro CSIRT o dalla Agenzia per la cybersicurezza nazionale (ACN). Va detto che lo CSIRT ha pubblicato materiale, ma a me sembra un po' troppo specifico e non scadenziato (non saprei come scriverlo bene, ma l'idea è che i report vengano prodotti "quando capita" e in parte questo è sensato, ma in parte penso ci sia bisogno di una raccolta periodica, come dimostra anche il successo del rapporto Clusit).

Per quanto riguarda l'ACN, mi sembra che non abbia neanche un sito web e questo è un peccato.

venerdì 29 ottobre 2021

ENISA Threat Landscape 2021

ENISA ha pubblicato il Threat Landscape 2021, ossia la loro analisi delle minacce e delle tendenze della sicurezza:
- https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021.

Fortunatamente hanno abbandonato il modello dell'anno scorso, ossia la suddivisione in numerose pubblicazione, e il tutto è in un malloppo di 116 pagine. Nell'executive summary sono citate le questioni principali, poi approfondite in 8 capitoli, ciascuno dedicato a macro-categorie di minacce informatiche (ransomware, malware, cryptojacking, email, minacce ai dati, minacce all'integrità e disponibilità, disinformazione, minacce non volontarie).

Alcune categorie sono forse troppo generiche, ma troppo dettaglio porterebbe forse troppa confusione.

Ringrazio Savino Menna della Clusit community for security.

Ghosting e orbiting e social network

Segnalo questo articolo dal titolo "Peggio del ghosting c'è solo l'orbiting" e riguarda alcune pratiche sui social network:
- https://www.siamomine.com/peggio-del-ghosting-ce-solo-lorbiting/.

Mi rendo conto che questo argomento è un po' fuori tema rispetto a "qualità, sicurezza delle informazioni e gestione dei servizi IT", ma ci è vicino e vale la pena conoscerlo.

L'articolo è stato segnalato dalla newsletter di DFA (www.perfezionisti.it).

Privacy: articolo sull'uso di Google e i trasferimenti extra SEE

Segnalo questo articolo dal titolo "Google Workspace: l'azienda che lo usa sarà davvero in regola con il Gdpr?":
- https://www.federprivacy.org/informazione/punto-di-vista/google-workspace-l-azienda-che-lo-usa-sara-davvero-in-regola-con-il-gdpr.

La risposta è, in estrema sintesi: non proprio e bisogna anche stare molto attenti.

Su questa questione avevo già accennato in precedenza, commentando le raccomandazioni dell'EDPB sui trasferimenti all'estero:
- http://blog.cesaregallotti.it/2021/07/privacy-e-edpb-raccomandazioni-per-i_3.html.

In quell'occasione dicevo che EDPB fornisce un elenco delle cose da valutare prima di iniziare un trasferimento extra SEE, ma è molto difficile affrontare quel tipo di analisi e, in sostanza, le PMI (e anche molte grandi) dovrebbero evitare ogni trasferimento, a meno di decidere di "sbagliare in compagnia" e continuare a usare Google e compagnia (e verificare se poi verranno sanzionati i primi sfortunati).

Mi permetto di osservare che in Europa non mi sembra ci siano fornitori capaci di contrastare i giganti made in USA e questo è un peccato.

lunedì 11 ottobre 2021

DL 139 (Capienze) e la cosiddetta abolizione della privacy

Non sono un legale, ma in questi giorni ho letto articoli quanto meno allarmistici in merito al DL 139 (decreto "Capienze"). Segnalo questo perché ha il pregio di riassumere le modifiche al Codice privacy (grazie a Biagio Lammoglia degli Idraulici della privacy):
- https://www.linkedin.com/feed/update/urn:li:activity:6852161770073673728/.

Leggendo questo riassunto non capivo cosa c'era da preoccuparsi. Pensavo fossi io quello che non capiva. Però anche Manlio Cammarata, che di privacy ci capisce, sembra avere avuto il mio stesso pensiero. Ma lui lo scrive meglio e con più cognizione di causa:
- https://www.interlex.it/privacyesicurezza/decreto139.html.

Se sbaglio, almeno non sono da solo.

lunedì 27 settembre 2021

OWASP Top 10:2021

Segnalo che è stata pubblicata la nuova versione delle 10 vulnerabilità applicative più importanti secondo OWASP:
- https://owasp.org/Top10/.

La precedente era del 2017.

Purtroppo non trovo una versione in pdf da poter studiare in formato cartaceo. L'analsii è decisamente molto tecnica e, quindi, sarò grato a chi mi segnalerà articoli di appronfondimento di questa versione.

Novità sulla futura ISO/IEC 27001

Riassumo: a inizio 2022 sarà pubblicata la nuova ISO/IEC 27002 e il gruppo addetto alla redazione della ISO/IEC 27001 ha ragionato sui suoi impatti, visto che ci sarebbe stato un disallineamento tra i controlli della ISO/IEC 27002 e quelli dell'Annex A della ISO/IEC 27001.

La soluzione è stata trovata: sarà pubblicato un Amendment per cambiare solo l'Annex A:
- https://www.iso.org/standard/82873.html.

Le nuove norme saranno, si spera, disponibili nel primo trimestre del 2022. Però attenzione: mentre avremo una ISO/IEC 27002:2022, l'altra rimarrà ISO/IEC 27001:2013, visto che un amendment non comporta il cambio di versione. Non credo si creerà confusione, visto che la scelta dei controlli è comunque determinata dalla valutazione del rischio e non dal contenuto esatto dell'Annex A della norma.

I controlli veramente nuovi, poi, sono pochi e sono i seguenti:
A.06.1.6 Threat intelligence;
A.12.1.5 Information deletion
A.12.1.6 Data masking;
A.12.4.6 Monitoring activities
A.13.1.4 Web filtering.

