mercoledì 30 giugno 2021

Nuove regole sulla conservazione

AgID ha pubblicato le nuove regole per i fornitori di servizi di conservazione per la Pubblica amministrazione (ringrazio Franco Vincenzo Ferrari di DNV per la segnalazione):
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2021/06/25/conservazione-documenti-informatici-pubblicato-il-regolamento-sui-criteri-fornitura.

Esse si affiancano alle "Linee Guida sulla formazione, gestione e conservazione dei documenti informatici", pubblicate a settembre 2020:
- https://trasparenza.agid.gov.it/archivio19_regolamenti_0_5385.html.

Per una lettura critica delle nuove regole, rimando a un recente articolo su Agenda digitale:
- https://www.agendadigitale.eu/documenti/conservazione-perche-il-regolamento-agid-distrugge-il-mercato/.

lunedì 28 giugno 2021

Agenzia per la cybersicurezza nazionale

Il DL 82 del 2021 istituisce la "Agenzia per la cybersicurezza nazionale". 

NB: trattandosi di un DL, il suo recepimento in Legge potrà comportare alcune modifiche al testo che commento nel seguito.

Innanzi tutto va specificato cosa si intende per "cybersicurezza" (e qui apprezzo il fatto che non si usa più lo scorretto "sicurezza cibernetica", anche se il termine "cibernetico" è comunque, e sempre scorrettamente, usato in altre parti del DL). Copio e incollo: l'insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l'integrità, e garantendone altresì la resilienza".

Mi chiedo perché qui usino "confidenzialità", quando nella PA si parla in altre norme, di "riservatezza". Non ho una risposta e spero qualcuno me la possa fornire.

Poi, istigato da Chiara Ponti (degli Idraulici della privacy), osservo che la definizione tratta di "minacce informatiche", senza però esplicitare cosa si intende con questa espressione. Io sicuramente includerei le minacce da e a sistemi informatici (p.e. virus, tentativi di intrusioni da esterni via rete Internet). Includerei anche le minacce originate da errori (p.e. il blocco perché lo spazio per i log è esaurito perché configurato o monitorato male). Escluderei invece quelle fisiche (incendi, danneggiamenti, guasti), ma includerei quelle derivate dalle minacce fisiche (p.e. la lettura da dispositivi di memoria dismessi o l'accesso a file su pc rubati). Sicuramente sono escluse le minacce alle informazioni su supporto cartaceo o quelle trasmesse oralmente, ma sono incluse le minacce rivolte ai sistemi IT "senza informazioni" o "con solo informazioni di configurazione", come molti dispositivi IoT e molti sistemi di controllo industriale e di domotica.

Poi il provvedimento si fa di difficile lettura a causa dei molti riferimenti verso altre norme. Provo a sintetizzare alcuni punti e a commentarli, ricordando che io sono interessato principalmente agli impatti verso le "normali organizzazioni" e non all'organizzazione complessiva della PA.
- L'Agenzia diventa il "punto di contatto unico" previsto dal D. Lgs. 65/2018 (Direttiva NIS).
- L'Agenzia sarà la "Autorità nazionale di certificazione della cybersicurezza" secondo quanto previsto dal Cybersecurity Act (Regolamento UE 2019/881). Questo è molto importante per le future attività di certificazione di prodotti e servizi informatici.
- L'Agenzia incorpora il CVCN (Centro di valutazione e certificazione nazionale, parte del MiSE), istituito dal DL 105/2019 (cosiddetto "Perimetro di sicurezza nazionale cibernetica") e le relative attività di ispezione e verifica.
- Come autorità di certificazione, accredita le appropriate strutture del Ministero della difesa e del Ministero dell'interno quali organismi di valutazione della conformità per i sistemi di rispettiva competenza. Al momento sono un po' confuso su chi fa cosa, ma capirò meglio quando saranno attivati gli schemi di certificazione. Le ultime notizie, però, suggeriscono che dovremo aspettare ancora qualche anno.
- Accentra le attività di definizione delle misure di sicurezza che devono adottare gli operatori di telecomunicazione e le relative attività di verifica, previste dal D. Lgs. 259 del 2003 (Codice delle comunicazioni elettroniche) e in precedenza attribuite al MiSE.
- Assume le funzioni attribuite alla Presidenza del Consiglio dei ministri e al DIS dal Perimetro nazionale e dal DPCM di attuazione e (cose relative al settore spazio e aerospazio). Importante, mi sembra, è il fatto che quindi sia responsabile dell'elencazione dei soggetti inclusi nel perimetro e della raccolta delle descrizioni dei sistemi e delle valutazioni del rischio di tali soggetti.
- Assume le funzioni attribuite ad AgID in materia di sicurezza informatica. Pertanto le PA dovranno monitorare le indicazioni fornite dall'Agenzia in questo ambito.
- Diventa punto di riferimento per numerose attività. Leggerle tutte richiede molta attenzione e dovremo soprattutto vederne in futuro gli impatti. Per certo dovremo monitorare le attività dell'Agenzia.
- Incorpora il CSIRT Italia, già istituito da più di un anno.

