******************************************************
IT SERVICE MANAGEMENT NEWS
– GIUGNO 2021
******************************************************
Newsletter mensile con novità in materia di sicurezza delle informazioni,
gestione dei servizi IT, qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza
Creative Commons Attribution 4.0 International License
(creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro
a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei
dati personali.
******************************************************
Indice
00- Editoriale di buon agosto
01- Mia breve intervista per DNV
02- Mie riflessioni sui recenti attacchi ransomware
03- Attacco a Colonial Pipeline - Aggiornamento
04- Agenzia per la cybersicurezza nazionale
05- Libro: La mappa delle culture
06- Nuove regole sulla conservazione
07- Aggiornamento legislativo IT (aggiornamento)
08- Privacy: nuove linee guida sui cookie
09- Privacy: adeguatezza UK per il GDPR
10- Privacy e EDPB: raccomandazioni per i trasferimenti extra SEE (versione 2)
11- Privacy, appIO e polemiche inutili
******************************************************
00- Editoriale di buon
agosto
Come sempre uso la newsletter di luglio per fare gli auguri di buon agosto a
tutti i miei lettori. Vi ringrazio per avermi seguito sin qui e spero di
continuare ad avere la vostra fiducia.
Sembra che tra pochissimi mesi torneremo alla normalità. Ci siamo quasi, ma
qualcuno purtroppo è impaziente. Chi si occupa di sicurezza (e anche di qualità
e, in generale, di conformità) sa che l'impazienza gioca brutti scherzi e
pensare di essere più furbi degli altri non è solitamente una buona tattica.
Bisogna avere pazienza e, anzi, essere contenti che questa pandemia sia stata
affrontata così efficacemente dopo quasi due soli anni dal suo inizio (anche se
molti errori ci sono stati). Francamente, a marzo dell'anno scorso non ci avrei
scommesso neanche un soldo bucato.
La newsletter tornerà a metà settembre.
******************************************************
01- Mia breve intervista
per DNV
DNV ha pubblicato una mia intervista sulla sicurezza delle informazioni:
- https://www.youtube.com/watch?v=heYFFcvSKAg.
Mi avevano chiesto di avere una parete bianca alle spalle, ma, a casa mia, le
pareti sono occupate da ricordi, foto, libri, armadi, scrivanie eccetera. Ho
trovato un pezzettino di parete bianca abbastanza grande sedendomi per terra.
Meno male che l'intervista è stata molto breve (meno di 3 minuti).
******************************************************
02- Mie riflessioni sui
recenti attacchi ransomware
Chiara Ponti degli Idraulici della privacy mi ha chiesto qualche riflessione in
merito ai recenti (e meno recenti) attacchi ransomware. Lei era partita da un
articolo oggettivamente superficiale e quindi non lo cito.
Intanto dobbiamo distinguere due tipi di attacchi: quello ransomware mirato
direttamente alla vittima e gli attacchi sulla filiera di fornitura o
"supply chain". Questi ultimi prevedono di attaccare un fornitore in
modo poi da usarlo come "ponte" per colpire altre vittime. In questo
caso, il fornitore è stato attaccato per impiantare ransomware presso le
vittime.
Per il ransom qualcosa l'avevo già scritta (http://blog.cesaregallotti.it/2021/05/attacco-colonial-pipeline.html), ma vorrei
ribadire che la prima regola è quella di segregare le reti, oltre a fare backup
e aggiornare i sistemi. Tutto questo richiede molti investimenti e non è sempre
fattibile (per esempio, se i software possono essere compromessi dagli
aggiornamenti di altri software). Inoltre difendersi da questi attacchi è super
difficile, soprattutto quando sono mirati. Basta solo un errore e i danni sono
altissimi.
Tutto richiede un'ulterore riflessione sulla spinta alla convergenza, sempre
più elevata. Pensiamo al fatto che vogliamo farci connettere la casa, i sistemi
di ufficio, la macchina, l'industria, i giochi elettronici e via così. Tutti
sulla stessa rete e basati su tre o quattro protocolli e sistemi operativi. O
si cambia tendenza o attacchi come quello alla Colonial Pipeline saranno
all'ordine del giorno. Recentemente si è anche avuto il blocco dei POS di una
catena di supermercati.
E' difficile, per il singolo, evitare la spinta alla convergenza, anche perché
questa permette, alle organizzazioni, di avere maggiori risparmi e dati e, ai
privati, maggiore comodità. Inoltre le stesse tecnologie sono fatte per
spingere alla convergenza; in particolare gli smartphone cercano di far
convergere su di loro ogni attività degli utenti. Eppure, solo una certa
separazione permetterà di ridurre i danni.
