La sicurezza informatica
Anni fa l’uso del computer non portava molte preoccupazioni per la
perdita di dati, comunque, per evitare eventuali perdizioni si utilizza il
Backup.Per avere più sicurezza si utilizza la password all’accensione del
Computer, per evitare l’accesso da parte di altre persone.Cn la nascita di
Internet il livello di rischio è aumentato,i rischi che si corrono sono:
• Minacce di intrusione
• Possibilità di divulgazione non autorizzata di informazioni
• Interruzioni e distruzioni di servizi offerti dall’utenza
Per far in modo che questi problemi si attenuassero, i legislatori dei paesi
più industrializzati hanno istituito Sicurmatica che è un settore
informatico che si occupa delle norme inerenti:il trattamento e la
salvaguardia degli strumenti informatici e delle informazione in esse
contenute
relizzato da:Cataldo Irene
Elenco degli argomenti
•
•
•
•
•
•
•
•
Sicurezza informatica
Gestione del rischio
Organizzazione della sicurezza
Standard ed Enti di Standardizzazione
Crittografia
Autenticazione
Protezione dei dati
Le minacce
relizzato da:Cataldo Irene
La sicurezza informatica1
LA DISPONIBILITA’
La disponibilità è il grado in cui le informazioni e le risorse
informatiche
Sono accessibili agli utenti.Per impedire che i dati siano accessibili si
deve tener conto:
•
Delle condizioni ambientali (energia, temperatura, umidità ecc..)
•
Delle risorse hardware e software (guasti, errori, blackout ecc…)
•
Di attacchi esterni (attacchi provenienti ad es. da internet)
relizzato da:Cataldo Irene
La sicurezza informatica2
Ogni programma che si occupa della sicurezza delle informazioni deve seguire 3
obiettivi fondamentali:
1.
La disponibilità
2.
L’integrità
3.
La riservatezza
Alla sicurezza si possono aggiungere altri 2 obiettivi:
o
L’autenticità: che garantisce l’invio di un messaggio effettivamente
arrivato al destinatario
o
Il non ripudio: che garantisce che il messaggio conosca il suo autore
L’integrità riguarda le informazioni, devono essere:corrette, coerenti
e affidabili; mentre l’integrità che riguarda le risorse informatiche devono
avere: completezza, coerenza e buone condizioni di funzionamento,mentre
l’integrità che riguarda l’hardware e i sistemi di comunicazione,consiste:
relizzato da:Cataldo Irene
LA SICUREZZA INFORMATICA
nella corretta elaborazione dei dati
in un livello adeguato di prestazioni
in un corretto instradamento dei dati
Mentre per l’integrità che riguarda il software:
la completezza e la coerenza dei moduli del sistema e delle applicazioni
la correttezza dei file critici di sistema e di configurazione
LA RISERVATEZZA
La riservatezza consiste nel limitare l’accesso alle informazioni e alle risorse
Informatiche alle sole persone autorizzate.Si applica sia alla comunicazione
all’archiviazione sia alla comunicazione delle informazioni.
relizzato da:Cataldo Irene
GESTIONE DEL RISCHIO1
I rischi connessi agli aspetti della sicurezza delle informazioni sono:
I beni da difendere
Gli obiettivi di sicurezza
Le minacce alla sicurezza
La vulnerabilità dei sistemi informatici
L’impatto causato dall’attuazione delle minacce
Il rischio
I BENI DA DIFENDERE
Un bene è qualsiasi cosa,materiale o immateriale che ha un valore e deve essere
Protetto.Parlando della sicurezza delle informazioni i beni di un azienda sono:
le risorse informatiche
Il personale (utenti, amministratori, addetti alla manutenzione)
le informazioni
la documentazione
L’immagine dell’azienda
relizzato da:Cataldo Irene
GESTIONE DEL RISCHIO2
Nel campo della sicurezza delle informazioni, i beni di un individuo sono:
informazioni personali
La privacy
GLI OBIETTIVI DI SICUREZZA
Gli obiettivi di sicurezza, sono il grado di protezione che si intende attuare pei
beni in termini di:
Disponibilità
Integrità
Riservatezza
I beni si classificano in categorie per sapere quale obiettivo adottare ed ognuno
di essi si assegna il tipo di sicurezza :
per le password e i numeri di identificazione il requisito più importante
per raggiungere della sicurezza è la riservatezza.
relizzato da:Cataldo Irene
Gestione del rischio3
- Per le informazioni contabili di una banca che esegue transizioni on-line i i
i requisiti richiesti sono: disponibilità, integrità e riservatezza.
