tag:blogger.com,1999:blog-30900805090350956842024-03-19T09:47:05.500+01:00IT Service Management NewsSicurezza delle informazioni, IT service management e qualità da Cesare GallottiCesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.comBlogger1932125tag:blogger.com,1999:blog-3090080509035095684.post-9336936705441009612024-03-17T19:43:00.001+01:002024-03-18T15:45:14.115+01:00ENISA Telecom security incidents 2022<div class="WordSection1"><p class="MsoPlainText"><span lang="IT">Franco Vincenzo Ferrari mi ha segnalato la pubblicazione, il 14 marzo 2024, del rapporto ENISA "Telecom security incidents 2022": <a href="https://www.enisa.europa.eu/publications/telecom-security-incidents-2022">https://www.enisa.europa.eu/publications/telecom-security-incidents-2022</a>.</span></p><p class="MsoPlainText"><span lang="IT">Il totale di incidenti segnalato è basso: 155. </span></p><p class="MsoPlainText"><span lang="IT">Interessante notare che solo il 6% è dovuto ad azioni malevole, il resto è dovuto a guasti (72%), errori umani (15%) e fenomeni naturali (6%). </span></p><p class="MsoPlainText"><span lang="IT">Questo non vuol dire che si debbano ignorare gli attacchi intenzionali, ma che la sicurezza riguarda anche (e forse soprattutto) la prevenzione degli errori e il controllo di guasti ed eventi naturali, spesso sottovalutati forse perché non richiamano battaglie all'ultimo bit o situazioni da film d'avventura. Da non dimenticare comunque che ogni rete è oggetto di più scansioni ogni giorno (ma questo dato non si trova in questo rapporto di ENISA e, anzi, chiedo dove ritrovarlo perché il mio riferimento risale ai primi anni 2000).<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p> </o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p> </o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-29279519678295034412024-03-17T19:33:00.000+01:002024-03-18T15:45:03.581+01:00eIDAS 2.0<div class="WordSection1"><p class="MsoPlainText"><span lang="IT">eIDAS 2.0 non è stato ancora approvato in modo definitivo, ma si può pensare che il testo sia quello. Per questo Franco Vincenzo Ferrari mi ha segnalato un articolo di Giovanni Manca dal titolo "eIDAS 2.0: tutte le novità": <a href="https://www.forumpa.it/pa-digitale/eidas-2-0-tutte-le-novita/">https://www.forumpa.it/pa-digitale/eidas-2-0-tutte-le-novita/</a>.</span></p><p class="MsoPlainText"><span lang="IT">Ringrazio e ne raccomando la lettura.<o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-58182655938684855002024-03-17T19:26:00.001+01:002024-03-18T15:44:55.044+01:00Approvato l'AI Act europeo<div class="WordSection1"><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Negli ultimi mesi sono girate tante notizie sull'AI Act,, però prima che fosse approvato.</span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Il 13 marzo è stato approvato dal Parlamento Europeo. Io non ne parlo direttamente e preferisco indirizzare a Guerre di rete: <a href="https://guerredirete.substack.com/p/guerre-di-rete-ai-act-infine">https://guerredirete.substack.com/p/guerre-di-rete-ai-act-infine</a>. </span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Ovviamente ci sono tantissimi altri articoli che ne parlano. Io per ora mi fermo qui.</span><span lang="IT"><o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-2808737280282296542024-03-15T16:43:00.001+01:002024-03-15T19:38:17.823+01:00Repository VERA su GitHub<div class="WordSection1"><p class="MsoPlainText"><span lang="IT">Tanti mi segnalano variazioni a VERA o mi raccomandano aggiunte e modifiche. Io cerco di mantenere il file nel modo più semplice possibile e ho deciso di pubblicarlo su GitHub: <a href="https://github.com/CesareGallotti/VERA">https://github.com/CesareGallotti/VERA</a>.<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">In questo modo, mi sarà forse più facile caricare gli aggiornamenti e chiunque potrà creare un fork per presentare la propria variazione (o forse lo farò io stesso).<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">Ogni suggerimento sull'uso di GitHub sarà gradito. Se qualcuno vorrà proporre alternative, le prenderò in considerazione (almeno finché non ci saranno fork).<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">Per intanto, ho caricato il VERA 7.3 (l'ultima versione con qualche correzione) in italiano e inglese e il manuale in italiano e in inglese.<o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-25661798063589015152024-03-15T15:51:00.001+01:002024-03-15T16:04:10.476+01:00Note sulla NIS2<div class="WordSection1" style="text-align: left;"><p class="MsoNormal"><span lang="IT">Miei
appunti e riflessioni sulla NIS2. In molti mi hanno chiesto cosa ne so e
cosa ne penso, quindi pubblico tutto quello che ne so e ne penso.<o:p></o:p></span></p><p class="MsoNormal"><b><span lang="IT">Due parole sulla NIS 2<o:p></o:p></span></b></p><p class="MsoNormal"><span lang="IT">NIS 2 (Direttiva UE 2022/2055) entrata in vigore il 17 gennaio 2023.</span><span lang="IT"> </span></p><p class="MsoNormal"><span lang="IT">NIS2 dovrà essere recepita entro ottobre 2024.<o:p></o:p></span></p><ul style="text-align: left;"><li><span lang="IT">Aumentano i soggetti.<o:p></o:p></span></li><li><span lang="IT">Richiede un’analisi dei rischi.<o:p></o:p></span></li><li><span lang="IT">Le misure dovrebbero essere adeguate al contesto, considerando quindi anche la capacità di spesa.<o:p></o:p></span></li></ul><p class="MsoNormal"><b><span lang="IT">Soggetti a cui si applica la NIS2<o:p></o:p></span></b></p><p class="MsoNormal"><span lang="IT">L’applicabilità
dipende dai settori e dalla dimensione (più di 50 addetti e giro
d’affari superiore ai 10 milioni di Euro; escludendo quindi le piccole e
medie) dell’organizzazione. La NIS2 è applicabile quindi a:<o:p></o:p></span><span lang="IT"> </span></p><ul><li class="MsoNormal"><span lang="IT">soggetti essenziali (essential
entities);</span></li><li class="MsoNormal"><span lang="IT">soggetti importanti (important
entities).</span></li></ul><p class="MsoNormal"><span lang="IT">La differenza pratica riguarda i controlli e le sanzioni.<o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">La NIS2 coinvolge più aziende rispetto al PNCS.<o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">Con
la NIS 2 le entità dovranno riconoscersi come soggetti che devono
applicare la NIS 2, non è più l’autorità che le designa come tali. E’
previsto che le entità si registrino secondo regole che saranno fornite.<o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">Sulla
base delle registrazioni, entro il 17 aprile 2025, gli Stati membri
creano un elenco dei soggetti essenziali e importanti e dei soggetti che
