******************************************************
IT SERVICE MANAGEMENT NEWS
– APRILE 2021
******************************************************
Newsletter mensile con novità in materia di sicurezza delle informazioni, IT
Service Management, Qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza
Creative Commons Attribution 4.0 International License
(creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro
a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei
dati personali.
******************************************************
Indice
01- Stato delle norme ISO/IEC 270xx - Aprile 2021
02- Come sminuire il valore delle certificazioni
03- Rapporto Clusit 2021
04- Materiale di formazione su OWASP Top 10 per il web
05- App medicali e sicurezza
06- Minacce e attacchi: Il furto di dati personali da Facebook (e non solo)
07- Minacce e attacchi: Caso di SIM swap
08- Standard: EN 50518:2020 per i centri di monitoraggio
09- Not boring privacy
10- Privacy: Illegale usare un fornitore di servizi IT USA senza ulteriori
analisi
11- Privacy: Android e iOS inviano dati anche se non vogliamo
12- Privacy: Sulle sanzioni del Garante
13- Privacy: Risoluzione del Parlamento EU sull'applicazione del GDPR
******************************************************
01- Stato delle norme
ISO/IEC 270xx - Aprile 2021
Si è concluso il 14 aprile 2021 il meeting semestrale dell'ISO/IEC JTC 1 SC 27.
Si è svolto tutto in virtuale.
Come al solito indico le cose che a me hanno interessato di più.
Per i lavori collegati alla ISO/IEC 27001:
- la ISO/IEC 27002, sui controlli di sicurezza, sarà discussa a metà giugno e
si spera passi in FDIS e quindi sia pubblicata entro fine 2021 (ma penso che
più probabilmente sarà pubblicata a inizio 2022);
- proseguono i lavori sulla ISO/IEC 27005 sulla valutazione del rischio
(pubblicazione prevista per fine 2022);
- ripartiranno i lavori per aggiornare la sola appendice A della ISO/IEC 27001
in modo che sia allineata alla nuova ISO/IEC 27002 (si cercherà di seguire una
strada veloce, che prevede anche il fatto che la norma non cambierà edizione e
rimarrà quindi ISO/IEC 27001:2013);
- partiranno i lavori per aggiornare la ISO/IEC 27006-1 in modo che sia
progettata in modo da rendere meglio gestibili le altre parti (l'attuale
ISO/IEC 27006-2 e le eventuali future parti dedicate ad altri schemi di estensione
della ISO/IEC 27001);
- si è anche discusso dei lavori che dovranno riguardare alcune norme (p.e. la
ISO/IEC 27017) strettamente collegate alla ISO/IEC 27002.
Per quanto riguarda le norme sulla privacy, segnalo:
- la discussione sulla ISO/IEC 27006-2 (regole di accreditamento, e quindi di
certificazione, per la ISO/IEC 27701), perché si ha l'intenzione di riprenderla
in mano in modo da correggere alcune cose, migliorare il calcolo delle giornate
di audit e farla uscire come International standard e non più come TS entro
fine 2023; non penso che per noi italiani questo aggiornamento sia
particolarmente urgente, ma sembra che per altri Paesi lo sia e quindi dobbiamo
rispettare le loro esigenze;
- i lavori della ISO/IEC 27557 (Organizational privacy risk management), che ho
seguito per il dibattito su alcuni concetti interessanti e non per l'importanza
della norma.
- la prossima pubblicazione in autunno 2021 della ISO/IEC 27555 sulla
cancellazione dei dati personali.
Sicuramente avrò dimenticato qualcosa per colpa della fretta e me ne scuso con
tutti i lettori.
******************************************************
02- Come sminuire il
valore delle certificazioni
In questi giorni mi sono arrivate due segnalazioni sulle certificazioni. Allora
provo a scrivere due righe in merito (temo di aver inserito qualche
inesattezza, ma la sostanza è questa).
