******************************************************
IT SERVICE MANAGEMENT NEWS
– GIUGNO 2021
******************************************************
Newsletter mensile con novità in materia di sicurezza delle informazioni,
gestione dei servizi IT, qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza
Creative Commons Attribution 4.0 International License
(creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro
a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei
dati personali.
******************************************************
Indice
01- Attacco a Colonial Pipeline
02- Assicurazioni e ransomware
03- Elenco vittime di ransomware
04- Standard ETSI per i fornitori di servizi IT fiduciari
05- Aggiornamento legislativo IT
06- Privacy: Linee guida del Garante sul DPO
07- Privacy: Vietato contattare per recuperare il consenso (puntata 2)
08- Privacy: Codici di condotta
******************************************************
01- Attacco a Colonial
Pipeline
Colonial Pipeline è una società statunitense dedicata al trasporto di
carburante. Ad aprile 2021 è stata attaccata da un ransomware e ha quindi
dovuto chiudere temporaneamente alcuni chilometri di rete:
- https://www.theguardian.com/technology/2021/may/08/colonial-pipeline-cyber-attack-shutdown.
Infine, ha pagato il riscatto per sbloccare i propri sistemi informatici:
- https://arstechnica.com/gadgets/2021/05/colonial-pipeline-resumes-operations-after-ransomware-prompted-closure/.
Al momento non mi sembra siano stati scritti articoli di maggior
approfondimento dei dettagli su come l'attacco sia stato possibile. Ho trovato
alcune dichiarazioni di esperti di sicurezza, ma è evidente, dalla loro
genericitià, che le hanno fatte senza informazioni ulteriori.
La Cybersecurity and Infrastructure Security Agency aveva lanciato un allarme
già a ottobre 2020, dopo aver studiato un altro attacco (mi sembra che la
vittima, in questo caso, sia stata anonimizzata):
- https://us-cert.cisa.gov/ncas/alerts/aa20-049a.
Mi aggancio proprio a questo rapporto, dove la misura tecnica più importante è
quella della segmentazione delle reti. Ovviamente si tratta di una misura
costosa e impopolare presso gli operatori (che dovrebbero quindi avere computer
o partizioni distinte per leggere le email e per svolgere le operazioni tecniche),
ma sembra sia l'unica possibile. Oltre, ovviamente, all'autenticazione a più
fattori per accedere da remoto (altra soluzione "scomoda", ma
necessaria).
Tra l'altro, il rapporto approfondisce altre questioni, spesso dimenticate
dagli esperti di sicurezza: in certi settori, le emergenze di sicurezza
sicurezza IT sono molto sottovalutate rispetto a quelle operative e prevedere
opeazioni manuali in caso di indisponibilità dei sistemi IT.
Meglio lasciare la lettura al rapporto (molto sintetico, ma, ripeto, molto
significativo) del CISA.
Inutile dire che questo tipo di attacco non riguarda solo le reti di trasporto
dei carburanti, ma tutti i settori:
- https://www.theguardian.com/technology/2021/may/13/colonial-pipeline-ransomware-attack-cyber-crime.
******************************************************
02- Assicurazioni e
ransomware
L'assicurazione Axa ha ufficialmente smesso di offrire copertura per il
pagamento di ransomware.
Questo dopo che sono state espresse delle preoccupazioni da parte di esponenti
della sicurezza francese sulla eccesiva diffusione del ransomware:
- https://www.insurancejournal.com/news/international/2021/05/09/613255.htm.
Per tutta risposta il mondo del cybercrime afferma di avere compromesso Axa per
punire la sua presa di posizione.
- https://www.bleepingcomputer.com/news/security/insurer-axa-hit-by-ransomware-after-dropping-support-for-ransom-payments/.
Questa notizia me l'ha data Enos D'Andrea che ringrazio.
******************************************************
03- Elenco vittime di
ransomware
Glauco Rampogna, un Idraulico della privacy, ha segnalato questo elenco delle
vittime di ransomware:
- https://drive.google.com/file/d/1MI8Z2tBhmqQ5X8Wf_ozv3dVjz5sJOs-3/view.
Utile per far capire per bene l'ampiezza del problema, anche se a mio parere
manca qualche caso.
******************************************************
04- Standard ETSI per i
fornitori di servizi IT fiduciari
Franco Vincenzo Ferrari di DNV ha assistito, il 1 giugno 2021, al webinar
"ETSI standards for trust services and digital signatures"
organizzato da ETSI stessa. Bisogna dire che non è facile orientarsi tra gli
standard pubblicati da ETSI e tra gli acronimi usati nell'ambito dei servizi
fiduciari (a partire dal primo, TSP per trust service provider).
