|
No, non sto pensando al vento ed al maltempo che pure,
durante le ultime settimane del concluso 2008, hanno infierito sul nostro Paese.
Mi riferisco invece alla gragnuola di importanti provvedimenti che il Garante ha
prodotto in fine d’anno e che oltretutto, per effetto forse del caso o magari
delle oscure forze del male che sembrano spesso sovraintendere le questioni
legate alla privacy, sono passate inosservate ai più, in quanto finite in
Gazzetta Ufficiale a ridosso o addirittura proprio nel bel mezzo delle
festività invernali.
Mi riferisco in particolare al provvedimento
del 13 ottobre 2008 (pubblicato in G.U. n. 287 del 9 dicembre 2008) relativo
a “Rifiuti di apparecchiature elettriche ed elettroniche (Raee) e misure di
sicurezza dei dati personali”, al provvedimento
del 27 novembre 2008 (pubblicato nella medesima G.U. n. 287 del 9 dicembre
2008) relativo a “Semplificazione delle misure di sicurezza contenute nel
disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione
dei dati personali” ed al provvedimento sempre
del 27 novembre 2008 (pubblicato però in G.U. n. 300 del 24 dicembre 2008)
relativo a “Misure e accorgimenti prescritti ai titolari dei trattamenti
effettuati con strumenti elettronici relativamente alle attribuzioni delle
funzioni di amministratore di sistema”.
Si tratta di tre provvedimenti importanti non solo per le
evidenti implicazioni di natura giuridica, e quindi già ampiamente commentate
in quanto tali su queste colonne, ma anche se non soprattutto per le questioni
di natura tecnica che affrontano. Tutti i lettori di InterLex sanno molto bene
quanto spesso e con quale profondità di rapporti l’esercizio e la tutela
della privacy si intersechino con le tecnologie dell’informazione, viste
talvolta come alleate e talaltra come avversarie; e quanto il Garante sia
sensibile (a volte perfino troppo…) ai rischi cui le tecnologie informatiche,
laddove vengano usate con scarsa attenzione e consapevolezza, possono
potenzialmente esporre i dati personali oggetto di tutela da parte della legge.
È dunque piuttosto importante analizzare proprio sul piano
tecnico-informatico questi recenti provvedimenti, i quali introducono non banali
innovazioni nel corpus normativo che regola la gestione informatica dei dati
personali, per capire in ultima analisi cosa occorre fare (o non fare) in
pratica per mettersi (o rimanere) in regola con quanto richiesto dalla legge. La
quale, va detto, appare sempre più attenta e stringente anche su questioni che
fino a qualche anno fa sarebbero apparse del tutto estranee alla maggior parte
degli operatori del diritto.
La gestione della spazzatura elettronica
Il mondo di oggi, nel bene e nel male, funziona grazie alle
tecnologie ICT: tant’è che la nostra società contemporanea è stata
definita, e non a torto, “società dell’informazione”. L’informazione
digitale, tuttavia, si comporta spesso come le particelle della fisica
quantistica: è cioè in grado di assumere talvolta aspetti e comportamenti
elusivi e contraddittori, che sorprendono e sfidano il senso comune.
Ad esempio siamo tutti più o meno orientati a pensare che i dati digitali siano
estremamente fragili e volatili, e che il rischio di “perderli” in seguito a
guasti hardware o errate manovre sia elevatissimo. Chi non ha mai tremato
davanti all’eventualità che il proprio disco fisso non partisse più, o che
la chiavetta USB di salvataggio si cancellasse accidentalmente? E chi non ha mai
cancellato per errore un file (o una partizione…) rimanendo pietrificato di
fronte all’improvvisa ed ineluttabile assenza di tutti quei dati che solo un
attimo prima erano lì?
