Infosec & Quality [ITA] - Mar. 2024
******************************************************
Indice
01- Repository VERA su GitHub
02- Report ENISA: Telecom security incidents 2022
03- Studio ENISA sulla Cyber Insurance
04- Novità normative: eIDAS 2.0
05- Novità normative: Approvato l'AI Act europeo
06- Novità normative: Note sulla NIS2
07- Standard: Nuove versioni degli standard per i cambiamenti climatici
08- Standard: Nuova ISO/IEC 29100
09- Standard: Pubblicata la nuova ISO/IEC 27006-1:2024
10- Standard: Auditing Practice Articles per la ISO/IEC 27001
11- Standard: ISO/IEC 42001 sull'intelligenza artificiale (02)
12- Pubblicato il nuovo NIST Cybersecurity framework (NIST CFS 2.0)
13- Cybersecurity Certification Scheme europeo ora anche in Italia
14- Multa ad Avast (fornitore di servizi di sicurezza) per vendita non autorizzata di dati personali
15- Interruzione della rete AT&T per errore di configurazione
16- Non sapevano che era impossibile
17- Miei webinar su NIS 2 e whistleblowing
18- Se un umano ti accusa di aver usato un'AI
19- Accreditamento EA per Europrivacy
20- Sanzione privacy per incompleta informativa
21- Sanzione privacy a Unicredit misure di sicurezza
22- Sanzione privacy a ENEL Energia e misure di sicurezza
23- Gli uomini possono fare tutto (marzo 2024)
******************************************************
01- Repository VERA su GitHub
Tanti mi segnalano variazioni a VERA o mi raccomandano aggiunte e modifiche. Io cerco di mantenere il file nel modo più semplice possibile e ho deciso di pubblicarlo su GitHub: https://github.com/CesareGallotti/VERA.
In questo modo, mi sarà forse più facile caricare gli aggiornamenti e chiunque potrà creare un fork per presentare la propria variazione (o forse lo farò io stesso).
Ogni suggerimento sull'uso di GitHub sarà gradito. Se qualcuno vorrà proporre alternative, le prenderò in considerazione (almeno finché non ci saranno fork).
Per intanto, ho caricato il VERA 7.3 (l'ultima versione con qualche correzione) in italiano e inglese e il manuale in italiano e in inglese.
******************************************************
02- Report ENISA: Telecom security incidents 2022
Franco Vincenzo Ferrari mi ha segnalato la pubblicazione, il 14 marzo 2024, del rapporto ENISA "Telecom security incidents 2022": https://www.enisa.europa.eu/publications/telecom-security-incidents-2022.
Il totale di incidenti segnalato è basso: 155.
Interessante notare che solo il 6% è dovuto ad azioni malevole, il resto è dovuto a guasti (72%), errori umani (15%) e fenomeni naturali (6%).
Questo non vuol dire che si debbano ignorare gli attacchi intenzionali, ma che la sicurezza riguarda anche (e forse soprattutto) la prevenzione degli errori e il controllo di guasti ed eventi naturali, spesso sottovalutati forse perché non richiamano battaglie all'ultimo bit o situazioni da film d'avventura. Da non dimenticare comunque che ogni rete è oggetto di più scansioni ogni giorno (ma questo dato non si trova in questo rapporto di ENISA e, anzi, chiedo dove ritrovarlo perché il mio riferimento risale ai primi anni 2000).
******************************************************
03- Studio ENISA sulla Cyber Insurance
Riccardo Lora (Idraulico della privacy, che ringrazio), mi segnala lo studio ENISA "Cyber Insurance - Models and methods and the use of AI", pubblicato il 21 febbraio: https://www.enisa.europa.eu/publications/cyber-insurance-models-and-methods-and-the-use-of-ai.
Riccardo commenta: il doc è interessante perché evidenzia come è e sarà sempre più complesso per le compagnie trovare il modo di coprire il rischio cyber con gli strumenti adottati finora come il calcolo sullo storico dei sinistri.