Anzi: per ridurre il numero di controlli nella nuova versione, alcuni della precedente sono stati accorpati (per esempio quello sul trasporto dei supporti fisici e quello sulla messaggistica elettronica), mentre questi nuovi possono essere visti come casi particolari dei precedente (tranne forse quello sul data masking) e, quindi, alla fine il livello di dettaglio può essere considerato equivalente.

sabato 25 settembre 2021

Commenti privacy sul D.L. greenpass 127/2021

Come è noto, evito di scrivere di COVID e penso di averne già scritto troppo.

Però il DL 127 del 2021 (come anche il precedente "settoriale" DL 175 del 2021 che ha aggiornato il 52/2021) pone problemi di privacy non indifferenti. Alcuni di questi sono stati esposti da Pietro Calorio (degli Idraulici della privacy) in questo articolo:
- https://www.linkedin.com/posts/pietrocalorio_gazzetta-ufficiale-activity-6846346383952273409-Hy-7.

La situazione è comunque di difficile interpretazione. Per esempio il consulente della sicurezza di un mio cliente dice è comunque meglio registrare i controlli fatti e lo stesso cliente vorrebbe facilitare il personale tracciando la scadenza del green pass, ma questo sembra non previsto (stiamo pensando di renderlo un "servizio" offerto dall'azienda, ma sarà la soluzione giusta?).

venerdì 17 settembre 2021

Evoluzione normativa a supporto dell'Operational Resilience

Segnalo questo articolo di Laura Zarrillo dal titolo "On the Frontlines: Building Operational Resilience":
- https://iaonline.theiia.org/blogs/Your-Voices/2021/Pages/On-the-Frontlines-Building-Operational-Resilience.aspx.

La continuità operativa a questi livelli (e in particolare nel settore bancario e finanziario) non è propriamente il mio settore, ma penso sia comunque opportuno tenersi aggiornati su cosa sta succedendo.

In particolare qui ci sono riferimenti alla necessità di controllare meglio i fornitori, i fornitori cloud e i sub-fornitori, stabilire il livello di accettabilità più sugli impatti che sui rischi, porre attenzione al ruolo dell'intelligenza artificiale e del machine learning, omogeneizzare la classificazione degli incidenti.

Ci sono altri spunti di interesse in questo articolo e ne raccomando la lettura.

giovedì 16 settembre 2021

Attacco SolarWinds del dicembre 2020: una sintesi

Da Crypto-Gram del 15 settembre 2021, segnalo questo articolo dal titolo "SolarWinds and the Holiday Bear Campaign: A Case Study for the Classroom":
- https://www.lawfareblog.com/solarwinds-and-holiday-bear-campaign-case-study-classroom.

Scritto bene e interessante.

Purtroppo sembra che non sia ancora noto come abbiano fatto a compromettere i server di sviluppo del prodotto Orion. Saperlo, credo, ci permetterebbe di imparare una lezione importante.

lunedì 13 settembre 2021

Privacy: Nuove clausole contrattuali standard per i trasferimenti all'estero

Il 4 giugno 2021, la Commissione europea ha pubblicato le nuove clausole contrattuali standard (standard contractual clauses, SCC) per i trasferimenti all'estero:
- https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.

Questo era dovuto anche perché i modelli precedenti del 2010 si basavano sulla Direttiva 95/46 e non sul GDPR.

Io insisto su un punto, ossia sul fatto che anche nel caso di trasferimenti tra titolari sono indicate le misure di sicurezza e quindi penso che debba essere previsto anche nel caso di trasferimenti tra titolari all'interno dello stesso Paese.

Segnalo che è interessante il fatto che, rispetto alle precedenti SCC che erano per trasferimenti da titolare a titolare o da titolare a responsabile, qui sono stati aggiunti i casi di trasferimenti da responsabile a responsabile e da responsabile a titolare.

sabato 28 agosto 2021

Non rispondere ai troll

Segnalo questo articolo dal titolo "Perché non dovresti mai rispondere ad un commento idiota su LinkedIn (e gli altri social)":
https://www.linkedin.com/posts/andreagiuliodori_social-community-troll-activity-6831912768891842560-isrC.

Ritengo che sia utile a chiunque fa attività di formazione e sensibilizzazione, visto che i troll non esistono solo sui social, ma anche nel mondo fisico.

Grazie a un link del mio amico Andrea Merico di Methos.

ENISA Threat Landscape for Supply Chain Attacks

A fine luglio 2021, ENISA ha pubblicato un documento dal titolo "Threat Landscape for Supply Chain Attacks":
- https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks.

Lo segnalo perché al capitolo 4 e in appendice A sono riportate le descrizioni degli attacchi alle filiere di fornitura più noti. Ovviamente, può anche essere utile a chi vuole approfondire questo tipo di attacchi.

Le misure di sicurezza proposte, però, non mi sembrano assolutamente innovative. Si possono ricondurre tutte al "controlla bene i tuoi fornitori" (e d'altra parte ad esse sono dedicate solo 3 pagine).

Altra nota di interesse è il capitolo 6 dal titolo "Not everything is a supply chain attack": una paginetta che però serve a ricordarci di non concentrare l'attenzione solo su un tipo di attacco.

mercoledì 25 agosto 2021

Intelligenza Artificiale, proposto il nuovo quadro normativo europeo

Segnalo questo articolo di Altalex dal titolo (leggermente fuorviante, visto che il quadro normativo è al momento in fase di proposta) "Intelligenza Artificiale, il nuovo quadro normativo europeo" e sottotitolo "La proposta di Regolamento del Parlamento europeo e del Consiglio stabilisce norme armonizzate in materia di AI e modifica alcuni atti legislativi dell'Unione":
- https://www.altalex.com/documents/news/2021/05/20/intelligenza-artificiale-nuovo-quadro-normativo-europeo.

