11/04/23

CODICE IN CODICE IN MATERIAMATERIA

DI PROTEZIONE DI PROTEZIONE DEIDEI

DATI PERSONALIDATI PERSONALI(d.lgs. 30 giugno 2003, n. 196)(d.lgs. 30 giugno 2003, n. 196)consulenzaprivacy@ancitel.itconsulenzaprivacy@ancitel.it

A cura del dott. Angelo Salice

Sicurezza – Provenienza attacchiSicurezza – Provenienza attacchi

Esternoil 78% degli attacchi esterni avviene tramite la connessione ad internet

( nel 1999 era il 57%)

Esternoil 78% degli attacchi esterni avviene tramite la connessione ad internet

( nel 1999 era il 57%)

Fonte CSI / FBI Security Study 2003

MinacceMinacce

Minaccedelle buone regole di sicurezza ci permettono di proteggere noi stessi da eventuali minacce

Minaccedelle buone regole di sicurezza ci permettono di proteggere noi stessi da eventuali minacce

Sicurezza – Conoscere le minacceSicurezza – Conoscere le minacce

Primo semestre 2004: 50 nuovi virus al giornoNel 2004: 17.000 minacce malware

2.800 nuove vulnerabilità1.500 attacchi di phising al mese

Al momento sono rilevati 7.000 bot (infezione simile a virus ma controllata da remoto) con un incremento di 150/200 a settimana(Fonte: McAfee Avert)

Nel 2003 il 78% degli attacchi è avvenuto attraverso Internet (nel 1999 era il 57%)

Nel 2002 perdite legate ad attacchi informatici di 67,7 mln di dollariNel 2003 perdite legate ad attacchi informatici di 200 mln di dollariNel 2004 perdite legate ad attacchi informatici di 141 mln di dollari(Fonte: CSI / FBI Computer Crime and Security Survey, 2003-2004)

Sicurezza – Conoscere le minacceSicurezza – Conoscere le minacce

GlobalInfrastructur

eImpact

RegionalNetworks

MultipleNetworks

IndividualNetworks

IndividualComputer

GlobalInfrastructur

eImpact

RegionalNetworks

MultipleNetworks

IndividualNetworks

IndividualComputer

Target and Scope of Damage

Target and Scope of Damage

1st Gen• Boot viruses

1st Gen• Boot viruses

WeeksWeeks 2nd Gen• Macro viruses• E-mail • DoS• Limited

hacking

2nd Gen• Macro viruses• E-mail • DoS• Limited

hacking

DaysDays3rd Gen• Network DoS• Blended threat

(worm + virus+ trojan)

• Turbo worms • Widespread

system hacking

3rd Gen• Network DoS• Blended threat

(worm + virus+ trojan)

• Turbo worms • Widespread

system hacking

MinutesMinutes

Next Gen• Infrastructure

hacking • Flash threats• Massive

worm driven • DDoS• Damaging

payload viruses and worms

Next Gen• Infrastructure

hacking • Flash threats• Massive

worm driven • DDoS• Damaging

payload viruses and worms

SecondsSeconds

1980s1980s 1990s1990s TodayToday FutureFuture

Time from knowledge of vulnerability to release of exploit

is shrinking

Time from knowledge of vulnerability to release of exploit

is shrinking

Evoluzione della sicurezzaEvoluzione della sicurezza

Misure di sicurezza - FinalitàMisure di sicurezza - Finalità

Privacy = tutela dei dati personali

Pertanto i dati personali devono essere protetti in ogni fase del trattamentoper evitare

• distruzioni• perdite• accessi non autorizzati• trattamenti non leciti• trattamenti non conformi alle finalità della raccolta

Coinvolgono titolare, responsabili e incaricati

Misure di sicurezza - ObiettiviMisure di sicurezza - Obiettivi

Le misure di sicurezza mirano a garantire

• Riservatezza: la capacità di rendere disponibili le informazioni soltanto ai soggetti autorizzati, ossia le persone che ne hanno dirittoproteggendo pertanto le trasmissioni dei dati e l’accesso agli elaboratori;

• Integrità: le informazioni devono essere accurate e complete, salvaguardando l’esattezza dei dati, proteggendoli da manomissioni e distruzioni compiute da individui non autorizzati;

• Disponibilità: le informazioni devono essere rese accessibili a richiesta degli utenti in maniera continuativa, secondo le loro specifiche esigenze, salvaguardando i diritti di accesso degli interessati