Io segnalo quanto segue:
il titolo coinvolge l'IA evidentemente per moda, visto che non è un tema così significativo per lo studio;
conferma la carenza di dati per poter sviluppare ulteriormente le analisi statistiche;
afferma che le ciber-assicurazioni possono dare benefici soprattutto se affiancate da servizi di ciber-assistenza (ma, mi sembra, senza esplicitarli compiutamente).
******************************************************
04- Novità normative: eIDAS 2.0
eIDAS 2.0 non è stato ancora approvato in modo definitivo, ma si può pensare che il testo sia quello. Per questo Franco Vincenzo Ferrari mi ha segnalato un articolo di Giovanni Manca dal titolo "eIDAS 2.0: tutte le novità": https://www.forumpa.it/pa-digitale/eidas-2-0-tutte-le-novita/.
Ringrazio e ne raccomando la lettura.
******************************************************
05- Novità normative: Approvato l'AI Act europeo
Negli ultimi mesi sono girate tante notizie sull'AI Act,, però prima che fosse approvato.
Il 13 marzo è stato approvato dal Parlamento Europeo. Io non ne parlo direttamente e preferisco indirizzare a Guerre di rete: https://guerredirete.substack.com/p/guerre-di-rete-ai-act-infine.
Ovviamente ci sono tantissimi altri articoli che ne parlano. Io per ora mi fermo qui.
******************************************************
06- Novità normative: Note sulla NIS2
Miei appunti e riflessioni sulla NIS2. In molti mi hanno chiesto cosa ne so e cosa ne penso, quindi pubblico tutto quello che ne so e ne penso.
Lo trovate sul mio sito: https://www.cesaregallotti.it/Pubblicazioni.html.
******************************************************
07- Standard: Nuove versioni degli standard per i cambiamenti climatici
Molti avranno notato la pubblicazione di Amendment di numerosi standard ISO e ISO/IEC. In particolare della ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1.
Sono state aggiunte due frasi:
nell'ambito della comprensione del contesto (4.1), è richiesto di determinare se il cambiamento climatico è una questione pertinente;
nell'ambito della comprensione dei requisiti delle parti interessate (4.2), è stata inserita una nota per segnalare che le parti interessate possono avere requisiti relativi al cambiamento climatico.
Monica Perego (Idraulica della privacy) mi ha segnalato la pubblicazione IAF (l'ente che coordina a livello internazionale gli organismi di accreditamento che, a loro volta, controllano gli organismi di certificazione) dal titolo "IAF-ISO Joint Communiqué on the addition of Climate Change considerations to Management Systems Standards". Si trova tra i comunicati dell'IAF su questa pagina: https://iaf.nu/en/iaf-documents/?cat_id=1.
Parere personale: io prendo molto sul serio il cambiamento climatico e sono convinto si debbano fare molte cose anche urgentemente. Non credo però che questa iniziativa, che può creare anche confusione, porterà significativi miglioramenti. Inoltre ogni edizione degli standard non può essere emendate per più di due volte e questa iniziativa ne toglie una.
Avrei preferito una nota e aggiunte in tutte le nuove edizioni degli standard, mano a mano che escono.
Almeno gli Amendment sono gratuiti per tutti gli standard sul sito www.iso.org. Però bisogna registrarsi e dare il numero di carta di credito (mi sono fermato a questo punto).
******************************************************
08- Standard: Nuova ISO/IEC 29100
Pubblicata la ISO/IEC 29100:2024 "Information technology - Security techniques - Privacy framework": https://www.iso.org/standard/85938.html.
Le novità principali non sono paticolarmente significative (aggiornati i riferimenti normativi e la bibliografia, cambiato "secondary use” con “secondary purpose”).
Va detto che la ISO/IEC 29100 fissa la terminologia relativa alla privacy nell'ambito delle norme ISO/IEC, in alcuni casi significativamente diversa da quella del GDPR (per esempio usa "PII principal" al posto di "data subject", ossia "interessato").
Forse l'acquisto di 129 CHF non vale lo sforzo, visto che le definizioni sono comunque disponibili sul ISO Online Browsing Platform (OBP): https://www.iso.org/obp/ui.
Grazie a Monica Perego (Idraulica della privacy) per la segnalazione.