Non segnalo quasi mai interventi su proposte o bozze, ma penso che sia comunque opportuno cominciare a studiare il tema dell'intelligenza artificiale.

A questo proposito ricordo anche il libro (gratuito!) del Clusit dal titolo " Intelligenza artificiale e sicurezza: opportunità, rischi e raccomandazioni":
- https://iasecurity.clusit.it/.

martedì 24 agosto 2021

Riservatezza e confidenzialità

A giugno, analizzando il DL 82 del 2021, avevo notato che era usato il termine "confidenzialità" al posto di "riservatezza". Su questo mi ha risposto Stefano Ramacciotti di (ISC)2 Italy Chapter e lo ringrazio.

Insieme abbiamo elaborato la seguente sintesi: una possibile spiegazione è che il termine "riservato" è usato nell'ambito delle classifiche di segretezza che indicano il livello di segretezza di una informazione contenuta in documenti, atti, cose, materiali, luoghi, ecc., e servono a limitarne la diffusione, circoscrivendo l'ambito di quanti possono venirne legittimamente a conoscenza al fine di tutelare la sicurezza dello Stato.

Per questo, quando si tratta di documenti che non hanno a che fare con la sicurezza dello Stato, talvolta, ma non sempre, si preferisce utilizzare un termine che non rientra nelle classifiche di segretezza. Infatti, per quanto riguarda le classifiche di segretezza, la corretta traduzione di confidential in italiano è riservatissimo e non confidenziale.

Per ulteriori informazioni si veda il Decreto del Presidente del Consiglio dei ministri 6 novembre 2015, n. 5 recante "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva". Il testo è stato successivamente modificato con le disposizioni contenute nel DPCM 2 ottobre 2017, n. 3. Qui viene spiegato che le informazioni classificate vanno da Riservato (Restricted), a Riservatissimo (Confidential), a Segreto (Secret) e a Segretissimo (Top Secret).

Da notare che altri, per esempio nei Paesi anglosassoni, sono meno precisi, visto che usano sempre il termine "confidential", sia nell'ambito delle classifiche di segretezza, sia in altri contesti.

lunedì 23 agosto 2021

Misure del CSIRT per difendersi dagli attacchi ransomware

Glauco Rampogna degli Idraulici della privacy mi ha segnalato il documento del CSIRT dal titolo "Ransomware - Misure di protezione e organizzazione dei dati per un ripristino efficace":
- https://csirt.gov.it/contenuti/ransomware-misure-di-protezione-e-organizzazione-dei-dati-per-un-ripristino-efficace.

Lo ringrazio e però penso siano eccessivamente generiche per essere di vero aiuto.

Giusto per un esempio, la PR.DS-5 recita "Sono implementate tecniche di protezione (es. controllo di accesso) contro la sottrazione dei dati (data leak)". E il commento è: "Il fenomeno della double extortion è estremamente comune nei ransomware attuali, di conseguenza le tecniche di data leak prevention giocano un ruolo fondamentale nel contrasto a questo tipo di minaccia".

Quindi penso che queste misure siano espresse in modo troppo generico e, alla fine, non dicono alcunché. Peccato.

Agenzia per la cybersicurezza nazionale - Articolo

In merito al DL 82 del 2021 convertito in Legge dalla L. 109 del 2021, segnalo l'articolo di analisi di Altalex:
- https://www.altalex.com/documents/news/2021/08/19/cybersecurity-convertito-legge-decreto-ora-parole-fatti.

Non è molto approfondito, ma permette di capire cosa prevede il DL, la cui lettura è certamente difficile.

domenica 22 agosto 2021

Agenzia per la cybersicurezza nazionale - Aggiornamento

Avevo scritto dell'istituzione dell'Agenzia per cybersicurezza nazionale con il DL 82 del 2021:
- http://blog.cesaregallotti.it/2021/06/agenzia-per-la-cybersicurezza-nazionale.html.

Stefano Ramacciotti di (ISC)2 Italy Chapter mi ha segnalato che il DL è stato convertito in Legge con la Legge 109 del 2021.

La Legge 109 apporta alcune modifiche al DL. Mi sembra che le più importanti riguardino i poteri dell'agenzia per sviluppare tecnologie di sicurezza e promuovere "corsi formativi universitari in materia" e ritengo siano molto interessanti. Ovviamente bisognerà vedere cosa succederà nella realtà, ma penso che l'iniziativa sia molto positiva.

sabato 21 agosto 2021

Perimetro di sicurezza: DPCM 81 del 2021 su notifiche e misure di sicurezza

Avevo scritto a marzo della bozza di un DPCM relativo alle regole per notificare gli incidenti da parte delle organizzazioni che fanno parte del "perimetro di sicurezza nazionale cibernetica" e alle misure di sicurezza che devono applicare.

E' stato quindi approvato come DPCM 81 del 14 aprile 2021 (ma pubblicato in GU l'11 giugno):
- http://www.normattiva.it/eli/id/2021/06/11/21G00089/ORIGINAL.

Ringrazio Franco Vincenzo Ferrari di DNV per avermelo segnalato.

La lettura del DPCM è complessa perché sono presenti molti riferimenti ad altra normativa relativa al "perimetro" e non solo. Va però detto che gli approfondimenti sono necessari solo per le organizzazioni include nel perimetro, mentre le altre potrebbero ignorare completamente questo DPCM. Mi permetto però di segnalare che in Allegato B sono riportate le misure di sicurezza e ne raccomando vivamente la lettura anche a chi non lavora per organizzazioni all'interno del perimetro, ma comunque con significative esigenze di sicurezza.

A marzo avevo scritto che le misure di sicurezza erano riportate in altri documenti (lo avevo fatto con errori, segnalatomi da Giancarlo Caroti di Neumus, per cui avevo poi inviato un errata corrige). Nella versione definitiva del DPCM le misure sono riportate direttamente in un Allegato B e confesso di non aver verificato la loro aderenza ai documenti iniziali.

