Sito web del US DoC per il Data protection framework

Grazie alla newsletter di Project:IN Avvocati, vengo a conoscenza del sito web del DoC degli USA per il Data protection framework (DPF), ossia per i trasferimenti di dati da UE a USA: https://www.dataprivacyframework.gov/.

 Qui si possono trovare i requisiti per aderire al programma sarà presente la lista dei partecipanti.

INAD, Indice Nazionale dei Domicili Digitali

Segnalo questo comunicato di AgID dal titolo "Nasce INAD, l’Indice Nazionale dei Domicili Digitali": https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2023/06/06/nasce-inad-lindice-nazionale-domicili-digitali.

Non sono uno che aderisce a queste cose immediatamente (anche per attivare la PEC ci ho messo un bel po'), ma penso che questa iniziativa sia molto importante.

Nuovo Privacy shield, ossia "EU-US Data Privacy Framework"

Ci ricordiamo che il Privacy Shield, ossia l'accordo che regolava il traferimento dei dati da Europa a USA, fu invalidato a luglio 2020 (esattamente 3 anni fa). A luglio 2023, dopo esattamente 3 anni (meno qualche giorno) è stato approvato il "EU-US Data Privacy Framework”: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721.

 Il nuovo accordo è stato oggetto di critica. Segnalo questo articolo dal titolo "Perché il nuovo data framework UE-USA avrà vita breve" per un breve commento: https://www.agendadigitale.eu/sicurezza/privacy/perche-il-nuovo-data-framework-ue-usa-avra-vita-breve/.

Io sarò cauto con i miei clienti, spingendoli a mantenere le modalità seguite da qualche anno, ossia dopo la Schrems II, ossia mantenere in Europa i sistemi informatici o, alla peggio, usare fornitori che adottano le SCC.

Sentenza sull'uso di Dropbox da parte dei dipendenti

Segnalo questo articolo dal titolo "Accesso abusivo a sistema informatico o telematico da parte di dipendenti o collaboratori": https://www.altalex.com/documents/2023/07/05/accesso-abusivo-sistema-informatico-telematico-parte-dipendenti-collaboratori.

In pochissime parole (se ho capito giusto): un dipendente aveva aperto una cartella Dropbox (pubblica!) per scambiare i dati aziendali con clienti e colleghi; poi si licenzia e cambia le credenziali alla cartella in modo che l'azienda non possa più accedervi. Alla fine viene ritenuto colpevole.

A questo proposito è ovvio che è discutibile il fatto che l'azienda abbia permesso al dipendente di aprire una cartella non controllata dall'azienda stessa su un sistema di file sharing pubblico. Vanno però anche ricordate le questioni relative alla "proprietà" della cartella: se è usata per l'azienda, sembra che debba rimanre di "proprietà" dell'azienda.

Enisa - Good Practices for Supply Chain Cybersecurity

Davide Giribaldi di Swiss Cyber Com mi ha segnalato la guida di Enisa dal titolo “Good Practices for Supply Chain Cybersecurity” e uscita a fine maggio: https://www.enisa.europa.eu/publications/good-practices-for-supply-chain-cybersecurity

Riporto le considerazioni di Davide, che ringrazio:

“La Guida è riferita solo all’analisi degli operatori essenziali (che poi non si chiameranno più così per la NIS2) e importanti.

La mia impressione è che evidenzi un aspetto interessante, ovvero la difficoltà non tecnica, ma organizzativa e culturale alla responsabilizzazione delle terze parti. (Fig. 6 pag. 12 del report) dove la certificazione di uno standard (ISO/IEC 27001 ad esempio) viene visto come elemento di garanzia (corretto se si esce dalla logica nota a tutti che spesso, per le PMI, le certificazioni sono pezzi di carta necessari e non una vera e propria filosofia su cui basare la strategia aziendale), ma allo stesso tempo evidenzia difficoltà ad adottare criteri come quello dell’audit sul campo nei confronti dei fornitori.

Molto interessante anche il risultato della verifica sui criteri aziendali considerati per la valutazione dei rischi informatici della catena di fornitura. Tra questi segnalo la “spesa” fatta nei confronti del fornitore, considerato il terzo più importante.

Sia chiaro, più spendo nei confronti di un fornitore, più mi fido dei suoi prodotti e servizi, ma non credo sia un elemento oggettivo di cybersecurity”.

Garante privacy: illecite le email pubblicitarie senza consenso (anche se con il link per disiscriversi)

Il titolo è questo e spiega tutto: "Garante privacy: illecite le email pubblicitarie senza consenso Inserire un link per disiscriversi non rende l’invio lecito": https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9903191#3.

Da ricordare questo link per poterlo mostrare ai tanti che parlano di "consenso soft".

Questionario Clusit per la sicurezza dei fornitori

Il Clusit ha pubblicato un questionario per la selezione di fornitori ICT: https://clusit.it/blog/questionario-per-la-sicurezza-dei-fornitori/.

L'idea è quella di proporre un questionario di riferimento per tutte le organizzazioni che vogliono analizzare i propri fornitori (potenziali e attivi). in merito alla sicurezza informatica.

Questo dovrebbe evitare il proliferare di questionari che, soprattutto ad alcune aziende, richiede troppo lavoro inutile, visto che si assomigliano tutti, ma sono diversi e ciascuno richiede tempo per essere analizzato e per scrivere le risposte.

Applaudo quindi all'iniziativa e la raccomando a tutti.

18 settembre 2023: Convegno su NIS2 e non solo

Io sono membro del direttivo dell'associazione DFA. Abbiamo organizzato un incontro perché negli ultimi anni sono state pubblicate numerose normative dedicate alla sicurezza dei sistemi informatici e delle reti in Italia e in Unione Europea e il numero e la complessità di queste normative ci hanno posto numerosi interrogativi e li vorremmo affrontare, evidenziandone gli aspetti pratici da affrontare e raccogliendo le esperienze già fatte.

L'incontro ha nome DFA Open day e sarà il 18 settembre 2023 a Milano (all'Università Statale di Milano).

Si parlerà di:

• Ambito di applicazione e relazioni tra le normative e ruolo delle autorità di controllo;
• Rischi cyber e come valutarli e affrontarli per rispondere alle normative;
• Gestione degli incidenti e delle notifiche, considerando i diversi ambiti di applicazione delle normative, le diverse autorità da coinvolgere e le diverse regole da seguire;
• Sistemi di certificazione, in particolare quelli che saranno promossi da ACN e ENISA;
• Accordi di condivisione delle informazioni sulla cybersicurezza.

Il link per registrarsi e partecipare (gratuitamente): https://www.eventbrite.it/e/biglietti-nis-2-e-non-solo-applicazione-in-pratica-662307749307.

Gli uomini possono fare tutto (Giugno 2023)

Questa volta, purtroppo, segnalo un insuccesso. Il 5 giugno alle 14 un mio figlio aveva la festicciola di classe a scuola. Il programma prevedeva un'esecuzione dei bambini di qualche canzone con l'ukulele (Yellow submarine e altre) e poi merenda con le cose portate da ciascuno.

Avevo già un appuntamento per quel pomeriggio e il cliente è stato molto gentile e riuscimmo a concordare una bella riduzione del mio impegno. Però, visto che avrebbe avuto un audit dopo qualche giorno, non annullammo completamente l'incontro. Così mi presentai a scuola alle 15, a concerto finito (ma a merenda ancora da cominciare).

Mio figlio mi fece un bel musone (ci tiene alla mia presenza, nonostante pensi ci siano papà sicuramente migliori di me) e, sinceramente, mi spiacque non essere arrivato per tempo.

Poi ho visto una registrazione di 10 secondi del concerto ed era anche carino. Però il dispiacere è un po' diminuito ;-)

Regolamento DORA

Del Regolamento DORA avevo accennato in precedenza. Nel titolo la R sta per "resilienza" e l'ambito di applicazione è il settore finance. A ben vedere, questa resilienza richiede di occuparsi di sicurezza informatica (reti e sistemi informatici).

Per una prima idea del DORA, segnalo questo articolo di novembre 2022: https://www.cybersecurity360.it/legal/regolamento-dora-cosi-leuropa-garantira-la-resilienza-operativa-digitale-per-il-settore-finanziario/.

L'articolo è di Giancarlo Butti che ha recentemente pubblicato il libro "Manuale di resilienza" (https://www.iter.it/prodotto/manuale-di-resilienza/). Non ho letto il libro e quindi non posso dirne alcunché. Conosco Giancarlo e quindi so che sicuramente è molto interessante.

Bozza dell'Artificial intelligence Act approvata dal Parlamento UE

Non mi sono occupato finora delle proposte normative di intelligenza artificiale. Il motivo principale è che si tratta di normative ancora in fase di elaborazione. Adesso la situazione è avanzata ulteriormente e un articolo di Guerre di rete dal titolo "Intelligenza artificiale - AI Act, l’Europarlamento tiene" permette di capire bene la situazione attuale e gli elementi in discussione: https://guerredirete.substack.com/p/guerre-di-rete-ai-act-leuroparlamento.

 Per capire qualcosa di intelligenza artificiale, anche se in modo non approfondito, ricordo la pubblicazione (gratuita) del Clusit dal titolo "Intelligenza artificiale e sicurezza: opportunità, rischi e raccomandazioni": https://iasecurity.clusit.it/. E' di inizio 2021, ma gli argomenti ci sono quasi tutti.

Operazione "Ghost money"

Enos D'Andrea mi ha segnalato la notizia sull'Operazione "Ghost money": https://www.commissariatodips.it/notizie/articolo/operazione-ghost-money/index.html.

In brevissimo: hanno arrestato una gang che rubava soldi semplicemente presentando falsi mandati SEPA alle banche. L'istituto di credito dava disponibilità di una somma prima di verificare la non genuinità della documentazione depositata e, ovviamente, i criminali si affrettavano a bonificare i fondi su altri conti correnti.

Interessante quindi osservare come meccanismi progettati per velocizzare le operazioni possono essere sfruttati per furti.

Minacce e attacchi: bug programmato in visori sportivi

Segnalo questo articolo di Valeria Lazzaroli: https://www.linkedin.com/posts/valeria-lazzaroli_supplychain-cybersecurity-ip-activity-7059467324990341122-tIlx.

In pochissime parole: un visore sportivo si è bloccato (con gioia degli utilizzatori) da un momento all'altro perché non risultava aggiornata la licenza del software (di SWARG) da parte del produttore dell'hardware (ORQA).

Il mio commento (su LinkedIn): intanto bisognerebbe capire se si tratta di un bug o di una funzionalità. Cioè: era previsto dal contratto tra ORQA e SWARG o no? Certamente era un bug per ORQA che sembra caduta essersi sorpresa della cosa.

Ho pensato anche al fatto che adesso il software lo vendono "as a service", non più "as a product" e questo è un problema. Mi spiego meglio.