La prima me l'ha girata Fabio Guasconi di BlackSwan riguarda la certificazione
ISO/IEC 27037:
- https://www.csqa.it/Sicurezza-ICT/News/Digital-Evidence-ISO-IEC-27037,-CSQA-rilascia-il-p.
In realtà ci sono anche molti altri casi e il problema non è CSQA, che,
conoscendoli, hanno sicuramente fatto il loro lavoro con scrupolo e
correttezza, ma di Accredia, che deciso di inventarsi delle
"certificazioni estese" rispetto alla ISO/IEC 27001. Alcune di queste
estensioni sono previste da standard come le ISO/IEC 27017 e ISO/IEC 27018, che
hanno una parte di controlli scritti apposta per integrare una Dichiarazione di
applicabilità già prevista dalla ISO/IEC 27001. Purtroppo hanno deciso di
estendere questo meccanismo per tutti gli standard della famiglia ISO/IEC
27000, anche se non scritti con quell'intenzione e quindi usati e interpretati
male.
Accredia ha fatto questo perché alcuni fantasisti avevano chiesto, in bandi di
gara, certificazioni inesistenti come sulla ISO/IEC 27035. Però, così facendo,
Accredia non ha fatto un buon lavoro di regolamentazione del mercato, visto che
avalla un uso scorretto delle linee guida che, appunto, sono state scritte con
uno spirito diverso da quello previsto per uno standard di requisiti.
Se si ritiene necessario uno standard di requisiti per i laboratori di analisi
forense, allora sarebbe opportuno fare in modo che venga preparato ed elaborato
(magari inizialmente con il supporto di UNI e UNINFO per poi essere presentato
a livello internazionale), non inventarsi ciofeche che sembrano confermare il
mito degli italiani fantasiosi (anche a sproposito).
Ma Accredia non è nuova a certi colpi di fantasia, come abbiamo visto con il
regolamento sulla ISO/IEC 27701 (che verrà cambiato presto, con l'uscita della
ISO/IEC 27006-2) e altri requisiti bizzarri quando richiede competenze ITIL a auditor
di sicurezza (che è sempre bene avere, ma non obbligatoriamente).
La seconda me l'ha girata Paolo Sferlazza di Gerico e riguarda le
certificazioni personali:
- https://www.skillfront.com/ISO-IEC-27001-Information-Security-Lead-Auditor.
Questi almeno sono svizzeri. Si sono inventati i certificati auditor e lead
auditor ISO/IEC 27001 "veloci": con 70 Euro ti danno un libretto di
63 pagine (non l'ho visto, sarà anche fatto benissimo) e un audio libro di 58
minuti e poi ti puoi fare comodamente a casa l'esame con 40 domande a scelta
multipla.
Io sono convinto che sia un fastidio per alcuni farsi un corso di 5 giornate su
una materia che, magari, già conoscono. Io mi sono trovato in condizioni simili
con la ISO 22301 (in questo caso ho fatto l'esame del The BCI). Però ridursi a
un questionario di 40 domande (con rimborso se non si passa!) squalifica prima
di tutto il professionista che accetta questa offerta.
Chi chiede i "certificati LA ISO/IEC 27001" dovrebbe innanzi tutto
chiedersi se sono utili quando si cerca un consulente. Poi dovrebbe richiederli
emessi da organismi accreditati dagli enti previsti dal Regolamento europeo 765
del 2008 (a questo proposito, il sito di SkillFront dice che sono accreditati,
ma non si capisce da chi e, anzi, confonde un po' le cose mettendo la parola
"accreditamento" vicino a un "accreditamento" svizzero che
però è equivalente alla nostra registrazione di un'azienda alla Camera di
commercio).