Per le informazioni pubblicate sul sito web i requisiti richiesti sono:
disponibilità, integrità e riservatezza.
Per le informazioni pubblicate sul sito web i requisiti richiesti sono:
disponibilità e integrità
relizzato da:Cataldo Irene
Minacce alla sicurezza
-
-
Una minaccia è un azione: potenziale, accidentale, deliberata, essa può portare
alla violazione ad uno o più obiettivi di sicurezza.Le minacce si distinguono
in:
NATURALI, AMBIENTALI E UMANI
Minacce
Deliberate Accidentale
Terremoto
X
Guasto
hardware
Furto
Ambientale
X
X
relizzato da:Cataldo Irene
Per esempio: un allargamento dovuto a forti piogge è una minaccia
Accidentale di origine naturale che influisce notevolmente alla
Sicurezza in quanto interrompe l’utilizzo dei servizi informatici.
Altro esempio è un cavallo di troia installato all’apertura di un
allegato di posta elettronica infetto, questa è una minaccia
deliberata di origine umana e coinvolge tutti gli obiettivi di
sicurezza, ciò viola la sicurezza nei 3 obiettivi:
•Disponibilità in quanto il computer cade sotto il controllo esterno
e non può più essere disponibile al suo proprietario
•Integrità in quanto le sue informazioni possono essere cancellate
o alterate
•Riservatezza in quanto i dati possono essere divulgati e letti dagli
estranei.
L’ENTITA’che mette in atto la minaccia è chiamato agente.
relizzato da:Cataldo Irene
Vulnerabilità dei sistemi informatici
La vulnerabilità è un punto debole del sistema informatico
(hardware,software e procedure) che se colpito da una minaccia porta a
qualche violazione degli obiettivi di sicurezza. Una vulnerabilità di per
se non causa una perdita di sicurezza ma è la combinazione tra
vulnerabilità e minaccia che determina la possibilità che vengano
violati gli obiettivi di sicurezza.Per fare un esempio,un computer
utilizzato per la contabilità di un azienda, non protetto da firewall e
antivirus e privo delle patch di sicurezza del sistema operativo,è
vulnerabile, ma se è tenuto al sicuro,viene usato solo dal titolare e non
è collegato ad internet, può funzionare senza il pericolo di essere
colpito da minacce.
relizzato da:Cataldo Irene
L’impatto causato dall’attuazione
delle minacce
L’impatto si ha quando la minaccia colpisce il sistema e dipende dal
valore del bene e dalla violazione degli obiettivi di sicurezza.Per fare
un esempio, il titolare di un azienda,connette il suo portatile ad internet
senza protezione, apre un e-mail propagando l’infezione alla rete
aziendale,l’impatto è grave e coinvolge tutti gli obiettivi di
sicurezza(disponibilità,integrità e riservatezza).In questo caso il
titolare dell’azienda è il l’agente (ovvero colui che ha attuato la
minaccia), la vulnerabilità è la conseguenza delle cattive abitudini e
delle incompetenze del titolare.Tutto ciò provoca il blocco temporaneo
della rete e dei computer ad essa collegata, la disinfestazione con il
conseguente rischio della perdita dei dati e la reinstallazione del
software.