Però le ho lette e devo dire che mi hanno convinto e mi sembra che prevedano molti miglioramenti ad altri elenchi che avevo letto rispetto alle misure minime AgID e a quelle del "framework nazionale" (ancora una volta non ho verificato puntualmente, visto che non lo ritengo molto utile). Ovviamente ho visto alcuni refusi e ho notato alcune misure con impostazione vecchia o troppo burocratica, ma si tratta di poca cosa, se consideriamo che sono descritte in 13 dense pagine.

Aggiungo poi che le misure sono suddivise in due categorie (con fantasia indicate come "A" e "B") a seconda dell'urgenza con cui devono essere attuate. Anche questa indicazione può essere utile anche a chi non fa parte del perimetro.

A marzo avevo commentato soprattutto le regole relative alla notifica degli incidenti e le ribadisco qui, con qualche piccolo aggiornamento:
- acquista importanza lo CSIRT nazionale, a cui vanno comunicati gli incidenti;
- i tempi di comunicazione sono strettissimi e sono di un'ora per gli incidenti più gravi e 6 ore per quelli meno gravi; forse eccessivamente brevi per un'organizzazione che sarà impegnata nella loro chiusura;
- non viene detto da dove è stata ricavata la tassonomia degli incidente in allegato A ed è un peccato, visto che un riferimento autorevole ed esplicito era auspicabile (ho anche dei dubbi su alcune descrizioni di incidenti come quella troppo generica di "Perdita di confidenzialità o integrità", peraltro presente nella tabella degli incidenti "meno gravi");
- mi chiedo come questa tassonomia si integri con quella di ENISA per i fornitori di servizi eIDAS (https://www.enisa.europa.eu/publications/article19-incident-reporting-framework); non vorrei che troppe tassonomie tra loro scollegate facciano più male che bene;
- è richiesto (articolo 5) che le informazioni sugli incidenti vengano comunicate a molti soggetti e penso che questa diffusione di informazioni sia rischiosa (anche se l'allegato C specifica le misure di sicurezza da prevedere per queste informazioni, bisogna dire che sono talmente generica da non essere significative).

lunedì 2 agosto 2021

Sito No more ransom

Segnalo, dalla newsletter SANS NewsBites del 27 luglio, il sito web https://www.nomoreransom.org/.

Leggo che è disponibile in 37 lingue, mette a disposizione più di 120 strumenti per decifrare più di 150 tipi di ransomware.

Ci ho fatto un breve giro e ho trovato interessante anche il supporto fornito per riconoscere di quale ransomware si è vittime.

Ulteriore nota di interesse è la sezione "Prevention advice" (in italiano "Consigli sulla Prevenzione"), da leggere assolutamente.

giovedì 29 luglio 2021

FAQ sulle certificazioni privacy

Il Garante e Accredia hanno pubblicato le FAQ sulle certificazioni privacy:
- https://www.gpdp.it/regolamentoue/certificazione-e-accreditamento.

Non dicono nulla che i miei lettori già non sanno.

Io non le avrei neanche segnalate, ma mi ha convinto Nicola Nuti dicendomi che secondo lui "sono da prendere in considerazione perché perseguono l'obiettivo di far crescere le PMI nel rispetto delle cogenze "privacy", non sono teoriche ma specifiche".

A mio parere, queste FAQ hanno il difetto di non sottolineare il fatto che ad oggi non sono ancora stati approvati schemi di certificazione ai sensi del GDPR.

martedì 20 luglio 2021

Mia breve intervista per DNV

DNV ha pubblicato una mia intervista sulla sicurezza delle informazioni:
- https://www.youtube.com/watch?v=heYFFcvSKAg.

Mi avevano chiesto di avere una parete bianca alle spalle, ma, a casa mia, le pareti sono occupate da ricordi, foto, libri, armadi, scrivanie eccetera. Ho trovato un pezzettino di parete bianca abbastanza grande sedendomi per terra. Meno male che l'intervista è stata molto breve (meno di 3 minuti).

sabato 10 luglio 2021

Mie riflessioni sui recenti attacchi ransomware

Chiara Ponti degli Idraulici della privacy mi ha chiesto qualche riflessione in merito ai recenti (e meno recenti) attacchi ransomware. Lei era partita da un articolo oggettivamente superficiale e quindi non lo cito.

Intanto dobbiamo distinguere due tipi di attacchi: quello ransomware mirato direttamente alla vittima e gli attacchi sulla filiera di fornitura o "supply chain". Questi ultimi prevedono di attaccare un fornitore in modo poi da usarlo come "ponte" per colpire altre vittime. In questo caso, il fornitore è stato attaccato per impiantare ransomware presso le vittime.

Per il ransom qualcosa l'avevo già scritta (http://blog.cesaregallotti.it/2021/05/attacco-colonial-pipeline.html), ma vorrei ribadire che la prima regola è quella di segregare le reti, oltre a fare backup e aggiornare i sistemi. Tutto questo richiede molti investimenti e non è sempre fattibile (per esempio, se i software possono essere compromessi dagli aggiornamenti di altri software). Inoltre difendersi da questi attacchi è super difficile, soprattutto quando sono mirati. Basta solo un errore e i danni sono altissimi.

Tutto richiede un'ulterore riflessione sulla spinta alla convergenza, sempre più elevata. Pensiamo al fatto che vogliamo farci connettere la casa, i sistemi di ufficio, la macchina, l'industria, i giochi elettronici e via così. Tutti sulla stessa rete e basati su tre o quattro protocolli e sistemi operativi. O si cambia tendenza o attacchi come quello alla Colonial Pipeline saranno all'ordine del giorno. Recentemente si è anche avuto il blocco dei POS di una catena di supermercati.

