Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Ing. Andrea Gelpi La sicurezza informatica, la cultura e i metodi di accertamento. Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 ing. Andrea Gelpi •Introduzione •Politiche aziendali •Altri aspetti •Conclusioni - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Introduzione • Che cosa comprende la sicurezza informatica • Leggi da tener presenti • Un problema culturale, non solo tecnologico • Importanza del documento delle policy 3 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Che cosa comprende la sicurezza informatica • Non è solo trattamento dati personali e diritto d'autore • Tutto ciò che è possibile fare o subire con strumenti informatici e di comunicazione 4 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Principali norme da tener presenti • • • • • • • L. 547/93 L. 675/96 L. 633/41 L. 248/2000 L. 62/2001 L. 109/91 Norme sulla firma digitale • Varie direttive europee 5 • DPR 318/99 • DLgs 518/92 • DPCM 338/2001 • DM 314/92 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Un problema culturale non solo tecnologico • Abitudini degli utenti – backup, codici d'accesso, file salvati in locale, falsa sicurezza • Manca un senso di cultura della sicurezza • Manca un senso di responsabilità – Cosa vuoi che succeda • Manca il concetto di chi a fatto che cosa • I pirati informatici insegnano e aiutano? 6 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Importanza del documento delle policy • La sicurezza informatica si realizza con ... un pezzo di carta o una cena ! • E' necessario dare regole prima di applicarle • E' opportuno condividere i contenuti con i sindacati 7 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale • • • • • • • 8 Accessi fisici ai sistemi Accessi logici ai sistemi e ai dati Licenze d'uso La rete aziendale Navigazione su Internet Posta elettronica Monitoraggio delle attività e responsabilità - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – accessi fisici • DPR 318/99 impone di proteggere i dati • Necessità di locali chiusi per i server – Tecnici esterni lasciati soli possono essere un rischio • Come controllare chi accede ai locali • Che cosa si rischia – danni e/o furto di dati – mancata adozione di misure di sicurezza 9 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – accessi logici • • • • • • 10 DPR 318/99 impone di proteggere i dati DPR 318/99 impone di tenere traccia di chi fa trattamento Problema dei codici d'accesso (UserID e Password) Dove salvare i dati Falsa sicurezza del salvataggio in locale dei dati Chiunque può accedere ai dati in locale se esiste un dominio o se il sistema operativo non è dotato di sufficienti misure di sicurezza (Win9x) - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – accessi logici • • • DPR 318/99 impone che per il trattamento di dati sensibili devono esistere codici d'accesso su due livelli (al sistema e all'applicazione), ma non sempre è così Soluzione: tutti sono incaricati del trattamento Vulnerabilità dei sistemi – Il firewall è solo un aiuto – I server vanno tenuti aggiornati e monitorati – Che cosa fare in caso d'intrusione • Segnalazione alle forze dell'ordine, no indagini per conto proprio • Ricreare il server violato – Mancata installazione di correttivi potrebbe diventare mancata adozione di misure di sicurezza 11 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – accessi logici • Il problema dei virus – DPR 318/99 obbliga ad avere un sistema antivirus aggiornato ogni 6 mesi ! – I virus non creano solo danni locali, possono diffondere informazioni riservate – Si rischia di essere coinvolti nel danneggiamento di sistemi altrui, tentativo di accesso abusivo a sistema informatico (Patriot Act) – Antivirus non aggiornato, crea una falsa sicurezza – E' fondamentale il comportamento degli utenti 12 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – licenze d'uso • A volte il problema non è sentito – Installazioni senza controllare il numero di licenze disponibili – Installo per lavorare, quindi sono a posto – Il programma è in azienda quindi lo posso utilizzare • Come verificare – Posti di lavoro completamente chiusi – Posti di lavoro completamente aperti • E' importante responsabilizzare gli utenti • Che cosa si rischia – Violazione di norme fiscali e dei diritti d'autore • Open Source e Free Software 13 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – rete aziendale • Attenzione ai punti d'accesso non controllati – Le postazioni fisse – Le postazioni mobili • Attacchi dall'interno – Il 50% e più degli attacchi provengono dall'interno – sniffer 14 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – navigazione Internet • Uso non consono con le attività lavorative – Visita a siti non attinenti l'attività lavorativa – Scarico di contenuti (musica, ecc...) – Consumo di banda pregiata • Come fare i controlli – Log di tutto il traffico verso Internet (Firewall log) – Controlli anonimi per evitare il controllo a distanza del dipendente – Controlli puntuali solo per evidenti violazioni delle regole aziendali – Possibilità di creare liste nere o liste bianche di siti – Utilizzo di software che aiutano, ma non risolvono 15 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – navigazione Internet • • • • Le vulnerabilità del browser Pagine web con codice maligno Domande trabocchetto I servizi gratuiti, li paga l'utente ! (rivendita informazioni) • E' necessario educare gli utenti 16 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – Posta elettronica • • • • • • • 17 Principale sistema di propagazione di virus e troiani Lo SPAM – una piaga Liste di distribuzione e newsgroup La casella di posta è mia e quindi inviolabile – falso La casella di posta istituzionale è dell'azienda che, a determinate regole, la può visionare Soluzione: casella di posta personale diversa da quella istituzionale Lotta allo SPAM con liste nere e filtri - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – Posta elettronica • E' necessario educare gli utenti – Non rispondere alla posta non sollecitata – Non fare clic su pulsanti e non tentare di cancellarsi da liste di ditribuzione – Usare solo il formato di testo puro, per gli altri formati utilizzare gli allegati – Quando possibile inviare il link al contenuto 18 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – Monitoraggio attività • • • • • • 19 Descrivere i monitoraggi che verranno fatti Spiegare come vengono fatti (anonimi, ecc...) Spiegare perchè vengono fatti Ribadire le responsabilità di ciascuno Concordare il tutto con i sindacati I monitoraggi dovrebbero essere esguiti da un gruppo apposito diverso da gestori dei sistemi - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Altri aspetti • Rapporti con le forze dell'ordine • La formazione sia degli utenti che degli amministratori dei sistemi • La programmazione e configurazione del software 20 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Rapporti con le forze dell'ordine • Passa troppo tempo dai fatti al momento delle indagini (anche più di un anno) • La formulazione della richiesta – Il problema degli orologi – Fornire tutte le informazioni atte ad identificare l'utilizzatore dell' IP X.Y.Z.T il giorno gg alle ore hh.mm • Chi deve fare le indagini • Le indagini possono risalire al PC e ai codici usati, ma non direttamente ad una persona • Il sequestro di materiale informatico – Una copia dei supporti è il più delle volte prova sufficiente 21 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Programmazione e configurazione del software • Necessità di dotarsi di software sicuro • Scrivere software sicuro è difficile, l'Open Source può aiutare • Configurazioni errate possono essere fonte di problemi 22 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Formazione degli utenti • Il documento delle policy deve essere spiegato, non imposto e basta • Il DPR 318/99 impone l'obbligo di formazione • A medio termine la formazione costa meno degli interventi per sanare situazioni 23 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Conclusioni • La sicurezza informatica è principalmente un problema organizzativo e di cultura • E' importante riuscire ad attribuire a ciascuno le proprie responsabilità • Una buona organizzazione aumenta la sicurezza e fa risparmiare tempo e denaro 24 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - GRAZIE :-) 25