CODICE IN MATERIA
DI PROTEZIONE DEI
DATI PERSONALI
(d.lgs. 30 giugno 2003, n. 196)
[email protected]
A cura del dott. Angelo Salice
19/12/2015
Sicurezza – Provenienza attacchi
Esterno
il 78% degli attacchi esterni
avviene tramite la connessione ad
internet
( nel 1999 era il 57%)
Fonte CSI / FBI Security Study 2003
Sicurezza – Conoscere le minacce
Minacce
delle buone regole di sicurezza ci
permettono di proteggere noi stessi da
eventuali minacce
Minacce
Sicurezza – Conoscere le minacce
Primo semestre 2004: 50 nuovi virus al giorno
Nel 2004: 17.000 minacce malware
2.800 nuove vulnerabilità
1.500 attacchi di phising al mese
Al momento sono rilevati 7.000 bot (infezione simile a virus ma
controllata da remoto) con un incremento di 150/200 a settimana
(Fonte: McAfee Avert)
Nel 2003 il 78% degli attacchi è avvenuto attraverso Internet (nel 1999
era il 57%)
Nel 2002 perdite legate ad attacchi informatici di 67,7 mln di dollari
Nel 2003 perdite legate ad attacchi informatici di 200 mln di dollari
Nel 2004 perdite legate ad attacchi informatici di 141 mln di dollari
(Fonte: CSI / FBI Computer Crime and Security Survey, 2003-2004)
Evoluzione della sicurezza
Target and
Scope of
Damage
Global
Infrastructure
Impact
Time from knowledge of
vulnerability to release of exploit
is shrinking
Next Gen
Regional
Networks
Minutes
Days
Multiple
Networks
Individual
Networks
Seconds
Weeks
1st Gen
• Boot viruses
Individual
Computer
1980s
2nd Gen
•
•
•
•
Macro viruses
E-mail
DoS
Limited
hacking
1990s
3rd Gen
• Network DoS
• Blended threat
(worm + virus+
trojan)
• Turbo worms
• Widespread
system
hacking
Today
• Infrastructure
hacking
• Flash threats
• Massive
worm driven
• DDoS
• Damaging
payload
viruses and
worms
Future
Misure di sicurezza - Finalità
Privacy = tutela dei dati personali
Pertanto i dati personali devono essere protetti in ogni fase del trattamento
per evitare
• distruzioni
• perdite
• accessi non autorizzati
• trattamenti non leciti
• trattamenti non conformi alle finalità della raccolta
Coinvolgono titolare, responsabili e incaricati
Misure di sicurezza - Obiettivi
Le misure di sicurezza mirano a garantire
• Riservatezza: la capacità di rendere disponibili le informazioni
soltanto ai soggetti autorizzati, ossia le persone che ne hanno diritto
proteggendo pertanto le trasmissioni dei dati e l’accesso
agli elaboratori;
• Integrità: le informazioni devono essere accurate e complete,
salvaguardando l’esattezza dei dati, proteggendoli da manomissioni
e distruzioni compiute da individui non autorizzati;
• Disponibilità: le informazioni devono essere rese accessibili
a richiesta degli utenti in maniera continuativa, secondo le loro
specifiche esigenze, salvaguardando i diritti di accesso degli interessati
Misure di sicurezza – Minime e Idonee
Il Codice prevede due tipi di misure di sicurezza
• Minime: sono le misure di sicurezza elencate nell’Allegato B del Codice.
La loro adozione è obbligatoria per TUTTI i titolari, indipendentemente
dal tipo di dati (comuni, sensibili e giudiziari), dal tipo di trattamento
(manuale o informatico), dalla situazione informatica (pc singoli, in rete…),
dalla connessione o meno a Internet, dal contesto, dal numero di incaricati…
La mancata adozione espone a conseguenza PENALI
• Idonee: sono le ulteriori “idonee e preventive misure di sicurezza”
selezionate anche “in relazione alle conoscenze acquisite in base
al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche
del trattamento” (art. 31) implementate per ridurre al minimo i rischi.
La mancata adozione espone a conseguenze CIVILI
Misure di sicurezza – Minime e Idonee
Le misure di sicurezza MINIME sono elencate dal Codice (Allegato B)
e sono uguali per tutti coloro che trattano dati personali.
Garantiscono un livello minimo di tutela dei dati.
Senza tali misure NON è possibile effettuare alcun trattamento dati.
