******************************************************
IT SERVICE MANAGEMENT NEWS – GENNAIO 2021
******************************************************
Newsletter mensile con novità in materia di sicurezza delle informazioni, IT
Service Management, Qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza
Creative Commons Attribution 4.0 International License
(creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro
a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei
dati personali.
******************************************************
Indice
01- Dig.eat 2021 (mio intervento il 18 gennaio 2021)
02- DFA Open Day 2021 (29 gennaio 2021)
03- Minacce e attacchi: Attacco a Leonardo S.p.A.
04- Minacce e attacchi: Attacco a SolarWinds
05- EU Cloud Certification Scheme
06- ENISA Artificial Intelligence Cybersecurity Challenges
07- EU National capabilities assessment framework
08- Webinar sulle nuove regole per i conservatori
09- Privacy: nuova pagina del Garante per notificare le violazioni
10- Privacy: GDPR e linee guida per lo sviluppo del CNIL
******************************************************
01- Dig.eat 2021 (mio intervento il 18 gennaio 2021)
Parteciperò al Dig.eat 2021 con una breve relazione sulla storia degli standard
e della normativa in materia di sicurezza delle informazioni.
Il Dig.eat sarà dal 18 gennaio al 12 febbraio e il mio intervento sarà proprio
il 18 gennaio (ore 15). In apertura, quando la gente non avrà ancora ben capito
che è partita l'iniziativa.
Mi sono divertito molto a fare il messaggio di invito (ne avevo fatti 3 ed era
previsto che ne selezionassero uno... invece...):
- https://www.linkedin.com/posts/anorc_digeat2021-digitalizzazione-activity-6749980650977144832-sCdZ.
Per iscriversi:
- https://anorc.eu/dig-eat/.
Difetto: per vedere il programma della manifestazione è necessario iscriversi.
******************************************************
02-
DFA Open Day 2021 (29 gennaio 2021)
Il 29 gennaio pomeriggio ci sarà il DFA Open Day:
- http://www.perfezionisti.it/open-day/dfa-open-day-2021/.
DFA è un'associazione che raccoglie consulenti, legali, esperti di privacy e
tecnici di digital forensics. Ne sono presidente da 2 anni e sono molto
contento di questa edizione. Spero parteciperete numerosi.
Io non tengo nessun intervento (tranne uno sconnesso balbettio che sono
costretto a fare in virtù del mio ruolo): sarà molto più interessante ascoltare
quelli degli altri.
******************************************************
03- Minacce e attacchi: Attacco a Leonardo S.p.A.
A dicembre è stato identificato un attacco a Leonardo S.p.A., azienda italiana
parzialmente pubblica e presente su molti progetti, inclusi quelli di difesa.
Glauco Ramponga degli Idraulici della privacy mi ha fatto inviato un buon link:
- https://reaqta.com/2021/01/fujinama-analysis-leonardo-spa/.
Ecco il super-riassunto di Glauco, che ringrazio.
ReaQta Threat Intelligence Team ha identificato il malware utilizzato in
un'operazione di esfiltrazione contro Leonardo Spa. L'analisi del malware, che
hanno soprannominato Fujinama, ne evidenzia le capacità di furto ed
esfiltrazione dei dati mantenendo un profilo ragionevolmente basso, nonostante
la mancanza di sofisticazione, principalmente a causa del fatto che il vettore
dannoso è stato installato manualmente da un insider.
Quindi il punto chiave è che si sia avverato il caso peggiore: un interno, con
responsabilità nella sicurezza informatica, ha installato software dannoso
nella rete che avrebbe dovuto proteggere.
Sandro Sanna mi aveva inviato un ulteriore link che riporta la notizia
dell'arresto di due possibili responsabili, che avevano l'obiettivo di reperire
informazioni relative ad un preciso progetto:
- https://www.startmag.it/innovazione/neuron-ecco-il-vero-bersaglio-dellattacco-hacker-a-leonardo/.
Ricordo che uno dei rischi delle valutazioni del rischio è la cosiddetta
sindrome di Fort Apache: si pensa che i "cattivi" siano tutti fuori,
mentre dentro ci sono solo i "buoni". Questo caso, veramente
significativo, ci ricorda di stare molto attenti.