Questi software si aggiornano da soli, quando vuole il produttore (puoi sempre chiedere che non lo facciano, ma questo comporta altri problemi) e come vuole il produttore. Questo genera rischi di disponibilità (come minimo perché si aggiorna senza preavvisare, bloccando il sistema). Questo modo di fare consente ai produttori di introdurre sistemi di controllo delle licenze come nel caso segnalato.

Ripeto: ci sono pro e contro in questo approccio. Bisogna starci attenti.

Certo è che SWARG poteva lanciare qualche avvertimento che la licenza stava per scadere.

Aggiornamento della ISO/IEC 29134:2023 Guidelines for privacy impact assessment

A maggio 2023 è stata pubblicata la seconda edizione della ISO/IEC 29134:2023 "Guidelines for privacy impact assessment": https://www.iso.org/standard/86012.html.

Ripeto per l'ultima volta quanto già scritto altre volte quando parlavo delle bozze di questa seconda edizione: riporta solo aggiornamenti non significativi rispetto all'edizione precedente. Penso che sia è un peccato, visto che la norma richiederebbe un aggiornamento significativo, basato sull'esperienza maturata in questi anni.

Romania ed Europa

La Romania è in Europa e lo so anche molto bene.

Però in un mio precedente post (http://blog.cesaregallotti.it/2023/05/accreditamento-ukas-non-piu-valido-per.html) l'ho indicata come esempio di Paese extra europeo. Volevo scrivere Albania.

Mi scuso con tutti e ringrazio Toto Zammataro per avermelo segnalato.

Il post l'ho corretto dove ho potuto.

Privacy: DL 48 e semplificazioni in materia di trasparenza

Segnalo che è stato approvato il DL 48 del 2023: https://www.normattiva.it/eli/id/2023/05/04/23G00057/ORIGINAL.

Nell'articolo 26 riporta alcune semplificazioni nelle informazioni da fornire al personale, introdotte dal D. Lgs. 104 del 2022 che a sua volta modificava il D. Lgs. 152 del 1997 (sulle informazioni da fornire ai lavoratori).

Poche cose, ma interessanti:

1. non è necessario copiare le norme, ma è sufficiente citarle; ritengo sia una buona cosa, purché le stesse norme siano facilmente comprensibili, e già il capoverso precedente segnala che spesso non è così;
2. "il  datore di lavoro è tenuto a consegnare  o  a  mettere  a  disposizione  del personale, anche mediante pubblicazione sul  sito  web,  i  contratti collettivi nazionali, territoriali e aziendali, nonché gli eventuali regolamenti aziendali applicabili al rapporto di lavoro";
3. il datore di lavoro è  tenuto  a  informare  il lavoratore dell'utilizzo di sistemi  decisionali  o  di  monitoraggio.

Notizia appresa dalla circolare di B&C tax.

NIST SP 800-124 sulla sicurezza dei dispositivi mobili

Segnalo la pubblicazione della rev. 2 della SP 800-124 "Guidelines for Managing the Security of Mobile Devices in the Enterprise" del NIST: https://csrc.nist.gov/publications/detail/sp/800-124/rev-2/final.

Ottima.

Gli uomini possono fare tutto (Maggio 2023)

15 maggio. Anche oggi ho iniziato tardi un corso. Accompagno a scuola il piccolo, poi incontro una mamma di un compagno di classe del grande e ci scambiamo idee su come affrontare i compiti. La discussione mi interessa e il tempo passa...

Spero che i partecipanti al corso non mandino un reclamo (il corso finirà mercoledì).

Interpretazione della Corte di giustizia UE su dati pseudonimizzati e anonimi

Segnalo questo post sulla a decisione T-557/20 del 26 aprile 2023 della Corte di Giustizia UE su dati pseudonimi e anonimi: https://www.linkedin.com/posts/maria-grassetto-1a8bb25b_cge-activity-7060175275069779968-LAWc.

Copio biecamente dalla newsletter di Project:IN Avvocati: In estrema sintesi, secondo la Corte occorre ragionare sulla posizione del "ricevente" il dato personale, per indagare sia egli sia - o meno - in grado di identificare il soggetto cui quell’informazione si riferisce, e quindi effettui un "trattamento" di dato personale.

Sicurezza informatica e Codice degli appalti

Segnalo questo articolo dal titolo "La cyber security entra nel Codice Appalti: perché è un cambio di passo fondamentale": https://www.agendadigitale.eu/sicurezza/la-cyber-security-entra-nel-codice-appalti-perche-e-un-cambio-di-passo-fondamentale/.

Non sapevo che il Codice degli appalti fosse stato cambiato e fosse stata aggiunta questa aggiunta. Poche parole, se ho capito bene, ma molto importanti.

Accreditamento UKAS non più valido per gli appalti pubblici

Il titolo è "Appalti pubblici, Brexit taglia fuori i soggetti accreditati Ukas per le certificazioni": https://ntplusdiritto.ilsole24ore.com/art/appalti-pubblici-brexit-taglia-fuori-soggetti-accreditati-ukas-le-certificazioni-AELxQIND.

La notizia l'avevo vista da un post di LinkedIn di Fabrizio Cirilli (ma il suo link puntava a una pagina del sito del Sole 24 ore con cookie wall), poi me l'ha rimandata Franco Ferrari e allora ho cercato e trovato un link senza cookie wall.

In sostanza: i certificati accreditati da enti non europei non sono reputati validi per partecipare a gare di appalti pubblici. Infatti l'interpretazione dovrebbe riguardare anche i certificati accreditati in Albania, India, USA, Svizzera, eccetera. Non ho indagato se anche gli organismi di accreditamento dello SEE ma non della UE sono esclusi (Islanda, Liechtenstein e Norvegia).

Privacy: Pagina informativa del Garante sui Dark Pattern

Il Garante ha attivato una pagina informativa sui dark pattern, ossia sulle tecniche per fare in modo che un utente prenda decisioni "inconsapevoli o non desiderate", rinunciando quindi, in ambito privacy, alle limitazioni relative alla raccolta e trattamento dei propri dati personali: https://www.garanteprivacy.it/temi/internet-e-nuove-tecnologie/dark-pattern.

La pagina fa riferimento alle "Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them" dell'EDPB, aggiornate a febbraio 2023.

La notizia l'ho letta sulla newsletter di Project:IN Avvocati.

Su questo argomento ero completamente digiuno e questa pagina mi ha aiutato a capire alcune cose. Devo dire che la pagina informativa riassume quanto riportato nelle linee guida dell'EDPB. Queste, invece, approfondiscono le varie tecniche di dark pattern, ma senza esempi concreti e pertanto, in alcuni casi, alcune cose mi sono oscure.

Una versione in italiano dei dark patterns individuati da EDPB è qui: https://www.cyberlaws.it/2022/dark-patterns/.

I dark pattern sono però cose più generali e non riguardano solo la privacy. Ho trovato, per esempio, questo interessante articolo: https://www.drcommodore.it/2018/08/03/dark-pattern-cosa-sono-come-riconoscerli-e-perche-ci-controllano/. 

Cassazione: assolta Poste Italiane per phishing

Segnalo questo articolo dal titolo "Phishing, perché la Cassazione ha assolto Poste Italiane e condannato i correntisti?": https://www.cybersecitalia.it/phishing-la-cassazione-se-cliente-truffato-la-banca-non-responsabile/24214/.

 Ringrazio Maurizio Tardanico che l'ha segnalato su una chat a cui partecipo.

 Incollo una parte significativa del testo per dare una prima idea: "la Cassazione ha stabilito che la banca o l’istituto di credito non ha responsabilità nel furto di denaro dei correntisti avvenuto con operazioni di phishing, se ha adottato un sistema di sicurezza tale da impedire a terzi l’accesso al conto corrente e se i clienti stessi hanno fornito i codici di accesso ad estranei, ovviamente, senza esserne consapevoli, perché truffati".

Sicurezza delle informazioni: la nuova ISO/IEC 27005 sulla valutazione del rischio

Segnalo un mio articolo sulla nuova ISO/IEC 27005 sulla valutazione del rischio: https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-la-nuova-iso-iec-27005-sulla-valutazione-del-rischio/.

Approfondisce quanto avevo già detto in precedenza in altre occasioni.

Come sempre, sono disponibile al confronto nel caso qualcuno voglia discutere le mie posizioni.

Privacy: sanzionata la raccolta ingannevole del consenso per marketing

Provvedimento del Garante per "trattamento di dati personali mediante l’uso di pratiche ingannevoli, e in particolare per uso di dark patterns capaci di spingere l’utente a fornire il proprio consenso per finalità di marketing e di comunicazione dei dati a terzi" (ringrazio la newsletter di Project:IN Avvocati per il riassunto): https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870014.

Lo segnalo perché è interessante osservare che la raccolta del consenso ingannevole (o forzato, in alcuni casi) è stata sanzionata. Così questo provvedimento mi tornerà utile per convincere qualcuno a fare le cose un po' meglio...

Stato degli standard ISO/IEC 270xx - Aprile 2023

In aprile si sono conclusi i meeting semestrali del WG 1 e del WG 5 del ISO/IEC JTC 1 SC 27. Si tratta dei gruppi che seguono le norme ISO/IEC 27001, 27002, 27005 eccetera e le norme sulla privacy, inclusa la ISO/IEC 27701.

Per quanto riguarda il WG 1, le attività si sono svolte online e, in realtà, il meeting è servito a sintetizzare le attività svolte in altri incontri da ottobre.

Si sono avviati i lavori per la revisione di ISO/IEC 27000 (panoramica sui SGSI), 27003 (guida alla 27001) e 27004 (sulle misurazioni). Si tratta di norme molto importanti.

Si è poi deciso di non avviare i lavori per una nuova ISO/IEC 27001, anche se la versione del 2022 era stata approntata rapidamente per aggiornare l'Annex A seguendo alla nuova ISO/IEC 27002 e recepire le modifiche all'HLS.

Ci è stato comunicato che, a livello IAF (ossia l'ente che promuove e controlla le attività di accreditamento), sono stati uniti i gruppi che si occupano di ISO/IEC 27001 e ISO/IEC 20000 per ottenere una maggiore coerenza negli accreditamenti relativi alla sicurezza dei dati e all'informatica. Viene da ridere, pensando che molti vorrebbero che la ISO/IEC 20000-1 si occupi di servizi in generale e che la ISO/IEC 27001 non si occupa solo di sicurezza informatica (o cybersecurity).

Per quanto riguarda le attività del WG 5, che si occupa di privacy, sono proseguiti i lavori per la ISO/IEC 27006-2 (ossia le regole di accreditamento). Sono stati avviati i lavori per una norma sulla privacy e intelligenza artificiale (ISO/IEC 27091). Ho notato poi molto lavoro per gli standard relativi alla verifica dell'età.

