ius and bit

Ho aggiunto al blog una pagina con le principali risorse esistenti in rete sul fenomeno “Internet of Things” (IoT).

Proverò a tenere aggiornata la lista. I hope !

• 

Il 4 dicembre 2009 ho partecipato a Brussels al lancio ufficiale del Council di Internet of Things di cui faccio parte. Il Council è multidisciplinare ed è costituito nella forma del think-tank, del laboratorio sulle tematiche connesse all’Internet of Things.

L’evento è stato organizzato da Rob van Kranenburg fondatore e responsabile del Council e patrocinato da LIFT e da Thinker.it!

La location: l’evento e si è tenuto all’IMAL che è il Centro per le culture digitali e la tecnologia (Centre for digital cultures and technology).

Il programma: il programma (già illustrato in un mio precedente articolo) è stato abbastanza vasto sia sul piano dei relatori sia su quello dei contenuti. È stato necessario strutturarlo in una sessione mattutina con una serie di interventi, tra i quali quello dello scrivente; ha fatto seguito la sessione pomeridiana che è stata strutturata con ben 7 workshop contemporanei ciascuno su una tematica diversa. Al termine dei workshop c’è stata la presentazione della sintesi dei lavori di ciascuno di essi. Dopo la cena, una sessione serale. Di particolare rilievo è stato, a mio modesto avviso, il contributo di Gerard Santucci, Capo dell’unità D4 “Networked Enterprise & Radio Frequency Identification (RFID)” della Commissione Europea – DG INFSO (Direzione Generale Information Society and Media), che ha illustrato ampiamente le questioni relative alla tecnologia RFID in stretta connessione con il paradigma Internet of Things.

#gallery-1 { margin: auto; } #gallery-1 .gallery-item { float: left; margin-top: 10px; text-align: center; width: 33%; } #gallery-1 img { border: 2px solid #cfcfcf; } #gallery-1 .gallery-caption { margin-left: 0; } Ulteriori foto dell’evento scattate da Slava Kozlov di Summ()n sono disponibili su Flickr

Internet of Things: molto sinteticamente, ma non è certamente questa la sede più adeguata per descrivere il fenomeno, con questa espressione si fa riferimento ad uno dei nuovi paradigmi della rete Internet che è meglio conosciuto come Internet degli oggetti. Si tratta di una realtà virtuale, un ambiente – che ad avviso di molti già esiste – all’interno del quale assume un ruolo determinante la tecnologia RFID (Radio Frequency IDentificator). La tecnologia RFID funziona mediante microchip che trasmettono dati, a seconda di come vengono programmati da chi li realizza. Possono essere utilizzati per gli impieghi più vari, dalla catalogazione della merce di magazzino, alla sicurezza in genere, ecc. Il microchip, si è detto, trasmette delle informazioni che spesso vengono raccolte e gestite mediante la rete Internet. S’immagini ad un microchip che viene utilizzato per taggare (etichettare) un prodotto nel supermercato: in questo modo è possibile conoscere un qualsiasi momento quanti di quei prodotti ci sono, in quale scaffale fisicamente si trovano, ecc. L’interrogazione dei dati generati dai microchip RFID possono fornire una serie di informazioni su un determinato oggetto a seconda di come sia stato programmato il microchip RFID.

Approccio multidisciplinare: è sicuramente la soluzione vincente, tenuto conto che relativamente all’Internet of Things non esiste una specificità di competenze ma, al contrario, è necessario l’impegno di ciascun profilo professionale. Inoltre, l’interesse coinvolge diversi stakeholders, ovvero imprenditori, consumatori, associazioni, professionisti, organismi, ecc. Personalmente, ritengo che questo tipo di approccio alle tematiche dell’IoT sia ottimale, sempre che conduca ad uno scambio reciproco delle singole informazioni prodotte da ciascun professionista e/o stakholder con finalità di sviluppo del paradigma IoT.

Profili giuridici: il paradigma IoT non è esente dalla normativa sulla privacy. Il punto di partenza va individuato negli effetti sui dati personali che derivano dalla connessione tra un oggetto ed una persona. In particolare, al di là delle prescrizioni normative sulla informativa, l’utilizzo della tecnologia (che può essere RFID o altra) deve garantire l’assoluta sicurezza dei dati personali trattati specialmente qualora per il trattamento di tali dati sia impiegata la rete Internet. La dimostrazione dei principali rischi connessi con il paradigma IoT e con la tecnologia RFID può essere rappresentato graficamente con una matrice tridimensionale (utilizzata per l’intervento all’evento in questione). Al di là della privacy, evidentemente possono sussistere profili di responsabilità con riguardo agli aspetti in tema di sicurezza in generale (safety and security).

