Infosec & Quality newsletter ITA (Aprile 2025)
Indice
01- Pubblicate le misure tecniche NIS2
02- Framework Nazionale per la Cybersecurity e la Data Protection - Edizione 2025 (v2.1)
03- Assicurazione obbligatoria per danni ambientali
04- Labirinto normativo (e qualche riflessione)
05- Il caso Signal usato dal Governo USA
06- Chiusa storica tipografia dopo incidente IT
07- Analisi incidente Microsoft dell'estate 2023
08- Il Manifesto della comunicazione non ostile
09- Gli uomini possono fare tutto (Aprile 2025)
******************************************************
01- Pubblicate le misure tecniche NIS2
Il 14 aprile ACN ha inviato PEC per comunicare i vari soggetti se sono NIS o meno.
Sempre il 14 aprile, ACN ha pubblicato le misure tecniche e i criteri per stabilire se un incidente è significativo per i soggetti NIS: https://www.acn.gov.it/portale/w/nis-avviata-la-seconda-fase.
Ma attenzione che nella pagina indicata si trovano solo:
Determina ACN n. 164179 del 14 aprile 2025 con le indicazioni più generali;
Determina ACN nr. 136117/2025 con le indicazioni per i soggetti NIS affinché forniscano ulteriori informazioni sul portale ACN;
Determina ACN nr. 136118/2025 per i soggetti NIS che hanno attivi accordi di condivisione delle informazioni sulla sicurezza informatica (qui entriamo in casi particolari che non approfondisco).
Per le misure di sicurezza e la descrizione degli incidenti significativi, è necessario andare da un'altra parte, ossia nella pagina: https://www.acn.gov.it/portale/nis/la-normativa.
Si trovano (comodamente) in fondo alla tabella "Principali provvedimenti attuativi D.Lgs. 138/2024".
Per i soggetti NIS che erogano servizi informatici (scusate la semplificazione) ricordo che va seguito l'implementing act 2024/2690 della Commissione europea.
ACN dice che le misure sono 37 per i soggetti importanti, declinate in 87 requisiti. Molti riguardano la documentazione (politiche, processi, misure di sicurezza). Dovrei farne un'analisi più precisa.
Ora passiamo alle lamentele, che riassumo per non ricevere a mia volta altre lamentele:
ovviamente la notizia sulle misure poteva riportare il link agli allegati tecnici, ma sappiamo che ACN vuole soggetti svegli (io non lo sono perché ho dovuto chiedere aiuto agli Idraulici della privacy);
il manuale utente per fornire le informazioni sul portale ACN è alla versione 0.9, senza data (che avrebbe fatto comodo, perché così avrei capito al volo che non è stato aggiornato con la nuova richiesta di informazioni; questa volta l'ho capito da solo);
le misure sono sempre impostate come da framework nazionale e sulla scelta ormai ne ho scritto e detto più che a sufficienza (in sintesi: non sono né allineate all'implementing act, né a standard internazionali o europei come richiesto dal D. Lgs. 138);
le misure sono in due documenti diversi per i soggetti importanti e quelli essenziali; la bozza che avevo visto le riportava nello stesso documento ed era decisamente più pratico.
Ringrazio gli Idraulici della privacy, che lavorano anche come Idraulici della NIS2, per gli scambi proficui di informazioni (confesso che io non ho "scambiato", ho solo "recepito").
******************************************************
02- Framework Nazionale per la Cybersecurity e la Data Protection - Edizione 2025 (v2.1)
E' stata pubblicata la nuova versione del Framework Nazionale per la Cybersecurity e la Data Protection. Per ora le misure sono in formato tabellare (Excel e altri): https://www.cybersecurityframework.it/.
In realtà sono stati pubblicati solo i controlli di sicurezza. Li ho letti e ho trovato che sono la traduzione dei controlli del NIST Cybersecurity Framework 2.0. Viene da pensare che bastava chiamarlo "traduzione del NIST CSF 2.0", non "Framework Nazionale per la Cybersecurity e la Data Protection - Edizione 2025 (v2.1)".
Però il lavoro ha una parte originale, ossia 9 controlli aggiuntivi sulla privacy (preceduti dalla sigla "DP"). Qui poi trovo una "informazione dell'interessato" che sarebbe le "informazioni da fornire agli interessati". Di più non ho voluto approfondire per evitare di dovermi lamentare ulteriormente. Mi sembra manchino però alcune cose come la cancellazione al termine dei trattamenti, un "eventualmente" sulla DPIA, la valutazione del rischio relativa alla protezione dei dati personali eccetera.
