Gestione della Sicurezza dell Informazione Scenari evolutivi

Transcript

1 Politecnico di Milano Gestione della Sicurezza dell Informazione Scenari evolutivi Maurizio Dècina e Vittorio Trecordi Politecnico di Milano Ordine degli Ingegneri di Milano, Cefriel, Clusit e Cisco Systems Milano, 4 Giugno 2004, Politecnico di Milano

2 La moderna sicurezza Cambridge Dictionary Definition of Security: Ability to avoid being harmed by any risk, danger or threat Security Information Warfare Information Security Information Assurance System Survivability School of Information Warfare & Strategy National Defense University definition of Information Warfare: Those actions intended to protect, exploit, corrupt, deny, or destroy information or information resources in order to achieve a significant advantage, objective, or victory over an adversary DoD and NSA Definition of Information Assurance: Measures that protect and defend information and information systems by ensuring their availability, integrity, authentication, confidentiality, and non-repudiation. This includes providing for restoration of information systems by incorporating protection, detection and reaction capabilities. (DoD Directive ) CERT Definition of Survivability: Survivability is the capability of a system to fulfill its mission, in a timely manner, in the presence of attacks, failures, or accidents IEEE Definition of Information Assurance : Information Assurance guarantees the timely delivery of information, conditioned by requirements for confidentiality, data integrity, authentication, authorization, and non-repudiation 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

3 La dimensione del problema sicurezza Numerosi fattori concorrono ad accrescere i rischi connessi allo sviluppo ed alla diffusione di fenomeni che intaccano la sicurezza e la disponibilità dei sistemi in rete La complessità e la potenzialità delle piattaforme telematiche La dimensione della rete e il fenomeno della mobilità La riduzione del tempo di rilascio di nuove prestazioni La crescente sovrapposizione di soluzioni eterogenee e di combinazioni che possono rivelarsi vulnerabili Le crescente compenetrazione delle giurisdizione dei singoli soggetti che interagiscono per ragioni di business, od altro, attraverso le reti Le tecniche di difesa e di riduzione dei rischi approntate per contrastare la tendenza descritta, recentemente hanno mostrato i loro limiti e non hanno impedito che si causassero danni ingenti alle aziende in rete (si pensi agli effetti dei recenti worm) 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

4 Impatto degli incidenti di sicurezza Results of 2003 Computer Crime & Security Survey by CSI/FBI 75% % acknowledged financial loss, most serious being theft of proprietary info and denial-of of-service 78% (+4%) detected Internet connection as a point of attack 80% (+2%) detected employee abuse of Internet access 82% (-3%) detected computer viruses 45% (+7%) suffered unauthorised access by Insiders SANS Top 100 Vulnerabilities in Windows (2003) # W1 Internet Information Services (IIS) # W2 Microsoft SQL Server (MSSQL) # W3 Windows Authentication # W4 Internet Explorer (IE) # W5 Windows Remote Access Services # W6 Microsoft Data Access Components (MDAC) # W7 Windows Scripting Host (WSH) # W8 Microsoft Outlook and Outlook Express # W9 Windows Peer to Peer File Sharing (P2P) # W10 Simple Network Management Protocol (SNMP) Infection Attempts 900M 800M 700M 600M 500M 400M 300M 200M 100M 0 Source: Symantec Polymorphic Viruses (Tequila) Zombies Mass Mailer Viruses (Love Letter/Melissa) Denial of Service (Yahoo!, ebay) Blended Threats (CodeRed, Nimda, Slammer) Malicious Code Infection Attempts * Network Intrusion Attempts ** , ,000 80,000 60,000 40,000 20,000 SANS Top 100 Vulnerabilities in Unix and Linux (2003) # U1 BIND Domain Name System # U2 Remote Procedure Calls (RPC) # U3 Apache Web Server # U4 General UNIX Authentication Accounts with No Passwords or WeakW Passwords # U5 Clear Text Services # U6 Sendmail # U7 Simple Network Management Protocol (SNMP) # U8 Secure Shell (SSH) # U9 Misconfiguration of Enterprise Services NIS/NFS # U10 Open Secure Sockets Layer (SSL) 0 Network Intrusion Attempts 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