Tuttavia La legge di Murphy, che come noto regola l’universo
più della Gravitazione di Newton e della Relatività di Einstein, ci dice che
la probabilità di perdere accidentalmente dei dati è inversamente
proporzionale alla necessità che abbiamo di conservare i dati stessi: ossia è
massima per dati di cui vogliamo assolutamente garantire la sopravvivenza e
minima per quelli che non ci interessa mantenere, i quali continueranno quindi a
occupare inutilmente i nostri hard disk anche se non ci interessano. Al limite
estremo la probabilità sarà nulla per dati di cui vogliamo espressamente
disfarci: col risultato che, contrariamente ad ogni nostra aspettativa, questi
ultimi rimarranno in circolazione molto più a lungo di quanto ci aspetteremmo o
desidereremmo. Con buona pace della presunta vulnerabilità dei dati digitali e
fragilità dei supporti magnetici.
Scherzi a parte, la cronaca di questi ultimi anni si è
occupata sempre più spesso di quegli incidenti, più o meno gravi ma sempre
piuttosto clamorosi, dovuti a dati casualmente recuperati da oggetti elettronici
e supporti magnetici reperiti sul mercato dell’usato o del surplus, quali
vecchi cellulari, PC dismessi dalle aziende, hard disk usati e così via. In
tutti i casi del genere il proprietario originale dell’oggetto se ne è
disfatto senza prima averlo adeguatamente “cancellato”, e così i dati che
esso conteneva sono improvvisamente riemersi nella disponibilità del nuovo
proprietario con effetti più o meno imbarazzanti a seconda della situazione.
Pochi mesi fa, ad esempio, i giornali di tutto il mondo hanno riportato la
storia di quel cittadino britannico che, avendo acquistato su e-Bay per 44 Euro
un server aziendale usato, ha rinvenuto sul relativo hard disk perfettamente
integri i dati personali (tra cui numeri di conto corrente, firme, numeri di
cellulare) di più di un milione di clienti dell’American Express, della Banca
Reale di Scozia e della sua controllata Natwest.
Non parliamo poi del rischio costituito dal furto dei
computer, specialmente di quelli portatili, o dal loro smarrimento. Basti dire
che, ad esempio, il Ministero della difesa britannico ha recentemente affermato
di aver “smarrito” negli ultimi quattro anni circa 750 laptop e oltre 120
fra hard disk rimovibili e “chiavi” USB ad alta capacità: e non è
difficile immaginare che almeno una parte di questo parco macchine disperso
potesse al proprio interno contenere informazioni di servizio e dati personali
di una certa rilevanza, che probabilmente si trovano ancora perfettamente
intatti presso qualche mercato dell’usato in attesa di essere acquistati da
qualche ignaro compratore.
Alla luce di queste considerazioni il nostro Garante per la
privacy ha quindi emesso un provvedimento avente duplice scopo: da un lato
informare il pubblico, ossia sensibilizzare l’opinione generale su tutta una
serie di problemi e rischi dei quali probabilmente pochi erano a conoscenza
prima; e dall’altro dettare una serie di norme di “buon comportamento” che
aziende e privati sono tenuti a rispettare quando debbano dismettere un
computer, per evitare che i dati personali in esso eventualmente contenuti
possano rimanere intelligibili e quindi essere conosciuti ed utilizzabili dal
futuro proprietario del bene.
Una misura preventiva consigliata dal Garante consiste nell’utilizzo
di sistemi crittografici che rendano intrinsecamente inintelligibile un file o
un intero file system a chi non è a conoscenza della chiave di cifratura
utilizzata. In questo modo si minimizza il rischio che, a seguito del furto del
computer, le informazioni in esso contenute possano essere illegittimamente
trattate o diffuse (in questo modo si elimina anche alla polizia la possibilità
di indagare sul computer in questione, il che per talune classi di utilizzatori
potrebbe anche costituire un utile effetto collaterale…).
Ma l’attenzione del Garante si sofferma soprattutto sulle
misure tese a eliminare i dati da un supporto in via di dismissione,
consigliando l’uso di quelle che solitamente vengono definite tecniche di “cancellazione
sicura”. Quando un moderno computer “cancella” un file, quest’ultimo non
viene in realtà eliminato veramente dal sistema: esso rimane in realtà dov’è,
almeno sino a che lo spazio da esso utilizzato (il quale viene semplicemente
marcato come “disponibile” ma non fisicamente cancellato) non viene
effettivamente riutilizzato per scrivervi altri dati; e così è quasi sempre
possibile recuperarlo, ad esempio mediante le molte utility facilmente
disponibili a tale scopo. Un sistema di cancellazione sicura applica invece una
reale riscrittura sullo spazio utilizzato da un file o da un intero file system,
rendendone il recupero impossibile. In un documento allegato al provvedimento il
Garante addirittura illustra meticolosamente l’uso di uno di questi sistemi di
cancellazione sicura (si tratta di DBAN, utility di pubblico dominio molto
conosciuta), spiegando come e perché andrebbe usata.