Importante, a mio avviso, è il lavoro in fase di conclusione per la ISO/IEC 27701, ossia la norma per la certificazione dei sistemi di gestione per la privacy (estensione della ISO/IEC 27001). Infatti la norma passa in stato di FDIS e quindi entro fine anno dovrebbe uscirne la versione aggiornata. Non bisogna aspettarsi nulla di nuovo se non l'allineamento alle ISO/IEC 27001:2022 e ISO/IEC 27002:2022.

Su questo fronte, i lavori per l'aggiornamento della ISO/IEC 27018 (privacy per fornitori di servizi cloud, estensione della ISO/IEC 27002) procedono a rilento.

Sarà pubblicata una nuova versione della ISO/IEC 29134 sulla DPIA, ma riporterà solo aggiornamenti non significativi rispetto all'edizione attuale (su questo avevo già scritto in passato che è un peccato, visto che la norma richiederebbe un aggiornamento significativo, basato sull'esperienza maturata in questi anni.

Security-by-Design and Default Principles del CISA

Ottimo documento del CISA (Cybersecurity & infrastructure security agency degli USA) dal titolo "Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default": https://www.cisa.gov/news-events/alerts/2023/04/13/shifting-balance-cybersecurity-risk-security-design-and-default-principles.

In poche pagine (15 in tutto, incluso indice e fuffa introduttiva) sono riportati e spiegati i principi di sviluppo e ingegnerizzazione sicuri.

Gli uomini possono fare tutto (Aprile 2023)

"BUCATO. Ingiustamente considerato lavoro pesante, malinconico, riservato alle donne, e in special modo alle donne di servizio. In realtà ogni uomo, aiutato dalle conquiste della scienza (nailon e saponi schiumosi), dovrebbe lavare la sera quanto indossò di giorno. E ogni donna dovrebbe consacrare le sue economie all'acquisto, rateale, di una lavatrice elettrica, liberandosi, una volta per sempre, dalla tirannia delle lavandaie".

Pochi giorni fa lessi questa voce del "Dizionario del successo dell'insuccesso e dei luoghi comuni" di Irene Brin (del 1986, ma i brani sono del 1954 e 1965).

Mi venne in mente che pochi mesi fa, "l'informatico" di un mio cliente mi raccontava che rifiuta la lavatrice, ma provvede a lavarsi, in autonomia e quotidianamente come vuole la Brin, i vestiti usati durante la giornata.

ISO 9001 Auditing Practices Group

L'ISO 9001 Auditing Practices Group esiste da 20 anni e io non avevo proprio idea che potesse esistere. Il suo sito è: https://committee.iso.org/home/tc176/iso-9001-auditing-practices-group.html.

Si tratta di un gruppo informale ma ufficiale all'interno dell'ISO.

Sul sito si trovano interessanti linee guida su come condurre audit e su cosa verificare nell'ambito della ISO 9001.

Zero Trust Maturity Model Version 2 del CISA

Il CISA (Cybersecurity & infrastructure security agency degli USA) pubblica cose interessanti. Recentemente, Aprile 2023, ha pubblicato la versione 2 del "Zero Trust Maturity Model": https://www.cisa.gov/zero-trust-maturity-model.

 Le misure sono illustrate in modo molto sintetico e confesso che non tutto mi è chiaro (per esempio, non capisco perché nel livello "tradizionale" (ossia il più basso) si parli di identity store centralizzati all'interno di un'agenzia senza accennare a quelli esterni, presenti invece nel livello "iniziale", come se nel tradizionale non si possa immaginare l'uso di sistemi esterni.

 Rimane un documento che, a mio avviso, vale la pena studiare.

EN 17799 e certificazioni privacy

Fabio Guasconi ha tenuto un interessantissimo webinar per il Clusit dal titolo "EN 17799, impatto e nuove prospettive sulle certificazioni GDPR" (https://clusit.it/webinar/). Per accedere a slide e video bisogna essere soci Clusit (cosa che continuo a raccomandare).

Chi non fosse socio Clusit può studiarsi le slide (senza video!) presentate da Luciano Quartarone, sempre sullo stesso tema, nell'ambito dell'incontro "Le norme tecniche avanzano": https://securitysummit.it/eventi/milano-2023/sessioni/le-norme-tecniche-avanzano.

Le slide contengono anche un mio intervento sulla ISO/IEC 27005, di cui ho già parlato altrove, e l'intervento, molto interessanto, anche se molto tecnico, di Stefano Ramacciotti sulla recente versione 4 dei Common Criteria.

Le norme tecniche avanzano (e ISO/IEC 27005)

Il 16 marzo 2023, al Security summit di Milano, ho parlato nella sessione "Le norme tecniche avanzano". Io mi sono concentrato sulle novità della ISO/IEC 27005. La presentazione è qui: https://securitysummit.it/eventi/milano-2023/sessioni/le-norme-tecniche-avanzano.

Entro fine aprile dovrebbe uscire un articolo in cui approfondisco i concetti (anche se, in realtà, li ho espressi anche in altre occasioni).

Il blocco di ChatGPT

Io so qualcosa di privacy e so molto poco di intelligenza artificiale (tutto quello che so viene da un bel libro, "Intelligenza artificiale e sicurezza: opportunità, rischi e raccomandazioni", gratuito, della Clusit community for security, che si trova su https://iasecurity.clusit.it/).

Per questo non ho niente da dire sull'argomento, ma posso segnalare articoli sulle persone che ho apprezzo molto in questi due campi.

Intanto la notizia in brevissimo la si trova sulla newsletter #13/2023 di Project:IN Avvocati: https://www.linkedin.com/pulse/132023-italia-chiude-durgenza-chatgpt-mentre-arriva.

Per quanto riguarda l'intelligenza artificiale, segnalo questo, dal titolo "Non è possibile fermare l'AI, solo rincorrerla" da Notizie.ai di Luca Sambucci: https://www.notizie.ai/non-e-possibile-fermare-lai-solo-rincorrerla/.

Per la privacy, vorrei segnalare un'intervista a Elia Barbujani su Repubblica.it, ma c'è il cookie wall e non mi rimane che segnalare invece un suo post su LinkedIn: https://www.linkedin.com/posts/elia-barbujani_chatgpt-i-dubbi-dellesperto-lo-stop-activity-7048302886803386368-Eazv.

Infine, imperdibile il commento di Not Boring Privacy: https://t.me/notboringprivacy/531.

D. Lgs. 24 del 2023 sul whistleblowing

E' stato approvato il D. Lgs. 24 del 2023 sul whistleblowing. Per saperne di più, preferisco rimandare direttamente a un articolo di Agenda digitale: https://www.agendadigitale.eu/documenti/whistleblowing-ce-la-legge-tutto-cio-che-aziende-e-pa-devono-fare-per-adeguarsi/.

Il cosiddetto whistleblowing riguarda le segnalazioni di violazioni di disposizioni normative nazionali o dell'Unione europea che ledono l'interesse pubblico o l'integrità di un'amministrazione pubblica o di un ente privato. La normativa disciplina la protezione delle persone che segnalano queste violazioni nel caso in cui ne siano venute a conoscenza in un contesto lavorativo pubblico o privato.

Si interseca con privacy e sicurezza delle informazioni, anche se la materia mi sembra, in generale, molto poco tecnica. Però è bene sapere che c'è.

Su Normattiva il testo sarà disponibile dal 1 aprile.

Schemi di certificazione europei

Copio direttamente dalla newsletter Project:IN Avvocati (sempre ottima) questa notizia: L'ENISA (Agenzia per la Cybersicurezza dell'UE) ha annunciato lo scorso 19 marzo il lancio di una nuova piattaforma il cui obiettivo è promuovere e diffondere informazioni sui sistemi di certificazione UE in materia di cybersicurezza. Più in particolare, la piattaforma consentirà agli utenti di condividere informazioni sugli schemi di certificazioni attualmente in fase di sviluppo, tra cui anche l'EUCS (Cybersecurity Certification Scheme for Cloud Servies).

Aggiungo il link alla piattaforma, che è in realtà una pagina web con le informazioni relative alle certificazioni (che sono ancora in fase di sviluppo e quindi, per ora, dobbiamo solo monitorarne l'avanzamento): https://certification.enisa.europa.eu/.

D. Lgs. 26 del 2023 sul Codice del consumo

Il D. Lgs. 26 del 2023 recepisce la Direttiva (UE) 2019/2161 e modifica il Codice al consumo.

Mi sembra che tratti di attività commerciali online, ma non di sicurezza delle informazioni. Ci sono anche richiami al GDPR e al D. Lgs. 196, ma non mi sembrano significativi. Comunque sia, segnalo un articolo in merito: https://www.altalex.com/documents/2023/03/20/codice-consumo-rinnova-raccogliere-sfide-mercati-digitali.

Su www.normattiva.it il D.Lgs. 26 e il Codice del Consumo (D. Lgs. 206 del 2005) saranno disponibili dal 2 aprile, data di entrata in vigore del D. Lgs. 26.

Rapporto Clusit 2023

E' stato pubblicato il rapporto Clusit 2023:
- https://clusit.it/rapporto-clusit/.

Un altro, che ringrazio, mi ha segnalato le cose per lui più interessanti. Ne approfitto e le segnalo:
- Pag. 157: "Nel 2021 le organizzazioni che hanno pagato il riscatto hanno recuperato mediamente solo il 61% dei propri dati, rispetto al 65% del 2020, mentre solo il 4% è riuscita a recuperare l'intera quantità di risorse inficiate. (fonte: Sophos "The State of Ransomware 2022")

- Pag. 159: [traduco io, Cesare, il testo] Il gruppo cyber-criminale Lockbit ha specificatamente richiesto ai propri affiliati di non cifrare i dati quando sono attaccati i settori maggiormente critici, come quello sanitario. Vedi anche il codice di condotta del gruppo DarkSide
https://krebsonsecurity.com/2021/05/a-closer-look-at-the-darkside-ransomware-gang/.

- Pag. 180: Indagine ironica "Quanto potrebbe essere devastante la violazione laddove si verificasse nel loro archivio dati cloud": Il 29% ha risposto "Ci sarebbe l'armageddon", il 15% "Mi darei malato quel giorno", il 9% "Darei la colpa ad un tirocinante" [...]

- Pag. 184: "Il modo più risoluto di proteggere i dati nel cloud è quello di rimuoverli dal cloud."

- Pag. 191: "Negli anni le disposizioni normative ed extra-normative hanno sopperito parzialmente alla carenza culturale delle organizzazioni, suggerendo o imponendo l'introduzione di sistemi di sicurezza, processi e tecnologie col fine di evitare il verificarsi di incidenti con potenziali ripercussioni anche a livello sociale." --> Mi piace questa prospettiva della legge come aiuto e non come imposizione.

