Sicurezza Informatica e PA / pt 1

In un precedente articolo avevamo proposto un'analisi sull'evoluzione delle normative inerenti ai temi di privacy e sicurezza dei dati nell'ultimo periodo. Da una visione completa dell'insieme si nota con evidenza che dopo alcuni anni di 'costruzione' e 'definizione' delle problematiche, dei ruoli e degli obblighi in materia, le ultime indicazioni arrivate dal legislatore tendono pian piano a semplificare e razionalizzare il complesso giuridico.
Tuttavia per quanto riguarda l'ambito Pubblica Amministrazione si sta andando in controtendenza. Le ultime indicazioni di DigitPA infatti stanno definendo obblighi sempre più precisi, stabilendo con chiarezza ambiti di applicazioni ed indicando suggerimenti e best-practice per permettere soprattutto agli enti locali di riconoscere le proprie mancanze e giungere nel tempo ad un livello di stabilità relativo alla parte informatica che garantisca la piena sicurezza dei dati ed il rapido ripristino delle attività in caso di incidente informatico.
Ad oggi infatti la sensazione (soggettiva) che molte PA locali debbano ancora fare molti passi in avanti per garantire un grado di sicurezza ICT accettabile è ancora diffusa, nonostante il piano normativo anche se un poco farraginoso e complesso già da anni si sia sufficientemente espresso.
In questo primo articolo analizzeremo il contesto storico (moderno) Italiano esclusivamente riguardo le correlazioni tra ICT e sicurezza ( tralasciando perciò il vasto complesso generale della Digital Governance e delle sue varie evoluzioni nel tempo), per poi proporre più avanti un secondo articolo contenente le ultime evoluzioni approfondendo in particolare il ruolo di DigitPa.

La politica italiana incomincia ad interessarsi concretamente di sicurezza informatica e del rapporto di quest'ultima con gli obblighi di privacy nel gennaio 2002 quando la Presidenza del Consiglio dei Ministri emana una direttiva sulla sicurezza ICT con la quale invita le PA ad ad effettuare una propria autovalutazione in merito e ad allinearsi ad una base minima di sicurezza tecnicamente definita negli nallegati alla direttiva. Al contempo il Dipartimento per l'Innovazione per le Tecnologie della Presidenza del Consiglio dei Ministri ed il Ministero delle comunicazioni si sarebbero impegnati a “[…] Promuovere la creazione e la successiva attivazione di un modello organizzativo nazionale di sicurezza ICT […] Costituire un comitato nazionale della sicurezza ICT […] Definire uno schema nazionale di riferimento […] Formulare il piano nazionale della sicurezza ICT della PA […] Realizzare la certificazione di sicurezza ICT nella PA […]”.
Ad aprile dello stesso anno sempre la Presidenza del Consiglio emana la direttiva denominata “Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione” con il quali si pongono le basi giuridiche “… per la valutazione e la certificazione della sicurezza nel settore delle tecnologie dell'informazione per la tutela delle informazioni classificate disciplina le linee essenziali per la definizione dei criteri e delle procedure da osservare per il funzionamento degli organismi di certificazione e per la valutazione dei prodotti e dei sistemi che gestiscono informazioni classificate.” In particolare viene appositamente definita un nuovo tipo di soggetto denominato Centro di Valutazione che dovrà rispondere ad alcune caratteristiche tecniche e sarà regolamentato nei rapporti con il cliente o "valutato".
Pochi mesi dopo a luglio viene istituito con termine al 31/12/2004 il Comitato Tecnico Nazionale sulla Sicurezza ICT con il compito di coordinare i lavori per il raggiungimento degli obiettivi prefissati con la direttiva di gennaio 2002.

Si passa quindi ad ottobre 2003 quando sempre con un decreto della presidenza del consiglio viene adottato il nuovo Schema Nazionale per la certificazione di sicurezza di prodotti e sistemi ICT, che si basa sugli standard ISO ITSEC e Common Criteria.
La sensazione è comunque che ci sia ancora molta strada da percorrere, ed infatti a dicembre dello stesso anno però in un ulteriore decreto viene precisato:
"Gli impegni indicati nella direttiva del marzo 2002 (autovalutazione del livello di sicurezza,
adeguamento alla «base minima» di sicurezza), al momento, non sono ancora compiutamente
realizzati. Le amministrazioni dovranno, pertanto, al più presto, adeguare le propria struttura,
almeno, ai livelli di sicurezza minimi richiesti, rivolgendo l'attenzione sia all'ambito organizzativo
che alla realizzazione di attività operative.
"
A Marzo 2004 il Comitato sulla Sicurezza ICT predispone un fondamentale documento chiamato Proposte concernenti le strategie in materia di Sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione dove viene riassunta tutta l'attività del Comitato. Ampia imprtanza viene data agli interventi di formazioni presso gli enti locali, alla sensibilizzazione sui temi di continuità operativa e analisi dei rischi, al favorire il ricorso a standard di sicurezza, e sopratutto ad una nuova struttura denominata GOVCERT.IT (poi CERT-SPC) con lo scopo di diventare punto di riferimento per le P.A in tema di attacchi informatici, tecniche di intrusione, vulnerabilità, minacce e patch.

Finalmente a Marzo 2006 il CNIPA pubblica il Piano Nazionale della sicurezza delle tecnologie dell’informazione e comunicazione della pubblica amministrazione che stabilisce le azioni necessarie per l' attuazione della sicurezza informatica e contiene al suo interno anche il Modello Organizzativo Nazionale di sicurezza ICT per la PA che invece definisce i processi e le strutture con cui attuare le azioni del Piano Nazionale.
A partire dal 2005 però importanti indicazioni arrivano anche dal Sistema Pubblico di Connettività definito dal Codice dell'Amministrazione Digitale dove sebbene in via generale vengono definite regole, metodi e best-practice (come la nomina di un Computer Emergency Response Team, CERT) per l'ambito di sicurezza nella PA, prestando attenzione a tutti gli aspetti logici, infrastrutturali, dei servizi, e dell’organizzazione.
Infine si ricorda anche nell'aprile 2008 il decreto denominato "Individuazione delle infrastrutture critiche informatiche di interesse nazionale" che sottolinea la sensibilità delle informazioni trattate da alcuni organismi della PA istituendo tra l'altro il C.N.A.I.P.I.C. Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche sotto il controllo della Polizia Postale e delle Comunicazioni.

Nei prossimi giorni come già spiegato proporremmo un ulteriore articolo con le evoluzioni avute negli ultimi 3 anni circa illustrando le specifiche indicazioni e richieste pervenute dal legislatore e da DigitPA nei confronti degli Enti Locali, fornendo anche alcune nostre considerazioni e proposte tecniche per lo sviluppo dei nuovi Sistemi Informatici nelle PA in previsione dell'adeguamento alle novità.

