Infosec & Quality [ITA] - Gen. 2024
Indice
01- ISO/IEC 42001 sull'intelligenza artificiale
02- Data Act: il link
03- Condannato per aver danneggiato la rete aziendale dopo licenziamento (negli USA)
04- Certificazioni OpenSM
05- ACN e Garante privacy: Linee guida per la conservazione delle password
06- Garante privacy, ASL, Tribunale di Udine e DPIA (link alle sentenze)
******************************************************
01- ISO/IEC 42001 sull'intelligenza artificiale
Monica Perego (Idraulica della privacy) mi ha segnalato la pubblicazione della ISO/IEC 42001:2023 "Information technology - Artificial intelligence - Management system": https://www.iso.org/standard/81230.html.
Riporta i requisiti per un sistema di gestione per l'intelligenza artificiale.
La norma richiede di valutare il rischio non solo relativo all'efficacia del sistema di gestione (come tutte le altre norme relative ai sistemi di gestione come la ISO 9001 e la ISO/IEC 27001), ma anche di condurre valutazioni del rischio relative all'intelligenza artificiale, quindi più tecniche (anche se le due valutazioni potrebbero, almeno in teoria, essere integrate). Richiede anche una valutazione d'impatto dell'IA (ossia una valutazione relativa agli impatti sugli individui e sulla società).
La norma fa riferimento anche alle ISO/IEC 38507 (Governance implications of the use of artificial intelligence by organizations) e ISO/IEC 23894 (Guidance on risk management), che non ho letto e quindi non posso commentare.
I requisiti di valutazione del rischio sono organizzati come nella ISO/IEC 27001, ossia in gran parte nel capitolo 6 (relativo alla pianificazione) e poi richiamati nel capitolo 8 (relativo alle attività operative).
Importanti, infine, gli Annex. Infatti la ISO/IEC 42001 funzione come la ISO/IEC 27001 e ha un Annex A con i controlli da considerare per il trattamento del rischio. Anche da questo punto di vista, introduce elementi tecnici interessanti.
Oltre a ciò, c'è un Annex B con la guida per l'implementazione dei controlli (come la ISO/IEC 27002) e un Annex C con alcuni obiettivi organizzativi relativi all'IA e alcune sorgenti di rischio (qui chiaramente e, finalmente e correttamente, assimilabili alle minacce e non agli agenti di minaccia).
C'è infine un Annex D sull'uso dei sistemi di gestione per l'intelligenza artificiale in diversi domini e settori e sulla loro integrazione con altri sistemi di gestione, a mio parere inutile (ma occupa fortunatamente solo due pagine).
******************************************************
02- Data Act: il link
Glauco Rampogna (Idraulico della privacy e non solo) mi ha segnalato il link per il Data Act: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32023R2854.
Del Data Act, poco tempo fa, avevo già riassunto gli obiettivi (norme finalizzate a consentire agli utilizzatori di prodotti e servizi di accedere e utilizzare i dati personali generati dai loro dispositivi connessi) e riportato il link alla pagina del comunicato stampa del Consiglio UE: https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/.
Saranno scritti fiumi di parole in merito e quindi evito di farlo io.
******************************************************
03- Condannato per aver danneggiato la rete aziendale dopo licenziamento (negli USA)
Notizia dal SANS Newsbytes: Uno specialista cloud della First Republic Bank (California, USA) è stato condannato a due anni di prigione e a risarcire circa 500mila dollari; dopo essere stato licenziato nel marzo 2020, con le sue credenziali (non disabilitate immediatamente) e il computer aziendale (a casa sua al momento del licenziamento), potè installare malware, cancellare archivi di codice sorgente, bloccare utenti dai servizi cloud e fare altre attività dannose.
Un articolo: https://www.theregister.com/2023/12/12/cloud_engineer_bank_prison/.
******************************************************
04- Certificazioni OpenSM
Francesco Cagno di Deloitte (e mio collega nel lontano 2008) mi ha segnalato l'iniziativa dell'OpenSM Foundation: https://www.opensm.org (il sito va certamente migliorato e l'ho già comunicato a Francesco).
Si tratta, in pochissime parole, di un modello alternativo a ITIL. Nelle intenzioni, dovrebbe anche essere meno pesante di ITIL, proponendo solo 3 certificazioni e un modello meno complicato.
Gli faccio i miei migliori auguri di riuscire a diffondersi e far tornare la "gestione dei servizi" a essere pragmatica.
******************************************************
05- ACN e Garante privacy: Linee guida per la conservazione delle password
Il Garante Privacy e l'Agenzia per la cybersicurezza nazionale (ACN) hanno pubblicato delle "Linee Guida per la conservazione delle #password": https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9962240.
Devo dire che avevo ignorato l'annuncio fino a quando non ho visto un tweet di Filippo Bianchini, che ringrazio.
Però devo richiamare l'attenzione sul fatto che il titolo vero del documento è "Linee guida funzioni crittografiche: Conservazione delle Password" e si capisce immediatamente che non si tratta di un documento con raccomandazioni per tutti i cittadini, ma di qualcosa di più tecnico.
Sono presentati algoritmi crittografici robusti che potrebbero essere usati dai diversi prodotti per la sicurezza delle password. Considerando che oggi gli sviluppatori non sviluppano quasi più meccanismi di conservazione delle password, ma utilizzano librerie fatte da altri, è quindi compito degli sviluppatori e degli amministratori di sistema verificare quali algoritmi sono usati dai prodotti che gestiscono e configurarli opportunamente.
Materia non facile e devo dire che mi sarebbe piaciuta un'analisi dei prodotti più diffusi.
******************************************************
06- Garante privacy, ASL, Tribunale di Udine e DPIA (link alle sentenze)
Avevo scritto un post dal titolo "Garante privacy, ASL, Tribunale di Udine e DPIA": http://blog.cesaregallotti.it/2023/12/garante-asl-tribunale-di-udine-e-dpia.html.
Elia Barbujani (Idraulico della privacy) mi ha mandato un paio di link per approfondire.
Il primo riguarda la motivazione della sentenza del Tribunale di Udine: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9957324.
Il secondo riguarda la sentenza del Tribunale di Pordenone, citata dall'articolo di Silvia Stefanelli che avevo segnalato nel mio post: https://www.agendadigitale.eu/sicurezza/privacy/medicina-di-iniziativa-perche-anche-il-tribunale-di-udine-ha-detto-no-al-garante-privacy/.
******************************************************
EONL