Nel Report GEPD interessanti indicazioni sull’utilizzo della DPIA da parte delle istituzioni UE

sabato, 05 Settembre 2020 / Pubblicato il Hacking

Qualche giorno fa il Garante europeo della protezione dei dati (GEPD) ha pubblicato un report su come le istituzioni, gli organi e le agenzie dell’UE (EUI) effettuano le valutazioni d’impatto sulla protezione dei dati (DPIA) per il trattamento di informazioni che presentano un rischio elevato per i diritti e la libertà delle persone fisiche.

Wojciech Wiewiórowski, GEPD dal 6 dicembre 2019, ha dichiarato: “Le valutazioni d’impatto sulla protezione dei dati sono uno dei nuovi e preziosi strumenti di responsabilità che le EUI usano quando trattano dati personali sensibili per misurare l’impatto e i rischi per le persone. Le DPIA aiutano anche a capire meglio come sta cambiando il trattamento dei dati nella pratica. Il nostro Report, insieme alle risposte ricevute dal nostro sondaggio, consentono al GEPD di fornire ulteriori orientamenti sulle DPIA conformemente all’articolo 39 del Regolamento applicabile alle istituzioni dell’UE”.

Nel febbraio 2020, il GEPD ha infatti condotto un’indagine per determinare in che modo le EUI utilizzano le DPIA dall’entrata in vigore del Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE), sicché la relazione del GEPD contiene gli insegnamenti tratti e le migliori pratiche da parte delle EUI.

La natura delle operazioni di trattamento per le quali vengono svolte le DPIA varia ampiamente con i motivi principali per condurre una DPIA come il trattamento di dati sensibili o altamente personali, dati personali trattati su larga scala o l’uso innovativo o l’applicazione di nuove tecnologie.

Come noto, il GEPD è l’autorità di controllo indipendente con la responsabilità di monitorare il trattamento dei dati personali da parte di istituzioni e organi dell’UE, uffici e agenzie, fornire consulenza su politiche e legislazione che incidono sulla privacy e cooperare con autorità simili per garantire una protezione coerente dei dati. La sua missione è anche sensibilizzare sui rischi e proteggere i diritti e le libertà delle persone quando i loro dati personali vengono elaborati.

Ecco alcuni punti salienti del Rapporto.

1. Numero di DPIA effettuate

Mentre la maggior parte delle EUI non ha finora finalizzato una DPIA ai sensi dell’articolo 39 del Regolamento, ci sono spunti di riflessione nelle 40 risposte ricevute su come hanno reagito le diverse EUI in situazioni comparabili. Un certo numero di EUI ha osservato che il loro primo DPIA era attualmente ancora in divenire (“diverse DPIA attualmente in esame”, “attualmente lavoriamo intensamente per finalizzare il primo DPIA da quando il regolamento è diventato applicabile “, “lavori in corso “).

Pochissime EUI (solo 4 su 39) hanno finora finalizzato più di due DPIA. È interessante notare che, mentre le EUI che conducono un numero maggiore di DPIA sono EUI relativamente grandi, non sono le più grandi.
Diverse EUI hanno affermato di aver condotto DPIA anche prima dell’entrata in vigore del Regolamento nel dicembre 2018.

Una EUI ha osservato che “tutte le nostre operazioni di trattamento che avrebbero richiesto una DPIA erano state autorizzate a norma dell’articolo 27 del regolamento (CE) n. 45/2001 (precedentemente in vigore) e attualmente nuove valutazioni in merito a tali operazioni non sono ritenute necessarie”. Secondo le linee-guida del GEPD, operazioni di trattamento che richiedono una DPIA e che sono state precedentemente verificate con un risultato positivo (con una procedura di follow-up chiusa, ove applicabile) beneficiano di un periodo di tolleranza di due anni, quindi nessuna DPIA è stata necessario immediatamente. Tuttavia, questo periodo di grazia terminerà alla fine del 2020.

2. Natura delle operazioni di trattamento per le quali sono state condotte DPIA

La natura delle operazioni di elaborazione per le quali finora sono state condotte DPIA è molto eterogenea, con aspetti citati più volte che vanno dal reclutamento, CCTV, dati medici, team building / formazione, eventi e sondaggi a soluzioni cloud e altri problemi IT, compresi aspetti di sicurezza. Le principali aree di business coperte sono quindi legate alle risorse umane e all’IT, il che era un risultato atteso data la varia natura del core business delle EUI. Tuttavia, alcune delle DPIA più elaborate sono state condotte su attività di core business delle EUI.

3. Criteri di cui all’articolo 39 per l’attivazione di una DPIA

Per ogni DPIA effettuata, le EUI sono state invitate a elencare i criteri (possibilmente multipli) che innescano una DPIA (sono possibili più aspetti):

In ordine di rilevanza, i criteri di attivazione più frequenti sono stati:

  • dati sensibili o dati di natura altamente personale = 26 volte indicati come trigger;
  • dati elaborati su larga scala = 26 volte;
  • uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative = 25 volte.

Questi criteri sono stati seguiti per rilevanza da:

  • dati relativi a interessati vulnerabili = 17 volte (uno riferito esplicitamente a un “Rapporto datore di lavoro / dipendente sbilanciato”);
  • valutazione sistematica e massiva di aspetti personali o attribuzione di un punteggio, inclusa profilazione e analisi predittiva = 10 volte;
  • monitoraggio sistematico = 8 volte;
  • impedire agli interessati di esercitare un diritto o utilizzare un servizio o un contratto = 6 volte;
  • set di dati abbinati o combinati = 5 volte;
  • processo decisionale automatizzato con effetti significativi legali o simili = 1 volta (sebbene, presumibilmente, senza alcun reale effetto giuridico o simile).

