La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Problematiche legali della sicurezza informatica e privacy Luca Bechelli Security Consultant

Presentazioni simili


Presentazione sul tema: "Problematiche legali della sicurezza informatica e privacy Luca Bechelli Security Consultant"— Transcript della presentazione:

1 Problematiche legali della sicurezza informatica e privacy Luca Bechelli Security Consultant

2 Computer Crimes “Nullum crimen, nulla poena sine lege” Precedenti Internazionali: –CEE, Raccomandazione n. 89/9 del Comitato per i problemi criminali del Consiglio d'Europa concernente la Lista Minima dei reati informatici: –frode informatica, –falso informatico, –danneggiamento dei dati e dei programmi informatici, –sabotaggio informatico, –accesso non autorizzato, –riproduzione non autorizzata di un programma informatico protetto

3 Computer Crimes Precedenti Internazionali: –USA: Computer Fraud and Abuse, 1986 –UK: Computer Misuse Act, 1990

4 Il Crimine Informatico in Italia La legislazione Italiana, dal 1993, ha introdotto tutta una serie di dispositivi che contemplano il crimine cosiddetto informatico. L’approccio iniziale è stato di tipo evolutivo, ovvero si è basato sulla modifica di leggi esistenti ricollegando reati “tradizionali” ai nuovi possibili basati su, o condotti contro, strumenti informatici

5 Reati Penali Nel 1993 sono state prodotte le modificazioni al Codice Penale ed al Codice di Procedura Penale relativamente al reato informatico (legge 23 dicembre 1993 n. 547) Con le modificazioni, sono stati individuati un certo numero di reati che possono essere apportati contro o mediante strumenti tecnologici informatici

6 Reati Penali Perché reati penali? –Agevolare la cooperazione internazionale allineando la normativa italiana a quelle degli altri paesi europei, anch’esse di tipo penale –Aderire alla Raccomandazione CEE n. 89/9 del Comitato per i problemi criminali del Consiglio d'Europa –Mantenere un approccio “evolutivo” della normativa in merito ai Computer Crimes

7 Reati introdotti dalla L.23/12/93 n.547 Tipologie di reati: –Esercizio arbitrario delle proprie ragioni con violenza sulle cose –Delitti contro l’ordine pubblico –Falsificazione di documenti informatici –Accesso abusivo ad un sistema informatico o telematico, detenzione e diffusione abusiva di codici di accesso, diffusione di programmi diretti a danneggiare od interrompere un sistema informatico; –Violazione dei segreti –Delitti contro il patrimonio.

8 Esercizio arbitrario delle proprie ragioni con violenza sulle cose 1. All'art. 392 del codice penale, dopo il secondo comma è aggiunto il seguente: "Si ha, altresì, violenza sulle cose allorché un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico".

9 Esercizio arbitrario delle proprie ragioni con violenza sulle cose Questo articolo vieta espressamente l’auto-tutela al cittadino anche nei casi di reazione ad attacchi informatici, o mediante il danneggiamento di beni informatici In caso di attacchi informatici, come per qualsiasi altro reato, il cittadino non può commettere violenza sulle cose o sulle persone per vedere soddisfatte le proprie ragioni.

10 Delitti contro l’ordine pubblico 1. L'art. 420 del codice penale è sostituito dal seguente: "Art (Attentato a impianti di pubblica utilità).- Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilità, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a quattro anni. La pena di cui al primo comma si applica anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o a essi pertinenti…”

11 Falsificazione di documenti informatici (art.491bis) 1. Dopo l'art. 491 del codice penale è inserito il seguente: "Art. 491-bis. - (Documenti informatici).- Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente agli atti pubblici e le scritture private. A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli".

12 Dati/documenti informatici Per una definitiva definizione di documento informatico si deve attendere la Legge 59/97, cui segue la promulgazione del DPR 513/97, Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell'articolo 15, comma 2, della legge 15 marzo 1997, n.59. Art. 2. (Documento informatico) 1. Il documento informatico da chiunque formato, l'archiviazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge se conformi alle disposizioni del presente regolamento. Ad oggi la medesima definizione è presente sul Testo Unico (DPR 445/2000), Art.8, comma 1

13 Accesso abusivo a un sistema informatico o telematico (art.615 ter) 1. Dopo l'articolo 615-bis del codice penale sono inseriti i seguenti: "Art. 615-ter. - (Accesso abusivo a un sistema informatico o telematico). - Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. (…)

14 Domicilio Elettronico L’articolo 615 ter introduce il principio di Domicilio Elettronico, ovvero di uno spazio non limitato dalla fisicità ma in qualche modo riconducibile ad un sistema informatico o telematico L’accesso abusivo si produce in caso di accesso non autorizzato in un sistema protetto da misure di sicurezza. Se ne deduce che non vi sia violazione se l’accesso avviene in un sistema non adeguatamente protetto L’accesso è abusivo se viola la volontà espressa o tacita di negarlo, per cui anche in caso di mancanza di rilevanti protezioni, se si evince l’intenzione di non rendere pubblico l’ingresso, l’intrusione può essere punibile

15 Sentenza 4-21 Aprile 2000 Tribunale di Roma Una persona accede ai sistemi RAI facendo breccia in un elaboratore Win95 dal quale ricava le password per accedere al sito del GR1 dove cambia il contenuto del file delle ultime notizie

16 Sentenza 4-21 Aprile 2000 Tribunale di Roma Si applica il “non luogo a procedere” poiché : –Il sistema informatico non era adeguatamente protetto (art. 615 ter) “Considerato che l'esistenza di mezzi efficaci di protezione è elemento costitutivo della fattispecie incriminatrice di cui all'art. 615 ter c.p., deve dichiararsi il non luogo a procedere…” “…Del resto è ormai acclarato che i tradizionali mezzi di protezione software, in particolare quelli incentrati sulle c.d. chiavi di accesso non offrono certezza assoluta di impenetrabilità, essendo la loro individuazione soltanto una questione di tempo e livello tecnologico… “

17 Sentenza n della Corte di Cassazione 6/12/2000 “…Con la sentenza impugnata la Corte d’appello di Torino confermò la dichiarazione di colpevolezza di A.Z. e di D. M. in ordine al delitto di accesso abusivo al sistema informatico della (omissis)., gestrice di contabilità per conto terzi, e dichiarò colpevole del massimo reato, quale autore materiale dei fatti, il programmatore V. B., che in primo grado ne era stato assolto per difetto di dolo. Risulta dalle sentenze di merito che A. Z., già socio di F. V. nella (omissis), nel 1994 era uscito dalla società per intraprendere analoga attività con il commercialista D. M., già collaboratore esterno della (omissis), e, non avendo ottenuto di poter utilizzare come locatario l’impianto informatico della società, ne aveva copiato i dati su un analogo calcolatore con l’aiuto di V. B., facilitandosi così l’acquisizione di un gran numero di clienti della (omissis)…”

18 Sentenza n della Corte di Cassazione 6/12/2000 Si stabilisce che è avvenuta una violazione ai sensi dell’art.615 ter: –“...è evidente, infatti, che, anche in mancanza di meccanismi di protezione informatica, commette il reato la persona estranea all'organizzazione che acceda ai dati senza titolo o autorizzazione, essendo implicita, ma intuibile, la volontà dell'avente diritto di escludere gli estranei…” –“…L'art. 615 ter comma 1 c.p. punisce non solo chi s'introduce abusivamente in un sistema informatico o telematico, ma anche chi vi si mantiene contro la volontà esplicita o tacita di chi ha il diritto di escluderlo…"

19 Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici Articolo 4 (continua) –Art.615-quater. -… Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso a un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito...