 

RIFERIMENTI:
http://www.interlex.it/pa/d_bruschi.htm
http://www.isticom.it/documenti/evidenza/intervento_guida.pdf
http://archivio.cnipa.gov.it/site/it-IT/Normativa/Raccolta_normativa_ICT/Sicurezza_informatica/
http://www.clusit.it/

Articoli Correlati

Le ultime evoluzioni sulla privacy

Nell'ultimo periodo la Commissione Europea ha discusso un' importante riforma del regolamento sulla privacy con lo scopo di unificare la legislazione in materia all'interno dei paesi EU e sostituire la direttiva 95/46/CE. A differenza delle Direttive che consentono agli Stati Membri di interpretare ed applicare con modalità diverse le norme, i Regolamenti Europei vengono trasformati direttamente in legge nazionale da ogni stato con minima possibilità di modifica. E perciò evidente che questo avrà un importante impatto sul nostro Codice della Privacy, e potrebbe portare ad ulteriori sconvolgimenti.
Il primo passo però sta già venendo discusso in questi giorni, infatti il Consiglio dei Ministri ha dato il via ai lavori di esame preliminare al decreto legislativo per l'attuazione della direttiva europea in tema di servizio universale e diritti degli utenti in materia di reti e servizi di comunicazione elettronica, della direttiva europea sul trattamento dei dati personali e tutela della privacy nel settore delle comunicazioni elettroniche, del regolamento comunitario sulla cooperazione tra le Autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori. Questa normativa dovrebbe servire a ribadire la responsabilità degli operatori in caso di incidenti informatici a tutela di utenti e consumatori.

Oltre a ciò è però utile ricordare che il testo Italiano sulla privacy negli ultimi dodici mesi ha già subito importante modifiche:

A maggio 2011 infatti oltre ad alcuni accorgimenti per i sistemi bancari venivano infatti decise varie semplificazioni normative riguardanti le persone giuridiche, mentre a dicembre dello stesso anno avveniva la rivoluzione limitando il concetto di dato personale soltanto all'ambito delle persone fisiche.

Il 9 febbraio 2012 con il DDL Semplificazioni è stato infine abrogata l' obbligarietà della redazione del Documento Programmatico sulla Sicurezza e Privacy (DPS).
E' nostra opinione però che sia buona norma per ogni azienda, sopratutto se tratta dati sensibili o giudiziari, tenere comunque aggiornato un proprio documento interno simile al vecchio modello di DPS per la guida alla gestione dei sistemi informativi e la continuità operativa allo scopo di avere il sotto controllo e garantire la tracciabilità dei dati, che rimangono comunque un fattore di criticità per ogni organizzazione.

Articoli Correlati

Decreto semplificazioni: cosa cambia per la privacy

Nella tarda mattinata di ieri il governo ha posto la questione della fiducia alla Camera sul decreto legge in materia di semplificazione fiscale ed ha introdotto svariate semplificazioni e novità.

In questo articolo parleremo delle novità in tema Privacy (decreto legislativo 193/2003)

Con il decreto semplificazioni ufficialmente vengono abrogati una serie di articoli in cui si evince (ma si sapeva da tempo ormai) che non serve più il dps come documento da avere in azienda.

Infatti vengono abrogati alcuni punti  del disciplinare tecnico in materia di misure minime di sicurezza e precisamente tutto l'articolo 19 e l'articolo 26 che riportiamo:

 

Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

In sostanza: il famoso documento "DPS" sparisce. Ma si sapeva da tempo.

Il DPS è sempre stato un documento farraginoso e poco adottato dalle aziende in tutti i settori in quanto visto sempre come un qualcosa di inutile, un costo da sostenere per essere a norma. Molto spesso il documento era creato in forma automatica (decine di programmi che facevano in automatico o quasi il documento minimale e a norma di legge) oppure creato da consulenti senza scupolo per poche centinaia di euro con metodi di taglia e incolla. Dimenticando però lo spirito originario del sistema (e qui comincio a parlare di sistema per la sicurezza dei dati aziendali, non più DPS): Essere una guida per salvaguardare il patrimonio informativo della propria attività. Poche organizzazioni lo hanno inteso in questo modo.

Cosa succederà da oggi: probabilmente si dedicheranno ancora meno soldi al tema della sicurezza del proprio sistema informativo in quanto, erroneamente, si presuppone che non servendo più questo documento, il sistema potrà essere lasciato cosi' com'e'. Sbagliando. In quanto tutto il resto del sistema di sicurezza comunque deve essere garantito. Soprattutto in un' era in cui la digitalizzazione sta diventando sempre più pervasiva anche in settori che storicamente erano resti. Aprendo nuove prospettive di furto di dati digitalizzati anche sensibili.

Dal nostro punto di vista, condiviso da molti, il dps dovrà essere sostituito, all'interno dalle organizzazioni, da un manuale operativo per la gestione della sicurezza dei dati comuni, personali e sensibili.

Noi continueremo comunque nella nostra opera di sensibilizzazione sulla necessità della sicurezza del sistema informativo in quanto unico vero patrimonio delel organizzazioni.

Articoli Correlati

Evento ISH

Un evento interessante che merita la giusta pubblicità.

Da forumhealthcare.it.

Nel comparto sanitario le piattaforme tecnologiche, le reti e le infrastrutture, i processi e i servizi sono in continua evoluzione grazie all’innovazione in grado di permeare sempre più rapidamente i modelli organizzativi. La diffusione delle tecnologie informatiche costituisce una naturale leva di trasformazione e miglioramento per la realizzazione di un modello di sanità omogeneo, di forte qualità e sostenibile sotto il profilo economico e organizzativo. All’impiego diffuso delle nuove tecnologie corrisponde però un incremento di rischi e minacce connessi alla stessa gestione telematica dei flussi di dati in un ambito complesso quale quello sanitario: l’immaterialità delle informazioni, la facilità con cui possono essere consultate, duplicate, modificate o addirittura distrutte crea situazioni in cui, nonostante le misure di protezione, si apre una serie di nuovi interrogativi etici e giuridici.

In questo contesto nasce il convegno ISH che, grazie alla costituzione di un Comitato Consultivo che vede riuniti i principali opinion leader del settore di riferimento, si propone di favorire l’incontro fra le diverse realtà che ne compongono il tessuto, instaurando quel collegamento indispensabile tra i più importanti player del mercato e gli operatori sanitari. Il focus specifico verso le tecnologie, l’informatica e l’innovazione nel mondo sanitario italiano, fa del convegno ISH un appuntamento imperdibile per chi, operando in un settore che attraversa un periodo di fortissima evoluzione e trasformazione, deve essere continuamente informato e documentato sulle nuove opportunità offerte dal mercato.

I destinatari del progetto sono: Operatori sanitari dei Sistemi Informativi, Direzione del Personale, Organizzazione, Ufficio Legale, Security Manager, Direzione Sanitaria, Aziende produttrici di hardware e software, Consulenti.

