Infosec & Quality newsletter ITA (Dicembre 2024)
Indice
00- Auguri
01- Pubblicato il cyber resilience act (CRA)
02- ACN: Linee guida per il rafforzamento della resilienza
03- Linee guida di ACN per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio
04- Malware "cartaceo"
05- Generative Artificial Intelligence: punti di forza, rischi e contromisure
06- Mio articolo sul calcolo dei rischi relativi ai dati personali
07- Codice di condotta privacy per le imprese di sviluppo e produzione di software gestionale
08- Gli uomini possono fare tutto (Dicembre 2024)
******************************************************
00- Auguri
Questa è la newsletter di dicembre e tornerà a gennaio.
Faccio gli auguri di buone feste a tutti i miei lettori e li ringrazio per la pazienza che hanno nel leggermi.
******************************************************
01- Pubblicato il cyber resilience act (CRA)
Pubblicato il Regolamento UE 2024/2847, detto cyber resilience act (CRA): https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32024R2847. Ringrazio Chiara Ponti degli Idraulici della privacy per la segnalazione.
In merito avevo letto un breve articolo (la seconda parte): https://www.altalex.com/documents/news/2024/10/28/sistema-ai-provoca-danno-scatta-risarcimento-utente-danneggiato.
In sostanza, il Regolamento mira a garantire "che i prodotti con componenti digitali, ad esempio i prodotti dell'internet delle cose, siano resi sicuri lungo l'intera catena di approvvigionamento e per tutto il ciclo di vita".
Nei considerando, il Regolamento specifica che altre normative, come il Cyber security act e la NIS2, "non contemplano direttamente requisiti obbligatori per la sicurezza dei prodotti con elementi digitali".
Innanzi tutto, segnalo che "Il presente regolamento si applica dall’11 dicembre 2027". L'obbligo di segnalare incidenti che hanno sfruttato vulnerabilità dei propri prodotti scatta invece l'11 giugno 2026.
Di seguito i miei appunti di lettura. Vi prego di segnalarmi errori, dimenticanze, imprecisioni e, in breve, qualsiasi possibile miglioramento.
Distingue tra prodotti con elementi digitali "normali", importanti e critici.
Per i prodotti normali:
sono descritti nell'articolo 6;
vanno applicate le misure "minime" dell'Allegato 1 e il processo di gestione delle vulnerabilità, sempre in allegato 1.
Per i prodotti importanti:
Sono descritti all'art. 7 e nell'Allegato III; in sintesi si tratta di prodotti di sicurezza informatica e prodotti i cui malfunzionamenti e compromissioni possono avere impatti significativi su altri sistemi informatici o sulle persone.
Entro l'11 dicembre 2025, la Commissione fornirà migliori indicazioni (descrizioni tecniche) delle categorie di tali prodotti.
Vanno applicate le verifiche descritte nell'articolo 32; in particolare, se non sono seguite norme armonizzate (norme ETSI) o specifiche comuni della Commissione, va coinvolto un organismo di certificazione ("organismo notificato") per la verifica o del tipo o del sistema di gestione per la qualità (si tratta quindi di due opzioni distinte, a scelta del fabbricante). Per alcuni prodotti la verifica del tipo va accompagnata anche dalla verifica della produzione. In alternativa, si può usare il meccanismo di certificazione del prodotto.
Per i prodotti critici:
Sono descritti all'art. 8 e nell'Allegato IV; mi pare che al momento siano molto pochi e alcuni siano già certificati secondo i Common Criteria (ISO/IEC 15408).
Devono applicare le misure dell'Allegato 1 ed essere certificati con livello di affidabilità almeno "sostanziale", secondo quanto previsto dal Cybersecurity Act (regolamento UE 2019/881), sempre che esista uno schema di certificazione sia stato adottato; mi sembra che, quindi, si possa immaginare un obbligo di certificazione secondo la ISO/IEC 15408 (ossia lo schema EUCC, l'unico adottato secondo il Cybersecurity act per ora con la Implementing Regulation EU 2024/482) di tali prodotti e, sempre che non abbia capito male, con livello EAL anche 1 o 2.