• 

Ho ritenuto di aderire a questa iniziativa con le motivazioni di chi guarda agli aspetti positivi che offre la rete Internet che va osservata ed utilizzata con rispetto. Il rispetto delle risorse della rete costituisce, di riflesso, il rispetto che noi meritiamo e che auspichiamo. La rete Internet è una risorsa preziosa e chi vive la rete sa e comprende a cosa mi riferisco.

Non intendo spendere altre parole sull’argomento, né aspirare al Nobel, ma lasciare lo spazio di riflettere su ciò che è stata Internet, su ciò che è attualmente e su ciò che sarà.

Se ritenete di condividere l’iniziativa potete visitare il sito internetforpeace e da lì eventualmente aderire e/o scaricare il manifesto che è presente in tutte le lingue.

• 

Oggi a Sharm El Sheikh, Egitto, è stato dato avvio al quarto  Meeting globale Internet Governance Forum.

L’agenda dell’evento è disponibile a questo link. E’ anche possibile seguire i lavori in live webcast e di seguito il channel 1 (ma ce ne sono 10 disponibili) sulla Main Session Room.

Divulgo, da fonte IGF Italia, le seguenti informazioni:

Nel preparare l’agenda  si sono identificati tre differenti tipi di formato per le sessioni del Forum: Tipo A: Argomenti sui quali risulta  difficile sia trovare una convergenza di vedute sia circoscrivere i problemi da analizzare. Per questi temi non vi è nessuna esigenza di tenere pannel o  speeches di introduzione piuttosto il tempo sara’  impiegato in discussioni aperte. Tipo B: Argomenti per i quali al momento si lavora su una raggiunta comprensione dei problemi, ma che necissitano di maggiore approfondimento. Per questi ci saranno pannel introduttivi seguiti da discussioni pubbiche. Tipo C: Argomenti per i quali si è già raggiunta ua visione condivisa sui principi e le azioni da prendere. Questi argomenti saranno affrontati in tavole rotonde che dovrebbero presentare le soluzion e buone pratiche. Managing Critical Internet Resources: I seguenti temi saranno certamente affrontati oltre ad altri che potranno essere aggiunti durante i lavori in aula. o Transition from IPv4 to IPv6 o The JPA, the IANA contract and the role of governments o The internationalization of critical Internet resources management o The importance of new TLDs and IDNs for development o Enhanced cooperation Security, Openness and Privacy: Gli argomenti includono: o       The respect for privacy as a business advantage; o       Identity theft, identity fraud, and information leakage. o       Web 2.0; o       Social networks; o       Cloud computing and privacy, e.g. control of one’s own data and data retention; o        Cultural and technical perspectives on the regulation of illegal Web contents; o Regulatory models for privacy; o Ensuring the open architecture of the Internet; o        Net Neutrality; o        Enabling frameworks for freedom; o       Ethical dimensions of the Internet. Access and Diversity: o       National and international regulatory issues; o  National and regional backbones; o       Infrastructure; o        Interconnection costs; o Enabling Internet Exchange Points (IXPs;) o      Modes of access and regulatory challenges; o     Safety and redundancy of access, e.g. cable cuts; o      Issues in mobile access; o       Multilingualism and IDNs; o       Access for people with disabilities. Internet Governance in the light of the WSIS Principles Questa sessione e’  sui principi del WSIS e sul mandato dello IGF. Si basera’ sul  Paragraph 72 i) della Tunis Agenda che indica come mandato dello IGF quello di   “promote and assess, on an ongoing basis, the embodiment of WSIS principles in Internet governance processes”. Questa sessione si terra’ nella forma di discussione aperta di Tipo A. L’ambasciatore Ianis Karklins, che coordino’ il processo preparatorio della seconda fase del WSIS , Anriette Esterhuysen della Association for Progressive Communications, e Bill Graham of ISOC sono i co-moderatori di questa sessione. Emerging Issues: Impact of Social Networks Questa e’ la sessione finale. Dedicata agli emerging issues. Il focus sara’ sulle policy. L’impatto delle social networks e’ il tema scelto per la sessione.

• 

Continuando gli articoli dei giorni precedenti, di seguito l’ultima parte delle 10 buone prassi secondo ENISA.

6. Visitatori

Tutti i visitatori devono essere registrati e firmare all’arrivo e all’uscita.

Tutti i visitatori devono essere muniti di un badge di riconoscimento che deve essere indossato in ogni momento, mentre stanno visitando l’edificio aziendale-

Seguire i visitatori attorno all’edificio aziendale per tutto il tempo. Lasciare vagare i visitatori per l’ufficio non è sicuro.

