La sicurezza informatica Elementi legali - securitysummit.it informatica: attuale... · La...

La sicurezza informatica

Elementi legaliStato dell’arte e scenari evolutivi

Gabriele Faggioli

Presidente Clusit (Associazione Italiana per la Sicurezza Informatica)

Adjunct Professor MIP-Politecnico di Milano

Membro del Group of Expert in cloud computing contracts (Commissione Europea)

Security Summit – Roma, 10 giugno 2015


Gli anni fra il 2011 e il 2014 sono stati caratterizzati da importanti novità nelsettore normativo della sicurezza dei sistemi informativi con due linee dicondotta contrapposte una di semplificazione e una di aggravamento:

• Abolizione decreto Pisanu (semplificazione)

• Provvedimento Garante per la protezione dei dati personali 12 maggio 2011 inerente latracciabilità degli accessi ai dati bancari (aggravamento per mondo bancario)

• Decreto legge n. 70/2011 “Semestre Europeo - Prime disposizioni urgenti per l'economia”successivamente convertito con legge n° 106/2011 (semplificazione)

• Decreto Legge n. 201/2011, noto come Decreto Salva Italia, contenente le “Disposizioniurgenti per la crescita, l'equità e il consolidamento dei conti pubblici”, convertito con lalegge del 22 dicembre 2011, n. 214 (semplificazione)

• Decreto Semplificazioni 5/2012 approvato il 27.01.2012 convertito con la legge 4 aprile2012 n. 35 (semplificazione)

• Decreto Legislativo n. 69/2012 (aggravamento per settore telco)

• Dec. Pres. Cons. 24.1.13 n° 67251 (infrastrutture critiche) (burocrazia e potenzialeaggravamento)

• Provvedimento del Garante sui cookies (4 maggio 2014)

E all’orizzonte: il nuovo Regolamento UE sostitutivo della direttiva95/46 CE


Tra le altre cose le modifiche hanno riguardato pesantemente il temadella sicurezza informatica. In particolare:

• La nozione di «dato personale» con quindi incidenza sulla applicazione delD.Lgs. 196/03

• L’ambito di applicazione prima, e l’esistenza poi, del DocumentoProgrammatico sulla Sicurezza

• La nozione di trattamento per finalità amministrative e contabili (impatto sulProvvedimento Garante Amministratori di sistema del 27 novembre 2008)

• Il tema della data breach in ambito telco (obbligo di segnalazione e registrodelle violazioni)

• Direttiva recante indirizzi per la protezione cibernetica e la sicurezzainformatica nazionale (Decreto Pres. Consiglio 24.1.13 n° 67251 - Gazz. Uff.,19 marzo 2013, n. 66)


E le decisioni del Garante e della magistratura:

• Le decisioni del Garante in materia di sistemi CRM (mantenimento datiacquisti vs obblighi di loggatura)

• L’obbligo della procedura sindacale per la installazione di taluneapparecchiature di controllo

• Cassazione 4375/2010

• Cassazione 2722/2012


- Semplificazione normativa

- Tendenza a porre in essere provvedimenti settoriali in sostituzione diprovvedimenti generali

- Spinta alla sicurezza ma limiti alla sicurezza

- Estensione degli obblighi di raccogliere log

- Estensione degli obblighi di segnalazione dei casi di data breach

- Regolamentazione del tempo di mantenimento dei dati

- Grande attenzione del tema security nell’ambito dei servizi IT e inparticolare nel caso di servizi di cloud computing

- Creazione del DPO


Provvedimento Garante 192/2011

Oltre alle misure minime di sicurezza, già prescritte dall'art. 34 del Codicenel caso di trattamento di dati personali effettuato con strumentielettronici (con particolare riguardo alla necessità di "protezione deglistrumenti elettronici e dei dati rispetto a trattamenti illeciti […]" di cui allalett. e) del citato art. 34), è necessario implementare misure idonee (art.31 del Codice) che permettano un efficace e dettagliato controllo anchein ordine ai trattamenti condotti sui singoli elementi di informazionepresenti nei diversi database utilizzati

Tali soluzioni comprendono la registrazione dettagliata, in un appositolog, delle informazioni riferite alle operazioni bancarie effettuate sui datibancari, quando consistono o derivano dall'uso interattivo dei sistemioperato dagli incaricati, sempre che non si tratti di consultazioni di dati informa aggregata non riconducibili al singolo cliente


Provvedimento Garante 192/2011

I file di log devono tracciare per ogni operazione di accesso ai dati bancarieffettuata da un incaricato, almeno le seguenti informazioni:

• il codice identificativo del soggetto incaricato che ha posto in esserel'operazione di accesso

• la data e l'ora di esecuzione

• il codice della postazione di lavoro utilizzata

• il codice del cliente interessato dall'operazione di accesso ai dati bancari daparte dell'incaricato

• la tipologia di rapporto contrattuale del cliente a cui si riferisce l'operazioneeffettuata (es. numero del conto corrente, fido/mutuo, deposito titoli)

Le misure di cui al presente paragrafo sono adottate nel rispetto della vigentedisciplina in materia di controllo a distanza dei lavoratori (art. 4, l. 20 maggio1970, n. 300), tenendo altresì conto dei princìpi affermati dal Garante in tema diinformativa agli interessati nelle linee guida sull'utilizzo della posta elettronica edi internet


Articolo 4, comma 3, lett. g-bis), del Codice (Introdotta dal d.lgs. 69/2012)

Violazione dei dati personali: "violazione della sicurezza che comportaanche accidentalmente la distruzione, la perdita, la modifica, la rivelazionenon autorizzata o l'accesso ai dati personali trasmessi, memorizzati ocomunque elaborati nel contesto della fornitura di un servizio dicomunicazione accessibile al pubblico"


Art. 32-bis del Codice (introdotto dal d.lgs. 69/2012)

1. In caso di violazione di dati personali, il fornitore di servizi di comunicazioneelettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione alGarante.

2. Quando la violazione di dati personali rischia di arrecare pregiudizio ai datipersonali o alla riservatezza del contraente o di altra persona, il fornitore comunicaanche agli stessi senza ritardo l'avvenuta violazione.

3. La comunicazione di cui al comma 2 non é dovuta se il fornitore ha dimostrato alGarante di aver utilizzato misure tecnologiche di protezione che rendono i datiinintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure eranostate applicate ai dati oggetto della violazione.

4. Ove il fornitore non vi abbia già provveduto, il Garante può, considerate lepresumibili ripercussioni negative della violazione, obbligare lo stesso a comunicareal contraente o ad altra persona l'avvenuta violazione.


Il Garante ha stabilito un quadro di regole in base alle quali le societàdi tlc e i fornitori di servizi di accesso a Internet saranno tenuti acomunicare, oltre che alla stessa Autorità, anche agli utentile "violazioni di dati personali" che i loro data base dovessero subire aseguito di attacchi informatici o di eventi avversi, quali incendi o altrecalamità.

Il Provvedimento in materia di attuazione della disciplina sullacomunicazione delle violazioni di dati personali (c.d. data breach)stabilisce:

chi deve adempiere all'obbligo di comunicazione;

in quali casi scatta l'obbligo di avvisare gli utenti;

le misure di sicurezza tecniche e organizzative da mettere in attoper avvisare l'Autorità e gli utenti di un avvenuto "data breach";

i tempi e i contenuti della comunicazione.


Nel settore bancario il Provvedimento 192/2011 oltre a una serie dimisure necessarie, prevede anche alcune misure «opportune» fra cuila seguente: «Le banche comunicano senza ritardo all'interessato le operazioni

di trattamento illecito effettuate -sui dati personali allo stessoriferiti- dagli incaricati. Tale tempestiva informazione, infatti, intermini generali, può consentire all'interessato l'adozione diappropriate misure e, ove possibile, una minimizzazione dei rischiconnessi alla violazione della disciplina di protezione dei datipersonali»

«Le banche comunicano tempestivamente al Garante −fornendo gliopportuni dettagli− i casi in cui risultino accertate violazioni,accidentali o illecite, nella protezione dei dati personali, purché diparticolare rilevanza per la qualità o la quantità di dati coinvolti e/oil numero di clienti interessati, dalle quali derivino la distruzione, laperdita, la modifica, la rivelazione non autorizzata dei dati dellaclientela»

Sono misure opportune ai sensi dell'art. 154, comma 1, lett. c) del Codice


Codice Privacy Regolamento UE

Obblighi di sicurezza (art.31) Sicurezza del trattamento (art.30)

I dati personali oggetto di trattamento sonocustoditi e controllati, anche in relazione alleconoscenze acquisite in base al progressotecnico, alla natura dei dati e alle specifichecaratteristiche del trattamento, in modo daridurre al minimo, mediante l'adozione diidonee e preventive misure di sicurezza, irischi di distruzione o perdita, ancheaccidentale, dei dati stessi, di accesso nonautorizzato o di trattamento non consentito onon conforme alle finalità della raccolta.

(La valutazione dei rischi era uno deglielementi del DPS ad oggi abrogato).