E' difficile, per il singolo, evitare la spinta alla convergenza, anche perché questa permette, alle organizzazioni, di avere maggiori risparmi e dati e, ai privati, maggiore comodità. Inoltre le stesse tecnologie sono fatte per spingere alla convergenza; in particolare gli smartphone cercano di far convergere su di loro ogni attività degli utenti. Eppure, solo una certa separazione permetterà di ridurre i danni.

Per quanto riguarda gli attacchi alla filiera di fornitura, bisogna dire che è difficile controllarla. Anzi: impossibile.

Purtroppo, da questo punto di vista, l'approccio che vedo imporsi è quello sbagliato: documenti, analisi, registrazioni; non strumenti, formazione, tecnologie. Gli auditor e le autorità di controllo spingono verso investimenti sbagliati: un mio cliente ha dovuto assumere una persona (oltre al mio supporto) solo per rispondere ai questionari privacy e "Sicurezza" dei clienti. Tutta roba burocratica e spesso inutilmente dettagliata. Molti suoi progetti di miglioramento tecnologico (presidio del patching, uso dell'MDM, separazione netta tra sviluppatori e sistemisti).

Anche Renato Castroreale ha risposto a Chiara, dicendole: Questi attacchi sono oggi un business, anche appoggiato da Stati come Russia e Stati Uniti (Kaseya è utilizzato da Apple, dalle forze armate statunitensi, da molte agenzie governative inclusa l'FBI che sta lavorando assiduamente con il brand). La consapevolezza, l'attenzione e la voglia di investire fanno la differenza. Ma nessuno può realmente essere al sicuro, mai ed in nessuna condizione".

Renato aggiunge che la sua azienda è riuscita a resistitere all'attacco, e dà il merito alla sua prontezza, ma anche alla fortuna e agli investimenti fatti (chiedendosi quanti possono farli).

Ringrazio Chiara e Renato perché ci permettono di ricordare che la sicurezza non si ottiene con uno schiocco delle dita o facili formulette.

Privacy: nuove linee guida sui cookie

Monica Belfi degli Idraulici della privacy ha segnalato la pubblicazione delle nuove linee guida sui cookie del 10 giugno 2021:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876.

Elenco qui i miei appunti:
- utile il riferimento al fingerprinting, attività di profilazione  dell'utente anche senza cookie;
- la classificazione dei cookie e duplice: tecnici o di profilazione; di prima o di terza parte;
- per il consenso, lo scrolling non è normalmente idoneo, così come il cookie wall se non permette una vera scelta in merito al tracciamento;
- la richiesta di consenso (banner o simile) non va normalmente ripetuta; ammissibile se avviene dopo almeno 6 mesi dall'ultima (ultimamente stavano girando voci sulla sua necessità; qui invece si parla di possibilità);
- ribadisce che l'opzione predefinita deve essere quella di non accettare il tracciamento.

Nulla viene detto in merito ai cookie gestiti dall'estero, ossia quasi tutti, vista la quasi onnipresenza di Google Analytics.

martedì 6 luglio 2021

Privacy: adeguatezza UK per il GDPR

La Commissione europea adotta decisioni di adeguatezza privacy per il Regno Unito:
- https://studiolegalelisi.it/approfondimenti/protezione-dei-dati-la-commissione-adotta-decisioni-di-adeguatezza-per-il-regno-unito/.

L'articolo spiega già tutto e mi sembra che sia una soluzione che ci semplificherà la vita a tutti.

Ringrazio Monica Belfi degli Idraulici della privacy per la segnalazione. 

PS: la pagina della Commissione con gli aggiornamenti sulle decisioni di adeguatezza è: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

sabato 3 luglio 2021

Privacy e EDPB: raccomandazioni per i trasferimenti extra SEE (versione 2)

L'EDPB ha pubblicato a giugno 2021 la versione 2 delle "Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data":
- https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en.

Ringrazio Chiara Ponti degli Idraulici della privacy per la segnalazione.

Leggendo, mi sono segnato alcune note che condivido (alcune ripetono cose che scrissi dopo la lettura della versione 1 delle raccomandazioni).
- Al punto 13 specifica che permettere gli accessi da altri Paesi (per esempio per il supporto dei sistemi IT) rappresenta un trasferimento al di fuori della SEE. Questo amplia notevolmente l'ambito dei trasferimenti, in sostanza a tutti i cloud provider. Questo dovrà essere opportunamente affrontato anche quando, per i fornitori cloud, si specificano i data center in Europa.
- Al punto 18 ci ricordo, e ringrazio, che la lista delle decisioni di adeguatezza è all'URL https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
- I punti 30 e 31 dicono cosa bisogna valutare prima di iniziare un trasferimento extra SEE. Io continuo a pensare che pochissimi possono affrontare questo tipo di analisi e quindi le PMI dovrebbero evitare ogni trasferimento (tra Idraulici abbiamo convenuto per si potrebbe "sbagliare in compagnia", usando i servizi degli OTT).
- Alcune misure sono difficilmente applicabili anche dai più grandi. A questo punto, o si decide di "sbagliare in compagnia", o si dovrebbero solo usare fornitori nello Spazio economico europeo.
- In Appendice C ci sono link per raccogliere elementi di analisi sui Paesi dove trasferire i dati, ma nella realtà non sono proprio d'aiuto.
- Lo Use Case 7 (punto 96 e seguenti) tratta dei trasferimenti all'interno di Gruppi. Si tratta di un aspetto problematico perché le filiali europee hanno spesso difficoltà a farsi sentire presso le Case madri in UK o USA. Purtroppo le raccomandazioni non accennano a questi problemi.
- I punti 105 e 106, in sostanza, suggeriscono di imporre all'importatore di fare lui l'analisi di adeguatezza. Mi sembra abbastanza divertente perché, con parole meno dirette, suggeriscono di scaricare il barile.

