venerdì 29 novembre 2024

Mio articolo sul calcolo dei rischi relativi ai dati personali

E' stato pubblicato questo articolo dal titolo "Rischi da violazione dei dati personali: guida pratica e normativa": https://www.agendadigitale.eu/sicurezza/privacy/rischi-da-violazione-dei-dati-personali-guida-pratica-e-normativa/.

 

E' a firma mia e di Chiara Ponti che ringrazio per avermi coinvolto nella riflessione che è soprattutto su come calcolare i rischi di sicurezza delle informazioni e privacy.

lunedì 25 novembre 2024

ACN: Linee guida per il rafforzamento della resilienza

ACN ha pubblicato le "Linee guida per il rafforzamento della resilienza dei soggetti di cui all’articolo 1, comma 1, della Legge 28 giugno 2024, n. 90": https://www.acn.gov.it/portale/linee-guida-rafforzamento-resilienza.

 

Ringrazio Franco Vincenzo Ferrari per la segnalazione e il link.

 

Della Legge 90 del 2024 avevo già scritto qui: http://blog.cesaregallotti.it/2024/07/legge-90-del-2024-sulla-cybersicurezza_18.html.

 

La Legge 90 chiede ad ACN di pubblicare tali linee guida nell'articolo 8, comma 1, punto f.

 

Parto con la critica e la faccio in linea con quanto già espresso in precedenza: con il PNSC e questa Legge 90 (per non parlare della Circolare AgID 2/207 con le misure minime di sicurezza ICT per le PA, che mi risulta essere ancora valida) penso si faccia più confusione che altro, visto che gli incroci con la NIS2 sono ignorati nella migliore delle ipotesi o non gestiti la meglio. Queste linee guida rientrano nello stesso meccanismo: propongono 26 misure basate sul NIST CSF, né collegate alle misure minime di AgID, né ovviamente a quelle NIS2 (che richiamano di più la ISO/IEC 27001). Inoltre, queste misure sono presentate 4 volte (prima come lista, poi con dettagli in 2 o 3 pagine, poi nella Parte II con le linee guida per l'implementazione sempre di 2 o 3 pagine, infine in Appendice A dove sono indicate le "implementazioni minime attese").

 

Come consulente di sicurezza delle informazioni sono contento: ci sarà sempre più lavoro per la mia categoria. Ma come cittadino non posso che disapprovare questo accumularsi di norme tra loro non allineate.

 

Poi, mi è facile ammettere che la lettura è comunque interessante per chi vuole interessarsi alla sicurezza informatica, ma per quello si poteva fare un testo più lineare (sembra il libro di Inglese delle medie di uno dei miei figli, dove gli esercizi di ciascuna Unit sono in 3 posti diversi senza alcun motivo apparente se non quello di far girare pagine e consumarle).

domenica 24 novembre 2024

Malware "cartaceo"

Claudio Sartor, che ringrazio, mi ha segnalato questa interessante puntata del podcast di Paolo Attivissimo (con trascrizione): https://attivissimo.me/2024/11/18/podcast-rsi-un-attacco-informatico-che-arriva-su-carta/.

 

Il titolo è "Podcast RSI – Un attacco informatico che arriva… su carta?" e presenta il caso di una lettera (falsa) di un'autorità svizzera che richiede ai destinatari di installare un certo software (con malware) sui loro smartphone.

 

 

venerdì 22 novembre 2024

Pubblicato il cyber resilience act (CRA)

Pubblicato il Regolamento UE 2024/2847, detto cyber resilience act (CRA): https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32024R2847. Ringrazio Chiara Ponti degli Idraulici della privacy per la segnalazione.

 

In merito avevo letto un breve articolo (la seconda parte): https://www.altalex.com/documents/news/2024/10/28/sistema-ai-provoca-danno-scatta-risarcimento-utente-danneggiato.

 

In sostanza, il Regolamento mira a garantire "che i prodotti con componenti digitali, ad esempio i prodotti dell'internet delle cose, siano resi sicuri lungo l'intera catena di approvvigionamento e per tutto il ciclo di vita".

 

Nei considerando, il Regolamento specifica che altre normative, come il Cyber security act e la NIS2, "non contemplano direttamente requisiti obbligatori per la sicurezza dei prodotti con elementi digitali".

