29/04/2014 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196) A cura del dott. Angelo Salice

Sicurezza – Provenienza attacchi Esterno il 78% degli attacchi esterni avviene tramite la connessione ad internet ( nel 1999 era il 57%) Esterno il 78% degli attacchi esterni avviene tramite la connessione ad internet ( nel 1999 era il 57%) Fonte CSI / FBI Security Study 2003

Minacce Minacce delle buone regole di sicurezza ci permettono di proteggere noi stessi da eventuali minacce Sicurezza – Conoscere le minacce

Primo semestre 2004: 50 nuovi virus al giorno Nel 2004: minacce malware nuove vulnerabilità attacchi di phising al mese Al momento sono rilevati bot (infezione simile a virus ma controllata da remoto) con un incremento di 150/200 a settimana (Fonte: McAfee Avert) Nel 2003 il 78% degli attacchi è avvenuto attraverso Internet (nel 1999 era il 57%) Nel 2002 perdite legate ad attacchi informatici di 67,7 mln di dollari Nel 2003 perdite legate ad attacchi informatici di 200 mln di dollari Nel 2004 perdite legate ad attacchi informatici di 141 mln di dollari (Fonte: CSI / FBI Computer Crime and Security Survey, ) Sicurezza – Conoscere le minacce

Global Infrastructure Impact Regional Networks Multiple Networks Individual Networks Individual Computer Global Infrastructure Impact Regional Networks Multiple Networks Individual Networks Individual Computer Target and Scope of Damage 1st Gen Boot viruses 1st Gen Boot viruses Weeks 2nd Gen Macro viruses DoS Limited hacking 2nd Gen Macro viruses DoS Limited hacking Days 3rd Gen Network DoS Blended threat (worm + virus+ trojan) Turbo worms Widespread system hacking 3rd Gen Network DoS Blended threat (worm + virus+ trojan) Turbo worms Widespread system hacking Minutes Next Gen Infrastructure hacking Flash threats Massive worm driven DDoS Damaging payload viruses and worms Next Gen Infrastructure hacking Flash threats Massive worm driven DDoS Damaging payload viruses and worms Seconds 1980s 1990s Today Future Time from knowledge of vulnerability to release of exploit is shrinking Evoluzione della sicurezza

Misure di sicurezza - Finalità Privacy = tutela dei dati personali Pertanto i dati personali devono essere protetti in ogni fase del trattamento per evitare distruzioni perdite accessi non autorizzati trattamenti non leciti trattamenti non conformi alle finalità della raccolta Coinvolgono titolare, responsabili e incaricati

Misure di sicurezza - Obiettivi Le misure di sicurezza mirano a garantire Riservatezza: la capacità di rendere disponibili le informazioni soltanto ai soggetti autorizzati, ossia le persone che ne hanno diritto proteggendo pertanto le trasmissioni dei dati e laccesso agli elaboratori; Integrità: le informazioni devono essere accurate e complete, salvaguardando lesattezza dei dati, proteggendoli da manomissioni e distruzioni compiute da individui non autorizzati; Disponibilità: le informazioni devono essere rese accessibili a richiesta degli utenti in maniera continuativa, secondo le loro specifiche esigenze, salvaguardando i diritti di accesso degli interessati

Misure di sicurezza – Minime e Idonee Il Codice prevede due tipi di misure di sicurezza Minime: sono le misure di sicurezza elencate nellAllegato B del Codice. La loro adozione è obbligatoria per TUTTI i titolari, indipendentemente dal tipo di dati (comuni, sensibili e giudiziari), dal tipo di trattamento (manuale o informatico), dalla situazione informatica (pc singoli, in rete…), dalla connessione o meno a Internet, dal contesto, dal numero di incaricati… La mancata adozione espone a conseguenza PENALI Idonee: sono le ulteriori idonee e preventive misure di sicurezza selezionate anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento (art. 31) implementate per ridurre al minimo i rischi. La mancata adozione espone a conseguenze CIVILI

Misure di sicurezza – Minime e Idonee Le misure di sicurezza MINIME sono elencate dal Codice (Allegato B) e sono uguali per tutti coloro che trattano dati personali. Garantiscono un livello minimo di tutela dei dati. Senza tali misure NON è possibile effettuare alcun trattamento dati. Le misure di sicurezza IDONEE non sono elencate dal Codice in quanto variano a seconda del contesto e della tipologia dei dati trattati. Devono garantire un livello adeguato di tutela dei dati.