Ho criticato spesso l'iniziativa, sin da quando in qualche strategia nazionale si volevano proporre schemi nazionali. Non penso che questo framework sia fatto male (come tutti ha cose migliorabili), ma penso che sia anacronistico e provinciale spingere su iniziative "nazionali" su questi temi.
Nel seguito seguono lamentazioni. I tanti non interessati possono passare all'argomento successivo.
Non sono neanche un promotore della globalizzazione a tutti i costi, ma ormai il mercato è globale, le aziende sono globali, anche la privacy è europea e tante altre iniziative di sicurezza sono europee o internazionali. Noi invece continuiamo ad avere regole nazionali e non promuoviamo neanche iniziative internazionali (qualcuno ho visto qualcuno di ACN nei comitati ISO? no, però stanno lavorando a una norma UNI, accipicchia!).
Inizialmente pensavo ci fossero problemi di fondi o di competenze. Invece alcuni articoli dicono che i soldi ci sono e le ricerche di personale di ACN dicono che le competenze elevate ci sono. Quindi i comitati tecnici internazionali dovrebbero essere invasi da queste persone. E invece no.
Adesso hanno anche tolto i riferimenti alla ISO/IEC 27001 perché non si tratta di una norma disponibile gratuitamente. Ovviamente si tratta di un espediente per continuare a promuovere questa iniziativa nazionale basata su un'altra iniziativa nazionale (USA), contrariamente a quanto richiesto dalla normativa italiana (il D. Lgs. 138 del 2024 chiede di promuovere standard internazionali ed europei). L'operazione è ridicola se pensiamo che ACN chiede, per esempio per accedere al marketplace dei servizi cloud per la PA, certificazioni sugli stessi standard che cerca di evitare.
Si potrebbero riciclare i titoli dei controlli della ISO/IEC 27001 perché tanto ormai li conoscono tutti (e i controlli del CSF sono altrettanto sintetici). Si potrebbe anche avviare un'iniziativa per chiedere all'ISO di renderli liberamente disponibili. Insomma: una soluzione si poteva trovare.
La questione è ovviamente nata male nel 2016 e adesso non sembra più possibile tornare indietro. Meglio permanere nel provincialismo che dichiarare che si poteva fare prima con tante scuse.
E così le aziende che dovrebbero investire nell'innovare devono spendere soldi in check list, riferimenti incrociati e questionari dei clienti basati su ulteriori schemi.
******************************************************
03- Assicurazione obbligatoria per danni ambientali
La L. 213/2023 (articolo 1, comma 101), impone alle imprese di stipulare contratti assicurativi per eventi sismi, alluvioni, frane, inondazioni e esondazioni: https://www.normattiva.it/eli/id/2023/12/30/23G00223/CONSOLIDATED/20250403.
I beni da assicurare sono quelli indicati nell'articolo 2424, primo comma, sezione Attivo, voce B-II, numeri 1), 2) e 3), del codice civile (ossia Regio Decreto 16 marzo 1942, n. 262 e successive modificazioni). Sono gentile e riporto che si tratta di 1) terreni e fabbricati; 2) impianti e macchinario; 3) attrezzature industriali e commerciali.
Immagino che negli impianti o nelle attrezzature industriali si possano rintracciare i sistemi informatici. Quindi questa è una novità che riguarda molto la sicurezza delle informazioni e le misure di sicurezza.
La notizia l'ho avuta perché, con il DL 39/2025, c'è stata una proroga (figuriamoci!): per le imprese di medie dimensioni, il termine è rinviato al 1° ottobre 2025, per le piccole e microimprese, la stipula deve effettuarsi entro il 31 dicembre 2025, per le grandi imprese, la scadenza è rimasta quella del 31 marzo.
******************************************************
04- Labirinto normativo (e qualche riflessione)
Antonio Ieranò ha scritto un articolo dal titolo "Multiutility italiane nel labirinto normativo: tra GDPR, NIS2, CRA e AI Act": https://www.linkedin.com/comm/pulse/multiutility-italiane-nel-labirinto-normativo-tra-gdpr-antonio-ieran%C3%B2-ylo4f.
Non ostante il titolo, è interessante anche per le non-multiutility: spiega bene cosa sono GDPR, NIS2, CRA e AI Act.