forniscono servizi di registrazione dei nomi di dominio.<o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">Lo schema seguente si trova sul sito <span class="MsoHyperlink"><a href="https://ccb.belgium.be/en/nis-2-directive-what-does-it-mean-my-organization">https://ccb.belgium.be/en/nis-2-directive-what-does-it-mean-my-organization</a></span>. <o:p></o:p></span></p><p class="MsoNormal"><span style="mso-fareast-language: EN-GB;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEiBOmW7HP_o8ej7W-DvJM-GQLS_1I920c_HDEJYPrf34gVUW_i9ErFAnzK9GOkUNonCjteMZnt6MOwywfkuhuNeUZtzwYOCN87DGN4XpkpkR-tkAq1GD9h0TthpG05WH8pyqrsx0mhjESa_d0TinjiS7XzF2qpsY3naREAsaSYWox40xPpOKvH-WvzlDxK8"><img alt="" border="0" id="BLOGGER_PHOTO_ID_7346602965315520994" src="https://blogger.googleusercontent.com/img/a/AVvXsEiBOmW7HP_o8ej7W-DvJM-GQLS_1I920c_HDEJYPrf34gVUW_i9ErFAnzK9GOkUNonCjteMZnt6MOwywfkuhuNeUZtzwYOCN87DGN4XpkpkR-tkAq1GD9h0TthpG05WH8pyqrsx0mhjESa_d0TinjiS7XzF2qpsY3naREAsaSYWox40xPpOKvH-WvzlDxK8=s320" /></a></span><span lang="IT"><o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">Rientreranno
nel perimetro di applicazione anche i soggetti definiti “critici” dalla
Direttiva (UE) 2022/2557, meglio nota come Direttiva CER.<o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">Ulteriori soggetti potrebbero essere aggiunti dalla normativa nazionale.<o:p></o:p></span></p><p class="MsoNormal"><b><span lang="IT">Valutazione del rischio<o:p></o:p></span></b></p><p class="MsoNormal"><span lang="IT">NIS2
è multirischio: logico, fisico, governo, lock in tecnologico,
utilities. E considera l’impatto “sociale ed economico” e richiede un
“livello appropriato” di sicurezza.<o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">Il Belgio mette a disposizione un approccio piuttosto semplice (ma non capisco bene come funziona): <span class="MsoHyperlink"><a href="https://ccb.belgium.be/en/choosing-right-cyber-fundamentals-assurance-level-your-organisation">https://ccb.belgium.be/en/choosing-right-cyber-fundamentals-assurance-level-your-organisation</a></span>.<o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">Interessante
la tabella degli impatti, perché forse potrebbe essere riutilizzata per
identificare gli incidenti significativi (vedere sotto).<o:p></o:p></span></p><p class="MsoNormal"><span style="mso-fareast-language: EN-GB;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEgIL1n4OP5vNhZTLnEa_K3oRE4h02yXlUUZmnZSLvuvjoMiC5_YvEgcNq0TY6iWpopoZwg9hatEC6Yk6SdvS4-_5CKGk890l0Hfxyj9mAzFChtuBrdxuPV3yFh6HSxX0KapXF_BfpqMGYLlcYSYMgQ7XdCWYZeXsSC7SLMNCZT1glmoqtq0SSQ58VJevaXn"><img alt="" border="0" id="BLOGGER_PHOTO_ID_7346602969287664866" src="https://blogger.googleusercontent.com/img/a/AVvXsEgIL1n4OP5vNhZTLnEa_K3oRE4h02yXlUUZmnZSLvuvjoMiC5_YvEgcNq0TY6iWpopoZwg9hatEC6Yk6SdvS4-_5CKGk890l0Hfxyj9mAzFChtuBrdxuPV3yFh6HSxX0KapXF_BfpqMGYLlcYSYMgQ7XdCWYZeXsSC7SLMNCZT1glmoqtq0SSQ58VJevaXn=s320" /></a></span><span lang="IT"><o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">Gli
Orientamenti della Commissione del 13.9.2023 indicano di considerare le
seguenti minacce, sempre in una logica di multirischio:</span></p><p class="MsoNormal">
</p><ul style="text-align: left;"><li class="MsoNormal"><span lang="IT">sabotaggi, </span></li><li>
<span lang="IT">furti, </span></li><li>
<span lang="IT">incendi, </span></li><li>
<span lang="IT">inondazioni, </span></li><li>
<span lang="IT">problemi di telecomunicazione,</span></li><li>
<span lang="IT">problemi di interruzioni di corrente, </span></li><li>
<span lang="IT">qualsiasi accesso fisico non autorizzato in
grado di compromettere la disponibilità, l'autenticità, l'integrità o la
riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti
da tali sistemi informativi e di rete o accessibili attraverso di essi,</span></li><li>
<span lang="IT">guasti del sistema, </span></li><li>
<span lang="IT">errori umani, </span></li><li>
<span lang="IT">azioni malevole, fenomeni naturali.</span></li></ul>
<p class="MsoNormal"><i><span lang="IT">Commento<o:p></o:p></span></i></p><p class="MsoNormal"><span lang="IT">L’auspicio
è che, se saranno date indicazioni su come condurre una valutazione del
rischio, non venga riproposto il modello formale, ma non utile, basato
su asset, minacce e vulnerabilità, ma invece un modello, come poi si
vede negli Orientamenti, basato sugli eventi, per cui non è utile avere
un dettaglio di tutti gli asset a questo scopo (è invece necessario per
attività operative).<o:p></o:p></span></p><p class="MsoNormal"><b><span lang="IT">Misure di sicurezza<o:p></o:p></span></b></p><p class="MsoNormal"><span lang="IT">La Direttiva identifica (articolo 21 paragrafo 2) le misure di gestione del rischio, ossia:</span></p><p class="MsoNormal">
</p><ol style="text-align: left;"><li class="MsoNormal"><span lang="IT">Politiche di analisi dei rischi e della
sicurezza dei sistemi informatici</span></li><li>
<span lang="IT">Sistemi di gestione degli incidenti</span></li><li>
<span lang="IT">Soluzioni di business continuity capaci di
garantire la continuità operativa e la gestione della crisi, dai backup al
disaster recovery</span></li><li>
<span lang="IT">Misure di sicurezza dell’intera supply chain,
a comprendere perciò i rapporti tra ogni soggetto e i suoi fornitori</span></li><li>
<span lang="IT">Sicurezza dell’acquisizione, sviluppo e
manutenzione dei sistemi e delle reti informatiche, compresa la gestione e la
divulgazione delle vulnerabilità</span></li><li>
<span lang="IT">Strategie e procedure per valutare l’efficacia
delle misure di gestione dei rischi di cybersecurity</span></li><li>
<span lang="IT">Pratiche di igiene informatica basilari e
formazione in materia di sicurezza informatica</span></li><li>
<span lang="IT">Procedure relativa all’uso della crittografia
e, se necessario, della cifratura</span></li><li>
<span lang="IT">Misure per la sicurezza delle risorse umane
grazie a strategie e politiche di controllo degli accessi (log management) e
gestione degli asset</span></li><li>
<span lang="IT">Uso di soluzioni di autenticazione a più
fattori o di autenticazione continua, di comunicazioni vocali, video e testuali
protette e di sistemi di comunicazione di emergenza protetti all’interno
dell’entità, ove opportuno. <br /></span></li></ol><span lang="IT" style="mso-ansi-language: IT;">Perri dice che
c’è un indice sulla valutazione delle competenze, ma io non l’ho trovato (o
forse ho capito male); forse nelle interpretazioni.</span>
<p class="MsoNormal"><span lang="IT">Entro
il 17 ottobre 2024, la Commissione adotta atti di esecuzione che
stabiliscono i requisiti tecnici e metodologici delle misure di cui
sopra per quanto riguarda i fornitori di:</span></p><p class="MsoNormal">
</p><ul style="text-align: left;"><li class="MsoNormal"><span lang="IT">servizi DNS, </span></li><li>
<span lang="IT">registri dei nomi di dominio di primo livello
(TLD), </span></li><li>
<span lang="IT">servizi di cloud computing, </span></li><li>
<span lang="IT">servizi di data center, </span></li><li>
<span lang="IT">reti di distribuzione dei contenuti, </span></li><li>
<span lang="IT">servizi gestiti, </span></li><li>
<span lang="IT">servizi di sicurezza gestiti, </span></li><li>