Misure di sicurezza – Obblighi Adottare le misure di sicurezza, minime e idonee, è un obbligo previsto dal Codice: Misure IDONEE Art. 31 – I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta Misure MINIME Art. 34 – Nel quadro dei più generali obblighi di sicurezza di cui allarticolo 31 […] i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nellAllegato B del Codice

Se non vengono utilizzati strumenti elettronici per il trattamento dati occorre: fornire agli incaricati istruzioni scritte in merito alla custodia e alla tutela dei dati personali in loro possesso verificare almeno annualmente lambito di trattamento consentito ai singoli incaricati (tipologie di dati che possono trattare, operazioni concesse…) in caso di dati sensibili o giudiziari, i singoli incaricati devono custodire i dati in loro possesso, in modo che nessun utente non autorizzato possa accedervi chi accede agli archivi con dati sensibili o giudiziari deve essere identificato: fuori dallorario di chiusura occorre che gli incaricati che accedono agli archivi devono essere identificati e registrati se non ci sono sistemi elettronici per il controllo degli accessi (ad es. badge magnetici, videocamere…) gli incaricati devono essere stati preventivamente autorizzati Misure minime – Trattamenti manuali

Definizione di Strumento Elettronico Per STRUMENTO ELETTRONICO si intende: gli elaboratori i programmi per elaboratori qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento

Se vengono utilizzati strumenti elettronici per il trattamento dati occorre: autenticazione informatica: consente di identificare chi accede al trattamento dati autorizzazione informatica: definisce che cosa può fare lincaricato protezione di dati e sistemi Misure minime – Strumenti elettronici

LAUTENTICAZIONE informatica consente di controllare chi accede ai dati agli elaboratori ai programmi e ad ogni altro strumento elettronico Serve a verificare e convalidare l'identità del soggetto. Laccesso agli strumenti, dati e trattamenti deve avvenire solo dopo essersi autenticati: solo gli incaricati autorizzati possono accedere ai trattamenti dati es. i computer devono richiedere nome utente e password per accedere al sistema Autenticazione informatica

Per identificare la persona esistono due metodi: 1.Metodi INDIRETTI: dati conosciuti solo dalla persona o dispositivi in suo esclusivo possesso (non utilizzabili da altri incaricati) 2.Metodi DIRETTI: caratteristiche fisiche distintive della persona Gli strumenti usati per identificare gli utenti sono definiti CREDENZIALI DI AUTENTICAZIONE Autenticazione informatica

Credenziali di autenticazione: metodi INDIRETTI Nome utente e password: il nome utente identifica la persona, la password (nota soltanto allincaricato) ne garantisce la sua identità Smart Card / Tessera magnetica: il possesso (esclusivo) della credenziale è sufficiente a garantire lidentità della persona. Crittografia asimmetrica (firma digitale): grazie alla firma digitale si ha la certezza dellidentità dellutente Vantaggi: costi contenuti, larga diffusione Svantaggi: possibile perdita o furto delle credenziali o utilizzo non esclusivo delle stesse (ad es. incaricati che conoscono le rispettive password o tessera magnetica utilizzata da più persone) Credenziali di autenticazione – Metodi Indiretti

Credenziali di autenticazione: metodi DIRETTI Sono caratteristiche fisiche ed esclusive della persona: tecniche biometriche Impronta digitale Riconoscimento volto Riconoscimento vocale Riconoscimento geometria vasi sanguigni delliride Riconoscimento geometria vasi sanguigni della mano Vantaggi: semplicità duso, nessun rischio di perdita furto o smarrimento o di utilizzo non esclusivo Svantaggi: costi elevati, necessità di tutelare i sistemi di autenticazione da possibili alterazioni o manomissioni Credenziali di autenticazione – Metodi Diretti

Gestire le credenziali di autenticazione significa che è definita una procedura di autenticazione: modalità operative mediante le quali lutente è identificato (metodi diretti, indiretti…) Lautenticazione può avvenire anche con una combinazione di elementi (es. impronta digitale + password: si ha quindi doppia autenticazione, dovuta al possesso di un dispositivo e alla conoscenza di uninformazione segreta) sono associate individualmente, in quanto devono consentire lidentificazione dellincaricato sono disattivate se non utilizzate a lungo: per evitare rischi di furto, smarrimento o utilizzo non consentito bisogna disattivare le credenziali non utilizzate per almeno sei mesi (es. nome utente e password non più usati) sono disattivate se lincaricato non è più autorizzato al trattamento: per es. se ha cambiato lavoro, mansione o non è più autorizzato a trattare tali dati Gestione delle credenziali di autenticazione /1

sono impartite precise istruzioni sulla custodia delle credenziali: ad es. la password deve essere segreta e conosciuta soltanto dallincaricato In una sessione di lavoro lo strumento elettronico non deve rimanere incustodito neppure per breve tempo in modo da evitare che utenti non autorizzati possano accedervi (utilizzare ad es. screensaver o disconnettere lutente prima di allontanarsi) il codice per lidentificazione (es. nome utente) non può essere riutilizzato nemmeno in tempi diversi Gestione delle credenziali di autenticazione /2

