Infosec & Quality newsletter ITA (Novembre 2024)
Indice
01- NIS2: scadenza per la registrazione
02- NIS2: Implementing Regulation della Commissione
03- NIS2: ENISA Implementation guidance on NIS 2 security measures - Draft for Consultation
04- Legale: Accesso abusivo ai sistemi informatici aziendali, anche per i superiori gerarchici
05- Standard: Pubblicata la ISO/IEC 27019:2024 con i controlli di sicurezza per il settore dell'energia
06- Standard: ISO/TS 22360:2024 sulle crisi
07- Standard: ISO 22336:2024 sulla resilienza
08- Normativa: Nuova direttiva sulla responsabilità per prodotti difettosi (inclusi software e IA)
09- Minacce e attacchi: UFCS Rapporto semestrale 2024/1
10- Minacce e attacchi: Dossieraggi
11- Minacce e attacchi (e normativa): Piracy Shield e il blocco di Google Drive
12- Misure di sicurezza: DoD (USA) Cybersecurity Maturity Model Certification (CMMC) Program Final Rule
13- Privacy: ISO/IEC 29134:2023 Guidelines for privacy impact assessment
14- Privacy: Garante privacy e conservazione email e metadati 04
15- Privacy: sanzionato il backup delle e-mail dopo la cessazione del rapporto di lavoro
******************************************************
01- NIS2: scadenza per la registrazione
Avevo dato in precedenza informazione sul fatto che la registrazione sulla piattaforma ACN dei soggetti in ambito doveva essere fatta entro il 17 gennaio.
La data l'avevo calcolata io e credo di aver trovato conferma anche altrove. Comunque: il sito ACN indica come data ultima per la registrazione il 28 febbraio.
Faccio riferimento alle FAQ di ACN e a un post su LinkedIn (ringrazio Fabrizio Cirilli per averlo diffuso anche alla sua rete): https://www.linkedin.com/posts/agenzia-per-la-cybersicurezza-nazionale_nis2-acn-activity-7258070188019879936-dekB.
Ho aggiornato i miei post scorretti.
******************************************************
02- NIS2: Implementing Regulation della Commissione
Come previsto dalla NIS2, la Commissione ha pubblicato il Regolamento di esecuzione (UE) 2024/2690 della Commissione che stabilisce "i requisiti tecnici e metodologici delle misure di cui al paragrafo 2 per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, nonché i prestatori di servizi fiduciari": https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32024R2690.
Grazie a Franco Ferrari e Alessandro Cosenza che per primi me l'hanno segnalato e a Chiara Ponti per i riferimenti precisi.
Preferisco segnalare l'articolo che ho scritto in merito (anche se, rileggendolo, vedo che ho lasciato qualche refuso): https://www.cybersecurity360.it/legal/nis2-ecco-le-regole-della-commissione-ue-per-una-corretta-attuazione-della-direttiva/.
Su LinkedIn ho provato a scriverne una versione in inglese.
Ho però il sospetto che sia stata consultata molto anche la CEN/TS 18026:2024 "Three-level approach for a set of cybersecurity requirements for cloud services" a cui però non ho accesso.
******************************************************
03- NIS2: ENISA Implementation guidance on NIS 2 security measures - Draft for Consultation
Chiara Ponti ha segnalato agli Idraulici della privacy la pubblicazione da parte di ENISA del documento "Implementation guidance on NIS 2 security measures - Draft for Consultation": https://www.enisa.europa.eu/publications/implementation-guidance-on-nis-2-security-measures.
La ringrazio.
Attenzione che il documento riguarda il Regolamento di esecuzione (Implementing regulation) 2024/2690, quindi è applicabile solo a: fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e i prestatori di servizi fiduciari.
Attenzione ancora che si tratta di una bozza per consultazione pubblica.
Ad ogni modo, la lettura può essere utile perché per ogni punto del Regolamento di esecuzione approfondisce le misure richieste e fornisce una sorta di lista di controllo per verificarne l'applicazione. Come tutte le liste di controllo, però, va presa con cautela (per esempio, prevede che il riesame delle politiche sia svolto durante i riesami di direzione, ma potrebbe avvenire anche in altri momenti).
Ulteriormente utili sono le tabelle di correlazione dei punti del Regolamento di esecuzione con ISO/IEC 27001:2022, NIST CFS 2.0, ETSI EN 319 401 (utile per i prestatori di servizi fiduciari) e CEN/TS 18026:2024. Sono anche riportati i riferimenti a norme nazionali belghe, finlandesi, greche e spagnole.
