martedì 23 aprile 2024

European Accessibility Act: D. Lgs. 82 del 2022

Claudio Nasti di Chantecler mi ha segnalato che è stato approvato, ormai diverso tempo fa, il D. Lgs. 82 del 2022, di recepimento del European Accessibility Act (Direttiva europea 882 del 2019), con requisiti di accessibilità dei prodotti e dei servizi.

Questo D. Lgs. estende quanto previsto dalla Legge Stanca (L. 4 del 2004) a diversi prodotti e servizi. Tali prodotti e servizi devono quindi assicurare l'accessibilità a persone con disabilità.

Il link al D. Lgs. 82 del 2022 da Normattiva: https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2022-05-27;82!vig=2024-04-23.

Un articolo che mi sembra utile per iniziare a capire: https://scuderimottaeavvocati.it/accessibility-act-verso-uneuropa-piu-inclusiva/.

La pagina AgID sull'accessibilità: https://www.agid.gov.it/it/design-servizi/accessibilita.

Un punto importante, a mio avviso, riguarda i siti di e-commerce. Infatti anche questi devono rispettare la normativa dal 28 giugno 2025. Però, se ho capito correttamente, per i siti già attivi, l'adeguamento va assicurato dal 28 giugno 2030.

Vanno comunque analizzati i servizi e prodotti che devono rispettare la normativa.

domenica 21 aprile 2024

Posizione EDPB su "paga o consenti alla profilazione per pubblicità"

Chiara Ponti, Idraulica della privacy, ha segnalato a noialtri idraulici la "Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms" dell'EDPB: https://www.edpb.europa.eu/news/news/2024/edpb-consent-or-pay-models-should-offer-real-choice_en.

Ho rimandato al comunicato stampa del 17 aprile 2024.

Alcuni punti a mio parere salienti:

- si riferisce alla "grandi" piattaforme online, quindi sicuramente a Facebook e forse non al Corriere della sera;

- infatti fa riferimento a servizi con ruolo "promimente" o è decisivo per la partecipazione a una vita sociale o alle reti professionali;

- richiede di proporre una terza alternativa, oltre al "paga o dai il consenso", per esempio con pubblicità senza profilazione.

Io dico che, da quando Meta ha attivato il "consent or pay", non accedo più a Facebook (già lo facevo pochissimo da qualche anno) e Instagram. Nelle brevi attese, al posto di guardare anteprime su Netflix e Disney+, tecniche di judo, i disegni del mio amico Dulio, ricette di dolci e passeggiate vicino a Milano, leggo il giornale online e quello in genere, purtroppo, mi mette di malumore. Ecco l'unico punto negativo dell'aver rinunciato a questi social network.

lunedì 15 aprile 2024

Gli uomini possono fare tutto (apr 2024)

Per una festa, mi hanno chiesto di portare una torta. La faccio e la porto insieme ad altre 2 torte fatte da mia mamma. A riceverle ci sono 3 donne. Fioccano complimenti alle donne di famiglia e devo far notare che una torta è stata fatta da un uomo. Si scusano.

Poi segnalo che una torta è senza glutine e senza lattosio e ho portato anche la lista degli ingredienti. Fioccano i complimenti a mia mamma, anche se si trattava proprio della torta fatta da me.

Non voglio vantarmi (anche se seguo una ricetta veramente buona per le crostate), ma riflettere sul fatto che 3 donne, in automatico, avevano pensato che le torte fossero state fatte da donne, anche se fisicamente le aveva portate un uomo.

Mi chiedo quindi che percezione hanno alcune donne su chi fa le torte per beneficenza: è un'idea positiva (anche se non favorevole agli uomini che forse fanno torte e forse fanno beneficenza, ma non torte per beneficenza) o negativa.

Stato delle norme ISO/IEC 270xx

Tra fine marzo e metà aprile si sono tenuti i meeting semestrali del WG 1 e del WG 5 del ISO/IEC JTC 1 SC 27, ossia dei gruppi che si occupano degli standard ISO/IEC legati ai sistemi di gestione per la sicurezza delle informazioni (ISO/IEC 27001 e linee guida) e alla privacy (ISO/IEC 27701 e altre).

Per quanto riguarda il WG 1, sono stati discussi gli standard ISO/IEC 27003 (guida per i sistemi di gestione per la sicurezza delle informazioni) e ISO/IEC 27017 (controlli per i servizi cloud). Non saranno pubblicati a breve.

Si è fatto anche il punto sugli standard oggetto di discussione nel corso del semestre. Inoltre sono partiti i lavori per l'aggiornamento della ISO/IEC 27004 (guida per la misurazione).

Partirà anche un gruppo per verificare se è opportuno avviare azioni relative ai cambiamenti climatici, che sono entrati nella ISO/IEC 27001 (anticipo che l'idea di partenza sembra essere un "nessuna azione", ma tutto potrà cambiare, ovviamente).

Per quanto riguarda il WG 5, io ho partecipato alle attività relative alla nuova versione delle ISO/IEC 27701 (sistemi di gestione per la privacy), ISO/IEC 27018 (controlli privacy per il cloud), ISO/IEC 27006-2 (per gli organismi che certificano rispetto alla ISO/IEC 27706 e che forse sarà rinumerata ISO/IEC 27706), ISO/IEC 29151 (con l'estensione alla privacy dei controlli ISO/IEC 27002).