La mostra convegno si terrà in data 30 novembre 2010 all’AtaHotel di Villa Pamphili

Il comitato scientifico sarà composto da:

Piero Giovanni Caporale – Sicurezza Organizzativa e Gestionale Settore ICT – CNIPA, Isabella Corradini – Centro Themis Crime, Mauro Cosmi – Value Team S.p.A, Fabio Di Resta – Consulente legale privacy e ISO 27001 ICT Security Auditor, ricopre l’incarico di consulente legale presso multinazionali del settore ICT e bancario, Elena Ferrari – Docente del Dipartimento di Informatica e Comunicazione dell’Università dell’Insubria, Luisa Franchina – Direttore Generale del Nucleo Operativo NBCR, Dipartimento Protezione Civile, Presidenza del Consiglio dei Ministri, Pierfrancesco Ghedini – Direttore Dipartimento Tecnologie dell’Informazione e Biomediche – Azienda USL di Modena – in qualità di  AISIS (Associazione Italiana Sistemi Informativi in Sanità),Andrea Lisi – Professore a contratto di Informatica Giuridica – Scuola Professioni Legali, Facoltà Giurisprudenza – Università del Salento, Presidente di ANORC (Associazione NazionaleOperatori e Responsabili della Conservazione Sostitutiva), Coordinatore del Digital&Law Department Studio Legale Lisi, Studio Associato D&L – Business&Legal Consultancy, ICT &International Trade, Executive Management SCiNT – Study&Research Centre, Giovanni Manca – Responsabile Sicurezza DigitPA (ex CNIPA), Baldo Meo – Responsabile Comunicazione  Garante per la protezione dei dati personali, Elio Molteni – Presidente AIPSI, ISSA Italian Chapter, Alessandro Musumeci – Direttore Centrale Sistemi Informativi (DCSI), Ferrovie dello Stato, Massimo F. Penco – Presidente Associazione Cittadini di Internet, Membro del Antiphishing Working Group, Vice presidente Gruppo Comodo, Andrea Rigoni – Senior Advisor presso Booz & Company, Giuseppe Russo – Chief Technology Officer, Sun Microsystems Italia, Roberto Setola – Docente e Direttore del Laboratorio Sistemi Complessi e Sicurezza – Università CAMPUS Bio-Medico di Roma, Domenico Vulpiani – Dirigente Generale Polizia di Stato – Consigliere Ministeriale.

Articoli Correlati

Privacy: trasferimento di dati personali al di fuori dell'unione europea

Il Garante ha autorizzato l’utilizzo delle clausole-tipo (elaborate dalla Commissione europea) per regolare il trasferimento di dati ad un responsabile del trattamento insediato in un Paese al di fuori dall’Unione Europea.

Approfondimenti
A seguito della nuova decisione della Commissione europea (1), il Garante ha autorizzato dal 15 maggio scorso le nuove clausole tipo (che sostituiscono le precedenti del 2002) da utilizzare per permettere il trasferimento da un titolare situato in Italia verso responsabili del trattamento stabiliti in Paesi terzi extra UE che non garantiscano un livello di protezione dei dati adeguato.

La Decisione della Commissione
La Commissione CE, già in passato, con propria deliberazione del 2001, aveva individuato le clausole contrattuali tipo da rispettare per poter effettuare il trasferimento (2). Ora la Commissione è intervenuta nuovamente sul tema con una nuova decisione (che abroga la precedente), fissando le clausole-tipo da adottare per regolare il trasferimento di dati. La nuova decisione regola anche l’ipotesi del trasferimento dei dati dal destinatario del Paese terzo (l’“importatore”) ad un ulteriore responsabile del trattamento stabilito in un Paese terzo (“subincaricato”).

Il trasferimento dei dati extra UE secondo il Codice della privacy
Il Codice in materia di protezione dei dati personali (3) individua i diversi casi nei quali è ammesso il trasferimento dei dati personali fuori dall’Unione Europea. Fra le varie ipotesi, viene anche prevista l’autorizzazione del Garante per il trasferimento regolato da accordi contrattuali tra l'”esportatore” di dati residente nell’Unione e l'”importatore” di dati situato in un Paese extra UE che non garantisca un livello di protezione dei dati adeguato.
Con propria deliberazione (4) il Garante ha quindi autorizzato i trasferimenti di dati personali dal territorio dello Stato verso Paesi non appartenenti all’Unione Europea effettuati sulla base ed in conformità alle clausole contrattuali tipo previste dalla Commissione europea. In questo modo, i trasferimenti di dati personali da parte di un’azienda con sede nel territorio italiano verso filiali (o controllanti, controllate o collegate) con sede in Paesi extra UE privi di normative che consentano un adeguato livello di protezione dei dati stessi, vengono dal Garante autorizzati in via generale se effettuati sulla base ed in conformità delle clausole contrattuali tipo sopra citate.
Ricordiamo, peraltro, che il Codice in materia di protezione dei dati personali (3) elenca altre ipotesi ai sensi delle quali il trasferimento dei dati verso Paesi extra UE viene ammesso anche senza l’adozione di specifiche clausole contrattuali.

La norma transitoria

Sebbene la nuova delibera del Garante abroghi la precedente del 2002, tuttavia, in via generale, rimangono validi i contratti già stipulati sulla base delle precedenti clausole tipo.

Note
(1) Decisione 2010/87/UE del 5 febbraio 2010.
(2) Decisione 2002/16/CE del 27 dicembre 2001.
(3) Più in particolare gli articoli 43 e 44 del D.lgs. n.196/2003.
(4) Deliberazione del 27 maggio 2010 (pubblicata in G.U. n.141 del 19 giugno 2010).

Clausole per trasferimento dati all’estero.2010

Articoli Correlati

Privacy: nuovo provvedimento del Garante in materia di videosorveglianza

Da Confindustria Venezia

L’Autorità Garante per la protezione dei dati personali ritorna ad occuparsi di trattamento dei dati compiuto mediante sistemi di videosorveglianza emanando un nuovo provvedimento generale che riscrive gli adempimenti a cui sono tenuti i titolari, pubblici o privati, che fanno uso di tali sistemi, peraltro con l’introduzione di alcune prescrizioni innovative rispetto a quelle del precedente provvedimento in materia del 2004

Approfondimenti
Il nuovo Provvedimento generale (1) sostituisce quello emanato in materia dallo stesso Garante nel 2004 (2), sebbene molti degli adempimenti previsti allora vengono confermati anche dal nuovo. Molti adempimenti in esso contenuti sono rivolti indistintamente sia a soggetti pubblici che privati; di seguito tratteremo però solo gli adempimenti più rilevanti a cui le imprese dovranno conformarsi nell’attivazione di un sistema lecito di videosorveglianza.

Adempimenti: gli obblighi di informativa.
Gli interessati devono essere sempre informati che stanno per accedere in una zona sottoposta a videosorveglianza. Il Garante, riprendendo l’oramai ben noto esempio di cartello proposto nel Provvedimento del 2004, ritiene che gli adempimenti in materia di informativa agli interessati possano venir assolti utilizzando il fac-simile di modello semplificato posto in allegato al Provvedimento stesso, identico a quello già proposto nel precedente provvedimento (3).