******************************************************
04- Legale: Accesso abusivo ai sistemi informatici aziendali, anche per i superiori gerarchici
Chiara Ponti degli Idraulici della privacy ha segnalato la sentenza 40295 24 della Cassazione Penale del 31.10.2024 che ha configurato l’ipotesi di “Accesso abusivo ai sistemi informatici aziendali, anche per i superiori gerarchici”.
Cosa dice Chiara: "chiarisce come anche un superiore gerarchico possa commettere il reato di accesso abusivo (art. 615-ter cp) qualora acceda a un sistema informatico aziendale protetto, senza autorizzazione (del dipendente), anche con le credenziali fornite dal collaboratore".
Chiara riporta anche: "'Per la Corte, la protezione del sistema tramite credenziali di accesso dimostra già la volontà dell'azienda di riservare l'accesso solo a determinate persone' Quindi ogni utente autorizzato deve usare solo le proprie credenziali personali per accedere ai dati, lasciando così traccia digitale del proprio accesso. Le mansioni superiori non conferiscono automaticamente l'autorizzazione ad accedere ai dati riservati, salvo diversa disposizione esplicita del datore di lavoro”.
La sentenza l'ho trovata qui: https://www.wikilabour.it/segnalazioni/rapporto-di-lavoro/laccesso-a-un-sistema-informatico-protetto-e-abusivo-anche-se-il-dipendente-usa-la-chiave-richiesta-a-un-sottoposto/.
******************************************************
05- Standard: Pubblicata la ISO/IEC 27019:2024 con i controlli di sicurezza per il settore dell'energia
Segnalo che è stata pubblicata la ISO/IEC 27019:2024 "Information security controls for the energy utility industry": https://www.iso.org/standard/85056.html.
Riporta, come la ISO/IEC 27017 e la ISO/IEC 27018, controlli di sicurezza aggiuntivi rispetto a quelli già presenti nella ISO/IEC 27001 e linee guida per la loro implementazione aggiuntive rispetto a quelle già presenti nella ISO/IEC 27002. Non mi risulta ci siano cambiamenti significativi se non quelli necessari per allineare la versione del 2017 ai controlli delle ISO/IEC 27001 e ISO/IEC 27002 del 2022.
******************************************************
06- Standard: ISO/TS 22360:2024 sulle crisi
Laura Zarrillo mi ha segnalato la pubblicazione della ISO/TS 22360:2024 "Security and resilience — Crisis management — Concepts, principles and framework": https://www.iso.org/standard/50266.html.
Il testo mi è sembrato pieno di idee interessanti, ma confuso (per esempio, c'è un elenco di possibili eventi naturali, ma non di altra origine) e proponga più analisi di possibili soluzioni.
Va detto che ho letto la bozza quasi-finale, quindi qualche cambiamento ci sarà, ma non strutturale.
******************************************************
07- Standard: ISO 22336:2024 sulla resilienza
Laura Zarrillo mi ha segnalato la pubblicazione della ISO 22336:2024 "Security and resilience — Organizational resilience — Guidelines for resilience policy and strategy": https://www.iso.org/standard/50073.html.
La parte più interessante mi sembra quella relativa ai comportamenti di un'organizzazione (inclusiva, integrata, riflessiva, preparata, robusta, innovativa). Sembrano, e forse sono, cose ovvie e irrealizzabili, però vale la pena rifletterci.
******************************************************
08- Normativa: Nuova direttiva sulla responsabilità per prodotti difettosi (inclusi software e IA)
E' stata pubblicata la Direttiva UE 2024/2853 da titolo "Sulla responsabilità per danno da prodotti difettosi": https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32024L2853&qid=1731949049419.
Intanto ricordo che si tratta di una Direttiva che dovrà essere adottata in Italia entro il 9 dicembre 2026, quindi c'è tempo (se non sbaglio).
Avevo letto questo articolo in merito e quindi rimando ad esso: https://www.altalex.com/documents/news/2024/10/28/sistema-ai-provoca-danno-scatta-risarcimento-utente-danneggiato.
Ho aspettato finora a darne notizia perché il testo non era ancora disponibile. Ringrazio un post su LinkedIn di Andrea Michinelli per l'aggiornamento.
******************************************************
09- Minacce e attacchi: UFCS Rapporto semestrale 2024/1
L’Ufficio federale della cibersicurezza (UFCS) svizzero pubblica un rapporto semestrale sempre molto interessante. Ora hanno pubblicato quello relativo alla situazione registrata nel primo semestre 2024: https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/halbjahresbericht-2024-1.html.
Raccomando, per i più frettolosi, la lettura della sintesi sulla pagina web. Il rapporto principale, in pdf, come sempre, accompagna le analisi degli eventi con raccomandazioni sempre molto utili.
