Ricerca IVASS sulla polizze cyber risk

La newsletter di Project:IN Avvocati segnala la pubblicazione "Indagine sulle polizze a copertura del cyber risk" di IVASS: https://www.ivass.it/pubblicazioni-e-statistiche/pubblicazioni/altre-pubblicazioni/2023/indagine-cyber-risk/index.html.

Copio il commento di Project:IN Avvocati: "Interessante ricerca sulle polizze assicurative offerte dalle compagnie a clientela retail e PMI, con analisi di 50 proposte disponibili al 30 luglio 2023. Importante notare come - si legge nel testo - diversi contratti prevedano pre-requisiti o condizioni per rendere il rischio assicurabile, che necessitano di essere ben compresi per valutare l’adeguatezza della copertura offerta".

Io ho sempre avuto dubbi sul funzionamento di queste polizze. Sarebbe però interessante avere notizie da chi le ha sottoscritte e ne ha avuto bisogno.

Guida Confindustria sulla gestione del whistleblowing

Confindustria ha pubblicato il documento "Nuova disciplina “whistleblowing”. Guida operativa per gli enti privati": https://www.confindustria.it/home/policy/position-paper/dettaglio/guida-operativa-whistleblowing.

Anche questa materia, seppur marginalmente, riguarda la sicurezza delle informazioni. E pertanto è utile avere un buon punto di riferimento.

Ringrazio Project:IN Avvocati per la segnalazione.

AI: Avvelenare i dati delle opere artistiche per salvaguardare il diritto d'autore

Da Guerre di Rete segnalo un articolo dal titolo "This new data poisoning tool lets artists fight back against generative AI": www.technologyreview.com/2023/10/23/1082189/data-poisoning-artists-fight-generative-ai/amp/.

Riprendo le parole di Guerre di Rete: "Un nuovo tipo di attacco promette di contrastare le aziende di AI generativa che usano il lavoro degli artisti, senza il loro consenso, per addestrare i propri modelli. Consentirà agli artisti di aggiungere delle modifiche (invisibili a occhio umano) alle loro opere prima di caricarle online. Col risultato che, se queste sono inserite in un set di addestramento per l'AI, il modello rischia di dare risultati caotici e imprevedibili".

Raccomando di leggere anche tutto l'articolo su Guerre di Rete: https://guerredirete.substack.com/p/guerre-di-rete-blackout-su-gaza.

Sullo stesso numero si trova un'altro articolo dal titolo "Modelli usati nella sanità sotto la lente", che a sua volta fa riferimento a un articolo dal titolo "AI was asked to create images of Black African docs treating white kids. How'd it go?": https://www.npr.org/sections/goatsandsoda/2023/10/06/1201840678/.

In esso sono evidenziati i rischi di bias, in questo caso razziale, dell'AI, causati dai dati usati per l'addestramento.

Mio articolo sulla ISO/IEC 27001

Ho scritto questo lungo articolo dal titolo "Sicurezza delle informazioni: come usare la nuova ISO/IEC 27001:2022": https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-come-usare-la-nuova-iso-iec-270012022/.

Buona lettura.

 

Stato delle norme ISO/IEC 270xx - Privacy

Il 20 ottobre si è concluso il meeting semestrale dei WG 1 (dedicato ai sistemi di gestione per la sicurezza delle informazioni o ISMS) e WG 5 (dedicato alla privacy) del ISO/IEC JTC 1 SC 27.

In questo articolo riporto le attività del WG 5 che ritengo più significative.

Ho seguito i lavori sulla ISO/IEC 27701, per i sistemi di gestione per la privacy (Privacy information management system, PIMS). Era prevista per metà 2024 la pubblicazione di un aggiornamento limitato al riallineamento dei controlli con quelli della ISO/IEC 27002:2022. L'ISO Central Secretariat ha invece chiesto di ristrutturare lo standard come gli altri sui sistemi di gestione. Tutti gli esperti hanno concordato sulla necessità di ristrutturarlo completamente e, quindi, ritardare la pubblicazione per evitare incoerenze ed errori (qualcuno auspica la pubblicazione per inizio 2025, io penso che ci vorrà più tempo).

Sarà pubblicata entro metà 2024 una nuova versione della ISO/IEC 27006-2 (per gli organismi di certificazione), ma sarà necessario rifare tutto per rendere questo standard compatibile con la futura ISO/IEC 27701. Il rischio è di essere rapidi nella pubblicazione dei criteri di certificazione (la futura ISO/IEC 27701), ma più lenti per i criteri di accreditamento (la futura ISO/IEC 27006-2, sempre se manterrà questa numerazione); in altre parole, potremmo avere una nuova versione della ISO/IEC 27701, ma nessun organismo di certificazione che può condurre audit e rilasciare certificati per mancanza di regole appropriate.

