giovedì 29 luglio 2021

FAQ sulle certificazioni privacy

Il Garante e Accredia hanno pubblicato le FAQ sulle certificazioni privacy:
- https://www.gpdp.it/regolamentoue/certificazione-e-accreditamento.

Non dicono nulla che i miei lettori già non sanno.

Io non le avrei neanche segnalate, ma mi ha convinto Nicola Nuti dicendomi
che secondo lui "sono da prendere in considerazione perché perseguono
l'obiettivo di far crescere le PMI nel rispetto delle cogenze "privacy", non
sono teoriche ma specifiche".

A mio parere, queste FAQ hanno il difetto di non sottolineare il fatto che
ad oggi non sono ancora stati approvati schemi di certificazione ai sensi
del GDPR.

martedì 20 luglio 2021

Mia breve intervista per DNV

DNV ha pubblicato una mia intervista sulla sicurezza delle informazioni:
- https://www.youtube.com/watch?v=heYFFcvSKAg.

Mi avevano chiesto di avere una parete bianca alle spalle, ma, a casa mia, le pareti sono occupate da ricordi, foto, libri, armadi, scrivanie eccetera. Ho trovato un pezzettino di parete bianca abbastanza grande sedendomi per terra. Meno male che l'intervista è stata molto breve (meno di 3 minuti).

sabato 10 luglio 2021

Mie riflessioni sui recenti attacchi ransomware

Chiara Ponti degli Idraulici della privacy mi ha chiesto qualche riflessione in merito ai recenti (e meno recenti) attacchi ransomware. Lei era partita da un articolo oggettivamente superficiale e quindi non lo cito.

Intanto dobbiamo distinguere due tipi di attacchi: quello ransomware mirato direttamente alla vittima e gli attacchi sulla filiera di fornitura o "supply chain". Questi ultimi prevedono di attaccare un fornitore in modo poi da usarlo come "ponte" per colpire altre vittime. In questo caso, il fornitore è stato attaccato per impiantare ransomware presso le vittime.

Per il ransom qualcosa l'avevo già scritta (http://blog.cesaregallotti.it/2021/05/attacco-colonial-pipeline.html), ma vorrei ribadire che la prima regola è quella di segregare le reti, oltre a fare backup e aggiornare i sistemi. Tutto questo richiede molti investimenti e non è sempre fattibile (per esempio, se i software possono essere compromessi dagli aggiornamenti di altri software). Inoltre difendersi da questi attacchi è super difficile, soprattutto quando sono mirati. Basta solo un errore e i danni sono altissimi.

Tutto richiede un'ulterore riflessione sulla spinta alla convergenza, sempre più elevata. Pensiamo al fatto che vogliamo farci connettere la casa, i sistemi di ufficio, la macchina, l'industria, i giochi elettronici e via così. Tutti sulla stessa rete e basati su tre o quattro protocolli e sistemi operativi. O si cambia tendenza o attacchi come quello alla Colonial Pipeline saranno all'ordine del giorno. Recentemente si è anche avuto il blocco dei POS di una catena di supermercati.

E' difficile, per il singolo, evitare la spinta alla convergenza, anche perché questa permette, alle organizzazioni, di avere maggiori risparmi e dati e, ai privati, maggiore comodità. Inoltre le stesse tecnologie sono fatte per spingere alla convergenza; in particolare gli smartphone cercano di far convergere su di loro ogni attività degli utenti. Eppure, solo una certa separazione permetterà di ridurre i danni.

Per quanto riguarda gli attacchi alla filiera di fornitura, bisogna dire che è difficile controllarla. Anzi: impossibile.

Purtroppo, da questo punto di vista, l'approccio che vedo imporsi è quello sbagliato: documenti, analisi, registrazioni; non strumenti, formazione, tecnologie. Gli auditor e le autorità di controllo spingono verso investimenti sbagliati: un mio cliente ha dovuto assumere una persona (oltre al mio supporto) solo per rispondere ai questionari privacy e "Sicurezza" dei clienti. Tutta roba burocratica e spesso inutilmente dettagliata. Molti suoi progetti di miglioramento tecnologico (presidio del patching, uso dell'MDM, separazione netta tra sviluppatori e sistemisti).

Anche Renato Castroreale ha risposto a Chiara, dicendole: Questi attacchi sono oggi un business, anche appoggiato da Stati come Russia e Stati Uniti (Kaseya è utilizzato da Apple, dalle forze armate statunitensi, da molte agenzie governative inclusa l'FBI che sta lavorando assiduamente con il brand). La consapevolezza, l'attenzione e la voglia di investire fanno la differenza. Ma nessuno può realmente essere al sicuro, mai ed in nessuna condizione".