- Pag. 195: Il 35% delle grandi organizzazioni ha sviluppato un proprio framework ad-hoc; il 6% usa la metodologia FAIR con analisi quantitativa del rischio.

- Pag. 251-258: Direttiva NIS2 spiegata molto bene [qui mi dice che non sapeva che crittografia e cifratura fossero concetti diversi, ma penso che ci sia un errorino nel testo della Direttiva]. 

 - Pag. 313-329: Enumera bene i rischi della IA, tra l'altro fa riferimento a Microsoft Failure Modes:
https://learn.microsoft.com/en-us/security/engineering/failure-modes-in-machine-learning.

NIS 2 e frammentazione normativa

Segnalo questo articolo dal titolo "Nel labirinto delle norme Ue sulla cybersicurezza: come districarsi nella Direttiva NIS2":
https://www.agendadigitale.eu/sicurezza/nel-labirinto-delle-norme-ue-sulla-cybersicurezza-criticita-attuali-e-scenari-futuri/.

Questo articolo mi conforta perché conferma le difficoltà di lettura della NIS2 e non solo.

Per ora, in attesa di implementing acts, recepimenti italiani, chiarimenti europei e italiani (inclusi quelli di ACN), io suggerisco di iniziare a ragionare sui controlli dell'Allegato B del DPCM 81 del 14 aprile 2021. Alcuni di questi controlli richiedono un certo tempo per essere realizzati e anche costi elevati. E' vero che c'è tempo, ma sicuramente partirei ad analizzare questi controlli, in modo da potersi attivare prontamente nel caso venissero confermati (è vero che sono orginati dal Framework Nazionale, di cui era responsabile Baldoni, ora non più Direttore di ACN, però al momento questo è quello che abbiamo).

Poi comincerei a ragionare sulla procedura di gestione degli incidenti per recepire le richieste normative.

Alla valutazione del rischio penserò solo quando usciranno indicazioni precise. Spero proprio che non promuovano un approccio basato sui singoli asset perché sarebbe una cosa assurda (ricordo che è un'impostazione degli anni Ottanta, tratta dal CRAMM, software stand-alone usato dalle grandi società di consulenza che lo facevano popolare dai ragazzini per fatturare giornate di consulenza; il CRAMM adesso non è neanche più mantenuto). Spero che qualcuno con competenze pratiche si renda conto che è un approccio dispendioso che non dà risultati utili.

Altra cosa è invece verificare l'implementazione delle misure su ciascun asset, ma, appunto, non è valutazione del rischio.

Io qui ho fornito la mia idea. Mi piacerebbe sapere cosa ne pensano gli altri.

Sicurezza informatica di base

Pierluigi Stefli di Datapro Srl mi ha segnalato due iniziative per fornire indicazioni sulla sicurezza informatica. Si tratta di materiale di base, destinato soprattutto ai "non professionisti della sicurezza".

Il primo è Barry: https://www.ibarry.ch/it/. Trovo interessante la parte relativa ai controlli di sicurezza, che mette a disposizione strumenti utili.

Il secondo è S-U-P-E-R: https://www.s-u-p-e-r.ch/it/. In questo c'è anche un quiz per verificare il proprio livello di comprensione.

Nuovo direttore di ACN

L'Agenzia per la cybersicurezza nazionale ha cambiato direttore. E' uscito Roberto Baldoni, è arrivato Bruno Frattasi.

Andrea Maria Tacchi di DNV mi diede la notizia a inizio marzo e mi segnalò questo articolo:
https://www.wired.it/article/baldoni-agenzia-cybersicurezza-dimissioni-soldi-pnrr/.

A qualcuno interessa il mio parere? Quasi sicuramente no e quindi lo riassumo: a) non ho apprezzato molte scelte di Baldoni, a partire dalla promozione del NIST CSF per fare il "Framework Nazionale per la Cybersecurity e la Data Protection", ma non ne ho seguito le gesta e quindi non ho altre critiche da fare; b) criticai all'epoca le richieste eccessive per i profili professionali richiesti, ma ancora una volta si tratta di poche cose; c) vedo che ACN pubblica bollettini e raccomandazioni, come tutte le cose sono migliorabili, ma mi sembrano buone iniziative; d) il resto sono lotte di potere e spero che ACN continui a lavorare e migliorare.

PS: dimentica un'altra critica a Baldoni: l'uso del termine "sicurezza cibernetica" (come se in inglese esistesse la cybernetics security).

Migrazione newsletter

La newsletter è spedita da anni con MailUp, offerta da Team Quality S.r.l. (per questo ringrazio Gianpiero Fuselli). Voglio provare a spedirla con Substack, dove adesso trovate la newsletter di febbraio:
- https://infosecandquality.substack.com/.

Questo mese proverò a migrare gli iscritti e quindi invito quanto non vogliono usare Substack di disiscriversi quanto prima.

La ragione della migrazione è che ho qualche problema con lo spam e molti non ricevono la newsletter per motivi a me oscuri e che non posso neanche indagare fino in fondo in quanto uso una parte limitata di MailUp. Altra ragione è che chi proprio lo desidera può contribuire economicamente alla newsletter. Non penso che riceverò alcunché, ma è un esperimento che mi incuriosisce.

Giusto per chiarire: non ho intenzione di attivare le pubblicità o roba simile.

Ricordo poi che la newsletter arriva anche via LinkedIn, ma vorrei dare un'alternativa a quanti non gradiscono registrarsi su quel social network.

Per chi vuole la soluzione più pulita possibile dal punto di vista privacy, la newsletter è sempre caricata sul mio sito (https://www.cesaregallotti.it/Newsletter.html), ospitato su un'infrastruttura italiana, gestita da una società italiana con sede a Milano (www.coretech.it), certificata ISO/IEC 27701 e non solo.

Infine: chiunque voglia aiutarmi o darmi consigli è benvenuto (prego di scrivermi via email).

WhatsApp e i messaggi rubati

Claudio Sartor mi ha segnalato la notizia dei messaggi WhatsApp resi pubblici nonostante la crittografia end-to-end:
- https://attivissimo.blogspot.com/2023/03/centomila-messaggi-whatsapp-spasso-ma.html.

Il fatto è che un politico aveva esportato i propri messaggi per darli a una giornalista a cui aveva chiesto di scrivere un libro, usando anche quei messaggi per ricostruire eventi. La giornalista, scorrettissima, ha pensato fosse più corretto rendere pubblici i messaggi per dimostrare che il Governo inglese era impreparato a gestire l'emergenza COVID nel 2020 (non certo una notiziona).

Claudio segnala che questa notizia serve per ricordarci "un principio spesso dimenticato nella sicurezza delle informazioni: il segreto non è soltanto questione di tecnologia, ma dipende anche dai fattori umani".

Vulnerabilità in Jenkins

Jenkins è uno strumento molto diffuso per la continuous integration del software. Si tratta quindi di un "software di supporto". E' stata identificata una vulnerabilità grave in una versione precedente ma ancora in uso:
- https://www.securityweek.com/jenkins-server-vulnerabilities-chained-for-remote-code-execution/.

Lo riporto perché è importante ricordarsi di prestare attenzione alle vulnerabilità presenti anche nei software di supporto.

Notizia presa da SANS NewsBites.

Gli uomini possono fare tutto

La mia amica Viviana, con cui parlo anche delle questioni organizzative con i bambini, mi ha chiesto di ritagliarmi un angolino della mia newsletter e del mio blog per raccontare come un uomo, ossia io, riesce a dedicarsi alla famiglia senza per questo essere discriminato, come invece succede alle donne.

Infatti succede che, quando io chiedo di finire le riunioni alle 16 per poter andare a prendere il figlio a scuola, tutti sono disponibili e, anzi, mi fanno i complimenti per l'impegno. So di casi in cui, quando lo chiede una donna, questa è troppo spesso ignorata (nei casi peggiori anche con sbuffi o commenti poco simpatici).

Io sono un libero professionista con competenze, a torto o ragione, riconosciute. Questo mi dà margini di manovra diversi da una dipendente. Però ho fatto anche un'altra riflessione: oggi molti vogliono dimostrare che le donne possono fare tutto (la serie Lida Poët è uno degli ultimi esempi), ma questo è solo un lato della medaglia, che permette ancora di spingere le donne a fare cose che "gli uomini non fanno" e, quindi, piano piano, a relegarle in quel ruolo. Invece siamo in tanti che stiriamo, ci occupiamo della lavatrice, aiutiamo i bambini con la scuola (per non dire dei bisogni al gabinetto), eccetera. Ovviamente, tranne Marco Mazzetti, solo una cosa non possiamo fare, ma è solo una.

E allora ho pensato che ogni mese potrei raccontare qualcosa che mi è successa e che dimostra che un uomo può far tutto. Non vorrò per niente essere auto-celebrativo (nel caso, vi chiedo di richiamarmi all'ordine), perché faccio tante cose senza infamia e senza lode, come quasi tutte le donne. Solo che le faccio e senza drammi. E forse è il caso di raccontarlo.

Un semplice episodio mi permette di ringraziare il gruppo di traduzione della ISO/IEC 27001 e ISO/IEC 27002, che mi ha permesso di partecipare ai lavori, e senza rimostranze, anche quando accompagnavo i bambini a karate, al calcio, al Catechismo e dai dottori, scollegandomi dal pc e ricollegandomi dal cellulare, restando assente per alcuni minuti se dovevo rispondere a qualcun altro.

Ho iniziato così, un 8 marzo. Cercherò di continuare ogni mese e di rimanere nelle poche righe (molte meno di questo primo episodio).

Diritto alla riparazione

Claudio Sartor mi scrive: sebbene laterale rispetto alla sicurezza delle informazioni propriamente intesa, ti segnalo questo interessante articolo su come una funzionalità, nata per mettere in sicurezza i dispositivi in caso di furto o smarrimento, si riveli un boomerang per il mercato della seconda mano:
- https://www.guerredirete.it/apple-scuote-il-movimento-sul-diritto-alla-riparazione/.

Ringrazio Claudio e sottoscrivo l'interesse per l'articolo che, più in generale, pone all'attenzione un caso di bilanciamento tra la sicurezza e le altre esigenze.

Esempi di notifiche di incidenti (buone e cattive)

Segnalo (dopo averlo visto dal SANS NewsBites) questo articolo dal titolo "Best and worst data breach responses highlight the do's and don'ts of IR":
- https://www.csoonline.com/article/3689169/data-breaches-some-of-the-best-and-worst-among-recent-responses.html.

Riassuntone: in caso di incidente, la cosa migliore è notificare tempestivamente ai propri clienti in modo completo e trasparente e con i giusti dettagli tecnici, evitando di minimizzare.