Altri aspetti che sono stati presi in considerazione dalle EUI al momento di decidere di condurre una DPIA includono, ad esempio:

  • test attitudinale fisico: “un tipo di trattamento che tenga conto della natura, dell’ambito, contesto e finalità del trattamento rischia di comportare un rischio elevato per i diritti e le libertà delle persone fisiche”;
  • DPIA sul codice di condotta per funzionari di alto livello: “Natura della persona interessata: la pubblicazione di tali dati potrebbe aver causato un danno alla reputazione o all’immagine del funzionario coinvolto.

4. Osservazioni dai testi completi delle ultime DPIA fornite

A seguito della richiesta di fornire il testo completo delle ultime due DPIA, il GEPD ha ricevuto un totale di 17 DPIA complete. Numerose EUI non hanno fornito il testo completo delle DPIA menzionate nel loro contributo, poiché queste DPIA non erano ancora state finalizzate (questo spiega la discrepanza tra DPIA condotte e DPIA fornite in full text).

Data la natura molto diversa delle operazioni di trattamento alla base di queste DPIA full-text e il loro numero limitato, in questa fase è difficile trarre conclusioni significative. Comunque, sono emersi i seguenti due aspetti:

5. Lunghezza dei DPIA forniti

Vi è una notevole varietà per quanto riguarda la lunghezza delle DPIA fornite, che varia da cinque a 55 pagine. La DPIA media è composta da poco più di 16 pagine. Data la varietà di argomenti e le diverse opzioni di formattazione utilizzate (qualsiasi cosa, dal testo completo alle tabelle Excel), questo è presumibilmente un indicatore debole. Tuttavia, data la necessità di un’analisi completa e di una valutazione dei diversi rischi per produrre una DPIA significativa, una soluzione di cinque pagine sembra comunque meno del necessario.

6. La nozione di “rischio”

La formulazione dell’articolo 39 del Regolamento non lascia spazio a dubbi: l’attenzione si concentra su “un livello elevato di rischio per i diritti e le libertà delle persone fisiche”. Questo atteggiamento mentale verso il rischio è uno dei grandi cambiamenti rispetto alle vecchie regole: pensa sempre a come il trattamento potrebbe influire su coloro i cui dati vengono elaborati. Cosa fa loro? In che modo influisce su di loro?

Sia se le cose vanno secondo i piani sia quando le cose vanno male. La visuale è quella delle persone interessate dal trattamento dei dati, non ad esempio il danno reputazionale o fisico alla EUI. Il documento di orientamento del GEPD fornisce un elenco di controllo, che può essere uno strumento per considerare tutti gli aspetti e dimostrare di aver pensato alle implicazioni sulla protezione dei dati del trattamento.

La sicurezza dei dati è parte integrante di queste considerazioni. È necessario trattare i dati personali in modo da garantire “sicurezza adeguata”. Ciò che è “appropriato” dipende dai rischi del trattamento (vedi anche l’Articolo 26 del regolamento) ed include misure sia tecniche che organizzative. In molti casi, bisognerà far riferimento alla propria documentazione generale sulla gestione del rischio di sicurezza delle informazioni (ISRM). Per ulteriori indicazioni, si vedano le linee-guida del GEPD sulle misure di sicurezza per il trattamento di dati personali.

Tuttavia, dato che i rischi per “i diritti e le libertà delle persone fisiche” devono essere valutati, vale a dire dal punto di vista delle persone interessate dal trattamento dei dati, l’esame non dovrebbe fermarsi qui. Ad es., per quanto riguarda l’uso delle termo-camere e la funzionalità di localizzazione automatica delle telecamere con inclinazione panoramica, il GEPD ha precedentemente sottolineato che i rischi rilevanti per la protezione dei dati (compresi quelli di sicurezza IT) dovrebbero essere identificati e quantificati in modo esauriente.

In realtà, tutti i diritti e le libertà di questi soggetti potenzialmente in pericolo dovrebbero essere puntualmente elencati e le misure che attenuano i rischi dovrebbero essere basate su queste considerazioni.

