Sicurezza Informatica e PA / pt2

 

Riprendiamo il tema già introdotto in precedente articolo di qualche mese fa.

Negli ultimi 3 anni, la crescente necessità di poter contare su reti ed infrastrutture sicure ed affidabili ancor prima che efficienti, nonché l'evoluzione dei moderni sistemi informatici verso il Cloud, cioè un unico punto centrale in cui raccogliere una grossa quantità di dati che diventa quindi ad alta sensibilità, ha indotto DigitPA ad imporre con maggior forza la sua posizione.

Il 30 dicembre 2010 il Decreto Legislativo n. 235 apporta importanti modifiche al Codice dell’Amministrazione Digitale.
In particolare nell' articolo 50-bis si evidenzia l'obbligo per le P.A. di predisporre degli adeguati piani di emergenza atti a garantire il ripristino dei sistemi informativi ed il ritorno alla normale operatività a seguito di incidenti informatici. Nello specifico sarà obbligatoria la pianificazione di “un piano di continuità operativa (comma 3, punto a), inclusivo del piano di disaster recovery (comma 3, punto b), da parte di tutte le pubbliche amministrazioni, entro 15 mesi dalla data di entrata in vigore del D.Lgs. 235/2010 (25.01.2011)” e “la stesura, preventiva al precedente adempimento, di un apposito studio di fattibilità, sul quale deve essere obbligatoriamente richiesto parere di DigitPA (comma 4).
L'importante articolo 51 del CAD invece stabilisce fondamentali specifiche tecniche per garantire allo stesso tempo la sicurezza e la disponibilità dei dati sensibili all'interno dei sistemi informativi, rendendo per la prima volta il contesto dipendente da linea guida ad-hoc ed non solo dalle indicazioni stabilite dal Codice della Privacy ed in particolare nell' allegato B.
In questo contesto DigitPA non manca di rafforzare il suo ruolo assumendosi l'onere di monitorare sull'applicazione delle direttive, segnalarndo al Ministero competente le amministrazioni inadempienti rispetto alle citate regole tecniche, e predisponendo valutazioni, relazioni, studi di fattibilità e procedure di valutazione in merito.

Con comunicazione sulla Gazzetta Ufficiale n. 295 del 20 dicembre 2011, DigitPA ha poi predisposto delle Linee guida sulla Continuità Operativa, offrendosi al contempo come organo consultivo e di supporto alle amministrazioni che volessero avviare progetti coordinati per la salvaguardia dei propri sistemi informativi nella logica della razionalizzazione degli investimenti nella P.A. Un progetto simile infatti era già stato avviato nel 2003 quando avvalendosi dell'iniziativa già intrapresa dall' INPS l'anno precedente, DigitPA ebbe un ruolo di coordinamento nella costruzione del Centro unico di Backup degli istituti previdenziali e assicurativi (CUB) al quale hanno aderito INPS, INAIL, INPDAP, entrato nella fase operativa il 27 giugno 2005 e collaudato il 22 settembre 2007.
A proposito il 1 dicembre 2011 viene emanata una Circolare indicante le modatità di richiesta del parere di DigitPA sui temi precedenti, riguardo all'adozione di nuovi piani ed infrastruttire informatiche.

In quest'ultimo periodo quindi, i cambiamenti sono stati pochi ma assolutamente significativi. Ad oggi, vista la prevista sostituzione di DigitPA con l'Agenzia per l'Italia Digitale ed il varo del decreto denominato “Digitalia” le carte saranno destinate ad essere rimescolate ancora una volta, tuttavia per ora scegliamo di concentrarci sull'attuale situazione a cui devono fare fronte le Pubbliche Amministrazioni.
Riassumendo gli strumenti principali ogni PA deve predisporre sono:

  • Il piano di continuità operativa, che “fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale.”;
  • Il piano di disaster recovery, che “stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.”;