Il Garante precisa che, in presenza di più telecamere, circostanza che ritroviamo ad esempio nel caso di vastità dell’area oggetto di rilevamento, potranno venir installati anche più cartelli. Inoltre, il cartello deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti, e deve avere un formato ed un posizionamento tale da essere chiaramente visibile. Una novità introdotta dal provvedimento è quella di aver imposto la visibilità del cartello in ogni condizione di illuminazione (anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno). Viene confermato che il cartello dovrà inoltre specificare se attraverso la videosorveglianza si procede anche alla registrazione delle immagini ovvero alla semplice rilevazione.

L’informativa resa in forma così semplificata necessita poi di un rinvio ad un testo completo che contenga tutti gli elementi previsti dalla specifica norma del Codice della privacy (4) da porre a disposizione degli interessati con modalità facilmente accessibili, anche mediante strumenti informatici e telematici. Al riguardo, il Garante suggerisce le reti Intranet o siti Internet, le affissioni in bacheche o locali, gli avvisi e cartelli agli sportelli per gli utenti, i messaggi preregistrati disponibili digitando un numero telefonico gratuito. L’informativa potrebbe quindi venir resa, per il tramite di un incaricato, anche solo oralmente. In ambito aziendale si suggerisce, tuttavia, ‘adozione di una “policy” che descriva il sistema di videosorveglianza.

Una ulteriore novità relativa all’apposizione dei cartelli è stata introdotta per i sistemi di videosorveglianza direttamente collegati con le forze di polizia, per i quali deve essere resa un’informativa che renda noto agli interessati tale collegamento. A tal fine, il Garante suggerisce l’utilizzo dell’ulteriore modello semplificato di informativa “minima”, anch’esso allegato al nuovo provvedimento generale (5).

Ricordiamo che la violazione delle disposizioni riguardanti l’informativa, che potrà consistere nella sua omissione o inidoneità, viene punita con sanzione pecuniaria amministrativa (6).

Le misure di sicurezza
Nel rispetto della previsione del Codice della privacy (7), i dati raccolti mediante sistemi di videosorveglianza devono essere protetti con idonee e preventive misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta.

Le misure di sicurezza possono peraltro variare significativamente in considerazione delle molteplici finalità perseguite con l’adozione di un sistema di videosorveglianza nonché della varietà dei sistemi tecnologici utilizzabili. Il Garante ritiene però che, in ogni caso, vi debba essere il rispetto di alcuni precisi principi (8) che lo stesso va ad enunciare e che tengono conto, ad esempio, delle diverse competenze e responsabilità degli operatori addetti alla visione delle immagini, delle operazioni che possano venir compiute sulle immagini stesse, specie se conservate, della necessità di compiere interventi di manutenzione sul sistema e delle conseguenti cautele da adottare.

Tra queste misure tecniche-organizzative necessarie indicate dal Garante si possono evidenziare:
– la necessità di gestire, mediante differenti livelli di credenziali di autenticazione, le mansioni degli incaricati che debbono svolgere funzioni diverse rispetto al trattamento delle immagini, soprattutto per le funzioni di verifica delle immagini registrate e per le funzioni di cancellazione o duplicazione;
– la definizione delle procedure (preferibilmente mediante sistemi automatici) per garantire la cancellazione delle immagini allo scadere del periodo massimo di conservazione;
– la necessità di gestire mediante tecniche crittografiche la trasmissione su rete pubblica di comunicazione delle immagini (ipotesi che viene in rilevo nel caso di gestione di sistemi di videosorveglianza in remoto).

Resta pacifica la necessità che il titolare provveda a designare per iscritto (9) tutte le persone fisiche, incaricate del trattamento, autorizzate ad accedere ai locali dove sono situate le postazioni di controllo, ad utilizzare gli impianti ed a visionare le immagini. Deve comunque trattarsi di un numero delimitato di soggetti per i quali il titolare abbia anche individuato eventuali diversi livelli di attività in corrispondenza delle specifiche mansioni attribuite a ciascuno (10).

Anche in questo caso, il Garante ricorda le sanzioni a cui i titolari potrebbero andare incontro nel caso non rispettassero i principi sopra ricordati od omettessero la misure minime di sicurezza (11).

Durata dell’eventuale conservazione delle immagini
Se il sistema di videosorveglianza prevede la conservazione delle immagini, il Garante prescrive che questa venga limitata a poche ore o, al massimo, alle ventiquattro ore successive alla loro ripresa. Potrà essere previsto un termine più ampio di conservazione delle immagini solo in presenza di specifiche esigenze, quali ad esempio le festività o la chiusura di uffici od esercizi, oppure nel caso in cui si debba aderire ad una richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria.

In ulteriori casi (12), quali la particolare rischiosità dell’attività svolta, potrà anche essere ammesso un tempo più ampio di conservazione che comunque non dovrà superare la settimana. Un ulteriore allungamento dei termini, superiore quindi alla settimana, potrà avvenire solo se preliminarmente richiesto al Garante con atto di interpello (13) ed in considerazione di ben motivate esigenze.

Il Garante ribadisce alcune prescrizioni sulla cancellazione automatica delle immagini anche mediante sovraregistrazione (14). Il mancato rispetto dei tempi di conservazione delle immagini raccolte e del correlato obbligo di cancellazione di dette immagini oltre il termine previsto potrà comportare l’applicazione di sanzione pecuniaria amministrativa (15).

Settori specifici
Il Garante affronta il tema della videosorveglianza con riferimento anche ad alcuni specifici settori. In questo senso, non è nuovo il richiamo all’utilizzo della videosorveglianza nell’ambito del rapporto di lavoro, per il quale il Garante ricorda l’onere di rispettare il divieto di controllo a distanza dell’attività lavorativa, risultando infatti assolutamente vietata l’installazione di apparecchiature specificatamente preordinate a tale finalità (16). Nel caso in cui la videosorveglianza fosse resa necessaria da esigenze organizzative o produttive o per la sicurezza del lavoro, il Garante ricorda che ugualmente dovranno venir rispettate le procedure di accordo sindacale preventivo o di autorizzazione previste in materia dallo Statuto dei lavoratori (17).

Il Garante affronta poi, nel medesimo ambito, l’utilizzo di eventuali riprese televisive sui luoghi di lavoro, che vedano coinvolto il personale dipendente, per scopi divulgativi o di comunicazione istituzionale o aziendale. Il Garante conferma quanto già disposto nel precedente provvedimento generale del 2004 sull’assimilazione di questi trattamenti di dati a quelli temporanei finalizzati alla pubblicazione occasionale di articoli e saggi, trovando per essi applicazione le disposizioni sull’attività giornalistica contenute nel Codice della privacy (18) e la conseguente osservanza del codice deontologico per l’attività giornalistica. Resta peraltro fermo il diritto del lavoratore di tutelare la propria immagine opponendosi, per motivi legittimi, alla diffusione delle immagini che lo ritraggono (19).