Nel caso in cui non sia disponibile lo schema di certificazione, va coinvolto un organismo di certificazione ("organismo notificato") per la verifica o del tipo e della produzione o del sistema di gestione per la qualità (si tratta quindi di due opzioni distinte, a scelta del fabbricante).
Ulteriori misure saranno dettagliate in norme armonizzate (probabilmente della ETSI) o in atti di esecuzione della Commissione (art. 27). Bisognerà monitorare con attenzione la pubblicazione di tali norme e atti.
In generale, i fabbricanti devono condurre valutazioni del rischio relativo alla cibersicurezza dei prodotti, identificare e applicare i controlli di sicurezza tecnici e di processo (incluse le attività di manutenzione, assistenza e gestione vulnerabilità). L'assistenza deve essere garantita per almeno 5 anni (art. 13).
Sono quindi fornite indicazioni ulteriori sulla documentazione tecnica (art. 13 e 31, Allegato VII), sul tracciamento dei prodotti (art. 13), sulle informazioni e istruzioni per gli utilizzatori (Allegato II), sui punti di contatto (art. 13), sul ritiro o richiao dei prodotti (art. 13), sul come redigere la dichiarazione di conformità UE (art. 28 e Allegato V), sulla marcatura CE (art. 29 e 30)
L'articolo 14, come in altre normative, richiede ai fabbricanti di notificare al CSIRT gli incidenti determinati dallo sfruttamento di vulnerabilità dei prodotti. L'articolo 15 prevede che fabbricanti e persone possano segnalare vulnerabilità al CSIRT (elemento sicuramente molto interessante).
Gli articoli 24 e 25 sono relativi ai software liberi e open source. C'è anche un richiamo per la certificazione di tali software all'articolo 32.
Ci sono riferimenti alle normative relative alla sicurezza generale dei prodotti (va applicato sia il CRA sia il Regolamento 2023/988), ai sistemi di IA ad alto rischio.
Relativamente alla certificazione (articoli 35-51), deve essere istituita l'autorità di notifica (in Italia sarà probabilmente Accredia, ma non deve esserlo necessariamente), che a sua volta deve approvare gli organismi di notifica (ancora una volta, penso che molti saranno gli organismi di certificazione già presenti sul mercato per la ISO 9001, la ISO/IEC 27001 eccetera).
Interessante osservare che (art. 32): "Si dovrebbe tener conto degli interessi e delle esigenze specifici delle microimprese e delle piccole e medie imprese, comprese le start-up, nel definire le tariffe per le procedure di valutazione della conformità e tali tariffe sono ridotte proporzionalmente agli interessi e alle esigenze specifici di tali imprese".
Il regolamento prevede quindi la possibilità per la Commissione di modificare alcuni punti tra quelli sopra riportati. E' quindi necessario attivare canali di aggiornamento, anche se al momento non ne vedo di affidabili (ENISA non prevede newsletter, ma aggiornamenti solo via social network, che, con tutti i problemi noti, andrebbero sconsigliati; sottoscrivere agli RSS è molto macchinoso, ma almeno ci sono).
Altro riferimento da tenere monitorato è il gruppo di cooperazione amministrativa (ADCO), ma al momento non mi sembra che abbia prodotto cose significative. Vedere la pagina: https://single-market-economy.ec.europa.eu/single-market/goods/building-blocks/market-surveillance/organisation/adcos_en.
L'articolo 33 prevede "misure di sostegno per le microimprese e le piccole e medie imprese", che includono attività di formazione e di comunicazione. Immagino ne possano beneficiare anche le grandi.
Gli articoli 52-60 trattano delle attività di vigilanza, non di mio interesse, così come gli articoli finali, con l'eccezione delle scadenze riportate all'inizio.