20 Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico Articolo 4 (continua) –Art. 615-quinquies. - Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi un esso contenuti o a esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire 20 milioni".

21 Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico Il programmatore Dimitry Sklyarov è stato arrestato nel Luglio del 2001 a Las Vegas da agenti federali U.S.A. su richiesta della ADOBE per una presunta violazione del Digital Millennium Copyright Act, la recente legge che tutela il copyright negli USA. Dimitry Sklyarov aveva presentato un articolo in una conferenza nel quale venivano illustrate le debolezze di alcuni meccanismi di protezione dei documenti per la diffusione in formato elettronico. A dimostrazione delle sue tesi, Dimitry Sklyarov aveva sviluppato un software in grado di aggirare queste protezioni

22 Violazione dei segreti Art Nell'art. 616 del codice penale, il quarto comma è sostituito dal seguente: "Agli effetti delle disposizioni di questa sezione, per "corrispondenza" si intende quella epistolare, telegrafica, telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza".

23 Art. 616 c.p. comma 4 Questo articolo tutela i dati di messaggi di posta in transito, equiparando i mezzi di trasmissione tradizionale con quelli telematici. L’equivalenza con la “busta chiusa” può essere ricondotta alla casella di posta elettronica ad accesso protetto, ma l’equivalenza con la corrispondenza può non avere effetto, ai sensi del presente articolo, trattandosi, nel caso del messaggio di posta, di un file che può essere scaricato sul computer dell’utente, il cui accesso è protetto dalla legge mediante norme diverse In alternativa, per “busta chiusa”, può essere inteso il messaggio cifrato. Possono essere necessarie precisazioni sulla titolarità del messaggio dal momento della spedizione alla consegna presso il sistema del destinatario

24 Art. 616 c.p. comma 4 In corrispondenza di questo articolo è importante citare l’art. 17 del D.P.R.445/2000 (Segretezza della corrispondenza trasmessa per via telematica) : –1. Gli addetti alle operazioni di trasmissione per via telematica di atti, dati e documenti formati con strumenti informatici non possono prendere cognizione della corrispondenza telematica, duplicare con qualsiasi mezzo o cedere a terzi a qualsiasi titolo informazioni anche in forma sintetica o per estratto sull'esistenza o sul contenuto di corrispondenza, comunicazioni o messaggi trasmessi per via telematica, salvo che si tratti di informazioni per loro natura o per espressa indicazione del mittente destinate ad essere rese pubbliche. –2. Agli effetti del presente testo unico, gli atti, i dati e i documenti trasmessi per via telematica si considerano, nei confronti del gestore del sistema di trasporto delle informazioni, di proprietà del mittente sino a che non sia avvenuta la consegna al destinatario.

25 Violazione dei segreti Art Dopo l'art. 617-ter del codice penale sono inseriti i seguenti: "Art. 617-quater. - (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche). - Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni. Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo d'informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma…

26 Violazione dei segreti Art 6 (continua…) –Art. 617-quinquies. - (Installazione di apparecchiature atte a intercettare, impedire o interrompere comunicazioni informatiche o telematiche).- Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte a intercettare, impedire o interrompere comunicazioni relative a un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma

27 Violazione dei segreti Art 6 (continua…) –Art. 617 sexies. - (Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche). - Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro armi. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma del l'art. 617-quater".

28 Violazione dei segreti Art. 7: –Nell'art. 621 del codice penale, dopo il primo comma è inserito il seguente: "Agli effetti della disposizione di cui al primo comma è considerato documento anche qualunque supporto informatico contenente dati, informazioni o programmi". –L’art.621 del codice penale punisce la rivelazione del contenuto di documenti segreti, introducendo, tra questi, anche i “documenti informatici” come definiti sopra.

29 Delitti contro il patrimonio Art. 9 ( Danneggiamento di sistemi informatici e telematici) –1.Dopo l'art. 635 del codice penale è inserito il seguente: "Se ricorre una o più delle circostanze di cui al secondo comma dell'art. 635, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni".

30 Delitti contro il patrimonio Art. 10 –1. Dopo l'art. 640 bis del codice penale è inserito il seguente: "Art. 640-ter. - (Frode informatica). - Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità sui dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito…” In questo caso, il sistema informatico non è solo l’obiettivo del reato, ma può costituire il mezzo mediante il quale è perpetrato un reato contro il patrimonio della vittima

31 Conseguenze dell’introduzione dei crimini informatici Consapevolezza del diritto Nuove responsabilità? –Assicurare la legittimità del diritto –Amministrazione di sistema: Prevenzione o Violazione? –Condotta omissiva (Art. 40 c.p.) Culpa in eligendo Culpa in vigilando

32 Provvedimenti in merito alla legge 675 /96 La legge 675 del 31/12/96 disciplina la protezione della privacy Definizione di “dati personali”: …qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale La legge disciplina anche il trattamento di dati personali mediante elaboratori e sistemi informatici

33 Figure coinvolte nel trattamento dei dati Il Legislatore (nella 675/96) individua una serie di figure nell’ambito del trattamento dei dati: –Titolare del trattamento: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza; –Responsabile: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali –Interessato: la persona fisica o giuridica alla quale i dati fanno riferimento

34 Obblighi del Titolare Notificare l’attività di raccolta e trattamento La notifica deve comprendere 1.Informazioni identificative del titolare 2.Finalità e modalità del trattamento 3.Natura dei dati, luogo di custodia e categorie di interessati 4.Ambito di comunicazione e diffusione dei dati (nazionali e internazionali) 5.Descrizione delle misure adottate per la sicurezza dei dati 6.Informazioni identificative dei Responsabili

35 Obblighi del Titolare La notifica deve essere fatta una tantum, se restano invariate le informazioni indicate nei punti 1…6 Il Titolare può designare uno o più responsabili, individuando per iscritto, in modo analitico, i compiti loro affidati

36 Modalità di raccolta e trattamento I dati devono essere: –trattati in modo lecito e secondo correttezza; –raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; –esatti e, se necessario, aggiornati; –pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; –conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

37 Diritti dell’interessato Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso. Il consenso è validamente prestato solo se è espresso liberamente, in forma specifica e documentata per iscritto, e se sono state rese all'interessato le informazioni: –le finalità e le modalità del trattamento –la natura obbligatoria o facoltativa del conferimento dei dati; –le conseguenze di un eventuale rifiuto di rispondere; –i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi; –il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare e, se designato, del responsabile

38 Diritti dell’interessato In fase di consenso, l’interessato deve essere edotto dei propri diritti: a.Conoscere l'esistenza di trattamenti di dati che possono riguardarlo; b.di essere informato su : –Informazioni identificative del titolare –Finalità e modalità del trattamento –Informazioni identificative dei Responsabili

39 Diritti dell’interessato ottenere, a cura del titolare o del responsabile, senza ritardo: –la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la comunicazione in forma intelligibile dei medesimi dati e della loro origine, nonché della logica e delle finalità su cui si basa il trattamento; la richiesta può essere rinnovata, salva l'esistenza di giustificati motivi, con intervallo non minore di novanta giorni;

40 Diritti dell’interessato ottenere, a cura del titolare o del responsabile, senza ritardo: –la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

41 Diritti dell’interessato ottenere, a cura del titolare o del responsabile, senza ritardo: –l'aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l'integrazione dei dati; –Di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;

42 Diritti dell’interessato ottenere, a cura del titolare o del responsabile, senza ritardo: –di opporsi, in tutto o in parte, al trattamento di dati personali che lo riguardano, previsto a fini di informazione commerciale o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva e di essere informato dal titolare, non oltre il momento in cui i dati sono comunicati o diffusi, della possibilità di esercitare gratuitamente tale diritto.

