Minacce e attacchi, Perimetro di sicurezza e Agenzia per la cybersicurezza nazionale, privacy

******************************************************
IT SERVICE MANAGEMENT NEWS – SETTEMBRE 2021
******************************************************

Newsletter mensile con novità in materia di sicurezza delle informazioni, gestione dei servizi IT, qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.

IT Service Management News di Cesare Gallotti è rilasciata sotto licenza Creative Commons Attribution 4.0 International License (creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.

E' disponibile il blog http://blog.cesaregallotti.it.

La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.

Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.

Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali.

******************************************************
Indice

01- Attacco SolarWinds del dicembre 2020: una sintesi
02- ENISA Threat Landscape for Supply Chain Attacks
03- Misure del CSIRT per difendersi dagli attacchi ransomware
04- Sito No more ransom
05- Intelligenza Artificiale, proposto il nuovo quadro normativo europeo
06- Riservatezza e confidenzialità
07- Perimetro di sicurezza: DPCM 81 del 2021 su notifiche e misure di sicurezza
08- Agenzia per la cybersicurezza nazionale - Aggiornamento
09- Evoluzione normativa a supporto dell'Operational Resilience
10- Non rispondere ai troll
11- Privacy: Nuove clausole contrattuali standard per i trasferimenti all'estero
12- Privacy: FAQ sulle certificazioni

******************************************************
01- Attacco SolarWinds del dicembre 2020: una sintesi

Da Crypto-Gram del 15 settembre 2021, segnalo questo articolo dal titolo "SolarWinds and the Holiday Bear Campaign: A Case Study for the Classroom":
- https://www.lawfareblog.com/solarwinds-and-holiday-bear-campaign-case-study-classroom.

Scritto bene e interessante.

Purtroppo sembra che non sia ancora noto come abbiano fatto a compromettere i server di sviluppo del prodotto Orion. Saperlo, credo, ci permetterebbe di imparare una lezione importante.

******************************************************
02- ENISA Threat Landscape for Supply Chain Attacks

A fine luglio 2021, ENISA ha pubblicato un documento dal titolo "Threat Landscape for Supply Chain Attacks":
- https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks.

Lo segnalo perché al capitolo 4 e in appendice A sono riportate le descrizioni degli attacchi alle filiere di fornitura più noti. Ovviamente, può anche essere utile a chi vuole approfondire questo tipo di attacchi.

Le misure di sicurezza proposte, però, non mi sembrano assolutamente innovative. Si possono ricondurre tutte al "controlla bene i tuoi fornitori" (e d'altra parte ad esse sono dedicate solo 3 pagine).

Altra nota di interesse è il capitolo 6 dal titolo "Not everything is a supply chain attack": una paginetta che però serve a ricordarci di non concentrare l'attenzione solo su un tipo di attacco.

******************************************************
03- Misure del CSIRT per difendersi dagli attacchi ransomware

Glauco Rampogna degli Idraulici della privacy mi ha segnalato il documento del CSIRT dal titolo "Ransomware - Misure di protezione e organizzazione dei dati per un ripristino efficace":
- https://csirt.gov.it/contenuti/ransomware-misure-di-protezione-e-organizzazione-dei-dati-per-un-ripristino-efficace.

Lo ringrazio e però penso siano eccessivamente generiche per essere di vero aiuto.

Giusto per un esempio, la PR.DS-5 recita "Sono implementate tecniche di protezione (es. controllo di accesso) contro la sottrazione dei dati (data leak)". E il commento è: "Il fenomeno della double extortion è estremamente comune nei ransomware attuali, di conseguenza le tecniche di data leak prevention giocano un ruolo fondamentale nel contrasto a questo tipo di minaccia".

Quindi penso che queste misure siano espresse in modo troppo generico e, alla fine, non dicono alcunché. Peccato.

******************************************************
04- Sito No more ransom

Segnalo, dalla newsletter SANS NewsBites del 27 luglio, il sito web https://www.nomoreransom.org/.

Leggo che è disponibile in 37 lingue, mette a disposizione più di 120 strumenti per decifrare più di 150 tipi di ransomware.

Ci ho fatto un breve giro e ho trovato interessante anche il supporto fornito per riconoscere di quale ransomware si è vittime.

Ulteriore nota di interesse è la sezione "Prevention advice" (in italiano "Consigli sulla Prevenzione"), da leggere assolutamente.

******************************************************
05- Intelligenza Artificiale, proposto il nuovo quadro normativo europeo

Segnalo questo articolo di Altalex dal titolo (leggermente fuorviante, visto che il quadro normativo è al momento in fase di proposta) "Intelligenza Artificiale, il nuovo quadro normativo europeo" e sottotitolo "La proposta di Regolamento del Parlamento europeo e del Consiglio stabilisce norme armonizzate in materia di AI e modifica alcuni atti legislativi dell'Unione":
- https://www.altalex.com/documents/news/2021/05/20/intelligenza-artificiale-nuovo-quadro-normativo-europeo.

