Misure minime, qualche passo avanti
di Andrea Gelpi* - 10.09.03Finalmente, dopo un parto molto sofferto, è arrivato il testo del
Codice in materia di protezione dei dati personali.
Una prima occhiata al "tomo" e non so che cosa pensare: 186 articoli,
3 allegati (anche se dell’allegato C esiste solo il titolo) e sono previsti
ben 12
codici deontologici. Una legge enorme, se confrontata con il testo precedente.
E' ben vero che è stato raccolto in un unico corpo tutto ciò che esisteva sul
trattamento dei dati personali, ma chissà perché non si è potuto fare una
legge con dei chiari principi generali ed evitare di addentrarsi in così tanti
casi particolari, tanto che il tutto appare propriocome un grande insieme di casi particolari.
Lascio comunque i commenti sugli aspetti giuridici a chi ha più titolo di me
per farli e mi concentro solo su una breve analisi dell'allegato B, il
"Disciplinare tecnico in materia di misure minime di sicurezza".
Il legislatore è riuscito in questo allegato ad essere molto più chiaro
rispetto al contenuto del DPR 318/99. Finalmente si parla di trattamenti con
strumenti elettronici, senza disquisire se questi sono eseguiti con elaboratori
collegati a reti o non. Insomma l'allegato B è utilizzabile da noi tecnici con
meno dubbi che in passato. Tuttavia si trovano ancora alcuni
articoli che non aiutano per nulla la sicurezza, vediamoli in dettaglio.
Il punto 16 dell'allegato B non ha modificato, rispetto al testo del DPR
318/99, la "cadenza almeno semestrale" per l'aggiornamento degli
antivirus. Credo sia evidente a tutti che avere l'antivirus aggiornato ogni 6
mesi è assolutamente inutile, basta pensare ai disastri causati dai virus di
quest'estate e di questi ultimi giorni. Visto che l'allegato B tratta di misure
minime, a mio modo di vedere, se proprio si voleva stare larghi, si sarebbe
dovuta indicare una cadenza almeno mensile, o meglio ancora settimanale. Se
l'antivirus non è aggiornato giornalmente, o ad ogni connessione ad Internet,
il rischio di restare infettati aumenta molto rapidamente. Se poi lo aggiorno
ogni 6 mesi, ho solo speso male dei soldi.
Sul problema degli antivirus il testo si è completamente dimenticato di
quei sistemi operativi (Linux ad esempio o i mainframe IBM) dove il problema dei
virus non esiste. Sembra si dia per scontato che i virus esistono dappertutto,
ma non è così. Con una codice che entra così nei particolari questa sembra
proprio una dimenticanza.
Identico problema si trova nell'articolo successivo dove si precisa che
l'installazione di correttivi ai programmi (le famose patch) deve essere fatta
almeno una volta l'anno, salvo il caso di trattamenti di dati sensibili o
giudiziari, nel qual caso il limite è di soli, si fa per dire, sei mesi. Ma
allora la storia recente non ha proprio insegnato nulla. Code-Red, Nimda e
l'ultimissimo Blaster è vero che sono virus (tecnicamente worm), ma si
propagano sfruttando ben note vulnerabilità del sistema operativo.
Code-Red e Nimda girano ancora per la rete dopo anni dalla loro comparsa, ma
il disastro lo fecero a distanza di circa 3 mesi dal rilascio del correttivo e
ultimamente il tempo fra il rilascio del correttivo e la comparsa di virus si è
ulteriormente accorciato a meno di 2 mesi, in certi casi. Secondo il mio punto
di vista l'art. 17 dovrebbe imporre limiti di 3 mesi anziché un anno e di un
mese e mezzo per i trattamenti di dati sensibili e giudiziari, sempre volendo
stare larghi, ovviamente. Il limite di un anno, anche se è una misura minima è
in realtà una "non misura" minima.
Gli articoli che abbiamo visto, rischiano di vanificare il lavoro fatto per
rispettare altri articoli, come quello sui backup o sulla predisposizione di un
piano di disaster recovery che, per inciso, sono in generale aree curate poco
nelle aziende. Qualcuno penserà: ma questo che cosa sta dicendo? Il backup è
una vita che lo facciamo con regolarità. Certo, ma dove rimane il backup?
Dentro l'unità che lo scrive? E' mai stata fatta una prova di restore,
cioè di ripristino dei dati, per verificare se è stato salvato bene tutto?
Leggendo le nuove misure minime ci sarà sicuramente chi si butterà alla
ricerca dello strumento, del prodotto che gli permetta di mettersi in regola. Io
invece credo che per rispettare il disciplinare tecnico serva soprattutto un
grosso lavoro di crescita culturale degli incaricati e, in molti casi, una
revisione di tutta l’organizzazione, da affidare a specialisti in materia di
sicurezza.
Il punto 2 dell'allegato B è molto chiaro, le parole-chiave (password) che gli
incaricati utilizzano devono essere conosciute solo dagli incaricati, e non più
scritte su bigliettini appiccicati sotto la tastiera, o peggio sul video, o
mandati per e-mail a tutti i colleghi dell'ufficio, così quando l'incaricato
non c'è qualcun altro è in grado di accedere ai dati.
Questo non è un problema che si risolve con un prodotto, ma facendo
formazione, come peraltro è previsto dal documento programmatico sulla
sicurezza. Ci si dovrà concentrare prima di tutto sulla formazione, altrimenti
si rischia solo di spendere un mucchio di soldi e di non portare a casa
sicurezza, ma solo illusioni, per poi restare amaramente scottati al primo
problema serio che può capitare.
Da un punto di vista strettamente tecnico trovo piuttosto difficile, e
sicuramente oneroso in termini economici, continuare ad usare Windows 95/98 su
postazioni dove si effettuano trattamenti di dati personali. Microsoft ha sempre
dichiarato che questi sistemi sono adatti per computer casalinghi e che altri
sono i sistemi da usare in ambienti lavorativi, ma le aziende e le
amministrazioni sono piene di questi sistemi operativi. Su Windows 95/98,
infatti, garantire un sistema di autenticazione e di autorizzazione sufficiente
per rispettare le misure minime è piuttosto complicato. La risposta più ovvia
potrebbe essere che basta passare ad una versione di Windows che offra maggiori
sicurezze, per esempio Windows/XP, ma è doveroso ricordare che l'hardware su
cui è installato Windows 95/98 nella maggior parte dei casi non è adeguato per
i nuovi sistemi di casa Microsoft. Ecco allora che dovendo cambiare il sistema
operativo si deve mettere in conto anche il costo dell'aggiornamento hardware.
In conclusione mi sembra che il legislatore abbia fatto un passo avanti
nell'uso di un linguaggio meno burocratico e più vicino a quello in uso da noi
tecnici, ma si sia perso in una miriade di casi particolari, sicuramente
dimenticandone altri.
|