43 Comunicazione e diffusione dei dati La 675 disciplina le modalità mediante le quali è possibile trasmettere i dati presso una altra entità nel territorio nazionale (artt.20 e 21) o all’estero (“Trattamenti a Regime Speciale” art. 28)

44 Cessazione del trattamento I dati possono essere: a.distrutti; b.ceduti ad altro titolare, purché destinati ad un trattamento per finalità analoghe con gli scopi per i quali i dati sono raccolti; c.conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione

45 Dati Particolari L’art. 22 definisce dati particolari: –..i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale…

46 Sanzioni Il Decreto legislativo 28 dicembre 2001, n. 467, Disposizioni in materia di protezione dei dati personali in attuazione della legge 24 marzo 2001, n. 127, introduce modificazioni sostanziali alla L.675/96, tra le quali sono previste delle “depenalizzazioni”

47 Modificazioni introdotte dal DL467/2001 Depenalizzazione: omissione, incompletezza e intempestività delle notifiche al garante Aumento delle sanzioni/estensione delle sanzioni: –notifica infedele, ex art. 39 bis, da 3~24 mesi a 6~36 mesi –trattamento illecito: tutti i tipi di trattamento sono stati sanzionati, mentre precedentemente lo erano solo la diffusione e la comunicazione dei dati in modo illecito

48 Modificazioni introdotte dal DL467/2001 Estensione delle sanzioni: –E’ inosservanza dei provvedimenti del Garante, punita con una pena da tre mesi a due anni anche “se il trattamento risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie…” “…o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti” segnalate dal Garante.

49 Misure Minime di Sicurezza: modifiche alle sanzioni ex DL467/2001 –In caso di trattamento per fini personali ex art.3 non vi è più penalizzazione –La pena detentiva è commutata in arresto fino a due anni o con ammenda da 10 a 80 milioni di lire –L’innovazione principale è l’introduzione della possibilità di estinguere la sanzione mediante adeguamento ai requisiti di legge

50 Misure Minime di Sicurezza: modifiche alle sanzioni ex DL467/2001 (Art.36) All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L’organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui …

51 Misure Minime di Sicurezza: modifiche alle sanzioni ex DL467/2001 (art. 36) 2. Per i procedimenti penali per il reato di cui all’articolo 36 della legge 31 dicembre 1996, n. 675 in corso, entro quaranta giorni dall’entrata in vigore del presente decreto l’autore del reato può fare richiesta all’autorità giudiziaria di essere ammesso alla procedura indicata all’articolo 36, comma 2, della medesima legge n. 675 del 1996, come sostituito dal presente decreto. L’Autorità giudiziaria dispone la sospensione del procedimento e trasmette gli atti al Garante per la protezione dei dati personali che provvede ai sensi del medesimo articolo 36, comma 2

52 Sanzioni (Art.34) Omessa o infedele notificazione: –[Testo originale] Chiunque, essendovi tenuto, non provvede alle notificazioni prescritte dagli articoli 7 e 28, ovvero indica in esse notizie incomplete o non rispondenti al vero, è punito con la reclusione da tre mesi a due anni. Se il fatto concerne la notificazione prevista dall'articolo 16, comma 1, la pena è della reclusione sino ad anno728 16, comma 1 –[Testo modificato] Chiunque, essendovi tenuto, non provvede tempestivamente alle notificazioni in conformità a quanto previsto dagli articoli 7, 16, comma 1, e 28, ovvero indica in esse notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da lire dieci milioni a lire sessanta milioni e con la sanzione amministrativa accessoria della pubblicazione dell’ordinanza-ingiunzione.

53 Sanzioni (Art.35) Trattamento illecito dei dati: –Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 11, 20 e 27, è punito con la reclusione sino a due anni o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da tre mesi a due anni –Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, comunica o diffonde dati personali in violazione di quanto disposto dagli articoli 21, 22, 23 e 24, ovvero del divieto di cui all'articolo 28, comma 3, è punito con la reclusione da tre mesi a due anni –Se dai fatti di cui ai commi 1 e 2 deriva nocumento, la reclusione è da uno a tre anni –[COMMA 2 MODIFICATO] 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 21, 22, 23 e 24 e 24-bis, ovvero del divieto di cui all'articolo 28, comma 3, è punito con la reclusione da tre mesi a due anni.

54 Sanzioni (Art.36) Omessa adozione di misure necessarie alla sicurezza dei dati: –Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, è punito con la reclusione sino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni.articolo 15 –Se il fatto di cui al comma 1 è commesso per colpa si applica la reclusione fino a un anno.

55 Sanzioni (Art.36 modificato) 1. Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, è punito con l'arresto sino a due anni o con l'ammenda da lire dieci milioni a lire ottanta milioni. 2. All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L’organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi …” 2. Per i procedimenti penali per il reato di cui all’articolo 36 della legge 31 dicembre 1996, n. 675 in corso, entro quaranta giorni dall’entrata in vigore del presente decreto l’autore del reato può fare richiesta all’autorità giudiziaria di essere ammesso alla procedura indicata all’articolo 36, comma 2, della medesima legge n. 675 del 1996, come sostituito dal presente decreto. L’Autorità giudiziaria dispone la sospensione del procedimento e trasmette gli atti al Garante per la protezione dei dati personali che provvede ai sensi del medesimo articolo 36, comma 2

56 Sanzioni (Art.37) Inosservanza dei provvedimenti del Garante: –[Testo originale] Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell'articolo 22, comma 2, o dell'articolo 29, commi 4 e 5, è punito con la reclusione da tre mesi a due anni –[Testo modificato] Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell'articolo 22, comma 2, o degli articoli 29, commi 4 e 5, e 31, comma 1, lettera l), è punito con la reclusione da tre mesi a due anni.

57 Sanzioni (Art.37 bis) Questo articolo è stato introdotto ex- novo dal D.L. 28 dicembre 2001, n. 467: –(Falsità nelle dichiarazioni e nelle notificazioni al Garante) 1. Chiunque, nelle notificazioni di cui agli articoli 7, 16, comma 1, e 28 o in atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.

58 Sanzioni (Art.38) Pena accessoria –La condanna per uno dei delitti previsti dalla presente legge importa la pubblicazione della sentenza.