  • Esempio 1: una DPIA molto completa sull’uso dei dati sanitari per attività di comunicazione all’interno di un network si riferisce alla “vulnerabilità dei pazienti riguardo alla situazione causata dalle loro malattie rare: potenziali effetti a lungo termine dell’operazione di trattamento con effetto reputazionale sulla loro vita professionale.
  • Esempio2 : un modello DPIA invita il titolare del trattamento a rispondere alle domande seguenti:
    – “Questa operazione potrebbe ridurre la probabilità che le persone esercitino i loro diritti fondamentali (es. libertà di espressione, convinzioni …)? Per esempio. Quando si controllano le e-mail, se si controllasse il contenuto invece di controllare solo i dati sul traffico, ciò ridurrebbe la probabilità che le persone esercitino la propria libertà di espressione?” e
    – “Questa operazione di trattamento potrebbe comportare una discriminazione?”
  • Esempio 3: diverse DPIA affrontano la questione di quanto sia facile per gli interessati esercitare i propri diritti.
    Alcuni testi forniti, tuttavia, sembrano indicare che questo non è ancora completamente radicato nel processo DPIA presso le EUI. Ciò è supportato dalla seguente dichiarazione di un responsabile della protezione dei dati: “In generale il punto di vista dei rischi per gli interessati, non per l’agenzia. Quando si tratta di DPIA, la giustificazione basata sulle attività commerciali anziché adottare il punto di vista dei dati i soggetti dovrebbe essere il driver principale. Sfortunatamente, non è così. Inoltre, i rischi verso i “diritti e le libertà” delle persone interessate sono un concetto difficile da comprendere, poiché non esiste alcuna connessione immediata tra il trattamento dei dati personali e quanto negativamente esso potrebbe influire su diritti e libertà. Il trattamento dei dati è visto come qualcosa di etereo che non ha impatto diretto sulla vita delle persone interessate e, se invece avviene il contrario, si tratta solo di casi limitati in circostanze eccezionali”.
  • Esempio 4: sono state condotte una serie di DPIA sull’uso della CCTV da parte delle EUI con sedi situate su potenziali “rotte” di manifestazioni politiche (alcune peraltro identificavano i dimostranti come potenziale rischio per la sicurezza). Quasi tutti non menzionano nemmeno il potenziale impatto (enorme) che questa misura di sorveglianza potrebbe avere sulla libertà di espressione e riunione, sebbene quest’ultimo punto sia esplicitamente menzionato nelle
    – Linee guida GEPD per la videosorveglianza: “Deve essere effettuata una valutazione d’impatto … In caso di sorveglianza volta a garantire la sicurezza durante dimostrazioni… per assicurare che nella privacy e negli altri diritti fondamentali dei partecipanti “catturati” dalle telecamere, incluso, soprattutto, il loro diritto alla libertà di riunione, non si faccia intrusione in modo sproporzionato”, così come
    “A titolo di esempio, si pensi alla CCTV in un’area accessibile al pubblico al di fuori dell’ingresso dell’EUI e in che modo può influire sulle libertà di riunione e di parola in quel luogo”.
  • Esempio 5: la Risposta del GEPD a una consultazione formale sul monitoraggio dei social media condotto da un’EUI ha evidenziato tra l’altro i seguenti effetti:
    “…la diminuzione dello spazio “intimo” a disposizione delle persone, a seguito di inevitabile sorveglianza da parte di aziende e governi, ha un effetto agghiacciante sulla capacità e la volontà delle persone di esprimersi e formarsi relazioni libere, anche nell’ambito civile così essenziale per la salute della democrazia”;
    “Il filtro per lingua e parole chiave potrebbe portare a ipotesi di comportamenti di gruppo inaccurati” e quindi creare rischi di discriminazione di gruppo;
    “Il trattamento di dati personali dai social media – compreso categorie speciali di dati personali, dati personali di soggetti appartenenti a gruppi vulnerabili e dati personali potenzialmente correlati a accuse penali – crea rischi per i diritti e le libertà fondamentali delle persone, incluso i diritti alla protezione dei dati e alla privacy, ma andando ben oltre e potenzialmente fino al diritto di asilo”;
    – “Il possibile effetto agghiacciante sulla libertà delle persone interessate a esprimere la propria opinione e, possibilmente, la propria libertà di riunione e associazione e le implicazioni potenzialmente gravi di questo effetto devono essere tenute nella dovuta considerazione”.

Dal punto di vista generale, Il GEPD effettuerà indagini mirate come questa più frequentemente in futuro, in quanto rappresentano uno strumento importante per monitorare la conformità al regolamento (UE) 2018/1725, anche in considerazione della limitata capacità del Garante di controllare la situazione in un momento assolutamente “particolare”, quale quello che stiamo vivendo nel pieno della crisi COVID-19.

 

Articolo a cura di Sergio Guida

L’articolo Nel Report GEPD interessanti indicazioni sull’utilizzo della DPIA da parte delle istituzioni UE proviene da ICT Security Magazine.

ICT Security Magazine

Interset UEBA, una piattaforma integrata per il rilevamento delle minacce interne ed esterne tramite strumenti di Machine Learning

martedì, 01 Settembre 2020 / Pubblicato il Hacking

Con l’acquisizione di Interset – ufficializzata nel febbraio 2019 – MicroFocus arricchisce e diversifica la propria offerta di sicurezza per le aziende.
Riconoscendo la centralità, in ogni strategia di gestione del rischio informatico, di ecosistemi avanzati per l’analisi di sicurezza,  MicroFocus prosegue così nella propria missione dichiarata di “aiutare le aziende a ridurre il gap tra tecnologie esistenti ed emergenti, per abilitare un’innovazione veloce e sicura nel quadro della trasformazione digitale”.

Difesa da attacchi esterni

Il panorama attuale delle minacce informatiche include attacchi sofisticati, capaci di penetrare anche perimetri assistiti da solide difese. Basato su una vera piattaforma di big data, la soluzione Interset UEBA raccoglie e analizza ingenti quantità di dati per rilevare in maniera rapida e accurata – tramite strumenti di machine learning e Intelligenza Artificiale – potenziali attacchi, anche sconosciuti, minimizzando al contempo il problema dei falsi positivi frequentemente connesso alle analisi massive.

Fornendo un punteggio dei rischi per le varie risorse digitali si facilita inoltre il lavoro degli addetti alla sicurezza, consentendo loro una pianificazione oculata delle pratiche di cyber hygiene più opportune per ciascun contesto da proteggere.

Monitoraggio delle minacce interne

Il fattore umano rappresenta da sempre l’anello debole nella catena della cybersecurity: errori, disattenzioni, interessi economici o forme di risentimento contro i superiori o l’organizzazione di appartenenza possono portare i dipendenti a metterne in serio pericolo il patrimonio informativo, con conseguenze economiche, legali e reputazionali spesso disastrose. Per questo è necessario investire nell’Identity Governance, implementare password policies scrupolose e monitorare accuratamente gli account privilegiati. Ma queste accortezze non sempre si rivelano sufficienti.

