domenica 28 marzo 2021

EN 50518:2020 per i centri di monitoraggio

Monica Perego (Idraulici della privacy) mi ha segnalato l'esistenza della UNI CEI EN 50518:2020 dal titolo "Centro di monitoraggio e di ricezione di allarme":
- http://store.uni.com/catalogo/uni-cei-en-50518-2020/.

E' interessante perché propone requisiti per centri di due categorie: una più robusta (la categoria I) e una meno (la categoria II).

Lo standard permette di certificare questi centri come prodotto, servizio o processo (ISO/IEC 17065).

La versione in inglese (EN 50518:2019 "Monitoring and Alarm Receiving Centre"):
- https://www.cenelec.eu/dyn/www/f?p=104:110:2529540743028801::::FSP_ORG_ID,FSP_PROJECT,FSP_LANG_ID:1257171,46163,25.

sabato 27 marzo 2021

Illegale usare un fornitore di servizi IT USA senza ulteriori analisi

Da una segnalazione di Pierfrancesco Maistrello (con supporto di Biagio Lammoglia) degli Idraulici della privacy, segnalo questa notizia.

L'Autorità per la Protezione dei Dati bavarese (BayLDA) ha ritenuto che l'uso dello strumento di newsletter Mailchimp da parte di una società tedesca illegale in quanto Mailchimp potrebbe qualificarsi come "fornitore di servizi di comunicazione elettronica" soggetto alla legge di sorveglianza degli Stati Uniti.

Attenzione che il trasferimento era basato sulle clausole contrattuali tipo (standard contractual clauses, SCC), ma l'azienda non aveva valutato se erano necessarie ulteriori misure per assicurare la protezione dei dati dalla sorveglianza USA.

Una sintesi in inglese:
- https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV.

Questo varrebbe un approfondimento. Infatti dice che le SCC sono insufficienti (e già si evinceva dalle linee guida EDPB). Ma un DPO o consulente medio (e magari mediocre come me), come fa a fare analisi approfondite sulla possibilità che i dati siano visti dalle agenzie di sorveglianza statunitensi? e quali misure potrebbe mai mettere in campo?

Perché allora tanto vale dire che, per le PMI, è vietato trasferire i dati negli USA in tutti i casi, visto che non possono permettersi valutazioni significative.

Poi ancora, mi pare che si limiti a una società usa con dati negli USA. Chissà se si estende a società USA con dati in EU?

Contributi e segnalazioni sono ben accetti.

lunedì 22 marzo 2021

Caso di SIM swap

Franco Vincenzo Ferrari di DNV mi ha segnalato questa notizia:
- https://www.infosec.news/2021/03/19/news/campanello-di-allarme/sapete-che-intesa-sanpaolo-ha-restituito-77-000-euro-ad-una-vittima-di-sim-swap/.

In breve, un cliente di Intesa Sanpaolo è stato vittima di un attacco SIM swap (un tizio ottiene una SIM sostitutiva al posto del legittimo intestatario) e successivamente di prelievi fraudolenti dal proprio conto bancario.

La cosa buffa, da quello che capisco, è che Intesa Sanpaolo ha risarcito il cliente pur non avendo una reale colpa per l'attacco, visto che è stato un centro TIM a consegnare una SIM senza i necessari controlli.

Attenzione che oggi, poi, le banche stanno sostituendo gli SMS con specifiche app, che hanno maggiori livelli di sicurezza, almeno allo stato attuale delle conoscenze, visto che la loro attivazione richiede una password.

venerdì 19 marzo 2021

Come sminuire il valore delle certificazioni

In questi giorni mi sono arrivate due segnalazioni sulle certificazioni. Allora provo a scrivere due righe in merito (temo di aver inserito qualche inesattezza, ma la sostanza è questa).

La prima me l'ha girata Fabio Guasconi di BlackSwan riguarda la certificazione ISO/IEC 27037:
- https://www.csqa.it/Sicurezza-ICT/News/Digital-Evidence-ISO-IEC-27037,-CSQA-rilascia-il-p.

In realtà ci sono anche molti altri casi e il problema non è CSQA, che, conoscendoli, hanno sicuramente fatto il loro lavoro con scrupolo e correttezza, ma di Accredia, che deciso di inventarsi delle "certificazioni estese" rispetto alla ISO/IEC 27001. Alcune di queste estensioni sono previste da standard come le ISO/IEC 27017 e ISO/IEC 27018, che hanno una parte di controlli scritti apposta per integrare una Dichiarazione di applicabilità già prevista dalla ISO/IEC 27001. Purtroppo hanno deciso di estendere questo meccanismo per tutti gli standard della famiglia ISO/IEC 27000, anche se non scritti con quell'intenzione e quindi usati e interpretati male.