59 Sanzioni Amministrative (Art.39) Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 29, comma 4, e 32, comma 1, è punito con la sanzione amministrativa del pagamento di una somma da lire un milione a lire sei milioni. La violazione delle disposizioni di cui agli articoli 10 e 23, comma 2, è punita con la sanzione amministrativa del pagamento di una somma da lire cinquecentomila a lire tre milioni. L'organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui al presente articolo è il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni.

60 Sanzioni Amministrative ( Art.39 modificato dal D.L. 28/12/2001 n.467) 1. Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 29, comma 4, e 32, comma 1, è punito con la sanzione amministrativa del pagamento di una somma da lire da lire cinquemilioni a lire trentamilioni. 2. La violazione delle disposizioni di cui all’articolo 10 è punita con la sanzione amministrativa del pagamento di una somma da lire tre milioni a lire diciotto milioni o, nei casi di cui agli articoli 22, 24 e 24-bis o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da lire cinque milioni a lire trenta milioni. La somma può essere aumentata sino al triplo quando essa risulti inefficace in ragione delle condizioni economiche del contravventore. La violazione della disposizione di cui all’articolo 23, comma 2, è punita con la sanzione amministrativa del pagamento di una somma da lire cinquecentomila a lire tre milioni. 3. L'organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui al presente capo è il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni. I proventi, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo di cui all'articolo 33, comma 2, e sono utilizzati unicamente per l'esercizio dei compiti di cui agli articoli 31, comma 1, lettera i) e 32.

61 Provvedimenti in merito alla legge 675 /96 Art. 15 (Sicurezza dei Dati) –I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

62 Provvedimenti in merito alla legge 675 /96 –Art. 15 (Sicurezza dei Dati)[continua… ] Le misure minime di sicurezza da adottare in via preventiva sono individuate con regolamento emanato con decreto del Presidente della Repubblica, ai sensi dell'articolo 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400, entro centottanta giorni dalla data di entrata in vigore della presente legge, su proposta del Ministro di grazia e giustizia, sentiti l'Autorità per l'informatica nella pubblica amministrazione e il Garante.

63 Misure Minime di Sicurezza dei Dati Personali Con il DPR318 del 1999 sono state emanate le “Misure Minime” di sicurezza da adottare per il trattamento dei dati personali. Tali misure dovranno essere periodicamente rinnovate per essere adattate al progresso tecnologico in materia di sicurezza informatica.

64 Misure Minime di Sicurezza dei Dati personali Si tratta di un insieme di misure a carattere fisico, logico e organizzativo Il livello di applicazione “minimo” delle misure di cui sopra è individuato in base alla tipologia di dati trattati Parlando delle Misure Minime “ in base al progresso tecnico”, non è difficile portare alla memoria le “adeguate misure di sicurezza”, come indicato all’art. 615 ter

65 Misure Minime di Sicurezza dei Dati personali Il Legislatore (nella 675/96) individua una serie di figure nell’ambito del trattamento dei dati: –Titolare del trattamento: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza; –Responsabile la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali –L’interessato: la persona fisica o giuridica alla quale i dati fanno riferimento

66 Misure Minime di Sicurezza dei Dati personali Il DPR 318/99 specifica le seguenti figure: –Gli Incaricati al trattamento, ovvero coloro che effettuano le attività di trattamento dei dati –Gli Amministratori di Sistema, ovvero i soggetti che sovrintendono alle risorse informatiche –Il preposto alle parole chiave ed ai codici identificativi personali

67 Misure Minime di Sicurezza dei Dati personali I requisiti minimi della legge richiedono: –L’adozione di una parola chiave per l’accesso ai dati –L’individuazione per iscritto dei soggetti (Responsabili, Incaricati, Amministratori di Sistema) In più la legge fa distinzione tra (art.3 DPR 318) –Elaboratori accessibili da altri elaboratori solo attraverso reti non disponibili al pubblico (in tal caso rientrano le reti dove non esiste alcun collegamento ad una rete esterna né ad una rete i cui componenti fisici attraversano il suolo pubblico) –Elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico (in tal caso rientrano tutte le reti di computer collegate direttamente o indirettamente alla rete pubblica)

68 Misure Minime di Sicurezza dei Dati personali Se appartenenti ad una rete, per ogni elaboratore devono essere applicate le seguenti norme (Art. 4 DPR 318): –A ciascun utente deve essere assegnato un codice identificativo, che, neppure in tempi diversi può essere attribuito a persone diverse –Se inutilizzati per più di 6 mesi, o se vengono a mancare le condizioni per i quali è necessario l’accesso, i codici identificativi devono essere disattivati –Gli elaboratori devono essere adeguatamente protetti contro il rischio di intrusione (art.615 quinquies) mediante appositi programmi la cui efficacia e aggiornamento sono verificati con cadenza almeno semestrale.

69 Misure Minime di Sicurezza dei Dati personali Trattamento di dati particolari ( sensibili e inerenti al Casellario) –L’accesso ai dati è determinato sulla base di autorizzazioni assegnate, singolarmente o per gruppi di lavoro, agli incaricati al trattamento o alla manutenzione In tal caso per ogni gruppo di informazioni informatiche devono essere definite le autorizzazioni all’accesso, alla modifica, alla cancellazione.

70 Misure Minime di Sicurezza dei Dati personali Trattamento di dati particolari (sensibili e inerenti al Casellario) –Se gli elaboratori sono accessibili al pubblico, sono oggetto di autorizzazione gli strumenti utilizzati per l’interconnessione mediante reti disponibili al pubblico L’autorizzazione deve individuare i singoli elaboratori mediante i quali è possibile effettuare il trattamento

71 Misure Minime di Sicurezza dei Dati personali Trattamento di dati particolari (sensibili e inerenti al Casellario) –Le autorizzazioni sono rilasciate o revocate dal Titolare. Ogni anno devono essere verificate le condizioni per la conservazione delle autorizzazioni –L’autorizzazione all’accesso è limitata ai dati la cui conoscenza è necessaria e sufficiente per lo svolgimento delle operazioni di trattamento e manutenzione

72 Misure Minime di Sicurezza dei Dati personali Trattamento di dati particolari ( sensibili e inerenti al Casellario) –Non è possibile accedere contemporaneamente con lo stesso codice identificativo alla stesa applicazione da più elaboratori –I supporti di memorizzazione utilizzati per la conservazione dei dati possono essere riutilizzati se e soltanto se le informazioni contenute precedentemente non siano tecnicamente riutilizzabili. Altrimenti devono essere distrutti

73 Documento Programmatico sulla Sicurezza Nel caso in cui vi siano dati “sensibili” o relativi al Casellario, se il trattamento è effettuato mediante elaboratori accessibili al pubblico, deve essere redatto e aggiornato annualmente un “Documento Programmatico sulla Sicurezza”

74 Il “Documento Programmatico sulla sicurezza, “..sulla base dell’analisi dei rischi e dell’organizzazione del personale e dei compiti,..” deve descrivere: –Criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati al trattamento, nonché le procedure per controllare l’accesso ai locali medesimi –Criteri e le procedure per assicurare l’integrità dei dati –Criteri e procedure per la sicurezza delle trasmissioni dei dati e delle restrizioni imposte per l’accesso per via telematica ai dati –Piano di formazione per rendere edotto il personale sui rischi individuati e sulle procedure da applicare per prevenire danni