 

Innanzi tutto, segnalo che "Il presente regolamento si applica dall’11 dicembre 2027". L'obbligo di segnalare incidenti che hanno sfruttato vulnerabilità dei propri prodotti scatta invece l'11 giugno 2026.

 

Di seguito i miei appunti di lettura. Vi prego di segnalarmi errori, dimenticanze, imprecisioni e, in breve, qualsiasi possibile miglioramento.

 

Distingue tra prodotti con elementi digitali "normali", importanti e critici.

 

Per i prodotti normali:

- sono descritti nell'articolo 6;

- vanno applicate le misure "minime" dell'Allegato 1 e il processo di gestione delle vulnerabilità, sempre in allegato 1.

 

Per i prodotti importanti:

- Sono descritti all'art. 7 e nell'Allegato III; in sintesi si tratta di prodotti di sicurezza informatica e prodotti i cui malfunzionamenti e compromissioni possono avere impatti significativi su altri sistemi informatici o sulle persone.

- Entro l'11 dicembre 2025, la Commissione fornirà migliori indicazioni (descrizioni tecniche) delle categorie di tali prodotti.

- Vanno applicate le verifiche descritte nell'articolo 32; in particolare, se non sono seguite norme armonizzate (norme ETSI) o specifiche comuni della Commissione, va coinvolto un organismo di certificazione ("organismo notificato") per la verifica o del tipo o del sistema di gestione per la qualità (si tratta quindi di due opzioni distinte, a scelta del fabbricante). Per alcuni prodotti la verifica del tipo va accompagnata anche dalla verifica della produzione. In alternativa, si può usare il meccanismo di certificazione del prodotto.

 

Per i prodotti critici:

- Sono descritti all'art. 8 e nell'Allegato IV; mi pare che al momento siano molto pochi e alcuni siano già certificati secondo i Common Criteria (ISO/IEC 15408).

- Devono applicare le misure dell'Allegato 1 ed essere certificati con livello di affidabilità almeno "sostanziale", secondo quanto previsto dal Cybersecurity Act (regolamento UE 2019/881), sempre che esista uno schema di certificazione sia stato adottato; mi sembra che, quindi, si possa immaginare un obbligo di certificazione secondo la ISO/IEC 15408 (ossia lo schema EUCC, l'unico adottato secondo il Cybersecurity act per ora con la Implementing Regulation EU 2024/482) di tali prodotti e, sempre che non abbia capito male, con livello EAL anche 1 o 2.

- Nel caso in cui non sia disponibile lo schema di certificazione, va coinvolto un organismo di certificazione ("organismo notificato") per la verifica o del tipo e della produzione o del sistema di gestione per la qualità (si tratta quindi di due opzioni distinte, a scelta del fabbricante).

 

Ulteriori misure saranno dettagliate in norme armonizzate (probabilmente della ETSI) o in atti di esecuzione della Commissione (art. 27). Bisognerà monitorare con attenzione la pubblicazione di tali norme e atti.

 

In generale, i fabbricanti devono condurre valutazioni del rischio relativo alla cibersicurezza dei prodotti, identificare e applicare i controlli di sicurezza tecnici e di processo (incluse le attività di manutenzione, assistenza e gestione vulnerabilità). L'assistenza deve essere garantita per almeno 5 anni (art. 13).

 

Sono quindi fornite indicazioni ulteriori sulla documentazione tecnica (art. 13 e 31, Allegato VII), sul tracciamento dei prodotti (art. 13), sulle informazioni e istruzioni per gli utilizzatori (Allegato II), sui punti di contatto (art. 13), sul ritiro o richiao dei prodotti (art. 13), sul come redigere la dichiarazione di conformità UE (art. 28 e Allegato V), sulla marcatura CE (art. 29 e 30)

 

L'articolo 14, come in altre normative, richiede ai fabbricanti di notificare al CSIRT gli incidenti determinati dallo sfruttamento di vulnerabilità dei prodotti. L'articolo 15 prevede che fabbricanti e persone possano segnalare vulnerabilità al CSIRT (elemento sicuramente molto interessante).

 

Gli articoli 24 e 25 sono relativi ai software liberi e open source. C'è anche un richiamo per la certificazione di tali software all'articolo 32.

 

Ci sono riferimenti alle normative relative alla sicurezza generale dei prodotti (va applicato sia il CRA sia il Regolamento 2023/988), ai sistemi di IA ad alto rischio.