5 Incidenti e vulnerabilità Numero totale incidenti segnalati Numero totale vulnerabilità segnalate Fonte: Barbara Laswell, CERT, Gennaio Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

6 Evoluzione delle tecniche di attacco Fonte: CERT/CC propagation of malicious code DDoS attacks stealth /advanced scanning techniques increase in worms widespread attacks using NNTP to distribute attack sophisticated command & control widespread attacks on DNS infrastructure executable code attacks (against browsers) automated widespread attacks GUI intruder tools hijacking sessions Internet social engineering attacks packet spoofing automated probes/scans widespread denial-of-service attacks techniques to analyze code for vulnerabilities without source code anti-forensic techniques home users targeted distributed attack tools increase in wide-scale Trojan horse distribution Windows-based remote controllable Trojans (Back Orifice) Attack Sophistication Intruder Knowledge Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

7 Blissful Ignorance Responsible Disclosure Ciclo di vita delle vulnerabilità Theoretical Vulnerability Actual Vulnerability to General Attack Traditional Measure of Vulnerability Module Gap Test, Integration, and Deployment Fonte: Microsoft, Settembre 2003 Dal momento in cui viene pubblicamente resa nota la vulnerabilità e la relativa patch, al momento in cui si verifica un incidente virale di rilievo che sfrutta la vulnerabilità medesima, passano tempi lunghi Product Ship Vulnerability Discovered Exploit SQL Slammer 1/25/03 Bugbear Frethem Yaha ElKern Klez Badtrans Nimda Code Red Blaster Attack impact 9/30/02 7/17/02 6/22/02 4/17/02 4/17/02 11/24/01 9/18/01 7/19/01 8/11/03 Vulnerability Made Public Patch issued 7/24/02 5/16/01 5/16/01 5/16/01 5/16/01 5/16/01 5/16/01 10/17/00 6/18/01 7/16/03 Days Component Fixed Impact of Attack Fix Deployed Infections doubled every 8.5 seconds More than 2 million affected computers 12 variants in first 2 months of activity Intercepted in one of every 268 s at peak Detected in more than 40 different countries $9 Billion worldwide productivity loss MessageLabs has seen 458,359 instances Spread worldwide in 30 minutes Infections doubled every 37 minutes Still unclear, over 500,000 affected computers Fix Deployed At Customer Site Negligenza-riluttanza all applicazione delle patch I tempi in questione si stanno accorciando: si rende necessaria una maggior e più tempestiva azione di continous hotfixing Uno "zero-day" exploit sfrutta una vulnerabilità immediatamente o prima che venga identificata 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

8 Le minacce - Agenti e motivazioni Interesse Nazionale Interesse Business Terrorismo/Malavita Organizzata Spionaggio Industriale Illecito di business Guadagno personale Fama Furto Violazione restrizioni Curiosità Vandalismo Autore Profile Data & Attack Cluster Study Fonte: Microsoft modificata Esegue Scripts 90% Padroneggia programmazione e networking Conoscitore approfondito di programmazione e networking 7% 2.5% Specialista focalizzato 0.5% 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

9 Il problema dello spam Uso della posta elettronica per inviare massicce quantità di messaggi a utenti con i quali non esiste alcuna relazione a priori (contenuti a volte oltraggiosi) Problematiche di out-bound spam (open mail relay) e di in-bound spam Mappa delle regioni in cui si concentrano le origini dello spam (fonte Postini) Costi per le imprese: connettività, storage, supporto tecnico, ma soprattutto in calo di produttività Indebolimento della come strumento di lavoro informale Fenomeno in crescita vertiginosa: Entro la fine del 2004, lo spam si estenderà fino a raggiungere il 52% di tutti i messaggi e determinerà perdite per 41.6 miliardi di dollari nel 2004 con un un incremento del 103% rispetto al 2003 (Privacyfoundation) Directory Harvest Attack: tecnica di raccolta e commercializzazione di indirizzi per campagne di spamming SPAM: SPiced ham Mappa delle regioni in cui si concentrano gli attacchi DHA (fonte Postini) Radice del termine: The Monty Python Spam Sketch 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