Il materiale messo a disposizione da ETSI permette quindi di avvicinarsi
all'argomento o approfondirlo. E' possibile vedere le presentazioni e il video
(di 4 ore, più o meno come Via col vento) a partire dalla pagina di
presentazione del webinar:
- https://www.etsi.org/events/1926-webinar-etsi-standards-for-trust-services-and-digital-signatures.
******************************************************
05- Aggiornamento
legislativo IT
Ho pubblicato una mia presentazione ("Aggiornamento legislativo
2021") sulla normativa legale applicabile alle certificazioni ISO 9001,
ISO/IEC 27001 e non solo:
- https://www.cesaregallotti.it/Pubblicazioni.html.
Ogni segnalazione di errore o di omissione sarà ben accetta.
******************************************************
06- Privacy: Linee guida
del Garante sul DPO
Il Garante ha pubblicato alcune linee guida per il DPO.
In particolare segnalo il "Documento di indirizzo su designazione,
posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito
pubblico":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9589104.
Sono poi state aggiornate le faq. Tutti i documenti sono reperibili sulla
pagina dedicata:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9589104.
Sono ripresi molti punti che abbiamo già discusso negli ultimi anni e senza
grandi novità, anche se un ripasso fa sempre bene. La cosa interessante è
quanto queste analisi siano equilibrate e le confronto con gli stracci che ogni
tanto vedo volare quando parlano consulenti, aziende, avvocati, auditor
eccetera. Vedo in particolare il parere in merito al curriculum del DPO, ma non
è il solo.
Ecco: penso che dovremmo tutti imparare da questo documento, non solo
tecnicamente, ma anche operativamente.
******************************************************
07- Privacy: Vietato
contattare per recuperare il consenso (puntata 2)
Avevo pubblicato un post dal titolo "Vietato contattare per recuperare il
consenso negato in precedenza" in cui si segnalava che la Cassazione aveva
confermato un parere del Garante sulla questione in oggetto:
- http://blog.cesaregallotti.it/2021/05/vietato-contattare-per-recuperare-il.html.
Davide Foresti mi ha segnalato che ho fatto un po' di confusione sui
provvedimenti "originari" del Garante.
Dice che "la sentenza di Cassazione si riferisce al provvedimento del
Garante del giugno 2016 ('solo' 5 anni fa..)":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5255159.
Io, su LinkedIn, avevo invece fatto confusione e avevo segnalato un altro link,
ad un Provvedimento del 2018, sempre relativo al trattamento di utenze
telefoniche per finalità di marketing, ma non oggetto della sentenza di
Cassazione:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8233539.
Ringrazio per la correzione e la diffondo.
******************************************************
08- Privacy: Codici di
condotta
In questo periodo stanno maturando alcune iniziative in merito ai codici di
condotta.
Il primo che segnalo è stato approvato da EDPB (anche se non è ancora
disponibile il resoconto dell'incontro 49 del 19 aprile), e quindi si promuove
come codice a livello europeo. Esso riguarda i servizi cloud:
- https://www.codeofconduct.cloud/.
Esso è un codice che esisteva già in passato e adesso è stato approvato da
EDPB. Purtroppo il sito è fuorviante perché presenta il registro degli aderenti
pre-2021.
Non mi risulta poi che siano stati identificati gli organismi di monitoraggio
dei codici di condotta.
Il secondo è sempre stato oggetto di decisione da parte di EDPB il 19 aprile.
La pagina del Garante belga, che ha avviato la procedura, fornisce alcuni
dettagli, oltre al provvedimento di accreditamento dell'OdM (Scope Europe):
https://www.autoriteprotectiondonnees.be/citoyen/lautorite-de-protection-des-donnees-approuve-son-premier-code-de-conduite-europeen.
Il sito è questo:
- https://eucoc.cloud/.
Il Codice, purtroppo, può essere richiesto solo fornendo i propri dati (alla
faccia della minimizzazione). Inoltre anche qui c'è un registro di aderenti
quando ancora il tutto non era accreditato e, anche in questo caso, la cosa mi
lascia perplesso.
Il terzo è il codice relativo alle informazioni commerciali, ossia alle
attività che svolgono alcune società ("i fornitori") di analisi di
potenziali clienti e partner, ed è solo a carattere nazionale (italiano). Non è
nuovo perché era già stato approvato nel 2019, ma è stato modificato dopo aver
accreditato l'Organismo di monitoraggio (indicato sempre e solo come
"OdM" e quindi non capisco se è una società già esistente o un ente
specifico per questo scopo).
Do il link alla notizia, da cui è possibile accedere al codice e
all'accreditamento dell'OdM:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9585460.
Ho il timore di aver sbagliato qualcosa e quindi sono benvenute le correzioni.
******************************************************
EONL