75 La costruzione di un Piano della Sicurezza Finalizzato alla costruzione di un sistema sicuro che soddisfi le seguenti proprietà: –Disponibilità: degli elaboratori, dei programmi e dei servizi di rete e di supporto –Integrità: delle informazioni, e quindi il rispetto delle autorizzazioni assegnate al personale che stabiliscono chi può effettuare operazioni di modifica, cancellazione, creazione –Autenticità: garanzia e certificazione della provenienza dei dati –Confidenzialità e riservatezza : l’informazione è accessibile soltanto al personale autorizzato

76 La costruzione di un Piano della Sicurezza La stesura del Documento Programmatico Ex. DPR 318 costituisce l’occasione per progettare la sicurezza aziendale in modo tale da soddisfare appieno i vincoli del “diritto di domicilio elettronico” ex art. 615 ter c.p. –Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito …

77 La costruzione di un Piano della Sicurezza Come espressamente specificato dalla L.675/96 l’adozione di misure di sicurezza non è più una scelta, ma un onere nei casi in cui il sistema informativo tratti dati personali, ovvero informazioni di proprietà dell’interessato. L’adozione di misure di sicurezza può essere quindi finalizzata alla tutela di: –Consapevolezza del diritto –Legittimità del diritto –Condotta omissiva (Art. 40 c.p.) Culpa in eligendo Culpa in vigilando

78 La costruzione di un Piano della Sicurezza Amministrazione di sistema: Prevenzione Vs Violazione? –La L.675/95 introduce la figura dell’amministratore di sistema, regolamentandone i limiti di intervento, ma anche le condizioni entro le quali le attività sono consentite nei limiti dei diritti degli interessati

79 La costruzione di un Piano della Sicurezza Sentenza 4-21 Aprile 2000 Tribunale di Roma –“…Del resto è ormai acclarato che i tradizionali mezzi di protezione software, in particolare quelli incentrati sulle c.d. chiavi di accesso non offrono certezza assoluta di impenetrabilità, essendo la loro individuazione soltanto una questione di tempo e livello tecnologico… “

80 La costruzione di un Piano della Sicurezza Sentenza n della Corte di Cassazione 6/12/2000 –“...è evidente, infatti, che, anche in mancanza di meccanismi di protezione informatica, commette il reato la persona estranea all'organizzazione che acceda ai dati senza titolo o autorizzazione, essendo implicita, ma intuibile, la volontà dell'avente diritto di escludere gli estranei…” –“…L'art. 615 ter comma 1 c.p. punisce non solo chi s'introduce abusivamente in un sistema informatico o telematico, ma anche chi vi si mantiene contro la volontà esplicita o tacita di chi ha il diritto di escluderlo…"

81 La costruzione di un Piano della Sicurezza L’approccio: –Valutare la sicurezza del sistema informativo dal punto di vista del progresso tecnologico individuando gli obiettivi di sicurezza aziendali –Indicare, tra i vincoli, le imposizioni ex DPR 318/99 e L.547/93 –Applicare soluzioni adeguate ai rischi –Costruire un processo di revisione ed adattamento del livello di sicurezza, tale per assicurare, nel tempo, una adeguata applicazione delle misure conformi con i requisiti di legge e con gli obiettivi di business

82 La costruzione di un Piano della Sicurezza L’approccio utilizzato deve necessariamente passare per una fase di progettazione ed analisi del sistema informativo, dei requisiti di legge e di business E’ opportuno inserire il progetto di stesura del Documento Programmatico in un processo più articolato e completo: la stesura di un Piano della Sicurezza

83 Il processo della Sicurezza di un Sistema Informativo Analisi del Rischio Definizione delle Politiche di Sicurezza Gestione del Rischio Il Piano Operativo Audit Formazione Organizzazione

84 Analisi dei rischi Procedura fondamentale di tutto il procedimento di definizione di un sistema sicuro e di un piano per la sicurezza. Possiamo suddividerlo in più fasi: –Identificazione dei beni da proteggere: –Classificazione e Valutazione dei Beni –Valutazione delle Minacce e delle Vulnerabilità dei Beni –Individuazione dell’esposizione al rischio –Individuazione dell’insieme delle contromisure per innalzare il livello di sicurezza La conoscenza dei rischi permette di effettuare una corretta valutazione costi/benefici delle misure di sicurezza che è opportuno adottare

85 Identificazione dei beni da proteggere Risorse hardware –Malfunzionamenti, sabotaggi, eventi accidentali (incendi, allagamenti), furti ed intercettazione Risorse Software –Errori nei software, codice malizioso contenuto nei programmi (virus, trojan horse), Denial of Service Attack Dati –Accesso non autorizzato, modifiche deliberate o accidentali, errori involontari Risorse Professionali –Social Engineering Attack Documentazioni Cartacee –Distruzione, alterazione dovuta ad agenti esterni, tempo, atti vandalici Supporti di memorizzazione –Deterioramento nel tempo, difetti di costruzione, evoluzione tecnologica

86 Classificazione e Valutazione dei Beni Classificazione –dei beni, in funzione degli elementi di integrità, riservatezza e disponibilità –Ad ogni bene è attribuito un valore in funzione di uno scenario di impatto significativo ai fini della sicurezza –Grazie alla classificazione sarà possibile comprendere il grado di esposizione al rischio Valutazione –Effettuata secondo uno o più criteri (costi economici, di immagine, di ripristino, norme di legge…)

87 Valutazione delle Minacce e delle Vulnerabilità Si applica ai beni: per ognuno si identificano le minacce e le vulnerabilità alle quali è esposto Categorie di minacce: –Penetrazione logica –Penetrazione nelle reti di comunicazione –Guasti tecnici alle apparecchiature –Errori umani –Minacce fisiche Ad ognuna è associato un livello qualitativo per verificare l’impatto di ogni minaccia e vulnerabilità sui singoli beni. Risponde alla domanda: “a quale/i rischi ed in che forma la minaccia incombe su un determinato bene?”

88 Individuazione dell’esposizione al rischio La misura del rischio è stabilita in funzione dei seguenti fattori: –Il valore dei beni –Il livello delle minacce ai beni –Il livello di vulnerabilità dei beni Deve essere creata una matrice dell’esposizione dove da un alto sono enumerati i beni e dall’altra sono valorizzati i parametri di cui sopra Dalla matrice si ricavano i principali problemi ai quali è esposto il sistema informatico, e di valutare il grado di rischio di ciascun bene

89 Individuazione dell’insieme delle contromisure Termina l’analisi con l’individuazione di una serie di contromisure di natura fisica, logica e organizzativa, da adottare per diminuire l’impatto del rischio Deve essere creata una “matrice delle contromisure” da associale alle singole minacce relativamente ai singoli beni: –Vulnerabilità –Danno potenziale –Probabilità dell’evento –Rischio per l’Amministrazione –Costo di ripristino –Priorità nell’implementazione dei meccanismi di sicurezza –Contromisure urgenti, ordinarie, future Sulla base di tale classificazione è possibile stabilire quale sia il “rischio residuo accettabile” valutando l’impatto delle possibili contromisure Questa fase permette di fornire indicazioni per la costruzione delle Politiche di Sicurezza e della Strategia di Gestione del Rischio.