In ultima analisi il provvedimento appare pieno di buon senso
e merita di essere letto ed applicato da tutti. Nulla di nuovo, per carità: gli
addetti ai lavori, specie quelli un po’ paranoici, probabilmente già adottano
abitualmente le opportune precauzioni; e le aziende certificate ISO 27001 sono
addirittura obbligate a dotarsi di norme e procedure per la cancellazione sicura
di sistemi e supporti avviati a dismissione. Ma la maggior parte delle aziende e
dei professionisti probabilmente non avrà mai avuto modo di confrontarsi con
queste tematiche, che invece saranno sempre più importanti in futuro. Ben venga
dunque l’operazione del Garante, nella speranza che possa contribuire ad
accrescere almeno un po’ la troppo scarsa cultura della sicurezza delle
informazioni che risiede nel nostro Paese.
Le semplificazioni tecniche per le misure minime
Forse per compensare un po’ la meritoria operazione
culturale compiuta con il precedente provvedimento, il Garante ha
contestualmente provveduto ad emanare un provvedimento semplificativo che riduce
notevolmente l’efficacia delle “misure minime” di sicurezza per talune
categorie di soggetti titolari di trattamenti. Lo scopo era quello di alleviare
la pressione tecnologica sui titolari “meno attrezzati” (artigiani, piccole
aziende), ma la mia impressione è che in questo caso si sia voluto semplificare
un po’ troppo.
Al di là della difficoltà di stabilire chi di fatto possa godere di tale
regime semplificativo, le nuove misure minime prevedono ora che il titolare
possa impartire le istruzioni agli incaricati anche oralmente, che come sistema
di autenticazione vada bene qualsiasi meccanismo basato su userid e password,
che l’antivirus vada aggiornato una volta l’anno e il backup fatto una volta
al mese. Anche il DPS può essere sostanzialmente semplificato.
Ora, sicuramente, l’intendimento del Garante era buono:
considerando che la maggior causa delle inadempienze nell’applicazione delle
misure minime da parte dei “piccoli operatori” veniva individuata proprio
nella presunta impossibilità di adottare rigorose misure tecniche, la loro
attenuazione è stata evidentemente vista come incentivo alla messa in regola da
parte di queste categorie. Tuttavia non si fa un buon servizio alle esigenze di
crescita culturale della popolazione affermando che è sufficiente aggiornare un
antivirus (o applicare le patch di sicurezza al sistema operativo) una
volta all’anno; e addirittura ogni due anni se il computer non è connesso a
reti di comunicazione pubbliche. Passi per il backup ogni mese, ma l’antivirus
va aggiornato tassativamente tutte le volte che il produttore emette gli
aggiornamenti, il che oramai significa anche due o tre volte al giorno…
E poi mi domando: se il titolare può impartire disposizioni
in merito alla sicurezza anche solo oralmente, come farà in caso di eventuali
contestazioni a dimostrare di averlo fatto? Ma costa davvero troppo in termini
di sforzo intellettuale scrivere un documentino di una pagina con le procedure
da seguire? E siamo sicuri che è solo per l’incapacità di sostenere questo
sforzo che la maggior parte delle piccole aziende e degli studi professionali
non è ancora in regola con la privacy?
Il ritorno dell’amministratore di sistema
E veniamo infine brevemente all’ultimo provvedimento,
quello che… resuscita la mitica figura dell’amministratore di sistema
già presente nella prima legge sulla privacy e palesemente assente, sino ad
oggi, da quella vigente.