Per quanto riguarda gli attacchi alla filiera di fornitura, bisogna dire che è
difficile controllarla. Anzi: impossibile.
Purtroppo, da questo punto di vista, l'approccio che vedo imporsi è quello
sbagliato: documenti, analisi, registrazioni; non strumenti, formazione,
tecnologie. Gli auditor e le autorità di controllo spingono verso investimenti
sbagliati: un mio cliente ha dovuto assumere una persona (oltre al mio
supporto) solo per rispondere ai questionari privacy e "Sicurezza"
dei clienti. Tutta roba burocratica e spesso inutilmente dettagliata. Molti
suoi progetti di miglioramento tecnologico (presidio del patching, uso
dell'MDM, separazione netta tra sviluppatori e sistemisti).
Anche Renato Castroreale ha risposto a Chiara, dicendole: Questi attacchi sono
oggi un business, anche appoggiato da Stati come Russia e Stati Uniti (Kaseya è
utilizzato da Apple, dalle forze armate statunitensi, da molte agenzie
governative inclusa l'FBI che sta lavorando assiduamente con il brand). La
consapevolezza, l'attenzione e la voglia di investire fanno la differenza. Ma
nessuno può realmente essere al sicuro, mai ed in nessuna condizione".
Renato aggiunge che la sua azienda è riuscita a resistitere all'attacco, e dà
il merito alla sua prontezza, ma anche alla fortuna e agli investimenti fatti
(chiedendosi quanti possono farli).
Ringrazio Chiara e Renato perché ci permettono di ricordare che la sicurezza
non si ottiene con uno schiocco delle dita o facili formulette.
******************************************************
03- Attacco a Colonial
Pipeline - Aggiornamento
Avevo scritto dell'attacco a Colonial Pipeline:
http://blog.cesaregallotti.it/2021/05/attacco-colonial-pipeline.html.
Riccardo Barison di Deda Cloud, che ringrazio, mi ha segnalato che stata
identificata l'origine dell'attacco: è stata sfruttata una password
riutilizzata in altri servizi. L'articolo non è molto approfondito in merito,
ma ci ricorda l'importanza di una regola spesso detta e ripetuta: non usare le
medesime credenziali per servizi informatici tra loro non correlati. Questo
andrebbe ricordato anche nelle regole che le organizzazioni chiedono di
rispettare al proprio personale.
L'articolo:
- https://www.hdblog.it/mobile/articoli/n539214/colonial-pipeline-come-successo-password-hacker/.
******************************************************
04- Agenzia per la cybersicurezza nazionale
Il DL 82 del 2021 istituisce la "Agenzia per la cybersicurezza
nazionale".
NB: trattandosi di un DL, il suo recepimento in Legge potrà comportare alcune
modifiche al testo che commento nel seguito.
Innanzi tutto va specificato cosa si intende per "cybersicurezza" (e
qui apprezzo il fatto che non si usa più lo scorretto "sicurezza
cibernetica", anche se il termine "cibernetico" è comunque, e
sempre scorrettamente, usato in altre parti del DL). Copio e incollo: l'insieme
delle attività necessarie per proteggere dalle minacce informatiche reti,
sistemi informativi, servizi informatici e comunicazioni elettroniche,
assicurandone la disponibilità, la confidenzialità e l'integrità, e
garantendone altresì la resilienza".
Mi chiedo perché qui usino "confidenzialità", quando nella PA si
parla in altre norme, di "riservatezza". Non ho una risposta e spero
qualcuno me la possa fornire.
Poi, istigato da Chiara Ponti (degli Idraulici della privacy), osservo che la
definizione tratta di "minacce informatiche", senza però esplicitare
cosa si intende con questa espressione. Io sicuramente includerei le minacce da
e a sistemi informatici (p.e. virus, tentativi di intrusioni da esterni via
rete Internet). Includerei anche le minacce originate da errori (p.e. il blocco
perché lo spazio per i log è esaurito perché configurato o monitorato male).
Escluderei invece quelle fisiche (incendi, danneggiamenti, guasti), ma
includerei quelle derivate dalle minacce fisiche (p.e. la lettura da
dispositivi di memoria dismessi o l'accesso a file su pc rubati). Sicuramente
sono escluse le minacce alle informazioni su supporto cartaceo o quelle
trasmesse oralmente, ma sono incluse le minacce rivolte ai sistemi IT
"senza informazioni" o "con solo informazioni di
configurazione", come molti dispositivi IoT e molti sistemi di controllo
industriale e di domotica.