90 Il processo della Sicurezza di un Sistema Informativo Analisi del Rischio Definizione delle Politiche di Sicurezza Gestione del Rischio Il Piano Operativo Audit Formazione Organizzazione

91 Definizione delle Politiche di Sicurezza Individuazione di criteri generali basati sui rischi e indipendenti dalla tecnologia in uso La Politica di Sicurezza affronta globalmente il problema del rischio, mettendo in campo contromisure di tipo organizzativo, procedurale, software, hardware Le Politiche di Sicurezza sono finalizzate alla protezione di uno o più beni dal momento della creazione/installazione, passando attraverso la gestione, fino al momento della distruzione –Le Politiche di Sicurezza devono essere periodicamente aggiornate

92 Politiche di Sicurezza Le Politiche di Sicurezza devono abbracciare i seguenti aspetti: –Classificazione delle informazioni –Protezione fisica delle risorse (fisiche, logiche, umane ecc…) –Protezione logica delle risorse –Norme per il personale –Piano di Continuità Operativa –Gestione degli Incidenti –Sviluppo e manutenzione dei sistemi hardware e software installati e utilizzati per la gestione della sicurezza

93 Classificazione informazioni Non Classificate Confidenziali Riservate Ad uso interno Dati Personali … La classificazione deve essere fatta in modo tale da poter essere applicata ad un bene (informativo) indipendentemente dal media ove questo sia contenuto. In tal senso deve essere prevista anche una attività di etichettatura dei supporti di memorizzazione

94 Protezione fisica Classificazione e riorganizzazione dei locali (aree pubbliche, aree riservate, aree interne ecc…) Accessi controllati (da personale, con telecamere, con strumenti tecnologici, come ad esempio badge, lettori biometrici, dispositivi wireless) Sicurezza dei sistemi di supporto, sicurezza degli impianti Sistemi di rilevamento (antincendio, allarmi volumetrici) Protezione dei supporti di memorizzazione Protezione dei sistemi di elaborazione ( con particolare rilevanza per i dispositivi mobili)

95 Misure di sicurezza Logica Controllo degli accessi alle informazioni Sistemi di controllo e mantenimento dell’integrità Sicurezza delle trasmissioni Protezione degli elaboratori, del software, delle licenze, degli accessi alle reti Sicurezza nel processo di sviluppo software, dell’installazione, della configurazione Sicurezza dei sistemi di rilevazione e trattamento degli incidenti

96 Norme per il personale Utilizzo delle risorse Utilizzo dei sistemi di protezione e sicurezza Norme per l’accesso e per l’uso delle informazioni Norme per la gestione degli incidenti

97 Piano di Continuità Operativa Procedure organizzative, normativa, risorse dedicate e disponibili per: –Ripristino informazioni –Ripristino servizi –Ripristino sistemi di sicurezza

98 Gestione degli incidenti Sicurezza delle comunicazioni degli incidenti Rilevamento e accertamento dell’incidente Determinazione responsabilità Indicazioni responsabili del trattamento degli incidenti

99 Sviluppo e manutenzione dei sistemi hardware e software Gestione del processo di sviluppo –Indicazione del personale, delle risorse e delle aree adibite –Indicazione dei success criteria e delle modalità per il controllo di versione Gestione del processo di installazione –Indicazione del personale, delle risorse e delle procedure di test –Individuazione delle dipendenze (hw/sw) –Indicazione dei success criteria Gestione delle procedure di aggiornamento –Indicazione del personale, delle risorse e delle procedure di test –Individuazione delle dipendenze (hw/sw) –Indicazione dei success criteria

100 Raccolta informazioni Sistemi e risorse per il log delle applicazioni/servizi Sistemi di audit Personale adibito Procedure di acquisizione/verifica/analisi dei dati Procedure per l’attivazione delle contromisure

101 Politiche di sicurezza Se diamo in input alle Politiche di Sicurezza il sistema informativo in esame, l’output consiste in una serie di Regole e Procedure alle quali il personale si deve attenere, come ad esempio: –Gestione degli UserID e password –Assegnazione dei privilegi –Autorizzazioni di accesso ai dati/servizi/transazioni –Gestione sistemi crittografici/chiavi –Gestione certificati digitali (emissione/rinnovo/revoca) –Analisi e gestione dei Log/Auditing –Installazione, manutenzione, aggiornamento Antivirus

102 Il processo della Sicurezza di un Sistema Informativo Analisi del Rischio Definizione delle Politiche di Sicurezza Gestione del Rischio Il Piano Operativo Audit Formazione Organizzazione

103 Gestione del Rischio Output: definizione degli obiettivi si sicurezza del sistema in esame –Rischio da abbattere –Rischio residuo ritenuto accettabile …in funzione di : –Obiettivi e mission aziendale –Garanzie dei livelli di servizio –Conformità alle normative –Vincoli di natura contrattuale –Piani/progetti di evoluzione del sistema informativo –Vincoli Tecnologici –Disponibilità economica

104 Gestione del Rischio Giusto equilibrio tra costi della sicurezza e costi derivati dai rischi verso i quali l’azienda decide di non proteggersi Giusto equilibrio tra costi, misure e risorse a disposizione per sostenere il target di sicurezza definito –Il livello di sicurezza ottenuto deve essere mantenuto tale nel tempo, o almeno fino alla successiva revisione delle politiche

105 Gestione del rischio Definito il livello di sicurezza da raggiungere, deve essere previste una serie di misure per gestire il rischio residuo La gestione passa attraverso due politiche: –Trasferimento del rischio Polizze assicurative, Outsourcing dei servizi di sicurezza, di attività, di procedure ecc… –Abbattimento del rischio

106 Abbattimento del rischio Ridurre la vulnerabilità Ridurre la minaccia Ridurre l’impatto degli incidenti Rilevare in modo tempestivo un incidente Pianificare le procedure di recovery Le misure da adottare devono essere scelte in base ad un rapporto calibrato costi/benefici Le misure scelte costituiranno la base di partenza per la definizione del Piano Operativo

107 Calibrazione costi/benefici Determinato in base ad uno o più tra i seguenti parametri –Reddito netto del bene/processo –Rimessa economica in caso di compromissione del bene –Soluzioni disponibili –Efficacia delle soluzioni –Impatto delle misure sugli operatori/utenti –Semplicità di implementazione e gestione della politica di sicurezza –…

108 Il processo della Sicurezza di un Sistema Informativo Analisi del Rischio Definizione delle Politiche di Sicurezza Gestione del Rischio Il Piano Operativo Audit Formazione Organizzazione

109 Piano Operativo Determinare, tra le contromisure, quelle ritenute idonee, verificarne fattibilità, stabilire le priorità di intervento e individuarne le dipendenze per coprire i rischi secondo obiettivi definiti dalle politiche di sicurezza Contenuti: –Attività e risorse necessarie, Piano di Attuazione, dipendenze tra gli interventi, alternative di realizzazione possibili, tempi necessari

110 Piano Operativo Le attività possono essere raggruppate nelle seguenti aree: –Sicurezza Fisica Di area Delle apparecchiature –Sicurezza Logica Servizi –Autenticazione, Controllo accessi, Confidenzialità, Integrità Meccanismi –Cifratura, firma digitale, Controllo degli accessi, integrità, autenticazione,traffic padding, controllo instradamento, notarizzazione –Sicurezza Organizzativa Definizione di ruoli, compiti, responsabilità Definizione procedure –Piano di Continuità Operativa Limitazione dell’impatto degli incidenti Protezione e garanzia della continuità dei servizi e dei sistemi critici