<span lang="IT">mercati online, </span></li><li>
<span lang="IT">motori di ricerca online,</span></li><li>
<span lang="IT">piattaforme di servizi di social network, </span></li><li>
<span lang="IT">prestatori di servizi fiduciari.</span></li></ul><span lang="IT">Alcuni prevedono che siano quindi da applicare:</span></div><div class="WordSection1" style="text-align: left;"><ul><li>
<span lang="IT">requisiti specifici settoriali stabiliti dalla
Commissione (o, in alternativa, requisiti raccomandati da ENISA o dalle
autorità nazionali);</span></li><li>
<span lang="IT">requisiti di base comuni (o, in alternativa,
certificazione ISO/IEC 27001).</span><span lang="IT"><o:p></o:p></span></li></ul></div><div class="WordSection1" style="text-align: left;"><p class="MsoNormal"><span lang="IT">Il Belgio (come l’Italia) propone elenchi di misure basati sul NIST CSF: <span class="MsoHyperlink"><a href="https://ccb.belgium.be/en/cyberfundamentals-framework">https://ccb.belgium.be/en/cyberfundamentals-framework</a></span>. <o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">Allo
stato attuale (13 marzo 2024) non sono state stabilite le misure da
adottare. In Italia sappiamo che adesso, per i soggetti sotto NIS, sono
richieste quelle del Framework Nazionale per la Cybersecurity e la Data
Protection (<span class="MsoHyperlink"><a href="https://www.cybersecurityframework.it/framework2">https://www.cybersecurityframework.it/framework2</a></span>) e così in altri Paesi. Forse con la NIS 2 seguiranno altri schemi. <o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">Attenzione
che le misure stabilite dagli Stati membri e di cui all’articolo 21
paragrafo 1 della NIS2 vanno applicate a tutte le attività operative
operazioni e a tutti i servizi del soggetto interessato, non solo a
risorse informatiche specifiche o a servizi critici forniti dal
soggetto. Mia interpretazione: per evitare che un soggetto con servizi
“sicuri” e “non sicuri” possa essere violato sfruttando le carenze dei
servizi “non sicuri” per poi, con movimenti laterali, compromettere
anche quelli “sicuri”.<o:p></o:p></span></p><p class="MsoNormal"><i><span lang="IT">Commento<o:p></o:p></span></i></p><p class="MsoNormal"><span lang="IT">Personalmente
spero sia adottata la ISO/IEC 27001. Potrebbero anche lasciare più
scelte ai soggetti. Infatti delegati italiani potrebbero partecipare
agli aggiornamenti e alle estensioni della ISO/IEC 27001, e non subire
passivamente gli aggiornamenti del NIST.<o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">In
tutti i casi, raccomando di cominciare a implementare la ISO/IEC 27001,
su cui, eventualmente, innestare le richieste specifiche che saranno
fatte. Un’implementazione ISO/IEC 27001 può essere facilmente
convertibile per NIST CSF o altri.<o:p></o:p></span></p><p class="MsoNormal"><b><span lang="IT">Gestione incidenti<o:p></o:p></span></b></p><p class="MsoNormal"><span lang="IT">Come
già previsto dalla Direttiva NIS 1, anche NIS 2 prevede l’obbligo di
notifica al CSIRT e alle autorità competenti (oltre che ai destinatari
stessi del servizio) degli incidenti significativi (incidenti
informatici capaci di impattare in modo significativo sulla fornitura
del servizio). <o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">Le comunicazioni al CSIRT dovranno avvenire:</span></p><p class="MsoNormal">
</p><ul style="text-align: left;"><li class="MsoNormal"><span lang="IT">Entro 24 ore dalla conoscenza dell’incidente
con una notifica di <u>preallarme</u> (questo per attenuare la potenziale
diffusione di incidenti e per consentire di chiedere assistenza);</span></li><ul><li>
<span lang="IT">deve riportare i dati strettamente necessari
se l'incidente significativo è sospettato di essere il risultato di atti
illegittimi o malevoli o se potrebbe avere (ossia se è probabile che abbia) un
impatto transfrontaliero;</span></li><li>
<span lang="IT">deve contenere una valutazione iniziale
dell'incidente significativo, comprensiva della sua gravità e del suo impatto,
nonché, ove disponibili, gli indicatori di compromissione.</span></li></ul><li>
<span lang="IT">Entro 72 ore dalla conoscenza dell’incidente
con aggiornamenti rispetto alle informazioni fornite con il preallarme</span></li><li>
<span lang="IT">Entro 1 mese dalla conoscenza dell’incidente
con una <u>relazione finale</u> a completamento del processo di segnalazione
(questo per poter trarre insegnamenti preziosi dai singoli incidenti);</span></li><ul><li>
<span lang="IT">la relazione deve essere comprensiva della sua
gravità e del suo impatto, il tipo di minaccia o la causa di fondo che ha
probabilmente innescato l'incidente, le misure di mitigazione adottate e in
corso e, se opportuno, l'impatto transfrontaliero dell'incidente.</span></li></ul></ul>
<p class="MsoNormal"><span lang="IT">Alcuni
soggetti sono soggetti a più normative e quindi a diverse modalità di
notificazione degli incidenti. In alcuni casi, il recepimento può essere
complesso.<o:p></o:p></span></p></div><div class="WordSection1" style="text-align: left;"><p class="MsoNormal"><span lang="IT">Obbligatorietà:</span></p><p class="MsoNormal">
</p><ul style="text-align: left;"><li class="MsoNormal"><span lang="IT">Articolo 23, stabilisce quando è obbligatorio
notificare;</span></li><li>
<span lang="IT">Articolo 30, indica quando la notifica è
volontaria (altri incidenti, minacce, quasi incidenti, anche da parte degli
altri soggetti).</span></li></ul><span lang="IT">Nella
NIS2 c’è la definizione di “incidente significativo” nell’articolo 23,
paragrafo 3: se ha causato o è in grado di causare una grave
perturbazione operativa dei servizi o perdite finanziarie per il
soggetto interessato o se si è ripercosso o è in grado di ripercuotersi
su altre persone fisiche o giuridiche causando perdite materiali o
immateriali considerevoli.<o:p></o:p></span><p class="MsoNormal"><span lang="IT">Vanno quindi definiti meglio e forse la tabella degli impatti usata per valutare il rischio.<o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">Definiti
anche i «quasi incidenti». Un evento che avrebbe potuto compromettere
la disponibilità, l'autenticità, l'integrità o la riservatezza di dati
conservati, trasmessi o elaborati o dei servizi offerti dai sistemi
informatici e di rete o accessibili attraverso di essi, ma che è stato
efficacemente evitato o non si è verificato.<o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">La NIS2 istituisce la rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe).<o:p></o:p></span></p><p class="MsoNormal"><b><span lang="IT">Altri argomenti<o:p></o:p></span></b></p><p class="MsoNormal"><span lang="IT">La NIS2 prevede ulteriori argomenti:</span></p><p class="MsoNormal">
</p><ul style="text-align: left;"><li class="MsoNormal"><span lang="IT">Cooperazione tra Stati membri</span></li><li>
<span lang="IT">Sanzioni</span></li><li>
<span lang="IT">Punti di contatto nazionali</span></li><li>