Io continuo a pensare che dobbiamo chiedere il rispetto delle regole e ad
Accredia di svolgere gli opportuni controlli (visto che anche io pago Accredia,
essendo iscritto a due registri di persone certificate e accreditati proprio da
Accredia), però dobbiamo anche pensare che non vale la pena competere con
questi soggetti. Fatte le dovute proporzioni, è come se la Ferrari volesse
competere con la Tata. Io non posso equipararmi alla Ferrari e non voglio
offendere la Tata, però spero di aver reso l'idea.
******************************************************
03- Rapporto Clusit 2021
Come ogni anno, anche nel 2021 il Clusit ha pubblicato il suo rapporto:
- https://clusit.it/rapporto-clusit/.
I numeri, di per sé stessi, non mi entusiasmano molto, anche perché sono sempre
alti e, oltre una certa soglia, non dicono altro che "bisogna stare
attenti". Da questo punto di vista, il rapporto Clusit ogni anno trova un
messaggio nuovo e nel 2021 è "siamo sotto assedio".
Alcuni aspetti sono però degni di nota. Ovviamente le tipologie di attacco più
diffuse, che confermano il malware e il social engineering e quindi la
necessità di educare le persone a riconoscere ed evitare questi attacchi
(sempre più difficile, anche per la qualità sempre più alta delle email di
accompagnamento di questi attacchi).
Vedo che anche l'attacco BEC (Business email compromise) è molto diffuso e devo
dire che in questi anni l'ho sempre sottovalutato, ma nel 2020 un paio di miei clienti
ne sono rimasti vittima e quindi sbagliavo. Questo mi impone di proporre alle
organizzazioni per cui lavoro qualche forma di formazione su questo tema
(accetto suggerimenti). Ed ecco quindi che già questo rapporto Clusit si è
dimostrato per me molto utile.
Ho trovato anche molto interessante lo speciale sulla supply chain security,
altro argomento a mio avviso o sottovalutato o trattato molto male (vedo ancora
troppi questionari inutili che girano, come se potessero risolvere la
situazione).
Io ho segnalato gli argomenti che a me hanno interessato maggiormente, ma sono
sicuro che ciascuno troverà pane per i suoi denti e quindi ne raccomando la
lettura.
******************************************************
04- Materiale di
formazione su OWASP Top 10 per il web
Glauco Rampogna (questo mese mi ha fornito molte indicazioni interessanti!) mi
ha segnalato questo sito dove sono disponibili applicazioni interattive per
formazione delle OWASP Top 10 per il web:
- https://application.security/free/owasp-top-10.
Come dice Glauco, può essere usato "al posto di mille webinar a
pagamento". E in effetti ho trovato più indicazioni utili e approfondite
qui che nelle presentazioni che ho sentito finora, tranne una di Paolo Perego (https://codiceinsicuro.it/) ormai troppi
anni fa.
Io confesso di aver guardato solo la ricostruzione dell'attacco a Capital One
con un attacco SSRF e la "Vertical Privilege Escalation". Non ho
capito proprio tutto, ma penso proprio si tratti di un buon approccio per
spiegare ai non tecnici come me alcune possibili vulnerabilità e ai tecnici
come mitigarle.
******************************************************
05- App medicali e sicurezza
A metà 2017 avevo segnalato un articolo sul "futuro" regolamento UE
sui dispositivi medici. Poi il regolamento è stato pubblicato, ma non ho più
trattato l'argomento, anche se, in questi anni, ho collaborato in alcuni
progetti relativi ai dispositivi medici e all'attenzione che il nuovo
regolamento pone sulla sicurezza informatica.
Mi ha risvegliato Enos D'Andrea che ringrazio. Mi ha ricordato che il 26 maggio
2021 scade il termine per l'applicazione del regolamento europeo sui
dispositivi medici approvato nel 2017. La scadenza era inizialmente prevista
per l'anno scorso ed è stata posticipata di un anno causa COVID.
