Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

La legge 675/96 e i requisiti di sicurezza:
aspetti organizzativi e tecnici
di Paolo Nuti - 16.07.97

Un esempio
In attesa delle misure minime

La legge 675, entrata in vigore l'8 maggio 1997, definisce "Dato personale" "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione" e stabilisce che "I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta".
Stabilisce inoltre che in attesa del DPR che definirà le misure minime di sicurezza, la cui emanazione è prevista entro l'8 novembre e l'entrata in vigore 6 mesi dopo, vale a dire a fine aprile 1998, occorre comunque dall'8 maggio 1997, custodire i dati personali "in modo da evitare un incremento dei rischi".
Il responsabile dell'elaborazione deve (o dovrebbe) di conseguenza

  • Identificare gli archivi presenti in azienda su mainframe, server di rete, macchine individuali, supporti magnetici, ottici, cartacei, etc.
  • definire per ciascun archivio contenente dati personali la durata del trattamento nominativo (che deve essere non superiore a quella necessaria agli scopi per i quali sono stati raccolti o successivamente trattati)
  • verificare o istituire procedure di cancellazione/anonimizzazione dei dati obsoleti
  • verificare o istituire procedure scadenziario archivi non informatici da distruggere
  • verificare o istituire procedure di back-up atte a garantire per tutta la durata del trattamento l'integrità (anche fisica) degli archivi
  • comunicare agli incaricati del trattamento le procedure da seguire sotto il profilo
    - della riservatezza
    - della sicurezza di accesso agli archivi
    - della integrità dei dati
  • comunicare anche ai non addetti al trattamento il divieto di creare archivi contenenti dati personali senza la preventiva autorizzazione del responsabile dell'elaborazione (che è comunque responsabile insieme al titolare e deve provvedere alle necessarie valutazioni e preventive notificazioni al garante).

Il condizionale deriva dal fatto che alcuni archivi, per esempio quelli creati personalmente sul proprio PC dall'amministratore delegato di una azienda, pur ricadendo nell'ambito applicativo della legge, restano necessariamente fuori dalla portata del responsabile dell'elaborazione; inoltre alcune delle procedure sopra indicate potrebbero portare ad effetti paradossali o che comunque non rientrano negli obiettivi sostanziali della legge.

In attesa del regolamento che individuerà le misure di sicurezza previste dall'articolo 15 e di eventuali decreti integrativi che potranno essere emanati ai sensi della 676, il responsabile dell'elaborazione deve curare la custodia dei dati personali "in maniera tale da evitare un incremento dei rischi".
Il responsabile dell'elaborazione dovrà di conseguanza verificare ed eventualmente correggere le procedure di

  • accesso fisico agli elaboratori (server e workstation)
  • accesso logico agli elaboratori (server e workstation)
  • accesso alla rete interna dall'esterno
  • accesso all'esterno dalla rete interna
  • back-up e conservazione delle copie

Il che sarà utile anche al fine di redigere la "descrizione generale che permetta di valutare l'adeguatezza delle misure tecniche ed organizzative adottate per la sicurezza dei dati" che costituiscono il punto f) della notificazione al Garante).

In pratica

L'occasione è buona per fare un po' d'ordine cioè:

  • controllare i tracciati fisici delle reti: qualche macchina potrebbe essere stata posta su rami non protetti da firewall o router ed essere utilizzata come "sniffer"
  • controllare che i server possano accettare chiamate solo da workstation o server che hanno una valida ragione per chiamare
  • se uno o più nodi della la rete interna debbono essere raggiunti dall'esterno, sbarrare comunque con un firewall o un wrapping via router a tutti gli altri nodi
  • verificare che sulle workstation collegate alla rete interna non siano stati installati, all'insaputa del responsabile dell'elaborazione, dei modem. E' inutile vigilare attentamente (con un firewall o un proxi) sugli accessi da e per l'esterno, se poi una workstation si collega direttamente via modem crendo una strada di attacco alternativa
  • se è proprio indispensabile disporre di un accesso remoto via modem su una workstaion collegata alla rete interna (per esempio perché un dirigente vuole assolutamente un accesso diretto da e per l'esterno, sensibilizzare l'utente perché non installi procedure di rete senza la supervisione del responsabile della sicurezza; ricordare che si può "entrare dall'esterno" anche quando ad attivare la comunicazione è l'utente interno; se possibile installare un firewall ad hoc tra la waorkstation e la rete interna
  • pttivare e controllare sempre e comunque i log di sistema delle macchine dei firewall e delle applicazioni
  • determinare una tantum il profilo statistico del sistema e verificarlo periodicamente
  • produrre report significativi e porre attenzione comportamenti anomali!
  • mettere una password anche sulle workstation, come minimo sullo screen saver
  • verificare che sulle workstation non siano state attivate inavvertitamente (!) funzioni di condivisione di file
  • proteggere le password sul server di rete
  • il data base dei codici di autorizzazione deve sempre essere crittografato
  • l'accesso al data base delle PW deve essere ristretto al responsabile della sicurezza
  • non devono esserci possibilita' di sniffing dall'esterno di una rete o gruppo
  • per evitare sniffing, l'invio del codice può essere prottetto da cifratura
  • il vero punto debole è l'educazione dell'utente
  • educare l'utente a non comunicare la PW a terzi indipendentemente dal fatto che siano estrenei, parenti o personale dell'azienda, impedirgli di utilizzare PW banali; costringerlo a cambiare PW periodicamente
  • valutare la possibilità di utilizzare applicazioni client/server protette da crittografia.

