Firefox Monitor

Il browser Firefox, da sempre in prima linea per tutelare la privacy e la sicurezza dei propri utenti, ha reso disponibile una nuova funzione on-line: Firefox Monitor.

Si tratta di un servizio che consente di verificare se il proprio indirizzo di posta elettronica è stato oggetto di – pubblicamente dichiarati – data breaches.

Non è una novità, in quanto già da tempo altri servizi erano stati resi disponibili agli utenti, ad esempio haveibeenpwned; ritengo che coloro che sono particolarmente prudenti preferiranno adottare il servizio di Mozilla, che tra l’altro contiene una serie di consigli e servizi utili per mantenere in sicurezza i propri account.

Hotel e HotSpot WiFi

La sicurezza degli HotSpot WiFi di Hotel ed Alberghi è uno degli aspetti più trascurati nello scenario italiano.

Negli anni, siamo passati da un servizio a costo aggiuntivo ad un accessorio pressoché obbligatorio da fornire agli ospiti, a titolo gratuito; per questo, spesso non si ritiene utile investire in tale ambito, in quanto non porta utili tangibili.

Talvolta, nei nostri pernottamenti di lavoro in vari hotel, troviamo soluzioni che definire raffazzonate è eufemistico; in taluni casi, viene semplicemente consentito l’accesso alla stessa WLAN del router fornito dal provider internet, con tutta una serie di gravissimi rischi, incombenti sia a carico del gestore alberghiero che dei suoi clienti. In tale situazione, infatti, i dispositivi dei clienti non solo possono compromettere i devices dell’hotel ma anche quelli degli altri ospiti, in quanto possono comunicare tra di loro.

In relazione alla fornitura del servizio di connettività InterNet agli ospiti, sussistono varie normative e regolamenti, ivi compreso il Regolamento UE 679/2016; nella progettazione ed erogazione del servizio, occorre tener conto degli aspetti cogenti del GDPR e dei principi alla base della protezione dei dati personali, in particolare gli aspetti di minimizzazione, gestione del rischio, privacy by design – by default, misure di sicurezza e crittografia.

In relazione invece al famoso decreto Pisanu, pur essendo venuti meno gli obblighi di registrare i dati anagrafici e identificativi degli utenti e di monitorarne le sessioni InterNet, non mi sento di consigliare i proprietari di strutture alberghiere in tal senso, essendo sempre in capo ad essi la responsabilità di eventuali illeciti commessi da terzi nell’utilizzo delle proprie infrastrutture ITC.

Occorre quindi trovare “la quadratura del cerchio”; questa dovrà essere basata sulle specifiche caratteristiche della infrastruttura e delle esigenze della proprietà.


World Password Day

Oggi celebriamo la giornata modiale delle password (il primo giovedì del mese di maggio).

Oggigiorno le password mostrano sempre più la loro inadeguatezza a garantire la sicurezza degli accounts utenti e dei loro dispositivi; sistemi esposti in rete (e spesso abbandonati al loro destino) vengono compromessi tramite bot automatici che tentano combinazioni brute-force o attacchi a dizionario, spesso andati a bersaglio. Sono disponibili in rete gigantesche collezioni di password “reali” utilizzate da persone; tentandole tutte, quasi certamente si avrà accesso al sistema.

Nella maggioranza dei casi è sufficiente tentare le prime cento password più usate dagli utenti poco consapevoli.

Quantomeno è necessario adottare sistemi OTP; non che siano la panacea di tutti i mali, ma realizzano certamente un ulteriore livello di sicurezza.

Rimane imprescindibile il controllo dei log ed il blocco automatico di tentativi plurimi di accesso, oltre che una lunghezza e complessità adeguata della password; purtroppo tali password non sono assolutamente ricordabili a mente. Non vi consiglio neanche di memorizzarle utilizzando i vari servizi on-line; non fidatevi della insicurezza altrui, fatevi bastare la vostra.

Perchè aggiornare il sistema operativo?

Domanda ricorrente: ma perchè debbo aggiornare i miei rodati PC Windows XP, che funzionano benissimo, con l’ultima versione di Windows? Windows 10 non ci gira, quindi debbo anche riacquistare l’hardware!

