Reti scolastiche e sicurezza Dario Zucchini. Un PC in rete e non protetto per 3 settimane: Esperimento Microsoft (2005) 5 milioni di accessi non autorizzati.

Slides:



Advertisements
Presentazioni simili
Gestione dei laboratori
Advertisements

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.
Modulo 5 - posta elettronica
INTERNET: RISCHI E PERICOLI
Innovazione Tecnologica Sostenibile Dario Zucchini.
Contenuti, IDENTITà E CITTADINANZA DIGITALE
Dario Zucchini23 aprile & c. In tre mesi pubblicati più materiali su YouTube che su tutte le maggiori emittenti TV Autori fino a ieri considerati.
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Reti scolastiche, sicurezza e politiche uso accettabile Dario Zucchini 8° Forum Biblioteca Virtuale Moncalieri.
Direzione Generale Sistemi Informativi Reti telematiche e minori: lesperienza nelle scuole Reti telematiche e minori: lesperienza nelle scuole Roma, 17.
LA SICUREZZA INFORMATICA
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
LA NORMATIVA DI RIFERIMENTO
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Il codice in materia di protezione dei dati personali è un decreto legislativo (atto avente forza di legge) della Repubblica Italiana emanato il 30 giugno.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Ing. Andrea.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
Riproduzione riservata
Legge 23 dicembre 1993 n. 547 (G. U. n. 305 del 30 dicembre 1993) Attentato a impianti informatici di pubblica utilità (art. 420); Falsificazione di documenti.
SPYWARE PISHING bit torrent e mule rapid share servono per condividere e scaricare materiali film e canzoni sono protetti dai diritti dautore è un furto,
SICUREZZA INFORMATICA
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
Fabrizio Grossi. 2) Conservazione dei Log di connessione 3) Individuazione procedure e soggetti preposti per verifica navigazione singola postazione.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
I VIRUS Buttà Cristina 2^ beat ISIS G. Meroni anno scolastico 2007/2008.
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
IL CODICE DELLA PRIVACY
MODULO 01 Unità didattica 05
Prof. Antonio Martano ITIS “Pacinotti” Taranto
Pubblicità legale (Albo on-line)
DAI TABLET ALLA PAGELLA ELETTRONICA.
Reati informatici Dario Zucchini.
Indice Tematico Cos’è Internet Chi esegue gli attacchi e perché? Attacchi Tecniche di difesa Sicurezza nei pagamenti.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Reati NON informatici Dario Zucchini.
Sicurezza Navigazione protetta nel contesto scolastico
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Gestione dei laboratori
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
1 Sicurezza Informatica CHI e/o CHE COSA RIGUARDA ? PC ( vai  SICURpc ) ( SICURutente  vai ) UTENTE WEBWEB (hacker o cracker) WEB.
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
Forum PA – Roma 12 maggio PEC – Un nuovo servizio per tutti - C. Petrucci Posta Elettronica Certificata Un nuovo servizio per tutti ing. Claudio.
Computer crimes: responsabilità penali in internet
Storo 30 ottobre 2006 – Pierluigi Roberti Problemi legati al software e possibili soluzioni ReadyServices sas Pierluigi Roberti.
Guardie Giurate Art. 2 Statuto dei lavoratori.
UNITA’ 02 Malware.
Reati NON informatici Dario Zucchini. Ingiuria 1:1 Chiunque offende l'onore o il decoro di una persona presente commette il reato di ingiuria. Incorre.
Sicurezza e attacchi informatici
Cloud SIA V anno.
Le TIC nella didattica appunti-spunti di riflessione
ECDL European Computer Driving Licence
Come affrontare la sicurezza Internet quando l’utente è uno studente o un figlio Sergio Venturino School Day Milano, 19 ottobre 2010.
1 Sicurezza Diritto d’autore Aspetti giuridici. 2 La sicurezza dei dati Copia di Backup ( salvataggio), Password di accesso.
Hacker ed i Social Network
Presentazione a cura di: Matteo Bonifazzi, Massimo Albertini e Andrea Belletti.
Diritto e Internet Matteo Sacchi Classe 1°B Anno scolastico 2014/2015.
Virus informatici Samuele Mazzoli 1B 2014/2015. indice I virus informatici Come fare per proteggersi Come si classificano Componenti dei virus Chi crea.
LA SICUREZZA INFORMATICA BERRETTA LORENZO 1B CAT A.S 2014/2015.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Transcript della presentazione:

Reti scolastiche e sicurezza Dario Zucchini

Un PC in rete e non protetto per 3 settimane: Esperimento Microsoft (2005) 5 milioni di accessi non autorizzati 18 milioni di messaggi spam Pubblicità per siti web 13 aziende individuate

