Infosec & Quality newsletter ITA (Gennaio 2025)
Indice
01- Sull'incidente InfoCert
02- Rapporto annuale Polizia postale
03- US Cyber Trust Mark Program
04- Normativa: Cyber resilience act
05- Normativa: European accessibility act (EAA)
06- Guida CISA per i dispositivi mobili
07- Privacy: Parere EDPB sui modelli di intelligenza artificiale
08- Privacy: Consenso di entrambi i genitori per la pubblicazione di foto online
09- Privacy: Schema certificazione privacy della CNIL
10- Privacy: Ancora richiedono i nominativi degli AdS
11- Gli uomini possono fare tutto (Gennaio 2025)
******************************************************
01- Sull'incidente InfoCert
E' stato pubblicato un mio articolo dal titolo (non mio, perché lo ritengo troppo spavaldo) "Data breach Infocert, ecco gli errori che fanno ancora tutti (o quasi)": https://www.agendadigitale.eu/sicurezza/data-breach-infocert-perche-non-e-solo-un-problema-aziendale/.
Nell'articolo non ho inserito i ringraziamenti a Aldo Colamartino che per primo mi aveva scritto per chiedermi alcune riflessioni sull'evento e a Silvia Canzi per avermi inviato il link a un buon articolo di analisi (https://www.cybersecurity360.it/nuove-minacce/infocert-data-breach-che-e-successo-e-quali-rischi-per-milioni-di-italiani/), per quanto possibile fare finora.
Devo aggiungere, rispetto a quanto pubblicato, che ero rimasto molto sconfortato dagli interventi di alcuni esperti di sicurezza, anche molto competenti, perché avevano postato commenti generici, superficiali, spesso supponenti e, quindi, inutili. Probabilmente le persone non competenti sono state favorevolmente colpite da questi commenti e dai giudizi spietati, ma altri vedono il vuoto di chi o non sa come funziona la sicurezza o fa finta di ignorarlo pur di dire qualcosa.
Troppi commenti, preferendo puntare su lamentazioni generiche, sembravano scritti da persone ignare dei problemi delle aziende e dei gruppi di aziende, tra cui: limiti di budget, scarsa consapevolezza del top management, carenza di risorse, carenza di competenze, complessità dei gruppi di aziende e dei rapporti tra i loro componenti, confusione per i troppi riferimenti normativi e tecnici.
Basterebbe essere stati coinvolti in una delle tante questioni relative alla sicurezza che pongono le aziende e aver partecipato ad almeno una riunione per cercare una soluzione a una qualsiasi di queste questioni per capire che nulla è tanto semplice. E forse per avere un po' più di compassione nei confronti di chi subisce un incidente (anche se è tanto grande).
Dispiace vedere che anche persone competenti non riescono a fermarsi dal commentare qualsiasi cosa, anche senza avere niente da dire. Dispiace vedere che un incidente di sicurezza diventi il centro di un circo e non un momento di vera riflessione.
Mi si scusi per questo sfogo. Spero che però le riflessioni più tecniche pubblicate da Agenda Digitale possano essere di interesse.
******************************************************
02- Rapporto annuale Polizia postale
La Polizia postale pubblica annualmente un rapporto annuale sulle sue attività "per la sicurezza cibernetica": https://www.poliziadistato.it/articolo/i-dati-delle-attivita-della-postale-nel-2024 (grazie a Chiara Ponti per la segnalazione).
Purtroppo mancano dettagli sugli attacchi: così dà un quadro troppo generale.
Come cittadino, sono comunque preoccupato dai dati sui reati contro la persona e in particolare i minorenni.
******************************************************
03- US Cyber Trust Mark Program
Il SANS NewsBites Vol. 27 Num. 03 segnala che è stato lanciato il US Cyber Trust Mark Program: https://www.sans.org/newsletters/newsbites/xxvii-3/.
Qualche dettaglio in più è fornito dalla pagina della Casa Bianca: https://www.whitehouse.gov/briefing-room/statements-releases/2025/01/07/white-house-launches-u-s-cyber-trust-mark-providing-american-consumers-an-easy-label-to-see-if-connected-devices-are-cybersecure/.
Se ho capito correttamente, i requisiti tecnici sono riportati molto sinteticamente dal documento "Profile of the IoT Core Baseline for Consumer IoT Products": https://csrc.nist.gov/pubs/ir/8425/final.