Misure di sicurezza – Minime e IdoneeMisure di sicurezza – Minime e Idonee

Il Codice prevede due tipi di misure di sicurezza

• Minime: sono le misure di sicurezza elencate nell’Allegato B del Codice. La loro adozione è obbligatoria per TUTTI i titolari, indipendentementedal tipo di dati (comuni, sensibili e giudiziari), dal tipo di trattamento (manuale o informatico), dalla situazione informatica (pc singoli, in rete…),dalla connessione o meno a Internet, dal contesto, dal numero di incaricati…La mancata adozione espone a conseguenza PENALI

• Idonee: sono le ulteriori “idonee e preventive misure di sicurezza” selezionate anche “in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento” (art. 31) implementate per ridurre al minimo i rischi.La mancata adozione espone a conseguenze CIVILI

Misure di sicurezza – Minime e IdoneeMisure di sicurezza – Minime e Idonee

Le misure di sicurezza MINIME sono elencate dal Codice (Allegato B) e sono uguali per tutti coloro che trattano dati personali.Garantiscono un livello minimo di tutela dei dati.Senza tali misure NON è possibile effettuare alcun trattamento dati.

Le misure di sicurezza IDONEE non sono elencate dal Codice in quantovariano a seconda del contesto e della tipologia dei dati trattati.Devono garantire un livello adeguato di tutela dei dati.

Misure di sicurezza – ObblighiMisure di sicurezza – Obblighi

Adottare le misure di sicurezza, minime e idonee, è un obbligo previsto dal Codice:

Misure IDONEE

Art. 31 – “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi,di accesso non autorizzato o di trattamento non consentito o non conforme allefinalità della raccolta”

Misure MINIME

Art. 34 – “Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31 […] i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate” nell’Allegato B del Codice

Se non vengono utilizzati strumenti elettronici per il trattamento dati occorre:

• fornire agli incaricati istruzioni scritte in merito alla custodia e alla tutela dei dati personali in loro possesso

• verificare almeno annualmente l’ambito di trattamento consentito ai singoliincaricati (tipologie di dati che possono trattare, operazioni concesse…)

• in caso di dati sensibili o giudiziari, i singoli incaricati devono custodire i datiin loro possesso, in modo che nessun utente non autorizzato possa accedervi

• chi accede agli archivi con dati sensibili o giudiziari deve essere identificato:

fuori dall’orario di chiusura occorre che gli incaricati che accedono agli archivi devono essere identificati e registrati se non ci sono sistemi elettronici per il controllo degli accessi (ad es. badge magnetici, videocamere…) gli incaricati devono essere statipreventivamente autorizzati

Misure minime – Trattamenti manualiMisure minime – Trattamenti manuali

Definizione di Strumento ElettronicoDefinizione di Strumento Elettronico

Per STRUMENTO ELETTRONICO si intende:

• gli elaboratori

• i programmi per elaboratori

• qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento

Se vengono utilizzati strumenti elettronici per il trattamento dati occorre:

• autenticazione informatica: consente di identificare chi accede al trattamento dati

• autorizzazione informatica: definisce che cosa può fare l’incaricato

• protezione di dati e sistemi

Misure minime – Strumenti elettroniciMisure minime – Strumenti elettronici

L’AUTENTICAZIONE informatica consente di controllare chi accede

• ai dati • agli elaboratori • ai programmi • e ad ogni altro strumento elettronico

Serve a verificare e convalidare l'identità del soggetto.

L’accesso agli strumenti, dati e trattamenti deve avvenire solo dopoessersi autenticati: solo gli incaricati autorizzati possono accedere ai trattamenti dati

es. i computer devono richiedere nome utente e password per accedereal sistema

Autenticazione informaticaAutenticazione informatica

Per identificare la persona esistono due metodi:

1. Metodi INDIRETTI: dati conosciuti solo dalla persona o dispositivi in suo esclusivo possesso (non utilizzabili da altri incaricati)

2. Metodi DIRETTI: caratteristiche fisiche distintive della persona

Gli strumenti usati per identificare gli utenti sono definiti

CREDENZIALI DI AUTENTICAZIONE

Autenticazione informaticaAutenticazione informatica

Credenziali di autenticazione: metodi INDIRETTI

• Nome utente e password: il nome utente identifica la persona, la password (nota soltanto all’incaricato) ne garantisce la sua identità

• Smart Card / Tessera magnetica: il possesso (esclusivo) della credenziale è sufficiente a garantire l’identità della persona.