relizzato da:Cataldo Irene
Il rischio
Il rischio è tanto maggiore quanto maggiore è l’impatto che l’ha causato è
l’alta probabilità che esso si verifichi.Possiamo definire il rischio
l’insieme:della gravità dell’impatto (conseguenza di n evento
dannoso) e la probabilità che si verifichi l’evento dannoso.Il rischio si
può classificare in due fasi:
• ANALISI DEL RISCHIO
• CONTROLLO DEL RISCHIO
relizzato da:Cataldo Irene
Organizzazione della sicurezza
La sicurezza delle informazioni è il risultato di un insieme di processi
ai vari livelli dell’organigramma aziendale.L’organizzazione della
sicurezza parte dall’alto dove gli obiettivi e le politiche di sicurezza
sono definiti dal top management per poi essere specificati nei
dettagli man mano che si scende attraverso gli strati del modello
organizzativo della sicurezza.In cima a questo modello ci sono gli
obiettivi strategici in cui si deve fare carico l’organizzazione di
sicurezza .Uno dei primi compiti del gruppo incaricato nella
sicurezza è quello di inquadrare l’azienda in base al modello di
attività, all’esposizione ai rischi e alla dipendenza della infrastruttura
informatica e di comunicazione.Questo esame preliminare dovrà
tenere in considerazione il quadro legislativo tracciato dalle leggi
sulla criminalità informatica e sulla privacy.
relizzato da:Cataldo Irene
La crittografia
La crittografia è la scienza che fa uso della telematica per cifrare e
decifrare i dati.Questa scienza studia come nascondere il significato
o contenuto di un messaggio in modo che risulti comprensibile solo
al destinatario.Vi sono due tipi di crittografia:
•CRITTOGRAFIA SIMMETRICA:questo tipo di crittografia
conferisce riservatezza al messaggio ma non assicura
l’autenticazione o il non ripudio.Questo tipo di crittografia viene
utilizzata per cifrare grandi quantità di dati
relizzato da:Cataldo Irene
Il Malware
Si definisce malware un qualsiasi software creato
con il solo scopo di creare danni più o meno
estesi al computer su cui viene eseguito.
Il termine deriva dalla contrazione delle parole
inglesi malicious e software e ha dunque il
significato letterale di "programma malvagio".
Worm, Trojan, Spyware, Adware
Coookie, Spam, Hijacking, Phishing, Dialer
relizzato da:Cataldo Irene
Il Troian
Un trojan, (Cavallo di Troia), è un programma per computer
che contiene funzionalità maliziose note a chi lo ha
programmato, ma non all'utente.
Un trojan horse è chiamato in questo modo poichè esegue
delle azioni nascoste all'utente, facendo credere a
quest'ultimo di essere in possesso di qualcosa di
realmente utile.
In genere col termine Trojan ci si riferisce ai trojan ad accesso remoto, composti
generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed
un file client, usato dal pirata per inviare istruzioni che il server esegue. In questo
modo, la vittima è indotta a far entrare il programma nel computer, ed eseguire il
programma.
I trojan non si diffondono autonomamente come i virus o i worm, quindi richiedono
un intervento diretto dell'attaccante per far giungere l'eseguibile malizioso alla
vittima
Un trojan può contenere qualsiasi tipo di istruzione maliziosa e pornografica.
Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per installare
delle backdoor o dei Keylogger sui sistemi bersaglio.
relizzato da:Cataldo Irene
Worm
Un worm è una particolare categoria di malware in
grado di autoreplicarsi. È simile ad un virus, ma a
differenza di questo non necessita di legarsi ad altri
eseguibili per diffondersi.
Tipicamente un worm modifica il computer che infetta,
in modo da venire eseguito ogni volta che si avvia la
macchina e rimanere attivo finché non si spegne il
computer o non si arresta il processo corrispondente.
Il worm tenta di replicarsi sfruttando Internet in
diverse maniere, spesso i mezzi di diffusione sono più
di uno per uno stesso worm.
relizzato da:Cataldo Irene
Lo Spam
Lo spam ( o e-mail spazzatura) è
l’invio di tanta pubblicità e l’invio
delle e-mail indesiderate che
invadono le caselle di posta
elettronica. Il rimedio è quello di far
controllare le e-mail da un
programma che fa da filtro
antispam.
Gli spam arrivano al vostro indirizzo grazie a programmi specifici
che sfruttano tutto ciò che contiene una “@” nei forum e nelle chat.
Questi programmi, chiamati crawler funzionano grosso modo come
i motori di ricerca in internet.
relizzato da:Cataldo Irene
Spyware
Mentre state navigando in Internet,
qualcuno, di nascosto, sta raccogliendo
dei dati sul vostro Pc.