Informazioni sugli attacchi 86,9% virus 35,2% intrusioni nel sistema A seguito di attacchi subiti: 20,5% blocco dei sistemi informativi 14% rallentamento delle attività 6,6% arresto totale delle attività 13,1% la perdita di dati 9% danneggiamento o modifica Fonte uff. Stampa Microsoft

Affidabilità 1 ora (50 min) in laboratorio 8 minuti spostamento 2 minuti accensione dei pc 10 minuti per ripristinare 2-3 PC sabotati 5 minuti per riportare all’ordine i ragazzi 5 minuti per avviare il software 15 minuti di lezione 5 minuti spegnimento e spostamento

Definizione La "Sicurezza" è un processo che deve garantire: la riservatezza delle comunicazioni l'integrità di dati e applicazioni modificabili solo da coloro che ne hanno la titolarità la disponibilità continua del sistema

Proprietà Per mezzo delle reti locali si "trattano" dati che non vengono considerati pubblici Da proteggere per garantire le seguenti proprietà: confidenzialità: i dati devono poter essere esaminati solamente dagli addetti al loro trattamento; integrità: i dati non devono essere alterati, sia che risiedano stabilmente su un solo sistema, sia che vengano trasmessi.

Cosa proteggere e da chi Il Curioso: vuole capire che tipo di dati e di sistema avete il Malizioso: mettere fuori uso il vostro sistema o renderlo non operante la Concorrenza: interesse nei dati che avete sul vostro sistema lo Sfruttatore: sfruttare il vostro sistema attività illecite (spam) L’ Intrusore di alto profilo: usarlo come base di appoggio per penetrare in altri sistemi o rendersi anonimo Il dipendente o lo studente: modificare a suo vantaggio le informazioni Virus, Trojan, Worm, Malware, Spyware: software che agiscono per conto terzi

Hacker e Cracker Il volto degli autori dei reati informatici: hacker e cracker Il termine hacker viene utilizzato generalmente con un significato prettamente negativo, anche se il New Hacker's Dictionary di Eric S. Raymond definisce come hacker colui che ama esplorare le possibilità offerte da un sistema informativo e mette alla prova le proprie capacità. Cracker è invece colui che agisce con l'intenzione violare la legge allo scopo di causare danno.

Quadro normativo MIUR CM 114/2002: infrastrutture tecnologiche nelle scuole. “Dotare le scuole di connettività ad internet con ampiezza di banda adeguata ed estesa a tutto l'istituto, utilizzabile sia per le funzionalità amministrative che per le attività didattiche” CR 142/2003: linee d'indirizzo per una cultura d'uso corretto delle risorse tecnologiche e di rete nelle scuole. PUA – Politica Uso Accettabile della rete Garante Privacy DL 30/06/2003 n.196: Codice in materia di protezione dei dati personali Misure minime: firewall, antivirus, aggiornamenti, backup, credenziali DL 30/12/2004 n.314: “milleproroghe”.

Reti diverse, esigenze diverse Segreteria Riservatezza comunicazioni Integrità dati e applicazioni Disponibilità continua del sistema Rete Didattica Navigazione Protetta Disponibilità continua del sistema Integrità delle applicazioni

Reti Aziendali Prestazioni Sicurezza

Reti Scolastiche Prestazioni Sicurezza

Contesto paradossale Proviamo ad immaginare di trovarci, in qualità di spettatori invisibili, in una classe di scuola media superiore un po’ particolare… L’insegnante sta spiegando ai ragazzi come utilizzare in modo efficace i motori di ricerca, ma i suoi studenti (e non solo loro) sembrano interessati a tutt’altro: sono affascinati dalle nuove possibilità che Internet ha messo loro disposizione.

La compagna di banco Pierino con il suo nuovo cellulare scatta una fotografia a Francesca. La fotografia, scattata a scuola, viene poi inviata (upload), sempre da scuola, su un sito (con aggiunta di apprezzamenti). La famiglia sporge denuncia. Delitto non informatico, presumibilmente violazione della privacy L675 (tutela dell'immagine) e diffamazione art 595 cp.

Il sito degli Hacker Mirko, scarica da un sito un software ed esegue tentativi di Port Scanning - Brute Force - Denial of Service; incappa in un sito pubblico protetto da firewall; scatta la procedura di allarme e la denuncia (automatica nel caso di server pubblici); delitto informatico (accesso abusivo ad un sistema telematico ed informatico art 615 ter cp). Giorgio, sui canali IRC, trova le istruzioni per diffondere un virus e lo invia per scherzo via ; delitto informatico (diffusione di programmi diretti a danneggiare od interrompere un sistema informatico art 615 quinquies cp).