Non segnalo quasi mai interventi su proposte o bozze, ma penso che sia comunque opportuno cominciare a studiare il tema dell'intelligenza artificiale.

A questo proposito ricordo anche il libro (gratuito!) del Clusit dal titolo " Intelligenza artificiale e sicurezza: opportunità, rischi e raccomandazioni":
- https://iasecurity.clusit.it/.

******************************************************

06- Riservatezza e confidenzialità

A giugno, analizzando il DL 82 del 2021, avevo notato che era usato il termine "confidenzialità" al posto di "riservatezza". Su questo mi ha risposto Stefano Ramacciotti di (ISC)2 Italy Chapter e lo ringrazio.

Insieme abbiamo elaborato la seguente sintesi: una possibile spiegazione è che il termine "riservato" è usato nell'ambito delle classifiche di segretezza che indicano il livello di segretezza di una informazione contenuta in documenti, atti, cose, materiali, luoghi, ecc., e servono a limitarne la diffusione, circoscrivendo l'ambito di quanti possono venirne legittimamente a conoscenza al fine di tutelare la sicurezza dello Stato.

Per questo, quando si tratta di documenti che non hanno a che fare con la sicurezza dello Stato, talvolta, ma non sempre, si preferisce utilizzare un termine che non rientra nelle classifiche di segretezza. Infatti, per quanto riguarda le classifiche di segretezza, la corretta traduzione di confidential in italiano è riservatissimo e non confidenziale.

Per ulteriori informazioni si veda il Decreto del Presidente del Consiglio dei ministri 6 novembre 2015, n. 5 recante "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva". Il testo è stato successivamente modificato con le disposizioni contenute nel DPCM 2 ottobre 2017, n. 3. Qui viene spiegato che le informazioni classificate vanno da Riservato (Restricted), a Riservatissimo (Confidential), a Segreto (Secret) e a Segretissimo (Top Secret).

Da notare che altri, per esempio nei Paesi anglosassoni, sono meno precisi, visto che usano sempre il termine "confidential", sia nell'ambito delle classifiche di segretezza, sia in altri contesti.

******************************************************
07- Perimetro di sicurezza: DPCM 81 del 2021 su notifiche e misure di sicurezza

Avevo scritto a marzo della bozza di un DPCM relativo alle regole per notificare gli incidenti da parte delle organizzazioni che fanno parte del "perimetro di sicurezza nazionale cibernetica" e alle misure di sicurezza che devono applicare.

E' stato quindi approvato come DPCM 81 del 14 aprile 2021 (ma pubblicato in GU l'11 giugno):
- http://www.normattiva.it/eli/id/2021/06/11/21G00089/ORIGINAL.

Ringrazio Franco Vincenzo Ferrari di DNV per avermelo segnalato.

La lettura del DPCM è complessa perché sono presenti molti riferimenti ad altra normativa relativa al "perimetro" e non solo. Va però detto che gli approfondimenti sono necessari solo per le organizzazioni include nel perimetro, mentre le altre potrebbero ignorare completamente questo DPCM. Mi permetto però di segnalare che in Allegato B sono riportate le misure di sicurezza e ne raccomando vivamente la lettura anche a chi non lavora per organizzazioni all'interno del perimetro, ma comunque con significative esigenze di sicurezza.

A marzo avevo scritto che le misure di sicurezza erano riportate in altri documenti (lo avevo fatto con errori, segnalatomi da Giancarlo Caroti di Neumus, per cui avevo poi inviato un errata corrige). Nella versione definitiva del DPCM le misure sono riportate direttamente in un Allegato B e confesso di non aver verificato la loro aderenza ai documenti iniziali.

Però le ho lette e devo dire che mi hanno convinto e mi sembra che prevedano molti miglioramenti ad altri elenchi che avevo letto rispetto alle misure minime AgID e a quelle del "framework nazionale" (ancora una volta non ho verificato puntualmente, visto che non lo ritengo molto utile). Ovviamente ho visto alcuni refusi e ho notato alcune misure con impostazione vecchia o troppo burocratica, ma si tratta di poca cosa, se consideriamo che sono descritte in 13 dense pagine.

Aggiungo poi che le misure sono suddivise in due categorie (con fantasia indicate come "A" e "B") a seconda dell'urgenza con cui devono essere attuate. Anche questa indicazione può essere utile anche a chi non fa parte del perimetro.

