Uptime Institute ha pubblicato da poco la sua relazione annuale sulle interruzioni nelle infrastrutture digitali. Il rapporto analizza i dati recenti dell'Uptime Institute sull'andamento delle interruzioni di servizio di IT e data center: cause, costi e conseguenze.

Nell'immagine qui riportata il grafico con il sunto delle principali cause di interruzione.

Il rapporto in versione riassunta può essere scaricato da qui, mentre il rapporto completo è riservato ai membri del Uptime Institute

Il Garante per la Protezione dei Dati Personali ha pubblicato il 21 dicembre 2023 un provvedimento riguardante i servizi di posta elettronica che è stato molto discusso, tant'è vero che il 22 febbraio 2024, con altro provvedimento, la efficacia del primo è stata sospesa ed è stata indetta una pubblica consultazione.

La interpretazione più ragionevole che riusciamo a trovare del Provvedimento del Garante del 21 dicembre 2023 [9978728] è la seguente.
Il Garante fa riferimento solo ai sistemi di gestione della posta elettronica intesi come mail server che instradano i messaggi verso i destinatari, distinguendoli dai programmi software che tale posta la raccolgono e gestiscono. I primi sono servizi per più utenti e risiedono necessariamente su un server, i secondi sono utilizzati singolarmente, e possono risiedere sia su un singolo dispositivo (PC, tablet, smartphone) che sul cloud.
Evidentemente il Garante vede i due tipi di servizi come nettamente separati, e nel provvedimento si occupa solo del primo.
Intesi in questo senso, programmi e servizi di gestione della posta elettronica in effetti non hanno necessità tecniche di mantenere a lungo i metadati della posta già arrivata a destinazione. Al contrario, un programma di gestione della posta usato dal singolo utente conserva, e deve conservare, non solo i metadati ma anche gli stessi dati dei messaggi molto più a lungo, secondo le scelte della persona che usa tale programma.

Oltre alle necessarie competenze tecniche, l'attività di auditing nel settore della sicurezza delle informazioni (e non solo) presuppone delle capacità che genericamente possiamo chiamare di comunicazione. Non a caso nel programma per ottenere la certificazione auditor/lead auditor dei sistemi di gestione comprende una sostanziosa parte di comunicazione e comportamento.

A questo proposito si fa riferimento alle cosiddette soft skill, cioè a quelle qualità/capacità non prettamente tecniche ma utilissime sul lavoro. Segnaliamo due vecchi ma sempre attuali articoli su questo argomento di Ed Gelbstein:

https://www.isaca.org/resources/isaca-journal/issues/2015/volume-2/is-au...

https://www.isaca.org/resources/isaca-journal/issues/2015/volume-3/is-au...

L'European Data Act [titolo completo: REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828] è entrato in vigore dall'11 gennaio, anche se in realtà verrà applicato effettivamente dall'11 settembre 2025. A quel punto saranno interessati fino a 49 miliardi di dispositivi connessi e non dovrebbe entrare in conflitto con la protezione dei dati (in teoria, il GDPR ha sempre la precedenza).

Uno degli gli obiettivi di questa normativa è di dare a tutti i cittadini dell'Unione Europea e ad altre parti interessate l'accesso ai dati generati dai dispositivi elettronici, ad esempio lavatrici collegate in rete, orologi per il fitness, macchine agricole, aerei o robot industriali. Questo include anche i dati che un'auto moderna genera e fornisce continuamente al produttore.

L'idea positiva è che gli utenti dei dispositivi (ad esempio automobili o smartwatch) possono consentire ad altre organizzazioni, ad esempio un'officina indipendente, di accedere ai dati mediante un accordo di utilizzo dei dati.

La legge è ampia (50 articoli + 119 considerando) e complessa. Resta da vedere come verrà implementata.

La Commissione Europea ha formalmente riconosciuto gli Stati Uniti come un paese con protezioni e garanzie sufficienti sul trattamento dei dati personali (https://www.reuters.com/technology/eu-announces-new-us-data-transfer-pac...). Il provvedimento, preso a seguito alla emanazione in USA di un provvedimento esecutivo volto a limitare la raccolta dati da parte delle agenzie di intelligenze (https://www.justice.gov/opcl/executive-order-14086), dovrebbe risolvere una situazione di illegalità che si trascinava da alcuni anni.