Ovviamente le soluzioni tecniche atte all'adempimento di tali obblighi sono variabili e commisurati al tipo ed alle dimensioni dell'Amministrazione che potrà scegliere in maniera autonoma le migliori opportunità e prodotti a lei adatti. Come già detto DigitPA si offre come organo di supporto per la valutazione delle proposte tecniche, ma nel corso del tempo ha già fornito una ampia documentazione ed una serie di strumenti utili ad autovalutazioni e a facilitare studi autonomi.
In particolare è stato predisposto un modello denominato Studio di Fattibilità Tecnica che permette di riassumere i progetti da loro avanzati secondo una linea comune a tutte le amministrazioni.
Nel sito di DigitPA inoltre sono a disposizione alcuni strumenti (fogli di calcolo avanzati e software) utili ad un immediata autovalutazione sulla sensibilità dei serivizi prestati e quindi sulla priorità delle soluzioni da adottare. I risultati di questi calcoli possono essere confrontati con delle scale di valori che se ben interpetate possono indicare la soluzione tecnica adatta ad ogni tipo di servizio.
L'autovalutazione si basa sull'identificazione di tre direttrici: La tipologia di servizio erogato, la complessità organizzativa e la complessità tecnologica. Dalle linee guida per la compilazione ricaviamo: “La direttrice del servizio consente di far rientrare nella valutazione aspetti legati alla tipologia, numerosità e criticità dei servizi erogati, in termini di danno per l’organizzazione e/o per i suoi utenti in caso di mancata erogazione del servizio stesso; La direttrice della complessità della organizzazione consente di far rientrare nella valutazione aspetti legati alla complessità amministrativa e strutturale dell’organizzazione, al fine di stimare il dimensionamento delle soluzioni tecniche da adottare; La direttrice della tecnologia consente di far entrare nella valutazione aspetti legati al fattore tecnologico in termini di dimensione e complessità, al fine di poter stimare la tipologia e la natura delle soluzioni tecniche da adottare.
Ogni direttrice ha degli indicatori ad-hoc, da cui si giunge ad un indicatore complessivo di criticita’, i cui livelli sono raggruppati in 4 classi di rischio ognina associata alla soluzioni tecnologiche più adatte, denominate TIERS.
Sempre dalle linee guida riportiamo:

  • TIER 1: Backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza;
  • TIER 2: Backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza.
  • TIER 3: Backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza.
  • TIER 4: La soluzione prevede che le risorse elaborative, garantite coerenti con quelle del centro primario, siano sempre disponibili, permettendo la ripartenza delle funzionalità in tempi rapidi.
  • TIER 5: La soluzione è analoga a quella del Tier4, con la differenza che l’aggiornamento finale dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi aggiornamenti.
  • TIER 6: La soluzione è analoga a quella del Tier4, con la differenza che l’aggiornamento finale dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi aggiornamenti.

In conclusione, la Normativa Italiana presenta un quadro legislativo non carente, e che sulla carta obbliga senza alcun dubbio ogni amministrazione ad essere in regola con standard e requisiti minimi necessari alla sicurezza, interperiobilità, accessibilità e disponibilità dei dati, nonché alla stessà continuità operativa dei servizi offerti. Le operazioni decisionali e pratiche tuttavia non posso che essere lasciate in mano agli stressi enti sul terriotrio, che non sempre sono sensibili ai temi trattati o non hanno le capacità finanziarie per operare verso un miglioramento delle loro strutture.
Ricordiamo però che nell'era del ritorno alla centralizzazione dei servizi e alla progressiva eliminazione della burocrazia in forma cartacea, i servizi degitali assumono un ruolo estremamente sensibile, in cui senza voler esagerare ogni piccola mancanza può portare a risultati estremante tragici ed imprevisti. Anche se le carenze sono ancora molte, l'attenzione verso questi temi nella Pubblica Amministrazione sta crescendo giorno dopo giorno e ci auguriamo che la semplice attuazzione delle normative in vigore possa un giorno diventare risultato alla portata di qualsiasi servizio pubblico.

 

RIFERIMENTI:
http://www.digitpa.gov.it/
http://www.interlex.it/pa/d_bruschi.htm
http://www.clusit.it/

Articoli Correlati

  • No Related Posts

Linkedin: trafugate 6.5 milioni di password

Riportiamo integralmente da webnews, in quanto importante.

L'articolo originale lo trovate qui.

Un utente ha pubblicato su un forum russo una forte minaccia per la credibilità di LinkedIn: il file portato online conterrebbe infatti 6,5 milioni di password estrapolate direttamente dai server del social network professionale, facendo così teoricamente propri 6,5 milioni di account attivi.

La veridicità del documento è ancora tutta da confermare, ma l’ipotesi appare verosimile sulla base di alcuni indizi raccolti tra le password elencate. LinkedIn al momento non ha ancora fornito spiegazioni né conferme, ma ha comunicato di aver preso visione del problema e di voler diramare aggiornamenti sulla situazione non appena possibile e non appena in possesso di informazioni certe su quanto accaduto.
Click here to find out more!

Le password sarebbero protette da crittografia con algoritmo SHA-1, il che dovrebbe mettere la maggior parte degli account al sicuro. Non per tutti sarà però così, il che determina una situazione di rischio potenziale che ha spinto Graham Cluley, esperto di sicurezza Sophos, a consigliare a tutti, indiscriminatamente, il cambio della propria password sul social network.