Poi il provvedimento si fa di difficile lettura a causa dei molti riferimenti
verso altre norme. Provo a sintetizzare alcuni punti e a commentarli,
ricordando che io sono interessato principalmente agli impatti verso le
"normali organizzazioni" e non all'organizzazione complessiva della
PA.
-
L'Agenzia diventa il "punto di contatto unico"
previsto dal D. Lgs. 65/2018 (Direttiva NIS).
-
L'Agenzia sarà la "Autorità nazionale di
certificazione della cybersicurezza" secondo quanto previsto dal
Cybersecurity Act (Regolamento UE 2019/881). Questo è molto importante per le
future attività di certificazione di prodotti e servizi informatici.
-
L'Agenzia incorpora il CVCN (Centro di valutazione e
certificazione nazionale, parte del MiSE), istituito dal DL 105/2019
(cosiddetto "Perimetro di sicurezza nazionale cibernetica") e le
relative attività di ispezione e verifica.
-
Come autorità di certificazione, accredita le appropriate
strutture del Ministero della difesa e del Ministero dell'interno quali
organismi di valutazione della conformità per i sistemi di rispettiva
competenza. Al momento sono un po' confuso su chi fa cosa, ma capirò meglio
quando saranno attivati gli schemi di certificazione. Le ultime notizie, però,
suggeriscono che dovremo aspettare ancora qualche anno.
-
Accentra le attività di definizione delle misure di
sicurezza che devono adottare gli operatori di telecomunicazione e le relative
attività di verifica, previste dal D. Lgs. 259 del 2003 (Codice delle
comunicazioni elettroniche) e in precedenza attribuite al MiSE.
-
Assume le funzioni attribuite alla Presidenza del
Consiglio dei ministri e al DIS dal Perimetro nazionale e dal DPCM di
attuazione e (cose relative al settore spazio e aerospazio). Importante, mi
sembra, è il fatto che quindi sia responsabile dell'elencazione dei soggetti
inclusi nel perimetro e della raccolta delle descrizioni dei sistemi e delle
valutazioni del rischio di tali soggetti.
-
Assume le funzioni attribuite ad AgID in materia di
sicurezza informatica. Pertanto le PA dovranno monitorare le indicazioni
fornite dall'Agenzia in questo ambito.
-
Diventa punto di riferimento per numerose attività.
Leggerle tutte richiede molta attenzione e dovremo soprattutto vederne in futuro
gli impatti. Per certo dovremo monitorare le attività dell'Agenzia.
-
Incorpora il CSIRT Italia, già istituito da più di un
anno.
Concludo dicendo che il DL è pieno di ulteriori
disposizioni, ma azzardo dicendo che la sua vera portata la vedremo dispiegarsi
nei prossimi mesi, in termini di messa a disposizione di indicazioni utili per
tutti gli operatori e di supporto.
******************************************************
05- Libro: La mappa delle
culture
Segnalo questo interessante libro di Erin Meyer dal titolo "La mappa delle
culture" (The culture map):
- https://www.roiedizioni.it/prodotto/libri/la-mappa-delle-culture-erin-meyer/.
Presenta alcune caratteristiche culturali, per cui ogni Paese ha le sue
modalità per comunicare (con tanti o pochi dettagli, verbalizzando o no),
fornire riscontri negativi (in modo più o meno diretto), persuadere
(presentando prima i principi o gli esempi o seguendo una visione complessiva
(ossia un approccio olistico, ma non nel senso banale con cui questo termine
viene spesso usato)), guidare i gruppi di lavoro (in modo ugualitario o
gerarchico), prendere e accettare decisioni (attraverso il consenso o
dall'alto, con riflessi anche su quanto la decisione presa va considerata
definitiva o potenzialmente ulteriormente sindacabile), avere fiducia negli
altri (più per come lavorano o più per come costruiscono una relazione
personale, senza confondere la relazione personale con l'amichevolezza e
riflettendo su quanto i diversi approcci hanno impatti sulla gestione del
tempo), confrontarsi (cercando o meno il confronto) e gestire il tempo
(seguendo pianificazioni lineari o un approccio flessibile, che poi si
manifesta anche su come sono seguite le code).
Io ho lavorato e lavoro con società e persone di altri Paesi e altri continenti
e avrei voluto e dovuto leggere questo libro (del 2014) tanto tempo fa.
