sabato 29 aprile 2023

Cassazione: assolta Poste Italiane per phishing

Segnalo questo articolo dal titolo "Phishing, perché la Cassazione ha assolto Poste Italiane e condannato i correntisti?": https://www.cybersecitalia.it/phishing-la-cassazione-se-cliente-truffato-la-banca-non-responsabile/24214/.

 Ringrazio Maurizio Tardanico che l'ha segnalato su una chat a cui partecipo.

 Incollo una parte significativa del testo per dare una prima idea: "la Cassazione ha stabilito che la banca o l’istituto di credito non ha responsabilità nel furto di denaro dei correntisti avvenuto con operazioni di phishing, se ha adottato un sistema di sicurezza tale da impedire a terzi l’accesso al conto corrente e se i clienti stessi hanno fornito i codici di accesso ad estranei, ovviamente, senza esserne consapevoli, perché truffati".

lunedì 24 aprile 2023

Sicurezza delle informazioni: la nuova ISO/IEC 27005 sulla valutazione del rischio

Segnalo un mio articolo sulla nuova ISO/IEC 27005 sulla valutazione del rischio: https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-la-nuova-iso-iec-27005-sulla-valutazione-del-rischio/.

Approfondisce quanto avevo già detto in precedenza in altre occasioni.

Come sempre, sono disponibile al confronto nel caso qualcuno voglia discutere le mie posizioni.

Privacy: sanzionata la raccolta ingannevole del consenso per marketing

Provvedimento del Garante per "trattamento di dati personali mediante l’uso di pratiche ingannevoli, e in particolare per uso di dark patterns capaci di spingere l’utente a fornire il proprio consenso per finalità di marketing e di comunicazione dei dati a terzi" (ringrazio la newsletter di Project:IN Avvocati per il riassunto): https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870014.

Lo segnalo perché è interessante osservare che la raccolta del consenso ingannevole (o forzato, in alcuni casi) è stata sanzionata. Così questo provvedimento mi tornerà utile per convincere qualcuno a fare le cose un po' meglio...

domenica 23 aprile 2023

Stato degli standard ISO/IEC 270xx - Aprile 2023

In aprile si sono conclusi i meeting semestrali del WG 1 e del WG 5 del ISO/IEC JTC 1 SC 27. Si tratta dei gruppi che seguono le norme ISO/IEC 27001, 27002, 27005 eccetera e le norme sulla privacy, inclusa la ISO/IEC 27701.

Per quanto riguarda il WG 1, le attività si sono svolte online e, in realtà, il meeting è servito a sintetizzare le attività svolte in altri incontri da ottobre.

Si sono avviati i lavori per la revisione di ISO/IEC 27000 (panoramica sui SGSI), 27003 (guida alla 27001) e 27004 (sulle misurazioni). Si tratta di norme molto importanti.

Si è poi deciso di non avviare i lavori per una nuova ISO/IEC 27001, anche se la versione del 2022 era stata approntata rapidamente per aggiornare l'Annex A seguendo alla nuova ISO/IEC 27002 e recepire le modifiche all'HLS.

Ci è stato comunicato che, a livello IAF (ossia l'ente che promuove e controlla le attività di accreditamento), sono stati uniti i gruppi che si occupano di ISO/IEC 27001 e ISO/IEC 20000 per ottenere una maggiore coerenza negli accreditamenti relativi alla sicurezza dei dati e all'informatica. Viene da ridere, pensando che molti vorrebbero che la ISO/IEC 20000-1 si occupi di servizi in generale e che la ISO/IEC 27001 non si occupa solo di sicurezza informatica (o cybersecurity).

Per quanto riguarda le attività del WG 5, che si occupa di privacy, sono proseguiti i lavori per la ISO/IEC 27006-2 (ossia le regole di accreditamento). Sono stati avviati i lavori per una norma sulla privacy e intelligenza artificiale (ISO/IEC 27091). Ho notato poi molto lavoro per gli standard relativi alla verifica dell'età.

Importante, a mio avviso, è il lavoro in fase di conclusione per la ISO/IEC 27701, ossia la norma per la certificazione dei sistemi di gestione per la privacy (estensione della ISO/IEC 27001). Infatti la norma passa in stato di FDIS e quindi entro fine anno dovrebbe uscirne la versione aggiornata. Non bisogna aspettarsi nulla di nuovo se non l'allineamento alle ISO/IEC 27001:2022 e ISO/IEC 27002:2022.

Su questo fronte, i lavori per l'aggiornamento della ISO/IEC 27018 (privacy per fornitori di servizi cloud, estensione della ISO/IEC 27002) procedono a rilento.

Sarà pubblicata una nuova versione della ISO/IEC 29134 sulla DPIA, ma riporterà solo aggiornamenti non significativi rispetto all'edizione attuale (su questo avevo già scritto in passato che è un peccato, visto che la norma richiederebbe un aggiornamento significativo, basato sull'esperienza maturata in questi anni.

martedì 18 aprile 2023

Security-by-Design and Default Principles del CISA

Ottimo documento del CISA (Cybersecurity & infrastructure security agency degli USA) dal titolo "Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default": https://www.cisa.gov/news-events/alerts/2023/04/13/shifting-balance-cybersecurity-risk-security-design-and-default-principles.