******************************************************
09- Standard: Pubblicata la nuova ISO/IEC 27006-1:2024
Pubblicata la nuova versione della ISO/IEC 27006-1 dal titolo " Information security, cybersecurity and privacy protection - Requirements for bodies providing audit and certification of information security management systems — Part 1: General": https://www.iso.org/standard/82908.html.
Questo è uno standard che usano gli organismi di certificazione per le attività di certificazione ISO/IEC 27001 e non fornisce indicazioni utili per le altre organizzazioni.
******************************************************
10- Standard: Auditing Practice Articles per la ISO/IEC 27001
Segnalo la pubblicazione dell'SC 27 Journal Volume 3, Issue 4 Oct 2023 – Auditing Practice Articles: https://committee.iso.org/sites/jtc1sc27/home/wg2.html.
Si tratta di un insieme di chiarimenti sulla ISO/IEC 27001 non ufficiali scritti dagli stessi esperti del gruppo che ha scritto la ISO/IEC 27001.
Vale la pena leggerli, anche perché troppo spesso opportunità di miglioramento (p.e. di integrazione del SOA o di irrobustimento dei controlli) sono interpretate da troppi auditor e consulenti e docenti come requisiti.
Su questo vale la pensa osservare come molte energie sono spese nella valutazione del rischio e poi nell’implementare i controlli “come nell’Annex A o nella ISO/IEC 27002” e questo sia in contraddizione: la valutazione del rischio deve guidare la scelta dei controlli e di come realizzarli, non il fatto che siano presenti nell’Annex A.
Non c’è solo questo negli articoli e invito a leggerli.
******************************************************
11- Standard: ISO/IEC 42001 sull'intelligenza artificiale (02)
Avevo già scritto in precedenza della ISO/IEC 42001 (https://blog.cesaregallotti.it/2023/12/isoiec-42001-sullintelligenza.html).
Flavio De Pretto mi ha segnalato questo articolo più dettagliato (anche meno critico del mio post), che ha scritto insieme a Attilio Rampazzo e e Stefano Gorla dal titolo "ISO/IEC 42001:2023: un approccio etico per la governance della Intelligenza Artificiale": www.ictsecuritymagazine.com/articoli/regolamentare-lintelligenza-artificiale-iso-ha-gia-pubblicato-la-norma-di-gestione/.
******************************************************
12- Pubblicato il nuovo NIST Cybersecurity framework (NIST CFS 2.0)
Avevo segnalato la bozza del NIST CSF 2.0: https://blog.cesaregallotti.it/2023/08/nist-cybersecurity-framework-20-in-bozza.html.
Davide Giribaldi di Swiss Cyber Com mi ha informato che ne è stata pubblicata la versione definitiva: https://www.nist.gov/cyberframework.
Mi riporta anche le caratteristiche:
Aggiunge il pilastro Governance a quelli già presenti;
Valido non più solo per le infrastrutture critiche;
Gestione rischio terze parti.
Mi chiede cosa ne penso. Ed ecco cosa ne penso, considerando che l'ho solo sfogliato:
non ho trovato un file xls (o cvs) come c'era per la precedente versione ed era molto comodo; anzi, è poco chiaro come navigare tra i requisiti;
i requisiti di sicurezza sono, alla fine, sempre quelli; la differenza tra uno schema e l'altro è la loro facilità d'uso; mi sembra sia diventato più complicato e più prolisso e questo non è un bene; per dare un giudizio completo dovrei contare il numero di controlli e quindi aspetto il formato xls;
alcuni requisiti sono evidentemente tarati per aziende che possono permettersi una struttura documentale significativa e il CSF non discute possibili alternative (o, meglio, non parte da un minimo che possa essere ampliato).
Davide segnala che a questo punto dovrà essere aggiornato il Framework Nazionale per la Cybersecurity e la Data Protection (https://www.cybersecurityframework.it/framework2).
Cosa ne penso? Che potrebbe essere l'occasione per ripartire dalla ISO/IEC 27001, standard internazionale a cui collabora anche l'Italia.
******************************************************
13- Cybersecurity Certification Scheme europeo ora anche in Italia
Accredia ha pubblicato alcuni chiarimenti in merito al Cybersecurity Certification Scheme europeo recentemente approvato: https://www.accredia.it/2024/02/28/sistema-europeo-di-certificazione-della-cybersicurezza/.