Per effettuare tale operazione è sufficiente un login sul proprio account, un click su “impostazioni” sotto il proprio nome in alto a destra e quindi un ultimo click su “cambia” in relazione al campo “password”.

Il problema di sicurezza in casa LinkedIn giunge a distanza di poche ore dalla scoperta di alcune informazioni in chiaro che il social network recupera dall’utenza utilizzante l’applicazione dedicata per iOS: la comunione delle due situazioni costringerà il gruppo ad una chiara presa di posizione per spiegare sia l’una che l’altra falla. Problemi di questo tipo rischiano infatti di mettere in discussione l’immagine e la credibilità dell’intero social network, il che impedisce di temporeggiare ed impone reazioni immediate a garanzia della sicurezza e della bontà del sistema messo al servizio degli utenti.

Articoli Correlati

Sicurezza Informatica e PA / pt 1

In un precedente articolo avevamo proposto un'analisi sull'evoluzione delle normative inerenti ai temi di privacy e sicurezza dei dati nell'ultimo periodo. Da una visione completa dell'insieme si nota con evidenza che dopo alcuni anni di 'costruzione' e 'definizione' delle problematiche, dei ruoli e degli obblighi in materia, le ultime indicazioni arrivate dal legislatore tendono pian piano a semplificare e razionalizzare il complesso giuridico.
Tuttavia per quanto riguarda l'ambito Pubblica Amministrazione si sta andando in controtendenza. Le ultime indicazioni di DigitPA infatti stanno definendo obblighi sempre più precisi, stabilendo con chiarezza ambiti di applicazioni ed indicando suggerimenti e best-practice per permettere soprattutto agli enti locali di riconoscere le proprie mancanze e giungere nel tempo ad un livello di stabilità relativo alla parte informatica che garantisca la piena sicurezza dei dati ed il rapido ripristino delle attività in caso di incidente informatico.
Ad oggi infatti la sensazione (soggettiva) che molte PA locali debbano ancora fare molti passi in avanti per garantire un grado di sicurezza ICT accettabile è ancora diffusa, nonostante il piano normativo anche se un poco farraginoso e complesso già da anni si sia sufficientemente espresso.
In questo primo articolo analizzeremo il contesto storico (moderno) Italiano esclusivamente riguardo le correlazioni tra ICT e sicurezza ( tralasciando perciò il vasto complesso generale della Digital Governance e delle sue varie evoluzioni nel tempo), per poi proporre più avanti un secondo articolo contenente le ultime evoluzioni approfondendo in particolare il ruolo di DigitPa.

La politica italiana incomincia ad interessarsi concretamente di sicurezza informatica e del rapporto di quest'ultima con gli obblighi di privacy nel gennaio 2002 quando la Presidenza del Consiglio dei Ministri emana una direttiva sulla sicurezza ICT con la quale invita le PA ad ad effettuare una propria autovalutazione in merito e ad allinearsi ad una base minima di sicurezza tecnicamente definita negli nallegati alla direttiva. Al contempo il Dipartimento per l'Innovazione per le Tecnologie della Presidenza del Consiglio dei Ministri ed il Ministero delle comunicazioni si sarebbero impegnati a “[…] Promuovere la creazione e la successiva attivazione di un modello organizzativo nazionale di sicurezza ICT […] Costituire un comitato nazionale della sicurezza ICT […] Definire uno schema nazionale di riferimento […] Formulare il piano nazionale della sicurezza ICT della PA […] Realizzare la certificazione di sicurezza ICT nella PA […]”.
Ad aprile dello stesso anno sempre la Presidenza del Consiglio emana la direttiva denominata “Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione” con il quali si pongono le basi giuridiche “… per la valutazione e la certificazione della sicurezza nel settore delle tecnologie dell'informazione per la tutela delle informazioni classificate disciplina le linee essenziali per la definizione dei criteri e delle procedure da osservare per il funzionamento degli organismi di certificazione e per la valutazione dei prodotti e dei sistemi che gestiscono informazioni classificate.” In particolare viene appositamente definita un nuovo tipo di soggetto denominato Centro di Valutazione che dovrà rispondere ad alcune caratteristiche tecniche e sarà regolamentato nei rapporti con il cliente o "valutato".
Pochi mesi dopo a luglio viene istituito con termine al 31/12/2004 il Comitato Tecnico Nazionale sulla Sicurezza ICT con il compito di coordinare i lavori per il raggiungimento degli obiettivi prefissati con la direttiva di gennaio 2002.