Su un successivo articolo di Ieranò ho avuto modo di lamentarmi che fa sembrare tutto più facile di quello che è. Anche su questo ho la stessa impressione. Ciò non toglie che ne vale la lettura.
Segue un'altra mia lamentazione. Chi non è interessato può passare all'articolo successivo.
La riflessione riguarda la massa di normativa che è uscita e che piano piano va applicata. Forse è troppa ma, soprattutto, come mi ha confermato Monica Perego "è il percorso burocratico che affossa".
I miei timori di qualche anno fa si stanno avverando: troppa gente incompetente (e inconsapevole di esserlo) sta producendo normativa secondaria o terziaria (se esiste; ma forse mi sono inventato io il termine), sta fornendo consigli e sta conducendo verifiche. Causa incompetenza, si concentrano di più sulla "sicurezza di carta" e sulla "sicurezza per sentito dire" che su una seria valutazione del rischio e oculate scelte di processo e tecnologiche.
Troppi sono incompetenti perché la richiesta di figure professionali sulla sicurezza è incrementata velocemente e consulenti di sicurezza di carta sono stati chiamati a formare le giovani leve che quindi continuano a proporre modelli degli anni Ottanta, misure inefficaci (spesso burocratiche) ma che richiedono tanto tempo ed energie, scarsa competenza tecnologica. Purtroppo misure dettate dall'idea che, se c'è un problema, va aumentato il controllo, non migliorato il sistema.
I tecnici si sono defilati? No, perché non hanno sviluppato le attitudini dei consulenti di fare conoscenze e rete e quindi non sono conosciuti da chi avvia i corsi di formazione e le altre iniziative. Chi ha girato per fiere, convegni e roba simile lo sa (un mio cliente era terrorizzato all'idea di andare ai convegni perché saturi di consulenti che, appena lo riconoscevano come potenziale cliente, gli si appiccicavano).
Purtroppo i consulenti di carta sono quelli che partecipano e hanno più voce nei tavoli "tecnici". Per i risultati, basti vedere come sono scritte le linee guida ACN (non entro nel merito del contenuto tecnico, ogni tanto anche apprezzabili; troppo spesso sature di inutili richieste documentali). Anche molti standard ISO e non ISO soffrono dello stesso problema.
Così stiamo creando un mostro burocratico e non un circolo virtuoso di innovazione. Questo è un vero peccato.
Per intenderci: io stesso sono un consulente di "sicurezza di carta" e penso che "un po'" di carta sia utile e necessaria per governare e controllare. Sono il primo ad applaudire alle norme che proteggono la privacy e la sicurezza delle persone. Il problema è quando si esagera.
******************************************************
05- Il caso Signal usato dal Governo USA
Mi scuso per il titolo forse fuorviante. Per la notizia, do il link dell'articolo "The Trump Administration Accidentally Texted Me Its War Plans", preso da Guerre di rete: https://www.theatlantic.com/politics/archive/2025/03/trump-administration-accidentally-texted-me-its-war-plans/682151/.
In pochissime parole, un giornalista è stato inserito accidentalmente in una chat su Signal in cui i vertici del Governo USA discutevano degli attacchi militari (poi avvenuti) nello Yemen.
La notizia, a mio parere, non sta tanto nell'errore, per quanto grave. La notizia sta che viene usato un prodotto commerciale per discutere di questioni di rilevanza mondiale.
E' vero che oggi, come in passato, dobbiamo usare servizi terzi per comunicare. Ieri era il telefono, il fax o il telegrafo, oggi sono l'email, i social network e gli instant messaging. Però l'errore dimostra che forse non sono ben controllati dagli stessi partecipanti.
Forse Signal è uno strumento ottimale per comunicazioni riservate di quel livello, ma rimane la domanda se è stato selezionato accuratamente oppure, come quasi sempre succede, il potente di turno decide senza pensarci troppo ed esegue con due clic.
Il problema è che se il potente non crede alle procedure di selezione dei servizi, neanche i suoi sottoposti ci crederanno. Le conseguenze sono facilmente intuibili.
Il ragionamento andrà esteso ai servizi di intelligenza artificiale, oggi usati da tanti gratuitamente. Infatti tanti inviano documenti riservati e dati personali a questi servizi, senza pensare che saranno riutilizzati per addestrare il sistema e che potranno poi riemergere in forme impreviste e potenzialmente dannose.