<span lang="IT">Ruolo dell'ENISA</span></li></ul>
<p class="MsoNormal"><span lang="IT">Questi però non rientrano nelle mie competenze e non li ho approfonditi.<o:p></o:p></span></p><p class="MsoNormal"><b><span lang="IT">Bibliografia<o:p></o:p></span></b></p><p class="MsoNormal"><span lang="IT">Sito web del Center for cyber security Belgium: <span class="MsoHyperlink"><a href="https://ccb.belgium.be/en/choosing-right-cyber-fundamentals-assurance-level-your-organisation">https://ccb.belgium.be/en/choosing-right-cyber-fundamentals-assurance-level-your-organisation</a></span>. </span>Grazie ad Alessandro Cosenza per la segnalazione.<o:p></o:p></p><p class="MsoNormal">Presentazione
“Directive (EU) 2022/2555 of 14 December 2022 on measures for a high
common level of cybersecurity across the Union (“NIS2 directive”)”.<o:p></o:p></p><p class="MsoNormal"><span lang="IT">Sito web della UE: <span class="MsoHyperlink"><a href="https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new">https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new</a></span>. Però non fornisce indicazioni che io ritengo utili.<o:p></o:p></span></p><p class="MsoNormal"><span lang="IT">Criteri interpretativi sulla NIS2 della Commissione: <span class="MsoHyperlink"><a href="https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-4-1-and-2-directive-eu-20222555-nis-2-directive">https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-4-1-and-2-directive-eu-20222555-nis-2-directive</a></span>. Grazie a Pierluigi Perri.</span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-19008259551155129222024-03-11T17:39:00.000+01:002024-03-18T15:44:33.059+01:00Nuova ISO/IEC 29100<div class="WordSection1"><p class="MsoPlainText"><span style="mso-fareast-language: EN-GB;">Pubblicata la ISO/IEC 29100:2024 "Information technology - Security techniques - Privacy framework": <a href="https://www.iso.org/standard/85938.html">https://www.iso.org/standard/85938.html</a>.</span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Le novità principali non sono paticolarmente significative (aggiornati i riferimenti normativi e la bibliografia, cambiato "secondary use” con “secondary purpose”).</span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Va detto che la ISO/IEC 29100 fissa la terminologia relativa alla privacy nell'ambito delle norme ISO/IEC, in alcuni casi significativamente diversa da quella del GDPR (per esempio usa "PII principal" al posto di "data subject", ossia "interessato"). </span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Forse l'acquisto di 129 CHF non vale lo sforzo, visto che le definizioni sono comunque disponibili sul ISO Online Browsing Platform (OBP): <a href="https://www.iso.org/obp/ui">https://www.iso.org/obp/ui</a>.</span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Grazie a Monica Perego (Idraulica della privacy) per la segnalazione.<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p> </o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-18823887605993809112024-03-11T17:31:00.001+01:002024-03-18T15:44:21.666+01:00Accreditamento EA per Europrivacy<div class="WordSection1"><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Grazie agli Idraulici della privacy, vengo a sapere che EA ha approvato i criteri di Europrivacy per le certificazioni secondo l'articolo 43 del GDPR: <a href="https://www.linkedin.com/posts/europrivacy_gdpr-europrivacy-datacontrollers-activity-7172870504884682752-w5x-">https://www.linkedin.com/posts/europrivacy_gdpr-europrivacy-datacontrollers-activity-7172870504884682752-w5x-</a>.</span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Secondo l'articolo, EA ha esteso quanto già fatto da Accredia. Quindi gli altri organismi di accreditamento potranno riutilizzare il lavoro già fatto.</span><span lang="IT"><o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-14427678877609151612024-03-11T10:54:00.001+01:002024-03-18T15:44:13.301+01:00Sanzione privacy per incompleta informativa<div class="WordSection1"><p class="MsoPlainText"><span lang="IT">Dalla newsletter del Garante privacy, segnalo il Provvedimento dell'8 febbraio 2024 [9991183]: <a href="https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9991183">https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9991183</a>.<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">La cosa che mi ha fatto pensare è che la sanzione è in parte dovuta alla mancata indicazione della base giuridica sull'informativa. Un dettaglio a cui, quindi e giustamente, prestare attenzione.<o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-90524853898998291742024-03-11T10:48:00.001+01:002024-03-18T15:42:14.386+01:00Sanzione privacy a Unicredit misure di sicurezza<div class="WordSection1"><p class="MsoPlainText"><span lang="IT">Segnalo, dalla newsletter del Garante privacy, il Provvedimento dell'8 febbraio 2024: <a href="https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9991020">https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9991020</a>.</span></p><p class="MsoPlainText"><span lang="IT">Le motivazioni per la sanzione, per una violazione avvenuta a ottobre 2018, sono:<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">- risposte HTTP del sito di home banking con in chiaro nome, cognome, codice fiscale e codice identificativo dei clienti ed ex clienti (peraltro nota a seguito di vulnerability assessment condotto proprio nei giorni in cui subiva l'attacco);<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">- mancato controllo della robustezza del PIN scelto dall'utente (evitando, per esempio, quelli composti da sequenze di numeri o coincidenti con la data di nascita).<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">E' stata condannata anche NTT Data perché aveva dato in subappalto il vulnerability assessment, nonostante il subappalto fosse proibito dal contratto con Unicredit.<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">C'è da meditare.<o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-1856322938256893412024-03-11T07:59:00.001+01:002024-03-18T15:41:15.233+01:00Auditing Practice Articles<div class="WordSection1"><p class="MsoPlainText">Segnalo la pubblicazione dell'SC 27 Journal Volume 3, Issue 4 Oct 2023 – Auditing Practice Articles: <a href="https://committee.iso.org/sites/jtc1sc27/home/wg2.html">https://committee.iso.org/sites/jtc1sc27/home/wg2.html</a>.<o:p></o:p></p><p class="MsoPlainText"><o:p></o:p></p><p class="MsoPlainText"><span lang="IT">Si tratta di un insieme di chiarimenti sulla ISO/IEC 27001 non ufficiali scritti dagli stessi esperti del gruppo che ha scritto la ISO/IEC 27001.<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">Vale la pena leggerli, anche perché troppo spesso opportunità di miglioramento (p.e. di integrazione del SOA o di irrobustimento dei controlli) sono interpretate da troppi auditor e consulenti e docenti come requisiti.