7. Rapporti circa la perdita e/o danni ai dispositivi portatili aziendali e incidenti

Riferire di perdita e/o danni ai dispositivi portatili aziendali (ad esempio cellulari, PDA o drive USB) del reparto IT della propria organizzazione.

Rapporto su ogni dispositivo portatile aziendale trovato al dipartimento IT della vostra organizzazione.

Segnalare qualsiasi violazione della sicurezza e/o di incidenti, anche se non siete sicuri.

Relazione su eventuali attività sospette sulla workstation e sulla inaspettata indisponibilità di un’applicazione, se avete ricevuto alcun avviso in anticipo dal vostro dipartimento IT.

8. Proteggere le informazioni al di fuori dell’organizzazione

Quando si è al di fuori dell’organizzazione, assicurarsi di conservare le informazioni sensibili e le attrezzature in tutta sicurezza per tutto il tempo per evitare il furto o la perdita. In particolare quando si è in luoghi pubblici gestire le informazioni con cura.

Siate consapevoli del fatto che qualcuno possa ascoltare la conversazione. Non mettere a disposizione di tutti informazioni riservate della propria organizzazione.

Quando si viaggia o si lavoro da un luogo remoto proteggersi contro chi si può impadronire di codici e password.

9. Rispettare le politiche aziendali di sicurezza e le procedure

Rispettare le politiche di sicurezza e le procedure aziendali.

Garantire la riservatezza, l’integrità e la disponibilità dei dati.

Rispettare I principi legali, come diritti d’autore, proprietà intellettuale, privacy e licenze software.

Se vedi i colleghi che agiscono in violazione delle policy di sicurezza e delle procedure aziendali, informa immediatamente I responsabili.

10. Fornire un feedback per affinare ulteriormente le soluzioni applicate e le politiche di sicurezza

fornire un riscontro per affinare ulteriormente le soluzioni applicate e le politiche di sicurezza.

Proponi l’acquisto di software aggiuntivo, se necessario, per svolgere le attività.

porre domande o formulare suggerimenti per migliorare le soluzioni e le politiche di sicurezza.

Fonte: ENISA

• 

Proseguo la pubblicazione del documento ENISA sulle 10 regole di buone prassi in ambito soprattutto aziendale. Di seguito le ulteriori regole:

3. Usare e-mail e Internet con attenzione

• non aprire e-mail ed allegati sconosciuti
• non fare clic sui link ipertestuali contenuti nelle e-mail sospette.
• inoltrare messaggi e-mail se opportuno. Pensa di eliminare la storia del messaggio prima di farlo.
• condividere documenti in formato PDF per garantire che i file non possono essere facilmente modificati.
• le informazioni riservate devono essere crittografate quando vengono inviate via e-mail.
• navigare in Internet con attenzione.
• non condividere le informazioni circa la tua organizzazione e i tuoi ruoli su siti di social networking.
• evitare di partecipare a blog in cui la vostra presenza e le vostre opinioni possono essere interpretati come quelli della vostra organizzazione.
• non scaricare documenti e materiale da parte di terzi non attendibili.
• non accedere, scaricare, archiviare o trasmettere qualsiasi materiale illegale o offensivo
• ricordate che la navigazione su Internet utilizzando la vostra workstation può essere tracciata

4. Uso di portatili aziendali: laptops, USB drives, cellulari e Blackberry

Laptops

• non installare o utilizzare software illegali e/o non autorizzati perché si compromettono i la sicurezza dei vostri dati e si viola la legge
• spegnere le connessioni wireless quando non necessario.
• collegare il vostro laptop alla rete della vostra organizzazione per aggiornare regolarmente i controlli di sicurezza
• fare il backup delle informazioni memorizzate nel laptop
• bloccare il vostro computer portatile quando si lascia la scrivania per andare a una riunione, se si fa una pausa e/o il pranzo
• non permettere ad altre persone di collegare i loro drive USB in un computer portatile, specialmente dives personali non sicuri
• non lasciare incustodito il vostro laptop.
• non lasciare il computer portatile in vista all’interno dell’auto