 

Relativamente alla certificazione (articoli 35-51), deve essere istituita l'autorità di notifica (in Italia sarà probabilmente Accredia, ma non deve esserlo necessariamente), che a sua volta deve approvare gli organismi di notifica (ancora una volta, penso che molti saranno gli organismi di certificazione già presenti sul mercato per la ISO 9001, la ISO/IEC 27001 eccetera).

 

Interessante osservare che (art. 32): "Si dovrebbe tener conto degli interessi e delle esigenze specifici delle microimprese e delle piccole e medie imprese, comprese le start-up, nel definire le tariffe per le procedure di valutazione della conformità e tali tariffe sono ridotte proporzionalmente agli interessi e alle esigenze specifici di tali imprese".

 

Il regolamento prevede quindi la possibilità per la Commissione di modificare alcuni punti tra quelli sopra riportati. E' quindi necessario attivare canali di aggiornamento, anche se al momento non ne vedo di affidabili (ENISA non prevede newsletter, ma aggiornamenti solo via social network, che, con tutti i problemi noti, andrebbero sconsigliati; sottoscrivere agli RSS è molto macchinoso, ma almeno ci sono).

 

Altro riferimento da tenere monitorato è il gruppo di cooperazione amministrativa (ADCO), ma al momento non mi sembra che abbia prodotto cose significative. Vedere la pagina: https://single-market-economy.ec.europa.eu/single-market/goods/building-blocks/market-surveillance/organisation/adcos_en.

 

L'articolo 33 prevede "misure di sostegno per le microimprese e le piccole e medie imprese", che includono attività di formazione e di comunicazione. Immagino ne possano beneficiare anche le grandi.

 

Gli articoli 52-60 trattano delle attività di vigilanza, non di mio interesse, così come gli articoli finali, con l'eccezione delle scadenze riportate all'inizio.

lunedì 18 novembre 2024

Nuova direttiva sulla responsabilità per prodotti difettosi (inclusi software e IA)

E' stata pubblicata la Direttiva UE 2024/2853 da titolo "Sulla responsabilità per danno da prodotti difettosi": https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32024L2853&qid=1731949049419.

 

Intanto ricordo che si tratta di una Direttiva che dovrà essere adottata in Italia entro il 9 dicembre 2026, quindi c'è tempo (se non sbaglio).

 

Avevo letto questo articolo in merito e quindi rimando ad esso: https://www.altalex.com/documents/news/2024/10/28/sistema-ai-provoca-danno-scatta-risarcimento-utente-danneggiato.

 

Ho aspettato finora a darne notizia perché il testo non era ancora disponibile. Ringrazio un post su LinkedIn di Andrea Michinelli per l'aggiornamento.

NIS2: scadenza per la registrazione

Avevo dato in precedenza informazione sul fatto che la registrazione sulla piattaforma ACN dei soggetti in ambito doveva essere fatta entro il 17 gennaio.

 

La data l'avevo calcolata io e credo di aver trovato conferma anche altrove. Comunque: il sito ACN indica come data ultima per la registrazione il 28 febbraio.

 

Faccio riferimento alle FAQ di ACN e a un post su LinkedIn (ringrazio Fabrizio Cirilli per averlo diffuso anche alla sua rete): https://www.linkedin.com/posts/agenzia-per-la-cybersicurezza-nazionale_nis2-acn-activity-7258070188019879936-dekB.

 

Ho aggiornato i miei post scorretti.

Accesso abusivo ai sistemi informatici aziendali, anche per i superiori gerarchici

Chiara Ponti degli Idraulici della privacy ha segnalato la sentenza 40295 24 della Cassazione Penale del 31.10.2024 che ha configurato l’ipotesi di “Accesso abusivo ai sistemi informatici aziendali, anche per i superiori gerarchici”.

 

Cosa dice Chiara: "chiarisce come anche un superiore gerarchico possa commettere il reato di accesso abusivo (art. 615-ter cp) qualora acceda a un sistema informatico aziendale protetto, senza autorizzazione (del dipendente), anche con le credenziali fornite dal collaboratore".