A marzo avevo commentato soprattutto le regole relative alla notifica degli incidenti e le ribadisco qui, con qualche piccolo aggiornamento:
- acquista importanza lo CSIRT nazionale, a cui vanno comunicati gli incidenti;
- i tempi di comunicazione sono strettissimi e sono di un'ora per gli incidenti più gravi e 6 ore per quelli meno gravi; forse eccessivamente brevi per un'organizzazione che sarà impegnata nella loro chiusura;
- non viene detto da dove è stata ricavata la tassonomia degli incidente in allegato A ed è un peccato, visto che un riferimento autorevole ed esplicito era auspicabile (ho anche dei dubbi su alcune descrizioni di incidenti come quella troppo generica di "Perdita di confidenzialità o integrità", peraltro presente nella tabella degli incidenti "meno gravi");
- mi chiedo come questa tassonomia si integri con quella di ENISA per i fornitori di servizi eIDAS (https://www.enisa.europa.eu/publications/article19-incident-reporting-framework); non vorrei che troppe tassonomie tra loro scollegate facciano più male che bene;
- è richiesto (articolo 5) che le informazioni sugli incidenti vengano comunicate a molti soggetti e penso che questa diffusione di informazioni sia rischiosa (anche se l'allegato C specifica le misure di sicurezza da prevedere per queste informazioni, bisogna dire che sono talmente generica da non essere significative).

******************************************************
08- Agenzia per la cybersicurezza nazionale - Aggiornamento

Avevo scritto dell'istituzione dell'Agenzia per cybersicurezza nazionale con il DL 82 del 2021:
- http://blog.cesaregallotti.it/2021/06/agenzia-per-la-cybersicurezza-nazionale.html.

Stefano Ramacciotti di (ISC)2 Italy Chapter mi ha segnalato che il DL è stato convertito in Legge con la Legge 109 del 2021.

La Legge 109 apporta alcune modifiche al DL. Mi sembra che le più importanti riguardino i poteri dell'agenzia per sviluppare tecnologie di sicurezza e promuovere "corsi formativi universitari in materia" e ritengo siano molto interessanti. Ovviamente bisognerà vedere cosa succederà nella realtà, ma penso che l'iniziativa sia molto positiva.

Segnalo l'articolo di analisi di tutto il DL di Altalex:
- https://www.altalex.com/documents/news/2021/08/19/cybersecurity-convertito-legge-decreto-ora-parole-fatti.

Non è molto approfondito, ma permette di capire cosa prevede il DL, la cui lettura è certamente difficile.

******************************************************
09- Evoluzione normativa a supporto dell'Operational Resilience

Segnalo questo articolo di Laura Zarrillo dal titolo "On the Frontlines: Building Operational Resilience":
- https://iaonline.theiia.org/blogs/Your-Voices/2021/Pages/On-the-Frontlines-Building-Operational-Resilience.aspx.

La continuità operativa a questi livelli (e in particolare nel settore bancario e finanziario) non è propriamente il mio settore, ma penso sia comunque opportuno tenersi aggiornati su cosa sta succedendo.

In particolare qui ci sono riferimenti alla necessità di controllare meglio i fornitori, i fornitori cloud e i sub-fornitori, stabilire il livello di accettabilità più sugli impatti che sui rischi, porre attenzione al ruolo dell'intelligenza artificiale e del machine learning, omogeneizzare la classificazione degli incidenti.

Ci sono altri spunti di interesse in questo articolo e ne raccomando la lettura.

******************************************************

10- Non rispondere ai troll

Segnalo questo articolo dal titolo "Perché non dovresti mai rispondere ad un commento idiota su LinkedIn (e gli altri social)":
https://www.linkedin.com/posts/andreagiuliodori_social-community-troll-activity-6831912768891842560-isrC.

Ritengo che sia utile a chiunque fa attività di formazione e sensibilizzazione, visto che i troll non esistono solo sui social, ma anche nel mondo fisico.

Grazie a un link del mio amico Andrea Merico di Methos.

******************************************************
11- Privacy: Nuove clausole contrattuali standard per i trasferimenti all'estero

Il 4 giugno 2021, la Commissione europea ha pubblicato le nuove clausole contrattuali standard (standard contractual clauses, SCC) per itrasferimenti all'estero:
- https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.

Questo era dovuto anche perché i modelli precedenti del 2010 si basavano sulla Direttiva 95/46 e non sul GDPR.

Io insisto su un punto, ossia sul fatto che anche nel caso di trasferimenti tra titolari sono indicate le misure di sicurezza e quindi penso che debba essere previsto anche nel caso di trasferimenti tra titolari all'interno dello stesso Paese.

Segnalo che è interessante il fatto che, rispetto alle precedenti SCC che erano per trasferimenti da titolare a titolare o da titolare a responsabile, qui sono stati aggiunti i casi di trasferimenti da responsabile a responsabile e da responsabile a titolare.

******************************************************
12- Privacy: FAQ sulle certificazioni

Il Garante e Accredia hanno pubblicato le FAQ sulle certificazioni privacy:
- https://www.gpdp.it/regolamentoue/certificazione-e-accreditamento.

Non dicono nulla che i miei lettori già non sanno.

Io non le avrei neanche segnalate, ma mi ha convinto Nicola Nuti dicendomi che secondo lui "sono da prendere in considerazione perché perseguono l'obiettivo di far crescere le PMI nel rispetto delle cogenze "privacy", non sono teoriche ma specifiche".

A mio parere, queste FAQ hanno il difetto di non sottolineare il fatto che ad oggi non sono ancora stati approvati schemi di certificazione ai sensi del GDPR.

******************************************************
EONL