Si passa quindi ad ottobre 2003 quando sempre con un decreto della presidenza del consiglio viene adottato il nuovo Schema Nazionale per la certificazione di sicurezza di prodotti e sistemi ICT, che si basa sugli standard ISO ITSEC e Common Criteria.
La sensazione è comunque che ci sia ancora molta strada da percorrere, ed infatti a dicembre dello stesso anno però in un ulteriore decreto viene precisato:
"Gli impegni indicati nella direttiva del marzo 2002 (autovalutazione del livello di sicurezza,
adeguamento alla «base minima» di sicurezza), al momento, non sono ancora compiutamente
realizzati. Le amministrazioni dovranno, pertanto, al più presto, adeguare le propria struttura,
almeno, ai livelli di sicurezza minimi richiesti, rivolgendo l'attenzione sia all'ambito organizzativo
che alla realizzazione di attività operative.
"
A Marzo 2004 il Comitato sulla Sicurezza ICT predispone un fondamentale documento chiamato Proposte concernenti le strategie in materia di Sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione dove viene riassunta tutta l'attività del Comitato. Ampia imprtanza viene data agli interventi di formazioni presso gli enti locali, alla sensibilizzazione sui temi di continuità operativa e analisi dei rischi, al favorire il ricorso a standard di sicurezza, e sopratutto ad una nuova struttura denominata GOVCERT.IT (poi CERT-SPC) con lo scopo di diventare punto di riferimento per le P.A in tema di attacchi informatici, tecniche di intrusione, vulnerabilità, minacce e patch.

Finalmente a Marzo 2006 il CNIPA pubblica il Piano Nazionale della sicurezza delle tecnologie dell’informazione e comunicazione della pubblica amministrazione che stabilisce le azioni necessarie per l' attuazione della sicurezza informatica e contiene al suo interno anche il Modello Organizzativo Nazionale di sicurezza ICT per la PA che invece definisce i processi e le strutture con cui attuare le azioni del Piano Nazionale.
A partire dal 2005 però importanti indicazioni arrivano anche dal Sistema Pubblico di Connettività definito dal Codice dell'Amministrazione Digitale dove sebbene in via generale vengono definite regole, metodi e best-practice (come la nomina di un Computer Emergency Response Team, CERT) per l'ambito di sicurezza nella PA, prestando attenzione a tutti gli aspetti logici, infrastrutturali, dei servizi, e dell’organizzazione.
Infine si ricorda anche nell'aprile 2008 il decreto denominato "Individuazione delle infrastrutture critiche informatiche di interesse nazionale" che sottolinea la sensibilità delle informazioni trattate da alcuni organismi della PA istituendo tra l'altro il C.N.A.I.P.I.C. Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche sotto il controllo della Polizia Postale e delle Comunicazioni.

Nei prossimi giorni come già spiegato proporremmo un ulteriore articolo con le evoluzioni avute negli ultimi 3 anni circa illustrando le specifiche indicazioni e richieste pervenute dal legislatore e da DigitPA nei confronti degli Enti Locali, fornendo anche alcune nostre considerazioni e proposte tecniche per lo sviluppo dei nuovi Sistemi Informatici nelle PA in previsione dell'adeguamento alle novità.

 

RIFERIMENTI:
http://www.interlex.it/pa/d_bruschi.htm
http://www.isticom.it/documenti/evidenza/intervento_guida.pdf
http://archivio.cnipa.gov.it/site/it-IT/Normativa/Raccolta_normativa_ICT/Sicurezza_informatica/
http://www.clusit.it/

Articoli Correlati

Le ultime evoluzioni sulla privacy

Nell'ultimo periodo la Commissione Europea ha discusso un' importante riforma del regolamento sulla privacy con lo scopo di unificare la legislazione in materia all'interno dei paesi EU e sostituire la direttiva 95/46/CE. A differenza delle Direttive che consentono agli Stati Membri di interpretare ed applicare con modalità diverse le norme, i Regolamenti Europei vengono trasformati direttamente in legge nazionale da ogni stato con minima possibilità di modifica. E perciò evidente che questo avrà un importante impatto sul nostro Codice della Privacy, e potrebbe portare ad ulteriori sconvolgimenti.
Il primo passo però sta già venendo discusso in questi giorni, infatti il Consiglio dei Ministri ha dato il via ai lavori di esame preliminare al decreto legislativo per l'attuazione della direttiva europea in tema di servizio universale e diritti degli utenti in materia di reti e servizi di comunicazione elettronica, della direttiva europea sul trattamento dei dati personali e tutela della privacy nel settore delle comunicazioni elettroniche, del regolamento comunitario sulla cooperazione tra le Autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori. Questa normativa dovrebbe servire a ribadire la responsabilità degli operatori in caso di incidenti informatici a tutela di utenti e consumatori.