Sistemi integrati di videosorveglianza
Di particolare interesse appaiono inoltre le nuove prescrizioni nel caso di utilizzo di sistemi integrati di videosorveglianza tra diversi soggetti, pubblici e privati, nonché di servizi centralizzati di videosorveglianza remota da parte di fornitori (società di vigilanza, Internet service providers, fornitori di servizi video specialistici, ecc.). Il Garante, elencando alcune delle tipologie di sistemi integrati di videosorveglianza più diffusi (20), detta una serie di prescrizioni tecniche – organizzative che i titolari dei dati dovranno necessariamente rispettare. Tra queste spicca il nuovo obbligo di sottoporre a registrazione almeno semestrale gli access log eseguiti dagli incaricati al trattamento delle immagini registrate, ed anche le operazioni compiute dagli stessi con i relativi riferimenti temporali.

Adempimenti ulteriori. La verifica preliminare del Garante mediante atto di interpello.
I trattamenti di dati personali nell’ambito di una normale attività di videosorveglianza devono essere effettuati rispettando le misure e gli accorgimenti prescritti dal Garante nel suo nuovo Provvedimento generale. Vi possono però essere dei casi in cui l’attività di videosorveglianza, specie in ragione degli strumenti tecnologici utilizzati, pone una serie di rischi per i diritti e le libertà fondamentali nonché per la dignità degli interessati, tali da necessitare una verifica preliminare del Garante (21). Tra i casi espressamente richiamati ci sono, ad esempio:
– quelli dei sistemi di raccolta delle immagini associate a dati biometrici;
– dei sistemi di videosorveglianza dotati di software che permetta il riconoscimento della persona tramite collegamento o incrocio o confronto delle immagini rilevate (es. morfologia del volto) con altri specifici dati personali;
– dei sistemi c.d. intelligenti, che non si limitano a riprendere e registrare le immagini, ma sono in grado di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli;
– infine, i sistemi con registrazione delle immagini superiori ad una settimana.
In questi casi, il trattamento dei dati può avvenire solo previa autorizzazione del Garante, che viene normalmente attivata mediante apposito atto di interpello, oppure in quanto lo stesso Garante si fosse già espresso con un proprio provvedimento e siano rispettate dal titolare le misure e gli accorgimenti così prescritti in tale provvedimento.

Esonero dal consenso: videosorveglianza per la protezione delle persone, della proprietà, del patrimonio aziendale.
In merito all’obbligo del consenso al trattamento dei dati, il Garante ricorda l’istituto del “bilanciamento di interessi” (22) in attuazione del quale vengono individuati i casi in cui la rilevazione delle immagini può avvenire senza consenso dell’interessato, ma pur sempre nel rispetto delle prescrizioni contenute nel Provvedimento generale. In particolare, il Garante fa riferimento a concrete situazioni che giustificano l’installazione dei sistemi di videosorveglianza a protezione delle persone, della proprietà o del patrimonio aziendale. Nell’uso delle apparecchiature volte a riprendere, con o senza registrazione delle immagini, aree esterne ad edifici e immobili (perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), il trattamento deve però venir compiuto con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando, per quanto possibile, la ripresa di luoghi circostanti e di particolari che non risultino rilevanti.

Sanzioni
Oltre ai puntuali rinvii che lo stesso provvedimento compie alle specifiche sanzioni pecuniarie amministrative previste dal codice per l’inosservanza di determinati singoli obblighi quali quelli sull’informativa e sulle misure di sicurezza, si ricorda che la violazione delle prescrizioni operative dettate dal provvedimento generale determina, in ogni caso, l’applicazione di sanzioni pecuniarie amministrative. Inoltre si ricorda che il trattamento di dati personali in violazione dei principi generali sanciti dal codice (e richiamati dal provvedimento) determina l’inutilizzabilità dei dati stessi.

Applicazione del nuovo Provvedimento: i termini di adeguamento alle nuove prescrizioni
L’adozione di un sistema di videosorveglianza implica necessariamente il rispetto delle prescrizioni contenute nel nuovo Provvedimento. Diversamente il trattamento dei dati personali effettuato tramite sistemi di videosorveglianza deve considerarsi illecito, con tutte le conseguenze, anche sanzionatorie, che ne derivano (23).
In considerazione dell’introduzione di nuove prescrizioni rispetto al procedente provvedimento, il Garante indica però anche dei diversi termini di applicazione del Provvedimento stesso, in ragione dell’adozione di specifiche misure ed accorgimenti in esso previsti alle quali i titolari del trattamento dei dati devono conformarsi:
a) entro dodici mesi dalla pubblicazione del Provvedimento in Gazzetta ufficiale (entro il 29 aprile 2011), rendere l’informativa visibile anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
b) entro sei mesi (entro il 29 ottobre 2010), sottoporre a verifica preliminare i trattamenti che presentano rischi specifici per i diritti e le libertà fondamentali degli interessati;
c) entro dodici mesi (entro il 29 aprile 2011), adottare le misure di sicurezza a protezione dei dati registrati tramite impianti di videosorveglianza;
d) entro sei mesi (entro il 29 ottobre 2010), adottare le misure necessarie a garantire il rispetto di quanto indicato nel Provvedimento in merito ai sistemi integrati di videosorveglianza.