Interset UEBA (User and Entity Behavioral Analytics) anticipa, per potenziarla, la soglia di protezione del perimetro aziendale. Unica piattaforma di Threat Detection a saper fornire un quadro completo delle minacce interne dal backend all’endpoint, individua ogni attività rischiosa o semplicemente anomala, per poi collegarla agli utenti coinvolti e presentare il contesto in un’interfaccia intuitiva e interattiva. Applicando le analisi comportamentali ai log delle applicazioni dei repository IP, si riducono drasticamente i problemi di visibilità del backend consentendo così di bloccare comportamenti dannosi – tipicamente, la compromissione di un account – prima che producano effetti, generando anche report scaricabili per facilitare le analisi post remediation e integrare di conseguenza i processi di incident response. Il tutto concorre all’ottimizzazione delle operazioni relative alla sicurezza e alla riduzione di costi, tempi e rischi connessi.

Una soluzione flessibile e facilmente scalabile

Il machine learning di Interset, che può essere condotto online o in situ, è in grado di adattarsi ai dati da analizzare e scoprire nuovi modelli senza ricevere alcuna istruzione umana: ciò ne consente l’integrazione in ambienti aziendali diversificati, rendendolo adattabile (e sempre modificabile nel tempo) a seconda delle diverse infrastrutture ed esigenze di protezione dell’organizzazione.

“Grazie al machine learning le attività di Correlazione e Sicurezza Preventiva o Prescittiva  sono decisamente potenziate, abilitando così una Security Intelligence evoluta.

L’Intelligenza artificiale porta le analisi a un livello di accuratezza superiore ed il modello Unsupervised di ArcSight Interset si distingue permettendo l’autoadattamento al mutare del contesto senza necessità di baseline di riferimeno più statiche e lente nell’affrontare nuovi scenari“

 

Scarica il Whitepaper per saperne di più: Download

 

 

L’articolo Interset UEBA, una piattaforma integrata per il rilevamento delle minacce interne ed esterne tramite strumenti di Machine Learning proviene da ICT Security Magazine.

ICT Security Magazine

Cybersecurity vs Internet delle cose. Quale scenario ci attende?

martedì, 01 Settembre 2020 / Pubblicato il Hacking

Mai come in questo momento storico c’è stata una trasformazione digitale così capillare. Lo chiamano Internet delle cose, ma forse sarebbe più coretto chiamarla Internet della vita. Sì, perché ogni oggetto, azione e pensiero presto sarà gestito e veicolato attraverso la rete Internet. Alcuni esempi? All’interno di un’abitazione ormai molte persone hanno il proprio termostato collegato a un’app e, dunque, raggiungibile dal proprio smarthphone. Tutti (o quasi tutti) abbiamo un’app che permette di collegarci ed effettuare movimenti attraverso il proprio conto corrente bancario.
Presto – anzi molto presto – questo proliferare di interconnessioni aumenterà vertiginosamente, arrivando a connettere praticamente tutto quello che ci circonda.

Ma l’internet della vita non si ferma solo nel quotidiano. Va molto oltre e riguarda, o riguarderà a breve, una serie di dispositivi “salva-vita” applicati in medicina come pacemaker, sonde, siringhe intelligenti, che saranno interconnesse via Internet. Per non parlare di tutta una serie di asset strategici tipici di tutte le nazioni quali porti, aeroporti, dighe o centrali energetiche (comprese quelle nucleari), che saranno sempre più interconnesse in una sola rete, ovvero la rete Internet.

Lo scenario è indubbiamente positivo, perché l’interconnessione di tutto quello che ci circonda permette un utilizzo più rapido, semplice ed efficiente, miglioramento quindi sensibilmente la qualità della nostra vita. Tutto molto bello se non fosse per il problema della sicurezza, o per meglio dire della Cybersecurity: perché se tutto questo presto sarà così capillarmente interconnesso, saranno invitabili scenari di grande incertezza per quanto riguarda la sicurezza delle informazioni e dei dati coinvolti. È necessario, quindi, sviluppare piani adeguati e risolutivi per prevenire e gestire gli accessi non autorizzati.

Basti pensare alle possibilità nefaste che un accesso non autorizzato presso una qualsiasi infrastruttura informatica potrebbe generare: parliamo ad esempio di server dati di tribunali o ospedali. E perché non ricordare che, già sei anni or sono (settembre 2014), la multinazionale FCA, guidata dal manager di origini abruzzesi Sergio Marchionne, fu costretta a richiamare un milione e quattrocentomila veicoli a causa di una falla informatica nelle centraline delle automobili, potenzialmente accessibile dall’esterno da persone non autorizzate e mentre l’auto fosse stata in marcia?

Bene, lo scenario futuro è ormai chiaro. Ma come ci proteggeremo dai possibili attacchi informatici e quali saranno i protocolli da adottare?