Renato aggiunge che la sua azienda è riuscita a resistitere all'attacco, e dà il merito alla sua prontezza, ma anche alla fortuna e agli investimenti fatti (chiedendosi quanti possono farli).

Ringrazio Chiara e Renato perché ci permettono di ricordare che la sicurezza non si ottiene con uno schiocco delle dita o facili formulette.

Privacy: nuove linee guida sui cookie

Monica Belfi degli Idraulici della privacy ha segnalato la pubblicazione delle nuove linee guida sui cookie del 10 giugno 2021:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876.

Elenco qui i miei appunti:
- utile il riferimento al fingerprinting, attività di profilazione  dell'utente anche senza cookie;
- la classificazione dei cookie e duplice: tecnici o di profilazione; di prima o di terza parte;
- per il consenso, lo scrolling non è normalmente idoneo, così come il cookie wall se non permette una vera scelta in merito al tracciamento;
- la richiesta di consenso (banner o simile) non va normalmente ripetuta; ammissibile se avviene dopo almeno 6 mesi dall'ultima (ultimamente stavano girando voci sulla sua necessità; qui invece si parla di possibilità);
- ribadisce che l'opzione predefinita deve essere quella di non accettare il tracciamento.

Nulla viene detto in merito ai cookie gestiti dall'estero, ossia quasi tutti, vista la quasi onnipresenza di Google Analytics.

martedì 6 luglio 2021

Privacy: adeguatezza UK per il GDPR

La Commissione europea adotta decisioni di adeguatezza privacy per il Regno Unito:
- https://studiolegalelisi.it/approfondimenti/protezione-dei-dati-la-commissione-adotta-decisioni-di-adeguatezza-per-il-regno-unito/.

L'articolo spiega già tutto e mi sembra che sia una soluzione che ci semplificherà la vita a tutti.

Ringrazio Monica Belfi degli Idraulici della privacy per la segnalazione. 

PS: la pagina della Commissione con gli aggiornamenti sulle decisioni di adeguatezza è: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

sabato 3 luglio 2021

Privacy e EDPB: raccomandazioni per i trasferimenti extra SEE (versione 2)

L'EDPB ha pubblicato a giugno 2021 la versione 2 delle "Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data":
- https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en.

Ringrazio Chiara Ponti degli Idraulici della privacy per la segnalazione.

Leggendo, mi sono segnato alcune note che condivido (alcune ripetono cose che scrissi dopo la lettura della versione 1 delle raccomandazioni).
- Al punto 13 specifica che permettere gli accessi da altri Paesi (per esempio per il supporto dei sistemi IT) rappresenta un trasferimento al di fuori della SEE. Questo amplia notevolmente l'ambito dei trasferimenti, in sostanza a tutti i cloud provider. Questo dovrà essere opportunamente affrontato anche quando, per i fornitori cloud, si specificano i data center in Europa.
- Al punto 18 ci ricordo, e ringrazio, che la lista delle decisioni di adeguatezza è all'URL https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
- I punti 30 e 31 dicono cosa bisogna valutare prima di iniziare un trasferimento extra SEE. Io continuo a pensare che pochissimi possono affrontare questo tipo di analisi e quindi le PMI dovrebbero evitare ogni trasferimento (tra Idraulici abbiamo convenuto per si potrebbe "sbagliare in compagnia", usando i servizi degli OTT).
- Alcune misure sono difficilmente applicabili anche dai più grandi. A questo punto, o si decide di "sbagliare in compagnia", o si dovrebbero solo usare fornitori nello Spazio economico europeo.
- In Appendice C ci sono link per raccogliere elementi di analisi sui Paesi dove trasferire i dati, ma nella realtà non sono proprio d'aiuto.
- Lo Use Case 7 (punto 96 e seguenti) tratta dei trasferimenti all'interno di Gruppi. Si tratta di un aspetto problematico perché le filiali europee hanno spesso difficoltà a farsi sentire presso le Case madri in UK o USA. Purtroppo le raccomandazioni non accennano a questi problemi.
- I punti 105 e 106, in sostanza, suggeriscono di imporre all'importatore di fare lui l'analisi di adeguatezza. Mi sembra abbastanza divertente perché, con parole meno dirette, suggeriscono di scaricare il barile.

Ringrazio tutti gli Idraulici della privacy per aver dibattuto con me i punti.

Il CNIL ha pubblicato una mappa "Data protection around the world":
- https://www.cnil.fr/en/data-protection-around-the-world.

Immaginavo potesse aiutare per le valutazioni richieste da EDPB, ma in realtà fornisce indicazioni non utili (solo accenni sulla normativa privacy in vigore nei diversi Paesi e la presenza di un'autorità garante). Mi permetto di sperare nel futuro.