Però attenzione che è molto utile anche a chi non lavora in ambienti
internazionali, ma vuole capire meglio come affrontare alcune pratiche di
origine anglosassone (le norme ISO in principal modo) e perché ci sono alcune
resistenze in Italia (e non sono quelle che solitamente ci diamo per
autogiustificarci!).
Questo libro mi fu consigliato da qualcuno più di un anno fa. Purtroppo non
ricordo chi, ma lo ringrazio molto e mi scuso per averlo iniziato dopo così
tanto tempo.
******************************************************
06- Nuove regole sulla
conservazione
AgID ha pubblicato le nuove regole per i fornitori di servizi di conservazione
per la Pubblica amministrazione (ringrazio Franco Vincenzo Ferrari di DNV per
la segnalazione):
- https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2021/06/25/conservazione-documenti-informatici-pubblicato-il-regolamento-sui-criteri-fornitura.
Esse si affiancano alle "Linee Guida sulla formazione, gestione e
conservazione dei documenti informatici", pubblicate a settembre 2020:
- https://trasparenza.agid.gov.it/archivio19_regolamenti_0_5385.html.
Per una lettura critica delle nuove regole, rimando a un recente articolo su
Agenda digitale:
- https://www.agendadigitale.eu/documenti/conservazione-perche-il-regolamento-agid-distrugge-il-mercato/.
******************************************************
07- Aggiornamento
legislativo IT (aggiornamento)
Ho aggiornato le mie slide "Aggiornamento legislativo 2021" (https://www.cesaregallotti.it/Pubblicazioni.html).
Infatti Alessandro Lavezzo mi ha segnalato, sulla parte del "Settore
Finance", l'opportunità di aggiungere:
- regolamenti dell'European Banking Authority (EBA);
- regolamenti dell'European Payment Council (EPC);
- la direttiva sui servizi di pagamento (PSD2).
Inoltre mi ha segnalato che la Circolare 263 è stata abrogata e i suoi
contenuti sono stati riportati nella Circolare 285.
Lo ringrazio molto.
******************************************************
08- Privacy: nuove linee guida sui cookie
Monica Belfi degli Idraulici della privacy ha segnalato la pubblicazione delle
nuove linee guida sui cookie del 10 giugno 2021:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876.
Elenco qui i miei appunti:
- utile il riferimento al fingerprinting, attività di profilazione dell'utente
anche senza cookie;
- la classificazione dei cookie e duplice: tecnici o di profilazione; di prima
o di terza parte;
- per il consenso, lo scrolling non è normalmente idoneo, così come il cookie
wall se non permette una vera scelta in merito al tracciamento;
- la richiesta di consenso (banner o simile) non va normalmente ripetuta;
ammissibile se avviene dopo almeno 6 mesi dall'ultima (ultimamente stavano
girando voci sulla sua necessità; qui invece si parla di possibilità);
- ribadisce che l'opzione predefinita deve essere quella di non accettare il
tracciamento.
Nulla viene detto in merito ai cookie gestiti dall'estero, ossia quasi tutti,
vista la quasi onnipresenza di Google Analytics.
******************************************************
09- Privacy: adeguatezza
UK per il GDPR
La Commissione europea adotta decisioni di adeguatezza privacy per il Regno
Unito:
- https://studiolegalelisi.it/approfondimenti/protezione-dei-dati-la-commissione-adotta-decisioni-di-adeguatezza-per-il-regno-unito/.
L'articolo spiega già tutto e mi sembra che sia una soluzione che ci
semplificherà la vita a tutti.
Ringrazio Monica Belfi degli Idraulici della privacy per la segnalazione.
PS: la pagina della Commissione con gli aggiornamenti sulle decisioni di
adeguatezza è: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
******************************************************
10- Privacy e EDPB:
raccomandazioni per i trasferimenti extra SEE (versione 2)
L'EDPB ha pubblicato a giugno 2021 la versione 2 delle "Recommendations
01/2020 on measures that supplement transfer tools to ensure compliance with
the EU level of protection of personal data":
- https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en.
Ringrazio Chiara Ponti degli Idraulici della privacy per la segnalazione.
Leggendo, mi sono segnato alcune note che condivido (alcune ripetono cose che
scrissi dopo la lettura della versione 1 delle raccomandazioni).
- Al punto 13 specifica che permettere gli accessi da altri Paesi (per esempio
per il supporto dei sistemi IT) rappresenta un trasferimento al di fuori della
SEE. Questo amplia notevolmente l'ambito dei trasferimenti, in sostanza a tutti
i cloud provider. Questo dovrà essere opportunamente affrontato anche quando,
per i fornitori cloud, si specificano i data center in Europa.
