Newsletter mensile di sicurezza delle informazioni, gestione dei servizi IT, qualità

******************************************************
IT SERVICE MANAGEMENT NEWS – FEBBRAIO 2021
******************************************************

Newsletter mensile con novità in materia di sicurezza delle informazioni, IT Service Management, Qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.

IT Service Management News di Cesare Gallotti è rilasciata sotto licenza Creative Commons Attribution 4.0 International License (creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.

E' disponibile il blog http://blog.cesaregallotti.it.

La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.

Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.

Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali.

******************************************************
Indice

01- Minacce e attacchi: Furto di dati con il lavoro da remoto
02- Minacce e attacchi: Attacco a un impianto idrico in Florida
03- Patent box
04- Perimetro di sicurezza: decreto sugli incidenti
05- CSA Cloud Controls Matrix v4
06- Password manager
07- Analisi dei vulnerability scanner
08- Disponibili gli interventi di DIG.eat 2021
09- Mio intervento il 18 febbraio 2021 su valutazione del rischio
10- Sugli schemi di certificazione per GDPR
11- Privacy (ma non solo): Linee guida EDPB sulla gestione degli incidenti
12- Microsoft Teams (e non solo) e la privacy
13- "Un piccolo libro sulla privacy, il GDPR e come attuarlo" e beneficenza
14- Libro su sicurezza delle informazioni e GDPR

******************************************************
01- Minacce e attacchi: Furto di dati con il lavoro da remoto

Questa notizia l'ho letta su Crypto-gram di febbraio 2021:
- https://www.schneier.com/blog/archives/2021/01/dutch-insider-attack-on-covid-19-data.html.

In breve: due persone sono state arrestate nei Paesi Bassi perché hanno venduto dati dai sistemi del Ministero della salute. Li raccoglievano scattando foto al proprio schermo.

Ovviamente questo sarebbe stato immediatamente rilevato in caso di lavoro in un ufficio con altri colleghi a guardare. Quindi questo caso può permetterci di considerare questa minaccia.

******************************************************
02- Minacce e attacchi: Attacco a un impianto idrico in Florida

Il SANS NewsBites segnala la notizia di un attacco a un impianto di trattamento dell'acqua in Florida. Uno degli articoli suggeriti è questo:
- https://www.zdnet.com/article/following-oldsmar-attack-fbi-warns-about-using-teamviewer-and-windows-7/.

Sembra che gli attaccanti abbiano sfruttato una cattiva configurazione di TeamViewer, usato dal personale dell'impianto per accedere ai sistemi con un'unica password condivisa. Nell'impianto erano usati anche dei pc Windows 7, ma forse non c'entrano con l'attacco.

Riassumo i commenti degli editor del SANS NewsBites perché mi sembrano decisamente interessanti. Li trovate al completo qui:
- https://www.sans.org/newsletters/newsbites/xxiii/12.

Ecco i commenti da me selezionati.
- Le applicazioni per il controllo remoto, come TeamViewer, dovrebbero essere configurati con credenziali personali per ciascun utente.
- Gli accessi da Internet dovrebbero basarsi sull'autenticazione a più fattori (TeamViewer lo permette e permette anche l'integrazione con altri sistemi di SSO).
- Se, nell'ambito degli impianti industriali, non è possibile aggiornare vecchi sistemi operativi (come Windows 7) allora questi vanno protetti con firewall.

Nulla di innovativo. Le misure da applicare sono sempre le stesse: qualcuno non le applica e comunque ripetercele non fa male.

PS: mi viene da pensare che è ormai quasi un anno che ci ripetiamo di mettere la mascherina. E' vero che inizialmente non c'erano le mascherine, ma adesso ancora troppi pensano di poterne fare a meno. Chi si occupa di sicurezza (delle informazioni, informatica, delle persone, eccetera) non può che ritrovare la ripetizione degli errori e delle superficialità.

******************************************************
03- Patent box

Fabrizio Monteleone del DNV Italia mi ha segnalato le agevolazioni fiscali dette "Patent box":
- https://www.mise.gov.it/index.php/it/incentivi/impresa/patent-box.

Le imprese possono avere agevolazioni fiscali per l'utilizzo di determinati beni immateriali (software protetto da copyright, brevetti industriali, disegni e modelli, processi, formule e informazioni relativi a esperienze acquisite nel campo industriale, commerciale o scientifico giuridicamente tutelabili). Questi beni devono essere dichiarati all'Agenzia delle entrate.

Io non capisco quasi niente di fiscalità, però mi pare di capire che, nel caso una valutazione del rischio dovesse considerare questi beni immateriali, essa dovrà essere in qualche modo allineata a quanto dichiarato all'Agenzia delle entrate.