Concludo dicendo che il DL è pieno di ulteriori disposizioni, ma azzardo dicendo che la sua vera portata la vedremo dispiegarsi nei prossimi mesi, in termini di messa a disposizione di indicazioni utili per tutti gli operatori e di supporto.

giovedì 24 giugno 2021

Privacy, appIO e polemiche inutili

In questo periodo sono state riportate sui giornali alcune considerazioni sulla privacy che appesantisce o rallenta processi importanti. In particolare, personaggi anche molto autorevoli e attenti hanno criticato il provvedimento del Garante sull'AppIO, il cui uso è previsto per il certificato vaccinale.

Allora ho letto il Provvedimento del 9 giugno 2021 che è qui:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9668051.

Dalla lettura ho visto che il Garante aveva chiesto quattro cose:
- informare gli utenti sulle notifiche push e sui relativi trattamenti;
- permettere agli utenti di decidere se ricevere o meno notifiche push (evitando però che siano attive di default);
- permettere agli utenti di decidere se attivare o meno i 12 mila servizi disponibili (evitando che siano attivi di default);
- garantire la correttezza dei trattamenti in occasione dei trasferimenti a Microsoft, Google (per tracciamenti e attività analitiche), Instabug e Mixpanel (per analisi dei comportamenti degli utenti sull'app).

A me viene da pensare che la polemica è fuori luogo, visto che si tratta di adempimenti di base, a cui un soggetto pubblico per primo dovrebbe prestare attenzione. Tra l'altro si tratta spesso e volentieri di richieste per evitare che gli utenti siano sommersi da notifiche non richieste, che la batteria dell'apparecchio si esaurisca perché sono attive cose inutili o non richieste e per ridurre il potere dei giganti di Internet nei nostri  confronti. Vi pare poco? Certamente è più importante garantire la diffusione del vaccino, ma chi lo promuove non dovrebbe dimenticare anche altri aspetti.

Aggiungerei poi che si sta parlando di un'applicazione per "monitorare" il COVID. Visto l'insuccesso della app Immuni, non credo proprio che il ritardo (minimale, tra l'altro, visto che il tutto è stato chiuso 10 giorni dopo) dovuto alle richieste del Garante sarà quello che ne determinerà o meno il successo. Ricordo che l'insuccesso di Immuni fu dovuto anche ai timori relativi alle possibili violazioni in materia di privacy (fino ad arrivare a teorie cospiratorie) e quindi penso che questo atteggiamento verso le richieste del Garante sia proprio quello che non ci vuole per promuovere l'AppIO.

Ringrazio Pierfrancesco Maistrello per avermi confermato che il Garante aveva contestato proprio i punti sopra elencati (avendo letto le polemiche ero molto stupito che i problemi fossero solo quelli).

domenica 20 giugno 2021

La mappa delle culture

Segnalo questo interessante libro di Erin Meyer dal titolo "La mappa delle culture" (The culture map):
- https://www.roiedizioni.it/prodotto/libri/la-mappa-delle-culture-erin-meyer/.

Presenta alcune caratteristiche culturali, per cui ogni Paese ha le sue modalità per comunicare (con tanti o pochi dettagli, verbalizzando o no), fornire riscontri negativi (in modo più o meno diretto), persuadere (presentando prima i principi o gli esempi o seguendo una visione complessiva (ossia un approccio olistico, ma non nel senso banale con cui questo termine viene spesso usato)), guidare i gruppi di lavoro (in modo ugualitario o gerarchico), prendere e accettare decisioni (attraverso il consenso o dall'alto, con riflessi anche su quanto la decisione presa va considerata definitiva o potenzialmente ulteriormente sindacabile), avere fiducia negli altri (più per come lavorano o più per come costruiscono una relazione personale, senza confondere la relazione personale con l'amichevolezza e riflettendo su quanto i diversi approcci hanno impatti sulla gestione del tempo), confrontarsi (cercando o meno il confronto) e gestire il tempo (seguendo pianificazioni lineari o un approccio flessibile, che poi si manifesta anche su come sono seguite le code).