- Al punto 18 ci ricordo, e ringrazio, che la lista delle decisioni di
adeguatezza è all'URL https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
- I punti 30 e 31 dicono cosa bisogna valutare prima di iniziare un
trasferimento extra SEE. Io continuo a pensare che pochissimi possono
affrontare questo tipo di analisi e quindi le PMI dovrebbero evitare ogni
trasferimento (tra Idraulici abbiamo convenuto per si potrebbe "sbagliare
in compagnia", usando i servizi degli OTT).
- Alcune misure sono difficilmente applicabili anche dai più grandi. A questo
punto, o si decide di "sbagliare in compagnia", o si dovrebbero solo
usare fornitori nello Spazio economico europeo.
- In Appendice C ci sono link per raccogliere elementi di analisi sui Paesi
dove trasferire i dati, ma nella realtà non sono proprio d'aiuto.
- Lo Use Case 7 (punto 96 e seguenti) tratta dei trasferimenti all'interno di
Gruppi. Si tratta di un aspetto problematico perché le filiali europee hanno
spesso difficoltà a farsi sentire presso le Case madri in UK o USA. Purtroppo
le raccomandazioni non accennano a questi problemi.
- I punti 105 e 106, in sostanza, suggeriscono di imporre all'importatore di
fare lui l'analisi di adeguatezza. Mi sembra abbastanza divertente perché, con
parole meno dirette, suggeriscono di scaricare il barile.
Ringrazio tutti gli Idraulici della privacy per aver dibattuto con me i punti.
Il CNIL ha pubblicato una mappa "Data protection around the world":
- https://www.cnil.fr/en/data-protection-around-the-world.
Immaginavo potesse aiutare per le valutazioni richieste da EDPB, ma in realtà
fornisce indicazioni non utili (solo accenni sulla normativa privacy in vigore nei
diversi Paesi e la presenza di un'autorità garante). Mi permetto di sperare nel
futuro.
******************************************************
11- Privacy, appIO e
polemiche inutili
In questo periodo sono state riportate sui giornali alcune considerazioni sulla
privacy che appesantisce o rallenta processi importanti. In particolare,
personaggi anche molto autorevoli e attenti hanno criticato il provvedimento
del Garante sull'AppIO, il cui uso è previsto per il certificato vaccinale.
Allora ho letto il Provvedimento del 9 giugno 2021 che è qui:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9668051.
Dalla lettura ho visto che il Garante aveva chiesto quattro cose:
- informare gli utenti sulle notifiche push e sui relativi trattamenti;
- permettere agli utenti di decidere se ricevere o meno notifiche push
(evitando però che siano attive di default);
- permettere agli utenti di decidere se attivare o meno i 12 mila servizi
disponibili (evitando che siano attivi di default);
- garantire la correttezza dei trattamenti in occasione dei trasferimenti a
Microsoft, Google (per tracciamenti e attività analitiche), Instabug e Mixpanel
(per analisi dei comportamenti degli utenti sull'app).
A me viene da pensare che la polemica è fuori luogo, visto che si tratta di
adempimenti di base, a cui un soggetto pubblico per primo dovrebbe prestare
attenzione. Tra l'altro si tratta spesso e volentieri di richieste per evitare
che gli utenti siano sommersi da notifiche non richieste, che la batteria
dell'apparecchio si esaurisca perché sono attive cose inutili o non richieste e
per ridurre il potere dei giganti di Internet nei nostri confronti. Vi
pare poco? Certamente è più importante garantire la diffusione del vaccino, ma
chi lo promuove non dovrebbe dimenticare anche altri aspetti.
Aggiungerei poi che si sta parlando di un'applicazione per
"monitorare" il COVID. Visto l'insuccesso della app Immuni, non credo
proprio che il ritardo (minimale, tra l'altro, visto che il tutto è stato
chiuso 10 giorni dopo) dovuto alle richieste del Garante sarà quello che ne
determinerà o meno il successo. Ricordo che l'insuccesso di Immuni fu dovuto
anche ai timori relativi alle possibili violazioni in materia di privacy (fino
ad arrivare a teorie cospiratorie) e quindi penso che questo atteggiamento
verso le richieste del Garante sia proprio quello che non ci vuole per
promuovere l'AppIO.
Ringrazio Pierfrancesco Maistrello per avermi confermato che il Garante aveva
contestato proprio i punti sopra elencati (avendo letto le polemiche ero molto
stupito che i problemi fossero solo quelli).
******************************************************
EONL