Oggi è sabato 23 Settembre 2017
     
 

Furlanis Elettronica SaS di Furlanis Andrea & C.
Via Gaetano Pellegrini, 20 - 37136 VERONA VR
Tel: +39 045 581711 - Fax: +39 045 581597
E-mail: info@furel.it - Partita IVA: 01889680235

  Home page - Area riservata - Informazioni - Siti consigliati

PRIVACY: Le misure di sicurezza.

 
05/03/2004. Chi non investe in tecnologia sceglie automaticamente la via del declino economico, sociale e culturale. E' un dato oggettivo, oltre che dettato dalla comune esperienza. Non possiamo più prescindere dall'impiego della tecnologia, pena una perdita di competitività. Un divario, questo, che sarebbe molto difficile da colmare. Ecco quindi spiegato perché dobbiamo confrontarci con la sicurezza informatica. Le nuove tecnologie, oltre ai benefici che tutti noi conosciamo, spesso racchiudono potenziali pericoli per i dati personali e per la riservatezza della privcy degli utilizzatori della tecnologia stessa.
 
 
Le misure minime

Sono di due tipi le misure di sicurezza, come vengono rilevate dal T.U. sulla privacy, quelle "minime" e quelle "idonee". L'obiettivo delle "minime" è quello di assicurare un livello minimale di protezione dei dati personali. Un livello sotto al quale non si può scendere, poiché ai sensi dell'art. 169 T.U. costituisce reato, punito con l'arresto fino a 2 anni o con ammenda da 10.000 a 50.000 Euro.

Le misure minime vengono poi a loro volta suddivise in due gruppi, a seconda che il trattamento dei dati personali avvenga avvalendosi di adeguati strumenti elettronici oppure no. Per quanto concerne il trattamento con strumenti elettronici, vi sono otto parametri di minima. Una particolare attenzione è stata riposta dal Legislatore alla nozione di "autenticazione informatica": questa definizione comprende i mezzi elettronici, sia software che hardware, atti a verificare ed a convalidare l'identità di una persona.

L'autenticazione informatica è una misura molto importante, in quanto, se correttamente implementata, garantisce il controllo d'accesso agli elaboratori. L'autenticazione informatica ha il compito di verificare l'identità di chi andrà poi a trattare i dati personali e di convalidarla. Ciò è reso possibile grazie all'uso delle "credenziali di autenticazione", che sono quei dati (login e password oppure fisici) e dispositivi (token), in possesso di una persona e ad essa univocamente correlati, che vengono usati per l'autenticazione informatica. Le attuali tecnologie informatiche, usano per il riconoscimento dell'identità, i tradizionali "login" e "password" oppure altri dispositivi (biometrici, token, smartcard, etc.), oggi largamente diffusi.

Al punto 3 del Disciplinare Tecnico è previsto che ad ogni incaricato siano assegnate o associate individualmente una o più credenziali per l'autenticazione. I termini "assegnate" o "associate" sono relativi alla differenza tra le diverse tipologie di credenziali: una password può essere assegnata, ma non altrettanto un tratto biometrico, che è già patrimonio esclusivo dell'individuo e per queste credenziali è dunque riservato il concetto di associazione e non di assegnazione. Data la particolare delicatezza che rivestono, le credenziali devono essere custodite gelosamente.

La credenziale ad oggi più utilizzata è la parola chiave. Tutti infatti conoscono la "password", che è una stringa di caratteri alfanumerici, scelta da una persona e ad essa associata. Nonostante il fatto che possa contenere tutti i caratteri della tastiera, la statistica ci insegna che l'utente, se viene lasciato libero di scegliene una, tenderà a sceglierla facile, come il nome di un familiare o la data di una ricorrenza.

La legge si premura quindi, di specificare le caratteristiche che deve avere una password per essere realmente tale. Vengono così determinate le regole di composizione e di uso, che garantiscono un livello di sicurezza "minimo". La parola chiave dovrà essere composta da almeno otto caratteri. Inoltre, non dovrà contenere alcun riferimento che sia riconducibile all'interessato (es.: cognome della moglie, data di nascita, etc.) e dovrà essere modificata dal'interessato sia al primo utilizzo, che, successivamente, almeno ogni sei mesi, oppure ogni tre nel caso che l'oggetto trattato siano dati sensibili o giudiziari.