Internet non è un luogo sicuro

C’è un problema di fondo da non sottovalutare, anzi probabilmente è il problema più rilevante: la rete più famosa e utilizzata oggi nel mondo, ovvero la rete Internet, non è stata ideata per comunicare fra persone che non si fidano e non si conoscono. Questo non è un dettaglio da poco, anzi! La reteInternet infatti nasce per permettere la comunicazione fra alcune università americane; comunicazioni cioè fra soggetti che si conoscevano e che condividevano informazioni sicure, ovvero prive di software malevolo. Su questa stessa rete, oggi, seppur con protocolli di sicurezza e gestioni diverse, stiamo implementando l’interconnessione di tutti i nostri oggetti e servizi, anche i più i delicati come poc’anzi elencato. Volendo utilizzare un paragone, è come voler pretendere di entrare all’interno di un laboratorio pieno di agenti chimici estremamente pericolosi, farlo senza indossare alcuna protezione e ipotizzare che tutto andrà bene. Ovviamente, non andrà tutto bene. A meno che non vengano adottate opportune precauzioni.

Internet delle cose e cybersecurity, come difendersi?

Volendo evitare di entrare in trattazioni troppo tecniche, è chiaro che sarà necessario per evitare conseguenze disastrose causate dall’utilizzo dell’internet delle cose, procedere all’attuazione di processi e protocolli per garantire un utilizzo sicuro dei nostri servizi e dei nostri oggetti interconnessi. È un lavoro che dovrà essere svolto su più livelli e da tutti gli attori protagonisti. In particolare:

  • gli Stati dovranno definire le linee guida di attuazione, ovvero le regole di sicurezza che tutti i produttori di servizi dovranno rispettare con estrema attenzione. Qui sorge evidentemente la necessità di implementare un organo internazionale indipendente e autorevole di gestione e controllo, esattamente come oggi avviene per la gestione della sanità tramite l’OMS. È impensabile che ci possano essere protocolli e indicazioni diverse da paese a paese: tutti nel mondo dovranno rispettare gli stessi protocolli, la forma spinta di globalizzazione oggi presente nel mondo non lascia altra via d’uscita;
  • i produttori di beni e servizi interconnessi dovranno rispettare con attenzione tutte le prescrizioni fornite dagli organi competenti, fornendo quindi certificazioni sulla sicurezza in rete dei propri prodotti e servizi e fornendo, inoltre, la possibilità alle autorità competenti di accedere al proprio codice sorgente in un qualsiasi momento;
  • l’interconnessione e lo scambio dei dati dovrà avvenire con protocolli sicuri e cifrati, anche qui nel pieno rispetto di prescrizioni forniti dagli organi competenti;
  • le aziende di ogni dimensione dovranno attuare precise procedure di sicurezza informatica specifiche per lo scambio di informazioni in rete, con il supporto anche di specialisti esterni qualora all’interno non vi fossero le opportune competenze necessarie;
  • i registri delle operazioni di interconnessione (log) dovranno essere riclassati come asset di carattere strategico da parte delle nazioni, in quanto ogni processo di interconnessione dovrà fornire opportune tracce, limitando e combattendo la possibilità di connessioni bridge anonime su server “di rimbalzo”.

Naturalmente, anche l’utilizzatore finale potrà adottare una serie di precauzioni per limitare la possibilità di accessi abusivi. Ma qualsiasi buon comportamento è da ritenersi del tutto inefficace se il sistema di interconnessione (rete Internet) non verrà resa realmente sicura e affidabile. È da qui che si inizia a combattere la battaglia sulla sicurezza informatica dei prossimi 20 anni.

 

Articolo a cura di Raffaele Bisegna 

L’articolo Cybersecurity vs Internet delle cose. Quale scenario ci attende? proviene da ICT Security Magazine.

ICT Security Magazine

Smart Working e Cybersecurity: le problematicità di Zoom e delle piattaforme di videoconferenza

venerdì, 08 Maggio 2020 / Pubblicato il Hacking

A causa della pandemia di COVID-19 è avvenuta un’imponente riconversione nel mondo del lavoro. Al fine di garantire allo stesso tempo la continuità delle funzioni di aziende e pubbliche amministrazioni e il rispetto delle nuove norme di distanziamento sociale, molte entità si sono adoperate per permettere ai propri dipendenti di lavorare in modalità di smart working. Uno dei risultati di tale riconversione è stato l’incremento esponenziale dell’utilizzo di piattaforme di videoconferenza. Tra le piattaforme più popolari attraverso le quali enti pubblici e privati stanno conducendo i propri meeting online si contano Zoom, Cisco Webex, Skype for Business, Microsoft Teams e Google Classroom. Oltre a facilitare la riconversione del mondo del lavoro, l’aumento di traffico su queste piattaforme ha tuttavia inevitabilmente stimolato l’attenzione di hacker e attori malevoli intenzionati a trarre il maggior vantaggio possibile da questo nuovo contesto d’azione.

Nei giorni scorsi la piattaforma Zoom è stata presa ad esempio di questa dualità. Fin da prima dello scoppio della pandemia di COVID-19 la facilità di utilizzo dell’interfaccia della piattaforma aveva notevolmente contribuito al suo diffuso successo. Come molte altre start-up digitali, Zoom ha avuto il merito di mutuare la strategia commerciale introdotta agli inizi degli 2000 da Google: offrire un servizio straordinariamente semplice in grado di comprendere cosa voglia un utente e di fornirglielo immediatamente. Non stupisce quindi che nello scorso trimestre Zoom avesse già registrato una crescita dell’85% del suo fatturato annuo e un allargamento del 67% della sua base di utenti durante lo stesso trimestre[1].