10 I virus ed i worm Identificazione dei file idonei Ricerca bachi Ricerca vulnerabilità Routine di ricerca Routine di infezione Routine di occultamento Motore di mutazione Virus Motore crittografico Infezione Replicazione Riavvio automatico Payload Malicious code Verifica SO Routine di ricerca file Routine di ricerca vulnerabilità Routine di ricerca address book Routine di ricerca condivisioni di rete Routine di attacco Motore di ricerca Worm Motore di occultamento Motore di infezione Cifratura Occultamento codice Occultamento processo Creazione ed invio Infezione file post-attacco Replicazione locale Replicazione remota Malicious code La sofisticazione delle tecniche usate per l infezione e la propagazione ha raggiunto livelli maniacali Il terreno per la proliferazione di piattaforme di moltiplicazione del potenziale di attacco è in ogni sistema scarsamente curato dal punto di vista della sicurezza 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

11 Quali e quanti danni? La quantificazione delle perdite è un tema delicato e non si hanno molti riferimenti, principalmente per la riluttanza alla pubblicazione delle informazioni Perdita CAUSA Perdite di business Tangible Intangible Perdita di dati Perdita di produttività Congestione della rete e dei sistemi Segreti industriali e commerciali Perseguibilità legale Perdita di reputazione Danno da virus o da hacker vs perdite accidentali Server downtime, Virus, Worm, Websurfing per scopi personali Worm, download di file personali multimediali (es. P2P Mp3 e DViX) Sottrazione di dati Scaricamento di materiale illecito, Perdita di dati sensibili Tutte le casistiche riportate Il danno stimato per il MyDoom worm secondo la mi2g è $US38.5 billion (help desk support, overtime payments, contingency outsourcing, loss of business, bandwidth clogging, productivity erosion, management time reallocation, cost of recovery and software upgrades) Fonte: 2003 CSI/FBI Computer Crime and Security Survey Each virus and worm incident costs UK companies an average of 122,000 in The estimate, based on responses from the Corporate IT Forum (Tif) (140 blue-chip IT users), comes after the worst year ever for worm and virus attacks. Tif s figure, based on staff time costs and losses relating to an attack, is more than fourtimes the estimate of 30,000 per attack published by the Department of Trade & Industry and PricewaterhouseCoopers in Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

12 La sicurezza è un processo da presidiare con continuità a 360 La capacità di raggiungere obiettivi di sicurezza in linea con le esigenze di business delle aziende, ciascuna con la propria prospettiva, è subordinata al governo del processo pervasivo e continuo di enforcement della sicurezza I risultati si raggiungono attraverso un percorso che attraversa diversi stadi di maturità dell azienda nei confronti della sicurezza Il punto di arrivo è da dimensionare in modo calibrato rispetto alle esigenze e deve governare ruoli responsabilità cicli di vita di sviluppo delle nuove iniziative (strategia, disegno, dispiegamento, esercizio, verifica, manutenzione) comunicazione, sensibilizzazione e formazione 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

13 Dalla vigilanza all intelligence Evoluzione della sicurezza: dalla vigilanza e sorveglianza degli allarmi, all intelligence, ossia all interpretazione dei segnali che arrivano dal mondo interno e esterno Esigenza di monitoraggio continuo con capacità di rilevamento precoce dei segnali di pericolo e di reazione rapida: monitoraggio proattivo Necessità di strutturare forme di collaborazione ampie, allo scopo di organizzare le risorse per poter affrontare un problema complesso: sicurezza nazionale protezione di infrastruttura critiche per le nazioni non solo terrorismo e malavita 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