Libro sulla supply chain

"Supply Chain Security: l'importanza di conoscere e gestire i rischi della catena di fornitura" è il titolo dell'ultimo lavoro della "CLUSIT Community for Security", di cui faccio parte:
- https://supplychainsecurity.clusit.it/.

I contributi sono tanti e quindi il libro è pieno di cose interessanti. Io ho partecipato alla parte di cura e quindi spero che troviate convincente come i contributi sono stati consolidati.

Vademecum sull'uso dei social media

Il Consultative Council of European Judges (CCJE, o Consiglio consultivo dei giudici europei del Consiglio d'Europa) ha adottato a dicembre 2022 la "Opinion No. 25 (2022) on freedom of expression of judges". Essa riporta anche indicazioni sull'uso dei social media:
- https://www.coe.int/en/web/ccje/-/freedom-of-expression-of-judges-consultative-council-of-european-judges-adopts-new-opinion.

La notizia, di per sé, non sarebbe particolarmente significativa. Però sono rimasto incuriosito da un articolo in italiano che ne riassume i contenuti dal titolo "I magistrati e i social media: regole di continenza, partecipazione e decoro":
- https://www.altalex.com/documents/news/2023/02/20/magistrati-social-media-regole-continenza-partecipazione-decoro.

Ecco, dovessi scrivere una linea guida per l'uso dei social media, partirei da qui. Perché è chiaro che l'ambito dei giudici è particolarmente rigido, e quindi da qui si possono trarre indicazioni utili anche per altri ambiti.

Accredia e schema di accreditamento Europrivacy

Accredia ha pubblicato la Circolare tecnica DC N° 12/2023 con titolo "Avvio accreditamento, ambito PRD, schema di certificazione EuroprivacyTM/®":
- https://www.accredia.it/documento/circolare-tecnica-dc-n-12-2023-avvio-accreditamento-ambito-prd-schema-di-certificazione-europrivacytm/.

In pochissime parole, se ho capito bene, Accredia ha avuto il mandato da Europrivacy per accreditare, a livello italiano, gli organismi di certificazione che intendono offrire servizi di certificazione Europrivacy, ossia relativi alla sicurezza delle attività di trattamento dei dati personali. Il meccanismo è stato concordato a livello EA, ossia di accreditamento europeo e quindi coinvolgerà anche gli altri Paesi.

Deduco, in poche parole, che il percorso di certificazione secondo gli articoli 42 e 43 del GDPR si farà di più facile accesso, visto che potranno essere coinvolti i "soliti" organismi di certificazione, secondo modalità già note dall'esperienza ISO 9001, ISO/IEC 27001 e altre. Va comunque ricordato che quelle citate sono certificazioni di sistemi di gestione, mentre la certificazione Europrivacy è di processo o servizio, quindi con significative differenze.

Ringrazio Luca Tommasella di DNV Italia per avermi segnalato la cosa.

"Interoperable EU Risk Management Toolbox" di ENISA

Sulla newsletter di Project:IN Avvocati vedo che ENISA ha pubblicato il documenti "Interoperable EU Risk Management Toolbox":
- https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-toolbox.

Non mi è piaciuto perché riprende l'approccio della ISO/IEC 27005:2018 (ricordo che è stata pubblicata la versione del 2022), ossia quello basato su asset-minacce-vulnerabilità. Però questo approccio si ha unicamente nell'ambito della sicurezza delle informazioni e fu inventato negli anni Ottanta, quando l'informatica era completamente diversa da quella attuale (e quando gli asset erano molto pochi). Oggi non ha senso pensare all'interoperabilità di analisi basati su meccanismi vecchi e unici per una certa materia.

Detto questo, trovo invece molto interessanti le appendici III - Toolbox threat taxonomy (perché permette di verificare la completezza del proprio approccio), IV - Toolbox impact scale (perché si può prendere come riferimento per il proprio approccio; una scala per la probabilità di accadimento è al paragrafo 2.3.1.4).

Segnalo infine che le scale per impatto e probabilità sono su 5 valori, mentre si consiglia solitamente di prevedere un numero pari di valori, in modo da evitare che venga scelto il valore di mezzo, che non darebbe indicazioni utili.

Il futuro di SPID (e della CIE)

Da Project:IN Avvocati, segnalo questo articolo di Wired dal titolo "I contratti per gestire Spid stanno per scadere. E non c'è un accordo per rinnovarli":
- https://www.wired.it/article/spid-convenzione-scaduta-2022-governo-cie/.

Importante per cercare di capire cosa ci riserva il futuro, anche se pronostico un qualcosa di urgenza per proprogare ulteriormente le convenzioni.

La mia preoccupazione è che la CIE richiede l'attivazione del NFC sul cellulare e non sono sicuro che sia così diffuso. Però non ho dati in merito. Bisogna anche dire che il meccanismo è più complicato perché, oltre al cellulare (come necessario per SPID) bisogna avere sotto mano anche la carta di identità e le complicazioni, solitamente, non aiutano.

Va anche detto che io ho ancora la carta di identità cartacea valida fino al 2025 e mi disturba doverne anticipare la sostituzione. Ma me ne farò una ragione ;-)

Best Cyber Insights of 2023

Claudio Sartor mi ha segnalato questo post su LinkedIn:
- https://www.linkedin.com/posts/the-cyber-security-hub_best-cyber-insights-of-2023-activity-7028992138247827456-LPVI.

Si tratta di una raccolta (se ho fatto bene il calcolo, sono 8 schemi per 168 pagine, per un totale di 1.344 report) di report di sicurezza. Con il termine "report", qui intendo un grafico o una statistica. Per esempio, in prima pagina si trova la percentuale delle organizzazioni che forniscono dettagli sugli attacchi e le vittime e la dimensione delle vittime di ransomware (oltre ad altri 6 schemi). Tutti i dati sono raccolti da altri report, come correttamente segnalato.

Claudio mi scrive: "la una miniera di informazioni pazzesca da diffondere".

Io, personalmente, la trovo eccessiva e non riesco a orientarmi (confermo così che io non riesco a ragionare su troppe informazioni). Però sono sicuro che altri sapranno trarre molti benefici da questa raccolta e per questo ringrazio Claudio.

NIST Cybersecurity Framework 2.0 in lavorazione

Da Crypto-gram del 15 febbraio, segnalo che sono iniziati i lavori per l'aggiornamento del NIST Cybersecurity Framework:
- https://www.nist.gov/cyberframework/updating-nist-cybersecurity-framework-journey-csf-20.

Pubblicazione prevista per l'inverno 2024 (immagino quindi che intendano i primi 3 mesi del 2024).

E' noto che non sono un grande amante del CSF perché preferisco l'uso di standard internazionali, aggiornati attraverso processi aperti; non posso però negare l'impatto positivo di questo framework.

Regole di transizione alla ISO/IEC 27001:2022

Accredia ha approvato il 25 gennaio 2023 la circolare con le regole di transizione delle certificazioni ISO/IEC 27001:2013 alla ISO/IEC 27001:2022:
- https://www.accredia.it/documento/circolare-tecnica-dc-n-04-2023-transizione-certificazioni-accreditate-iso-iec-27001-e-adeguamento-accreditamenti-odc-schema-ssi-isms/.

Per le organizzazioni, riprende esattamente quanto già previsto dalla circolare IAF MD 26 del 2022. Quindi "L'attività di adeguamento deve prevedere una durata minima di 0,5 giorni/uomo aggiuntivi se effettuata attraverso un audit di sorveglianza o con un audit dedicato".

Ancora sui Google Analytics

La storia dei Google Analytics ormai è vecchia, ma un cliente in questi giorni mi ha chiesto chiarimenti e, proprio proprio a proposito, Guido Scorza dell'Autorità Garante Privacy mi ha fatto il piacere di pubblicare un articolo dal titolo "Google Analytics, Scorza: Ecco cosa devono sapere le aziende":
- https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-scorza-ecco-cosa-devono-sapere-le-aziende/.

ISO 31700: mio brevissimo articolo di presentazione

Segnalo questo mio brevissimo articolo dal titolo "Privacy by design: requisiti e casi d'uso della norma ISO 31700":
- https://www.riskmanagement360.it/analisti-ed-esperti/privacy-by-design-requisiti-e-casi-duso-della-norma-iso-31700/.

L'8 febbraio c'è stato un convegno di presentazione della norma, ma purtroppo era tutto basato sul "come siamo stati bravi a concludere il lavoro".

Numero degli utenti UE per i servizi digitali

Mi sono imbattuto (grazie inizialmente a Project:IN Avvocati) in questa notizia "Digital Services Act: Commission provides guidance for online platforms and search engines on publication of user numbers in the EU":
- https://digital-strategy.ec.europa.eu/en/news/digital-services-act-commission-provides-guidance-online-platforms-and-search-engines-publication.

Se ho capito correttamente, il DSA (Regulation (EU) 2022/2065) riguarda gli intermediary services e i motori di ricerca. Questi, per l'art. 24, devono pubblicare i dati sul numero degli utenti dei servizi nella UE ogni 6 mesi, a iniziare da settimana prossima (par. 2) e su richiesta del Digital Services Coordinator o della Commissione (par. 3).

Io però non ho alcun cliente che fa questo mestiere e quindi non ho approfondito. Come diceva qualcuno, però: sapevatelo.

Libro "Sicurezza Informatica - Spunti ed Approfondimenti"

Segnalo che è liberamente scaricabile il libro "Sicurezza Informatica – Spunti ed Approfondimenti" di Andrea Pasquinucci:
- https://www.ictsecuritymagazine.com/pubblicazioni/.

Si tratta di una raccolta di 5 articoli, molto ampi, di sicurezza (Sicurezza Hardware e Confidential Computing; Sicurezza dei router, WAF e QUIC; DNSSEC; password e MFA; Crittografia post quantum). Sono molto tecnici, ma anche molto affascinanti, oltre che istruttivi.

Gli elementi difficili per gestire la sicurezza delle informazioni

Martedì 24 gennaio ho presentato, per i Cyber Security Angels, "Gli elementi difficili per gestire la sicurezza delle informazioni". Le slide sono qui:
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/2023-GallottixCSA.pdf.

Il video è qui:
- https://www.youtube.com/watch?v=w51N1BGPG5o.

Si tratta di alcune riflessioni sugli elementi che risultano più ostici alle organizzazioni per cui lavoro.

Tecniche di infezione basate sull'uso di social network

Segnalo questo bollettino di ACN (grazie a un tweet di Filippo Bianchini) dal titolo "Tecniche di infezione basate sull'uso di social network":
- https://www.csirt.gov.it/contenuti/tecniche-di-infezione-basate-sulluso-di-social-network-bl01-221129-csirt-ita.

Spiega bene come funziona lo spear phishing e penso che una buona lezione, anche se già nota, rimanga sempre utile.

E poi sono contento di vedere che ACN pubblica buone cose. Spero solo che continui a farlo e sempre di più.