Dubitiamo comunque che i provvedimenti presi dal Presidente Biden siano di fatto sufficienti ad equiparare la legislazione USA sul trattamento dei dati personali a quella europea. Ed infatti, Max Schrems annuncia già il prossimo ricorso.

Leggo a pag. 10 del libro Sicurezza delle informazioni di Cesare Gallotti: "In questo libro non uso il termine cybersecurity, in quanto si tratta della stessa sicurezza informatica, solo con un nume più suggestivo. Esso è tratto dal termine cyberspace, inventato da William Gibson nel 1986 nell'ambito della letteratura cyberpunk forse perché il termine internet non era abbastanza diffuso. [...] Negli anni in molti hanno cercato di giustificare l'uso dei termini cybersecurity e cyberspace in ambito scientifico, ma senza trovare una soluzione condivisa o rigorosa e, anzi, creando confusione e false aspettative. [...] In Italia, regnando la confusione, c'è chi ha tradotto cybersecurity con sicurezza cibernetica, non sapendo evidentemente cosa sia la cibernetica."

Tratto dalla Determinazione ACN 304-2022 del 18/01/2022, Allegato A2, Paragrafo 2.2.1, ID.AM-6 punto 3): "È nominato, nell'ambito dell'articolazione di cui al punto 1, un referente tecnico, e almeno un suo sostituto, in possesso di competenze tecnico-specialistiche nella materia della sicurezza cibernetica, per lo svolgimento delle funzioni di interlocuzione con il CSIRT Italia al fine della gestione degli incidenti aventi impatto sull'infrastruttura."

Più oltre (Paragrafo 3.1.1, ID.AM-6 punto 7, si parla di "gestione delle crisi cibernetiche".

No comment.

Il BSI (Bundesamt für Sicherheit in der Informationstechnik - Ufficio federale per la sicurezza informatica tedesco) avverte di una nuova truffa in cui i criminali utilizzano le carte di debito o di credito digitali delle loro vittime. Le carte sono memorizzate su smartphone o smartwatch e possono essere facilmente utilizzate per pagamenti in contanti. I criminali ottengono i dati bancari delle vittime tramite una pagina di phishing. Per poter utilizzare le carte, i criminali si fingono impiegati di banca e chiedono alle vittime di confermare un TAN push. In questo modo i criminali informatici hanno accesso alle carte e possono utilizzarle dal proprio dispositivo intelligente.

Si raccomanda (come peraltro sempre) di non cliccare sui link presenti nelle e-mail che si suppone provengano dalla propria banca e di accedere ai siti web delle banche solo inserendo l'URL e non tramite tali link.

Da oggi 19 gennaio 2023 la qualificazione dei servizi cloud per la Pubblica Amministrazione diventa di competenza dell’Agenzia per la Cybersicurezza Nazionale (ACN), che subentra all’Agenzia per l’Italia Digitale (AgID).

I dati e i servizi digitali delle amministrazioni pubbliche sono classificati, sulla base della loro caratterizzazione, nelle seguenti tre classi:

1. strategici, se la loro compromissione può determinare un pregiudizio alla sicurezza nazionale;

2. critici, se la loro compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza pubblica e il benessere economico e sociale del Paese;

3. ordinari, qualora la loro compromissione non determini i pregiudizi di cui alle lettere a) e b).

I servizi cloud per la Pubblica Amministrazione e le infrastrutture per fornirli prevedono quattro livelli di qualificazione, a seconda dei quali si possono trattare i vari tipi di dati. Le qualificazioni ottenute fino ad ora vengono prolungate al livello di qualificazione più basso fino al 18 gennaio 2024.

Dieci anni fa, l'11 gennaio 2013, moriva suicida Aaron Hillel Swartz. Una vita breve ma intensa, che ha lasciato un segno. Aaron era intelligente, curioso, programmatore eccezionale, sognatore, idealista fin quasi all'ingenuità, fragile. Sperava in un mondo migliore, nei pochi anni che ha vissuto si è sempre impegnato in prima persona per cambiarlo. Convinto della fondamentale importanza della libera circolazione delle idee e delle informazioni, della trasparenza nell'amministrazione, del software open source.

Lo ricorda un bel libro uscito l'anno scorso: Aggiustare il mondo. La vita, il processo e l’eredità dell’hacker Aaron Swartz, di Giovanni Ziccardi.