Stanno continuando, anche se molto lentamente, i lavori per la ISO/IEC 27018 (estensione dei controlli della ISO/IEC 27002 per la privacy dei servizi cloud, importante per le molte certificazioni ISO/IEC 27001 che la usano come estensione) per allineare la versione attuale con i controlli della ISO/IEC 27002:2022. Si prevede di pubblicarne l’aggiornamento a metà 2024 (ma mi sembra una data troppo ottimistica e io prevedo fine 2024).

 Segnalo che si discute anche della ISO/IEC 29151 (i lavori di aggiornamento sono appena partiti). Questa norma è destinata ai soli titolari del trattamento e riprende i controlli della ISO/IEC 27002, ne estende le linee guida per l'implementazione e ne aggiunge altri specifici per la privacy. Mi sembra che in Italia sia completamente ignorata, mentre in altri Paesi è usata come riferimento dalle PMI che non intendono usare la ISO/IEC 27701 (anche se poi, una veloce ricerca online mi dice che Huawei Cloud, non certo una PMI, è “certificata” rispetto a questa norma che, tra l’altro, non prevede uno schema certificazione). Si prevede di pubblicarne l’aggiornamento a fine 2025.

Aumento delle campagne RAT

Il titolo può far ridere se non si sa che RAT vuol dire "Remote access trojan". Le campagne sono sempre più numerose e il CERT AgID spesso le segnala via Telegram o Twitter (ora X).

Segnalo uno degli ultimi avvisi dal titolo "Sempre più preoccupante il fenomeno delle campagne RAT": https://cert-agid.gov.it/news/sempre-piu-preoccupante-il-fenomeno-delle-campagne-rat/. Interessante è leggere come il RAT si diffonde, ossia con campagne di phishing ben congegnate. In questo caso, è inviato un pdf via email dicendo che si tratta di una fattura non pagata; l'utente la apre e quindi si avvia un programma che scarica e installa il RAT.

Le comunicazioni mi sembrano molto ben fatte e interessanti, ma mancano due righe sulle strategie di mitigazione.

ENISA Cybersecurity Threat Landscape 2023

ENISA ha pubblicato il Cybersecurity Threat Landscape 2023: https://www.enisa.europa.eu/news/eu-elections-at-risk-with-rise-of-ai-enabled-information-manipulation.

L'attenzione di ENISA si rivolge soprattutto su: campagne di manipolazione di informazioni (fake news), social engineering verso persone specifiche, trojan in pacchetti software noti (che si scaricano da siti ovviamente contraffatti per trarre in inganno le persone), sfruttamento degli errori di configurazione dei sistemi, delle reti e dei servizi cloud.

Le prime minacce (manipolazione di informazioni e social engineering) sono sempre più efficaci grazie all'uso di strumenti basati sull'intelligenza artificiale, che permettono di applicare vecchie tecniche, ma in modo più efficiente ed efficace.

Io qui ho solo evidenziato alcune cose dell'Executive summary, ma il documento è molto più ampio.

Purtroppo la parte relativa alle misure di mitigazione è estremamente sintetica e non aggiunge nulla di significativo (è principalmente un elenco di controlli ISO/IEC 27002 e NIST CSF).

Stato delle norme ISO/IEC 270xx - ISMS

Il 20 ottobre si è concluso il meeting semestrale dei WG 1 (dedicato ai sistemi di gestione per la sicurezza delle informazioni o ISMS) e WG 5 (dedicato alla privacy) del ISO/IEC JTC 1 SC 27.

In questo articolo riporto le attività del WG 1 che ritengo più significative.

Sono partiti i lavori per l'aggiornamento della ISO/IEC 27000 (Panoramica dei sistemi di gestione per la sicurezza delle informazioni), della ISO/IEC 27003 (linee guida per l'implementazione di un ISMS), ISO/IEC 27008 (linee guida per la valutazione dei controlli di sicurezza delle informazioni), ISO/IEC 27109 sull'istruzione e la formazione sulla cibersicurezza.

Stanno continuando i lavori per la ISO/IEC 27017 (estensione dei controlli della ISO/IEC 27002 ai servizi cloud, importante per le molte certificazioni ISO/IEC 27001 che la usano come estensione) per allineare la versione attuale con i controlli della ISO/IEC 27002:2022. Immagino che la nuova norma sarà pubblicata a fine 2024.