Oltre a ciò è però utile ricordare che il testo Italiano sulla privacy negli ultimi dodici mesi ha già subito importante modifiche:

A maggio 2011 infatti oltre ad alcuni accorgimenti per i sistemi bancari venivano infatti decise varie semplificazioni normative riguardanti le persone giuridiche, mentre a dicembre dello stesso anno avveniva la rivoluzione limitando il concetto di dato personale soltanto all'ambito delle persone fisiche.

Il 9 febbraio 2012 con il DDL Semplificazioni è stato infine abrogata l' obbligarietà della redazione del Documento Programmatico sulla Sicurezza e Privacy (DPS).
E' nostra opinione però che sia buona norma per ogni azienda, sopratutto se tratta dati sensibili o giudiziari, tenere comunque aggiornato un proprio documento interno simile al vecchio modello di DPS per la guida alla gestione dei sistemi informativi e la continuità operativa allo scopo di avere il sotto controllo e garantire la tracciabilità dei dati, che rimangono comunque un fattore di criticità per ogni organizzazione.

Articoli Correlati

Rapporto Clusit sulla Sicurezza ICT

 

Il Clusit, l'Associazione Italiana per la Sicurezza Informatica, ha pubblicato un encomiabile Rapporto sulla Sicurezza ICT in Italia. Il testo che elenca con precisione fonti e metodologie di ricerca, presenta una panoramica generale sull'argomento, proponendo di seguito una serie di Case Study legati ai principali eventi di Cyber Crime ed incidenti informatici nel 2011, per poi analizzare la specifica situazione Italiana e le tendenze per il 2012. Vengono anche approfonditi i temi dell'operato delle autorità sul contrasto alla criminalità informatica ed al rapporto tra mercato e sicurezza ICT, per poi passare all'analisi di alcuni argomenti caldi inerenti alla materia.

Dal rapporto si posso estrapolare una serie di interessanti dati che ci permettono di effettuare alcune considerazioni.
Ad oggi i ricavi di un ipotetico mercato del crimine informatico si possono stimare tra i 7 ed i 12 miliardi di dollari l'anno, con bersagli e modalità di attacco che diventano sempre più importanti, pensando ad esempio che nel 2011 il Ddos più significativo, scagliato contro Telecom Ucraina, Yandex ed Evoswitch ha raggiunto picchi di 100 Gb/s, mentre la somma più alta rubata con un singolo attacco ad un conto corrente bancario è stato di 14,8 milioni di dollari. In pratica si deduce che gli obbiettivi non sono più soltanto ignari e poco poco preparati utenti così detti “casalinghi”, ma diventano sopratutto grandi organizzazioni e compagnie, da cui recuperare ingenti quantità economiche o trafugare preziose banche dati contenenti informazioni sensibili di un numero largo di clienti, assumendo l'aspetto di una moderna Cyber-War. E' evidente però che questi così detti “pesci grossi” non siano di certo impreparati di fronte ad attacchi di questo genere, ma ciò nonostante le intrusioni illegali hanno talvolta avuto buon fine, dimostrando che ad oggi il livello di sicurezza informatica applicato in qualsiasi campo non potrà mai garantire una completa inibizione dagli attacchi, ma potrà soltanto minimizzare la possibilità di successo di quest'ultimi.
Durante l'ultimo anno si è parlato di una serie di attacchi a grandi organizzazioni da parte di “hacker-attivisti” che operano senza scopo di lucro (per quel che si conosce) che avevano come unico scopo quello di creare ingenti danni d'immagine ai primi. Tuttavia l'attenzione mediatica su questi eventi ha distratto l'attenzione da i pericoli creati dalla reale cyber-criminalità, molto spesso organizzata ed addirittura strutturata per lavorare su commissione.
In generale si è riassunto che il 2011 è stato probabilmente l'anno peggiore di sempre nella storia per la sicurezza informatica, lasciando previsioni non migliori per il 2012, dove le crescenti tecnologie mobili, i social network e i cloud saranno i nuovi obiettivi.
A questo vanno però aggiunti i problemi relativi agli incidenti informatici, alcuni dei quali dovuti alla troppa superficialità nella gestione dei sistemi e dei dati, ma anche alla ormai sconfinata complessità della gestione informatica che sta raggiungendo livelli avanzatissimi rendendo complicato seguire con efficienza e regolarità tutti gli elementi che compongono il complesso informativo.
Per quanto riguarda il caso specifico Italiano, si ricava che soltanto il 2% degli utilizzatori di internet ha piena e completa consapevolezza dei rischi e dei mezzi per proteggersi, mentre il 71% sebbene abbia una protezione di base è ancora impreparato per affrontare attacchi diretti e situazioni d'emergenza, evidenziando una pericolosa difficoltà culturale a riguardo, oltre che una incomprensibile arrendevolezza al denunciare le attività illegali di cui cade vittima. Si stima infatti che i danni economici che ricadono sui cittadini italiani a causa della cyber-criminalità siano in totale circa 6,7 miliardi di euro all'anno!