Dispositivi (e smartphone) a scuola

Mi rendo conto che sono leggermente fuori tema, però il discorso sugli "smartphone a scuola" introduce molti elementi importanti anche per chi si occupa di qualità e sicurezza nelle aziende e, in generale, nelle organizzazioni.

Intanto un link (grazie a un tweet di Filippo Bianchini) a un articolo dal titolo "Quando la disinformazione arriva dal Ministero dell'Istruzione e del Merito: il caso dei dispositivi elettronici a scuola":
- https://www.valigiablu.it/cellulari-scuola-circolare/.

Poi un video di un incontro dal titolo "Incontro aspettando lo smartphone" tenuto presso una scuola. Per chi non si occupa di bambini e ragazzi è comunque interessante la prima parte (dal minuto 10 all'ora) perché fornisce dati interessanti sugli effetti o i non-effetti dell'uso dello smartphone:
- https://www.youtube.com/watch?v=ndYFEGrRDYc.

Penso ci siano alcune cose significative:
- le diverse tipologie di attenzione che impongono gli strumenti digitali, che vanno considerate attentamente;
- il livello di distrazione che gli strumenti introducono;
- il fatto che vedere violenza non ci fa diventare più violenti, ma più impauriti.

Insomma, ci sono cose che fanno riflettere. Non ho ancora ben sedimentato queste riflessioni, ma so che ci sono.

Rapporto EDPB sui cookie banner

Segnalo questo articolo dal titolo "Cookie, quali regole rispettare: i Garanti privacy chiariscono i dubbi":
- https://www.agendadigitale.eu/sicurezza/privacy/cookie-quali-regole-rispettare-i-garanti-privacy-chiariscono-i-dubbi/.

Il titolo è un po' troppo enfatico, comunque è utile leggere l'articolo perché riassume quanto emerge dal "Report of the work undertaken by the Cookie Banner Taskforce" di EDPB, pubblicato il 18 gennaio 2023:
- https://edpb.europa.eu/our-work-tools/our-documents/report/report-work-undertaken-cookie-banner-taskforce_en.

Mio articolo sulle competenze per la sicurezza delle informazioni

Segnalo questo mio articolo dal titolo "Sicurezza delle informazioni: come formare le competenze che servono":
- https://www.agendadigitale.eu/cultura-digitale/competenze-digitali/sicurezza-delle-informazioni-le-competenze-necessarie-e-le-opportunita-di-formazione/.

Mi sono molto divertito a scriverlo e spero sia di interesse.

Tassonomia incidenti ACN

ACN ha elaborato una tassonomia di incidenti informatici per le notifiche da parte delle organizzazioni del Perimetro di Sicurezza Nazionale Cibernetica:
- https://www.acn.gov.it/notizie/contenuti/si-rafforza-il-perimetro-nazionale-di-sicurezza-cibernetica.

La tassonomia, in Allegato A della Determina del 3 gennaio 2023, si trova al momento in Gazzetta ufficiale (grazie a Franco Vincenzo Ferrari per avermela segnalata) ed è previsto venga pubblicato sul sito di ACN del CSIR Italia:
- www.gazzettaufficiale.it/eli/id/2023/01/10/23A00114/sg.

I tipi di incidente sono raggruppati in sole 15 categorie e già questa mi sembra una buona notizia. Per il resto, bisognerà valutare la bontà di questo elenco tra qualche tempo, dopo che sarà stato effettivamente utilizzato.

Arrestare gli amministratori di sistema

Da Crypto-gram di gennaio, segnalo questo articolo dal titolo "Albanian IT staff charged with negligence over cyberattack":
- https://apnews.com/article/iran-europe-middle-east-albania-tirana-39fce9b5fe112a43f8b35a533b6d29e8.

Il procuratore ha chiesto l'arresto di 5 amministratori di sistema per mancate verifiche degli aggiornamenti e del software antivirus. Questo avrebbe poi portato al successo alcuni attacchi dall'Iran.

Come dice Bruce Schneier, poi bisognerà arrestare anche i manager delle società che producono software perché non pubblicano abbastanza velocemente le patch e gli sviluppatori perché ci sono bug nel software.

Certamente è un metodo per migliorare il livello di sicurezza informatica.

I rischi umani di sicurezza informatica

Segnalo questo articolo da un tweet di Rebus dal titolo "Errori, stanchezza, computer smarriti: quando il fattore umano mette a rischio la sicurezza informatica":
- https://www.wired.it/article/fattore-umano-sicurezza-informatica/.

Nulla di nuovo, ma è bene ripassarlo.

A mio parere, poi, troppi puntano sulla formazione e la consapevolezza delle persone, ma queste sono, per nostra natura, inaffidabili. Io ritengo che la sicurezza debba essere innanzitutto tecnologica, da ovviamente affiancare a quella umana. Continuo a dirlo: già le persone non bloccano i propri dispositivi e, se possono, non impostano una password; figuriamoci stare attenti.

Regolamenti DORA e Direttive DORA, NIS2 e CER

Si è molto parlato negli ultimi tempi della prossima pubblicazione delle normative in oggetto. Una breve sintesi si trova in questo articolo:
- https://formiche.net/2022/12/regolamento-tre-direttive-ue-cyber/.

La più importante è la Direttiva NIS2 2022/2555, di cui già scrissi in precedenza e che dovrà essere recepita dagli Stati membri entro fine 2024:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555

Importante è il Regolamento DORA 2022/2554, per il settore finanziario:
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022R2554.

Il DORA è accompagnato dalla Direttiva 2022/2556 per allineare le direttive esistenti al Regolamento:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2556.

Infine la Direttiva CER 2022/2557 sulle infrastrutture critiche (che abroga la precedente Direttiva 2008/114/CE):
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2557

Per quest'ultima devo ancora capire bene come si interseca con la NIS2. Mi sembra di capire che stabilisca ulteriori misure per alcuni soggetti particolarmente critici, oltre a quanto stabilito dalla NIS2. Ho trovato questo articolo:
- https://www.dirittobancario.it/art/la-direttiva-cer-sulla-resilienza-dei-soggetti-critici/.

ISO/IEC TS 22237 sui data center, certificazioni e accreditamento

Segnalo questo mio articolo dal titolo " Standard ISO/IEC TS 22237 per i data center: i punti critici nello schema di certificazione Accredia":
- https://www.cybersecurity360.it/soluzioni-aziendali/standard-iso-iec-ts-22237-per-i-data-center-i-punti-critici-nello-schema-di-certificazione-accredia/.

Mi pare che il titolo annunci già a sufficienza il contenuto. Mi piacerebbe ricevere commenti.

Attacco a LastPass

LastPass è uno dei più noti password manager e poco prima di Natale è stato compromesso:
- https://www.wired.com/story/lastpass-breach-vaults-password-managers/.

L'articolo segnala strumenti alternativi (oltre a essere critico su alcune pratiche di sicurezza e di comunicazione di LastPass).

Dal rapporto di LastPass (https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/), sembra che sia stato compromesso un loro repository su cloud in agosto (in cui erano conservati i backup), da cui i criminali hanno ricavato informazioni per un ulteriore attacco a fine novembre. Se ho capito correttamente, l'uso di MFA non era previsto.

Questa storia è importante per ricordarci che strumenti di sicurezza molto utili portano con se anche diversi rischi. Oltre che per ricordarci che è meglio usare il MFA.

Notizia presa dal SANS NewsBites.

NIS2 approvata

E' stata approvata dal Consiglio UE la Direttiva NIS2, che sostituirà la Direttiva NIS:
- https://www.consilium.europa.eu/en/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council-adopts-new-legislation/.

L'articolo indica anche i prossimi passi: la Direttiva sarà pubblicata sulla Gazzetta europea e poi dovrà essere adottata dagli Stati membri entro fine 2024 (o inizio 2025).

Nel frattempo sono stati pubblicati alcuni articoli di approfondimento. Segnalo questo, anche se pubblicato prima dell'approvazione da parte del Consiglio UE:
- https://www.agendadigitale.eu/sicurezza/nis-2-approvata-gli-effetti-su-aziende-e-pa/.

Va anche detto che, per l'Italia, dovremo vedere come sarà modificato il D. Lgs. 65 del 2018, quello che recepisce la NIS (ricordo che le Direttive, a differenza dei Regolamenti europei, per essere applicabili, devono essere recepite dagli Stati membri).

EN 17640 sulla certificazione dei prodotti ICT

Segnalo questo articolo di ICT Security Magazine dal titolo "Sicurezza dei prodotti ICT: dall'Unione Europea arrivano nuovi criteri di valutazione":
- https://www.ictsecuritymagazine.com/notizie/sicurezza-dei-prodotti-ict-dallunione-europea-arrivano-nuovi-criteri-di-valutazione/.

Al momento non mi risultano attivi schemi di certificazione dei prodotti ICT per il cyber security act e per il NIS. E mi risulta anche oscura l'organizzazione degli standard relativi. Ci arriveremo, ma per adesso mi sembra tutto oscuro (anche se accompagnato da annunci pieni di entusiasmo).

Digital resignation

Segnalo questo interessante articolo dal titolo "Digital resignation: Non dobbiamo per forza cedere i nostri dati alle Big Tech: ecco i servizi a prova di privacy":
- https://www.agendadigitale.eu/sicurezza/privacy/non-dobbiamo-per-forza-cedere-i-nostri-alle-big-tech-ecco-i-servizi-a-prova-di-privacy/.

Nulla di tecnico, ma espone bene alcuni concetti che penso siano essenziali per chi si occupa di privacy e protezione dei dati personali.

Convegno Accredia sulle certificazioni di cybersecurity

Accredia il 14 novembre 2022 ha promosso il convegno "Come gestire il rischio informatico? Il contributo dell'accreditamento e della certificazione alla cybersecurity nazionale". Sono stati pubblicati i materiali presentati:  

- https://www.accredia.it/pubblicazione/come-gestire-il-rischio-informatico-il-contributo-dellaccreditamento-e-della-certificazione-alla-cybersecurity-nazionale/.

Il Quaderno presenta 128 pagine molto fitte, mentre la presentazione le riassume. Utile per capire cosa c'è e cosa ci potrà essere (anche se rimango perplesso sulla spinta a sviluppare schemi nazionali di certificazione).

Guide per lo sviluppo sicuro di NSA

Dalla newsletter Crypto-Gram segnalo che NSA ha pubblicato due guide per lo sviluppo sicuro.

Il primo ha titolo "Software Supply Chain Guidance for Developers":
- https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3146465/nsa-cisa-odni-release-software-supply-chain-guidance-for-developers/.

Il secondo ha titolo "Software Supply Chain Guidance for Suppliers" (che purtroppo ha le prime 22 pagine su 45 in formato foto e non testo):
- https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3204427/esf-partners-nsa-and-cisa-release-software-supply-chain-guidance-for-suppliers/.