Le misure di sicurezza IDONEE non sono elencate dal Codice in quanto
variano a seconda del contesto e della tipologia dei dati trattati.
Devono garantire un livello adeguato di tutela dei dati.
Misure di sicurezza – Obblighi
Adottare le misure di sicurezza, minime e idonee, è un obbligo previsto dal Codice:
Misure IDONEE
Art. 31 – “I dati personali oggetto di trattamento sono custoditi e controllati,
anche in relazione alle conoscenze acquisite in base al progresso tecnico,
alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo
da ridurre al minimo, mediante l'adozione di idonee e preventive misure di
sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi,
di accesso non autorizzato o di trattamento non consentito o non conforme alle
finalità della raccolta”
Misure MINIME
Art. 34 – “Nel quadro dei più generali obblighi di sicurezza di cui all’articolo
31 […] i titolari del trattamento sono comunque tenuti ad adottare le misure
minime individuate” nell’Allegato B del Codice
Misure minime – Trattamenti manuali
Se non vengono utilizzati strumenti elettronici per il trattamento dati occorre:
• fornire agli incaricati istruzioni scritte in merito alla custodia e alla tutela
dei dati personali in loro possesso
• verificare almeno annualmente l’ambito di trattamento consentito ai singoli
incaricati (tipologie di dati che possono trattare, operazioni concesse…)
• in caso di dati sensibili o giudiziari, i singoli incaricati devono custodire i dati
in loro possesso, in modo che nessun utente non autorizzato possa accedervi
• chi accede agli archivi con dati sensibili o giudiziari deve essere identificato:
 fuori dall’orario di chiusura occorre che gli incaricati che accedono agli
archivi devono essere identificati e registrati
 se non ci sono sistemi elettronici per il controllo degli accessi (ad es.
badge magnetici, videocamere…) gli incaricati devono essere stati
preventivamente autorizzati
Definizione di Strumento Elettronico
Per STRUMENTO ELETTRONICO si intende:
• gli elaboratori
• i programmi per elaboratori
• qualunque dispositivo elettronico o comunque automatizzato
con cui si effettua il trattamento
Misure minime – Strumenti elettronici
Se vengono utilizzati strumenti elettronici per il trattamento dati occorre:
• autenticazione informatica: consente di identificare chi accede al
trattamento dati
• autorizzazione informatica: definisce che cosa può fare l’incaricato
• protezione di dati e sistemi
Autenticazione informatica
L’AUTENTICAZIONE informatica consente di controllare chi accede
• ai dati
• agli elaboratori
• ai programmi
• e ad ogni altro strumento elettronico
Serve a verificare e convalidare l'identità del soggetto.
L’accesso agli strumenti, dati e trattamenti deve avvenire solo dopo
essersi autenticati: solo gli incaricati autorizzati possono accedere ai
trattamenti dati
es. i computer devono richiedere nome utente e password per accedere
al sistema
Autenticazione informatica
Per identificare la persona esistono due metodi:
1. Metodi INDIRETTI: dati conosciuti solo dalla persona o dispositivi
in suo esclusivo possesso (non utilizzabili da altri incaricati)
2. Metodi DIRETTI: caratteristiche fisiche distintive della persona
Gli strumenti usati per identificare gli utenti sono definiti
CREDENZIALI DI AUTENTICAZIONE
Credenziali di autenticazione – Metodi Indiretti
Credenziali di autenticazione: metodi INDIRETTI
•
Nome utente e password: il nome utente identifica la persona, la
password (nota soltanto all’incaricato) ne garantisce la sua identità
•
Smart Card / Tessera magnetica: il possesso (esclusivo) della credenziale
è sufficiente a garantire l’identità della persona.
•
Crittografia asimmetrica (firma digitale): grazie alla firma digitale si ha la
certezza dell’identità dell’utente
Vantaggi: costi contenuti, larga diffusione
Svantaggi: possibile perdita o furto delle credenziali o utilizzo non esclusivo delle
stesse (ad es. incaricati che conoscono le rispettive password o tessera magnetica
utilizzata da più persone)
Credenziali di autenticazione – Metodi Diretti
Credenziali di autenticazione: metodi DIRETTI
Sono caratteristiche fisiche ed esclusive della persona: tecniche biometriche
•
•
•
•
•
Impronta digitale
Riconoscimento volto
Riconoscimento vocale
Riconoscimento geometria vasi sanguigni dell’iride
Riconoscimento geometria vasi sanguigni della mano
Vantaggi: semplicità d’uso, nessun rischio di perdita furto o smarrimento
o di utilizzo non esclusivo
Svantaggi: costi elevati, necessità di tutelare i sistemi di autenticazione da
possibili alterazioni o manomissioni
Gestione delle credenziali di autenticazione /1
Gestire le credenziali di autenticazione significa che
•
è definita una procedura di autenticazione: modalità operative mediante le quali
l’utente è identificato (metodi diretti, indiretti…)
L’autenticazione può avvenire anche con una combinazione di elementi (es.