<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">Su questo vale la pensa osservare come molte energie sono spese nella valutazione del rischio e poi nell’implementare i controlli “come nell’Annex A o nella ISO/IEC 27002” e questo sia in contraddizione: la valutazione del rischio deve guidare la scelta dei controlli e di come realizzarli, non il fatto che siano presenti nell’Annex A.<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">Non c’è solo questo negli articoli e invito a leggerli.<o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-66441327878464662992024-03-07T12:39:00.001+01:002024-03-18T15:36:06.383+01:00Miei webinar su NIS 2 e whistleblowing<div class="WordSection1"><p class="MsoPlainText"><span lang="IT">Mi vanto un po' e segnalo questi due webinar che terrò prossimamente.<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">Nel primo, il 18 aprile alle 10.30, parlerò di NIS2: <a href="https://www.coretech.it/en/service/event/eventDetail.php?ID=1124">https://www.coretech.it/en/service/event/eventDetail.php?ID=1124</a>.<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">Nel secondo, l'8 maggio alle 10.30, parlerò di whistleblowing: <a href="https://www.coretech.it/en/service/event/eventDetail.php?ID=1125">https://www.coretech.it/en/service/event/eventDetail.php?ID=1125</a>. <o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-12373615576397617762024-03-07T10:41:00.001+01:002024-03-18T15:01:56.639+01:00Studio ENISA sulla Cyber Insurance<div class="WordSection1" style="text-align: left;"><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Riccardo Lora (Idraulico della privacy, che ringrazio), mi segnala lo studio ENISA "Cyber Insurance - Models and methods and the use of AI", pubblicato il 21 febbraio: <a href="https://www.enisa.europa.eu/publications/cyber-insurance-models-and-methods-and-the-use-of-ai">https://www.enisa.europa.eu/publications/cyber-insurance-models-and-methods-and-the-use-of-ai</a>.</span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Riccardo commenta: il doc è interessante perché evidenzia come è e sarà sempre più complesso per le compagnie trovare il modo di coprire il rischio cyber con gli strumenti adottati finora come il calcolo sullo storico dei sinistri.</span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Io segnalo quanto segue:<o:p></o:p></span></p><ul><li class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">il titolo coinvolge l'IA evidentemente per moda, visto che non è un tema così significativo per lo studio;<o:p></o:p></span></li><li class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">conferma la carenza di dati per poter sviluppare ulteriormente le analisi statistiche;<o:p></o:p></span></li><li class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">afferma che le ciber-assicurazioni possono dare benefici soprattutto se affiancate da servizi di ciber-assistenza (ma, mi sembra, senza esplicitarli compiutamente).</span></li></ul></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-5883548144985292152024-03-04T15:19:00.000+01:002024-03-18T15:00:43.492+01:00Cybersecurity Certification Scheme europeo ora anche in Italia<div class="WordSection1"><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Accredia ha pubblicato alcuni chiarimenti in merito al</span><span lang="IT"> </span><span lang="IT" style="mso-fareast-language: EN-GB;">Cybersecurity Certification Scheme europeo recentemente approvato: <a href="https://www.accredia.it/2024/02/28/sistema-europeo-di-certificazione-della-cybersicurezza/">https://www.accredia.it/2024/02/28/sistema-europeo-di-certificazione-della-cybersicurezza/</a>.</span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">In sostanza, le certificazioni Common criteria secondo il Cybersecurity Certification Scheme europeo dipenderanno da Accredia e ACN.</span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Ringrazio Franco Vincenzo Ferrari per avermi segnalato la pagina.</span><span lang="IT"><o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-15132744397382065442024-03-04T13:28:00.001+01:002024-03-18T14:59:13.957+01:00Pubblicata la nuova ISO/IEC 27006-1:2024<div class="WordSection1"><p class="MsoPlainText">Pubblicata la nuova versione della ISO/IEC 27006-1 dal titolo " Information security, cybersecurity and privacy protection - Requirements for bodies providing audit and certification of information security management systems — Part 1: General": <a href="https://www.iso.org/standard/82908.html">https://www.iso.org/standard/82908.html</a>.</p><p class="MsoPlainText"><span lang="IT">Questo è uno standard che usano gli organismi di certificazione per le attività di certificazione ISO/IEC 27001 e non fornisce indicazioni utili per le altre organizzazioni.<o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-88028643622647519492024-03-01T16:47:00.002+01:002024-03-18T14:58:36.911+01:00Sanzione privacy a ENEL Energia e misure di sicurezza<div class="WordSection1"><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Il Garante ha sanzionato per 80 milioni di Euro Enel Energia per non aver protetto adeguatamente i dati di contatto dei propri clienti e, quindi, permettendo ad agenzie di marketing non autorizzate di usarli per contattare tali clienti per attività non autorizzate.</span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Il Provvedimento (documento 9988710) dell'8 febbraio 2024, segnalatomi da Monica Perego (Idraulica della privacy): <a href="https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9988710">https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9988710</a>. </span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Mi interessano soprattutto le misure di sicurezza contestate:</span></p><ul style="text-align: left;"><li class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Controllo accessi a 2 fattori, ma che non impedisce l'accesso contemporaneo dello stesso utente da due postazioni distinte e che quindi permette a più persone di usare le medesime credenziali. Questo non mi convince perché un operatore può trovare comodo aprire più istanze della stessa applicazione, come ho sperimentato anche personalmente. Questo però mi permette di capire meglio il perché di una vecchia misura minima del DPR 318 del 1999, che peraltro era già stata oggetto di molte contestazioni all'epoca e infatti non fu ripresa dalle misure minime del D. Lgs. 196 del 2003.<o:p></o:p></span></li><li class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Mancata analisi dei log per intercettare tecniche di "sottobosco di marketing", peraltro note e identificabili con analisi dei quantitativi di contratti inseriti.<o:p></o:p></span></li><li class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Mancata analisi dei log per identificare connessioni multiple e accessi da locazioni geografiche sospette. La giustificazione da parte di Enel Energia si basa sulla poca significatività di tali analisi, considerando l'uso di dispositivi portatili e del lavoro agile.