Ringrazio tutti gli Idraulici della privacy per aver dibattuto con me i punti.

Il CNIL ha pubblicato una mappa "Data protection around the world":
- https://www.cnil.fr/en/data-protection-around-the-world.

Immaginavo potesse aiutare per le valutazioni richieste da EDPB, ma in realtà fornisce indicazioni non utili (solo accenni sulla normativa privacy in vigore nei diversi Paesi e la presenza di un'autorità garante). Mi permetto di sperare nel futuro.

mercoledì 30 giugno 2021

Nuove regole sulla conservazione

AgID ha pubblicato le nuove regole per i fornitori di servizi di conservazione per la Pubblica amministrazione (ringrazio Franco Vincenzo Ferrari di DNV per la segnalazione):
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2021/06/25/conservazione-documenti-informatici-pubblicato-il-regolamento-sui-criteri-fornitura.

Esse si affiancano alle "Linee Guida sulla formazione, gestione e conservazione dei documenti informatici", pubblicate a settembre 2020:
- https://trasparenza.agid.gov.it/archivio19_regolamenti_0_5385.html.

Per una lettura critica delle nuove regole, rimando a un recente articolo su Agenda digitale:
- https://www.agendadigitale.eu/documenti/conservazione-perche-il-regolamento-agid-distrugge-il-mercato/.

lunedì 28 giugno 2021

Agenzia per la cybersicurezza nazionale

Il DL 82 del 2021 istituisce la "Agenzia per la cybersicurezza nazionale". 

NB: trattandosi di un DL, il suo recepimento in Legge potrà comportare alcune modifiche al testo che commento nel seguito.

Innanzi tutto va specificato cosa si intende per "cybersicurezza" (e qui apprezzo il fatto che non si usa più lo scorretto "sicurezza cibernetica", anche se il termine "cibernetico" è comunque, e sempre scorrettamente, usato in altre parti del DL). Copio e incollo: l'insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l'integrità, e garantendone altresì la resilienza".

Mi chiedo perché qui usino "confidenzialità", quando nella PA si parla in altre norme, di "riservatezza". Non ho una risposta e spero qualcuno me la possa fornire.

Poi, istigato da Chiara Ponti (degli Idraulici della privacy), osservo che la definizione tratta di "minacce informatiche", senza però esplicitare cosa si intende con questa espressione. Io sicuramente includerei le minacce da e a sistemi informatici (p.e. virus, tentativi di intrusioni da esterni via rete Internet). Includerei anche le minacce originate da errori (p.e. il blocco perché lo spazio per i log è esaurito perché configurato o monitorato male). Escluderei invece quelle fisiche (incendi, danneggiamenti, guasti), ma includerei quelle derivate dalle minacce fisiche (p.e. la lettura da dispositivi di memoria dismessi o l'accesso a file su pc rubati). Sicuramente sono escluse le minacce alle informazioni su supporto cartaceo o quelle trasmesse oralmente, ma sono incluse le minacce rivolte ai sistemi IT "senza informazioni" o "con solo informazioni di configurazione", come molti dispositivi IoT e molti sistemi di controllo industriale e di domotica.

Poi il provvedimento si fa di difficile lettura a causa dei molti riferimenti verso altre norme. Provo a sintetizzare alcuni punti e a commentarli, ricordando che io sono interessato principalmente agli impatti verso le "normali organizzazioni" e non all'organizzazione complessiva della PA.
- L'Agenzia diventa il "punto di contatto unico" previsto dal D. Lgs. 65/2018 (Direttiva NIS).
- L'Agenzia sarà la "Autorità nazionale di certificazione della cybersicurezza" secondo quanto previsto dal Cybersecurity Act (Regolamento UE 2019/881). Questo è molto importante per le future attività di certificazione di prodotti e servizi informatici.
- L'Agenzia incorpora il CVCN (Centro di valutazione e certificazione nazionale, parte del MiSE), istituito dal DL 105/2019 (cosiddetto "Perimetro di sicurezza nazionale cibernetica") e le relative attività di ispezione e verifica.
- Come autorità di certificazione, accredita le appropriate strutture del Ministero della difesa e del Ministero dell'interno quali organismi di valutazione della conformità per i sistemi di rispettiva competenza. Al momento sono un po' confuso su chi fa cosa, ma capirò meglio quando saranno attivati gli schemi di certificazione. Le ultime notizie, però, suggeriscono che dovremo aspettare ancora qualche anno.
- Accentra le attività di definizione delle misure di sicurezza che devono adottare gli operatori di telecomunicazione e le relative attività di verifica, previste dal D. Lgs. 259 del 2003 (Codice delle comunicazioni elettroniche) e in precedenza attribuite al MiSE.
- Assume le funzioni attribuite alla Presidenza del Consiglio dei ministri e al DIS dal Perimetro nazionale e dal DPCM di attuazione e (cose relative al settore spazio e aerospazio). Importante, mi sembra, è il fatto che quindi sia responsabile dell'elencazione dei soggetti inclusi nel perimetro e della raccolta delle descrizioni dei sistemi e delle valutazioni del rischio di tali soggetti.
- Assume le funzioni attribuite ad AgID in materia di sicurezza informatica. Pertanto le PA dovranno monitorare le indicazioni fornite dall'Agenzia in questo ambito.
- Diventa punto di riferimento per numerose attività. Leggerle tutte richiede molta attenzione e dovremo soprattutto vederne in futuro gli impatti. Per certo dovremo monitorare le attività dell'Agenzia.
- Incorpora il CSIRT Italia, già istituito da più di un anno.