Note
(1) Provvedimento in materia di videosorveglianza dell’8 aprile 2010 (pubblicato nella Gazzetta Ufficiale n. 99 del 29 aprile 2010).
(2) Provvedimento generale del 29 aprile 2004.
(3) Vedi Allegato n. 1 al Provvedimento generale dell’8 aprile 2010.
(4) Ai sensi quindi dell’art. 13, comma 1°, del Codice della privacy (D.lgs. 30 giugno 2003 n. 196).
(5) Vedi Allegato n. 2 al Provvedimento generale dell’8 aprile 2010.
(6) Art. 161 del Codice della privacy che prevede la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.
(7) Articoli 31 e ss. del Codice della privacy.
(8) Vedi 3.3.1. del Provvedimento generale dell’8 aprile 2010.
(9) Secondo l’art. 30 del Codice della privacy. Vanno osservate le regole ordinarie anche per ciò che attiene all’eventuale designazione di responsabili del trattamento previste all’art. 29 del Codice della privacy.
(10) Distinguendo così coloro che sono unicamente abilitati a visionare le immagini dai soggetti che possono anche effettuare, a determinate condizioni, ulteriori operazioni, quali, per esempio, registrare, copiare o cancellare le immagini, spostare l’angolo visuale, modificare lo zoom, ecc.
(11) Il mancato rispetto dei principi indicati dal garante può venir colpito ai sensi dell’art.162, comma 2-ter, del Codice della privacy (inosservanza dei provvedimenti di prescrizione di misure necessarie) con la sanzione amministrativa del pagamento di una somma da trentamila euro a centottantamila euro. L’omessa adozione delle misure minime di sicurezza comporta l’applicazione della sanzione amministrativa stabilita dall’art. 162, comma 2-bis del Codice della privacy (pagamento di una somma da diecimila euro a centoventimila euro) ed integra la fattispecie di reato prevista dall’art. 169 del Codice stesso (l’arresto sino a due anni e possibilità, però, di godere del regime del ravvedimento operoso previsto dal comma 2° dello stesso articolo).
(12) Ad esempio, “per peculiari esigenze tecniche (mezzi di trasporto) o per la particolare rischiosità dell’attività svolta dal titolare del trattamento (ad esempio, per alcuni luoghi come le banche può risultare giustificata l’esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina).”.
(13) Ai sensi dell’art. 17 del Codice della privacy.
(14) Vedi 3.4. del Provvedimento generale dell’8 aprile 2010: ”Il sistema di conservazione delle immagini impiegato deve essere programmato in modo da operare al momento prefissato l’integrale cancellazione automatica delle informazioni allo scadere del termine previsto da ogni supporto, anche mediante sovra-registrazione, con modalità tali da rendere non riutilizzabili i dati cancellati. In presenza di impianti basati su tecnologia non digitale o comunque non dotati di capacità di elaborazione tali da consentire la realizzazione di meccanismi automatici di expiring dei dati registrati, la cancellazione delle immagini dovrà comunque essere effettuata nel più breve tempo possibile per l’esecuzione materiale delle operazioni dalla fine del periodo di conservazione fissato dal titolare.”.
(15) Art. 162, comma 2-ter, del Codice della privacy (sanzione amministrativa del pagamento di una somma da trentamila euro a centottantamila euro).
(16) Art. 4, comma 1°, della Legge n. 300 del 1970 (Statuto dei lavoratori). Il Garante ricorda che “non devono quindi essere effettuate riprese al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto dell’orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa (ad es. orientando la telecamera sul badge).”.
(17) Vedi art. 4, comma 2°, della Legge n. 300 del 1970 secondo cui: “Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti.”.
(18) Articoli 136 e ss. del Codice della privacy.
(19) Secondo l’art.7, comma 4, lett. a), del Codice della privacy.
(20) Vedi 4.6 del Provvedimento generale dell’8 aprile 2010.
(21) Attivata d’ufficio o a seguito di un interpello del titolare ex art. 17 del Codice della privacy.
(22) Art. 24, comma 1, lett. g), del Codice della privacy.
(23) Inutilizzabilità dei dati personali trattati in violazione della relativa disciplina (art. 11, comma 2, del Codice della privacy); adozione di provvedimenti di blocco o di divieto del trattamento disposti dal Garante (art. 143, comma 1, lett. c), del Codice della privacy), e di analoghe decisioni adottate dall’autorità giudiziaria civile e penale; applicazione delle pertinenti sanzioni amministrative o penali (artt. 161 e ss. del Codice della privacy).

Provvedimento Videosorveglianza aprile 2010

Articoli Correlati

Aziende di tutto il mondo sotto attacco hacker

Notizia di oggi che sta riempiendo i giornali e i siti.

Riporto quello tratto da pmi.it:

L’attacco hacker più massiccio, sofisticato ed esteso di tutti i tempi – così verrà ricordato quello scoperto dall’ingegnere Alex Cox, impiegato nell’azienda della Virginia Netwitness, che si occupa di sicurezza per Governo Usa ed FBI – sta terrorizzando le aziende di tutto il mondo. L’iniziativa criminale è partita a fine 2008.

Prese di mira informazioni critiche e dati sensibili di imprese ed enti governativi: 75.000 pc e server, oltre 2.500 aziende in 196 diversi paesi.

Cox ha individuato, il 26 gennaio scorso il sistema, il bot Kneper, utilizzato dagli hacker per carpire i dati. Il funzionamento è piuttosto semplice ma purtroppo efficace, perchè basato sull’ingenuità degli utenti.

Gli hacker hanno indotto i dipendenti a scaricare software maligno che, una volta installato, permette di accedere liberamente ai Pc e ai server aziendali, utilizzando anche un pericoloso spyware già noto come ZeuS.

La base della rete hacker sarebbe stata localizzata in Est-Europa, con un centro di controllo in Germania, ma per ora l’Europa non sembra essere la zona geografica più colpita, bensì Usa, Messico, Egitto, Arabia Saudita e Turchia.

È però necessario sottolineare che l’attacco è ancora in atto, tanto che ancora non è stato possibile quantificare i danni provocati. È pertanto importante continuare a prestare attenzione quando si istallano software scaricati dalla Rete e provenienti da fonti sconosciute.

L’invito arriva mediante email con allegati o link infetti, oppure tramite avvisi che invitano a cliccare su siti infettati, o ancora inviando warnings legati alla necessità di cancellare file dannosi per il computer, inducendo quindi a scaricare programmini creati dagli hacker stessi.

Le mie considerazioni sono:

  1. Troppe aziende sottovalutano la sicurezza;
  2. Pochissime hanno un piano integrato per la sicurezza informatica;
  3. Gli utenti sono troppo poco consapevoli dei rischi per svariati motivi (disinformazione, poca consapevolezza, tanto il sistema magari non è mio)
  4. Tanti non leggono quello che cliccano (magari non sanno le lingue)
  5. Spendere in sicurezza? e perchè? tanto non capiterà mai a me

E poi si chiude la stalla quando i buoi sono fuggiti. Questo dal punto di vista degli utenti.

I provider nazionali invece potrebbero fare qualcosa di più, visto che questo diventerà il terreno di scontro delle prossime guerre. Policy di sicurezza più strette, filtri intelligenti per la gestione del traffico e molto altro ancora.

Ovviamente secondo il nostro punto di vista

Articoli Correlati

Password: gli utenti usano ancora password troppo semplici

I tempi passano ma alcune brutte abitudini rimangono.  Le password che l’utente medio utilizza sui sistemi informatici sono ancora troppo semplici.

Da recenti studi, sembra che le password più usate siano queste:

  1. 12345
  2. 123456
  3. qwerty
  4. 65432
  5. password
  6. il nome della persona
  7. il login
  8. 12345678
  9. 111111
  10. etc…

Beh che dire… sono troppo semplici ed espongono l’utente ad una molteplicità di problemi: furto di credenziali, accessi non desiderati, e molto altro.

Eppure metodi semplici ci sono: utilizzare maiuscole minuscole all’interno di una frase che conoscete, utilizzare i numeri, aggiungere qualche simbolo speciale.

Facciamo un esempio.

Utilizziamo una semplice password: password. Troppo semplice vero? Proviamo a complicarla:

  1. PaSSwoRd
  2. !PAssw0RD! (non è una o, è uno zero)
  3. !P455m0rD! (qui abbiamo giocato che la a rovesciata è simila al 4 e la s è simile al 5)

Semplice no? e non sono neanche molto semplici da trovare, neanche con un attacco brute force.

Ma vediamo le linee quida canoniche per creare password complesse e difficili da individuare:

  • lunghe almeno 8 caratteri
  • non deve essere un termine con un senso compiuto che puo’ essere messo in relazione con la persona o con il sistema sul quale viene utilizzato
  • non deve essere rintracciabile su un comune vocabolario (in qualsiasi lingua)
  • non deve essere costituita esclusivamente da una successione di cifre
  • deve contenere lettere maiuscole, minuscole, cifre, simboli e ogni altro carattere normalmente disponibile sulla tastiera
  • non devono essere troppo difficili da ricordare
  • non vanno scritte su foglietti o altri supporti
  • vanno cambiate spesso (almeno ogni tre mesi)
  • si devono utilizzare password diverse per sistemi diversi
  • non utilizzare a rotazione un ristretto numero di password.