Non mi sembra chissà cosa, da quello che ho capito. Ho sempre il timore che tutto si ricondurrà alla "sicurezza di carta", visto che i requisiti tecnici sono pochi e generici, mentre quelli documentali sono tanti e precisi.
Vedremo poi quanto si affermerà questo schema, considerando che anche l’EU sta cercando di elaborarne con il CRA (il Cybersecurity act neanche lo considero, visto quanto è lento).
******************************************************
04- Normativa: Cyber resilience act
E' stato pubblicato su Agenda Digitale un mio articolo dal titolo "Cyber resilience act, la sicurezza diventa obbligatoria: cosa cambia per le aziende": https://www.agendadigitale.eu/sicurezza/cyber-resilience-act-la-sicurezza-diventa-obbligatoria-cosa-cambia-per-le-aziende/.
Si tratta quasi di un insieme di appunti, ma può essere un punto di partenza. Come sempre: se vedete errori, segnalatemeli.
******************************************************
05- Normativa: European accessibility act (EAA)
Franco Vincenzo Ferrari mi ha segnalato questo articolo dal titolo "Con l’European accessibility act (EAA) l’accessibilità digitale dei prodotti e dei servizi diventa comune per tutti gli Stati UE": https://www.associazionecittadinanzadigitale.org/2024/12/28/con-leuropean-accessibility-act-eaa-laccessibilita-digitale-dei-prodotti-e-dei-servizi-diventa-comune-per-tutti-gli-stati-ue/.
Della Direttiva UE 882 del 2019 e del suo recepimento con il D. Lgs. 82 del 2022 avevo già scritto (https://blog.cesaregallotti.it/2024/04/european-accessibility-act-d-lgs-82-del.html), ma questo articolo ci ricorda la scadenza del 28 giugno e richiama meglio alcune cose.
******************************************************
06- Guida CISA per i dispositivi mobili
La Cybersecurity and Infrastructure Security Agency statunitense ha pubblicato la Mobile Communications Best Practice Guidance: https://www.cisa.gov/resources-tools/resources/mobile-communications-best-practice-guidance.
Si tratta di una guida molto tecnica, anche se molto breve. Alcune cose dovrò studiarle meglio.
******************************************************
07- Privacy: Parere EDPB sui modelli di intelligenza artificiale
EDPB ha approvato il 17 dicembre il "Parere 28/2024 su alcuni aspetti della protezione dei dati relativi al trattamento dei dati personali nel contesto dei modelli di IA": https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en.
Questo Parere affronta le questioni relative al trattamento dei dati personali durante lo sviluppo e l'implementazione dei modelli di IA.
Segnalo questo articolo molto sintetico: https://www.airia.it/post/la-decisione-edpb-sulla-protezione-dei-dati-personali-nell-ai-generativa.
Ringrazio Christian Bernieri per averlo segnalato agli Idraulici della privacy. Christian trova significativa soprattutto la risposta alla quarta domanda, relativa all'uso di modelli di IA creati, aggiornati o sviluppati utilizzando dati personali trattati illegalmente.
******************************************************
08- Privacy: Consenso di entrambi i genitori per la pubblicazione di foto online
Nella newsletter di dicembre 2024 del Garante, una notizia ha titolo "No a foto di minori di 14 anni sui social senza il consenso di entrambi i genitori. Il Garante ammonisce un padre": https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10076607#3.
La sintesi: Per postare sui social network immagini che ritraggono minori di 14 anni è necessario il preventivo consenso di entrambi i genitori. Invece se il minore ha compiuto quattordici anni la normativa italiana gli riconosce la facoltà di decidere autonomamente sulla pubblicazione.
Il Provvedimento del 13 novembre 2024 [10076481]: https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10076481.
******************************************************
09- Privacy: Schema certificazione privacy della CNIL
La CNIL (ossia il Garante privacy francese) ha pubblicato la bozza di uno schema di certificazione per responsabili di trattamenti: https://www.cnil.fr/fr/certification-rgpd-des-sous-traitants-la-cnil-consulte-sur-un-projet-de-referentiel-devaluation.
Grazie alla newsletter di Project:IN Avvocati per aver diffuso questa notizia.
La pagina è solo in francese e la bozza è aperta alle consultazioni.
La CNIL usa il termine "sous-traitant" per i fornitori con ruolo di responsabile di trattamenti e il termine "responsable" per quello che in italiano indichiamo come "titolare".