Concludo dicendo che il DL è pieno di ulteriori disposizioni, ma azzardo dicendo che la sua vera portata la vedremo dispiegarsi nei prossimi mesi, in termini di messa a disposizione di indicazioni utili per tutti gli operatori e di supporto.

giovedì 24 giugno 2021

Privacy, appIO e polemiche inutili

In questo periodo sono state riportate sui giornali alcune considerazioni sulla privacy che appesantisce o rallenta processi importanti. In particolare, personaggi anche molto autorevoli e attenti hanno criticato il provvedimento del Garante sull'AppIO, il cui uso è previsto per il certificato vaccinale.

Allora ho letto il Provvedimento del 9 giugno 2021 che è qui:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9668051.

Dalla lettura ho visto che il Garante aveva chiesto quattro cose:
- informare gli utenti sulle notifiche push e sui relativi trattamenti;
- permettere agli utenti di decidere se ricevere o meno notifiche push (evitando però che siano attive di default);
- permettere agli utenti di decidere se attivare o meno i 12 mila servizi disponibili (evitando che siano attivi di default);
- garantire la correttezza dei trattamenti in occasione dei trasferimenti a Microsoft, Google (per tracciamenti e attività analitiche), Instabug e Mixpanel (per analisi dei comportamenti degli utenti sull'app).

A me viene da pensare che la polemica è fuori luogo, visto che si tratta di adempimenti di base, a cui un soggetto pubblico per primo dovrebbe prestare attenzione. Tra l'altro si tratta spesso e volentieri di richieste per evitare che gli utenti siano sommersi da notifiche non richieste, che la batteria dell'apparecchio si esaurisca perché sono attive cose inutili o non richieste e per ridurre il potere dei giganti di Internet nei nostri  confronti. Vi pare poco? Certamente è più importante garantire la diffusione del vaccino, ma chi lo promuove non dovrebbe dimenticare anche altri aspetti.

Aggiungerei poi che si sta parlando di un'applicazione per "monitorare" il COVID. Visto l'insuccesso della app Immuni, non credo proprio che il ritardo (minimale, tra l'altro, visto che il tutto è stato chiuso 10 giorni dopo) dovuto alle richieste del Garante sarà quello che ne determinerà o meno il successo. Ricordo che l'insuccesso di Immuni fu dovuto anche ai timori relativi alle possibili violazioni in materia di privacy (fino ad arrivare a teorie cospiratorie) e quindi penso che questo atteggiamento verso le richieste del Garante sia proprio quello che non ci vuole per promuovere l'AppIO.

Ringrazio Pierfrancesco Maistrello per avermi confermato che il Garante aveva contestato proprio i punti sopra elencati (avendo letto le polemiche ero molto stupito che i problemi fossero solo quelli).

domenica 20 giugno 2021

La mappa delle culture

Segnalo questo interessante libro di Erin Meyer dal titolo "La mappa delle culture" (The culture map):
- https://www.roiedizioni.it/prodotto/libri/la-mappa-delle-culture-erin-meyer/.

Presenta alcune caratteristiche culturali, per cui ogni Paese ha le sue modalità per comunicare (con tanti o pochi dettagli, verbalizzando o no), fornire riscontri negativi (in modo più o meno diretto), persuadere (presentando prima i principi o gli esempi o seguendo una visione complessiva (ossia un approccio olistico, ma non nel senso banale con cui questo termine viene spesso usato)), guidare i gruppi di lavoro (in modo ugualitario o gerarchico), prendere e accettare decisioni (attraverso il consenso o dall'alto, con riflessi anche su quanto la decisione presa va considerata definitiva o potenzialmente ulteriormente sindacabile), avere fiducia negli altri (più per come lavorano o più per come costruiscono una relazione personale, senza confondere la relazione personale con l'amichevolezza e riflettendo su quanto i diversi approcci hanno impatti sulla gestione del tempo), confrontarsi (cercando o meno il confronto) e gestire il tempo (seguendo pianificazioni lineari o un approccio flessibile, che poi si manifesta anche su come sono seguite le code).

Io ho lavorato e lavoro con società e persone di altri Paesi e altri continenti e avrei voluto e dovuto leggere questo libro (del 2014) tanto tempo fa.

Però attenzione che è molto utile anche a chi non lavora in ambienti internazionali, ma vuole capire meglio come affrontare alcune pratiche di origine anglosassone (le norme ISO in principal modo) e perché ci sono alcune resistenze in Italia (e non sono quelle che solitamente ci diamo per autogiustificarci!).

Questo libro mi fu consigliato da qualcuno più di un anno fa. Purtroppo non ricordo chi, ma lo ringrazio molto e mi scuso per averlo iniziato dopo così tanto tempo.

giovedì 17 giugno 2021

Attacco a Colonial Pipeline - Aggiornamento

Avevo scritto dell'attacco a Colonial Pipeline:
http://blog.cesaregallotti.it/2021/05/attacco-colonial-pipeline.html.

Riccardo Barison di Deda Cloud, che ringrazio, mi ha segnalato che stata identificata l'origine dell'attacco: è stata sfruttata una password riutilizzata in altri servizi. L'articolo non è molto approfondito in merito, ma ci ricorda l'importanza di una regola spesso detta e ripetuta: non usare le medesime credenziali per servizi informatici tra loro non correlati. Questo andrebbe ricordato anche nelle regole che le organizzazioni chiedono di rispettare al proprio personale.

L'articolo:
- https://www.hdblog.it/mobile/articoli/n539214/colonial-pipeline-come-successo-password-hacker/.

Aggiornamento legislativo IT (aggiornamento)

Ho aggiornato le mie slide "Aggiornamento legislativo 2021" (https://www.cesaregallotti.it/Pubblicazioni.html).

Infatti Alessandro Lavezzo mi ha segnalato, sulla parte del "Settore Finance", l'opportunità di aggiungere:
- regolamenti dell'European Banking Authority (EBA);
- regolamenti dell'European Payment Council (EPC);
- la direttiva sui servizi di pagamento (PSD2).