Si tratta di un programma “Spyware”. Vengono usati da da “spamer”
e “ craker” ovvero diversi tipi di pirati informatici, e anche da società
che si occupano di pubblicità on-line, per conoscere le vostre
abitudini quando navigate in Internet, quali programmi usate e quali
avete installato. Alcuni raccolgono dati anche su tutto quello che
digitate.
relizzato da:Cataldo Irene
Phishing
In ambito informatico si definisce phishing una
tecnica utilizzata per ottenere l'accesso ad
informazioni personali e riservate con la finalità
del furto di identità mediante l'utilizzo
dimessaggi
di posta elettronica fasulli, opportunamente
creati per apparire autentici.
Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati
sensibili, come numero di conto corrente, nome utente e password,
numero di carta di credito ecc.
Per difendersi dal phishing inviato via e-mail, basta cancellare l'e-mail.
relizzato da:Cataldo Irene
Dialer
Un dialer è un programma per computer che crea una
connessione ad Internet, ad un'altra rete di calcolatori o
semplicemente ad un altro computer tramite la comune
linea telefonica o un collegamento ISDN.
Alcuni di questi programmi sono creati per connettersi a numeri a
tariffazione speciale.
La maggior parte dei dialer impostati per connettersi a numeri a
tariffazione speciale utilizza metodi illegali, rientrando così nella
fattispecie del reato di truffa. Per le denunce compete la Polizia Postale
Gli utenti con una connessione DSL o simile (per esempio una
connessione ad internet attraverso la rete locale) generalmente non
sono soggetti alla minaccia dei dialer.
relizzato da:Cataldo Irene
Firewall
Il firewall è un componente passivo di
difesa perimetrale che può anche svolgere
funzioni di collegamento di due o più
tronconi di rete. Usualmente la rete viene
divisa in due sottoreti: una, detta esterna,
comprende l'intera internet mentre l'altra
interna, detta LAN (Local Area
Network)che comprende una sezione più
o meno grande di un insieme di computer
locali.
La sua funzionalità principale in sostanza è quella di creare un filtro
sulle connessioni entranti ed uscenti, in questo modo il dispositivo
innalza il livello di sicurezza della rete e permette sia agli utenti
interni che a quelli esterni di operare nel massimo della sicurezza.
relizzato da:Cataldo Irene
• Un worm è una particolare categoria di almware in grado di
autoreplicarsi. È simile ad un virus, ma a differenza di questo non
necessita di legarsi ad altri eseguibili per diffondersi.
• Tipicamente un worm modifica il computer che infetta, in modo da
venire eseguito ogni volta che si avvia la macchina e rimanere attivo
finché non si spegne il computer o non si arresta il processo
corrispondente. Il worm tenta di replicarsi sfruttando Internet in diverse
maniere, spesso i mezzi di diffusione sono più di uno per uno stesso
worm.
• Il mezzo più comune impiegato dai worm per diffondersi è la posta
elettronica: il programma malizioso ricerca indirizzi e-mail memorizzati
nel computer ospite ed invia una copia di se stesso come file allegato
(attachment) a tutti o parte degli indirizzi che è riuscito a raccogliere.
relizzato da:Cataldo Irene
Adware
E’ un tipo di software distribuito gratuitamente in cambio
della visualizzazione di pubblicità tramite appositi banner
inseriti nel programma stesso. È’ una forma di
distribuzione che si è diffusa notevolmente grazie a
Internet e un modo per ripagare dei costi di sviluppo i
produttori di programmi. Spesso viene data la possibilità di
far scomparire il banner dalla finestra di lavoro del
programma, pagando una piccola cifra in denaro al
produttore, di entità simile a quelle richieste per la
fornitura di software in modalità shareware.
relizzato da:Cataldo Irene
Cookie
I cookies (letteralmente "biscottini") sono piccoli file di
testo che i siti web utilizzano per immagazzinare alcune
informazioni nel computer dell'utente. I cookie sono inviati
dal sito web e memorizzati sul computer. Sono quindi reinviati al sito web al momento delle visite successive. Le
informazioni all'interno dei cookie sono spesso codificate e
comprensibili.