In poche pagine (15 in tutto, incluso indice e fuffa introduttiva) sono riportati e spiegati i principi di sviluppo e ingegnerizzazione sicuri.

lunedì 17 aprile 2023

Gli uomini possono fare tutto (Aprile 2023)

"BUCATO. Ingiustamente considerato lavoro pesante, malinconico, riservato alle donne, e in special modo alle donne di servizio. In realtà ogni uomo, aiutato dalle conquiste della scienza (nailon e saponi schiumosi), dovrebbe lavare la sera quanto indossò di giorno. E ogni donna dovrebbe consacrare le sue economie all'acquisto, rateale, di una lavatrice elettrica, liberandosi, una volta per sempre, dalla tirannia delle lavandaie".

Pochi giorni fa lessi questa voce del "Dizionario del successo dell'insuccesso e dei luoghi comuni" di Irene Brin (del 1986, ma i brani sono del 1954 e 1965).

Mi venne in mente che pochi mesi fa, "l'informatico" di un mio cliente mi raccontava che rifiuta la lavatrice, ma provvede a lavarsi, in autonomia e quotidianamente come vuole la Brin, i vestiti usati durante la giornata.

mercoledì 12 aprile 2023

ISO 9001 Auditing Practices Group

L'ISO 9001 Auditing Practices Group esiste da 20 anni e io non avevo proprio idea che potesse esistere. Il suo sito è: https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html.

Si tratta di un gruppo informale ma ufficiale all'interno dell'ISO.

Sul sito si trovano interessanti linee guida su come condurre audit e su cosa verificare nell'ambito della ISO 9001.

Zero Trust Maturity Model Version 2 del CISA

Il CISA (Cybersecurity & infrastructure security agency degli USA) pubblica cose interessanti. Recentemente, Aprile 2023, ha pubblicato la versione 2 del "Zero Trust Maturity Model": https://www.cisa.gov/zero-trust-maturity-model.

 Le misure sono illustrate in modo molto sintetico e confesso che non tutto mi è chiaro (per esempio, non capisco perché nel livello "tradizionale" (ossia il più basso) si parli di identity store centralizzati all'interno di un'agenzia senza accennare a quelli esterni, presenti invece nel livello "iniziale", come se nel tradizionale non si possa immaginare l'uso di sistemi esterni.

 Rimane un documento che, a mio avviso, vale la pena studiare.

giovedì 6 aprile 2023

EN 17799 e certificazioni privacy

Fabio Guasconi ha tenuto un interessantissimo webinar per il Clusit dal titolo "EN 17799, impatto e nuove prospettive sulle certificazioni GDPR" (https://clusit.it/webinar/). Per accedere a slide e video bisogna essere soci Clusit (cosa che continuo a raccomandare).

Chi non fosse socio Clusit può studiarsi le slide (senza video!) presentate da Luciano Quartarone, sempre sullo stesso tema, nell'ambito dell'incontro "Le norme tecniche avanzano": https://securitysummit.it/eventi/milano-2023/sessioni/le-norme-tecniche-avanzano.

Le slide contengono anche un mio intervento sulla ISO/IEC 27005, di cui ho già parlato altrove, e l'intervento, molto interessanto, anche se molto tecnico, di Stefano Ramacciotti sulla recente versione 4 dei Common Criteria.

martedì 4 aprile 2023

Le norme tecniche avanzano (e ISO/IEC 27005)

Il 16 marzo 2023, al Security summit di Milano, ho parlato nella sessione "Le norme tecniche avanzano". Io mi sono concentrato sulle novità della ISO/IEC 27005. La presentazione è qui: https://securitysummit.it/eventi/milano-2023/sessioni/le-norme-tecniche-avanzano.

Entro fine aprile dovrebbe uscire un articolo in cui approfondisco i concetti (anche se, in realtà, li ho espressi anche in altre occasioni).

Il blocco di ChatGPT

Io so qualcosa di privacy e so molto poco di intelligenza artificiale (tutto quello che so viene da un bel libro, "Intelligenza artificiale e sicurezza: opportunità, rischi e raccomandazioni", gratuito, della Clusit community for security, che si trova su https://iasecurity.clusit.it/).

Per questo non ho niente da dire sull'argomento, ma posso segnalare articoli sulle persone che ho apprezzo molto in questi due campi.

Intanto la notizia in brevissimo la si trova sulla newsletter #13/2023 di Project:IN Avvocati: https://www.linkedin.com/pulse/132023-italia-chiude-durgenza-chatgpt-mentre-arriva.

Per quanto riguarda l'intelligenza artificiale, segnalo questo, dal titolo "Non è possibile fermare l'AI, solo rincorrerla" da Notizie.ai di Luca Sambucci: https://www.notizie.ai/non-e-possibile-fermare-lai-solo-rincorrerla/.

Per la privacy, vorrei segnalare un'intervista a Elia Barbujani su Repubblica.it, ma c'è il cookie wall e non mi rimane che segnalare invece un suo post su LinkedIn: https://www.linkedin.com/posts/elia-barbujani_chatgpt-i-dubbi-dellesperto-lo-stop-activity-7048302886803386368-Eazv.

Infine, imperdibile il commento di Not Boring Privacy: https://t.me/notboringprivacy/531.