Non si capisce ancora come funzionerà lo schema, visto che la pagina relativa agli organismi di certificazione non è aggiornata (non solo relativamente a questo schema, ma anche per quello Europrivacy; Europrise neanche lo cita).
Tecnicamente, credo che sia una bella proposta: uno schema orientato alle PMI, meno complesso di quelli già attivi.
Per il resto, mi sembra sempre che sia troppo orientato alla documentazione. Troppi requisiti richiedono di documentare, non di fare. Mi rendo conto che il documentare e il regolare poi dovrebbe portare al fare, ma sempre più mi rendo conto che in tutti gli standard e le linee guide troppi requisiti riguardano il solo documentare e questo inevitabilmente porta a un'interpretazione "cartacea" della sicurezza, come è evidente dai risultati degli audit e dagli investimenti in documentazione (e persone che scrivono), a scapito della sicurezza operativa.
******************************************************
10- Privacy: Ancora richiedono i nominativi degli AdS
Ancora molti miei clienti, in qualità di responsabili di trattamenti di dati personali, ricevono richiesta dei nominativi degli amministratori di sistema.
Questo è un simpatico caso di non-aggiornamento, ormai dal 2009. A fine del 2008, tutti a correre per adeguarsi al Provvedimento del 27 novembre 2008 [doc. web n. 1577499], ma pochissimi a chiedersi perché il Provvedimento fu modificato il 25 giugno 2009 (a parte chiedere proroghe).
Io fui fortunato perché assistei al dibattito. Però sono sorpreso nel vedere che tanti ancora oggi, dopo più di 15 anni, non abbiano recepito la modifica. Temo che troppi corsi di formazione non siano abbastanza aggiornati e così vengono formate persone in modo scorretto.
E allora ripassiamo. La modifica del Provvedimento riguardava, oltre all'eliminazione di un riferimento obsoleto al DPS e a un chiarimento sul fatto che il mantenimento dei nominativi degli AdS sia da prevedere contrattualmente, all'aggiunta di due "o il responsabile", in modo che gli adempimenti in merito al mantenimento dei nominativi degli AdS non siano necessariamente in carico al titolare.
Uno dei motivi è evitare che vengano diffusi i nominativi di persone che potrebbero essere bersaglio di attacco. Pertanto i responsabili dovrebbero rigettare tali richieste per assicurare la sicurezza dei loro clienti.
Purtroppo il Provvedimento lascia ancora margini di ambiguità e questo dimostra come sia stato concepito e scritto male e, ahinoi, quanto è sbagliato il mantenerlo in vita.
Si potrebbe però aggiungere che il principio di minimizzazione imporrebbe ai titolari di non chiedere i nominativi in ogni caso perché già in possesso del responsabile.
Inoltre, la lettura del Provvedimento dice che l’elenco va tenuto aggiornato e disponibile in caso di accertamenti da parte del Garante. Quindi il responsabili deve rendere sicuramente disponibile tale elenco in caso di accertamenti e su richiesta dell’autorità, ma non prima.
Ultima nota polemica: voglio vedere quanti hanno chiesto i nominativi degli AdS agli OTT (Amazon, Google, eccetera) e li hanno cambiati perché non li hanno ricevuti.
******************************************************
11- Gli uomini possono fare tutto (Gennaio 2025)
Questa volta parlo di orientamento alle superiori. Spesso si investe il sabato mattina nel visitare alcune scuole. Fortunatamente abbiamo limitato il numero e siamo arrivati a una scelta senza troppi sacrifici.
Però abbiamo dovuto integrare questa scelta con un ulteriore incontro un giovedì pomeriggio, fissato il venerdì prima. Ho dovuto spostare 3 appuntamenti, tipo gioco del 15, considerando che alcuni clienti hanno un audit a breve e quindi avevo un'agenda fitta e con pochi spazi di manovra. Ma sono stati tutti molto gentili.
Mia moglie ha ovviamente partecipato, perché se i genitori sono due, anche se possono fare tutto, alcune cose devono farle insieme. Lei aveva preso ferie quel giorno, ma il suo capo aveva una questione urgente ed è venuto a prendersi un aperitivo sui Navigli pur di parlarle. Trovo interessante questo fatto che tutti si sono adeguati a fronte di certe esigenze.
******************************************************
EONL