Disciplinare Tecnico - Allegato B Codice, n. 10: sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dellincaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente lincaricato dellintervento effettuato. Si può, ad esempio, scrivere la password e consegnarla al responsabile in busta chiusa, da aprire in caso di necessità. Al suo rientro, lincaricato dovrà modificare la password in quanto non è più segreta. Gestione delle credenziali di autenticazione /3

Se lautenticazione si basa su nome utente e PASSWORD: deve essere almeno di 8 caratteri (o comunque il massimo consentito dal programma in uso) non deve essere facilmente riconducibile allincaricato modificata ogni 6 mesi (3 se vengono trattati dati sensibili) o comunque ogni qualvolta si renda necessario per garantirne la segretezza (es. colleghi che ne sono venuti a conoscenza) segreta e custodita gelosamente deve essere robusta, ossia difficile da indovinare o ricostruire Gestione delle password /1

Per trovare una password non conosciuta, un attaccante può usare due tipologie di attacchi: basati su dizionari multilingue: vengono provate tutte le parole presenti nei dizionari per verificare se una di queste è stata impostata come password. Occorre evitare parole di senso compiuto (anche se non riferibili allutente) attacco a forza bruta (brute force): vengono provate combinazioni casuali di lettere e numeri fino a trovare la password cercata (es. AAAAA, AAAAB, AAAAC…) E possibile testare circa 3000 password al secondo. Password lunghe servono a contrastare tale tipo di attacco: una password lunga 8 caratteri, con lettere maiuscole e minuscole, numeri e simboli può resistere fino a anni di tentativi! Password di 8 caratteri, usando solo lettere minuscole, numeri, punto e trattino (-) possono resistere solo fino a 56 anni. Gestione delle password /2

Una password è ROBUSTA se: non è di senso compiuto (per evitare attacchi basati su dizionari) sufficientemente lunga (per evitare attacchi brute force) composta da lettere e numeri e simboli (per evitare attacchi brute force) non riconducibile allincaricato (per evitare che venga indovinata) apparentemente casuale (per evitare che venga indovinata) facilmente memorizzabile o ricostruibile da parte dellincaricato (per evitare che debba essere scritta) Gestione delle password /3

1.Usare due o più parole unite: Es. OrsodiAlice 2.Utilizzare simboli al posto di caratteri: Es. 3. Scegliere eventi o persone particolari: Es. 4.Utilizzare fonemi nelle parole: Es. MarciaXlapace 5.Prima lettera di ogni parola: Es.: frase originale: Nel Bel Mezzo Del Cammin Di Nostra Vita Password (create utilizzando solo le lettere maiuscole della frase originale): NBMDCDNV Esempi di password Fonte:

Il sistema di autenticazione consente di identificare chi compie determinate operazioni. Il sistema di autorizzazione consente di definire che cosa può fare lincaricato: infatti un soggetto, pur avendo accesso ad un elaboratore, potrebbe non aver diritto di accedere a determinati trattamenti o specifiche informazioni. Oppure potrebbe non essere autorizzato a compiere certe operazione. In questo modo è possibile creare gruppi di utenti distinti fra loro in base al profilo di autorizzazione concesso, definendo, per esempio, che alcuni utenti possono soltanto visualizzare i dati, altri possono anche modificarli e altri ancora possono eliminarli. Inoltre ogni incaricato dovrebbe poter accedere solo al proprio trattamento, essendogli inibito, anche se lo volesse, il trattamento di informazioni per le quali non è stato autorizzato. E consigliabile e spesso necessario anche se non obbligatorio! Sistema di Autorizzazione

Disciplinare Tecnico – Allegato B del Codice, n. 16: I dati personali sono protetti contro il rischio di intrusione e dellazione di programmi di cui allart. 615-quinquies del codice penale mediante lattivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale Protezione dati e sistemi /1 programma informatico […], avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ossia l'interruzione, totale o parziale, o l'alterazione del suo funzionamento (Codice Penale) Es. virus, macrovirus, trojan horse, worm, spyware, malware…

Protezione dati e sistemi /2 Disciplinare Tecnico – Allegato B del Codice, n. 16: I dati sensibili o giudiziari sono protetti contro laccesso abusivo, di cui all art ter del codice penale, mediante lutilizzo di idonei strumenti elettronici chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni (Codice Penale) Se sono trattati dati sensibili o giudiziari:

Protezione dati e sistemi /3 Per proteggere dati e sistemi: Antivirus: il Codice prevede che sia aggiornato almeno ogni 6 mesi Anti-malware (programma per rimuovere applicativi dannosi: es. AdAware, Spybot S&D…) Aggiornamento periodico dei sistemi (es. Windows Update): il Codice prevede che sia fatto almeno ogni 12 mesi Aggiornamento periodico dei programmi per correggerne difetti (es. Office Update): il Codice prevede che sia fatto almeno ogni 12 mesi Procedure di salvataggio dei file (backup) Formazione del personale