<o:p></o:p></span></li><li class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Accettazione di contratti inseriti da società non presenti nella rete vendita. Non trovo approfondimenti su questo aspetto nel Provvedimento. Io lo collegherei alla scorretta attivazione, alla mancata disattivazione o ai carenti riesami delle utenze delle società.<o:p></o:p></span></li><li class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Mancato controllo dei responsabili e dei sub-responsabili.<o:p></o:p></span></li></ul><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Non mi interessa analizzare deduzioni e controdeduzioni presenti nel Provvedimento, ma solo prendere nota delle misure considerate necessarie e, per me, da considerare nelle mie attività.<o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-87754915676752283032024-03-01T16:47:00.001+01:002024-03-18T14:56:43.509+01:00Nuove versioni degli standard per i cambiamenti climatici<div class="WordSection1"><p class="MsoPlainText"><span lang="IT">Molti avranno notato la pubblicazione di Amendment di numerosi standard ISO e ISO/IEC. In particolare della ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1.</span></p><p class="MsoPlainText"><span lang="IT">Sono state aggiunte due frasi: <o:p></o:p></span></p><ul style="text-align: left;"><li class="MsoPlainText"><span lang="IT">nell'ambito della comprensione del contesto (4.1), è richiesto di determinare se il cambiamento climatico è una questione pertinente;<o:p></o:p></span></li><li class="MsoPlainText"><span lang="IT">nell'ambito della comprensione dei requisiti delle parti interessate (4.2), è stata inserita una nota per segnalare che le parti interessate possono avere requisiti relativi al cambiamento climatico.<o:p></o:p></span></li></ul><p class="MsoPlainText"><span lang="IT">Monica Perego (Idraulica della privacy) mi ha segnalato la pubblicazione IAF (l'ente che coordina a livello internazionale gli organismi di accreditamento che, a loro volta, controllano gli organismi di certificazione) dal titolo "IAF-ISO Joint Communiqué on the addition of Climate Change considerations to Management Systems Standards". Si trova tra i comunicati dell'IAF su questa pagina: <a href="https://iaf.nu/en/iaf-documents/?cat_id=1">https://iaf.nu/en/iaf-documents/?cat_id=1</a>.<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">Parere personale: io prendo molto sul serio il cambiamento climatico e sono convinto si debbano fare molte cose anche urgentemente. Non credo però che questa iniziativa, che può creare anche confusione, porterà significativi miglioramenti. Inoltre ogni edizione degli standard non può essere emendate per più di due volte e questa iniziativa ne toglie una.<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">Avrei preferito una nota e aggiunte in tutte le nuove edizioni degli standard, mano a mano che escono.<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">Almeno gli Amendment sono gratuiti per tutti gli standard sul sito <a href="http://www.iso.org">www.iso.org</a>. Però bisogna registrarsi e dare il numero di carta di credito (mi sono fermato a questo punto).<o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-19833356790386498852024-02-29T17:18:00.001+01:002024-03-18T14:52:48.141+01:00Pubblicato il nuovo NIST Cybersecurity framework (NIST CFS 2.0)<div class="WordSection1"><p class="MsoPlainText"><span lang="IT">Avevo segnalato la bozza del NIST CSF 2.0: <a href="https://blog.cesaregallotti.it/2023/08/nist-cybersecurity-framework-20-in-bozza.html">https://blog.cesaregallotti.it/2023/08/nist-cybersecurity-framework-20-in-bozza.html</a>.<o:p></o:p><o:p> <br /></o:p></span></p><p class="MsoPlainText"><span lang="IT">Davide Giribaldi di Swiss Cyber Com mi ha informato che ne è stata pubblicata la versione definitiva: <a href="https://www.nist.gov/cyberframework">https://www.nist.gov/cyberframework</a>.</span></p><p class="MsoPlainText"><span lang="IT">Mi riporta anche le caratteristiche:<o:p></o:p></span></p><ul style="text-align: left;"><li class="MsoPlainText"><span lang="IT">Aggiunge il pilastro Governance a quelli già presenti;<o:p></o:p></span></li><li class="MsoPlainText"><span lang="IT">Valido non più solo per le infrastrutture critiche;<o:p></o:p></span></li><li class="MsoPlainText"><span lang="IT">Gestione rischio terze parti.<o:p></o:p></span></li></ul><p class="MsoPlainText"><span lang="IT">Mi chiede cosa ne penso. Ed ecco cosa ne penso, considerando che l'ho solo sfogliato:<o:p></o:p></span></p><ul style="text-align: left;"><li class="MsoPlainText"><span lang="IT">non ho trovato un file xls (o cvs) come c'era per la precedente versione ed era molto comodo; anzi, è poco chiaro come navigare tra i requisiti;<o:p></o:p></span></li><li class="MsoPlainText"><span lang="IT">i requisiti di sicurezza sono, alla fine, sempre quelli; la differenza tra uno schema e l'altro è la loro facilità d'uso; mi sembra sia diventato più complicato e più prolisso e questo non è un bene; per dare un giudizio completo dovrei contare il numero di controlli e quindi aspetto il formato xls;<o:p></o:p></span></li><li class="MsoPlainText"><span lang="IT">alcuni requisiti sono evidentemente tarati per aziende che possono permettersi una struttura documentale significativa e il CSF non discute possibili alternative (o, meglio, non parte da un minimo che possa essere ampliato).<o:p></o:p></span></li></ul><p class="MsoPlainText"><span lang="IT">Davide segnala che a questo punto dovrà essere aggiornato il Framework Nazionale per la Cybersecurity e la Data Protection (<a href="https://www.cybersecurityframework.it/framework2">https://www.cybersecurityframework.it/framework2</a>). <o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT"><o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">Cosa ne penso? Che potrebbe essere l'occasione per ripartire dalla ISO/IEC 27001, standard internazionale a cui collabora anche l'Italia.<o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-36196541820403670812024-02-29T12:15:00.001+01:002024-03-18T14:51:34.397+01:00Multa ad Avast (fornitore di servizi di sicurezza) per vendita non autorizzata di dati personali<div class="WordSection1"><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Altre notizie che richiamano sempre la mia attenzione sono quelle relative ai fornitori di sicurezza insicuri. </span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">La notizia riguarda Avast e l'ho avuta dalla newsletter di Project:IN Avvocati: </span><span lang="IT"><a href="https://www.linkedin.com/comm/pulse/82024-quando-un-software-di-protezione-dal-tracking-jvbdf">https://www.linkedin.com/comm/pulse/82024-quando-un-software-di-protezione-dal-tracking-jvbdf</a>.