• Crittografia asimmetrica (firma digitale): grazie alla firma digitale si ha la certezza dell’identità dell’utente

Vantaggi: costi contenuti, larga diffusioneSvantaggi: possibile perdita o furto delle credenziali o utilizzo non esclusivo dellestesse (ad es. incaricati che conoscono le rispettive password o tessera magneticautilizzata da più persone)

Credenziali di autenticazione – Metodi IndirettiCredenziali di autenticazione – Metodi Indiretti

Credenziali di autenticazione: metodi DIRETTI

Sono caratteristiche fisiche ed esclusive della persona: tecniche biometriche

• Impronta digitale• Riconoscimento volto• Riconoscimento vocale• Riconoscimento geometria vasi sanguigni dell’iride• Riconoscimento geometria vasi sanguigni della mano

Vantaggi: semplicità d’uso, nessun rischio di perdita furto o smarrimento o di utilizzo non esclusivoSvantaggi: costi elevati, necessità di tutelare i sistemi di autenticazione da possibili alterazioni o manomissioni

Credenziali di autenticazione – Metodi DirettiCredenziali di autenticazione – Metodi Diretti

Gestire le credenziali di autenticazione significa che

• è definita una procedura di autenticazione: modalità operative mediante le qualil’utente è identificato (metodi diretti, indiretti…)L’autenticazione può avvenire anche con una combinazione di elementi (es.impronta digitale + password: si ha quindi doppia autenticazione, dovuta al possesso di un dispositivo e alla conoscenza di un’informazione segreta)

• sono associate individualmente, in quanto devono consentire l’identificazionedell’incaricato

• sono disattivate se non utilizzate a lungo: per evitare rischi di furto, smarrimento o utilizzo non consentito bisogna disattivare le credenziali non utilizzate per almeno sei mesi (es. nome utente e password non più usati)

• sono disattivate se l’incaricato non è più autorizzato al trattamento: per es.se ha cambiato lavoro, mansione o non è più autorizzato a trattare tali dati

Gestione delle credenziali di autenticazione /1Gestione delle credenziali di autenticazione /1

• sono impartite precise istruzioni sulla custodia delle credenziali: ad es. lapassword deve essere segreta e conosciuta soltanto dall’incaricato

• In una sessione di lavoro lo strumento elettronico non deve rimanere incustoditoneppure per breve tempo in modo da evitare che utenti non autorizzati possano accedervi (utilizzare ad es. screensaver o disconnettere l’utente primadi allontanarsi)

• il codice per l’identificazione (es. nome utente) non può essere riutilizzato nemmeno in tempi diversi

Gestione delle credenziali di autenticazione /2Gestione delle credenziali di autenticazione /2

Disciplinare Tecnico - Allegato B Codice, n. 10:

“sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema.

In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato”.

Si può, ad esempio, scrivere la password e consegnarla al responsabile in busta chiusa, da aprire in caso di necessità. Al suo rientro, l’incaricato dovrà modificare la password in quanto non è più segreta.

Gestione delle credenziali di autenticazione /3Gestione delle credenziali di autenticazione /3

Se l’autenticazione si basa su nome utente e PASSWORD:

• deve essere almeno di 8 caratteri (o comunque il massimo consentito dalprogramma in uso)

• non deve essere facilmente riconducibile all’incaricato

• modificata ogni 6 mesi (3 se vengono trattati dati sensibili) o comunque ogni qualvolta si renda necessario per garantirne la segretezza (es. colleghi che ne sono venuti a conoscenza)

• segreta e custodita gelosamente

• deve essere robusta, ossia difficile da indovinare o ricostruire

Gestione delle password /1Gestione delle password /1

Per trovare una password non conosciuta, un attaccante può usare due tipologie di attacchi:

• basati su dizionari multilingue: vengono provate tutte le parole presenti neidizionari per verificare se una di queste è stata impostata come password. Occorre evitare parole di senso compiuto (anche se non riferibili all’utente)

• attacco a forza bruta (“brute force”): vengono provate combinazioni casuali di lettere e numeri fino a trovare la password cercata (es. AAAAA, AAAAB,AAAAC…) E’ possibile testare circa 3000 password al secondo. Password lunghe servono a contrastare tale tipo di attacco: una password lunga 8 caratteri, con lettere maiuscole e minuscole, numeri e simboli può resistere fino a 100.000 anni di tentativi!Password di 8 caratteri, usando solo lettere minuscole, numeri, punto e trattino (-) possono resistere ‘solo’ fino a 56 anni.