******************************************************
04- Perimetro di sicurezza: decreto sugli incidenti

Del provvedimento in merito al perimetro di sicurezza nazionale avevo scritto a suo tempo:
- http://blog.cesaregallotti.it/2019/09/perimetro-di-sicurezza-nazionale.html.

Ora è in discussione il DPCM per la comunicazione degli incidenti da parte delle organizzazioni che rientrano nel perimetro. La bozza ("schema") è reperibile sul sito della Camera:
- https://www.camera.it/leg18/682?atto=240&tipoAtto=Atto&idLegislatura=18&tab=1#inizio.

Ringrazio Giancarlo Caroti per la segnalazione.

Non mi piace annunciare provvedimenti in bozza (e infatti non lo faccio quasi mai, nonostante ne riceva alcune volte notizia), ma questo merita alcune brevi considerazioni:
- acquista importanza lo CSIRT nazionale, a cui vanno comunicati gli incidenti;
- i tempi di comunicazione sono strettissimi e sono di un'ora per gli incidenti più gravi e 6 ore per quelli meno gravi; forse eccessivamente brevi per un'organizzazione che sarà impegnata nella loro chiusura;
- non viene detto da dove è stata ricavata la tassonomia degli incidente in allegato A ed è un peccato, visto che un riferimento autorevole ed esplicito era auspicabile;
- mi chiedo come questa tassonomia si integri con quella di ENISA per i fornitori di servizi eIDAS (https://www.enisa.europa.eu/publications/article19-incident-reporting-framework); non vorrei che troppe tassonomie tra loro scollegate facciano più male che bene;
- è richiesto che le informazioni sugli incidenti vengano comunicate a molti soggetti e penso che questa diffusione di informazioni sia rischiosa (anche se l'allegato C specifica le misure di sicurezza da prevedere per queste informazioni, bisogna dire che sono talmente generica da non essere significative);
- Il DPCM richiede anche esplicitamente ai soggetti inclusi nel perimetro di adottare le misure minime di sicurezza già previste da AgID.

PS: non annuncio più provvedimenti in bozza da quando, in epoche preistoriche, avevo annunciato la morte del DPS, poi annullata, e l'inserimento della privacy nel D. Lgs. 231, poi non avvenuto. Inoltre le bozze sono spesso modificate (come ha dimostrato il GDPR). Infine, i commenti possono aspettare l'approvazione definitiva dei provvedimenti, visto che sono sempre previsti dei tempi di adozione che lasciano il tempo anche per queste cose.

******************************************************
05- CSA Cloud Controls Matrix v4

La Cloud security alliance ha pubblicato il 20 gennaio 2021 la versione 4 della sua Cloud Controls Matrix v4:
- https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v4/.

Ho lavorato sulla versione 3 e l'ho trovata in alcuni punti non chiara, in altri inutilmente ripetitiva e in altri ancora (la maggior parte) utilissima e molto significativa. Non ho ancora letto la versione 4 e quindi non mi pronuncio.

Penso che, al di là dei suoi difetti, sia un documento fondamentale per chi si occupa di sicurezza informatica. Infatti è di alta qualità, autorevole e ampiamente riconosciuto. Oltre a ciò, su di esso si basa il porgramma STAR, una sorta di certificazione dei servizi cloud.

Ringrazio Antonio Salis di Engineering per avermi segnalato la novità.

Antonio mi segnala che hanno anche pubblicato due ulteriori documenti:
- Enterprise Architecture CCM Mapping (sulla versione 3.0.1): https://cloudsecurityalliance.org/artifacts/enterprise-architecture-ccm-v301-mapping;
- Enterprise Architecture CCM Shared Responsibility Model:
https://cloudsecurityalliance.org/artifacts/enterprise-architecture-ccm-shared-responsibility-model/.

Cito la email di Antonio Salis: "Questi propongono una mappatura dei controlli CCM secondo un modello di responsabilità condivisa per IaaS, PaaS e SaaS. Vorrebbero dare una vista delle responsabilità lato cloud con il dominio di controllo specifico (per il cloud provider o per il cloud user). Forse per evitare di aggiungere altre colonne al CCM e renderlo ancor più difficile da consultare, hanno gemmato due documenti, ma il risultato non è un esempio di chiarezza". Condivido.

******************************************************
06- Password manager

Segnalo questo articolo dal titolo "Gestione delle credenziali: un'analisi comparativa dei principali strumenti di Password Management":
- https://www.ictsecuritymagazine.com/articoli/gestione-delle-credenziali-una-comparazione-tra-i-principali-strumenti-di-password-management/.

Mi accorgo di non aver mai scritto alcunché sui password manager, ma sono strumenti oggi essenziali per gestire qualunque ambiente e pertanto vanno conosciuti.