USB drive

• utilizzare un disco USB criptato
• limitare il numero di dati aziendali che si memorizzano sul drive USB, in particolare su drives personali non sicuri
• collega il drive USB al portachiavi/cordino per evitarne la perdita: la ridotta dimensione delle unità flash USB rende questi dispositivi più facili da perdere o essere rubati. Inoltre, la maggiore capacità di archiviazione aumenta la quantità di dati a potenziale rischio di accesso non autorizzato. Le unità flash USB di solito sono messi in borse, zaini, borse per laptop, giacche, tasche dei pantaloni o vengono lasciati incustoditi sulle workstation. Il numero di incidenti è aumentato di recente per drive USB persi, dimenticati, presi in prestito senza permesso o rubati
• invitare gli utenti a mettere il flash drive USB in modalità di sola lettura utilizzando l’interruttore fisico per evitare la trasmissione di virus: alcune unità flash USB includono un interruttore fisico per mettere l’unità in una modalità di sola lettura per evitare che il computer host scriva o modifichi i dati sul disco
• scansionare i flash drive USB, dopo la copia di file da una macchina sconosciuta e/o di non autorizzata per evitare trasmissione di virus
• prima di collegare il vostro disco USB nel computer di qualcun altro, eliminare tutti i file che non sono rilevanti per l’operazione da compiere
• informazioni di backup: siate in grado di recuperare i dati che risiedono su unità flash USB

Telefoni cellulari e BlackBerry

• spegnere le connessioni wireless (cioè Bluetooth e WLAN), quando non in uso. La tecnologia Bluetooth consente ai dispositivi elettronici di comunicare tra loro tramite un collegamento radio a corto raggio. Alcuni telefoni cellulari Bluetooth soffrono di bug software che portano alla pratica di Bluejacking e Bluesnarfing. Bluejacking è quando qualcuno invia un testo anonimo con la creazione di un messaggio per poi inviarlo a un altro cellulare Bluetooth attivato. Bluejacking può essere utilizzato per inviare messaggi indesiderati. Bluesnarfing viene utilizzato per copiare le informazioni personali, come ad esempio l’elenco dei contatti da un portatile all’altro.
• non lasciare il vostro cellulare o il Blackberry incustodito. In caso contrario, potrebbe portare alla perdita di dati

5. Gestire le informazioni con cura

• segnare qualsiasi documento con l’appropriato codice di classificazione
• proteggere i contenuti sensibili con una password per impedire a qualcuno la modifica o la loro eliminazione
• regola della scrivania pulita: non lasciare dati sensibili in giro. Smaltire con cura i documenti.
• non lasciare le informazioni sensibili in strutture per conferenze o sale riunioni comuni al fine di evitare la loro esposizione a chiunque utilizzi la stanza dopo di voi.
• stampa sicura: stampare, copiare e scansionare le informazioni solo se necessario. Ricordatevi di raccogliere il documento di output dalla stampante
• distruggere sempre i documenti contenenti informazioni sensibili e/o la dicitura “riservato”
• non conservare tutte le informazioni sul disco locale.
• assicurarsi che gli eventuali terzi che lavorano con voi abbiano firmato un accordo di non divulgazione prima di fornire tutte le informazioni sensibili

Pubblicherò l’ultima parte domani.

Fonte: ENISA

• 

ENISA è l’acronimo di European Network and Information Security Agency e tra le varie attività svolte viene anche coordinata una Awareness Raising Community.

La AR Community è un gruppo internazionale di cui fanno parte gratuitamente esperti che hanno interesse ad impegnarsi nella sensibilizzazione alle tematiche della sicurezza. Sono membro di questa AR-C e partecipo alle attività che vengono proposte.

Recentemente, nel mese di luglio di quest’anno, è stato pubblicato un documento che costituisce una buona guida come best practice in materia di security. Ritengo utile, anche nell’ottica dell’awareness raising, di divulgare queste 10 regole a step. Pertanto, adesso indicherò soltanto la prima parte che riguarda i punti 1 e 2.

1. Uso delle password

La password è l’equivalente della serratura della tua casa su Internet. Le password sono la migliore defence e attraverso un buon uso delle password si potrà tenere al sicuro l’identità e le informazioni riservate e sensibili.

Usare una password forte

• La password del tuo computer è la chiave per accdere a tutte le informazioni — entrambe aziendali e personali — che hai registrato sul tuo computer e sugli account online. Usare una password forte per proteggere i tuoi dati: usare almeno otto caratteri; combinare lettere (maiuscole e minuscole), numeri e simboli. Maggiore è la varietà di caratteri che hai nella tua password, più è difficile da indovinare. Non usare informazioni personali – nome, il nome del bambino, la data di nascita, ecc – che qualcuno potrebbe già conoscere o ottenere facilmente e cercare di evitare parole comuni: alcuni hacker utilizzano programmi che provano ogni parola nel dizionario.

Cambiare regolarmente la password

• Se credete che il vostro sistema sia stato compromesso modificate le password immediatamente.