L'accoppiata nome/password è in genere meno sicura delle altre credenziali. Questo spiega la diffuzione sempre crescente delle credenziali biometriche, considerate le più affidabili. Successivamente al riconoscimento dell'incaricato, un "sistema di autorizzazione" permetterà al soggetto, di trattare i dati. E' necessario, a tal fine, che l'incaricato sia stato preventivamente autorizzato dal titolare (o, se a sua volta designato, dal responsabile) a trattare determinati dati. Si tratta, di un adempimento preliminare di estrema importanza, che deve essere effettuato per iscritto e con la specifica degli ambiti consentiti nel trattamento. L'individuazione dei singoli trattamenti consentiti (per esempio, ad un incaricato aziendale sarà permesso solo visionare i dati, e non di modificarli o eliminarli; un altro incaricato, invece, potrà aver accesso solo ai dati comuni e non anche a quelli sensibili, etc.) costituirà il "profilo di autorizzazione" di ogni singolo incaricato. Il profilo dovrà essere riverificato almeno una volta all'anno.

Un'altra norma prescrive la protezione da attuare sugli strumenti elettronici e sui dati, da accessi non consentiti e da programmi maligni, ciò mirato ad impedire che vi siano trattamenti illeciti dei dati stessi in violazione della legge, oppure che si verifichino accessi non consentiti o azioni distruttive causate da virus, worm e, in generale, da ogni altro codice pericoloso per l'integrità e la confidenzialità del dato stesso. Ogni accesso al sistema informatico compiuto da persone non autorizzate è considerato "accesso abusivo", anche se effettuato dai dipendenti stessi, che accedono ai dati per i quali non dispongono di un adeguato "profilo di autorizzazione".

Capire come avviene un attacco è fondamentale per poterlo prevenire. L'attacco e preceduto quasi sempre da azioni preparatorie. Il soggetto non autorizzato, avvalendosi di tecniche definite di "ingegneria sociale" che consistono nel reperire informazioni sulla vittima da colpire, sfruttando la naturale propensione delle persone a rispondere a domande dirette ed impreviste o ad aiutare qualcuno che sembra in difficoltà o, all'opposto, che ricopre una carica di prestigio. La fase successiva è la "ricerca dell'impronta". Ovvero, il soggetto raccoglie informazioni sull'architettura del sistema informatico, ed in particolare sulle protezioni della struttura informatica stessa.

Principalmente, ma non solo, i soggetti che connettono il proprio sistema informatico ad Internet devono proteggersi. E' quindi opportuno seguire la prescrizione qualunque sia il tipo di dato personale oggetto di trattamento. Quindi, installare adeguati software antivirali, scaricare frequentemente gli aggiornamenti del sistema operativo e degli applicativi (patch). Il più diffuso strumento di difesa delle reti informatiche è chiamato "firewall". L'uso del firewall non eclude l'adozione di un software antivirus! E nessuno può prescindere la sua implementazione, qualunque sia la dimensione della rete e l'importanza dell'impresa o dei dati da proteggere.

Bisogna quindi fare attenzione che gli attacchi vengono favoriti, non solo dalle possibili lacune nelle misure di sicurezza attivate a protezione del sistema, ma anche dalle vulnerabilità del software. È assodato che il software contiene spesso delle imperfezioni o "bug". Alcune di esse facilitano gli attacchi informatici. I produttori del software interessato, appena ne vengono a conoscenza, rilasciano apposite correzioni o "patch" per ovviare al problema. Il punto 17 del D.T. dice che è buona norma scaricare frequentemente gli aggiornamenti dei programmi, questa operazione, in ogni caso, va effettuata almeno una volta all'anno. A nostro avviso, su elaboratoi esposti, va effettuata almeno una volta alla settimana!

Anche la "periodicità minima di aggiornamento" di programmi antivirali, fissata dalla legge in sei mesi, ci sembra troppo lasca, l'esperienza ci dice che se un software antivirus non viene aggiornato almeno quotidianamente, non è efficace, anzi, su computer particolarmente esposti come i server di posta l'aggiornamento dovrebbe essere effettuato almeno ogni ora.

Un'altro punto preso in considerazione, è l'obbligatorietà di effettuare, almeno ogni settimana, copie di savataggio o "back-up" dei dati contenuti nei propri sistemi informatici. Il punto è fondamentale ma, ad una più profonda analisi, la previsione di legge appare superficiale, dato che non viene considerato di abbinare alla procedura di salvataggio dei dati l'indispensabile verifica successiva in modo da avere la certezza che quanto contenuto nel back-up sia effettivamente riutilizzabile nel caso si renda necessario il recupero. Nemmeno l'ipotesi di archiviare i supporti in altro luogo viene considerata, questo accorgimento diviene raramente indispensabile, solo in caso di incendi, alluvioni, allagamenti, terremoti, esplosioni, etc. ma ci permette, in questi casi seppur remoti, di tornare in possesso dei nostri dati. Ovviamente, anche il salvataggio dev'essere protetto con la necessaria autenticazione.