In sostanza, le certificazioni Common criteria secondo il Cybersecurity Certification Scheme europeo dipenderanno da Accredia e ACN.
Ringrazio Franco Vincenzo Ferrari per avermi segnalato la pagina.
******************************************************
14- Multa ad Avast (fornitore di servizi di sicurezza) per vendita non autorizzata di dati personali
Altre notizie che richiamano sempre la mia attenzione sono quelle relative ai fornitori di sicurezza insicuri.
La notizia riguarda Avast e l'ho avuta dalla newsletter di Project:IN Avvocati: https://www.linkedin.com/comm/pulse/82024-quando-un-software-di-protezione-dal-tracking-jvbdf.
In pochissime parole, i prodotti Avast (antivirus e no-tracker) raccoglievano i dati degli utilizzatori e poi Avast li rivendeva. Dettagli in quantità nell'articolo "FTC Order Will Ban Avast from Selling Browsing Data for Advertising Purposes, Require It to Pay $16.5 Million Over Charges the Firm Sold Browsing Data After Claiming Its Products Would Block Online Tracking": https://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-ban-avast-selling-browsing-data-advertising-purposes-require-it-pay-165-million-over.
******************************************************
15- Interruzione della rete AT&T per errore di configurazione
Io sono sempre incuriosito dalle notizie su incidenti relativi alla sicurezza delle informazioni causati da errori. Si parla tanto di attacchi (e le notizie sono tantissime), ma la sicurezza comprende anche la prevenzione di errori o il controllo dei loro impatti ed è bene non dimenticarlo.
Questo comporta la necessità di avere processi di sviluppo e change che non solo considerino le funzionalità e le architetture di sicurezza, ma anche i controlli di qualità.
Ecco quindi un articolo con sottotitolo "AT&T blamed itself for incorrect process used as we were expanding our network.": https://arstechnica.com/tech-policy/2024/02/atts-botched-network-update-caused-yesterdays-major-wireless-outage/.
La rete di AT&T negli USA è rimasta bloccata per alcune ore il 22 febbraio 2024 a causa di un errore di configurazione.
******************************************************
16- Non sapevano che era impossibile
Qualche tempo fa avevo letto la storia di George Dantzig, che risolse nel 1930 due problemi impossibili, non sapendo che erano impossibili (e dimostrando però che erano possibili).
Non ricordo dove l'avevo letta, ma l'ho citata tante volte e allora l'ho ricercata sul web e ho trovato questa pagina web che la racconta bene: https://it.aleteia.org/2021/02/05/una-lezione-per-il-2021-dallerrore-di-un-matematico/.
Non sono affascinato dalle pagine di aiuto-aiuto (pensiero positivo, elogio dell'impegno a tutti i costi, stay hungry eccetera). Anzi, le rifuggo. Però penso ci sia comunque una lezione in questa storia. Non so ancora quale, ma c'è.
******************************************************
17- Miei webinar su NIS 2 e whistleblowing
Mi vanto un po' e segnalo questi due webinar che terrò prossimamente.
Nel primo, il 18 aprile alle 10.30, parlerò di NIS2: https://www.coretech.it/en/service/event/eventDetail.php?ID=1124.
Nel secondo, l'8 maggio alle 10.30, parlerò di whistleblowing: https://www.coretech.it/en/service/event/eventDetail.php?ID=1125.
******************************************************
18- Se un umano ti accusa di aver usato un'AI
Da Guerre di rete del 18 febbraio 2024 (https://guerredirete.substack.com/) segnalo questo articolo dal titolo ‘Obviously ChatGPT’ — how reviewers accused me of scientific fraud: https://www.nature.com/articles/d41586-024-00349-5.
Il suggerimento per chi scrive (senza l'aiuto di chat GPT) è: usare Git per dimostrare gli avanzamenti di quanto prodotto.
******************************************************
19- Accreditamento EA per Europrivacy
Grazie agli Idraulici della privacy, vengo a sapere che EA ha approvato i criteri di Europrivacy per le certificazioni secondo l'articolo 43 del GDPR: https://www.linkedin.com/posts/europrivacy_gdpr-europrivacy-datacontrollers-activity-7172870504884682752-w5x-.