Io ho lavorato e lavoro con società e persone di altri Paesi e altri continenti e avrei voluto e dovuto leggere questo libro (del 2014) tanto tempo fa.

Però attenzione che è molto utile anche a chi non lavora in ambienti internazionali, ma vuole capire meglio come affrontare alcune pratiche di origine anglosassone (le norme ISO in principal modo) e perché ci sono alcune resistenze in Italia (e non sono quelle che solitamente ci diamo per autogiustificarci!).

Questo libro mi fu consigliato da qualcuno più di un anno fa. Purtroppo non ricordo chi, ma lo ringrazio molto e mi scuso per averlo iniziato dopo così tanto tempo.

giovedì 17 giugno 2021

Attacco a Colonial Pipeline - Aggiornamento

Avevo scritto dell'attacco a Colonial Pipeline:
http://blog.cesaregallotti.it/2021/05/attacco-colonial-pipeline.html.

Riccardo Barison di Deda Cloud, che ringrazio, mi ha segnalato che stata identificata l'origine dell'attacco: è stata sfruttata una password riutilizzata in altri servizi. L'articolo non è molto approfondito in merito, ma ci ricorda l'importanza di una regola spesso detta e ripetuta: non usare le medesime credenziali per servizi informatici tra loro non correlati. Questo andrebbe ricordato anche nelle regole che le organizzazioni chiedono di rispettare al proprio personale.

L'articolo:
- https://www.hdblog.it/mobile/articoli/n539214/colonial-pipeline-come-successo-password-hacker/.

Aggiornamento legislativo IT (aggiornamento)

Ho aggiornato le mie slide "Aggiornamento legislativo 2021" (https://www.cesaregallotti.it/Pubblicazioni.html).

Infatti Alessandro Lavezzo mi ha segnalato, sulla parte del "Settore Finance", l'opportunità di aggiungere:
- regolamenti dell'European Banking Authority (EBA);
- regolamenti dell'European Payment Council (EPC);
- la direttiva sui servizi di pagamento (PSD2).

Inoltre mi ha segnalato che la Circolare 263 è stata abrogata e i suoi contenuti sono stati riportati nella Circolare 285.

Lo ringrazio molto.

sabato 12 giugno 2021

Elenco vittime di ransomware

Glauco Rampogna, un Idraulico della privacy, ha segnalato questo elenco delle vittime di ransomware:
- https://drive.google.com/file/d/1MI8Z2tBhmqQ5X8Wf_ozv3dVjz5sJOs-3/view.

Utile per far capire per bene l'ampiezza del problema, anche se a mio parere manca qualche caso.

venerdì 11 giugno 2021

Standard ETSI per i fornitori di servizi IT fiduciari

Franco Vincenzo Ferrari di DNV ha assistito, il 1 giugno 2021, al webinar "ETSI standards for trust services and digital signatures" organizzato da ETSI stessa. Bisogna dire che non è facile orientarsi tra gli standard pubblicati da ETSI e tra gli acronimi usati nell'ambito dei servizi fiduciari (a partire dal primo, TSP per trust service provider).

Il materiale messo a disposizione da ETSI permette quindi di avvicinarsi all'argomento o approfondirlo. E' possibile vedere le presentazioni e il video (di 4 ore, più o meno come Via col vento) a partire dalla pagina di presentazione del webinar:
- https://www.etsi.org/events/1926-webinar-etsi-standards-for-trust-services-and-digital-signatures.

lunedì 7 giugno 2021

Linee guida del Garante sul DPO

Il Garante ha pubblicato alcune linee guida per il DPO.

In particolare segnalo il "Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9589104.

Sono poi state aggiornate le faq. Tutti i documenti sono reperibili sulla pagina dedicata:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9589104.

Sono ripresi molti punti che abbiamo già discusso negli ultimi anni e senza grandi novità, anche se un ripasso fa sempre bene. La cosa interessante è quanto queste analisi siano equilibrate e le confronto con gli stracci che ogni tanto vedo volare quando parlano consulenti, aziende, avvocati, auditor eccetera. Vedo in particolare il parere in merito al curriculum del DPO, ma non è il solo.

Ecco: penso che dovremmo tutti imparare da questo documento, non solo tecnicamente, ma anche operativamente.