Sotto il profilo fisico è opportuno

  • installare i server in una sala macchine con accesso limitato al personale autorizzato
  • controllare che tutte le persone che possono accedere fisicamente ai server abbiano un buon motivo e la competenza per farlo * conservare le copie di sicurezza (meglio se doppie) in luogo adeguatamente protetto (armadio ignifugo, cassaforte, armadio chiuso a chiave)
  • per le stazioni di lavoro, che possono ospitare dati personali e non possono essere confinate in locali protetti, bisognerà aiutare la fortuna con precise indicazioni agli utenti: non creare archivi senza autorizzazione, non asportare copie di dati, etc.

Ricordare infine che se è tragicamente vero che "aver fatto le fotocopie di un testo non significa averne appreso il contenuto" (U.Eco, come si scrive una tesi di laurea), aver messo un firewall a protezione della propria non significa averla protetta. Il rischio, se non si fa un accurato esame di coscienza - cioè della rete e delle istruzioni che sono state impartite alle persone che ci lavorano - è quello di sentirsi falsamente sicuri e di abbassare ulteriormente le difese.

Un esempio


In questo esempio di rete aziendale connessa ad una rete pubblica (p.e. Internet) e suddivisa un due rami, uno dei quali è destinato alla elaborazione di dati particolarmente riservati, sono stati commessi due errori: una workstation abilitata a vedere solo il server a basse esigenze di riservatezza è stata collegata al ramo riservato e una workstation è raggiungibile dall'esterno attraverso il modem che un utente, per navigare su internet, ha installato all'insaputa del responsabile della sicurezza. La prima macchina, se cade in mano ad un utente esperto, può "sniffare" dati riservati; nessuno se ne è accorto perché il router (giustamente) consente comunque l'accesso al server a basso livello di riservatezza. La seconda macchina inficia le funzioni del firewall.

In attesa delle misure minime, chi e' già sicuro non cambi server per le basi dati!

In attesa del regolamento che individuerà le misure minime di sicurezza da adottare ai fini della riduzione al minimo del rischio, la legge 675 prescrive che i dati personali debbano essere custoditi "in maniera tale da evitare un incremento dei rischi". Nel periodo transitorio (che durerà presumibilmente fino a maggio 1998), l'adozione di misure di sicurezza atte ad evitare l'incremento dei rischi è dunque condizione necessaria per evitare di essere ritenuti responsabili in sede civile del danno. Come abbiamo visto, tra i fattori di rischio dobbiamo comprendere anche la gestione degli accessi ai server o comunque alle basi dati. Di conseguenza, nel periodo transitorio non solo non dovranno essere ridotti i livelli di sicurezza (ove la gestione della sicurezza sia strutturata per livelli), ma si dovrà valutare con estrema cautela anche la sostituzione di un server che integri un sistema di autorizzazioni strutturato, con altro meno strutturato o, più semplicemente meno collaudato sotto il profilo della sicurezza. Il discorso è particolarmente delicato anche perché coinvolge grossi interessi commerciali: in molte aziende è in corso una migrazione da sistemi mainframe o mini dipartimentali verso server Unix o NT. Questa scelta deve essere valutata con estrema attenzione: anche senza entrare nel merito della maggiore o minore vulnerabilità di questo o quel sistema operativo, resta comunque il fatto che la gestione gerarchica, granulare e "per livelli", tipica ad esempio di un AS-400, difficilmente può essere esportata in altro ambiente quanto basta a sostenere che, nella migrazione, non vi sia stato un incremento del rischio di accesso non autorizzato - sia pure dall'interno dell'azienda - a file system o record precedentemente non accessibili.
Alcuni suggeriscono che le aziende, per cautelarsi, nominino addetti alla elaborazione tutti, o quasi, i propri dipendenti. Ci sembra però difficile sostenere che l'estendere il numero di persone che possono accedere a determinate dati o categorie di dati in seguito ad una minor granularità delle restrizioni, non rappresenti un incremento del rischio. Una soluzione che sta prendendo piede per coniugare la sicurezza di un ambiente consolidato con la flessibilità di un sistema operativo ricco di strumenti per la creazione di applicazioni multimediali è quella di specializzare una macchina in data-server (p.e. base dati SQL) ed una seconda macchina in "application server". Con un minimo di attenzione, la sicurezza della base dati resta quella della prima macchina e la flessibilità diventa quella della seconda. Una strada, del resto, suggerita dalla stessa IBM nel momento in cui ha introdotto per l'AS-400 schede con coprocessori Risc o Intel sulle quali installare applicativi in ambiente OS-2, Unix o NT.

(Sintesi dell'intervento di Paolo Nuti al convegno "La protezione dei dati personali nei sistemi in rete" - Roma il 23-24 aprile 1997)