Accredia ha fatto questo perché alcuni fantasisti avevano chiesto, in bandi di gara, certificazioni inesistenti come sulla ISO/IEC 27035. Però, così facendo, Accredia non ha fatto un buon lavoro di regolamentazione del mercato, visto che avalla un uso scorretto delle linee guida che, appunto, sono state scritte con uno spirito diverso da quello previsto per uno standard di requisiti.

Se si ritiene necessario uno standard di requisiti per i laboratori di analisi forense, allora sarebbe opportuno fare in modo che venga preparato ed elaborato (magari inizialmente con il supporto di UNI e UNINFO per poi essere presentato a livello internazionale), non inventarsi ciofeche che sembrano confermare il mito degli italiani fantasiosi (anche a sproposito).

Ma Accredia non è nuova a certi colpi di fantasia, come abbiamo visto con il regolamento sulla ISO/IEC 27701 (che verrà cambiato presto, con l'uscita della ISO/IEC 27006-2) e altri requisiti bizzarri quando richiede competenze ITIL a auditor di sicurezza (che è sempre bene avere, ma non obbligatoriamente).

La seconda me l'ha girata Paolo Sferlazza di Gerico e riguarda le certificazioni personali:
- https://www.skillfront.com/ISO-IEC-27001-Information-Security-Lead-Auditor.

Questi almeno sono svizzeri. Si sono inventati i certificati auditor e lead auditor ISO/IEC 27001 "veloci": con 70 Euro ti danno un libretto di 63 pagine (non l'ho visto, sarà anche fatto benissimo) e un audio libro di 58 minuti e poi ti puoi fare comodamente a casa l'esame con 40 domande a scelta multipla.

Io sono convinto che sia un fastidio per alcuni farsi un corso di 5 giornate su una materia che, magari, già conoscono. Io mi sono trovato in condizioni simili con la ISO 22301 (in questo caso ho fatto l'esame del The BCI). Però ridursi a un questionario di 40 domande (con rimborso se non si passa!) squalifica prima di tutto il professionista che accetta questa offerta.

Chi chiede i "certificati LA ISO/IEC 27001" dovrebbe innanzi tutto chiedersi se sono utili quando si cerca un consulente. Poi dovrebbe richiederli emessi da organismi accreditati dagli enti previsti dal Regolamento europeo 765 del 2008 (a questo proposito, il sito di SkillFront dice che sono accreditati, ma non si capisce da chi e, anzi, confonde un po' le cose mettendo la parola "accreditamento" vicino a un "accreditamento" svizzero che però è equivalente alla nostra registrazione di un'azienda alla  Camera di commercio).

Io continuo a pensare che dobbiamo chiedere il rispetto delle regole e ad Accredia di svolgere gli opportuni controlli (visto che anche io pago Accredia, essendo iscritto a due registri di persone certificate e accreditati proprio da Accredia), però dobbiamo anche pensare che non vale la pena competere con questi soggetti. Fatte le dovute proporzioni, è come se la Ferrari volesse competere con la Tata. Io non posso equipararmi alla Ferrari e non voglio offendere la Tata, però spero di aver reso l'idea.

lunedì 15 marzo 2021

Sulle sanzioni del Garante

Pierfrancesco Maistrello mi ha segnalato questo intervento di Guido Scorza, membro del Garante privacy:
- https://www.youtube.com/watch?v=LEv1Z_IBk1k.

Me lo ha segnalato soprattutto perché dice che l'Italia è il paese UE con le sanzioni più alte e, contemporaneamente, quello con meno notifiche di violazioni. L'analisi è che i titolari si astengono dal notificare, pensando di farla franca. Questo però comporta che l'autorità sia costretta, in molti casi, a scavare per recuperare informazioni, cosa che comporta il reperimento di una bella quantità di informazioni non sempre a vantaggio del titolare.

Di fatto, senza dirlo palesemente, suggerisce a tutti di essere onesti in ciò che si notifica, tenendo conto che spesso loro sono informati ("dai giornali, ma anche via whatsapp…") di certe situazioni.