Il regolamento include anche requisiti di privacy e sicurezza per il software
con finalità diagnostiche, incluse le applicazioni che monitorano i parametri
di salute con finalità diagnostiche, che dovranno quindi obbligatoriamente
certificarsi. Complesso è capire la differenza tra app di fitness e mediche.
Innanzi tutto ricordo l'articolo "iniziale" che avevo segnalato nel
2017:
- https://www.filodiritto.com/app-medicali-e-nuovo-regolamento-ue-sui-dispositivi-medici.
Poi segnalo dove trovare il Regolamento aggiornato ad oggi (ultimo aggiornamento
del 23 aprile 2020):
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:02017R0745-20200424.
Quindi segnalo la "MDCG 2019-16 - Guidance on Cybersecurity for medical
devices":
- https://ec.europa.eu/docsroom/documents/41863.
Comunque io non sono esperto di questa materia, ma credo sia giusto tenerla
monitorata.
******************************************************
06- Minacce e attacchi: Il
furto di dati personali da Facebook (e non solo)
Glauco Rampogna mi ha segnalato questo articolo sul furto di dati personali da
Facebook:
- https://www.businessinsider.com/stolen-data-of-533-million-facebook-users-leaked-online-2021-4?IR=T.
Ormai questa è una notizia super nota e richiamata da tutte le testate giornalistiche.
Non mi sembra però di aver letto articoli tecnicamente significativi.
Tranne questo (sempre segnalato da Glauco qualche giorno dopo):
- https://www.reuters.com/article/us-facebook-data-leak/facebook-does-not-plan-to-notify-half-billion-users-affected-by-data-leak-idUSKBN2BU2ZY.
La cosa interessante è che Glauco ha cercato il mio nome e l'ha trovato con il
numero di cellulare. Ora... non mi sembra di averlo mai dato a Facebook. Mi sa
che l'ha reperito da WhatsApp e infatti sul profilo di Facebook il mio
cellulare non risulta disponibile. Quindi vuol dire che ha aggregato dati credo
senza una vera necessità. Ottimo...
Tra l'altro, in questi giorni ci sono stati altri attacchi (dati rubati a
LinkedIn, blocco dei servizi a Brescia per ransomware e del servizio Axios per
le scuole sempre per ransomware, analisi del Garante dell'incidente a Booking.com
a inizio 2019), però nessuno degli articoli che ho visto ci insegna veramente
qualcosa, tranne la necessità di stare attenti.
******************************************************
07- Minacce e attacchi:
Caso di SIM swap
Franco Vincenzo Ferrari di DNV mi ha segnalato questa notizia:
- https://www.infosec.news/2021/03/19/news/campanello-di-allarme/sapete-che-intesa-sanpaolo-ha-restituito-77-000-euro-ad-una-vittima-di-sim-swap/.
In breve, un cliente di Intesa Sanpaolo è stato vittima di un attacco SIM swap
(un tizio ottiene una SIM sostitutiva al posto del legittimo intestatario) e
successivamente di prelievi fraudolenti dal proprio conto bancario.
La cosa buffa, da quello che capisco, è che Intesa Sanpaolo ha risarcito il
cliente pur non avendo una reale colpa per l'attacco, visto che è stato un
centro TIM a consegnare una SIM senza i necessari controlli.
Attenzione che oggi, poi, le banche stanno sostituendo gli SMS con specifiche
app, che hanno maggiori livelli di sicurezza, almeno allo stato attuale delle
conoscenze, visto che la loro attivazione richiede una password.
******************************************************
08- Standard: EN
50518:2020 per i centri di monitoraggio
Monica Perego (Idraulici della privacy) mi ha segnalato l'esistenza della UNI
CEI EN 50518:2020 dal titolo "Centro di monitoraggio e di ricezione di
allarme":
- http://store.uni.com/catalogo/uni-cei-en-50518-2020/.
E' interessante perché propone requisiti per centri di due categorie: una più
robusta (la categoria I) e una meno (la categoria II).