</span></p><p class="MsoPlainText"><span lang="IT">In pochissime parole, i prodotti Avast (antivirus e no-tracker) raccoglievano i dati degli utilizzatori e poi Avast li rivendeva. </span>Dettagli in quantità nell'articolo "FTC Order Will Ban Avast from Selling Browsing Data for Advertising Purposes, Require It to Pay $16.5 Million Over Charges the Firm Sold Browsing Data After Claiming Its Products Would Block Online Tracking": <a href="https://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-ban-avast-selling-browsing-data-advertising-purposes-require-it-pay-165-million-over">https://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-ban-avast-selling-browsing-data-advertising-purposes-require-it-pay-165-million-over</a>. <o:p></o:p></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-70535349805258509212024-02-28T10:04:00.001+01:002024-03-18T14:33:47.313+01:00Interruzione della rete AT&T per errore di configurazione<div class="WordSection1"><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Io sono sempre incuriosito dalle notizie su incidenti relativi alla sicurezza delle informazioni causati da errori. Si parla tanto di attacchi (e le notizie sono tantissime), ma la sicurezza comprende anche la prevenzione di errori o il controllo dei loro impatti ed è bene non dimenticarlo.</span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Questo comporta la necessità di avere processi di sviluppo e change che non solo considerino le funzionalità e le architetture di sicurezza, ma anche i controlli di qualità.</span></p><p class="MsoPlainText"><span style="mso-fareast-language: EN-GB;">Ecco quindi un articolo con sottotitolo "AT&T blamed itself for incorrect process used as we were expanding our network.": <a href="https://arstechnica.com/tech-policy/2024/02/atts-botched-network-update-caused-yesterdays-major-wireless-outage/">https://arstechnica.com/tech-policy/2024/02/atts-botched-network-update-caused-yesterdays-major-wireless-outage/</a>.</span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">La rete di AT&T negli USA è rimasta bloccata per alcune ore il 22 febbraio 2024 a causa di un errore di configurazione.</span><span lang="IT"><o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-11275390470712718112024-02-22T15:39:00.001+01:002024-03-18T14:28:19.913+01:00Non sapevano che era impossibile<div class="WordSection1"><p class="MsoPlainText"><span lang="IT">Qualche tempo fa avevo letto la storia di George Dantzig, che risolse nel 1930 due problemi impossibili, non sapendo che erano impossibili (e dimostrando però che erano possibili).</span></p><p class="MsoPlainText"><span lang="IT">Non ricordo dove l'avevo letta, ma l'ho citata tante volte e allora l'ho ricercata sul web e ho trovato questa pagina web che la racconta bene: <a href="https://it.aleteia.org/2021/02/05/una-lezione-per-il-2021-dallerrore-di-un-matematico/">https://it.aleteia.org/2021/02/05/una-lezione-per-il-2021-dallerrore-di-un-matematico/</a>.</span></p><p class="MsoPlainText"><span lang="IT">Non sono affascinato dalle pagine di aiuto-aiuto (pensiero positivo, elogio dell'impegno a tutti i costi, stay hungry eccetera). Anzi, le rifuggo. Però penso ci sia comunque una lezione in questa storia. Non so ancora quale, ma c'è.<o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-80436445175442149302024-02-20T17:56:00.000+01:002024-03-18T14:24:22.507+01:00ISO/IEC 42001 sull'intelligenza artificiale (02)<div class="WordSection1"><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Avevo già scritto in precedenza della ISO/IEC 42001 (<a href="https://blog.cesaregallotti.it/2023/12/isoiec-42001-sullintelligenza.html">https://blog.cesaregallotti.it/2023/12/isoiec-42001-sullintelligenza.html</a>).</span></p><p class="MsoPlainText"><span lang="IT" style="mso-fareast-language: EN-GB;">Flavio De Pretto mi ha segnalato questo articolo più dettagliato (anche meno critico del mio post), che ha scritto insieme a Attilio Rampazzo e e Stefano Gorla dal titolo "ISO/IEC 42001:2023: un approccio etico per la governance della Intelligenza Artificiale": <a href="http://www.ictsecuritymagazine.com/articoli/regolamentare-lintelligenza-artificiale-iso-ha-gia-pubblicato-la-norma-di-gestione/">www.ictsecuritymagazine.com/articoli/regolamentare-lintelligenza-artificiale-iso-ha-gia-pubblicato-la-norma-di-gestione/</a>. </span><span lang="IT"><o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-61041289431574515592024-02-20T11:35:00.001+01:002024-03-18T14:23:50.546+01:00Se un umano ti accusa di aver usato un'AI<div class="WordSection1"><p class="MsoPlainText"><span lang="IT">Da Guerre di rete del 18 febbraio 2024 (<a href="https://guerredirete.substack.com/">https://guerredirete.substack.com/</a>) segnalo questo articolo dal titolo ‘Obviously ChatGPT’ — how reviewers accused me of scientific fraud: <a href="https://www.nature.com/articles/d41586-024-00349-5">https://www.nature.com/articles/d41586-024-00349-5</a>.</span></p><p class="MsoPlainText"><span lang="IT">Il suggerimento per chi scrive (senza l'aiuto di chat GPT) è: usare Git per dimostrare gli avanzamenti di quanto prodotto.<o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-89321075784836310122024-02-19T10:43:00.001+01:002024-03-18T14:21:41.043+01:00Garante privacy e conservazione email e metadati 02<div class="WordSection1"><p class="MsoPlainText"><span lang="IT">In merito alle indicazioni del Garante privacy sui metadati delle email (ne ho parlato nel post <a href="https://blog.cesaregallotti.it/2024/02/garante-privacy-e-conservazione-email-e.html">https://blog.cesaregallotti.it/2024/02/garante-privacy-e-conservazione-email-e.html</a>), mi hanno segnalato il lavoro fatto dal Comune di Preganziol (con il supporto di un Idraulico della privacy).</span></p><p class="MsoPlainText"><span lang="IT">La pagina è questa: <a href="https://servizionline.comune.preganziol.tv.it/zf/index.php/trasparenza/index/index/categoria/393">https://servizionline.comune.preganziol.tv.it/zf/index.php/trasparenza/index/index/categoria/393</a> e il documento è la "Informativa sul trattamento dei dati personali e dei metadati nei servizi informatici di gestione della posta elettronica nel contesto lavorativo".</span></p><p class="MsoPlainText"><span lang="IT">Credo sia molto completa e dia ottime indicazioni su come affrontare questo argomento.</span></p><p class="MsoPlainText"><span lang="IT">Mi scrive Glauco Rampogna, che ha avuto il supporto di Monica Perego (ambedue Idraulici della privacy) che il Comune non usa servizi cloud per l'email e quindi l'informativa va letta con questa attenzione. </span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-54975552092674476652024-02-19T10:24:00.000+01:002024-03-18T14:10:42.019+01:00Continuità operativa, sigle (MBCO e RTO) e relativismo<div class="WordSection1"><p class="MsoPlainText"><span lang="IT">Nell'ambito della continuità operativa, si usa spesso il parametro MBCO, Minimum business continuity objective.