Tenuto conto dei risultati della valutazione diimpatto in materia diprotezione dei dati edell’evoluzione tecnica e dei costi di attuazione, ilresponsabile del trattamento e l’incaricato deltrattamento mettono in atto misure tecniche eorganizzative adeguate per garantire un livello disicurezza appropriato, in relazione ai rischi che iltrattamento comporta.



Obblighi di sicurezza (art.31) Sicurezza del trattamento (art.30)

I dati personali oggetto di trattamento sonocustoditi e controllati, anche in relazione alleconoscenze acquisite in base al progressotecnico, alla natura dei dati e alle specifichecaratteristiche del trattamento, in modo daridurre al minimo, mediante l'adozione diidonee e preventive misure di sicurezza, irischi di distruzione o perdita, ancheaccidentale, dei dati stessi, di accesso nonautorizzato o di trattamento non consentito onon conforme alle finalità della raccolta.

(La valutazione dei rischi era uno deglielementi del DPS ad oggi abrogato).

Tenuto conto dell’evoluzione tecnica e dei costi di attuazione,una simile politica di sicurezza deve includere:a) la capacità di assicurare che sia convalidata l’integrità deidati personali;b) la capacità di assicurare l’attuale riservatezza, integrità,disponibilità e resilienza dei sistemi e dei servizi che trattano idati personali;c) la capacità di ripristinare la disponibilità e l’accesso ai dati inmodo tempestivo, in caso di incidente fisico o tecnico cheabbia un impatto sulla disponibilità, sull’integrità e sullariservatezza dei sistemi e dei servizi di informazione;d) in caso di trattamento di dati personali sensibili, misure disicurezza aggiuntive per garantire la consapevolezzasituazionale dei rischi e la capacità di adottare azioni diprevenzione, correzione e attenuazione, praticamente intempo reale, contro le vulnerabilità riscontrate o gli incidentiverificatisi, che potrebbero costituire un rischio per i dati;e) un processo per provare, verificare e valutare regolarmentel’efficacia delle politiche, delle procedure e dei piani disicurezza attuati per assicurare la continua efficacia.



_ Compiti del Responsabile della protezione dei dati (art.37)

_ Sensibilizzare, informare e consigliare il responsabile del trattamento ol'incaricato del trattamento in merito agli obblighi derivanti dalregolamento, segnatamente per quanto attiene alle misure eprocedure tecniche e organizzative, e conservare la documentazionerelativa a tale attività e alle risposte ricevute;

Sorvegliare l’attuazione e l’applicazione delle politiche delresponsabile del trattamento o dell’incaricato del trattamento inmateria di protezione dei dati personali, compresi l’attribuzione delleresponsabilità, la formazione del personale che partecipa aitrattamenti e gli audit connessi;

Sorvegliare l’attuazione e l’applicazione del regolamento, conparticolare riguardo ai requisiti concernenti la protezione fin dallaprogettazione, la protezione di default, la sicurezza dei dati,l’informazione dell’interessato e le richieste degli interessati diesercitare i diritti riconosciuti dal presente regolamento;

Garantire la conservazione della documentazione;



_ Compiti del Responsabile della protezione dei dati (art.37)

_ Controllare che le violazioni dei dati personali siano documentate, notificate ecomunicate;

Controllare che il responsabile del trattamento o l’incaricato del trattamentoeffettui la valutazione d’impatto sulla protezione dei dati e richiedal’autorizzazione preventiva o la consultazione preventiva nei casi previsti dalregolamento;

Controllare che sia dato seguito alle richieste dell’autorità di controllo e,nell’ambito delle sue competenze, cooperare con l’autorità di controllo dipropria iniziativa o su sua richiesta;

Fungere da punto di contatto per l’autorità di controllo per questioni connesseal trattamento e, se del caso, consultare l’autorità di controllo di propriainiziativa.

Verificare la conformità con il regolamento ai sensi del meccanismo diconsultazione preventiva.

Informare i rappresentanti del personale in merito al trattamento dei dati cheriguardano i dipendenti.


Opinion 5/2012 Article 29 Data Protection Working PartyLE MISURE DI SICUREZZA

L’articolo 17, paragrafo 2, della direttiva 95/46/CE prevede che “Gli Stati membridispongono che il responsabile del trattamento deve attuare misure tecniche edorganizzative appropriate al fine di garantire la protezione dei dati personalidalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione,dalla diffusione o dall'accesso non autorizzati, segnatamente quando il trattamentocomporta trasmissioni di dati all'interno di una rete, o da qualsiasi altra formaillecita di trattamento di dati personali.”Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia edei costi dell'applicazione, un livello di sicurezza appropriato rispetto ai rischipresentati dal trattamento e alla natura dei dati da proteggere.