Lo standard permette di certificare questi centri come prodotto, servizio o
processo (ISO/IEC 17065).
La versione in inglese (EN 50518:2019 "Monitoring and Alarm Receiving
Centre"):
- https://www.cenelec.eu/dyn/www/f?p=104:110:2529540743028801::::FSP_ORG_ID,FSP_PROJECT,FSP_LANG_ID:1257171,46163,25.
******************************************************
09- Not boring privacy
Un'iniziativa degli Idraulici della privacy è il canale Instagram
notboringprivacy:
- https://www.instagram.com/notboringprivacy/.
Io dico che mi sono iscritto a Instagram solo per seguirlo.
L'iscrizione però è inquietante e non la capisco: se inserisco la mia email (cesare@dominio.it), mi dice "Another
account is using cesare@dominio.it".
Allora gli dico che ho dimenticato la password e mi dice "No users
found". Boh...
Ma la cosa importante, dicevo, è che il canale raccoglie vignette amene sulla
privacy. Lo raccomando.
Anche perché si tratta di un'iniziativa degli Idraulici della privacy (e in
particolare di Glauco Rampogna).
******************************************************
10- Privacy: Illegale
usare un fornitore di servizi IT USA senza ulteriori analisi
Da una segnalazione di Pierfrancesco Maistrello (con supporto di Biagio
Lammoglia) degli Idraulici della privacy, segnalo questa notizia.
L'Autorità per la Protezione dei Dati bavarese (BayLDA) ha ritenuto che l'uso
dello strumento di newsletter Mailchimp da parte di una società tedesca
illegale in quanto Mailchimp potrebbe qualificarsi come "fornitore di
servizi di comunicazione elettronica" soggetto alla legge di sorveglianza
degli Stati Uniti.
Attenzione che il trasferimento era basato sulle clausole contrattuali tipo
(standard contractual clauses, SCC), ma l'azienda non aveva valutato se erano necessarie
ulteriori misure per assicurare la protezione dei dati dalla sorveglianza USA.
Una sintesi in inglese:
- https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV.
Questo varrebbe un approfondimento. Infatti dice che le SCC sono insufficienti
(e già si evinceva dalle linee guida EDPB). Ma un DPO o consulente medio (e
magari mediocre come me), come fa a fare analisi approfondite sulla possibilità
che i dati siano visti dalle agenzie di sorveglianza statunitensi? e quali
misure potrebbe mai mettere in campo?
Perché allora tanto vale dire che, per le PMI, è vietato trasferire i dati
negli USA in tutti i casi, visto che non possono permettersi valutazioni significative.
Poi ancora, mi pare che si limiti a una società usa con dati negli USA. Chissà
se si estende a società USA con dati in EU?
Contributi e segnalazioni sono ben accetti.
******************************************************
11- Privacy: Android e iOS
inviano dati anche se non vogliamo
E' stata pubblicata una ricerca in cui si dimostra che i dispositivi con
Android e iOS inviano molti dati a Google e Apple anche quando gli utenti li
configurano affinché non lo facciano:
- https://www.theregister.com/2021/04/01/android_ios_location/.
L'articolo segnalato riporta il link alla ricerca completa (in pdf) e le
risposte, sempre inquietanti, di Google.
******************************************************
12- Privacy: Sulle
sanzioni del Garante
Pierfrancesco Maistrello mi ha segnalato questo intervento di Guido Scorza,
membro del Garante privacy:
- https://www.youtube.com/watch?v=LEv1Z_IBk1k.
Me lo ha segnalato soprattutto perché dice che l'Italia è il paese UE con le
sanzioni più alte e, contemporaneamente, quello con meno notifiche di
violazioni. L'analisi è che i titolari si astengono dal notificare, pensando di
farla franca. Questo però comporta che l'autorità sia costretta, in molti casi,
a scavare per recuperare informazioni, cosa che comporta il reperimento di una
bella quantità di informazioni non sempre a vantaggio del titolare.