In questo blog verranno più avanti presentate ulteriori analisi sul tema con nuove informazioni ed analisi su argomenti specifici.
Nel frattempo per chi volesse consultare il documento del Clusit può trovarlo qui: www.securitysummit.it/page/rapporto_clusit

Articoli Correlati

Decreto semplificazioni: cosa cambia per la privacy

Nella tarda mattinata di ieri il governo ha posto la questione della fiducia alla Camera sul decreto legge in materia di semplificazione fiscale ed ha introdotto svariate semplificazioni e novità.

In questo articolo parleremo delle novità in tema Privacy (decreto legislativo 193/2003)

Con il decreto semplificazioni ufficialmente vengono abrogati una serie di articoli in cui si evince (ma si sapeva da tempo ormai) che non serve più il dps come documento da avere in azienda.

Infatti vengono abrogati alcuni punti  del disciplinare tecnico in materia di misure minime di sicurezza e precisamente tutto l'articolo 19 e l'articolo 26 che riportiamo:

 

Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

In sostanza: il famoso documento "DPS" sparisce. Ma si sapeva da tempo.

Il DPS è sempre stato un documento farraginoso e poco adottato dalle aziende in tutti i settori in quanto visto sempre come un qualcosa di inutile, un costo da sostenere per essere a norma. Molto spesso il documento era creato in forma automatica (decine di programmi che facevano in automatico o quasi il documento minimale e a norma di legge) oppure creato da consulenti senza scupolo per poche centinaia di euro con metodi di taglia e incolla. Dimenticando però lo spirito originario del sistema (e qui comincio a parlare di sistema per la sicurezza dei dati aziendali, non più DPS): Essere una guida per salvaguardare il patrimonio informativo della propria attività. Poche organizzazioni lo hanno inteso in questo modo.

Cosa succederà da oggi: probabilmente si dedicheranno ancora meno soldi al tema della sicurezza del proprio sistema informativo in quanto, erroneamente, si presuppone che non servendo più questo documento, il sistema potrà essere lasciato cosi' com'e'. Sbagliando. In quanto tutto il resto del sistema di sicurezza comunque deve essere garantito. Soprattutto in un' era in cui la digitalizzazione sta diventando sempre più pervasiva anche in settori che storicamente erano resti. Aprendo nuove prospettive di furto di dati digitalizzati anche sensibili.

Dal nostro punto di vista, condiviso da molti, il dps dovrà essere sostituito, all'interno dalle organizzazioni, da un manuale operativo per la gestione della sicurezza dei dati comuni, personali e sensibili.

Noi continueremo comunque nella nostra opera di sensibilizzazione sulla necessità della sicurezza del sistema informativo in quanto unico vero patrimonio delel organizzazioni.

Articoli Correlati

Prima o poi capita a tutti…

Riporto integralmente un articolo di Rosario Russo dell'Associazioen Italiana Ingegneri dell'Informazione perchè lo reputo importante e… in qualche modo emblematico.

Qui il post originale.

 

Alcuni giorni fa un hacker ha sfruttato una vulnerabilità nel sistema di emissione dei certificati digitali nella rete degli affiliati della Registration Authority di Comodo, controllata dall'italiana Global Trust. Dozzine di siti web che utilizzano i certificati della Global Trust sono andati offline. In sostanza, l'attacco ha compromesso l'integrità del processo stesso di emissione dei certificati SSL!

L'hacker, con molta boria (più volte dice di essere bravissimo, avendo solo 21 anni), spiega come ha fatto (http://pastebin.com/74KXCaEZ): prima ha compromesso il server IstantSSL di Comodo, prendendone pieno possesso, poi a trovato la libreria TrustDll.dll, che si occupa della firma. Tale libreria era stata compilata da un sorgente in C#.

L'hacker l'ha decompilata, ha trovato la username e la password dell'account reseller di GeoTrust e Comodo, quindi ha provato ad utilizzarli. La URL di GeoTrust non funzionava, mentre quella di Comodo era attiva e l'attacco poteva essere portato a termine. Si è quindi loggato nel sito di Comodo e si è reso conto che aveva il diritto di firma usando le API messe a disposizione dalla piattaforma.