Protezione dati e sistemi /3 Per proteggere rete informatica: 1.Firewall: apparato hardware o software che controlla il traffico in entrata e in uscita dalla rete 2. Intrusion Detection System: software in grado di rilevare gli attacchi contro la rete informatica 3.Virtual Private Network: rete informatica dove i dati scambiati dagli elaboratori sono crittografati e non accessibili a eventuali utenti non autorizzati

Protezione dati e sistemi /4 Nel caso di dati sensibili o giudiziari trattati da Enti Pubblici (art. 22 c. 6): - I dati sensibili e giudiziari devono essere cifrati, ossia resi temporaneamente inintelligibili anche a chi è autorizzato ad accedervi. - lidentificazione della persona a cui si riferiscono i dati deve avvenire solo in caso di necessità (separazione dati personali e dati sensibili) In questo modo se anche dovesse essere rubato il database con i dati sensibili non sarebbero comunque leggibili senza conoscere la password Quindi: 1. Per accedere allelaboratore occorre autenticarsi (es. nome utente e password) 2. Per accedere al trattamento occorre essere abilitati dal sistema di autorizzazione 3. Per accedere ai dati sensibili o giudiziari, occorre inserire una password (sistema di cifratura)

Il Codice prevede che, in caso di danneggiamento, i dati siano ripristinati al massimo entro 7 giorni. Occorre: Copia di sicurezza dei dati almeno settimanale (backup) Verifica periodica del funzionamento dei supporti di backup (nastri, cassette, CD, DVD…) Custodia e protezione dei supporti di backup (es. dati cifrati con password e supporti conservati in cassaforte) Protezione dati e sistemi /5

Combinazione dei diversi sistemi di sicurezza informatica (software e hardware) fisica (locali e impianti) organizzativa e procedurale (policy) Protezione dati e sistemi /5

Se nel trattare i dati vengono utilizzati dei supporti (CD, DVD, dischi fissi, chiavi USB…) gli incaricati devono ricevere istruzioni per proteggere i dati per evitare accessi non autorizzati. Se contengono dati sensibili o giudiziari e non sono più utilizzati devono -Essere cancellati in maniera definitiva (non basta la formattazione!) -Distrutti o resi inutilizzabili Gestione supporti rimovibili

Combinazione dei diversi sistemi di sicurezza informatica (software e hardware) fisica (locali e impianti) organizzativa e procedurale (policy) Sicurezza integrata

Documento Programmatico sulla Sicurezza /1 Il Documento Programmatico sulla Sicurezza (DPS) è 1. rappresentazione della realtà aziendale (analisi dei rischi, distribuzione dei compiti, misure di sicurezza adottate, distribuzione delle responsabilità...): momento di analisi e di verifica della situazione dellorganizzazione in merito alla tutela dei dati personali, comuni, sensibili o giudiziari. 2. strumento di pianificazione che rappresenta il percorso che l'organizzazione deve compiere per adeguarsi alla normativa sulla privacy (misure di sicurezza da adottare, interventi formativi, attività di adeguamento...) Dopo la prima redazione (entro 31 dicembre 2005) dovrà essere aggiornato entro il 31 marzo di ogni anno. E redatto dal Titolare in collaborazione col Responsabile/i privacy.

Documento Programmatico sulla Sicurezza /2 Il Documento Programmatico sulla Sicurezza (DPS) contiene: lelenco dei trattamenti di dati personali la distribuzione dei compiti e delle responsabilità in merito al trattamento dei dati (c.d. mansionario) lanalisi dei rischi che incombono sui dati (distruzione o perdita, anche accidentale, dei dati, accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta le misure di sicurezza adottate e da adottare (protezione dei dati, delle aree e dei locali, istruzioni operative…) le modalità di ripristino dei dati (copie di sicurezza e backup) la previsione di interventi formativi degli incaricati del trattamento

Gestione della sicurezza La verifica dellefficacia e dellefficienza delle misure di sicurezza adottate è un punto fondamentale, nel processo per la sicurezza: In un contesto tecnologico in rapidissima evoluzione, è necessario avere le massime garanzie circa la adeguatezza delle misure di sicurezza adottate, nei confronti del sempre più vasto, articolato ed aggiornato panorama delle minacce possibili. Nella gestione della sicurezza non esistono punti di arrivo, ma solo di partenza!

Per chiarimenti e ulteriori informazioni, è possibile contattarmi allindirizzo Grazie per lattenzione ! Domande?

Sito ufficiale del Garante per la protezione dei dati personali: Clusit – Associazione italiana per la sicurezza informatica: Ministro per l'innovazione e le tecnologie: Riferimenti