Gestione delle password /2Gestione delle password /2

Una password è ROBUSTA se:

• non è di senso compiuto (per evitare attacchi basati su dizionari)

• sufficientemente lunga (per evitare attacchi brute force)

• composta da lettere e numeri e simboli (per evitare attacchi brute force)

• non riconducibile all’incaricato (per evitare che venga indovinata)

• apparentemente casuale (per evitare che venga indovinata)

• facilmente memorizzabile o ricostruibile da parte dell’incaricato (per evitare che debba essere scritta)

Gestione delle password /3Gestione delle password /3

1. Usare due o più parole unite: Es. OrsodiAlice

2. Utilizzare simboli al posto di caratteri:Es. Or$odi@lice

3. Scegliere eventi o persone particolari:Es. L@ure@diGi0rgi0

4. Utilizzare fonemi nelle parole:Es. MarciaXlapace

5. Prima lettera di ogni parola:Es.: frase originale:

Nel Bel Mezzo Del Cammin Di Nostra VitaPassword (create utilizzando solo le lettere maiuscole della frase originale):

NBMDCDNV

Esempi di passwordEsempi di password

Fonte: http://www.microsoft.com/italy/pmi/sicurezza

Il sistema di autenticazione consente di identificare chi compie determinate operazioni.

Il sistema di autorizzazione consente di definire che cosa può fare l’incaricato: infatti un soggetto, pur avendo accesso ad un elaboratore, potrebbe non aver diritto di accedere a determinati trattamenti o specifiche informazioni. Oppure potrebbe non essere autorizzato a compiere certe operazione.

In questo modo è possibile creare gruppi di utenti distinti fra loro in base al profilo di autorizzazione concesso, definendo, per esempio, che alcuni utenti possono soltanto visualizzare i dati, altri possono anche modificarli e altri ancora possono eliminarli.

Inoltre ogni incaricato dovrebbe poter accedere solo al proprio trattamento, essendogli inibito, anche se lo volesse, il trattamento di informazioni per le quali non è stato autorizzato.

E’ consigliabile e spesso necessario anche se non obbligatorio!

Sistema di AutorizzazioneSistema di Autorizzazione

Disciplinare Tecnico – Allegato B del Codice, n. 16:

“I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale”

Protezione dati e sistemi /1Protezione dati e sistemi /1

“programma informatico […], avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ossia l'interruzione, totale o parziale, o l'alterazione del suo funzionamento” (Codice Penale)

Es. virus, macrovirus, trojan horse, worm, spyware, malware…

Protezione dati e sistemi /2Protezione dati e sistemi /2

Disciplinare Tecnico – Allegato B del Codice, n. 16:

“I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui all’ art. 615 - ter del codice penale, mediante l’utilizzo di idonei strumenti elettronici”

“chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni ” (Codice Penale)

Se sono trattati dati sensibili o giudiziari:

Protezione dati e sistemi /3Protezione dati e sistemi /3

Per proteggere dati e sistemi:

• Antivirus: il Codice prevede che sia aggiornato almeno ogni 6 mesi

• Anti-malware (programma per rimuovere applicativi dannosi: es. AdAware, Spybot S&D…)

• Aggiornamento periodico dei sistemi (es. Windows Update): il Codice prevede che sia fatto almeno ogni 12 mesi

• Aggiornamento periodico dei programmi per correggerne difetti (es. Office Update): il Codice prevede che sia fatto almeno ogni 12 mesi

• Procedure di salvataggio dei file (backup)

• Formazione del personale

Protezione dati e sistemi /3Protezione dati e sistemi /3

Per proteggere rete informatica:

1. Firewall: apparato hardware o software che controlla il traffico in entrata ein uscita dalla rete

2. Intrusion Detection System: software in grado di rilevare gli attacchi contro larete informatica

3. Virtual Private Network: rete informatica dove i dati scambiati dagli elaboratorisono crittografati e non accessibili a eventuali utenti non autorizzati

Protezione dati e sistemi /4Protezione dati e sistemi /4

Nel caso di dati sensibili o giudiziari trattati da Enti Pubblici (art. 22 c. 6):

- I dati sensibili e giudiziari devono essere cifrati, ossia resi temporaneamenteinintelligibili anche a chi è autorizzato ad accedervi.