impronta digitale + password: si ha quindi doppia autenticazione, dovuta al
possesso di un dispositivo e alla conoscenza di un’informazione segreta)
•
sono associate individualmente, in quanto devono consentire l’identificazione
dell’incaricato
•
sono disattivate se non utilizzate a lungo: per evitare rischi di furto, smarrimento
o utilizzo non consentito bisogna disattivare le credenziali non utilizzate per
almeno sei mesi (es. nome utente e password non più usati)
•
sono disattivate se l’incaricato non è più autorizzato al trattamento: per es.
se ha cambiato lavoro, mansione o non è più autorizzato a trattare tali dati
Gestione delle credenziali di autenticazione /2
•
sono impartite precise istruzioni sulla custodia delle credenziali: ad es. la
password deve essere segreta e conosciuta soltanto dall’incaricato
•
In una sessione di lavoro lo strumento elettronico non deve rimanere incustodito
neppure per breve tempo in modo da evitare che utenti non autorizzati
possano accedervi (utilizzare ad es. screensaver o disconnettere l’utente prima
di allontanarsi)
•
il codice per l’identificazione (es. nome utente) non può essere riutilizzato
nemmeno in tempi diversi
Gestione delle credenziali di autenticazione /3
Disciplinare Tecnico - Allegato B Codice, n. 10:
“sono impartite idonee e preventive disposizioni scritte volte a individuare
chiaramente le modalità con le quali il titolare può assicurare la disponibilità di
dati o strumenti elettronici in caso di prolungata assenza o impedimento
dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive
necessità di operatività e di sicurezza del sistema.
In tal caso la custodia delle copie delle credenziali è organizzata garantendo
la relativa segretezza e individuando preventivamente per iscritto i
soggetti incaricati della loro custodia, i quali devono informare tempestivamente
l’incaricato dell’intervento effettuato”.
Si può, ad esempio, scrivere la password e consegnarla al responsabile in busta
chiusa, da aprire in caso di necessità.
Al suo rientro, l’incaricato dovrà modificare la password in quanto non è più segreta.
Gestione delle password /1
Se l’autenticazione si basa su nome utente e PASSWORD:
•
deve essere almeno di 8 caratteri (o comunque il massimo consentito dal
programma in uso)
•
non deve essere facilmente riconducibile all’incaricato
•
modificata ogni 6 mesi (3 se vengono trattati dati sensibili) o comunque
ogni qualvolta si renda necessario per garantirne la segretezza (es.
colleghi che ne sono venuti a conoscenza)
•
segreta e custodita gelosamente
•
deve essere robusta, ossia difficile da indovinare o ricostruire
Gestione delle password /2
Per trovare una password non conosciuta, un attaccante può usare due
tipologie di attacchi:
•
basati su dizionari multilingue: vengono provate tutte le parole presenti nei
dizionari per verificare se una di queste è stata impostata come password.
Occorre evitare parole di senso compiuto (anche se non riferibili all’utente)
•
attacco a forza bruta (“brute force”): vengono provate combinazioni casuali
di lettere e numeri fino a trovare la password cercata (es. AAAAA, AAAAB,
AAAAC…)
E’ possibile testare circa 3000 password al secondo.
Password lunghe servono a contrastare tale tipo di attacco:
una password lunga 8 caratteri, con lettere maiuscole e minuscole, numeri
e simboli può resistere fino a 100.000 anni di tentativi!
Password di 8 caratteri, usando solo lettere minuscole, numeri, punto e
trattino (-) possono resistere ‘solo’ fino a 56 anni.