 

Chiara riporta anche: "'Per la Corte, la protezione del sistema tramite credenziali di accesso dimostra già la volontà dell'azienda di riservare l'accesso solo a determinate persone' Quindi ogni utente autorizzato deve usare solo le proprie credenziali personali per accedere ai dati, lasciando così traccia digitale del proprio accesso. Le mansioni superiori non conferiscono automaticamente l'autorizzazione ad accedere ai dati riservati, salvo diversa disposizione esplicita del datore di lavoro”.

 

La sentenza l'ho trovata qui: https://www.wikilabour.it/segnalazioni/rapporto-di-lavoro/laccesso-a-un-sistema-informatico-protetto-e-abusivo-anche-se-il-dipendente-usa-la-chiave-richiesta-a-un-sottoposto/.

sabato 9 novembre 2024

ENISA Implementation guidance on NIS 2 security measures - Draft for Consultation

Chiara Ponti ha segnalato agli Idraulici della privacy la pubblicazione da parte di ENISA del documento "Implementation guidance on NIS 2 security measures - Draft for Consultation": https://www.enisa.europa.eu/publications/implementation-guidance-on-nis-2-security-measures.

 

La ringrazio.

 

Attenzione che il documento riguarda il Regolamento di esecuzione (Implementing regulation) 2024/2690, quindi è applicabile solo a: fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e i prestatori di servizi fiduciari.

 

Attenzione ancora che si tratta di una bozza per consultazione pubblica.

 

Ad ogni modo, la lettura può essere utile perché per ogni punto del Regolamento di esecuzione approfondisce le misure richieste e fornisce una sorta di lista di controllo per verificarne l'applicazione. Come tutte le liste di controllo, però, va presa con cautela (per esempio, prevede che il riesame delle politiche sia svolto durante i riesami di direzione, ma potrebbe avvenire anche in altri momenti).

 

Ulteriormente utili sono le tabelle di correlazione dei punti del Regolamento di esecuzione con ISO/IEC 27001:2022, NIST CFS 2.0, ETSI EN 319 401 (utile per i prestatori di servizi fiduciari) e CEN/TS 18026:2024. Sono anche riportati i riferimenti a norme nazionali belghe, finlandesi, greche e spagnole.

UFCS Rapporto semestrale 2024/1

L’Ufficio federale della cibersicurezza (UFCS) svizzero pubblica un rapporto semestrale sempre molto interessante. Ora hanno pubblicato quello relativo alla situazione registrata nel primo semestre 2024: https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2024-1.html.

 

Raccomando, per i più frettolosi, la lettura della sintesi sulla pagina web. Il rapporto principale, in pdf, come sempre, accompagna le analisi degli eventi con raccomandazioni sempre molto utili.

 

L'attenzione principale è rivolta alle truffe e infatti è dedicato un rapporto dedicato, disponibile sempre alla stessa pagina, però solo in francese e tedesco. A mio parere, chi avesse la capacità di leggerlo potrebbe riutilizzarne gli esempi del capitolo 4 per campagne di sensibilizzazione.

ISO/IEC 29134:2023 Guidelines for privacy impact assessment

Confermo che, per fare sicurezza, non dobbiamo rincorrere l'ultima notizia. Ma questa volta ci arrivo decisamente tardi, visto che segnalo la pubblicazione della  ISO/IEC 29134:2023 Information technology — Security techniques — Guidelines for privacy impact assessment, avvenuta a maggio 2023: https://www.iso.org/standard/86012.html.

 

Rispetto alla versione del 2017 i cambiamenti sono solo di tipo editoriale, ossia correzione di refusi. Infatti ricordo che ero molto deluso del risultato e forse è per questo che non l'avevo annunciata a suo tempo.

giovedì 7 novembre 2024

Dossieraggi

Sappiamo essere notizia il fenomeno dei dossieraggi.

 

Evito di entrare troppo nel merito e raccomando la lettura dell'analisi di Guerre di rete, visto che è difficile fare di meglio: https://guerredirete.substack.com/p/guerre-di-rete-se-le-banche-dati.

 

Io e Chiara Ponti abbiamo scritto un articolo per riflettere sulle misure di sicurezza: https://www.cybersecurity360.it/cultura-cyber/dossieraggio-bene-la-task-force-del-garante-privacy-per-vederci-chiaro-in-quanto-successo/.

 

Come sempre, se qualcuno dovesse avere idee diverse, mi piacerebbe discuterne.