Io però dico che forse si potrebbe ragionare in altro modo, ossia che proprio le sanzioni elevate (più elevate che negli altri Paesi) sconsigliano ai titolari di segnalare le violazioni, tanto più che, come ho già segnalato in precedenza, i provvedimenti di sanzione fanno emergere un approccio basato sul principio "se c'è stata violazione, vuol dire che le misure non sono adeguate e quindi sei in difetto".

Io ovviamente non ho tutti i dati e forse i provvedimenti non chiariscono tutte le analisi fatte e forse il rapporto tra causa ed effetto (ossia che le mancate violazioni portano a sanzioni più elevate) è proprio quello indicato da Scorza e non viceversa (ossia che le sanzioni elevati portano a meno sanzioni). Però il dubbio mi rimane.

Libro "Intelligenza artificiale e sicurezza"

Il 18 sarà disponibile il libro "Intelligenza artificiale e sicurezza" della Community for Security del Clusit:
- https://iasecurity.clusit.it/.

Io ho avuto l'opportunità e il privilegio di fare da editor, ossia di consolidare i contributi ricevuti e precedentemente ottimamente organizzati dai team leader. Lo dico perché all'inizio ero completamente ignorante in materia di intelligenza artificiale (a parte una certa conoscenza di Hal 9000 e delle tre leggi della robotica di Asimov) e ho avuto la possibilità di poter chiedere chiarimenti agli autori (tutti validissimi) mano a mano che non capivo qualcosa.

Spero quindi di essere riuscito a limare il testo in modo che possa essere utile ai principianti. Sono anche sicuro che sarà utile a chi conosce già l'intelligenza artificiale, visto che gli autori sono di altissimo livello e il testo è stato riesaminato da persone molto preparate sulla materia.

Io personalmente ho già avuto modo di verificare i benefici personali che ho avuto da questo lavoro. Sono infatti riuscito a seguire alcuni ragionamenti sull'intelligenza artificiale senza sentirmi perso.

Sono grato a tutti quelli che hanno partecipato a questo lavoro, coordinati dal bravissimo Alessandro Vallega di P4I, per l'opportunità non solo di imparare, ma anche e soprattutto di potermi confrontare con persone (non solo professionisti) eccezionali. Per fare un esempio: è stato bello assistere alla neo-paternità di un partecipante.

venerdì 12 marzo 2021

Security Summit 2021

Dal 16 al 18 marzo ci sarà il Security summit:
- https://securitysummit.it/eventi/2021-milano/agenda.

Io terrò un fugace intervento, insieme ad altri, sullo stato delle norme internazionali:
- https://securitysummit.it/eventi/2021-milano/sessioni/tutte-le-novita-delle-norme-internazionali-in-arrivo-nel-2021-su-dati-personali-iso-iec-27002-pec-e-iot.

Ma vale la pena fare un giro in tutte le sessioni.

Multa per non aver nominato il responsabile del trattamento

La Regione Lazio è stata multata per 75.000 Euro per non aver designato un fornitore esterno (contact center) come responsabile del trattamento dei dati:
- https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9542113.

Molte organizzazioni sono indietro relativamente a questi adempimenti (e altre si ostinano a "nominare" come responsabile del trattamento il legale rappresentante e non la società) e forse questa ordinanza smuoverà qualcosa.

mercoledì 10 marzo 2021

Incendio al data center di OVH a Strasburgo

Sandro Sanna mi ha segnalato la notizia dell'incendio presso il data center di OVH a Strasburgo:
- https://www.ilmattino.it/primopiano/esteri/strasburgo_data_center_ovh_incendio_cosa_e_successo_ultime_notizie_news-5821804.html.

Anche Serena Giugni di Register me l'ha segnalata quasi in contemporanea, però con un articolo in inglese:
- https://www.datacenterknowledge.com/uptime/fire-has-destroyed-ovh-s-strasbourg-data-center-sbg2.

Con le notizie a disposizione, penso solo che chi si appoggia a questi servizi cloud non deve mai dare per scontato il servizio di disaster recovery. Ma questa è una cosa che diciamo da molto tempo.

Nota amena: questo evento mi è stato segnalato mentre stavo tenendo un corso sulla ISO 22301, la norma sui sistemi di gestione per la continuità operativa.

Perimetro di sicurezza: decreto sugli incidenti (errata corrige)

Avevo segnalato la bozza del DPCM per la comunicazione degli incidenti da parte delle organizzazioni che rientrano nel perimetro di sicurezza nazionale:
- http://blog.cesaregallotti.it/2021/02/perimetro-di-sicurezza-decreto-sugli.html.