******************************************************
02- ACN: Linee guida per il rafforzamento della resilienza
ACN ha pubblicato le "Linee guida per il rafforzamento della resilienza dei soggetti di cui all’articolo 1, comma 1, della Legge 28 giugno 2024, n. 90": https://www.acn.gov.it/portale/linee-guida-rafforzamento-resilienza.
Ringrazio Franco Vincenzo Ferrari per la segnalazione e il link.
Della Legge 90 del 2024 avevo già scritto qui: http://blog.cesaregallotti.it/2024/07/legge-90-del-2024-sulla-cybersicurezza_18.html.
La Legge 90 chiede ad ACN di pubblicare tali linee guida nell'articolo 8, comma 1, punto f.
Parto con la critica e la faccio in linea con quanto già espresso in precedenza: con il PNSC e questa Legge 90 (per non parlare della Circolare AgID 2/207 con le misure minime di sicurezza ICT per le PA, che mi risulta essere ancora valida) penso si faccia più confusione che altro, visto che gli incroci con la NIS2 sono ignorati nella migliore delle ipotesi o non gestiti la meglio. Queste linee guida rientrano nello stesso meccanismo: propongono 26 misure basate sul NIST CSF, né collegate alle misure minime di AgID, né ovviamente a quelle NIS2 (che richiamano di più la ISO/IEC 27001). Inoltre, queste misure sono presentate 4 volte (prima come lista, poi con dettagli in 2 o 3 pagine, poi nella Parte II con le linee guida per l'implementazione sempre di 2 o 3 pagine, infine in Appendice A dove sono indicate le "implementazioni minime attese").
Come consulente di sicurezza delle informazioni sono contento: ci sarà sempre più lavoro per la mia categoria. Ma come cittadino non posso che disapprovare questo accumularsi di norme tra loro non allineate.
Poi, mi è facile ammettere che la lettura è comunque interessante per chi vuole interessarsi alla sicurezza informatica, ma per quello si poteva fare un testo più lineare (sembra il libro di Inglese delle medie di uno dei miei figli, dove gli esercizi di ciascuna Unit sono in 3 posti diversi senza alcun motivo apparente se non quello di far girare pagine e consumarle).
******************************************************
03- Linee guida di ACN per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio
ACN ha pubblicato le "Linee guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio": https://www.acn.gov.it/portale/w/online-le-linee-guida-per-il-rafforzamento-della-protezione-delle-banche-dati-rispetto-al-rischio-di-utilizzo-improprio-.
Grazie a Project:IN Avvocati per la segnalazione.
Che dire? Sono scritte in modo confuso perché le 6 voci di sicurezza sono suddivisa in due paragrafi di testo libero e di "Raccomandazioni di contesto" tra loro incoerenti come linguaggio, livello di spiegazione per principianti o esperti, misure e livello di sicurezza richiesto. Così si crea confusione, non si aiuta.
******************************************************
04- Malware "cartaceo"
Claudio Sartor, che ringrazio, mi ha segnalato questa interessante puntata del podcast di Paolo Attivissimo (con trascrizione): https://attivissimo.me/2024/11/18/podcast-rsi-un-attacco-informatico-che-arriva-su-carta/.
Il titolo è "Podcast RSI – Un attacco informatico che arriva… su carta?" e presenta il caso di una lettera (falsa) di un'autorità svizzera che richiede ai destinatari di installare un certo software (con malware) sui loro smartphone.
******************************************************
05- Generative Artificial Intelligence: punti di forza, rischi e contromisure
Segnalo la pubblicazione "Generative Artificial Intelligence: punti di forza, rischi e contromisure": https://www.ictsecuritymagazine.com/pubblicazioni/.
Autore è Vincenzo Calabrò. Si tratta di una pubblicazione di 110 pagine molto tecnica e molto interessante.