14 Gestione delle minacce Esposizione Tempo necessario a rilevare una minaccia + tempo per attuare l azione risolutiva Architettura di sicurezza Combinazione di misure protettive e di rilevamento impiegate per attuare una politica di sicurezza Le policy di sicurezza prescrivono un livello di sicurezza applicabile, misurabile e verificabile per le risorse più critiche Le misure tecnologiche prevedono l esecuzione di verifiche di tenuta dei sistemi, l irrobustimento dei sistemi, il dispiegamento di sistemi di AAA, firewall, IDS, VPN, antivirus e antispam, nonché di strumenti di supporto all attuazione delle policy Gestione ed esercizio della sicurezza L esercizio della sicurezza deve allineare l architettura di sicurezza alle priorità di business La consapevolezza diffusa è ingrediente essenziale a ridurre i rischi La raccolta di eventi, la correlazione e la produzione di report analitici sono elementi essenziali per la proattività e per successive indagini Le competenze approfondite e continuamente arricchite ed aggiornate sono essenziali per una risposta efficace ed efficiente 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

15 Dall evento/dato alla conoscenza Attivazione procedure Intervento Umano Valutazione Verifiche Sistema di elaborazione Sistema di raccolta Dati/Eventi Grezzi Presentazione Correlazione Normalizzazione Consolidamento Filtraggio Raccolta Valutazione del rischio Eventi di rilievo per la sicurezza Criticità dell asset a rischio 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

16 La visione della sicurezza dell azienda Business (buy side) Risorse umane Il ruolo del fattore umano è chiave Consapevolezza, sensibilita, cultura e collaborazione Politiche e procedure Fiducia e intelligence Tecnologia La tutela della sicurezza è un requisito irrinunciabile per le aziende e per il mercato Organizzazione I processi e le strutture organizzative stabiliscono i riferimenti per l attuazione delle azioni di tutela Ruoli e della responsabilità Rispetto dei ruoli Legislazione Business (sell side) La tecnologia offre strumenti potenti (no bias) Infrastrutture e applicazioni La legislazione vigente stabilisce il quadro di riferimento normativo applicabile in caso di contenzioso Business (competitors) 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

17 Dalla sicurezza fisica a quella strategica Network perimeter Best effort security Technology Process Standards Guidelines Procedures Education Awareness Training Policy People Management Strategy Program Development Audit Policy Compliance Risk management Corporate alignment Il percorso che porta alla salvaguardia dei requisiti di sicurezza è lungo e complesso. Gli aspetti fisici e tecnologici (tangibili) sono affrontati prima degli aspetti che riguardano le risorse umane, il management e il valore della sicurezza per la Strategia dell azienda. Il bilancio tra riduzione del rischio e costi di attuazione degli interventi richiede una attenta valutazione Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

18 Livelli di specializzazione nel ciclo di vita Conventional Services Expert Services % of expert/ conventional services HIGH PLAN DESIGN IMPLEMENT MANAGE Staging Installation Commissioning SW Maintenance HW Maintenance MEDIUM Consulting Services Integration Services Managed Services LOW Assessment Audit Risk analysis Design Proof of concept Project Management Acceptance testing Managed Network Services Managed Security Services TRAINING Fonte: Telindus 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

19 Politiche e punti perimetrali 1.2 Domini di trust e punti perimetrali La classificazione dei vari segmenti deve essere accompagnata da una policy di sicurezza che definisca quali flussi di traffico e quali contenuti è lecito o passino fra i vari domini L assenza di una policy o una policy troppo permissiva rende inutili anche le tecnologie più avanzate; gli apparati di sicurezza non sono altro che punti di enforcement della policy e le loro prestazioni dipendono dalla bontà di quest ultima SPEP Securty Policy Enforcement Points Telelavoratori Sito aziendale Webmail Portale ecc... Sede centrale Untrusted Partially trusted Trusted Internet Utenti remoti Modem Intranet VPN-based Internet Internet Extranet VPN-based PSTN Sedi remote Clienti Fornitori Partner 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