Inoltre mi ha segnalato che la Circolare 263 è stata abrogata e i suoi contenuti sono stati riportati nella Circolare 285.

Lo ringrazio molto.

sabato 12 giugno 2021

Elenco vittime di ransomware

Glauco Rampogna, un Idraulico della privacy, ha segnalato questo elenco delle vittime di ransomware:
- https://drive.google.com/file/d/1MI8Z2tBhmqQ5X8Wf_ozv3dVjz5sJOs-3/view.

Utile per far capire per bene l'ampiezza del problema, anche se a mio parere manca qualche caso.

venerdì 11 giugno 2021

Standard ETSI per i fornitori di servizi IT fiduciari

Franco Vincenzo Ferrari di DNV ha assistito, il 1 giugno 2021, al webinar "ETSI standards for trust services and digital signatures" organizzato da ETSI stessa. Bisogna dire che non è facile orientarsi tra gli standard pubblicati da ETSI e tra gli acronimi usati nell'ambito dei servizi fiduciari (a partire dal primo, TSP per trust service provider).

Il materiale messo a disposizione da ETSI permette quindi di avvicinarsi all'argomento o approfondirlo. E' possibile vedere le presentazioni e il video (di 4 ore, più o meno come Via col vento) a partire dalla pagina di presentazione del webinar:
- https://www.etsi.org/events/1926-webinar-etsi-standards-for-trust-services-and-digital-signatures.

lunedì 7 giugno 2021

Linee guida del Garante sul DPO

Il Garante ha pubblicato alcune linee guida per il DPO.

In particolare segnalo il "Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9589104.

Sono poi state aggiornate le faq. Tutti i documenti sono reperibili sulla pagina dedicata:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9589104.

Sono ripresi molti punti che abbiamo già discusso negli ultimi anni e senza grandi novità, anche se un ripasso fa sempre bene. La cosa interessante è quanto queste analisi siano equilibrate e le confronto con gli stracci che ogni tanto vedo volare quando parlano consulenti, aziende, avvocati, auditor eccetera. Vedo in particolare il parere in merito al curriculum del DPO, ma non è il solo.

Ecco: penso che dovremmo tutti imparare da questo documento, non solo tecnicamente, ma anche operativamente.

martedì 25 maggio 2021

Aggiornamento legislativo IT

Ho pubblicato una mia presentazione ("Aggiornamento legislativo 2021") sulla normativa legale applicabile alle certificazioni ISO 9001, ISO/IEC 27001 e non solo:
- https://www.cesaregallotti.it/Pubblicazioni.html.

Ogni segnalazione di errore o di omissione sarà ben accetta.

lunedì 24 maggio 2021

Attacco a Colonial Pipeline

Colonial Pipeline è una società statunitense dedicata al trasporto di carburante. Ad aprile 2021 è stata attaccata da un ransomware e ha quindi dovuto chiudere temporaneamente alcuni chilometri di rete:
- https://www.theguardian.com/technology/2021/may/08/colonial-pipeline-cyber-attack-shutdown.

Infine, ha pagato il riscatto per sbloccare i propri sistemi informatici:
- https://arstechnica.com/gadgets/2021/05/colonial-pipeline-resumes-operations-after-ransomware-prompted-closure/.

Al momento non mi sembra siano stati scritti articoli di maggior approfondimento dei dettagli su come l'attacco sia stato possibile. Ho trovato alcune dichiarazioni di esperti di sicurezza, ma è evidente, dalla loro genericitià, che le hanno fatte senza informazioni ulteriori.

La Cybersecurity and Infrastructure Security Agency aveva lanciato un allarme già a ottobre 2020, dopo aver studiato un altro attacco (mi sembra che la vittima, in questo caso, sia stata anonimizzata):
- https://us-cert.cisa.gov/ncas/alerts/aa20-049a.

Mi aggancio proprio a questo rapporto, dove la misura tecnica più importante è quella della segmentazione delle reti. Ovviamente si tratta di una misura costosa e impopolare presso gli operatori (che dovrebbero quindi avere computer o partizioni distinte per leggere le email e per svolgere le operazioni tecniche), ma sembra sia l'unica possibile. Oltre, ovviamente, all'autenticazione a più fattori per accedere da remoto (altra soluzione "scomoda", ma necessaria).

Tra l'altro, il rapporto approfondisce altre questioni, spesso dimenticate dagli esperti di sicurezza: in certi settori, le emergenze di sicurezza sicurezza IT sono molto sottovalutate rispetto a quelle operative e prevedere opeazioni manuali in caso di indisponibilità dei sistemi IT.

Meglio lasciare la lettura al rapporto (molto sintetico, ma, ripeto, molto significativo) del CISA.

Inutile dire che questo tipo di attacco non riguarda solo le reti di trasporto dei carburanti, ma tutti i settori:
- https://www.theguardian.com/technology/2021/may/13/colonial-pipeline-ransomware-attack-cyber-crime.

domenica 23 maggio 2021

Vietato contattare per recuperare il consenso (puntata 2)

Avevo pubblicato un post dal titolo "Vietato contattare per recuperare il consenso negato in precedenza" in cui si segnalava che la Cassazione aveva confermato un parere del Garante sulla questione in oggetto:
- http://blog.cesaregallotti.it/2021/05/vietato-contattare-per-recuperare-il.html.

Davide Foresti mi ha segnalato che ho fatto un po' di confusione sui provvedimenti "originari" del Garante.

Dice che "la sentenza di Cassazione si riferisce al provvedimento del Garante del giugno 2016 ('solo' 5 anni fa..)":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5255159.

Io, su LinkedIn, avevo invece fatto confusione e avevo segnalato un altro link, ad un Provvedimento del 2018, sempre relativo al trattamento di utenze telefoniche per finalità di marketing, ma non oggetto della sentenza di Cassazione:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8233539.

Ringrazio per la correzione e la diffondo.