Sarà pubblicato a breve un aggiornamento della ISO/IEC 27006-1 (norme per l'accreditamento degli organismi di certificazione) e poi ripartiranno ancora i lavori per "pulirla" dai riferimenti scorretti a requisiti e controlli, ricordando che i controlli non sono requisiti e nessuno di essi va pianificato e implementato come da norma, ma usato solo come riferimento per la Dichiarazione di applicabilità.

Sarà pubblicata a breve la ISO/IEC 27011 (estensione dei controlli della ISO/IEC 27002 per il settore delle telecomunicazioni). La ISO/IEC 27013 (relazioni tra ISO/IEC 27001 e ISO/IEC 20000-1) e la ISO/IEC 27019 (estensione dei controlli della ISO/IEC 27002 per il settore dell'energia) sono in uno stadio precedente e saranno probabilmente pubblicate a metà 2024.

Riflessioni sono state fatte sul fatto che la prossima versione della ISO/IEC 27001 dovrà avere requisiti sui cambiamenti climatici a causa dei cambiamenti apportati all’HLS (o Annex SL, ossia la struttura base che devono rispettare tutti gli standard per i sistemi di gestione). Ci si è chiesto quali impatti sui cambiamenti climatici possono essere considerati per un sistema di gestione per la sicurezza delle informazioni.

Security-by-Design and Default Principles del CISA - Aggiornamento

Ad aprile avevo segnalato l'ottimo documento del CISA (Cybersecurity & infrastructure security agency degli USA) dal titolo "Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default". E' stato aggiornato con maggiori dettagli per dimostrare il rispetto dei tre principi: https://www.cisa.gov/resources-tools/resources/secure-by-design.

In realtà non è più disponibile la versione precedente, quindi non so indicare con precisione i cambiamenti. In aprile avevo detto che "in poche pagine (15 in tutto, incluso indice e fuffa introduttiva) sono riportati e spiegati i principi di sviluppo e ingegnerizzazione sicuri". Ora le pagine sono 36, ma credo che i dettagli in più aiutino e non appesantiscono.

Rilevare i testi generati dall'IA

Da Crypto-gram di ottobre 2023, segnalo l'articolo "Detecting AI-Generated Text": https://www.schneier.com/blog/archives/2023/09/detecting-ai-generated-text.html.

Versione breve: non sembra si possano avere strumenti per rilevare automaticamente un testo generato dall'IA.

Un commento (ironico, mi pare...) fa notare che forse questa stessa risposta è stata generata dall'IA.

C'è carenza di esperti di sicurezza informatica (o di cibersicurezza)?

Da Crypto-gram di ottobre 2023 segnalo "On the Cybersecurity Jobs Shortage": https://www.schneier.com/blog/archives/2023/09/on-the-cybersecurity-jobs-shortage.html.

Molti si lamentano della carenza di persone competenti nell'ambito della sicurezza informatica (o cibersicurezza o cybersecurity). Bruce Schneier riporta un commento di Ben Rothke. In sostanza dice che molti ruoli sono specialistici, non generalistici. Ed è vero che c'è carenza di persone con competenze specialistiche ed è ancora più difficile trovarle se pensiamo che per avere competenze specialistiche è necessario avere anche esperienza.

Aggiungo che, almeno in Italia, ci sono difficoltà a trovare persone per ricoprire certi ruoli, anche generalisti.

 

Digital Security Festival

Luca Moroni mi ha segnalato il Digital Security Festival, che si tiene, con partecipazione gratuita, dal 17 al 27 ottobre in Veneto e Friuli Venezia Giulia: https://www.digitalsecurityfestival.it/.

I temi sono tanti e interessanti. Luca, a sua volta, parlerà il 26 ottobre pomeriggio a Vicenza in una tavola rotonda dal titolo "Rischi, opportunità e futuro della cybersecurity".

Formazione gratuita sulla sicurezza online per cittadini, imprese e Istituzioni

Il Comune di Milano (dove risiedo) promuove il portale web Cyber Secure City: https://cybersecurecity.it/.

Il portale, che non richiede neanche registrazione, mette a disposizione materiale di formazione gratuito sulla sicurezza informatica.

Sono presenti percorsi per Over 65, Studenti e tutti i cittadini e corsi in lingue diverse dall'italiano.

Iniziativa lodevole (e, in milanese, piutost che nient, l’è mei piutost) però i percorsi non sono progettati con cura: sembrano più una raccolta di materiale messo a disposizione, sempre lodevolmente, da alcune aziende, senza un vero filo conduttore.

Altro problema è che alcune istituzioni, piuttosto che organizzare incontri, rimandano a questo sito. Invece gli incontri e i confronti sono fondamentali per una migliore consapevolezza.