Secondo l'articolo, EA ha esteso quanto già fatto da Accredia. Quindi gli altri organismi di accreditamento potranno riutilizzare il lavoro già fatto.
******************************************************
20- Sanzione privacy per incompleta informativa
Dalla newsletter del Garante privacy, segnalo il Provvedimento dell'8 febbraio 2024 [9991183]: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9991183.
La cosa che mi ha fatto pensare è che la sanzione è in parte dovuta alla mancata indicazione della base giuridica sull'informativa. Un dettaglio a cui, quindi e giustamente, prestare attenzione.
******************************************************
21- Sanzione privacy a Unicredit misure di sicurezza
Segnalo, dalla newsletter del Garante privacy, il Provvedimento dell'8 febbraio 2024: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9991020.
Le motivazioni per la sanzione, per una violazione avvenuta a ottobre 2018, sono:
risposte HTTP del sito di home banking con in chiaro nome, cognome, codice fiscale e codice identificativo dei clienti ed ex clienti (peraltro nota a seguito di vulnerability assessment condotto proprio nei giorni in cui subiva l'attacco);
mancato controllo della robustezza del PIN scelto dall'utente (evitando, per esempio, quelli composti da sequenze di numeri o coincidenti con la data di nascita).
E' stata condannata anche NTT Data perché aveva dato in subappalto il vulnerability assessment, nonostante il subappalto fosse proibito dal contratto con Unicredit.
C'è da meditare.
******************************************************
22- Sanzione privacy a ENEL Energia e misure di sicurezza
Il Garante ha sanzionato per 80 milioni di Euro Enel Energia per non aver protetto adeguatamente i dati di contatto dei propri clienti e, quindi, permettendo ad agenzie di marketing non autorizzate di usarli per contattare tali clienti per attività non autorizzate.
Il Provvedimento (documento 9988710) dell'8 febbraio 2024, segnalatomi da Monica Perego (Idraulica della privacy): https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9988710.
Mi interessano soprattutto le misure di sicurezza contestate:
Controllo accessi a 2 fattori, ma che non impedisce l'accesso contemporaneo dello stesso utente da due postazioni distinte e che quindi permette a più persone di usare le medesime credenziali. Questo non mi convince perché un operatore può trovare comodo aprire più istanze della stessa applicazione, come ho sperimentato anche personalmente. Questo però mi permette di capire meglio il perché di una vecchia misura minima del DPR 318 del 1999, che peraltro era già stata oggetto di molte contestazioni all'epoca e infatti non fu ripresa dalle misure minime del D. Lgs. 196 del 2003.
Mancata analisi dei log per intercettare tecniche di "sottobosco di marketing", peraltro note e identificabili con analisi dei quantitativi di contratti inseriti.
Mancata analisi dei log per identificare connessioni multiple e accessi da locazioni geografiche sospette. La giustificazione da parte di Enel Energia si basa sulla poca significatività di tali analisi, considerando l'uso di dispositivi portatili e del lavoro agile.
Accettazione di contratti inseriti da società non presenti nella rete vendita. Non trovo approfondimenti su questo aspetto nel Provvedimento. Io lo collegherei alla scorretta attivazione, alla mancata disattivazione o ai carenti riesami delle utenze delle società.
Mancato controllo dei responsabili e dei sub-responsabili.
Non mi interessa analizzare deduzioni e controdeduzioni presenti nel Provvedimento, ma solo prendere nota delle misure considerate necessarie e, per me, da considerare nelle mie attività.
******************************************************
23- Gli uomini possono fare tutto (marzo 2024)
Iniziai questa rubrica esattamente un anno fa e mi sembrò di aver individuato un punto di vista originale sulla discriminazione di genere.
Ma ecco cosa scriveva Bianca Pitzorno nel 1979 in "Extraterrestre alla pari": "Saremo veramente liberi, noi terrestri, non tanto quando le donne diventeranno minatori o guidatori di locomotive, ma quando gli uomini si stireranno le camicie, ricameranno, cucineranno e accudiranno con piacere ai propri bambini".
******************************************************