A seguito dell’avanzare della pandemia, la pagina preposta al download del sistema di videoconferenza ha poi visto, nel solo mese di marzo, un incremento del suo traffico giornaliero del 535%[2]. Il potenziale valore della compagnia ha inoltre attirato investimenti sempre crescenti. La notizia circolata a fine marzo circa la sospensione messa in atto dall’ente statunitense preposto alla vigilanza della borsa valori, la U.S. Security and Exchange Commission, del trading di azioni della Zoom Technologies Inc. (ticker: ZOOM) è misura della crescente attrazione di nuovi investimenti da parte della piattaforma. Le vendite azionarie dell’azienda avevano infatti subito un incremento inusuale a causa di un errore degli investitori, intenzionati ad acquistare in realtà le azioni della piattaforma di videoconferenza Zoom Video Communications Inc. (ticker: ZM)[3].

Oltre a un cospicuo numero di investitori, il servizio di videoconferenza ha tuttavia attirato a sé anche l’attenzione di vari attori malevoli. Nello stesso mese di marzo è stato registrato un incremento del 2.000% di file dannosi contenenti “zoom” nel nome. Secondo una ricerca condotta dalla compagnia di cyber security Cyiax, dall’inizio della pandemia sarebbero circa 3.300 i nomi dominio registrati all’interno dei quali era presente la parola “zoom.” Di questi, 2.000 sono stati identificati come domini finalizzati al phishing[4]. Nello specifico, la creazione di tali nomi dominio è legata a campagne di ingegneria sociale attraverso le quali, tramite l’invio di messaggi mail targhettizzati, attori malevoli cercano di sottrarre informazioni personali, in genere di natura finanziaria, fingendosi degli interlocutori credibili. La stessa Cyiax ha inoltre scoperto la creazione di uno strumento, chiamato zWarDial, utilizzato da tali attori, che avrebbe permesso loro di individuare meeting non protetti da password.

Lo zoombooming, nuovo termine coniato da alcuni analisti di sicurezza informatica, è un ulteriore tipo di attacco cibernetico legato alla piattaforma e consiste nell’intrusione di hacker in meeting privati, o comunque di utenti estranei a una conversazione, i quali “bombardano” i partecipanti di messaggi di insulti, immagini pornografiche o altri contenuti indesiderati.

Le problematiche di Zoom non sono tuttavia legate esclusivamente all’ambito della sicurezza. Diverse obiezioni sono state sollevate relativamente al trattamento dei dati personali e alla salvaguardia della privacy messe in atto dalla piattaforma. A tal riguardo, tra le polemiche che hanno più infiammato il dibattito pubblico in queste settimane si conta quella della condivisione di dati con Facebook senza il consenso informato degli utenti, pratica oggi bloccata dalla piattaforma. I dati condivisi da Zoom comprendevano il tipo di dispositivo utilizzato dagli utenti, il sistema operativo, le dimensioni dello schermo e l’operatore mobile, nonché un identificatore univoco che le aziende avrebbero utilizzato per proporre annunci pubblicitari targettizzati.

In aggiunta, il Washington Post ha pubblicato negli scorsi giorni un’inchiesta secondo la quale migliaia di registrazioni di videoconferenze sarebbero state diffuse online, rendendo pubblicamente accessibili dati personali e strettamente confidenziali. Di fatto, alcune videoconferenze registrate tramite l’applicazione sono state posizionate in un archivio cloud, per accedere al quale non veniva richiesta alcuna password, che archiviava tutte le registrazioni sotto il medesimo nome identificativo, permettendo a chiunque cercasse tale identificativo online di accedere a una lista di circa 15.000 registrazioni omonime[5].

Ulteriori problematiche legate al trattamento dei dati da parte di Zoom sono insorte a seguito della pubblicazione di una ricerca dell’Università di Toronto che ha evidenziato come il sito di videoconferenza abbia fatto passare dati dei suoi utenti attraverso due suoi server localizzati in Cina, esponendo le riunioni coinvolte al rischio dello spionaggio da parte di Pechino[6]. Anche in questo caso, Zoom ha annunciato di aver risolto il problema e che l’utilizzo di server in Cina per la gestione delle conversazioni ha coinvolto un numero molto limitato di casi, quantunque l’apprensione circa il rischio di azioni di intelligence straniera a danno dell’azienda sia rimasta alta.

La piattaforma si è vista infine coinvolta in un’inchiesta condotta dal magazine The Intercept circa il mancato utilizzo di cifratura end-to-end, problema anch’esso risolto attraverso un aggiornamento delle policy dell’azienda. In questo contesto, al fine di rassicurare i propri utenti e investitori Zoom ha annunciato una serie di misure tra le quali la creazione dell’opzione “security”, che un host può selezionare in caso di intrusione in una videoconferenza privata di ospiti non riconosciuti; la rimozione del Meeting ID dalla barra degli strumenti dell’applicazione; e l’assunzione del ex CSO di Facebook Alex Stamos come consulente per la sicurezza[7].

Il tortuoso succedersi di notizie che ha visto coinvolto Zoom e la dinamica di rincorsa tra scandali e politiche correttive dimostra come le risorse preposte alla sicurezza cibernetica e al controllo della salvaguardia della privacy degli utenti siano ad oggi ancora largamente insufficienti. In aggiunta, il fatto che nelle ultime settimane la piattaforma sia stata così duramente attaccata lascia intendere non tanto che queste problematiche riguardino solo Zoom, quanto che queste siano insorte perché il sito è diventato un soggetto particolarmente sotto scrutinio. È anzi realistico pensare che, proprio alla luce dei vari scandali che l’hanno vista coinvolta, la piattaforma stia prendendo maggiori misure al fine di salvaguardare sicurezza e privacy di quanto non stiano facendo i suoi competitor.