In Italia occorre prevedere il rispetto dell’Allegato B al d.lgs 196/03, di misureidonee. del provvedimento del Garante sugli Amministratori di sistema, delprovvedimento del Garante sulla tracciabilità degli accessi ai dati bancari

Le comunicazioni tra fornitore e cliente di servizi cloud e tra centri di trattamentodati dovrebbero essere criptate. La gestione a distanza della piattaforma clouddovrebbe avvenire esclusivamente tramite un canale di comunicazione sicuro

Le clausole contrattuali devono anche imporre obblighi di riservatezza aidipendenti di clienti cloud, fornitori cloud e subcontraenti.



E’ importante per la piattaforma cloud fornire meccanismi di monitoraggio elogging affidabili e completi al fine di evitare trattamenti illegittimi.

I fornitori di servizi cloud dovrebbero fornire prove documentali di misureopportune ed efficaci per la realizzazione di un efficiente protezione dei dati.Ad esempio, vi sono le procedure per garantire l’identificazione di tutte leoperazioni di trattamento dei dati e per rispondere a richieste di accesso, ladesignazione di funzionari addetti alla protezione dei dati e responsabilidell’osservanza dei principi di protezione dei dati, ovvero procedure dicertificazione indipendenti. I responsabili del trattamento dovrebbero garantire diessere pronti a dimostrare l’istituzione delle misure necessarie, su richiestadelle autorità di vigilanza competenti.


Le indicazioni del Garante sul riparto degli obblighi tra le parti del trattamento

Sicurezza dei dati.- Il titolare del trattamento deve assicurarsi che siano adottate misure tecniche e

organizzative volte a ridurre al minimo i rischi di distruzione o perdita ancheaccidentale dei dati, di accesso non autorizzato, di trattamento non consentito onon conforme alle finalità della raccolta, di modifica dei dati in conseguenza diinterventi non autorizzati o non conformi alle regole

- Occorre quindi contrattualmente imporre ai fornitori non solo il rispetto dellemisure minime di sicurezza previste dall’allegato B al d.lgs 196/03 ma anche unlivello di sicurezza che, di volta in volta in considerazione delle caratteristiche diogni contratto, possa essere ritenuto idoneo

Secondo il Garante, comunque, anche i fornitori cloud potrebbero trarre nuoveopportunità dalla definizione di clausole “pro-privacy” o da una eventualepreventiva certificazione indipendente sul rispetto della normativa europea sullaprotezione dei dati personali per i servizi da loro offerti.

0% 20% 40% 60% 80% 100%

Localizzazione geografica di data center

SLA

Penali

Costi del servizio e principali condizionieconomiche (modalità di pagamento, cadenza…

Durata del contratto e rinnovo tacito

Possibilità di switching alla cessazione delcontratto e portabilità dei dati

Diritto di recesso a favore del fornitore diservizi cloud

Esclusioni o limitazione di responsabilità delfornitore

Trattamento e riservatezza dei dati personali

Utilizzo di subfornitori (con indicazione dielementi identificativi e di localizzazione…

Informazione sul fornitore

Dato non trovato Per nulla reperibile Abbastanza reperibile Molto reperibileCampione 60 servizi

Cloud internazionali

Informazioni sul fornitore

Utilizzo di subfornitori


Esclusione o limitazione di responsabilità del fornitore

Diritto di recesso a favore del fornitore di servizi Cloud

Possibilità di switching alla cessazione del contratto

e portabilità dei dati


Costi del servizio e principali condizioni economiche

Penali

SLA

Localizzazione geografica dei Data Center

I contratti: un limite allo sviluppo dei servizi Cloud?

La reperibilità dei dati

0% 20% 40% 60% 80% 100%


SLA

Penali









Per nulla reperibile Abbastanza reperibile Molto reperibileCampione 60 servizi






SLA





Penali




La semplicità di comprensione

0% 20% 40% 60% 80% 100%


SLA

Penali









Per nulla reperibile Abbastanza reperibile Molto reperibileCampione 60 servizi





SLA


Penali








La completezza dell’informazione

0% 20% 40% 60% 80% 100%


SLA

Penali









Dato non trovato Per nulla reperibile Abbastanza reperibile Molto reperibileCampione 60 servizi











Penali

SLA



La trasparenza dei siti

La sicurezza informatica Elementi legali - securitysummit.it informatica: attuale... · La...

Documents

Transcript of La sicurezza informatica Elementi legali - securitysummit.it informatica: attuale... · La...