L'attenzione principale è rivolta alle truffe e infatti è dedicato un rapporto dedicato, disponibile sempre alla stessa pagina, però solo in francese e tedesco. A mio parere, chi avesse la capacità di leggerlo potrebbe riutilizzarne gli esempi del capitolo 4 per campagne di sensibilizzazione.
******************************************************
10- Minacce e attacchi: Dossieraggi
Sappiamo essere notizia il fenomeno dei dossieraggi.
Evito di entrare troppo nel merito e raccomando la lettura dell'analisi di Guerre di rete, visto che è difficile fare di meglio: https://guerredirete.substack.com/p/guerre-di-rete-se-le-banche-dati.
Io e Chiara Ponti abbiamo scritto un articolo per riflettere sulle misure di sicurezza: https://www.cybersecurity360.it/cultura-cyber/dossieraggio-bene-la-task-force-del-garante-privacy-per-vederci-chiaro-in-quanto-successo/.
Come sempre, se qualcuno dovesse avere idee diverse, mi piacerebbe discuterne.
******************************************************
11- Minacce e attacchi (e normativa): Piracy Shield e il blocco di Google Drive
Avevo appena segnalato l'aggiornamento al Piracy Shield, di cui avevo perso anche la prima versione, dicendo che non era materia mia ma che andava comunque conosciuta, che ecco che un bell'incidente di sicurezza delle informazioni mi smentisce: https://www.linkedin.com/comm/pulse/piracyshield-e-lincidente-google-la-caduta-degli-innocenti-ieranò-i36vf.
In poche parole: il sistema di AGCOM per bloccare (automaticamente e senza intervento umano) i contenuti illeciti ha bloccato anche i contenuti leciti e in particolare Google Drive.
Non commento perché già altri lo stanno facendo con ben superiore competenza (e ironia) della mia.
******************************************************
12- Misure di sicurezza: DoD (USA) Cybersecurity Maturity Model Certification (CMMC) Program Final Rule
Il Ministero della difesa statunitense (DoD) ha aggiornato il proprio Cybersecurity Maturity Model Certification (CMMC) Program per la qualifica dei suoi fornitori. Dettagli si trovano sulla pagina: https://dodcio.defense.gov/CMMC/Documentation/.
Non sono riuscito a capire bene il funzionamento, ma ho capito che me lo devo ricordare per la prossima volta che mi lamento della complessità nostrana.
******************************************************
13- Privacy: ISO/IEC 29134:2023 Guidelines for privacy impact assessment
Confermo che, per fare sicurezza, non dobbiamo rincorrere l'ultima notizia. Ma questa volta ci arrivo decisamente tardi, visto che segnalo la pubblicazione della ISO/IEC 29134:2023 Information technology — Security techniques — Guidelines for privacy impact assessment, avvenuta a maggio 2023: https://www.iso.org/standard/86012.html.
Rispetto alla versione del 2017 i cambiamenti sono solo di tipo editoriale, ossia correzione di refusi. Infatti ricordo che ero molto deluso del risultato e forse è per questo che non l'avevo annunciata a suo tempo.
******************************************************
14- Privacy: Garante privacy e conservazione email e metadati 04
Su questo argomento avevo scritto in precedenza. L'ultimo post è qui: https://blog.cesaregallotti.it/2024/06/garante-privacy-e-conservazione-email-e.html.
Speravo di leggere più articoli e interpretazioni in merito, invece niente (come spesso succede, trovo tante cose che commentano nell'immediato o nel futuro e troppo poche che ragionano anche con un pelo di ritardo; però ho già scritto sul fatto che chi si occupa di sicurezza non debba ricercare la novità e non voglio tediare oltre).
Segnalo l'approccio di un fornitore di email. Per evitare problemi, evito di dare il nome, ma si tratta di un soggetto piuttosto grande.
Questo fornitore dice che tratta i log delle email come titolare. Questo quindi toglie al cliente la titolarità di questi log e non l'obbliga più alla cancellazione.
Questo prevede quindi che il cliente non abbia accesso ai log, nemmeno su richiesta, soprattutto se oltre ai 21 giorni, visto che l'obiettivo del Provvedimento del Garante è evitare l'accesso del datore di lavoro ai dati dei lavoratori.
Le Condizioni contrattuali del fornitore devono riportare qualcosa come: “i dati di cui parla il Provvedimento sono log di comunicazione elettronica; essi non sono oggetto di fornitura di servizio, ma sono trattati dal fornitore in qualità di titolare del trattamento, per sue finalità non rientranti nella disciplina del diritto del lavoro (p.e. controllo prestazioni, sicurezza informatica)”.
Lo stesso fornitore di email dovrebbe quindi mettere a disposizione, per esempio sul sito web, un'informativa per gli utilizzatori dell’email dei clienti (segnalo che l'informativa pubblica del fornitore di cui parlo non mi sembra chiara su questo punto).