Più che una caccia all’ “untore” di cattive pratiche, la vicenda che ha visto coinvolta la piattaforma Zoom dovrebbe quindi servire come monito riguardo alle vulnerabilità a cui sono esposti questi sistemi, e alla prontezza e ferocia con cui diversi attori sono disposti a servirsene. Risposte mirate a problemi mirati sono necessarie, ma non sufficienti: una maggiore cyber hygene degli utenti, nonché una risposta concertata a livello internazionale, appaiono dunque più che mai necessarie.

 

Note

[1] Jon Quast, Can Zoom Stay Focused on Happiness While It Grows Like Gangbusters?, The Motley Fool, 8 gennaio 2020. https://www.fool.com/investing/2020/01/08/can-zoom-stay-focused-on-happiness-while-it-grows.aspx

[2] Davey Winder, Zoom Isn’t Malware But Hackers Are Feeding That Narrative, And How: Zoom-Related Threats Up 2,000%, Forbes, 12 aprile 2020. https://www.forbes.com/sites/daveywinder/2020/04/12/zoom-isnt-malware-but-hackers-are-feeding-that-narrative-and-how-zoom-related-threats-up-2000/#3bce55af1ae5

[3] Jen Wieczner, ‘ZOOM’ stock halted after investors confuse it with Zoom Video stock, Fortune, 26 Marzo 2020. https://fortune.com/2020/03/26/zoom-stock-halt-zm-ticker/

[4] CYJAX INSIGHTS AND RESEARCH. https://www.cyjax.com/category/blog/

[5] Drew Harwell, Thousands of Zoom video calls left exposed on open Web, Washington Post, 3 aprile 2020. https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/

[6] Patrizia Licata, Zoom fa mea culpa: “Dati degli utenti inviati per errore in Cina”, CorCom, 6 aprile 2020. https://www.corrierecomunicazioni.it/privacy/zoom-fa-mea-culpa-dati-degli-utenti-spediti-per-errore-in-cina/

[7] Kate O’Flaherty, Zoom Security: Here’s What Zoom Is Doing To Make Its Service Safer, Forbes, 10 aprile 2020. https://www.forbes.com/sites/kateoflahertyuk/2020/04/10/zoom-security-heres-what-zoom-is-doing-to-make-its-service-safer/#720332bc30fc

 

Articolo a cura di Carolina Polito

L’articolo Smart Working e Cybersecurity: le problematicità di Zoom e delle piattaforme di videoconferenza proviene da ICT Security Magazine.

ICT Security Magazine

TISAX – La valutazione del livello di maturità della sicurezza delle informazioni nell’ambito automotive

venerdì, 08 Maggio 2020 / Pubblicato il Hacking

La Sicurezza delle Informazioni riveste un ruolo sempre maggiore all’interno delle organizzazioni, specialmente in alcuni settori produttivi. Proprio in questo senso la VDA (Verband del Autobilindustrie – www.vda.de/de) ha sviluppato un modello di valutazione della maturità della Sicurezza delle Informazioni dalle società che operano nell’ambito automotive.

La VDA Information Security Assessment (VDA ISA), diventata de facto standard di riferimento del settore, è oggi oggetto di un meccanismo di auditing e valutazione noto come TISAX (Trusted Information Security Assessment eXchange). Il TISAX nasce come meccanismo di scambio e di condivisione di informazioni tra gli operatori del settore automotive in merito ai livelli di sicurezza presenti delle organizzazioni.

L’Associazione ENX è l’organizzazione a cui la VDA ha affidato l’implementazione e il controllo del TISAX come autorità neutrale (una sorta di organismo di accreditamento) il cui compito è quello di interfacciarsi con gli Audit Provider e con i clienti che vogliono ricevere la valutazione TISAX e gestire la condivisione di queste informazioni tra gli enti.

Attualmente circa dieci fornitori di audit approvati dall’associazione ENX offrono valutazioni TISAX (https://portal.enx.com/en-US/tisax/xap/).

La figura seguente aiuta a capire le relazioni tra ENX (ente centrale), audit provider e soggetti TISAX.

Figura 1 – Relazioni tra ENX, Audit Provider e Partecipanti TISAX

Valutazione del livello di maturità – “TISAX Label”

È bene chiarire che non parliamo di una vera e propria certificazione ma di una valutazione del livello di maturità della sicurezza delle informazioni relative all’automotive gestite da un’organizzazione.

Al termine dell’audit viene rilasciata una “TISAX Label” indicante, secondo quanto descritto nella tabella seguente, il livello di implementazione dei controlli previsti all’interno della VDA-ISA:

Tabella 1 – Livelli di Maturità TISAX

Se al termine della valutazione dei controlli presenti all’interno della check list VDA-ISA (di cui parleremo a breve) il risultato calcolato sarà ad esempio un valore pari a 2, come mostrato nella figura seguente, sarà rilasciata per l’organizzazione una “TISAX Label” che indicherà che il livello di maturità e di implementazione dei controlli sulle informazioni automotive dell’organizzazione è “Managed”.

Figura 2 – Esempio di grafico riassuntivo di una valutazione TISAX

Scopo della valutazione

Differentemente da come siamo abituati per i Sistemi di Gestione, l’ambito di applicazione di una valutazione TISAX non può essere determinato dall’organizzazione ma deve forzatamente comprende tutti i processi e le risorse coinvolte nel trattamento di informazioni afferenti all’industria automobilistica. È possibile apportare due modifiche alla definizione dello scope: estendere il campo di applicazione della valutazione (al fine di avere maggior fiducia della sicurezza delle informazioni dell’organizzazione) oppure ridurre lo scope; in questo caso non è però possibile ottenere la “TISAX Label”.