Si tratta di cose note, ma ben approfondite.

"Data Breach Investigations Report" di Verizon

Segnalo la pubblicazione del DBIR "Data Breach Investigations Report" di Verizon:
https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf.

Un'enorme quantità di dati. Segnalano soprattutto il fatto che molti attacchi sfruttano errori di configurazione (misconfiguration), soprattutto in merito all'accesso ai servizi cloud.

Digital service act (DSA) -- un articolo

Del DSA già ne parlai in altro post (http://blog.cesaregallotti.it/2022/10/digital-service-act-dsa.html). Segnalo questo articolo che ne approfondisce alcuni aspetti:
- https://www.agendadigitale.eu/mercati-digitali/in-vigore-il-digital-services-act-stop-agli-illeciti-su-contenuti-prodotti-e-servizi-online/.

ISO survey 2021

E' disponibile la ISO Survey 2021:
- https://www.iso.org/the-iso-survey.html.

Si tratta dei dati relativi alle certificazioni sui sistemi di gestione ISO (qualità, sicurezza delle informazioni, gestione dei servizi, gestione della continuità e altri).

Nuova ISO/IEC 27001: l'articolo definitivo

Con molta umiltà, segnalo l'articolo scritto da me e Fabio Guasconi dal titolo "Sicurezza delle informazioni, la nuova ISO/IEC 27001:2022: ecco cosa cambia":
- https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-la-nuova-iso-iec-270012022-ecco-cosa-cambia/.

Pubblicato il rapporto semestrale di NCSC

Segnalo la pubblicazione del rapporto semestrale 2022/1 del Centro nazionale per la cibersicurezza (NCSC) della Confederazione Svizzera:
- https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2022-1.html.

In questo numero, il tema principale, ma non l'unico, è l'informatica nei conflitti armati. E' sempre un'ottima lettura.

Guida CISA FBI MS-ISAC per rispondere agli attacchi DDoS

Dal SANS Newsbites apprendo che CISA FBI MS-ISAC hanno pubblicato la guida "Understanding and Responding to Distributed Denial-of-Service Attacks":
- https://www.cisa.gov/uscert/ncas/current-activity/2022/10/28/joint-cisa-fbi-ms-isac-guide-responding-ddos-attacks-and-ddos.

Ecco il commento del SANS: "E' una buona guida ad alto livello". E poi: "La guida parte con le cose di base: conosci cos'hai, verifica le protezioni attive (p.e. WAF il blocking mode), capisci le protezioni del tuo ISP e di altri ISP e CSP, quindi lavora per togliere le lacune. Non sottovalutare i servizi CDN. E poi raccomanda di cercare un'unica fonte per le protezioni contro il DDoS, più facile da gestire".

Io vedo che ci sono molte cose interessanti che vale la pena verificare. E poi non tratta solo di possibili difese, ma propone una procedura di gestione degli incidenti.

Presentazione sulla nuova ISO/IEC 27005:2022

Franco Vincenzo Ferrari mi ha segnalato questo Presentazione sulla nuova ISO/IEC 27005:2022 e sulle differenze rispetto alla precedente edizione:
- https://www.linkedin.com/posts/andreyprozorov_iso-270052022-overview-activity-6992728175516479488-ysYY.

Segnalo la novità principale, ossia l'approccio "event-based", affiancato a quello tradizionale "asset-based".

Nota mia: a ben guardare, non sono così diversi. L'approccio "event-based" è tanto lodato perché trascinato dall'entusiasmo di quanti erano (a mio parere correttamente) stufi di un approccio che non ha eguali in altre discipline e nato negli anni Ottanta, quando l'informatica era ben diversa e molto meno complessa (per cui aveva senso fare valutazioni del rischio per ciascun asset). Ciò non toglie che ambedue gli approcci richiedono di sapere cosa c'è da proteggere, i potenziali eventi che potrebbero capitare e lo stato delle misure di sicurezza per contrastarli. Alla fine, la valutazione del rischio è tutta qui.

Comunque lo ribadisco: ben venga questa ISO/IEC 27005:2022 perché permette di presentare valutazioni del rischio più moderne e utili senza essere appesantiti da auditor e consulenti pedanti.

I cambiamenti della ISO/IEC 27001:2022

Glauco Rampogna (grazie!) mi ha segnalato questa presentazione dove sono indicate le differenze tra la ISO/IEC 27001:2013 e la ISO/IEC 27001:2022:
- https://www.linkedin.com/posts/andreyprozorov_new-iso-270012022-activity-6990611587405369344-2ncm.

Il testo precedente e quello nuovo sono messi a confronto e si capiscono bene le differenze.

Sulle conclusioni ho invece molte perplessità: a parte i punti 1 e 2, che sono fuori discussione, gli altri punti richiamano procedure o strumenti non necessari e non le registrazioni, che invece sono necessarie (riesame di direzione, obiettivi, eccetera).

Digital service act (DSA)

Chiara Ponti, Idraulica della privacy, mi ha segnalato la pubblicazione del Regolamento europeo 2022/2065, noto come Digital service act (DSA):
- http://data.europa.eu/eli/reg/2022/2065/oj.

Esso modifica, tra gli altri, la Direttiva e-commerce (2000/31/CE, recepita in Italia con il D.Lgs. 70 del 2003).

Chiara Ponti mi ha dato i suoi appunti sugli aspetti che lei ritiene più importanti. Spero di non sbagliare e li diffondo:
- nuovi obblighi di trasparenza per la pubblicità mirata basata su profilazione degli utenti;
- introduzione di misure mirate alla tutela di minori e soggetti fragili (il tragico caso inglese Molly Russel - 14enne suicida a seguito di abbuffata di post negativi autolesionisti ecc, ha fatto purtroppo scuola);
- divieto di utilizzare tecniche ingannevoli per manipolare o influenzare le scelte degli utenti (c.d. dark pattern);
- obbligo di rapida rimozione di contenuti illeciti;
- obbligo per gli e-commerce e i marketplace di assicurare agli utenti l'acquisto di prodotti o servizi sicuri, verificando l'identità dei commercianti e l'affidabilità delle informazioni fornite;
- introduzione della figura del "responsabile della conformità" ("compliance officer": era ora!), un soggetto nominato dai fornitori di servizi online che avrà il compito di monitorare l'osservanza del Regolamento.

Grazie Chiara!

PS: entrerà in vigore il 17 febbraio 2024 (grazie a Davide Foresti per quest'ultima informazione).

Data governance act (DGA)

A giugno 2022, in Gazzetta europea è stato pubblicato il Data governance act (Regolamento UE 2022/868). Segnalo quindi il comunicato stmpa del Consiglio dell'UE:
- https://www.consilium.europa.eu/it/press/press-releases/2022/05/16/le-conseil-approuve-l-acte-sur-la-gouvernance-des-donnees/.

La notizia me l'ha data Chiara Ponti, Idraulica della privacy che ringrazio. Chiara ha scritto a sua volta un articolo interessante:
- https://www.zerounoweb.it/cio-innovation/open-innovation/data-governance-act-che-cose-e-quali-novita-introduce/.

In sostanza, il DGA riguarda il trasferimento di dati "che potrebbero essere protetti dalla legislazione in materia di protezione dei dati, dalla proprietà intellettuale oppure contenere segreti commerciali o altre informazioni commerciali sensibili". Si tratta di regole per:
- la condivisione di dati detenuti da enti pubblici (e che devono garantire opportune misure di sicurezza);
- la condivisione di dati tra imprese e singoli (attraverso servizi di intermediazione che a loro volto devono rispettare specifiche regole);
- messa a disposizione di dati per il bene comune (altruismo dei dati per il bene comune; le organizzazioni che li usano devono rispettare specifici codici di condotta).

Sono previsti meccanismi di certificazione per i fornitori di servizi di intermediazione e le organizzazioni per l'altruismo dei dati.

A dirla tutta, non ho capito esattamente i casi d'uso di questo regolamento, ma ho fiducia che, prima o poi, ce la farò.

Servizi online, necessario l'https

Il Garante ha sanzionato un'azienda perché usava il protocollo http e non https (per cifrare le trasmissioni) per l'accesso all'area riservata, usata per visualizzare lo storico delle bollette di un fornitore di servizi idrici:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9817058.

Anche il mio sito, con solo pagine statiche, usa https!

Raccomandazioni del CISA per la sicurezza di Microsoft 365

Dal SANS Newsbyte segnalo che il CISA ha pubblicato la bozza delle "M365 Minimum Viable Secure Configuration Baseline":
- https://www.cisa.gov/scuba.

La guida è per Microsoft Defender for Office 365, Microsoft Azure Active Directory, Microsoft Exchange Online, OneDrive for Business, Power BI, Power Platform, SharePoint Online, Teams.

Pubblicata la ISO/IEC 27005:2022 sulla gestione del rischio

La ISO/IEC 27005:2022 è stata pubblicata:
- https://www.iso.org/standard/80585.html.

Questa norma tratta della gestione del rischio relativo la sicurezza delle informazioni.

Essa è stata cambiata in modo significativo per uscire dall'unico approccio basato su asset e relative minacce e vulnerabilità, oggi difficile da seguire e che non sempre fornisce risultati utili. E' stato affiancato da un approccio basato su "eventi" (in sostanza la stessa cosa, ma viene meno lo stretto collegamento con gli asset, anche se ovviamente gli eventi vanno identificati e valutati considerando quanto "c'è in casa").

Il tutto è scritto male e in modo anche confuso. Potrei dire che si tratta di una norma "di transizione". Il suo valore, a mio parere, è soprattutto quello di superare un approccio, peraltro non condiviso da altre discipline (che io raccomando sempre di analizzare con interesse).

Pubblicata la ISO/IEC 27001:2022

Giovanni Sadun oggi mi ha dato la notizia per primo. La ISO/IEC 27001:2022 è stata pubblicata:
- https://www.iso.org/standard/82875.html.

Ricordo che il cambiamento è all'Annex A, che adesso fa riferimento ai controlli della ISO/IEC 27002:2022 di cui scrissi tempo fa (ma sbagliai indicando che sarebbe stata pubblicata nel 2021):
https://www.key4biz.it/sicurezza-delle-informazioni-cosa-prevede-la-nuova-iso-iec-27002-2021/348311/.

Altri cambiamenti riguardano l'integrazione delle correzioni del 2014 e 2015, il cui significato più importante è che non è necessario redigere la Dichiarazione di applicabilità (Statement of applicability) sulla base dei controlli nell'Appendice A, ma può seguire altri insiemi, purché altrettanto esaustivi dell'Appendice A.

Tempi di transizione: tutti i certificati devono essere convertiti entro il 31 ottobre 2025.