******************************************************
07- Analisi dei vulnerability scanner

Segnalo questo articolo dal titolo "I migliori scanner di vulnerabilità per valutare la sicurezza di un'applicazione Web?":
https://www.ictsecuritymagazine.com/articoli/i-migliori-scanner-di-vulnerabilita-per-valutare-la-sicurezza-di-unapplicazione-web/.

Il titolo è forse più pretenzioso di quanto è il contenuto reale dell'articolo. Però è molto interessante vedere come nessuno dei 7 strumenti analizzati abbia identificato tutte le vulnerabilità.

Mi sembra che forse altri strumenti avrebbero potuto essere analizzati (i più noti sono Nessus e OpenVAS), ma mi sembra che l'analisi non avesse ambizioni di completezza, essendo stata condotta nell'ambito di una tesi universitaria.

******************************************************
08- Disponibili gli interventi di DIG.eat 2021

Segnalo che si è chiusa la manifestazione DIG.eat 2021.

Io ho tenuto un intervento, ma gli argomenti trattati sono molto vari e interessanti:
- https://anorc.eu/attivita/il-netflix-della-cultura-digitale-chiuso-il-dig-eat-2021-la-piattaforma-offrira-contenuti-gratis-e-on-demand.

Il difetto è che è necessario registrarsi per poter accedere ai contenuti. Però ne vale la pena.

******************************************************
09- Mio intervento il 18 febbraio 2021 su valutazione del rischio

Sono intervenut, per un tempo brevissimo con qualche riflessione sulla valutazione del rischio:
- https://www.linkedin.com/posts/coretech-s-r-l_cybersecurity-coretech-coretalks-activity-6767035215618555906-li0e.

Si parlerà di privacy e violazioni di dati personali.

******************************************************
10- Sugli schemi di certificazione per GDPR

Fabio Guasconi ha tenuto un interessante webinar il 12 gennaio per il Clusit e Osservatori (ringrazio poi Franco Vincenzo Ferrari di DNV GL per avermelo ricordato):
- https://www.osservatori.net/it/eventi/on-demand/webinar/isoiec-27701-certificazione-gdpr-approccio-oggi-domani-webinar.

L'evento è a pagamento. Io mi permetto solo di segnalare due cose che mi erano sfuggite sui lavori di standardizzazione per gli schemi di certificazioni previsti dal GDPR.

In poche parole, a livello CEN, ossia europeo, sono in discussione due standard per la certificazione prevista dal GDPR:
- uno basato sulla ISO/IEC 27701, che prevede un suo "raffinamento" per poterla usare con la ISO/IEC 17065 (come previsto dal GDPR) in ambito europeo;
- uno che prevede un nuovo standard basato sull'italiana PdR 43-2, non più limitata all'ambito ICT e più orientata alle PMI.

La previsione è di finire i lavori entro fine 2021. Poi, ovviamente, bisognerà vedere come saranno recepiti dall'EDPB, visto che questi sarebbero gli standard per le organizzazioni da certificare, ma vanno ancora creati gli schemi di certificazione con le caratteristiche degli organismi di certificazione e le modalità per verificare se gli organismi hanno le caratteristiche previste, le competenze richieste agli auditor, il calcolo dei tempi di audit, eccetera.

Nota. A chi mi parla della ISDP 10003 confermo la mia posizione. Abbiamo bisogno di standard di livello internazionale, scritti da organismi normazione riconosciuti, approvati con il consenso internazionale, appoggiati dall'EDPB e non da un'autorità locale (non è un caso se nessun Paese si è mosso autonomamente, almeno finora). Questo richiederà tempo, ma siamo vissuti bene dal 1995 senza alcuna "certificazione privacy" e possiamo continuare così pur di avere un buono standard.

******************************************************
11- Privacy (ma non solo): Linee guida EDPB sulla gestione degli incidenti

L'EDPB (la commissione dei garanti privacy europei) ha pubblicato le "Guidelines 01/2021 on Examples regarding Data Breach Notification" (grazie a Giancarlo Caroti di Neumus che me le aveva inoltrate qualche giorno fa):
- https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2021/guidelines-012021-examples-regarding-data-breach_en.

Per ora sono solo in inglese.

Non dicono nulla di nuovo a chi si occupa di privacy e sicurezza delle informazioni. Ma... lo dicono bene.

Innanzi tutto sono presentati 18 casi di incidente. Essi possono essere causati da alcuni attacchi (ransomware, intrusione in un sito web, copia di dati da parte di un interno, accesso non autorizzato da parte di un interno a causa di un errore di configurazione, perdita o furto di dispositivi IT, perdita o furto di documenti cartacei, invio di email o posta cartacea a destinatari sbagliati, furto di identità con attacco di social engineering, riconfigurazione malevola di un server di posta). Già qui abbiamo una sorta di lista di minacce da considerare perché significative.