Qualora un’organizzazione avesse più siti è possibile approcciare lo scope in due differenti modalità mutuamente esclusive:
I) considerare l’organizzazione come un’unica entità e quindi procedere ad un’unica valutazione ottenendo quindi una “TISAX Label” unica;
II) considerare ogni sito come entità assestante e quindi avere una “TISAX Label” per sito.

Questo secondo approccio può essere consigliabile nel caso di organizzazioni molto complesse che hanno necessità di ottenere la “Label” senza dover aspettare che tutte le sedi siano allo stesso livello di maturità. Infatti se una sola sede non raggiunge il livello desiderato, non si otterrà la “TISAX Label”. Ovviamente considerare ogni sito come entità assestante comporta costi e complessità di gestione superiori.

La VDA – Information Security Assessment (ISA)

Dopo aver analizzato a chi si applica la TISAX e quali informazioni rientrano nella valutazione del livello di maturità, arriviamo finalmente ad analizzare il cuore della TISAX che sarà poi la base per l’ottenimento della “TISAX Label”: la VDA-ISA.

La VDA-ISA è la check list di autovalutazione del livello di maturità dei controlli di sicurezza delle informazioni che ogni organizzazione del settore dovrebbe compilare.

L’excel scaricabile dal sito (https://www.vda.de/en/services/Publications/information-security-assessment.html) consta di differenti fogli, tra i quali un’Introduzione, la definizione dei livelli di maturità, un glossario, degli esempi di KPI e altre informazioni specifiche sul documento. I fogli principali sono i 6 centrali, nella “cover” troviamo tutte le informazioni che l’organizzazione deve inserire relativamente al suo ambito e allo scope dell’assessment mentre nel foglio “Result” potremo trovare il risultato della valutazione finale dopo aver valutato tutti i controlli previsti nei fogli:

  • “Information Security”,
  • “Connection to 3rt parties”,
  • “Data Protection” e
  • “Prototype protection”.

I controlli presenti all’interno dei fogli “Information Security” e “Connection to 3rt parties” sono speculari a quelli proposti dallo standard ISO/IEC 27002. Come già sottolineato in precedenza nella TISAX non si valuta solo se il controllo è applicato o meno, ma qual è il suo livello di maturità.

Per ogni controllo viene definito:

  • il controllo messo in forma di domanda a cui l’organizzazione deve rispondere;
  • l’obiettivo che ha il controllo;
  • i requisiti che:
    • devono essere inclusi;
    • dovrebbero essere inclusi;
    • potrebbero essere inclusi;
    • sono necessari in caso di “high protection”;
    • sono necessari in caso di “very high protection”.

Figura 3 – Esempio requisito VDA – ISA

Per ogni controllo è quindi necessario che l’organizzazione determini il suo livello di maturità, seguendo la scala 0 – 5 sopra definita. Tale autovalutazione sarà poi analizzata da parte del Audit Provider durante l’attività di audit di cui parleremo a breve.

Figura 4 – Esempio valutazione controllo VDA – ISA

Tipologie di audit

Per quanto abituati ai “classici” audit sui Sistemi di Gestione le modalità di audit previste per l’ottenimento della TISAX Label risulteranno atipici. Sono infatti previste tre tipologie di Assessment:

  • Livello 1 (AL 1): svolgono principalmente un ruolo di un’autovalutazione dell’organizzazione. Durante un AL1 viene valutata l’esistenza e la completezza del file di autovalutazione. Non viene analizzato il contenuto dell’autovalutazione e non sono richieste evidenze. Un AL 1 non prevede il rilascio di una “TISAX Label”.
  • Livello 2 (AL 2): in questo caso l’audit provider esegue un controllo di plausibilità della check list di autovalutazione (per tutte le sedi nell’ambito della valutazione). Le evidenze sono raccolte analizzando la documentazione e conducendo interviste generalmente tramite audio-conferenza. Su sua richiesta l’audit provider può condurre le interviste di persona. Un AL 2 prevede il rilascio di una “TISAX Label” con evidenza della tipologia di assessment effettuato.
  • Livello 3 (AL 3): per una valutazione con livello di valutazione 3 l’audit provider fa tutti i controlli come per una valutazione con livello di valutazione 2. Tuttavia, tutti i controlli saranno più completi e la verifica verrà effettuata in profondità in modo da esaminare in loco l’organizzazione al fine di ottenere tutte le evidenze dichiarate nell’autovalutazione.

Tabella 2 – Tipologie di audit

Per qualunque tipo di assessment il punto di partenza imprescindibile è che l’organizzazione abbia compilato da VDA-ISA facendo quindi un’autovalutazione. Lo scopo dell’assessment, in particolare per il livello 2 e 3 è quello di validare l’autovalutazione fatta dall’organizzazione raccogliendo evidenze a supporto dei livelli di maturità determinati dall’organizzazione.

TISAX VS ISO/IEC 27001

La tabella seguente riporta le principali differenze tra la ISO/IEC 27001:2013 e la TISAX.

Tabella 3 – ISO 27001 vs TISAX

 

Bibliografia

  • https://www.enx.com/tisax/files/downloads/TISAX-Participant-Handbook-current.pdf
  • https://www.vda.de/en/topics/safety-and-standards/information-security/information-security-requirements.html

 

Articolo a cura di Paolo Sferlazza

L’articolo TISAX – La valutazione del livello di maturità della sicurezza delle informazioni nell’ambito automotive proviene da ICT Security Magazine.

ICT Security Magazine