Tutto qui. Non è semplicissimo ma neanche impossibile. A voi ora il divertimento di trovare password difficili!!

Articoli Correlati

Amministratori di sistema: un sistema di log open source

Domani entra in vigore il famigerato decreto sugli amministratori di sistema.

Questa è una soluzione che abbiamo sviluppato e che proponiamo ai nostri clienti per quanto riguarda la parte tecnica, gestione dei log degli accessi degli amministratori di sistema.

Nel pieno rispetto dell’open source presentiamo una soluzione a basso costo utilizzando sistemi liberamente scaricabili da internet.

Sistemi per la gestione dei log ne esistono di tutti i tipi e per tutte le tasche ma, leggendo le caratteristiche di molti a pagamento… abbiamo subdorato che molto spesso sono dei pc embedded con programmi open source venduti a svariati migliaia (se non decine di migliaia) di euro. Vediamo come fare utilizzando la rete.

Prendimao un pc con una buona dotazione di spazio disco (e poi vedremo perchè) e installiamoci una distribuzione open source linux (noi lavoriamo con ubuntu… ma il discorso si puo’ fare con qualsiasi altra distribuzione avendo l’accortezza di utilizzare i comandi adeguati).

A questo punto montiamoci un server MySql e quindi utilizziamo come log server centralizzato il sistema Syslog-ng per salvare tutti i dati sul database menzionato.

Seguendo le direttive trovate sul seguente link:  http://www.openskill.info/infobox.php?ID=1466

Innanzitutto e’ necessario  connettendosi a mysql con il comando mysql -u username -p passwhord -h 127.0.0.1 e creare il database che conterra’ i log con il comando create database db_log;.
Si presuppone che mysql sia in esecuzione sullo stesso sistema del syslog server ed in ascolto sull’indirizzo di loopback.
Una voltra create il database si suggerisce di creare un utente apposito che abbia i privilegi sullo stesso, in modo di evitare di utilizzare l’utenza di root. Anche in questo caso e’ necessario loggarsi al dbms con un mysql -u username -p password -h 127.0.0.1 ed eseguir eil seguente comando:
GRANT ALL PRIVILEGES ON db_syslog.* TO syslog_user@127.0.0.1 IDENTIFIED BY 'syslog_password'.
L’ultima operazione da eseguire sul database e’ la creazione della tabella che conterra’ i messaggi syslog salvati da syslog-ng. Tale operazione puo’ essere portata a termine con il comando mysql -u syslog_user -p syslog_password -h 127.0.0.1 < syslog_table.sql .
syslog_table.sql sara’ un file di testo contenente le istruzione per creare la tabella, e dovra’ contenere le seguenti linee:

#
# Table structure for table `logs`
#

CREATE TABLE logs (

host varchar(32) default NULL,
facility varchar(10) default NULL,
priority varchar(10) default NULL,
level varchar(10) default NULL,
tag varchar(10) default NULL,
date date default NULL,
time time default NULL,
program varchar(15) default NULL,
msg text,
seq int(10) unsigned NOT NULL auto_increment,

PRIMARY KEY (seq),

KEY host (host),
KEY seq (seq),
KEY program (program),
KEY time (time),
KEY date (date),
KEY priority (priority),
KEY facility (facility)

) TYPE=MyISAM;

Ovviamente nel caso il file syslog_table non sia nella stessa directory dalla quale viene lanciato il client mysql sara’ necessario specificare il percorso del file in questione.
Una volta predisposta la parte relativa al database, e’ stata aggiunta la seguente destinazione al file di configurazione di syslog-ng /etc/syslog-ng/syslog-ng.conf:

#file di destinazione con query sql che saranno processate dal feeder
destination file_sql {
file(“/var/log/sqllog/log_sql_$HOUR.$MIN”
template(“INSERT INTO logs (host, facility, priority, level, tag, date, time, program, msg) VALUES ( ‘$HOST’, ‘$FACILITY’, ‘$PRIORITY’, ‘$LEVEL’, ‘$TAG’, ‘$YEAR-$MONTH-$DAY’, ‘$HOUR:$MIN:$SEC’,’$PROGRAM’, ‘$MSG’ );n”)
template_escape(yes));
};

Questa direttiva fa in modo che all’interno del file /var/log/sqllog/log_sql_ORA.MINUTO vengano inserite una serie di istruzioni INSERT SQL che una volta eseguite dal client mysql andranno ad inserire i dati nella tabella logs del database db_syslog.
A meno che nel file di configurazione di syslog-ng non sia posta a yes l’opzione create_dirs sara’ necessario creare la directory /var/log/sqllog ed impostare dei permessi coerenti con le opzioni owner, group, perm, dir_owner, dir_group e dir_perm se definite nel file di configurazione di syslog-ng.
Inoltre, come si puo’ notare dall’opzione file della direttiva destination, non verra’ creato un singolo file ma diversi a seconda dell’ora e del minuto in cui verranno generati. Tale scelta si e’ resa necessaria per semplificare la creazione e l’esecuzione dello shellscript che eseguira effettivamente gli inserimenti nek database e che verra’ successivamente illustrato.

Infine, la nuova destinazione creata dovra’ essere utilizzata all’interno di una direttiva log del file /etc/syslog-ng/syslog-ng.conf perche’ qualcosa possa essere scritto all’interno del file /var/log/sqllog/log_sql_ORA.MINUTO:

#log query per il feeder
log { source(s_all); destination(file_sql); };

Con questa configurazione, pero’, nessun dato viene ancora scritto all’interno del database ma vengono solo scritte delle istruzioni INSERT nei file /var/log/sqllog/log_sql_ORA.MINUTO.
E’ quindi necessario creare uno script che prenda questi file e inserisca effettivamente i log all’interno del database, ad esempio /opt/syslg-db/feeder.sh:

#!/bin/bash
# Script adattato da process_logs di  Casey Allen Shobe

dbhost=”localhost”
dbuser=”syslog_user”
dbpass=”syslog_password”
dbname=”db_log”
datadir=”/var/log/sqllog”

while true; do
logfiles=`find $datadir -name “log_sql_[0-2][0-9].[0-5][0-9]”`
sleep 70 # This is to ensure we don’t screw up a log currently being written.
for logfile in $logfiles; do
cat $logfile | mysql –user=$dbuser –password=$dbpass $dbname
if [ $? -ne 0 ]; then
echo “[ERRORE] Problema nel processare il file $logfile!!!” >> $datadir”/feeder_log.log”
#exit 1 #Comment out this line if you want the script to
else
echo “[OK] $logfile inserito nel db in data `date –rfc-3339=seconds`” >> $datadir”/feeder_log.log”
rm -f $logfile
fi
done
done