111 Il processo della Sicurezza di un Sistema Informativo Analisi del Rischio Definizione delle Politiche di Sicurezza Gestione del Rischio Il Piano Operativo Audit Formazione Organizzazione

112 Verifica della sicurezza Monitoraggio –Verifica continua delle misure di sicurezza durante le fasi di progettazione, implementazione, gestione, esercizio ed aggiornamento delle misure di sicurezza Audit –Verifica estemporanea dell’adozione delle misure di sicurezza effettuata da terze parti Es: penetration test

113 Monitoraggio Log : registrazione e conservazione dello stato e della attività dei servizi, con particolare rilevanza per le funzioni di sicurezza (accessi, autorizzazioni ecc…) Audit : elaborazione di un sottoinsieme ben definito dei dati di log in tempo reale o a posteriori per applicare una analisi finalizzata ad uno scopo (es: riscontrare i tentativi di attacco esaminando i log delle operazioni di autenticazione fallite) Verifica della configurazione dei sistemi: controllo delle applicazioni e della configurazione dei sistemi per rilevare: –Vulnerabilità, back doors, software privo di licenza, software non autorizzato (ecc…) introdotto dal personale o a causa di attacchi

114 Il processo della Sicurezza di un Sistema Informativo Analisi del Rischio Definizione delle Politiche di Sicurezza Gestione del Rischio Il Piano Operativo Audit Formazione Organizzazione

115 Il processo della Sicurezza di un Sistema Informativo Analisi del Rischio Definizione delle Politiche di Sicurezza Gestione del Rischio Il Piano Operativo Audit Formazione Organizzazione

116 Organizzazione Nell’organigramma aziendale devono essere previste necessariamente nuove figure per la gestione della sicurezza L’organigramma può essere strutturato in base alle seguenti funzioni: –Definizione delle Politiche in termini di sicurezza –Progettazione,implementazione e gestione delle Politiche –Verifica e controllo della corretta attuazione delle politiche, valutando: Efficacia Efficienza Correttezza Impatto sul sistema informativo Le tre funzioni devono essere separate. Nel caso limite possono essere differenziate le funzioni di definizione delle politiche e loro progettazione,implementazione e gestione, dalla funzione di verifica

117 Proposta di Legge quadro sui crimini informatici a livello Europeo Contributi –CEE, Raccomandazione n. 89/9 del Comitato per i problemi criminali del Consiglio d'Europa concernente la Lista Minima dei reati informatici –Raccomandazione del 7 aprile 1995 su criteri comuni per la valutazione della sicurezza delle tecnologie d'informazione. –Comunicazione “Creare una società dell'informazione sicura migliorando la sicurezza delle infrastrutture dell'informazione e mediante la lotta alla criminalità informatica“ – Lisbona 2000 –Comunicazione "Sicurezza delle reti e sicurezza dell'informazione: proposta di un approccio strategico europeo“ – 6/6/2001 –Convenzione internazionale sulla criminalità telematica (10/2001)

118 Proposta di Legge Quadro sui crimini informatici a livello Europeo Obiettivi: –Unificare la base giuridica dei paesi comunitari in materia di reati informatici per semplificare la cooperazione ed equiparare le pene –Emissione di “norme minime relative agli elementi costitutivi dei reati“ –Definire un contributo comunitario alla lotta contro la criminalità organizzata ed il terrorismo Tempi per raggiungere la conformità con la legge quadro: entro il 31 dicembre 2003.

119 Proposta di Legge quadro sui crimini informatici a livello Europeo Ambiti: –Le norme non vincolano le legislazioni nazionali a penalizzare reati di scarsa gravità –Sono fatte salve le norme comunitarie e nazionali che trattano Dati personali Regole d’accesso Segretezza delle comunicazioni Firma digitale Proprietà intellettuale

120 Dati Informatici La prima, sostanziale, differenza con la norma italiana è quella di fornire una chiara e aggiornata definizione di “dati informatici” : –s'intende qualsiasi rappresentazione di fatti, informazioni o concetti creata o trasformata in modo tale da poter essere trattata da un sistema di informazione, compreso un programma atto far svolgere una funzione ad un sistema di informazione

121 Accesso illecito a sistemi di informazione (Art. 3) Gli Stati membri provvedono a che l'accesso intenzionale, senza diritto, ad un sistema di informazione o ad una parte dello stesso sia punito come reato qualora sia commesso: –i) nei confronti di una qualsiasi parte di un sistema di informazione sottoposto a misure di protezione specifiche; o –ii) con l'intento di cagionare danni ad una persona fisica o giuridica; o –iii) con l'intento di procurare un vantaggio economico.

122 Definizioni (Art. 2, comma 1 punti f) e g) ) l'espressione "senza diritto" significa che la condotta delle persone autorizzate o altre condotte riconosciute lecite dalla legislazione nazionale sono escluse. per "persona autorizzata" s'intende qualsiasi persona fisica o giuridica che abbia il diritto, per contratto o per legge, oppure il permesso legittimo di usare, gestire, sorvegliare, collaudare, condurre ricerche scientifiche legittime o in altro modo operare un sistema di informazione e che agisce in conformità con tale dritto o permesso

123 Il “nuovo” domicilio elettronico è più tutelato? Il nuovo domicilio elettronico è tutelato anche nei casi di assenza di misure di protezione in funzione delle finalità dell’attacco: –…l'intento di cagionare danni… –…procurare un vantaggio economico…

124 Interferenza illecita con sistemi di informazione (art. 4) Gli Stati membri provvedono a che le seguenti condotte intenzionali, senza diritto, siano punite come reato: –a) il fatto di ostacolare gravemente o interrompere il funzionamento di un sistema di informazione mediante l'immissione, la trasmissione, il danneggiamento, la cancellazione, il deterioramento, l'alterazione, la soppressione di dati informatici o rendendoli inaccessibili; –b) il fatto di cancellare, deteriorare, alterare, sopprimere o rendere inaccessibili dati informatici in un sistema di informazione qualora ciò venga commesso nell'intento di cagionare un danno a persone fisiche o giuridiche.

125 Interferenza Illecita Questo articolo introduce la punibilità per attacchi DoS: –…ostacolare gravemente… …mediante l'immissione, la trasmissione… Con il termine “ostacolare gravemente” è lasciata libera scelta agli Stati Membri di definire i criteri di “gravità” tali per cui un attacco rientri in questa tipologia di reato

126 Istigazione, favoreggiamento, complicità e tentativo (art. 5) 1. Gli Stati membri provvedono a che l'istigazione, il favoreggiamento, la complicità e il tentativo nella commissione dei reati di cui agli articoli 3 e 4 siano puniti come reato. 2. Gli Stati membri provvedono a che il tentativo di commettere i reati di cui agli articoli 3 e 4 sia punito come reato.