Giancarlo Caroti di Neumus mi segnala un errore dove dico che lo schema di DPCM richiede ai soggetti inclusi nel perimetro di "adottare le misure minime di sicurezza già previste da AgID".

Giancarlo mi fa notare che le "misure richieste non sono quelle minime di AgID ma provengono dalle Linee Guida emesse dal Comitato che riunisce le Autorità NIS (che in base all'art 12 del DL 65/2018 possono definire specifiche misure di sicurezza), che ha condiviso l'opportunità di utilizzare il Framework Nazionale di Cyber Security (Versione 2.0 Febbraio 2019) predisposto dal CINI a sua volta ispirato al CS Framework NIST 2014, come base di riferimento.

Si tratta essenzialmente di meno della metà dei controlli proposti nel FNCS CINI, cioè 47 subcategorie sul totale delle 116 (che a loro volta sono 8 in più del CSF NIST 2014). Certamente però molte misure si mappano agevolmente sui controlli che AgID ha stabilito nel 2017".

Ringrazio Giancarlo per la precisazione e mi scuso con i miei lettori.

sabato 6 marzo 2021

Pubblicata la ISO 22300

E' stata pubblicata la "ISO 22300:2021 Security and resilience — Vocabulary":
- https://www.iso.org/standard/77008.html.

Il titolo dice già tutto sul suo contenuto. Essa sostituisce la versione del 2018.

giovedì 4 marzo 2021

18 marzo 2021: Presentazione sulle novità delle norme internazionali

Il 18 marzo 2021, nell'ambito del Security Summit, parteciperò alla presentazione "Tutte le novità delle norme internazionali in arrivo nel 2021 su: dati personali, ISO/IEC 27002, PEC e IoT":
- https://securitysummit.it/eventi/2021-milano/sessioni/tutte-le-novita-delle-norme-internazionali-in-arrivo-nel-2021-su-dati-personali-iso-iec-27002-pec-e-iot.

Avremo un'ora per parlare molte cose. Ce la faremo!

Cosa prevede la nuova ISO/IEC 27002

Ho scritto questo articolo dal titolo "Sicurezza delle informazioni, cosa prevede la nuova ISO/IEC 27002/2021":
- https://www.key4biz.it/sicurezza-delle-informazioni-cosa-prevede-la-nuova-iso-iec-27002-2021/348311/.

Nel titolo c'è un refuso e ho chiesto di correggerlo. Spero succeda.

Tra l'altro, il 18 marzo, nell'ambito del Security Summit, presenterò molto brevemente le novità della ISO/IEC 27002 (parteciperà anche Fabio Guasconi che quindi potrà dare ulteriori spunti).

lunedì 1 marzo 2021

Pubblicata la ISO/IEC 27006-2 per le certificazioni ISO/IEC 27701 (PIMS)

E' stata pubblicata la ISO/IEC TS 27006-2 "Requirements for bodies providing audit and certification of information security management systems — Part 2: Privacy information management systems":
- https://www.iso.org/standard/71676.html.

Di questa norma ho già accennato in precedenza. Essa regolamenta le certificazioni dei sistemi di gestione per la privacy rispetto alla norma ISO/IEC 27701.

Ricordo ancora che questa certificazione non soddisfa quanto previsto dagli articoli 42 e 43 del GDPR, ma è comunque una "buona" certificazione.

Evito di ripetere cose già dette e rimando a un articolo che avevo scritto insieme ad Andrea Caccia e Fabio Guasconi a gennaio 2020 ma ancora attuale:
- https://www.cybersecurity360.it/soluzioni-aziendali/gdpr-e-certificazioni-tutto-sulla-norma-iso-iec-27701/.

Personalmente spero che Accredia si allinei al più presto a questa norma, mettendo fine allo schema attuale, visto che non ne apprezzo alcune scelte.

Elementi particolarmente significativi:
- stabilito il calcolo delle giornate di audit (anche se il metodo è incompleto perché non considera il caso in cui l'ambito ISO/IEC 27701 sia un sottoinsieme di quello ISO/IEC 27001);
- indicate le competenze degli auditor e del gruppo di audit;
- specificato come deve essere il certificato ISO/IEC 27701 (che deve essere a sé stante, anche se collegato a un certificato ISO/IEC 27001).