Si prevede l'uscita delle norme in discussione tra fine 2024 e inizio 2025.

Sanzione del Garante per l'attacco ai sistemi informatici della Regione Lazio

Il Garante ha emesso 3 Provvedimenti al termine dell'analisi dell'attacco ai sistemi informatici della Regione Lazio del 31 luglio 2021: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10002052.

Se ho capito bene: gli attaccanti hanno individuato i server accessibili dalla VPN di Regione Lazio, ne hanno trovato uno con software obsoleti (anche perché erano installate applicazioni non compatibili con gli aggiornamenti) e l'hanno attaccato. Nello stesso tempo, per il cambio del fornitore, i sistemi non erano monitorati da un SIEM. Inoltre è segnalata una segregazione interna delle reti (tra quella utenti e quella server) che richiedeva un miglioramento.

Da osservare che le password di amministrazione erano lunghe 20 caratteri e cambiate almeno ogni 30 giorni. Qui mi pare che si possa ricordare l'importanza, oggi, di adottare sistemi di autenticazione e più fattori (MFA).

Interessante il richiamo alle certificazioni che, ovviamente, non assicurano un livello di sicurezza predefinito.

Ecco quindi che se ne possono trarre utili lezioni relative all'importanza delle misure richiamate: aggiornare i sistemi esposti, implementare sistemi di monitoraggio della sicurezza, segregare le reti, attivare la MFA.

Disaccordo sulla decisione della CNIL a favore di Microsoft

Su LinkedIn ho letto questo post dal titolo "I fornitori francesi attaccano la decisione della CNIL a favore di Microsoft": https://www.linkedin.com/feed/update/urn:li:activity:7175902181697404929/.

Ovviamente la lamentela è supportata da chi ha perso la gara contro Microsoft, però mi sembra comunque una notizia interessante: si lamentano perché l'autorità garante non è stata abbastanza rigida. Cosa che si vede raramente, almeno in pubblico.

Rischi dell'IA comparati ai social media

Bruce Schneier ha sviluppato una comparazione tra l'evoluzione dei rischi dell'intelligenza artificiale comparata a quanto abbiamo visto per i social media: https://www.schneier.com/blog/archives/2024/03/ai-and-the-evolution-of-social-media.html.

I rischi sono quelli legati all'uso della pubblicità, alla sorveglianza, alla viralità (ossia alla disinformazione), al lock-in e alla monopolizzazione (ossia alla crescita di poche mega società). Li abbiamo visti per i social media e rischiamo di vederli anche per gli strumenti di intelligenza artificiale.

venerdì 12 aprile 2024

Il caso XZ Utils

A fine marzo è stata scoperta una vulnerabilità grave alla libreria XY Utils.

Su questo caso e le lezioni da ricordare, segnalo l'articolo dal titolo (un po' troppo drammatico, a mio avviso) "Le due facce dell’Open Source: come abbiamo rischiato l’apocalisse IT": https://www.zerounoweb.it/editoriali/le-due-facce-dellopen-source-come-abbiamo-rischiato-lapocalisse-it/.

Mi sembra che, in sintesi, dica tutto quanto necessario per chi non richiede approfondimenti tecnici.

giovedì 4 aprile 2024

Slide Security Summit Milano 2024

Sono disponibili le slide del Security Summit, tenutosi a Milano il 19-21 marzo: https://securitysummit.it/milano-2024#agenda.

Io e Fabio Guasconi abbiamo tenuto un intervento al Security Summit dal titolo "Novità e prospettive dal mondo della normazione": https://securitysummit.it/milano-2024/novita-e-prospettive-dal-mondo-della-normazione.

Rapporto Clusit 2024

Con il Security Summit di Milano, è stato pubblicato il Rapporto Clusit 2024 sulla sicurezza informatica: https://clusit.it/rapporto-clusit/.

Come è noto, non mi convincono molto le cifre (in questo caso, l'aumento del 12% degli attacchi) perché ci dicono sempre la stessa cosa: Internet è insicura e la sicurezza dei sistemi informatici, di qualsiasi tipo, è sempre a rischio. Cosa che sappiamo già da parecchi anni. E poi penso che sia troppo incentrata sugli attacchi volontari, quando sappiamo che molti incidenti sono dovuti a errori e non vanno quindi sottovalutati.

Però ho trovato molto interessanti gli interventi di Fastweb e  della Polizia postale e delle Comunicazioni perché trattano di alcuni attacchi che è bene tenere presente.

Detto questo, il lavoro fatto è molto bello e interessante e ne raccomando la lettura.

mercoledì 3 aprile 2024

Pagina CISA per risorse di sicurezza informatica per le "High-Risk Communities"

Il CISA (Cybersecurity & infrastructure security agency degli USA) ha pubblicato una pagina "High-Risk Communities", con risorse gratuite o a basso costo: https://www.cisa.gov/audiences/high-risk-communities.

Mi sembrano risorse soprattutto procedurali, in particolare per la formazione (Project Upskill: Cybersecurity Training). Io ho  trovato interessanti soprattutto la sezione "JCDC Cyber Incident Exercise Discussion", con esercitazioni relative alla gestione degli incidenti.

Infatti, penso che molti standard e best practice chiedono di condurre esercitazioni relative alla gestione degli incidenti (oltre a quelle relative agli incidenti di continuità), però abbiamo pochi esempi autorevoli. Questi 3 scenari mi sembrano utili come punto di partenza.