Gestione delle password /3
Una password è ROBUSTA se:
•
non è di senso compiuto (per evitare attacchi basati su dizionari)
•
sufficientemente lunga (per evitare attacchi brute force)
•
composta da lettere e numeri e simboli (per evitare attacchi brute force)
•
non riconducibile all’incaricato (per evitare che venga indovinata)
•
apparentemente casuale (per evitare che venga indovinata)
•
facilmente memorizzabile o ricostruibile da parte dell’incaricato (per
evitare che debba essere scritta)
Esempi di password
1. Usare due o più parole unite:
Es. OrsodiAlice
2. Utilizzare simboli al posto di caratteri:
Es.
Or$odi@lice
3. Scegliere eventi o persone particolari:
Es.
L@ure@diGi0rgi0
4. Utilizzare fonemi nelle parole:
Es.
MarciaXlapace
5. Prima lettera di ogni parola:
Es.: frase originale:
Nel Bel Mezzo Del Cammin Di Nostra Vita
Password (create utilizzando solo le lettere maiuscole della frase originale):
NBMDCDNV
Fonte: http://www.microsoft.com/italy/pmi/sicurezza
Sistema di Autorizzazione
Il sistema di autenticazione consente di identificare chi compie determinate
operazioni.
Il sistema di autorizzazione consente di definire che cosa può fare
l’incaricato: infatti un soggetto, pur avendo accesso ad un elaboratore,
potrebbe non aver diritto di accedere a determinati trattamenti o specifiche
informazioni. Oppure potrebbe non essere autorizzato a compiere certe
operazione.
In questo modo è possibile creare gruppi di utenti distinti fra loro in base al
profilo di autorizzazione concesso, definendo, per esempio, che alcuni
utenti possono soltanto visualizzare i dati, altri possono anche modificarli
e altri ancora possono eliminarli.
Inoltre ogni incaricato dovrebbe poter accedere solo al proprio trattamento,
essendogli inibito, anche se lo volesse, il trattamento di informazioni per le
quali non è stato autorizzato.
E’ consigliabile e spesso necessario anche se non obbligatorio!
Protezione dati e sistemi /1
Disciplinare Tecnico – Allegato B del Codice, n. 16:
“I dati personali sono protetti contro il rischio di intrusione e dell’azione di
programmi di cui all’art. 615-quinquies del codice penale mediante l’attivazione
di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale”
“programma informatico […], avente per scopo o per effetto il danneggiamento
di un sistema informatico o telematico, dei dati o dei programmi in esso
contenuti o ad esso pertinenti, ossia l'interruzione, totale o parziale, o
l'alterazione del suo funzionamento” (Codice Penale)
Es. virus, macrovirus, trojan horse, worm, spyware, malware…
Protezione dati e sistemi /2
Se sono trattati dati sensibili o giudiziari:
Disciplinare Tecnico – Allegato B del Codice, n. 16:
“I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui
all’ art. 615 - ter del codice penale, mediante l’utilizzo di idonei strumenti
elettronici”
“chiunque abusivamente si introduce in un sistema informatico o telematico
protetto da misure di sicurezza ovvero vi si mantiene contro la volontà
espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione
fino a tre anni ” (Codice Penale)
Protezione dati e sistemi /3
Per proteggere dati e sistemi:
•
Antivirus: il Codice prevede che sia aggiornato almeno ogni 6 mesi
•
Anti-malware (programma per rimuovere applicativi dannosi: es. AdAware,
Spybot S&D…)
•
Aggiornamento periodico dei sistemi (es. Windows Update): il Codice prevede
che sia fatto almeno ogni 12 mesi
•
Aggiornamento periodico dei programmi per correggerne difetti (es. Office
Update): il Codice prevede che sia fatto almeno ogni 12 mesi
•
Procedure di salvataggio dei file (backup)
•
Formazione del personale
Protezione dati e sistemi /3
Per proteggere rete informatica:
1. Firewall: apparato hardware o software che controlla il traffico in entrata e
in uscita dalla rete
2. Intrusion Detection System: software in grado di rilevare gli attacchi contro la
rete informatica
3. Virtual Private Network: rete informatica dove i dati scambiati dagli elaboratori
sono crittografati e non accessibili a eventuali utenti non autorizzati
Protezione dati e sistemi /4
Nel caso di dati sensibili o giudiziari trattati da Enti Pubblici (art. 22 c. 6):
- I dati sensibili e giudiziari devono essere cifrati, ossia resi temporaneamente
inintelligibili anche a chi è autorizzato ad accedervi.