Di fatto, senza dirlo palesemente, suggerisce a tutti di essere onesti in ciò
che si notifica, tenendo conto che spesso loro sono informati ("dai
giornali, ma anche via whatsapp…") di certe situazioni.
Io però dico che forse si potrebbe ragionare in altro modo, ossia che proprio le
sanzioni elevate (più elevate che negli altri Paesi) sconsigliano ai titolari
di segnalare le violazioni, tanto più che, come ho già segnalato in precedenza,
i provvedimenti di sanzione fanno emergere un approccio basato sul principio
"se c'è stata violazione, vuol dire che le misure non sono adeguate e
quindi sei in difetto".
Io ovviamente non ho tutti i dati e forse i provvedimenti non chiariscono tutte
le analisi fatte e forse il rapporto tra causa ed effetto (ossia che le mancate
violazioni portano a sanzioni più elevate) è proprio quello indicato da Scorza
e non viceversa (ossia che le sanzioni elevati portano a meno sanzioni). Però
il dubbio mi rimane.
******************************************************
13- Privacy: Risoluzione
del Parlamento EU sull'applicazione del GDPR
Risoluzione del Parlamento EU sull'applicazione del GDPR
Glauco Rampogna (un Idraulico della privacy) ha segnalato la pubblicazione
della "Valutazione della Commissione sull'applicazione del regolamento
generale sulla protezione dei dati due anni dopo la sua attuazione" e la
"Risoluzione del Parlamento europeo" in merito alla valutazione della
Commissione:
- https://www.europarl.europa.eu/doceo/document/TA-9-2021-0111_IT.html.
Il testo è di 14 pagine (il link proposto riporta all'edizione italiana). Io
però preferisco riportare quello che mi ha segnalato Glauco.
Glauco segnala il punto 7:
esprime preoccupazione per il fatto che il "legittimo interesse" è
molto spesso citato in modo improprio come base giuridica del trattamento;
rileva che i titolari del trattamento continuano a basarsi sul legittimo
interesse senza effettuare il necessario esame del bilanciamento degli
interessi, che comprende una valutazione dei diritti fondamentali; esprime
particolare preoccupazione per il fatto che alcuni Stati membri stanno
adottando una legislazione nazionale per determinare le condizioni per il
trattamento sulla base del legittimo interesse, prevedendo il bilanciamento dei
rispettivi interessi del titolare del trattamento e delle persone interessate,
mentre il GDPR obbliga ogni singolo titolare del trattamento a effettuare tale
esame del bilanciamento a livello individuale e ad avvalersi di tale fondamento
giuridico; teme che alcune interpretazioni nazionali del legittimo interesse
non rispettino il considerando 47 e vietino di fatto il trattamento sulla base
del legittimo interesse; si compiace che l'EDPB abbia già avviato i lavori per
aggiornare il parere del gruppo di lavoro "Articolo 29"
sull'applicazione del legittimo interesse quale base giuridica per il
trattamento, al fine di affrontare le questioni evidenziate nella relazione
della Commissione.
e il punto 23:
si rammarica del fatto che il ricorso, da parte degli Stati membri, alle
clausole di specificazione facoltative (ad esempio, il trattamento
nell'interesse pubblico o da parte delle autorità pubbliche sulla base del
diritto dello Stato membro e dell'età del consenso dei minori) abbia pregiudicato
il conseguimento di una piena armonizzazione della protezione dei dati e
l'eliminazione di condizioni di mercato divergenti per le imprese in tutta
l'UE, ed esprime preoccupazione in relazione al fatto che ciò può far aumentare
il costo della conformità al GDPR.
Personalmente trovo particolarmente interessante il fatto che l'EDPB voglia
aggiornare l'opinione del WP Art. 29 del 2014 in merito al legittimo interesse,
in quanto basato sulla precedente Direttiva privacy.
******************************************************
EONL