Poiché non aveva idea di come funzionassero queste API, ha capito che forse era il caso di scrivere un po' di codice e di riscriversi alcune routine. In 10-15 minuti (così sostiene), ha rifatto le API e ha potuto generare e firmare tutti i certificati che voleva. Così ha creato e firmato, con tanto di firma riconosciuta da tutti i browser, i certificati per gmail.com, yahoo.com, live.com, mozilla.org, skype.com.

Per dimostrare al mondo che l'attacco era davvero avvenuto, ha anche pubblicato la chiave privata con cui è stato firmato il certificato per il sito addons.mozilla.org. Questo gesto spudorato e impudente ha compromesso tutti gli utenti che utilizzano gli addons della suite di Mozilla (Firefox e Thunderbird, in primis). Poiché la chiave privata non era nemmeno protetta da password, altri attacker ora possono tranquillamente utilizzarla per firmare tutti i certificati per "addons.mozilla.org" che vogliono! Ora possiamo tutti essere vittime di attacchi Men-in-the-Middle senza minimamente rendercene conto.

Per chi spera di affidarsi al sistema di revocation dei certificati, sta fresco: ultimamente una serie di critiche stanno dimostrando che questo meccanismo non funziona efficacemente (http://www.imperialviolet.org/2011/03/18/revocation.html).

Nel momento in cui scrivo, il sito  https://trustseal.globaltrust.it è offilne, evidentemente per indagine forense in corso.  Altri siti afferenti alla Global Trust sono offline e mostrano la pagina "Under construction" (www.banksafe.it, www.comodogroup.it, www.cybercrimeworkingroup.org e, ironicamente, www.riskmitigation.it).

Sappiamo ora che ci sono chiavi private in mano ad una persona che può firmare certificati SSL "validi" e quindi impersonare qualunque sito web! Il dramma è che, sebbene molti siti non usano certificati di Global Trust, ne sono comunque vittime, poiché sono (anzi, posso dire tranquillamente, siamo) suscettibili ad attacchi Men-in-the-Middle.

Peggio di così, forse, non poteva andare!

Articoli Correlati

Microsoft Security Essentials: presto gratuito per le pmi

Microsoft Security Essentials, la soluzione antivirus ed anti-malware che Microsoft un anno fa ha messo gratuitamente a disposizione di tutti gli utenti consumer, potrà presto essere installato in modo ufficiale anche dalle piccole aziende che hanno fino a 10 postazioni di lavoro.
A partire da Ottobre, infatti, i termini della sua licenza cambieranno e le aziende con dieci o meno PC potranno scaricare ed utilizzare il software senza alcun costo.
In realtà non si può fare a meno di notare come già la maggior parte delle piccole compagnie con pochi personal computer operino già in questo modo.
Con questa mossa Microsoft intende quindi formalizzare quella che è una realtà da tempo ben conosciuta dal colosso di Redmond. “Non è un segreto che moltissime piccole compagnie oggi non dispongono di un professionista IT dedicato o di uno staff che gestisca le loro risorse IT” – ha commentato la notizia con un post su Internet il responsabile Microsoft Eric Lingman – “Offrendo Security Essentials (con i suoi aggiornamenti automatici dal sito Microsoft) alle piccole imprese, senza richiedere alcun pagamento aggiuntivo, estendiamo quello che è il nostro impegno e la nostra missione annunciata, ovvero aiutarle a ridurre i costi dell’IT e far crescere il loro business”. In effetti, considerato il costo medio attuale di una licenza per un antivirus, il risparmio nell’utilizzare Microsoft Security Essentials nelle micro imprese può arrivare fino ai 250/300 euro all’anno, purchè i PC in uso siano dotati di regolari licenze Windows.
Microsoft Security Essentials si presenta all’utente finale come un’applicazione leggera da scaricare e utilizzare e dall’interfaccia intuitiva, volta a proteggere i PC contro virus ed altri malware e che si integra perfettamente con i controlli di sicurezza built-in presenti all’interno di Windows 7, Windows Vista e Windows XP (Service Pack 2 o superiore).
Il team di sicurezza Microsoft sta inoltre sviluppando una nuova versione del software comprendente ampliamenti e maggiori analisi di sicurezza, tuttavia la nuova versione è tutt’ora in fase beta.
Fin dal suo rilascio, sono stati numerosi i responsabili IT a chiedere che questo tipo di protezione potesse un giorno venire estesa gratuitamente a tutte le compagnie, a prescindere dalla loro dimensione in modo da incrementare anche la sicurezza degli ambienti Windows di minori dimensioni. L’annuncio della scorsa settimana viene visto da molti proprio come un ulteriore passo verso questa direzione.