Gli uomini possono fare tutto (Ottobre 2023)

Quest'estate mia moglie ha dovuto seguire un corso di formazione. Con i bambini (o ragazzi) sono andato al mare per 5 giorni in un appartamento. Abbiamo tenuto ordinato e pulito, abbiamo cucinato, ci siamo tenuti ordinati e puliti.

Mi hanno dato del "mammo" e me ne sono lamentato: il termine "mammo" fa sembrare che certe cose possano farle solo le mamme e i papà le debbano fare solo in casi straordinari. Io ho cercato di fare il papà (forse malamente, ma questa è un'altra storia).

Guida CISA su Identity and Access Management

Dal SANS NewsBites del 6 ottobre 2023, segnalo la notizia "CISA and NSA: Identity and Access Management Guidance", che a sua volta rimanda alla pubblicazione "Identity and Access Management: Developer and Vendor Challenges".

Questa pubblicazione non mi è sembrata molto interessante perché riassume alcune criticità, peraltro note.

C'è però un riferimento a un altro documento di marzo 2023 dal titolo "Identity and Access Management: Recommended Best Practices for Administrators": https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3336001/esf-partners-nsa-and-cisa-release-identity-and-access-management-recommended-be/.

Questo, anche se non dice nulla di nuovo, mi sembra più interessante per un bel ripasso delle regole base per il controllo accessi. Da segnalare che gran parte del documento è dedicato alla promozione di tecniche MFA.

 

I più comuni errori di configurazione delle reti IT (e le mitigazioni)

Dal SANS NewsBites del 6 ottobre 2023, segnalo la notizia "CISA and NSA: Most Common Network Misconfigurations", che a sua volta fa riferimento al documento "NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations": https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a.

Il pdf si trova al seguente link: https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3549369/nsa-and-cisa-advise-on-top-ten-cybersecurity-misconfigurations/.

Nulla di nuovo, certamente, ma sempre utile da ripassare.

Segnalo che da pagina 17 a pagina 27 si trovano le raccomandazioni per gli utilizzatori, da pagina 27 a pagina 31 si trovano le raccomandazioni per gli sviluppatori di software.

Insomma: si tratta di un manuale tecnico estremamente utile.

European Cybersecurity Skills Framework (ECSF)

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione del European Cybersecurity Skills Framework (ECSF) di ENISA: https://www.enisa.europa.eu/topics/education/european-cybersecurity-skills-framework.

La pagina segnalata permette poi di scaricare l'ECSF Role Profiles document, dove sono specificati i 12 profili tipici per la cibersicurezza. Come sappiamo, questi possono essere utili per condividere la terminologia usata per le qualificazioni professionali.

Mi sono chiesto come si correlasse con la UNI 11621-4, aggiornata al 2020 e con titolo "Profili di ruolo professionale relativi alla sicurezza delle informazioni". Ho rivolto la domanda a Fabio Guasconi, che mi ha risposto che il lavoro di ENISA è stato strutturato allo stesso modo, ha profili praticamente uguali a quelli della UNI 11621-4, con alcune differenze nella scelta delle competenze e abilità (skill).

Io noto che la norma italiana fa riferimento alla sicurezza delle informazioni, mentre quella ENISA alla cybersecurity e immagino che questo abbia i suoi, seppur marginali, risvolti.

Temo la confusione che si potrebbe creare. Vedremo.

Quaderno Clusit "Certificazioni professionali in sicurezza informatica 3.0"

È stato pubblicato un nuovo quaderno Clusit intitolato "Certificazioni professionali in sicurezza informatica 3.0". Sono uno degli autori, insieme da Fabio Guasconi e Federico Gozzi.

Il quaderno è liberamente scaricabile in formato pdf da https://clusit.it/blog/quaderni-clusit-certificazioni-professionali-in-sicurezza-informatica-3-0-giugno-2023/.

Riporto di seguito la presentazione del Clusit.

Si tratta di un aggiornamento e revisione dei quaderni pubblicati nel 2005 e nel 2013 da Clusit sullo stesso tema.

Nel quaderno sono descritte certificazioni che dimostrano competenze tecnologiche accanto a quelle che dimostrano competenze principalmente organizzative. In questa edizione abbiamo preferito non riportare le certificazioni relative a prodotti specifici, essendo queste troppo numerose.

Si è cercato di schematizzare il più possibile le specifiche di ogni certificazione, in modo da aiutare coloro che selezionano il personale o scrivono bandi di gara a stabilire quali certificazioni corrispondono alle caratteristiche richieste e nel contempo i professionisti che vogliono certificare e far riconoscere le proprie competenze in un determinato settore ed essere inseriti in una comunità di professioniste e professionisti con cui scambiare competenze ed esperienze.