L’amministratore è, come tutti sappiamo, il signore e
padrone dei computer aziendali: a lui è infatti concesso svolgere quelle
operazioni di gestione, controllo e manutenzione sui sistemi che ai comuni
mortali solitamente non sono permesse in quanto richiedono grande esperienza e
specifiche conoscenze tecniche. Un amministratore, per poter svolgere le sue
funzioni, è solitamente immune alle limitazioni imposte agli utenti: ad esempio
può accedere ai dati di tutti gli utenti, installare o disinstallare programmi,
copiare e cancellare archivi, e così via.
In passato l’amministratore veniva definito superuser, il che la dice
lunga sui suoi… superpoteri. In conseguenza di tali necessarie ma pericolose
prerogative, la precedente legge sulla privacy giustamente riconosceva all’amministratore
di sistema un ruolo speciale di grande responsabilità, del quale egli non deve
abusare (la stessa cosa ad esempio è prevista dal codice penale laddove si
tratta di reati informatici). Tale ruolo, non presente nella formulazione
originale del DLGV 196/03, viene ora in esso reintrodotto dall’ultimo dei tre
provvedimenti di cui ci stiamo occupando.
Si tratta come si vede di un ripensamento tardivo, pensato
per correggere una visibile stortura della legge ma che, per il modo in cui è
formulato, finirà forse per complicare più del necessario la vita a coloro che
dovranno attuarlo. Allo scopo di responsabilizzare al massimo gli amministratori
di sistema, e sensibilizzare i titolari sulla necessità di controllarne le
azioni, il Garante ha infatti dettato una serie di requisiti tecnici di
difficile ed onerosa adozione, stabilendo oltretutto un termine di soli quattro
mesi per la loro introduzione in esercizio. Non si tratta di un compito
semplice, e temiamo che non saranno molte le aziende in grado di mettersi
compiutamente in regola nei modi e nei tempi previsti.
Uno dei problemi maggiori è quello del controllo dell’attività
dell’amministratore di sistema. Già per definizione tale attività è
difficilmente controllabile, nel senso di “rilevabile e registrabile”,
proprio per via delle prerogative stesse della figura di amministratore: non
tutte le azioni che un amministratore fa vengono infatti registrate dal sistema,
anche perché molte di esse avvengono di necessità per vie non usuali (ad
esempio l’accesso ad una base di dati senza passare dalle funzionalità
applicative).
Ma il Garante non chiede solo di tracciare tutti gli accessi logici ai
sistemi ed agli archivi, cosa che spesso non è tecnicamente possibile: per di
più vuole anche che le relative registrazioni abbiano caratteristiche di
completezza, inalterabilità e possibilità di verifica della loro integrità
adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Ciò di fatto significa che i log dell’attività dell’amministratore,
ammesso che siano generati dal sistema con la necessaria granularità, non
possono essere memorizzati sul sistema stesso dove sta operando l’amministratore
ma debbono essere immediatamente inviati ad un server esterno che li marchi
temporalmente, li firmi digitalmente e li archivi in modo inalterabile. Cosa che
ovviamente si può fare, ma è certamente molto onerosa sia in termini di
impegno realizzativo sia, soprattutt,o di costo, particolarmente in quelle
realtà ove vi sono decine o centinaia di server sottoposti ad amministrazione.
In realtà del genere è facile presumere che non si possa ragionevolmente
mettere in piedi una simile infrastruttura in soli quattro mesi, e comunque che
il farlo possa comportare spese non indifferenti da parte dell’azienda per
prodotti ed infrastrutture.
In questo caso dunque il Garante è stato forse un po’
troppo precipitoso, imponendo con urgenza misure tecniche ed organizzative di
difficile attuazione. Sarebbe stato meglio fornire tempi più lunghi, e magari
graduare il provvedimento con rispetto alla dimensione e complessità delle
specifiche organizzazioni chiamate ad adottarlo. Ma, si sa, non tutto è
perduto: siamo in Italia, ed una proroga non si nega a nessuno: tante cose
possono cambiare da qui ad aprile, chissà che un giorno prima della scadenza il
Garante stesso non decida di posporre i termini per l’adozione del
provvedimento.
|
Pagina stampabile