</span></p><p class="MsoPlainText"><span lang="IT">Io, al di là delle definizioni ufficiali, l'ho sempre inteso così: a seguito di un incidente bloccante e di un'interruzione più o meno lunga (la cui durata dovrebbe essere inferiore all'MTPD e all'RTO), le attività possono ripartire con prestazioni inferiori al normale e queste prestazioni sono determinate dall'MBCO.</span></p><p class="MsoPlainText"><span lang="IT">Venendo dalla continuità operativa in ambito informatico, l'esempio è il DR (disaster recovery): RTO è il tempo di ripartenza massimo, RPO è il tempo tra un backup e l'altro, MBCO è il dimensionamento delle macchine nel sito di DR. Ho imparato subito che, oltre alle macchine, è necessario includere nell'MBCO le persone.</span></p><p class="MsoPlainText"><span lang="IT">Nel seguito ho imparato che l'MBCO va accompagnato da un tempo massimo in cui si può proseguire con quelle prestazioni (una sorta di RTO-2).</span></p><p class="MsoPlainText"><span lang="IT">Ho imparato poi che, in fase di emergenza, dall'incidente al riavvio con prestazioni ridotte, sono richieste risorse, soprattutto persone, diverse da quelle necessarie a proseguire le attività con prestazioni ridotte. Infatti è necessario avviare i processi "ridotti" e per questo possono essere necessari tecnici diversi da quelli che poi dovranno presidiarli successivamente. Una sorta di MBCO-0.</span></p><p class="MsoPlainText"><span lang="IT">Molto recentemente mi hanno fatto invece notare che la definizione di MBCO riguarda le prestazioni che vanno comunque garantite. In altre parole, se ho RTO maggiore di zero (quindi i processi possono rimanere fermi per un certo tempo), l'MBCO deve essere zero.</span></p><p class="MsoPlainText"><span lang="IT">Non sono molto convinto di questo approccio, ma poco importa. Quello che mi importa è che tutta questa terminologia porta a una semplificazione che non può esistere nella realtà. Infatti ci sono più tempi da rispettare (come minimo: il tempo di interruzione totale, il tempo di attività con prestazioni ridotte) e più risorse necessarie (quelle da garantire in ogni caso, quelle da garantire per far ripartire le attività, quelle per le attività con prestazioni ridotte).</span></p><p class="MsoPlainText"><span lang="IT">Allora apprezzo maggiormente la terminologia della ISO 22301 che usa "archi temporali" (time frames) e "risorse". Termini più generali, che lasciano aperte più possibilità.</span></p><p class="MsoPlainText"><span lang="IT">Forse un giorno saranno identificate sigle utili. Per intanto, ho imparato che quando sento "RTO", "RPO" e "MBCO" chiedo sempre cosa intende il mio interlocutore e, tranne casi particolarissimi, lo accetto. Poi trovo sempre sorpresa davanti alla mia domanda, e allora devo spiegare il motivo.<o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0tag:blogger.com,1999:blog-3090080509035095684.post-78466313365823071102024-02-18T17:30:00.001+01:002024-03-18T14:03:28.755+01:00Sul cambio delle password - 02<div class="WordSection1"><p class="MsoPlainText"><span lang="IT">Dopo il post in cui riportavo lo scambio di idee tra me e Stefano Ramacciotti sul cambio periodico o meno delle password (<a href="https://blog.cesaregallotti.it/2024/02/sul-cambio-delle-password.html">https://blog.cesaregallotti.it/2024/02/sul-cambio-delle-password.html</a>), mi ha scritto Pietro, che desidera essere anonimo e che ringrazio (si definisce addirittura mio fan).</span></p><p class="MsoPlainText"><span lang="IT">Riassumo quanto da lui scritto.</span></p><p class="MsoPlainText"><span lang="IT"><<<o:p> </o:p></span></p><p class="MsoPlainText"><span lang="IT">Per me, il nuovo approccio che prevede di non cambiare più periodicamente la password è stato veramente una liberazione, più che altro per sensibilizzare quegli amministratori di sistema che impongono ancora il cambio molto, troppo spesso.</span></p><p class="MsoPlainText"><span lang="IT">E' sempre stato evidente, e mi meraviglia che ci si sia arrivati in decenni, che gli utenti non potranno o vorranno mai memorizzare le loro credenziali, se le cambiano di continuo in maniera sostanziale, con le conseguenze che tutti sappiamo: non vengono più memorizzate ma trascritte o vengono cambiate solo di una virgola. Questo permetteva solo, a certi amministratori di sistema, di giustificarsi dicendo che facevano fatto il loro dovere sorvolando sull'efficacia o meno del controllo. Era talmente entrato nella cultura che non potevi non obbligare il cambio password, saresti stato uno scellerato. Ricordo sempre con un sorriso un utente che mi chiese come mai non lo obbligavo a cambiare la password, perché dove era prima era abituato così, e mi pregò di applicare questa policy altrimenti lui non si sarebbe mai ricordato di farlo e ciò lo metteva a disagio per la sicurezza del suo accesso. Ovviamente mi capitò tempo dopo di scoprire che la sua password era del tipo "Qualcosa11" dove il numero finale era circa il numero dei mesi dall'assunzione.</span></p><p class="MsoPlainText"><span lang="IT">Sono d'accordo che magari, piuttosto che non cambiarla proprio mai, il cambio ogni anno o due possa essere salutare.</span></p><p class="MsoPlainText"><span lang="IT">Io mi sono inventato un metodo rafforzativo, che potremmo chiamare l'auto-salting. Si decide una prima parte di password molto robusta e strong, diciamo di 8 caratteri almeno. Quello diventa il salt: non cambia mai. E una parte successiva, più semplice ma certo non troppo, insomma non proprio "mamma" per intenderci, che possa esser cambiata periodicamente. La semplicità di questa seconda parte permette all'utente di non dover barare e quindi di non cambiarne solo una virgola ma di poterla cambiare del tutto e con una certa frequenza.</span></p><p class="MsoPlainText"><span lang="IT">A questo, aggiungo sempre questo mio suggerimento che credo piacerà: l'uso del dialetto. E' un modo simpatico, e soprattutto facilmente memorizzabile, di usare una lingua che (per lo più) non è in nessun dizionario di bruta forza dell'attaccante, il che lo rende quasi equivalente a una sequenza random di caratteri (poi è chiaro che l'uso di più parole e l'aggiunta di un qualche numeretto o carattere speciale etc possano aiutare a rafforzare ulteriormente). E tra l'altro è un modo piacevole di tenere calde le nostre origini. Io nel mio studio tengo apposta un libro discorsivo nel mio dialetto, che consulto a questo scopo.</span></p><p class="MsoPlainText"><span lang="IT">Serve comunque buonsenso: un mio cliente di Bologna, di fronte a tale consiglio, ha risposto "Qui a Bologna al 99% userebbero la stessa password" e non la riporto. E' ovvio che funziona sempre e solo cercando un minimo di originalità.<o:p></o:p></span></p><p class="MsoPlainText"><span lang="IT">>><o:p> </o:p></span></p><p class="MsoPlainText"><span lang="IT">Ringrazio Pietro perché, da un'esperienza diversa da quella mia e di Stefano, alla fine, concordiamo.<o:p></o:p></span></p></div>Cesare Gallottihttp://www.blogger.com/profile/02941990619036529409noreply@blogger.com0