- l’identificazione della persona a cui si riferiscono i dati deve avvenire solo
in caso di necessità (separazione dati personali e dati sensibili)
In questo modo se anche dovesse essere rubato il database con i dati sensibili
non sarebbero comunque leggibili senza conoscere la password
Quindi:
1. Per accedere all’elaboratore occorre autenticarsi (es. nome utente e
password)
2. Per accedere al trattamento occorre essere abilitati dal sistema di
autorizzazione
3. Per accedere ai dati sensibili o giudiziari, occorre inserire una password
(sistema di cifratura)
Protezione dati e sistemi /5
Il Codice prevede che, in caso di danneggiamento, i dati siano ripristinati
al massimo entro 7 giorni.
Occorre:
 Copia di sicurezza dei dati almeno settimanale (backup)
 Verifica periodica del funzionamento dei supporti di backup (nastri, cassette,
CD, DVD…)
 Custodia e protezione dei supporti di backup (es. dati cifrati con password e
supporti conservati in cassaforte)
Protezione dati e sistemi /5
Combinazione dei diversi sistemi di
sicurezza
 informatica (software e hardware)
 fisica (locali e impianti)
 organizzativa e procedurale (policy)
Gestione supporti rimovibili
Se nel trattare i dati vengono utilizzati dei supporti (CD, DVD, dischi fissi,
chiavi USB…) gli incaricati devono ricevere istruzioni per proteggere i dati per
evitare accessi non autorizzati.
Se contengono dati sensibili o giudiziari e non sono più utilizzati devono
-
Essere cancellati in maniera definitiva (non basta la formattazione!)
-
Distrutti o resi inutilizzabili
Sicurezza integrata
Combinazione dei diversi sistemi di
sicurezza
 informatica (software e hardware)
 fisica (locali e impianti)
 organizzativa e procedurale (policy)
Sicurezza integrata
Documento Programmatico sulla Sicurezza /1
Il Documento Programmatico sulla Sicurezza (DPS) è
1. rappresentazione della realtà aziendale (analisi dei rischi, distribuzione dei
compiti, misure di sicurezza adottate, distribuzione delle responsabilità...):
momento di analisi e di verifica della situazione dell’organizzazione in merito
alla tutela dei dati personali, comuni, sensibili o giudiziari.
2. strumento di pianificazione che rappresenta il percorso che l'organizzazione
deve compiere per adeguarsi alla normativa sulla privacy (misure di sicurezza
da adottare, interventi formativi, attività di adeguamento...)
Dopo la prima redazione (entro 31 dicembre 2005) dovrà essere aggiornato
entro il 31 marzo di ogni anno.
E’ redatto dal Titolare in collaborazione col Responsabile/i privacy.
Documento Programmatico sulla Sicurezza /2
Il Documento Programmatico sulla Sicurezza (DPS) contiene:
•
l’elenco dei trattamenti di dati personali
• la distribuzione dei compiti e delle responsabilità in merito al trattamento
dei dati (c.d. “mansionario”)
• l’analisi dei rischi che incombono sui dati (distruzione o perdita, anche
accidentale, dei dati, accesso non autorizzato, trattamento non consentito
o non conforme alle finalità della raccolta
•
le misure di sicurezza adottate e da adottare (protezione dei dati, delle aree
e dei locali, istruzioni operative…)
•
le modalità di ripristino dei dati (copie di sicurezza e backup)
•
la previsione di interventi formativi degli incaricati del trattamento
Gestione della sicurezza
La verifica dell’efficacia e dell’efficienza delle misure di sicurezza adottate
è un punto fondamentale, nel processo per la sicurezza:
In un contesto tecnologico in rapidissima evoluzione,
è necessario avere le massime garanzie circa la
adeguatezza delle misure di sicurezza adottate,
nei confronti del sempre più vasto, articolato ed
aggiornato panorama delle minacce possibili.
Nella gestione della sicurezza non esistono punti di arrivo,
ma solo di partenza!
Domande?
Grazie per l’attenzione !
Per chiarimenti e ulteriori informazioni, è possibile
contattarmi all’indirizzo e-mail:
[email protected]
Riferimenti
Sito ufficiale del Garante per la protezione dei dati personali:
http://www.garanteprivacy.it
Clusit – Associazione italiana per la sicurezza informatica:
http://www.clusit.it
Ministro per l'innovazione e le tecnologie:
http://www.innovazione.gov.it