******************************************************
04- Minacce e attacchi: Attacco a SolarWinds
A inizio dicembre è stato individuato un attacco verso il software SolarWinds
Orion, usato per la gestione delle reti. Questo software è usato in molte
realtà, in particolare presso i fornitori di servizi di sicurezza. La sua
compromissione ha permesso agli attaccanti di creare backdoor presso gli
utilizzatori. Sembra poi che forse altri software e servizi, non solo
SolarWinds Orion, sono stati compromessi.
Il mio riassunto è molto sintetico. Questo, in inglese, è un po' più
approfondito, anche se non troppo:
- https://www.darkreading.com/5-key-takeaways-from-the-solarwinds-breach/d/d-id/1339764.
Raccomando l'articolo di Bruce Schneier:
- https://www.schneier.com/blog/archives/2020/12/russias-solarwinds-attack.html.
La prima parte descrive in modo estremamente sintetico, da uno dei più noti
esperti di sicurezza informatica (che scrive anche benissimo, cosa molto rara)
il caso. La seconda parte è forse più "strategica" e per me meno
interessante.
Il primo articolo che ho segnalato permette anche di individuare utili lezioni
per tutti. Infatti, quando sono venuto a conoscenza dell'attacco, ho
inizialmente pensato che fosse importante, ma dimostrava solo che anche i
prodotti di sicurezza possono essere anch'essi vettori di attacco, ma questo lo
sapevamo già da parecchio tempo. Invece, ecco qui due delle lezioni proposte:
- gli strumenti di sicurezza e di gestione dei sistemi e della rete informatica
non dovrebbero essere tutti integrati in un'unica piattaforma;
- gli ambienti di sviluppo, non solo quelli di produzione, vanno considerati
critici per la sicurezza (ma anche questo lo sapevamo già).
******************************************************
05- EU Cloud Certification Scheme
Enisa ha avviato la consultazione pubblica per lo schema di certificazione di
sicurezza informatica per i servizi cloud (ringrazio Giovanni Francescutti di
DNV GL Business Assurance e Giancarlo Caroti di Neumus per avermelo segnalato):
- https://www.enisa.europa.eu/news/enisa-news/cloud-certification-scheme.
Ricordo brevemente che questo schema nasce per le certificazioni promosse dal
Cybersecurity act europeo. Questo Regolamento prevede quindi che ENISA proponga
degli schemi di certificazione per la sicurezza dei prodotti e servizi
informatici. Alcuni schemi sono già attivi (il più celebre è quello noto come
Common Criteria, ISO/IEC 15408), ma non sotto il cappello del Cybersecurity
act. Ad ora l'unico schema candidato e ufficiale e proprio questo per i servizi
cloud.
Va detto che lo schema non necessariamente si baserà sul modello già noto per
le certificazioni dei sistemi di gestione (ISO/IEC 27001, per intenderci), ma
richiede che ogni Stato membro indichi una NCCA (National cybersecurity
certification authority). Non mi risulta che in Italia sia stata ancora
indicata. Se però qualcuno ha notizie più aggiornate, gli chiedo di farmele
avere.
Per quanto riguarda questa bozza, ho analizzato soprattutto l'Annex A, con i
requisiti che devono rispettare i CSP (cloud service provider) che intendono
certificarsi. In generale mi sembra scritto male, con molte imprecisioni, ripetizioni
e anche cose decisamente discutibili. Vale comunque la pena leggerselo e
studiarselo per avere una buona idea dei requisiti che dovrebbero rispettare i
CSP.
Spero poi che la versione finale del documento sarà molto migliore di questa
bozza.
A questo proposito rimango perplesso su una consultazione pubblica di un
documento che ha molti punti dichiaratamente ancora in fase di elaborazione
(vedi Annex E e G).
Per quanto riguarda le modalità di verifica, ho letto le appendici senza la
dovuta attenzione e quindi è meglio che mi astengo dal commentarle.