Articoli Correlati

Risk Analysis

Da un estratto di un nostro documento per spiegare questa attività. Penso possa essere utile a molti.

Nelle realtà aziendali esistono innumerevoli contenitori di dati da cui si estraggono informazioni utili alla conoscenza del proprio business.
Questa frase contiene in sé il perché dell’analisi del rischio all’interno di una azienda.

Abbiamo dati in molteplici forme: cartacei, fogli excel, svariati databases, documenti informatici. Sono Fatti ed Oggetti. Da soli servono poco o nulla ma devono essere comunque gestiti.
Dai dati estraiamo informazioni correlandoli in configurazioni significative per la nostra attività.
La conoscenza è l’applicazione e l’uso produttivo dell’informazione.
Sono “oggetti” che quindi vanno preservati per la continuità dell’azienda.

Per tali motivi è necessario quindi analizzare l’intera azienda per scoprire dove sono questi “oggetti” e come preservali in caso di “disastri”.

Questo è l’oggetto della Risk Analysis:

  1. Fornire informazioni al management aziendale
  2. Verificare il rispetto di leggi e regolamenti
  3. Ridurre le perdite provocate dalle minacce

Gli obiettivi della Risk Analysis sono soprattutto:

  1. Determinare quali beni aziendali sono critici (e rientrano anche i beni o asset intangibili come la conoscenza e l’informazione)
  2. Identificare le minacce possibili
  3. Determinarne le criticità e le vulnerabilità
  4. Calcolare in maniera scientifica le perdite previste in caso di incidente
  5. Valutare le azioni e le contromisure da mettere in campo
  6. Mettere in campo le azioni correttive
  7. Periodicamente effettuare una nuova risk analysis

E’ un processo ciclico da effettuare con svariate metodologie:

  1. quantitative per dare un valore certo dei rischi, sono più costose e complesse ma alla lunga danno un vantaggio, sono ripetibili e confrontabili
  2. qualitative quando i beni o i dati non sono facilmente valutabili in termini economici (es quando un incidente causa perdita di immagine).

I passi sono abbastanza semplici da descrivere:

  1. identificare gli asset aziendali tangibili e intangibili determinandone i valori , la criticità la proprietà e la localizzazione
  2. Identificare le minacce distinguendo tra eventi naturali (es incendio) ed umani (furto di dati, abuso di privilegi) o tecniche (guasto hardware, guasto software) e facendo una stima della loro frequenza di accadimento
  3. Identificare le contromisure esistenti  (antivirus, ridondanza, condizionamento, antifurto, backup, controllo accessi)
  4. Identificare le vulnerabilità
  5. Calcolare il valore delle perdite stimate con funzioni matematiche ad hoc oppure con matrici di probabilità: Questo Ë il rischio

Una volta calcolato il rischio totale si mettono in pratica azioni correttive volte a eliminarlo, abbassarlo, oppure trasferirlo (assicurazione).

A questo punto si entra nella gestione del rischio vero e proprio in cui si mettono in pratica una serie di metodologie organizzative e tecnologiche massimizzando il rapporto Costo/beneficio in quanto la gestione del rischio ha benefici ma anche costi quali:

  1. Costi di investimento
  2. Costi di Implementazione delle contromisure
  3. Costi operativi e di manutenzione
  4. Costi diretti e indiretti.

Il ritorno dell’investimento per la riduzione del rischio è comunque positivo se il processo è eseguito correttamente: ci sono dei benefici economici in quanto perdo meno tempo (es, quanto costa ricostruire un sistema gestionale partendo dalle copie cartacee?), benefici non economici come una migliore gestione, una maggiore consapevolezza, un livello di integrità dei dati migliorato.

In definitiva, uno studio di risk management ha l’obiettivo di presentare al management aziendale le contromisure necessarie alla riduzione del rischi e comprende:

  1. Il risultato della Risk Analysis
  2. Gli scenari delle minacce e vulnerabilità
  3. I risultati secondo l’analisi costi/benefici
  4. Le contromisure da adottare.

In sostanza dire che serve assolutamente un doppio ced, oppure una rete dati completamente ridondata, un certo sistema di replica delle informazioni senza avere fatto una seria analisi sia dei costi che dei benefici attesi  è assolutamente priva di significato. Di volta in volta le soluzioni possono essere diverse a seconda dell’azienda.

Sicurezza e valore dei dati

Articoli Correlati