Privacy: Approvato il primo schema di certificazione europeo

Cado dalla sedia perché EDPB ha approvato il primo schema di certificazione (o, meglio, di sigillo europeo):
https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282022-europrivacy-criteria-certification_en.

Il sito di Europrivacy è questo:
https://europrivacy.com/.

Confermo però la mia idea che uno schema così importante dovrebbe essere gestito da entità "pubbliche" e non da entità private, per quanto competenti e corrette. E così pure le specifiche dovrebbero essere oggetto di standardizzazione almeno europea.

Comunque è importante osservare che l'iniziativa ha avuto fin qui successo e dovrà essere presa come punto di riferimento.

Tool di attacco e difesa (e di controllo delle autorizzazioni su Active Directory)

Dal SANS NewsBites del 11 ottobre, leggo la notizia "US HHS HC3 Presentation on Risks Posed by Legitimate Security Tools". Essa rimanda alla notizia su SC Magazine:
- https://www.scmagazine.com/analysis/risk-management/ongoing-abuse-of-legitimate-security-tools-pose-threat-to-healthcare-hc3-warns.

Si tratta di un elenco di strumenti che possono essere usati per aumentare il livello di sicurezza dei sistemi e della rete, ma anche per attaccarli. La lettura è piuttosto tecnica.

Mi sono incuriosito soprattutto ai tool per il controllo delle autorizzazioni su Active Directory (in particolare AccessEnum dei Sysinternals), attività sempre difficile da fare. Per questo ho trovato interessante l'articolo "Top 11 NTFS Permissions Tools for Smarter Administration" (sul sito web di uno dei tool raccomandati):
- https://blog.netwrix.com/2021/01/13/ntfs-permissions-tools/.

Come valutare un SOC

Ringrazio Luca Moroni di Via Virtuosa perché mi ha segnalato i webinar, in italiano, dei Cyber security angels.

Li ho ascoltati (non tutti, ovviamente) e segnalo in particolare quello intitolato "SoC QoS Ovvero elementi valutativi per un Security Operations Center":
- https://www.youtube.com/watch?v=ECB7lX6P49Q.

Mi sembra molto utile per capire come dovrebbe funzionare un SOC e anche perché i KPI, in sicurezza, vanno trattati con molta cautela.

Stato degli standard ISO/IEC 270xx

Il 4 e 5 ottobre 2022 si è tenuto il meeting semestrale del ISO/IEC JTC 1 SC 27 WG 1, il gruppo che si occupa della standardizzazione relativa ai sistemi di gestione per la sicurezza delle informazioni (ossia le norme della famiglia ISO/IEC 27000). Ecco lo stato di alcuni progetti che io ritengo interessanti:
- ISO/IEC 27001: è stata approvata la bozza finale e ora deve essere pubblicata la ISO/IEC 27001:2022;
- ISO/IEC 27005 sulla gestione del rischio relativo alla sicurezza delle informazioni: è stata approvata la bozza finale e ora deve essere pubblicata la ISO/IEC 27005:2022; a mio parere non è scritta bene né è chiara, ma ha il pregio di superare l'impostazione basata sul censimento degli asset, a mio parere spesso né efficace né efficiente;
- ISO/IEC 27006-1 con le regole di accreditamento per gli organismi di certificazione ISO/IEC 27001; è in stato di DIS, quindi si prevede la pubblicazione della nuova edizione per primavera 2023; non ha grandi novità, ma è stata aggiornata per poter mettere ordine anche nelle regole di accreditamento per altri standard come la ISO/IEC 27701;
- ISO/IEC 27011 (con i controlli per il settore delle TLC), ISO/IEC 27017 (con i controlli per i servizi cloud), ISO/IEC 27019 (con i controlli per il settore dell'energia); sono in fase di aggiornamento per essere allineate alla nuova ISO/IEC 27002; si prevede di pubblicare la nuova ISO/IEC 27011 nella primavera 2023, mentre le altre sono previste per il 2024 o 2025;
- ISO/IEC 27003, 27004 e 27013: partiranno i lavori di aggiornamento.

Tra il 29 settembre e il 6 ottobre 2022 si è tenuto il meeting del ISO/IEC JTC 1 SC 27 WG 5, il gruppo che si occupa della standardizzazione in ambito privacy (in particolare della ISO/IEC 27701, ma non solo). Ecco lo stato di alcuni progetti che io ritengo interessanti:
- ISO/IEC 27006-2 con le regole di accreditamento per gli organismi di certificazione ISO/IEC 27701: rimane in stato di CD (quindi con pubblicazione non prima di metà del 2024); gran parte della discussione, come al solito, ha riguardato il calcolo delle giornate di audit;
- ISO/IEC 27557 sulle differenze tra valutazione del rischio relativa alla sicurezza delle informazioni e quella relativa alla privacy: sarà pubblicata a breve; non penso sia una norma importante, ma ho imparato molto partecipando ai lavori;
- ISO/IEC 29134 sulla DPIA: verrà emendata per correggere alcune cose e, in sostanza, per evitare una revisione completa, ma non ne raccomanderei l'acquisto perché si tratta di cose anche interessanti, ma la verità è che la norma dovrebbe essere completamente aggiornata considerando l'esperienza maturata dal 2017;
- ISO/IEC 27018 con i controlli aggiuntivi per la ISO/IEC 27001 per i fornitori di servizi cloud, importante perché richiesti da alcuni bandi di gara italiani: avviato un gruppo per proporre un adeguamento considerando la nuova ISO/IEC 27001.

Transizione alla ISO/IEC 27001:2022

La ISO/IEC 27001:2022 non è ancora pubblicata, ma sono disponibili i requisiti di IAF per la transizione:
- https://iaf.nu/iaf_system/uploads/documents/IAF_MD_26_Transition_requirements_for_ISOIEC_27001-2022_09082022.pdf

Segnalo che è stato recepito l'approccio dell'SC 27 per cui l'Annex A della ISO/IEC 27001 non è di requisiti. Pertanto è detto che "The impact of the changes in ISO/IEC 27001:2022 is limited".

La guida chiede di completare la transizione dei certificati entro 3 anni dall'uscita della ISO/IEC 27001.

Sito dell'ISO/IEC JTC 1 SC 27

Segnalo il sito dell'ISO/IEC JTC 1 SC 27, ossia del comitato che si occupa di scrivere le norme di sicurezza delle informazioni e la privacy, tra cui ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27701, i Common criteria:
- https://committee.iso.org/home/jtc1sc27.

Alcune cose non sono recentissime, ma sono comunque interessanti. Segnalo in particolare il SC 27 Journal, il Volume 2, Issue 2 di luglio 2022, dedicato alla ISO/IEC 27002:2022. In esso c'è un interessantissimo articolo sulla storia di questa norma.

Privacy: Aggiornamento sull'accordo USA-UE per il trasferimento dei dati personali

E' noto che USA e UE si stanno muovendo per arrivare a un nuovo accordo per il trasferimento dei dati personali. Insomma, un Safe Harbour 3.0 o un Privacy Shield 2.0.

Non è ancora stato definito completamente, ma si stanno facendo passi avanti.

Per capire meglio, penso che la newsletter di IN Avvocati sia ottimamente sintetica ed esaustiva:
https://www.linkedin.com/comm/pulse/40-arriva-un-nuovo-accordo-usa-ue-sui-dati-parte-speciale-

Mio articolo sulle competenze in ambito di sicurezza informatica

Ho scritto un articolo dal titolo "La cybersecurity e la ricerca delle competenze nel 2022". Si può leggere seguendo il link da questa pagina di lancio:
- https://digitalaw.it/alla-ricerca-delle-competenze-digitali-nel-2022/.

Si tratta di riflessioni senza pretesa di essere conclusive. Anzi. Mi farà piacere se altri vorranno condividere con me altre riflessioni in materia (anche se diverse dalle mie).

Mia presentazione "Spunti per lo sviluppo sicuro del software"

Il 7 ottobre 2022, alla "AppSec and Cybersecurity Governance 2022" organizzata da ISACA Venice Chapter, OWASP Italia e Ca' Foscari University a Mestre, ho avuto l'opportunità di presentare alcune riflessioni su cosa non funziona nello sviluppo sicuro del software:
- https://www.cesaregallotti.it/Pdf/Pubblicazioni/20220-10-07-Slides-ISACA-Venice.pdf.

L'iniziativa è stata molto bella e ringrazio in particolare Alberto Elia Martin di ISACA Venice per avermi invitato (il programma della giornata è disponibile su https://sites.google.com/owasp.org/assg2022/) e i tanti colleghi che ho avuto modo di incontrare nuovamente o di conoscere di persona.

Cyber o ciber? e non solo

Pierfrancesco Maistrello mi ha segnalato questo articolo sul sito dell'Accademia della crusca dal titolo "La cibersicurezza è importante. L'italiano pure":
- https://accademiadellacrusca.it/it/contenuti/gruppo-incipit-comunicato-n-16-la-cibersicurezza--importante-litaliano-pure/15345.

Richiama alcune mie riflessioni sull'uso incontrollato del termine ciber.

Pierfrancesco mi dice che l'ha trovato citato durante un convegno con il Garante privacy e l'Ispettorato nazionale del lavoro. Lo segnalo per completezza, ma ormai è passato:
- https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9809806.

Zero trust architecture

Da un po' si sente parlare di Zero trust architecture o ZTA. Glauco Rampogna mi scrive "Una nuova buzzword è "Zero Trust"; in 2 soldini "non fidarti del device solo per il solo fatto di averlo nella tua rete". Per questo mi segnala la pagina del NCCOE, che sta producendo alcune guide:
- https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture.

Il riferimento di base è comunque la SP 800-207 "Zero Trust Architecture" del NIST:
- https://csrc.nist.gov/publications/detail/sp/800-207/final.

In sostanza: "Zero trust (ZT) is the term for an evolving set of cybersecurity paradigms that move defenses from static, network-based perimeters to focus on users, assets, and resources". Mi pare di poter tradurre dicendo che la sicurezza basata sulla protezione della rete non è più sufficiente, visto che gli apparati, oggi, si connettono in tali e tanti modi che la rete non può più essere presidiata efficacemente. Ci sarà sempre bisogno di firewall, ma non sono più sufficienti.

Per aiutarmi ancora a capire, Glauco mi segnala questo articolo dal titolo "From Zero to One Hundred: Demystifying zero trust and its implications on enterprise people, process, and technology":
- https://queue.acm.org/detail.cfm?id=3561799.

Io faccio parte di quelli che pensano che ZTA sia un nuovo nome per la cybersecurity, a sua volta un nuovo nome per la sicurezza informatica. Attenzione però che il problema della permeabilità delle reti è reale, solo che le tecnologie per la sicurezza sono le stesse e il nuovo nome invita "solo" a ricordare che vanno utilizzate bene.