Poi sono anche elencate le misure di sicurezza preventive raccomandate. Ripeto: nulla di nuovo, ma messo per bene.

Inoltre l'EDPB raccomanda la redazione di un "Manuale per gestire gli incidenti". E proprio il documento stesso, se utilizzato opportunamente, fornisce la base per una prima versione di questo manuale (proprio prendendo i casi riportati e personalizzando i relativi processi di "mitigazione e obblighi").

I casi sono accompagnati anche da considerazioni in merito alla necessità di notificare all'autorità garante e agli interessati l'evento.

Finalmente, dopo tantissimi documenti fumosi, che raccomandano le "solite" misure di sicurezza, un documento facilmente leggibile e pratico.

******************************************************
12- Microsoft Teams (e non solo) e la privacy

Glauco Rampogna degli Idraulici della privacy mi ha segnalato questo articolo dal titolo, un po' lungo, "I looked at all the ways Microsoft Teams tracks users and my head is spinning":
- https://www.zdnet.com/article/i-looked-at-all-the-ways-microsoft-teams-tracks-users-and-my-head-is-spinning/.

L'articolo è forse troppo emotivo, ma pone due problemi importanti. Il primo è quello della privacy e del controllo a distanza dei lavoratori. Dovrei capire meglio se e come le funzionalità di monitoraggio possano essere messe a disposizione dei manager, però dovrò approfondire la questione, visti gli impatti sulla privacy.

Il secondo tema è quello delle tecniche gestionali, che vorrebbero, erroneamente, essere quantitative. Come si chiede l'autore, il numero di messaggi inviati è veramente sintomo di una buona produttività (e, aggiungerei, non di inutile spreco di risorse)? Purtroppo il mito del management by objective continua a sopravvivere, nonostante fosse già stato criticato negli anni Quaranta da Deming (non un tizio qualsiasi).

Ovviamente le stesse considerazioni valgono per tutti questi strumenti che da una parte aiutano i lavoratori e le organizzazioni, ma dall'altra mettono a disposizione strumenti per controllare i lavoratori stessi.

******************************************************
13- "Un piccolo libro sulla privacy, il GDPR e come attuarlo" e beneficenza

Pubblicizzando il libro degli Idraulici della privacy "Un piccolo libro sulla privacy, il GDPR e come attuarlo", avevo detto che i ricavati sarebbero andati in beneficenza.

Mi sembra giusto dire come sono andate le cose.

Innanzi tutto abbiamo pubblicato la versione digitale su Streetlib e quella cartacea prima su Lulu e poi su Youcanprint (distribuisce in più posti rispetto a Lulu). Ovviamente non abbiamo potere contrattuale con queste piattaforme che quindi si sono tenute il loro margine.

In tutto al 31 gennaio abbiamo ricavato 1133 Euro. Metà è andata alla Fondazione Meyer (https://donazioni.fondazionemeyer.it/) e metà alla Parrocchia di San Stanislao a Roma che si occupa del supporto alimentare alle famiglie in difficoltà (soprattutto adesso con le difficoltà legate all'emergenza COVID).

Grazie a quanti hanno sostenuto, anche promuovendola, l'iniziativa.

******************************************************
14- Libro su sicurezza delle informazioni e GDPR

Chiara Ponti e Renato Castroreale pubblicheranno (a febbraio) un libro dal titolo "Il sistema integrato per la sicurezza delle informazioni ed il GDPR":
- https://www.epc.it/Prodotto/Editoria/Libri/Il-sistema-integrato-per-la-SICUREZZA-delle-INFORMAZIONI-ed-il-GDPR/4909.

Mi hanno chiesto di scrivere la presentazione e io l'ho fatto molto volentieri. Il testo, infatti, tratta di un argomento fondamentale, ossia, come dice il titolo, dell'integrazione delle attività relative alla sicurezza delle informazioni e al GDPR. Oggi sempre più organizzazioni stanno seguendo questo approccio, ma ancora troppe separano quasi completamente le due materie, spesso affidando la prima ai tecnici e la seconda ai legali, senza capire le tantissime relazioni reciproche e la necessità di avere un approccio interdisciplinare in ambedue.

A questo proposito ho ricordato come queste materie permettono di avere grandi soddisfazioni, soprattutto perché: 1) si ha l'opportunità di conoscere persone validissime e molto professionali con esperienze e competenze diverse; 2) questa diversità ci richiede di approfondire il rapporto; 3) alcune volte questo approfondimento sfocia nell'amicizia.

Concludo quindi ringraziando Chiara e Renato per avermi dato l'opportunità di riflettere su queste cose.

******************************************************
EONL