Il processo di "disaster recovery" ovvero quella procedura che consente di ripristinare il normale funzionamento dell'elaboratore a seguito di una inaspettata interruzione di servizio, va quindi sempre eseguito, anche se legge ne prescrive l'obbligatorietà per i soli dati sensibili o giudiziari.

Infine è prevista anche una "misura minima" nella tenuta di un documento programmatico sulla sicurezza (c.d. DPS). Predisporre un documento programmatico annuale sulla sicurezza è una misura già prevista dal d.P.R. 318/99, ma ora viene rinnovato sensibilmente il punto, dato che nel precedente decreto il documento doveva essere obbligatoriamente redatto solo nel caso del trattamento di dati sensibili e/o giudiziari effettuati mediante elaboratori accessibili in rete. Con la nuova normativa, il documento programmatico ovvero una relazione sui rischi aziendali e sulle contromisure da adottare per gestirne l'eventuale emergenza, è di importanza fondamentale nella pianificazione delle scelte di sicurezza aziendale ed entra a far parte delle documentazioni obbligatorie che le imprese che trattano dati sensibili o giudiziari devono tenere.

Per legge, infatti, il titolare deve riferire nella relazione accompagnatoria del bilancio d'esercizio, dell'avvenuta redazione o dell'aggiornamento del documento programmatico.

L'adozione delle nuove misure, potrebbe creare notevoli problemi applicativi a migliaia di studi professionali ed imprese medio-piccole, che non hanno alle proprie dipendenze persone con le necessarie competenze tecniche.

In considerazione di questo fatto, e quindi che i titolari potrebbero in questo caso assumersi responsabilità per interventi eseguiti da altri (consulenti o aziende esterne) ha ritenuto opportuno tutelarli, prevedendo l'obbligo per l'installatore o il consulente di rilasciare una dichiarazione scritta dell'intervento effettuato, che ne attesti la conformità alle disposizioni del D.T.

Le misure idonee

Sono disciplinate dall'art. 31 T.U., in queste misure, viene imposto al titolare del trattamento dei dati personali di predisporre tutte le misure di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato e/o di trattamento non consentito o non conforme alle finalità della raccolta dei dati stessi.

Attenzione! Se l'adeguamento alle "misure minime" è esente da implicazioni di responsabilità penali, ciò non è sufficiente per tutelarsi anche dalla responsabilità civile, nel caso in cui l'evoluzione tecnologica renda disponibili accorgimenti tecnici che soddisfino le misure dichiarate "idonee". Ciò perché "chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell'art. 2050 c.c.". L'art. 2050 c.c., infatti, prevede che il titolare del trattamento sia esente da responsabilità solo se riesce a dimostrare di aver adottato tutte le misure idonee ad evitare il danno. Altrimenti dovrà rispondere anche del danno non patrimoniale (Vedi sentenza 22.11.02 n. 254 Tribunale di Orvieto).

Il titolare ed il responsabile, devono anche adottare le misure di prevenzione "idonee" a ridurre i rischi prevenibili e prevedibili, che incombono sui dati, oltre a quelle minime previste.

Quindi, l'impresa che operi on line, al fine di ridurre i rischi, sarà tenuta ad osservare il livello di sicurezza minimo di legge (conseguenze penali) e ad approntare le tutte le misure di sicurezza ulteriori che si potevano predisporre (risarcimento danni).

Le sanzioni per chi ignori la legge sono, specialmente in tema di omessa attuazione delle "misure minime", molto rigorose. Quindi è auspicabile che l'azienda prenda visione delle indicazioni di legge e si conformi, senza scordare che la sicurezza informatica è sempre soggetta all'errore umano, che è senz'altro l'anello più debole della catena, è errato pensare che i prodotti, da soli, offrano la sicurezza assoluta.

La privacy, non dev'essere valutata come un costo aziendale ma bensì come risorsa. Bisogna passare da un'antiquata visione della privacy come "intoppo burocratico" o "costo aggiuntivo" ad una nuova visione come "risorsa remunerativa", dato che l'implementazione dei sistemi di riservatezza dei dati, rappresenta un valore aggiunto al proprio lavoro.