- l’identificazione della persona a cui si riferiscono i dati deve avvenire soloin caso di necessità (separazione dati personali e dati sensibili)

In questo modo se anche dovesse essere rubato il database con i dati sensibilinon sarebbero comunque leggibili senza conoscere la password

Quindi:

1. Per accedere all’elaboratore occorre autenticarsi (es. nome utente e password)

2. Per accedere al trattamento occorre essere abilitati dal sistema di autorizzazione

3. Per accedere ai dati sensibili o giudiziari, occorre inserire una password (sistema di cifratura)

Il Codice prevede che, in caso di danneggiamento, i dati siano ripristinati al massimo entro 7 giorni.

Occorre:

Copia di sicurezza dei dati almeno settimanale (backup)

Verifica periodica del funzionamento dei supporti di backup (nastri, cassette, CD, DVD…)

Custodia e protezione dei supporti di backup (es. dati cifrati con password e supporti conservati in cassaforte)

Protezione dati e sistemi /5Protezione dati e sistemi /5

Combinazione dei diversi sistemi di sicurezza

informatica (software e hardware)

fisica (locali e impianti)

organizzativa e procedurale (policy)

Protezione dati e sistemi /5Protezione dati e sistemi /5

Se nel trattare i dati vengono utilizzati dei supporti (CD, DVD, dischi fissi, chiavi USB…) gli incaricati devono ricevere istruzioni per proteggere i dati perevitare accessi non autorizzati.

Se contengono dati sensibili o giudiziari e non sono più utilizzati devono

- Essere cancellati in maniera definitiva (non basta la formattazione!)

- Distrutti o resi inutilizzabili

Gestione supporti rimovibiliGestione supporti rimovibili

Combinazione dei diversi sistemi di sicurezza

informatica (software e hardware)

fisica (locali e impianti)

organizzativa e procedurale (policy)

Sicurezza integrataSicurezza integrata

Sicurezza integrataSicurezza integrata

Documento Programmatico sulla Sicurezza /1Documento Programmatico sulla Sicurezza /1

Il Documento Programmatico sulla Sicurezza (DPS) è

1. rappresentazione della realtà aziendale (analisi dei rischi, distribuzione dei compiti, misure di sicurezza adottate, distribuzione delle responsabilità...): momento di analisi e di verifica della situazione dell’organizzazione in meritoalla tutela dei dati personali, comuni, sensibili o giudiziari.

2. strumento di pianificazione che rappresenta il percorso che l'organizzazione deve compiere per adeguarsi alla normativa sulla privacy (misure di sicurezza da adottare, interventi formativi, attività di adeguamento...)

Dopo la prima redazione (entro 31 dicembre 2005) dovrà essere aggiornatoentro il 31 marzo di ogni anno.

E’ redatto dal Titolare in collaborazione col Responsabile/i privacy.

Documento Programmatico sulla Sicurezza /2Documento Programmatico sulla Sicurezza /2

Il Documento Programmatico sulla Sicurezza (DPS) contiene:

• l’elenco dei trattamenti di dati personali

• la distribuzione dei compiti e delle responsabilità in merito al trattamento dei dati (c.d. “mansionario”)

• l’analisi dei rischi che incombono sui dati (distruzione o perdita, anche accidentale, dei dati, accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta

• le misure di sicurezza adottate e da adottare (protezione dei dati, delle aree e dei locali, istruzioni operative…)

• le modalità di ripristino dei dati (copie di sicurezza e backup)

• la previsione di interventi formativi degli incaricati del trattamento

Gestione della sicurezzaGestione della sicurezza

La verifica dell’efficacia e dell’efficienza delle misure di sicurezza adottate è un punto fondamentale, nel processo per la sicurezza:

In un contesto tecnologico in rapidissima evoluzione, è necessario avere le massime garanzie circa la adeguatezza delle misure di sicurezza adottate,nei confronti del sempre più vasto, articolato ed aggiornato panorama delle minacce possibili.

Nella gestione della sicurezza non esistono punti di arrivo, Nella gestione della sicurezza non esistono punti di arrivo, ma solo di partenza!ma solo di partenza!

Per chiarimenti e ulteriori informazioni, è possibile contattarmi all’indirizzo e-mail: info@angelosalice.it info@angelosalice.it

Grazie per l’attenzione !Grazie per l’attenzione !

Domande?Domande?

Sito ufficiale del Garante per la protezione dei dati personali:

http://www.garanteprivacy.it

Clusit – Associazione italiana per la sicurezza informatica: http://www.clusit.it

Ministro per l'innovazione e le tecnologie:http://www.innovazione.gov.it http://www.innovazione.gov.it

RiferimentiRiferimenti