Troppe pubblicità

[Sistoiv]

Credo che si sia esagerato un pò troppo con queste lezioni di sicurezza informatica forense.
Penso che se un hacker o un Team di hacker vogliano prendere di mira il Forum, debbano avere delle buoni motivazioni per farlo e anche il Forum stesso, sia preparato a ricevere un attacco dall'esterno, per poi cosa ? Distruggere il database e l'esistenza dl Forum stesso ? Chi avrebbe interesse a minare la mia (parlo per me) incolumità e i miei dati personali ? Per cosa poi ?
Se sono una persona intelligente sicuramente non mi iscrivo a qualsiasi Forum fornendo la stessa email che ho dato in banca o in Posta per aprire una carta di credito o prepagata, ma ne creo una ad hoc, semplice e che aprirò saltuariamente solo per far vedere al provider che esisto ancora e che non debba chiuderla.

Con pacatezza: sembri ignorare che questo forum deve, come minimo, applicare il GDPR. Pertanto, dovrebbe aver eseguito l'analisi di rischio. Quando si esegue questa metodica non ci si deve fare le domande che hai posto tu, è esattamente il contrario: "che impatto (gravità e probabilità) ci sarebbe se, in caso di data breach, gli utenti avessero i loro dati personali violati? Nist dice che lo scenario deve essere il peggiore, quindi: nome e cognome reale, indirizzo di posta utilizzato per lavoro o per la banca, allego la foto della vicina, etc. etc." Il giudice, in caso di data breach, non dirà "ma doveva essere una persona intelligente", ragionerà esattamente al contrario. E chiederà le misure (fisiche, logiche, organizzative, preventive e di mitigazione) che sono state attuate. E' lo stesso approccio che un'altra sicurezza (quella sul posto di lavoro, rif. TU 81/2008) impone di fare. No: chi vuoi che metta la mano dentro il tornio ma che succede se si mette la mano dentro il tornio? Cosa faccio per impedire che possa farlo?
Ti esorto a leggerti un po' di guai che hanno passato, solo negli ultimi 5 anni, titolari di innocenti pizzerie (pagina FB con le foto dei consumatori non mascherate), aziende (informative incomplete o non conformi, dati personali non anonimizzati, form privo di disclaimer, etc.) applicazioni digitali (phising), forum (attacchi exploit da cybercrime), etc. etc.
Comunque sono preoccupazioni di chi risponde legalmente del detto forum, oltre che nostre ovviamente.

[JuJu75]

Con pacatezza: sembri ignorare che questo forum deve, come minimo, applicare il GDPR. Pertanto, dovrebbe aver eseguito l'analisi di rischio. Quando si esegue questa metodica non ci si deve fare le domande che hai posto tu, è esattamente il contrario: "che impatto (gravità e probabilità) ci sarebbe se, in caso di data breach, gli utenti avessero i loro dati personali violati? Nist dice che lo scenario deve essere il peggiore, quindi: nome e cognome reale, indirizzo di posta utilizzato per lavoro o per la banca, allego la foto della vicina, etc. etc." Il giudice, in caso di data breach, non dirà "ma doveva essere una persona intelligente", ragionerà esattamente al contrario. E chiederà le misure (fisiche, logiche, organizzative, preventive e di mitigazione) che sono state attuate. E' lo stesso approccio che un'altra sicurezza (quella sul posto di lavoro, rif. TU 81/2008) impone di fare. No: chi vuoi che metta la mano dentro il tornio ma che succede se si mette la mano dentro il tornio? Cosa faccio per impedire che possa farlo?
Ti esorto a leggerti un po' di guai che hanno passato, solo negli ultimi 5 anni, titolari di innocenti pizzerie (pagina FB con le foto dei consumatori non mascherate), aziende (informative incomplete o non conformi, dati personali non anonimizzati, form privo di disclaimer, etc.) applicazioni digitali (phising), forum (attacchi exploit da cybercrime), etc. etc.
Comunque sono preoccupazioni di chi risponde legalmente del detto forum, oltre che nostre ovviamente.

Dato che a me personalmente non interessa riprendere un argomento, chiuso e seppellito, rispondo semplicemente a tutti coloro che si fanno tanti problemi sulla loro incolumità per i loro dati personali: non iscrivetevi a nessun Forum, non utilizzate gli smartphone o qualsiasi altro dispositivo mobile.
Per quanto riguarda Facebook e le multe fatte alle pizzerie o ai vari problemi legati alla pubblicazione delle foto che ritraggono persone presenti nelle loro attività (e che penso che non ci sia cattiva fede ma solo una forma di pubblicità per le attività stesse), credo che Facebook o tutti gli altri social network, debbano farlo presente in una sorta di Regolamento, da far leggere, accettare e confermare ancor prima della creazione della pagina stessa, salvo poi ritrovarsi in guai con la Legge in materia di privacy.