Download a tutti i costi Un gruppo di studenti usa eMule per scaricare delle musiche per il loro lavoro di storia; con lo stesso programma Katia scarica film in prima visione; anche in segreteria usano eMule con il quale scaricano e ascoltano musica; violazione legge sul diritto d’autore; comportamenti non conformi alla policy dell'ente; eMule contiene Spyware: Sicurezza compromessa per la rete della segreteria!!!

Il brutto voto Uno studente decide di vendicare un brutto voto; da scuola partono (attraverso internet) con apprezzamenti offensivi verso la casella di posta privata e/o la casella di posta della scuola; lo spamming o il mail bombing sono reati informatici; ingiuria art 594 cp. (comunicando con una persona); il cellulare della prof viene inserito in un messaggio su newsgroup a carattere pornografico, si scatena il finimondo e la sfortunata insegnante deve sporgere denuncia; delitto non informatico, presumibilmente diffamazione art 595 cp. (comunicando con più persone) e molestie art. 660 cp.

Giochi dei “Grandi” Un allievo si diverte un nel vedere le tracce di navigazione lasciate dai prof e dai tecnici: scopre che, quando i laboratori sono senza gli studenti, gli adulti navigano su siti “proibiti” In segreteria un dipendente durante l'orario d'ufficio gioca in borsa Un docente passa il tempo a organizzare viaggi e a vendere francobolli su ebay comportamenti non conformi alla policy dell'ente.

Il Conto È molto facile collezionare molti reati con poco sforzo: violazione della privacy e della tutela dell’immagine; diffamazione; accesso abusivo ad un sistema informatico e telematico; diffusione di programmi diretti a danneggiare od interrompere un sistema informatico; utilizzo non conforme alla policy della scuola; violazione della legge sul copyright.

Reati La normativa italiana, prendendo spunto da quella europea si è espressa riguardo a questa tematica prevedendo due tipologie di comportamenti: reati non informatici reati informatici Inoltre possiamo ancora individuare comportamenti non conformi alla politica di utilizzo della rete dell'ente.

Reati non informatici Sono da considerare reati non informatici tutti quei reati o violazioni del codice civile o penale in cui il ricorso alla tecnologia informatica non sia stato un fattore determinante per il compimento dell’atto: ingiuria; diffamazione; minacce e molestie; trattamento illecito dei dati personali; violazione della privacy; violazione dei diritti d’autore.

Reati informatici Sono da considerare reati informatici tutti quei reati o violazioni del codice civile o penale in cui il ricorso alla tecnologia informatica sia stato un fattore determinante per il compimento dell’atto: accesso abusivo ad un sistema informatico e telematico; diffusione di programmi diretti a danneggiare o interrompere un sistema; danneggiamento informatico; detenzione abusiva di codici di accesso a sistemi informatici o telematici; frode informatica.

Comportamenti non conformi Con l’espressione comportamenti non conformi si vogliono indicare tutti quei comportamenti o atteggiamenti informatici non “adatti “ai contesti lavorativi o di studio. Il fatto di visitare siti a sfondo pornografico (soggetti maggiorenni) utilizzando il proprio pc da casa non è reato e per questo non può essere punibile. Ma se questa navigazione viene fatta sul posto di lavoro o nell’aula computer della scuola potrebbe diventare un comportamento oggetto di contestazione.

Policy dell’Ente Il comportamento “non conforme” potrebbe non essere contestabile se il dipendente o l’alunno non hanno mai firmato un documento di divieto esplicito. Le policy non sono altro che regole condivise per l’uso della Rete che definiscono una linea di condotta precisa e chiara a cui tutti gli utenti devono attenersi. Il datore di lavoro può chiarire che il visitare siti pornografici o giocare in borsa sul posto di lavoro sono comportamenti non conformi alle finalità lavorative, non morali e non adatti al contesto. Vengono utilizzate a fini privati risorse (computer, collegamenti telefonici) di proprietà e pagati dall’azienda o dalla scuola.

Autenticazione “Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.”

Non cedibile a terzi “Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi”.

Privacy Ravvedimento operoso L'omessa adozione di alcune misure indispensabili ("minime"), le cui modalità sono specificate tassativamente nell'Allegato B) del Codice, costituisce anche reato (art. 169 del Codice, che prevede l'arresto sino a due anni o l'ammenda da 10 mila euro a 50 mila euro, e l'eventuale "ravvedimento operoso" di chi adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede amministrativa, ottenendo così l estinzione del reato).