Lenon
applicazioni
più comuni vanno dalla memorizzazione di
informazioni sulle abilitazioni dell'utente, alla tracciatura dei
movimenti dell'utente stesso all'interno dei siti web che
visita.
relizzato da:Cataldo Irene
Hijacking
Hijacking: portare l'utente a visitare determinate pagine
indipendentemente dalla sua volontà e dalle sue abitudini in rete.
Questo può essere fatto solo assumendo direttamente il controllo della
macchina usata dall'utente.
Questa tecnica, permette ai dirottatori di eseguire sul
nostro computer una serie di modifiche tali da garantirsi la
nostra visita alle loro pagine al solo scopo di incrementare
in modo artificioso il numero di accessi e di click diretti al
sito e conseguentemente incrementare i guadagni dovuti
alle inserzioni pubblicitarie
Queste azioni possono limitarsi alla semplice modifica della pagina
iniziale del browser, all'aggiunta automatica di siti tra i preferiti fino a
radicali modifiche al nostro.
relizzato da:Cataldo Irene
Riferimenti normativi sulla Sicurezza Informatica
L’evoluzione tecnologica e l’uso sempre più diffuso di
strumenti informatici in tutti i settori di attività, hanno
spinto negli anni il legislatore ad adeguare
progressivamente il sistema legislativo vigente, ai
cambiamenti imposti dall’emergere di nuovi e sempre
più sofisticati strumenti e sistemi di scambio delle
informazioni, al fine di tenere conto delle mutate
realtà che la tecnologia ha inevitabilmente
comportato.
Di seguito vengono elencati, in ordine cronologico, i
principali riferimenti normativi riguardanti la
sicurezza informatica:
relizzato da:Cataldo Irene
• 1993: Legge 23/12/93 n. 547 Integrazione del codice penale con
l’introduzione dei reati di criminalità informatica;
• 1996: Legge 31/12/96 n. 675 Tutela dei dati personali (legge
sulla privacy)
• 1999: Decreto del Presidente della Repubblica 28/07/99 n. 318
Regolamento per l’individuazione delle misure minime di
sicurezza per il trattamento dei dati personali (regolamento
previsto dalla legge 675/96);
• 2002: Direttiva del Presidente del Consiglio dei ministri 16
gennaio 2002 Sicurezza informatica e delle telecomunicazioni
nelle Pubbliche Amministrazioni;
• 2003: Decreto Legislativo 30/6/03 n. 196 Codice in materia di
protezione dei dati personali (abroga ed estende la legge sulla
Privacy del ’96 e il suo regolamento sulle misure minime di
sicurezza).
relizzato da:Cataldo Irene
Reati di criminalità informatica
Nel 1993 la storia informatica entra
ufficialmente nei codici del nostro
sistema legislativo nel quale è stata
promulgata la legge 23 dicembre 1993
n. 547, che ha modificato e integrato il
codice penale e quello di procedura penale,
introducendo i reati di criminalità informatica.
In questa legge veniva così attribuita una
importanza giuridica agli strumenti e sistemi
informatici e telematici, che fino ad allora non
erano stati considerati alla stessa stregua di
altri
mezzi.
relizzato da:Cataldo Irene
Con questa legge vengono effettuate molte importanti
equiparazioni dei sistemi informatici: vengono ad esempio
modificati alcuni articoli del codice penale estendendo
alcuni reati inerenti violenza alle cose, anche all’alterazione
o distruzione dei programmi informatici, nonché alle azioni
volte al malfunzionamento di sistemi informatici e
telematici. Viene sancita l’applicazioni delle disposizioni
concernenti gli atti pubblici e le scritture, anche ai
documenti informatici; si introduce il concetto di “domicilio
informatico”; v iene equiparata la corrispondenza
informatica o telematica a quella epistolare, telegrafica e
telefonica; viene punito il furto e la diffusione di password.
relizzato da:Cataldo Irene
La legge sulla Privacy
• In termini di riservatezza e privacy, la legislazione vigente non mira ad
impedire il trattamento dei dati personali, bensì a regolamentarlo,
permettendo all’interessato di conoscere la finalità del trattamento dei
suoi dati e subordinandone la legittimità, al consenso informato della
persona.