Il punto è che va tutto regolamentato, ma i primi a doverci credere sono proprio i vertici dell'organizzazione. Andrebbero anche fornite valide alternative, se no le persone cercheranno comunque di seguire la strada più facile.
Per concludere, il link all’articolo di Guerre di rete: https://guerredirete.substack.com/p/guerre-di-rete-il-signalgate-oltre.
******************************************************
06- Chiusa storica tipografia dopo incidente IT
Da questo post su LinkedIn ho trovato questa notizia interessante: https://www.linkedin.com/feed/update/urn:li:activity:7310751324701155328/
L'ho trovata confermata in siti in tedesco (che non leggo) e anche da questo articolo in inglese dal titolo "Data deleted - printing company in Sarn has to close for good": https://www.bluewin.ch/en/news/data-deleted-sarnen-printing-company-has-to-close-for-good-2622823.html.
Copio dal post di Massimo Zaffaroni: Abächerli Media AG, storica tipografia svizzera, ha annunciato la chiusura e la perdita del posto di lavoro per circa trenta persone dopo che, nel 2022, il partner IT ha cancellato tutti i dati e le applicazioni aziendali, inclusi i backup.
******************************************************
07- Analisi incidente Microsoft dell'estate 2023
Sull'ISACA Journal, volume 1, 2025, un articolo segnala la disponibilità del report dell'U.S. Department of Homeland Security "Review of the Summer 2023 Microsoft Exchange Online Intrusion": https://www.cisa.gov/resources-tools/resources/CSRB-Review-Summer-2023-MEO-Intrusion.
Nell'estate 2023, un attore di minaccia con intenti di spionaggio compromise e accedette senza autorizzazione a molte caselle email su servizi cloud. Questo avvenne perché usarono una chiave non valida del Microsoft Service Account. La questione è molto tecnica e non cerco neanche di capirla fino in fondo.
La parte interessante riguarda alcune raccomandazioni, fatte anche a seguito del confronto con altri fornitori di servizi cloud. Le prime possono essere considerate generali, richiedendo alla Direzione di Microsoft di concentrarsi maggiormente sulla sicurezza, ma sono anche molto specifiche quando richiedono a Microsoft di "deprioritize feature developments across the company’s cloud infrastructure and product suite until substantial security improvements have been made".
Ancora, richiedono a Microsoft di fornire, in alcuni casi anche gratuitamente, agli utenti strumenti di logging (con tempi di conservazione di almeno 6 mesi), di raccolta prove e di rilevazione di attacco.
Per quanto riguarda il reporting, la raccomandazione 15 richiede: "CSPs should be transparent to U.S. government agencies, customers, and other stakeholders on what they know as well as what they do not know when initially investigating a cyber incident", esplicitando il fatto che la reticenza non è accettabile. Nella 16 richiede poi che "CSPs should promptly correct significant factual inaccuracies as they discover them in their public or customer statements".
******************************************************
08- Il Manifesto della comunicazione non ostile
So che esco un po' di tema, ma l'iniziativa de "Il Manifesto della comunicazione non ostile" mi sembra molto interessante: https://www.paroleostili.it/manifesto-della-comunicazione-non-ostile.
Riguarda anche la comunicazione online ed è stato declinato per aziende, l'inclusione, l'infanzia, l'intelligenza artificiale, la politica, la pubblica amministrazione, la scienza e lo sport. E' stato anche tradotto in diverse lingue.
******************************************************
09- Gli uomini possono fare tutto (Aprile 2025)
Marzo e aprile sono stati mesi impegnativi per l'uomo che può fare tutto, ma non sempre ce la fa: consigli di classe, incoraggiamento per qualche test dei figli, visite mediche, eccetera.
Questo mese ho però notato che i figli chiamano sempre me per dire che stanno tornando a casa. Ogni tanto tornano nel tempo previsto (per esempio scuola - casa), ogni tanto ci mettono molto di più e mi chiedo perché mi chiamino per non dirmelo. Ogni tanto chiedono cosa c'è da mangiare e io regolarmente non lo dico (e vorrei preparare spinaci e broccoli, ma evito), ma questo non sembra influire sui tempi.
Ogni tanto mi telefonano anche per chiedere se possono stare fuori a pranzo o cena con gli amici. Ogni tanto rispondo di sì, altre volte rispondo di no, a seconda dell'ora e degli impegni previsti.
Perché telefonino a me è un mistero. Forse perché sono più spesso a casa di mia moglie.
******************************************************
Buona Pasqua e EONL