Risposta: perchè spesso vengono alla luce gravissime falle nel sistema operativo, come questa a danno di Windows 7 32 bit – peraltro ancora aggiornato sino a gennaio 2020.

Ovviamente tutti gli OS Microsoft – ma anche tutti gli altri OS – che non siano più mantenuti ed aggiornati, non sono adeguati a mantenere in sicurezza gli eventuali dati personali contenuti nel sistema informativo.

A meno che non siate una banca e Microsoft vi offra ancora supporto – a caro prezzo – per Windows XP “Bancomat OS”.

Verifiche di Restore

Abbiamo messo in atto una fantastica procedura di backup, che salva i dati in due locazioni diverse ed inoltre nel cloud, per maggiore sicurezza.

Siamo assolutamente certi che qualunque cosa accada potremo superarla brillantemente.

Poi, un giorno, viene un consulente dataprotection e ci domanda se abbiamo mai effettuato delle simulazioni di ripristino dei sistemi, ipotizzando che i sistemi “live” siano morti e che ci siano rimasti solo i backup.

Il poveretto viene squadrato con un sorrisetto; la richiesta qualificata come eccessiva e non giustificata, e quindi nessuno si “prende la briga” di provare ad effettuare un restore (ma neanche verificare l’integrità degli archivi costituenti i vari backups).

Poi, un brutto giorno, accade quanto ipotizzato dal consulente ed assolutamente certificato dal MTBF – una semplice rottura di un hard disk, funzionante da 8 anni – e tutte le certezze vengono meno (insieme ai dati); i backups sono inservibili in quanto nessuno, in otto anni, si era mai accorto che la procedura creava degli archivi corrotti.

Un esempio di cosa può succedere, accaduto nel mese di gennaio 2019.

Continuiamo a pensare che le procedure di controllo sono tempo perso.

GDPR e 231

Abbiamo già detto che la protezione dei dati personali non è più (non lo è mai stato) produrre scartoffie che nessuno legge, conosce o applica; si tratta di implementare un modello di gestione.

Alcuni lo chiamano Sistema Gestione Privacy (S.G.S.), altri lo definiscono Modello Organizzativo Privacy (M.O.P.).

Per quanto mi riguarda, ritengo che la definizione “privacy” da tempo non sia più adeguata, ma occorra adottare la più rispondente “dataprotection“.

Putroppo per i non anglofoni, anche in questo caso il linguaggio inglese si adatta meglio a descrivere, con due sole parole, il concetto: DataProtection Model (l’acronimo potrebbe essere D.P.M.).

Quindi tutte le aziende che vorranno essere costantemente “compliant” al GDPR, dovranno adottare, ed esercire, un DataProtection Model, con i relativi collegamenti ai processi esistenti e la creazione di quelli necessari.

Dato che molte aziende hanno già adottato altri modelli organizzativi e/o sistemi di gestione (es. Gestione Qualità, Gestione Ambientale, Responsabilità Amministrativa delle Aziende, ecc.), ci sono diverse attività che si sovrappongono.

Il D.Lgs. 231/01 e Regolamento 679/2016 condividono il concetto di “valutazione del rischio”; in effetti essi risultano avere vari “punti di contatto”, tra i quali:

  • reati informatici;
  • trattamento illecito di dati;
  • software illegale;
  • whistleblowing;
  • in alcuni ambiti, sicurezza informatica.

Il D.Lgs. 231 è attualmente obbligatorio solo per le società quotate; in Senato è all’esame un decreto legge che ne estenderebbe l’obbligo alle società di capitali che abbiano avuto, in uno degli ultimi tre esercizi, un attivo patrimoniale non inferiore a 4.400.000 euro oppure ricavi non inferiori ad 8.800.000 euro.

Insieme ad altri colleghi esperti, abbiamo valutato l’opportunità di creare un modello integrato GDPR – D.Lgs. 196/03+101/18 – D.Lgs. 231/01; stiamo quindi lavorando su questo nuovo modello, che presto potrà essere adottato ed implementato dalle aziende italiane.