******************************************************
06- Mio articolo sul calcolo dei rischi relativi ai dati personali
E' stato pubblicato questo articolo dal titolo "Rischi da violazione dei dati personali: guida pratica e normativa": https://www.agendadigitale.eu/sicurezza/privacy/rischi-da-violazione-dei-dati-personali-guida-pratica-e-normativa/.
E' a firma mia e di Chiara Ponti che ringrazio per avermi coinvolto nella riflessione che è soprattutto su come calcolare i rischi di sicurezza delle informazioni e privacy.
******************************************************
07- Codice di condotta privacy per le imprese di sviluppo e produzione di software gestionale
Il Garante per la privacy ha approvato il codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale e l'accreditamento dell'organismo di monitoraggio: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10075998.
In sintesi e imprecisamente: il codice di condotta può essere applicato da chiunque e chi lo applica può chiedere una sorta di certificazione all'organismo di monitoraggio, in questo caso Assosoftware.
Il mio commento è che sarà opportuno, per gli sviluppatori in generale, verificare l'applicazione dei requisiti funzionali e tecnici negli allegati A e B e adottare il modello di DPA in Allegato C.
Purtroppo questo codice arriva dopo 8 anni di fatica a selezionare i requisiti funzionali per i miei clienti e a produrre modelli di DPA. Fosse arrivato prima mi avrebbe risparmiato molta fatica!
Senza togliere niente agli articolisti, suggerisco di leggerlo nella sua versione ufficiale, visto che è di facile lettura.
Ringrazio Chiara Ponti che l’ha segnalato agli Idraulici della privacy.
******************************************************
08- Gli uomini possono fare tutto (Dicembre 2024)
Qualche giorno fa avevo scritto un commento su LinkedIn, rispondendo a un post, più pertinente la sicurezza informatica e in generale la digitalizzazione, di Antonio Ieranò.
Dicevo che la scuola che esce dalle mie competenze professionali, ma rientra in quelle di genitore e mi lamentavo di alcune cose che riporto qui di seguito:
sembra che abbiano eliminato i programmi statali; quindi i professori seguono i "programmi dei libri" (pompati di pagine per l'avidità degli editori);
questi programmi sono anche compressi perché l'orario alle medie è sempre di 30 ore dagli Ottanta ad oggi, ma oggi c'è una materia inutile (la seconda lingua, fatta male anche perché spessissimo non ripresa alle superiori) e quindi 2 ore in meno per altre;
il MIUR chiede di dare almeno 3 voti ad alunno per materia; non chiedetemi il riferimento normativo, ma so che mio figlio ha 14 materie e dovrebbe avere 42 voti, mentre nel secondo quadrimestre dello scorso AS ne aveva 80 (posto che non dovrebbe avere più verifiche lo stesso giorno e i giorni di scuola sono 200 e quindi il secondo quadrimestre dovrebbe essere di 100 giorni, calcolo che ha avuto una verifica scritta o orale quasi ogni giorno);
molti genitori e docenti pensano che più verifiche (magari a sorpresa) fanno imparare di più e spronino i ragazzi (leggere Lucangeli per capire la sciocchezza).
Questo fa sì che i professori diventano ansiosi perché hanno tanta roba da fare, con il risultato che anche i ragazzi vanno in ansia. Oltre a ciò, i professori non sono attrezzati a tenere calma una classe. Oltre a correre, danno note, votacci e verifiche a sorpresa, ma ciò non fa che accrescere il disagio, per ovvi motivi, mentre per ridurre i problemi bisogna assicurare ritmo tranquillo e prevedibilità.
Ed ecco che i ragazzi con qualche problema a monte, fanno ancora più fatica a studiare e imparare.
Non so perché, ma trovo che, quando parlo con gli altri genitori di queste cose, il gruppo è più numeroso di mamme che di papà, soprattutto quando il caso personale rientra tra i "fragili". Peccato, perché mi accorgo sempre più quanto sia importante l'interessamento di ambedue i genitori.
******************************************************
EONL