[complicazio]

Solo 2 piccole precisazioni:
1) dal maggio 2018 bisogna citare il GDPR non la 196
2) l'IP (tra gli altri) è un dato personale (fonte: https://www.privacyhelp.it/2018/10/2...ato-personale/) come qualsiasi identificatore digitale (quindi anche il cookie)

Questo dibattito mi ha incuriosito.
L'amico nazarenum non ha fatto una domanda sbagliata o stupida, epperò la risposta non appare esserci stata.
Ad ogni modo:
1) http è un protocollo obsoleto e pieno di falle, lo sa anche l'ultimo degli installatori di stampanti di rete
2) "dati personali di persone fisiche" è un concetto ampio, previsto e inquadrato dal GDPR che l'organizzazione che sta dietro questo forum deve pacificamente applicare
3) senza citare ISO 27001, le prassi NIST o altre norme di sicurezza delle informazioni (concetto ben più ampio della banale privacy), il GDPR (e il buon senso) impone di eseguire l'analisi di rischio. Come minimo sarebbe auspicabile far eseguire una VA (vulnerability assessment) e, possibilmente, anche un PT (penetration test)
4) le conseguenze, civili e penali, per data breach non sono banali e il GDPR le ha di molto appesantite
5) qui si sta parlando di questo forum (meritevole per i contenuti e la volontarietà, s'intende) non di cosa la gente faccia con Facebook, Whatsapp che sono affari loro e del buon Zuckerberg (et similia)

Con pacatezza: sembri ignorare che questo forum deve, come minimo, applicare il GDPR. Pertanto, dovrebbe aver eseguito l'analisi di rischio. Quando si esegue questa metodica non ci si deve fare le domande che hai posto tu, è esattamente il contrario: "che impatto (gravità e probabilità) ci sarebbe se, in caso di data breach, gli utenti avessero i loro dati personali violati? Nist dice che lo scenario deve essere il peggiore, quindi: nome e cognome reale, indirizzo di posta utilizzato per lavoro o per la banca, allego la foto della vicina, etc. etc." Il giudice, in caso di data breach, non dirà "ma doveva essere una persona intelligente", ragionerà esattamente al contrario. E chiederà le misure (fisiche, logiche, organizzative, preventive e di mitigazione) che sono state attuate. E' lo stesso approccio che un'altra sicurezza (quella sul posto di lavoro, rif. TU 81/2008) impone di fare. No: chi vuoi che metta la mano dentro il tornio ma che succede se si mette la mano dentro il tornio? Cosa faccio per impedire che possa farlo?
Ti esorto a leggerti un po' di guai che hanno passato, solo negli ultimi 5 anni, titolari di innocenti pizzerie (pagina FB con le foto dei consumatori non mascherate), aziende (informative incomplete o non conformi, dati personali non anonimizzati, form privo di disclaimer, etc.) applicazioni digitali (phising), forum (attacchi exploit da cybercrime), etc. etc.
Comunque sono preoccupazioni di chi risponde legalmente del detto forum, oltre che nostre ovviamente.

Non entro nel merito della discussione, hai espresso chiaramente e in maniera precisa e con dovizia di particolari le tue opinioni.

Mi permetto solo di ricordarti per le prossime volte che i post consecutivi non sono ammessi dal regolamento, se devi aggiungere qualcosa edita il tuo ultimo messaggio mentre se invece devi rispondere a più utenti contemporaneamente utilizza la funzione "multiquote".

Grazie.

[Sistoiv]

Dato che a me personalmente non interessa riprendere un argomento, chiuso e seppellito, rispondo semplicemente a tutti coloro che si fanno tanti problemi sulla loro incolumità per i loro dati personali: non iscrivetevi a nessun Forum, non utilizzate gli smartphone o qualsiasi altro dispositivo mobile.
Per quanto riguarda Facebook e le multe fatte alle pizzerie o ai vari problemi legati alla pubblicazione delle foto che ritraggono persone presenti nelle loro attività (e che penso che non ci sia cattiva fede ma solo una forma di pubblicità per le attività stesse), credo che Facebook o tutti gli altri social network, debbano farlo presente in una sorta di Regolamento, da far leggere, accettare e confermare ancor prima della creazione della pagina stessa, salvo poi ritrovarsi in guai con la Legge in materia di privacy.

Funziona diversamente: gli utenti possono fare quello che vogliono (e infatti continueranno a farlo), forniscono i dati personali (a cominciare dall'IP se trattasi di servizio digitale) più altri N, magari anche di terzi-chi lo sa. Non è loro responsabilità applicare le leggi sulla privacy (essendo gli interessati cioè i tutelati) ma sono i titolari del trattamento che devono dimostrare di applicare le dette leggi. Quando ci sono le violazioni non mi costa che il garante o il giudice (nel caso del penale) decreti che avrebbero dovuto essere gli interessati (uso i termini GDPR) a evitare di fornire i loro dati personali ovvero utilizzare piattaforme e servizi; mi consta che sanzioni o condanni il titolare del trattamento.
Le informative nonché le autorizzazioni al trattamento sono solo strumenti di carattere organizzativo, il minimo sindacale, poi ci sono quelli di carattere logico (tradotto: infrastrutturale, applicativo, operativo), poi (quando applicabile) ci sono quelle di carattere fisico.
Tanto dovevo per maggior diligenza dottrinale.