A sua volta, il datore di lavoro dovrebbe integrare l'informativa privacy al lavoratore indicando che l'uso dell'email implica il trattamento dei dati da parte di altro titolare. Potrebbe anche riportare il link dell'informativa del fornitore, se disponibile.
Rimarrebbe aperto il caso delle caselle email del personale del fornitore stesso. Per questo, al momento, non ho risposte.
******************************************************
15- Privacy: sanzionato il backup delle e-mail dopo la cessazione del rapporto di lavoro
Ferruccio Militello ha segnalato agli Idraulici della privacy il Provvedimento del Garante privacy del 17 luglio 2024 [doc. web 10053224]: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10053224.
Il titolo dice già tutto. Segnalo però questo articolo (grazie a Franco Vincenzo Ferrari): https://www.cybersecurity360.it/news/il-backup-delle-e-mail-dopo-la-cessazione-del-rapporto-di-lavoro-viola-il-gdpr-la-sanzione/.
Provo a sintetizzare quanto ho capito:
il fatto che l'interessato fosse un agente e non un lavoratore dipendente, non cambia il fatto che la società sia titolare del trattamento;
l'informativa riportava i tempi di conservazione (6 mesi) dei log degli accessi alla posta elettronica e al gestionale; contestati facendo riferimento anche al precedente provvedimento che indica 21 giorni come tempo di riferimento;
l'informativa prevedeva la possibilità, per la società, di accedere alle email, ma solo per garantire la continuità della prestazione lavorativa e non le indagini;
l'accesso per garantire la continuità della prestazione lavorativa è contestato perché l'email non è uno strumento che garantisce autenticità, integrità, affidabilità, leggibilità e reperibilità (per questo dovrò ripassare (il provvedimento n. 53 del 01/02/2018 doc. web n. 8159221, e il provvedimento n. 214 del 29/10/2020 doc. web 9518890);
l'informativa riportava il fatto che le caselle di email sono oggetto di back up, conservato per la durata del rapporto di lavoro e i 3 anni successivi alla cessazione; tali tempi sono contestati perché non sono giustificati;
l'informativa riportava il fatto che le caselle di email sono oggetto di back up per finalità di sicurezza informatica, mentre i backup sono stati utilizzati per finalità di indagine;
in tutti i casi, la conservazione così estesa per un tempo così lungo è considerata non proporzionata e, anzi, porta al controllo sull’attività dei lavoratori, come descritta dallo Statuto dei lavoratori (art. 4 della L. 300 del 1970), e quindi doveva essere avviata in presenza di "accordo con le rappresentanze dei lavoratori o, in assenza, autorizzazione dell’Ispettorato del lavoro".
******************************************************
16- Gli uomini possono fare tutto
Ricordo che questa rubrica non è nata per vantarmi o per vantare le capacità maschili, ma per ricordare a tutti che anche gli uomini possono occuparsi della casa (non solo buttare la spazzatura, ma anche pulire, stirare, preparare da mangiare quotidianamente e non solo quando vogliono fare gli chef, sparecchiare e apparecchiare, fare la spesa e non solo portare i sacchetti) e della famiglia. Questo ogni tanto comporta brutte figure. Però è giusto che anche noi facciamo la nostra parte.
E così, ringrazio i partecipanti a un corso ISO 22301 che non si sono troppo lamentati (ma confesso di non aver guardato i risultati dell’indagine di soddisfazione) perché, nei tre giorni di corso, ho chiesto loro molta pazienza: il primo giorno ho dovuto chiudere in anticipo per partecipare ai Consigli di classe (quasi in contemporanea, mannaggia a loro) dei figli, il secondo giorno ho dovuto interrompere 10 minuti perché ho dovuto aprire al tecnico dell’aria condizionata e infine il terzo giorno ho dovuto iniziare 15 minuti dopo per poter fare il colloquio con un’insegnante di un figlio.
Vien da pensare: meno male che era un corso sulla ISO 22301!
PS1: dopo il post di settimana scorsa sul “mangiare quotidiano e da battaglia”, mi hanno risposto solo in due. Maschi anche loro. Mi hanno suggerito piccole creazioni con cus cus e riso basmati. Grazie mille.
PS2: io qui scrivo di quello che faccio io in quanto maschio, ma è ovvio che anche mia moglie fa la sua parte. Non lo racconto per i motivi che ho scritto sopra.
******************************************************
EONL
E' la sola newsletter per la quale mi prendo il tempo di leggerla attentamente dall'inizio alla fine, link compresi, è un tempo ben impiegato. Bravissimo Cesare!