Nella parte iniziale dello script vengono definite alcune variabili d’ambiente che indicano i parametri da utilizzare per la connessione al database e la directory dove si trovano i files scritti da syslog-ng contenenti le istruzioni inserti da eseguire.
Un aspetto importante dello script e’ l’istruzione sleep 70 eseguita all’interno del ciclo while dopo avere settato la variabile contenente i nomi dei file da processare durante l’iterazione corrente. Quando eseguita essa sospende l’esecuzione dello script per 70 secondi, in modo da impedire che possa essere processato un file in corso di scrittura da parte di syslog-ng.
Poiche’ la destination definita nel file di configurazione di syslog-ng, prevede la creazione di un nuovo file di log ogni minuto (grazie all’utilizzo della macro $MIN), con una sleep di 70 secondi si avra’ la sicurezza che i files definiti nella variabile logfiles non siano piu’ oggetto di scrittura, essendo trascorsi almeno 60 secondi dalla loro creazione.
Per ognuno di questi file, infine, vengono eseguite le istruzioni INSERT in essi contenute passandole in input al client mysql tramite la linea cat $logfile | mysql --user=$dbuser --password=$dbpass $dbname.
Una volta processato, il file viene rimosso tramite il comando rm -f. Lo script verifica inoltre l’exit code del comando mysql ed in base ad esso scrive l’esito del processing del file in /var/log/sqllog. Questa operazione puo’ anche essere considerata superflua ed evitata semplicemente commentando le due istruzioni echo all’interno del ciclo for.
Infine, per automatizzare l’utilizzo dello script feeder.sh e’ possibile modificare lo script /etc/syslog-ng/syslog-ng in modo da avviare e terminare automaticamente feeder.sh insieme al syslog server:

#!/bin/sh
#
[…]

start() {
echo -n $”Starting $prog: ”
daemon $exec $SYSLOGNG_OPTIONS
retval=$?
echo
[ $retval -eq 0 ] && touch $lockfile
echo “Starting Feeder”
/opt/syslg-db/feeder.sh &
return $retval
}

stop() {
echo “Stopping Feeder”
killall feeder.sh
echo -n $”Stopping $prog: ”
killproc $prog
retval=$?
echo
[ $retval -eq 0 ] && rm -f $lockfile
return $retval
}

[…]

Bene a questo punto il server è a posto, ricordandosi di abilitare la ricezione dei log remoti modificando una riga su /etc/syslog-ng/syslog-ng.conf . La riga in questione comincia con #udp(). Cancellate il carattere #, salvate riavviate il server syslog- Bene il sistema è quasi pronto.

Passiamo ai clients.

Se i client sono linux, nessun problema, installate su tutti il demone syslog-ng e modificatene il contenuto aggiungendo le seguenti righe:

destination d_loghost  { udp(“ip_server_log”);  };

log { source (s_all); destination (d_loghost);};

Riavviate sui client il demone syslog-ng e il server comincerà a ricevere i log.

Passiamo ai clienti Windows (per client, intendo server windows che manderanno i log sul server di log centralizzato)

Per windows ho testato  Snare Agent per windows, un pacchetto open source che installa un servizio per il log degli eventi su windows ed è amministrabile tramite una pagina web. L’installazione si limita al solito doppio click sull’eseguibile, all’impostazione della password ed alla scelta se permettere o meno l’accesso remoto alla pagina di configurazione del servizio. Per effettuare la configurazione è sufficiente puntare il browser su localhost:6161. Utente e password di default sono snare/snare, da cambiare immediatamente.

La configurazione da impostare per avere il log remoto è sulla pagina network. Basta impostare  Destination Snare Server address con l’indirizzo ip del server di log e come  destination  port  514. Attivare Enable Syslog  Header e selezionare come syslog facility auth, con livello notice.

Stanchi? un attimo di pazienza tra un po’ è finito.

A questo punto abbiamo tutti i nostri log su un server mysql. La normativa ci impone di salvarli su supporti non modificabili (cd o dvd in pratica).

Lo risolviamo in questo modo:

Scriviamo un piccolo script che ad una certa ora (impostata con cron) viene eseguito per estrarre i dati dal database e scriverli in un file che poi recupereremo per trasferirlo in un cd  e/o DVD.

lo script è il seguente:

#!/bin/bash
dbhost=”localhost”
dbuser=”syslog_user”
dbpass=”syslog_password”
dbname=”db_log”
filebackup=backup-log-$(date +%d-%m-%Y –date=”yesterday”)
/usr/bin/mysql –user=$dbuser –password=$dbpass $dbname < /opt/syslg-db/query.sql > /home/log/$filebackup.txt
gzip /home/log/$filebackup.txt

il contenuto del file sql query.sql è questo:

select * from logs where date=(select curdate() – interval 1 day);

Per recuperare il tutto abbiamo utilizzato il servizio ftp (il server  non ha monitor e/o tastiera). Installiamo il demone proftpd, lo configuriamo e creiamo un utente log. A questo punto, a tempi prefissati, ci recuperiamo i files da scrivere sui CD e/o DVD

Alcune note di prestazione: da un nostro cliente con una decina di server e con circa 100 client con tale sistema in meno di cinque giorni abbiamo un db con oltre 2 milioni di righe!!!!  Diventa importante quindi eseguire ogni tanto un task per cancellare dal db i record vecchi di n giorni ( a questo punto è banale l’implementazione).

Altra nota: il garante ci dice che dobbiamo loggare anche tutti gli accessi degli amministratori sui pc che trattano dati pernonali e/o sensibili.. i log diventeranno ancora di più.

Abbiamo finito, questa è una soluzione che abbiamo ritenuto soddisfacente i requisiti minimi del garante (a seguito anche di incontri con esponenti del Garante stesso). Non saraà perfetta, sarà migliorabile, ma funziona.

Attendiamo commenti

Articoli Correlati

Amministratori di sistema: precisazione del Garante

Notizia tratta da www.garanteprivacy.it

 

Amministratori di sistema: precisazioni del Garante

In vista della scadenza del 15 dicembre, termine entro il quale imprese e altri soggetti interessati devono adeguarsi alle prescrizioni impartite a suo tempo in materia di amministratori di sistema, l’Autorità per la protezione dei dati personali ritiene opportuno precisare alcuni aspetti, anche allo scopo di evitare ingiustificati oneri per le aziende.

L’Autorità, nel rilevare il generale impegno da parte delle imprese ad adempiere alle prescrizioni impartite con il provvedimento del 27 novembre 2008, ha infatti constatato che informazioni imprecise o anche talune azioni promozionali da parte di consulenti rischiano di disorientare alcune aziende, soprattutto quelle di piccole dimensioni, esponendole a immotivati aggravi economici.

L’Autorità intende dunque ribadire quanto segue:

  • le prescrizioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o abbiano fatto ricorso alla figura professionale dell’amministratore di sistema o a una figura equivalente.
  • le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso.

Per quanto concerne, infine, gli aspetti tecnici del provvedimento (in particolare, la conservazione dei log degli accessi effettuati dagli amministratori di sistema), il Garante ricorda come l’adeguamento possa avvenire anche con soluzioni a basso costo, validamente proposte e disponibili in rete (per esempio basate su software gratuito, anche con licenze di tipo open source), che possono costituire valide alternative all’impiego di prodotti commerciali o di apparati più sofisticati.

Roma, 10 dicembre 2009

Articoli Correlati