• La legge 31 dicembre 1996 n. 675, comunemente nota come “legge
sulla privacy” finalizza alla tutela delle persone rispetto al trattamento
dei dati personali. Questa legge prevedeva al suo art. 15, l’emanazione
di un regolamento riguardante le misure minime di sicurezza per il
trattamento dei dati personali. Tale regolamento veniva pubblicato con
il Decreto del Presidente della Repubblica 28 luglio 1999 n. 318.
relizzato da:Cataldo Irene
A decorrere dal 1° gennaio 2004 la legge 675/96 è stata
abrogata e sostituita dal Decreto legislativo 30 giugno 2003
n. 196 – “Codice in materia di protezione dei dati personali”, il
quale estende la legge sulla privacy del 1996 e il suo
regolamento del 1999 sulle misure minime di sicurezza.
Uno dei primi aspetti è comprendere il significato dei termini “
trattamento”, “dati identificativi” e soprattutto “dati personali” e
“dati sensibili”.
•“trattamento”: qualunque operazione o complesso di
operazioni, effettuanti anche senza l’ausilio di strumenti
elettronici, concernenti la raccolta, la registrazione,
l’organizzazione, la conservazione, la consultazione,
l’elaborazione, la modificazione, la selezione, l’estrazione, il
rafforzo, l’utilizzo, l’interconnessione, il blocco, la
comunicazione, la diffusione, la cancellazione e la distruzione
dei dati, anche se non registrati
in una banca dati;
relizzato da:Cataldo Irene
• “dato personale”: qualunque informazione relativa a persona
fisica, persona giuridica, ente o associazione, identificati o
identificabili, anche indirettamente mediante riferimento a
qualsiasi altra informazione, ivi compreso un numero di
identificazione personale;
• “dati identificativi”: i dati personali che permettono
l’identificazione diretta dell’interessato;
• “dati sensibili”: i dati personali idonei a rilevare l’origine
razziale ed etnica, le convinzioni religiose, filosofiche o di
altro genere, le opinioni politiche, l’adesione a partiti,
sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché i dati personali idonei
a rilevare lo stato di salute e la vita sessuale.
relizzato da:Cataldo Irene
La finalità della legge riguarda la garanzia che il
trattamento dei dati personali si svolga nel rispetto
dei diritti, delle libertà fondamentali e della dignità
dell’interessato, con particolare riferimento alla
riservatezza e protezione dei suoi dati personali.
Riassumendo gli aspetti della legge, possiamo
evidenziare 3 aspetti fondamentali:
–
–
–
Il diritto di accesso della persona ai dati che lo
riguardano;
La legittimità e le finalità del trattamento dei dati
personali;
Il consenso informato dell’interessato.
relizzato da:Cataldo Irene
Cosa si rischia se non si rispettano le norme sulla
protezione e sul trattamento dei dati personali
Le sanzioni possono essere sia di carattere risarcitorio che di
carattere amministrativo e penale.
• Aspetto risarcitorio: è previsto l’art. 15 che cita: “chiunque cagioni danno
ad altri per effetto del trattamento di dati personali è tenuto al risarcimento
ai sensi dell’art. 2050 del codice civile”.
• Sanzioni amministrative: L’omessa o inidonea informativa all’interessato,
sanzionata dall’art. 161, prevede multe da 3.000 a 18.000 euro che possono
arrivare fino a 30.000 euro nei casi di dati sensibili giudiziari o di
trattamenti che presentano rischi specifici.
• Sanzioni penali: sono stabilite dall’art. 167 che riguarda il trattamento
illecito di dati e nel quale, se dal fatto deriva nocumento, è prevista la
reclusione da un minimo di 6 mesi ad un massimo di 3 anni, in funzione
degli articoli violati e della tipologia di violazione.
relizzato da:Cataldo Irene
Definizione “legale” di Sicurezza Informatica
Sicurezza fisica
Sicurezza tecnica
Sicurezza dei dati
Sicurezza logistica
Sicurezza dei programmi
Sicurezza legale
Sicurezza applicazioni
relizzato da:Cataldo Irene