127 Responsabilità delle Persone Giuridiche (Art. 9) Gli Stati membri provvedono a che le persone giuridiche possano essere ritenute responsabili dei reati di cui agli articoli 3, 4 e 5 commessi a loro beneficio da qualsiasi soggetto, che agisca a titolo individuale o in quanto membro di un organo della persona giuridica, il quale detenga una posizione preminente in seno alla persona giuridica stessa, basata: a) sul potere di rappresentanza di detta persona giuridica b) sul potere di prendere decisioni per conto della persona giuridica c) sull'esercizio di poteri di controllo in seno a tale persona giuridica.

128 Responsabilità delle Persone Giuridiche (Art. 9) 2. Oltre che nei casi di cui al paragrafo 1, gli Stati membri adottano le misure necessarie affinché le persone giuridiche possano essere ritenute responsabili qualora la mancata sorveglianza o il mancato controllo da parte di un soggetto tra quelli di cui al paragrafo 1 abbia reso possibile la commissione dei reati di cui agli articoli 3, 4 e 5 a beneficio della persona giuridica da parte di una persona soggetta alla sua autorità.

129 Sanzioni (Art 10) …Responsabile ai sensi del paragrafo 1 dell'articolo 9 siano applicabili sanzioni efficaci, proporzionate e dissuasive, che comprendano sanzioni pecuniarie penali o non penali e che possano comprendere anche altre sanzioni quali: misure di esclusione dal godimento di un beneficio o aiuto pubblico, misure di divieto temporaneo o permanente di esercitare un'attività commerciale assoggettamento a sorveglianza giudiziaria o provvedimenti giudiziari di scioglimento.

130 Sanzioni (Art 10) Gli Stati membri provvedono a che alle persone giuridiche ritenute responsabili ai sensi del paragrafo 2 dell'articolo 9 siano applicate sanzioni o provvedimenti efficaci, proporzionati e dissuasivi.

131 Giurisdizione (Art.11) Ciascuno Stato membro adotta le misure necessarie a stabilire la propria giurisdizione sui reati di cui agli articoli 3, 4 e 5 laddove i reati siano stati commessi: a) interamente o in parte sul suo territorio o b) da un suo cittadino, ai danni di individui o gruppi dello Stato stesso, o c) a beneficio di una persona giuridica che ha la sua sede principale nel territorio dello Stato membro stesso.

132 Giurisdizione (Art.11) Nello stabilire la propria giurisdizione ai sensi del paragrafo 1, lettera a), ogni Stato membro provvede a che tale giurisdizione abbracci i casi in cui: a) l'autore abbia commesso il reato mentre era fisicamente presente nel suo territorio, indipendentemente dal fatto che il sistema di informazione contro il quale è stato commesso il reato si trovi o meno nel suo territorio, o b) il sistema di informazione contro il quale è stato commesso il reato si trova nel suo territorio, indipendentemente dal fatto che l'autore del reato fosse o meno fisicamente presente nel suo territorio al momento della commissione del reato.

133 Giurisdizione (Art.11) Qualora un reato rientri nella giurisdizione di più di uno Stato membro e quando ciascuno degli Stati interessati potrebbe validamente avviare un'azione penale sulla base degli stessi fatti, gli Stati membri interessati cooperano per decidere quale di essi perseguirà gli autori del reato allo scopo, se possibile, di concentrare i procedimenti in un solo Stato membro. A tal fine, gli Stati membri possono fare ricorso a qualsiasi organismo o meccanismo istituito all'interno dell'Unione europea per agevolare la cooperazione tra le loro autorità giudiziarie ed il coordinamento del loro operato.

134 Scambio di informazioni 1. Gli Stati membri stabiliscono dei punti di contatto operativi, disponibili ventiquattr'ore su ventiquattro e sette giorni su sette, per lo scambio delle informazioni relative ai reati di cui agli articoli 3, 4 e 5, fatte salve le disposizioni sulla protezione dei dati personali. 2. Ciascuno Stato membro informa il Segretariato generale del Consiglio e la Commissione in merito al proprio punto di contatto operativo stabilito per lo scambio d'informazioni riguardo ai reati che comportano attacchi a sistemi di informazione. Il Segretariato generale trasmette tali informazioni agli altri Stati membri.

135 Documento Informatico: quadro normativo In Italia, prima al mondo, un documento informatico, se firmato digitalmente e se sottoposto ad alcune restrizioni, ha valore legale (legge Bassanini, Legge 59/97). DPR 513/97: Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell'articolo 15, comma 2, della legge 15 marzo 1997, n.59 –Il DPR 513 stabilisce quali debbono essere le “restrizioni” indicate dalla Bassanini. Il DPCM 8/2/99 stabilisce le regole tecniche per l’applicazione del DPR 513 Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (S. O. alla G. U. n. 42 del 20 febbraio 2001) –Abroga il DPR 513/97

136 Documento Informatico: quadro normativo ( T.U.) (Art. 1 comma 1 (b) ) DOCUMENTO INFORMATICO: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti (Art 8 comma 1) Il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge, se conformi alle disposizioni del presente Testo Unico (Art 8 comma 2) Le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici sono definite con decreto del Presidente del Consiglio dei Ministri sentite l’Autorità per l’informatica nella pubblica amministrazione e il Garante per la protezione dei dati personali. Esse sono adeguate alle esigenze dettate dall'evoluzione delle conoscenze scientifiche e tecnologiche, con cadenza almeno biennale

137 Forma ed Efficacia del Documento Informatico (T.U.) …Il documento informatico sottoscritto con firma digitale, redatto in conformità alle regole tecniche … soddisfa il requisito legale della forma scritta e ha efficacia probatoria... …Il documento informatico, sottoscritto con firma digitale ai sensi dell'articolo 23, ha efficacia di scrittura privata ai sensi dell'articolo 2702 del codice civile…

138 Aggiornamento… Mediante il DLgs 23 gennaio 2002, n. 10 è stata acquisita la Direttiva U.E. 1999/93/CE relativa ad un quadro comunitario per le firme elettronicheDLgs 23 gennaio 2002, n. 10 La direttiva, di fatto, altera il precedente sistema di equiparazione del documento firmato digitalmente con quello cartaceo munito di firma autografa, per poi estendere la possibile validità probatoria alle cosiddette “firme elettroniche”

139 Forma ed Efficacia del Documento Informatico (T.U.) 1. Il documento informatico ha l'efficacia probatoria prevista dall'articolo 2712 del codice civile, riguardo ai fatti ed alle cose rappresentate. 2. Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta. Sul piano probatorio il documento stesso è liberamente valutabile, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza Il documento informatico, quando è sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata,..fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l'ha sottoscritto. (…)

140 Obblighi dei Certificatori Decreto legislativo 23 gennaio 2002, n. 10 Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche stabilisce che: (Art.3) …L'attività dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione europea è libera e non necessita di autorizzazione preventiva… (Art.4) …. I certificatori stabiliti in Italia che intendono rilasciare al pubblico certificati qualificati devono darne avviso, anche in via telematica, prima dell'inizio dell'attività, al Dipartimento(per l'innovazione e le tecnologie) …

141 Riferimenti Autorità per l’informatica nella pubblica amministrazione –www.aipa.itwww.aipa.it Garante per la privacy –www.garanteprivacy.it/ Interlex –www.interlex.itwww.interlex.it


Scaricare ppt "Problematiche legali della sicurezza informatica e privacy Luca Bechelli Security Consultant"

Presentazioni simili


Annunci Google