******************************************************
06- ENISA Artificial Intelligence Cybersecurity Challenges
ENISA ha pubblicato il documento "AI cybersecurity challenges"
(grazie a Chiara Ponti degli Idraulici della privacy):
- https://www.enisa.europa.eu/publications/artificial-intelligence-cybersecurity-challenges.
Non avevo mai parlato di intelligenza artificiale perché è una materia che
ignoravo completamente. Adesso ne so qualcosa in più perché sto partecipando
(come correttore di bozze, vista la mia incompetenza) a un libro in materia che
uscirà a marzo. Così adesso ne so un pochino, almeno per evitare di annaspare
quando vedo l'acronimo IA (o AI) al di fuori dei film e dei libri di
fantascienza.
Devo dire, con sollievo, che gli autori della nostra pubblicazione avevano già
considerato i punti presentati da ENISA. Anzi, in alcuni casi forse ENISA va
troppo nei dettagli e ogni tanto si rischia di perdere di vista l'obiettivo
dell'analisi. Però ci sono cose molto interessanti e ne raccomando la lettura.
******************************************************
07-
EU National capabilities assessment framework
Claudio Sartor (lo ringrazio) mi ha segnalato il "National capabilities
assessment framework" di ENISA:
- https://www.enisa.europa.eu/publications/national-capabilities-assessment-framework.
Mi astengo dal commentarlo perché finora mi sono occupato di sicurezza per
organizzazioni private o pubbliche, non a livello nazionale. Però credo che
possa essere di interesse per molti.
In particolare, noto che il livello di maturità non è determinato dalla
quantità di documentazione prodotta e questo mi sembra un approccio migliore
rispetto ad altre pubblicazioni del genere.
******************************************************
08- Webinar sulle nuove regole per i conservatori
Di conservazione e delle nuove regole pubblicate da AgID avevo parlato a suo
tempo:
- http://blog.cesaregallotti.it/2020/09/nuove-linee-guida-agid-sulla-gestione.html.
Segnalo quindi questo webinar organizzato da ANORC in cui sono approfonditi
alcuni aspetti:
- https://www.youtube.com/watch?v=_E-gUQS1e_M.
Segnalo in particolare il secondo intervento di Patrizia Gentili di AgID, dal
minuto 44 al minuto 125, perché permette di capire le scelte fatte per le nuove
regole.
******************************************************
09- Privacy: nuova pagina del Garante per notificare le violazioni
Il Garante lancia un nuovo servizio online per la notifica di violazioni di
dati personali:
- https://servizi.gpdp.it/databreach/s/.
Interessante non solo la semplificazione della procedura (grazie al personale
del Garante, che dimostra sempre più, con il passare degli anni, di sapersi
interfacciare con le parti interessate), ma anche la procedura di
auto-valutazione.
******************************************************
10- Privacy: GDPR e linee guida per lo sviluppo del CNIL
Pietro Calorio degli Idraulici della privacy mi ha segnalato la pubblicazione
del "GDPR Guida per sviluppatori: La CNIL pubblica una GDPR guida per
sviluppatori". Essa è la traduzione italiana della guida che avevo già
commentato a giugno:
- http://blog.cesaregallotti.it/2020/06/gdpr-developers-guide-del-cnil.html.
Per chi volesse la versione originale in francese, in versione 1.0.1, è su
GitHub:
- https://github.com/LINCnil/GDPR-Developer-Guide/releases/tag/V1.0.
Le recenti versioni in inglese e in italiano sono anch'esse su GitHub:
- https://github.com/LINCnil/GDPR-Developer-Guide/releases/tag/V1.0.
L'attuale versione è decisamente molto migliore di quella che avevo letto a
giugno. Ancora una volta sono accennati molti elementi per la sicurezza dello
sviluppo e delle applicazioni e quindi le persone interessate dovrebbero
approfondirli con i link messi a disposizione. E', insomma, una lettura che
raccomando.
La guida è molto concentrata sul processo di sviluppo e sulla sicurezza
dell'ambiente di sviluppo, mentre i requisiti (funzionali e tecnici) da
considerare per le applicazioni sono molto pochi. Speriamo nelle prossime
versioni.
******************************************************
EONL