Tenere la password segreta

• La tua password è unica e non deve essere condivisa con nessuno.
• Laddove possibile, cerca di imparare le tue password a memoria. C’è una strategia per memorizzarle.
• Se scrivi le tue password in basso, stai attento a dove vengono memorizzate. Non lasciare trccia delle tue password da nessuna parte.

Usare password differenti

• Utilizzare password diverse per ogni account online al quale si accede (o almeno una serie di password). Se si utilizza la stessa password per più account, chi effettua l’attacco ed ottiene l’accesso a un conto sarà in grado di accedere a tutti i vostri conti.

2. Proteggere il computer

• Bloccare il desktop quando si lascia la scrivania per andare a una riunione, durante una pausa e/o per il pranzo.
• Non permettere ad altre persone di collegare i loro drive USB al computer, specialmente drives personali non sicuri.
• Non installare o utilizzare software illegali e/o software non autorizzati se si stanno compromettendo i dati di sicurezza e violando la legge. E’ possibile aprire le vulnerabilità della rete della propria organizzazione.
• Non collegare qualsiasi disco personale, lettore musicale e/o unità USB al computer.
• Non collegare il vostro laptop personale alla rete della vostra organizzazione in quanto potrebbero contenere virus o malware.

Fine prima parte.

• 

Si discute molto di sicurezza per i minori su Internet e numerose sono anche le iniziative a riguardo. Con la newsletter di ieri il Garante per la privacy ha fatto riferimento alla Raccomandazione n. 1882 rivolta agli Stati membri del Consiglio d’Europa ed ai Parlamenti nazionali adottata il 28 settembre 2009 dall’Assemblea Parlamentare del Consiglio d’Europa. L’intervento del Garante contenuto nella newsletter, a mio modesto avviso, va inteso come un ulteriore monito rivolto a tutti al fine di garantire sempre più i minori che, costituendo la “digital generation”, vivono utilizzando con maggiore intensità e facilità gli strumenti delle nuove tecnologie come Internet e dispositivi mobili.

Probabilmente, l’intervento del Garante non è anomalo, posto che viene pubblicato proprio alla vigilia della conferenza mondiale che si terrà a Madrid dal 4 al 6 novembre prossimi e all’esito della quale verrà adottata proprio una risoluzione sui social network di valenza mondiale. Non va neppure trascurato il ruolo che ha assunto il Garante e cioè quello di interventista in situazioni in cui spesso manca una normativa ad hoc.

Tornando alla raccomandazione del Consiglio d’Europa, non può sottacersi la tendenza degli Organi europei volta ad assumere posizioni univoche su tematiche quanto mai attuali. Infatti, al di là dei documenti già noti a settembre il Comitato Economico e Sociale Europeo (EESC) ha pubblicato l’opinione “Impact of social networking websites“ con evidenti riferimenti a security & safety nonché ai rischi connessi con la privacy. Inoltre, la Commissaria V. Reding lo scorso 23 ottobre in occasione del seminario EDPS-ENISA Seminar ‘Responding to Data Breaches’ ha dichiarato, fra l’altro,

My vision is that security and data protection in the Information Society must be based on a comprehensive risk assessment and on management approaches, which take into account all hazards and threats, whether they come from cyber-attacks, from natural disruptions, or any other source.

La citata Raccomandazione, poi, fa riferimento ad uno dei punti cruciali del programma della Commissione europea in questo ambito: il Safer Internet Programme (al quale, peraltro, collaboro per il nodo italiano). Di recente ho partecipato all’evento annuale “Safer Internet Forum 2009″ che quest’anno ha riservato integralmente proprio ai minori una delle sessioni.

Si tratta indubbiamente di un tema non semplice. Gli aspetti connessi con la sicurezza per i minori su Internet sono molteplici così come le soluzioni. Difatti, gli attori in gioco sono numerosi, ma questi i nuclei più importanti: minori, genitori e famiglie,  scuola ed insegnanti. Non credo che esista una soluzione; ritengo che si debba lavorare su più fronti. E’ necessaria una poderosa campagna di sensibilizzazione, awareness raising, rivolta ai citati nuclei più importanti. In questi giorni si è avviato l’Easy Tour che, nell’ambito del progetto Safer Internet, contribuisce proprio a sensibilizzare, attraverso un bus itinerante per l’Italia, studenti, genitori ed insegnanti. Un ruolo primario, comunque è sempre quello dei genitori che dovrebbero indicare ai figli quali sono i rischi di un uso improprio o poco consapevole della rete Internet. La rete Internet è una risorsa straordinaria, tanto che ha modificato la nostra vita nel corso degli ultimi anni, ma è opportuno un approccio consapevole per sfruttarne al meglio le enormi risorse.

•