20 1.2 Domini di trust e punti perimetrali Politiche e domini Untrusted domain Malicious Banned content Viruses, worms, spam Internet AntiVirus IDS VPN Trusted domain Intrusions P2P Web Content Filtering Software Punto perimetrale di enforcement della policy 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

21 Perimetro intangibile e multi-dimensionale Firewalls, IDSs and VPNs in the access points are bastions in a multi-layer and intangible perimeter Unauthorized modems Voic PSTN PBX Fax Telephones Application Layer Vulnerabilities Corporate LAN User Security Violation Sensor Rogue AP Sensor Unauthorized AP Sensor Sensor Intruder ISP Internet Central Office Unauthorized Modems Servers IDS Firewall LAN Workstations Web Infrastructure Site A Site B Gateway jumpin Public Web Server Internet Authorized User HTTP Secure Application Gateway Web Application HTTPS Database Intranet Web Server VPN into Corporate Net Corporate Net Hacker Sensor Management Server Rogue AP DoS Attack Sensor HQ 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

22 Le nuove frontiere CABLE REPLACEMENT HOME, OFFICE PUBLIC ACCESS Range Wireless ubiquitous networking CITY, SUBURBS COUNTRY, REGION WIDE PAN WLAN WMAN WA N 1 kbit/s GSM ZigBee GPRS EDGE Bit Rate E-business communities, virtual enterprises: Web Services System 2 Bluetooth Wi-Fi b UMTS MobileFi HSDPA UltraWideBand a/g/n WiMAX a/e 10 kbit/s 100 kbit/s 1 Mbit/s 10 Mbit/s 100 Mbit/s Fonte: M.Dècina, 2004 LIMITED FULL 1 Gbit/s Mobility Trusted Computing Platform Peer to Peer Service A Do I have confidence in interacting with this platform? Service B Can I trust you to behave in an expected manner? Can I trust you to be what you say you are? Output Pipe Service C Input Pipe System 1 Peers identified by PeerID RDV RDV Business A Business B Business C Firewall + NAT TCP/IP TCP/IP Network Network TCP/IP TCP/IP Network Network Relay HTTP TCP TCP/IP TCP/IP Network Network 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

23 Cisco Network Admission Control (NAC) NAC è una soluzione proprietaria Cisco che estende l architettura AAA permettendo di effettuare autorizzazione con una granularità più fine Durante la fase di autenticazione l host invia Le proprie credenziali: utilizzate dal server AAA per verificare l identità dell utente che accede Informazioni sulla sicurezza del client Antivirus: tipo di antivirus installato, versione del motore di scansione, versione delle firme installate Sistema operativo: tipo di sistema operativo patch e hot-fix installati Altre informazioni In base a queste informazioni il server AAA decide se Garantire l accesso Non Garantire l accesso Garantire un accesso limitato: per esempio non consentire accesso all area di produzione (benché si sia autorizzati) Inserire l utente in una VLAN di quarantena: per permettere all utente di aggiornare il proprio sistema 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

24 Cisco NAC - Architettura AV software Cisco Sec. Agent Altro EAP (IEEE802.1X, PPP, ) EAP over AAA AV Server Cisco Trust Agent AAA Server OS Server Security software e Cisco Trust Agent Cisco Trust Agent: è un agente in grado di interagire con le applicazioni di sicurezza del client (es: tipo di antivirus, versione del motore di scansione ). Nel caso non sia disponibile (non-responsive client) non possono essere inviate informazioni sulla sicurezza del client e si applica una politica satandard (es: accesso ristretto o accesso ad area di quarantena) Cisco Security Agent: è un agente (opzionale) in grado di verificare lo stato del sistema operativo (tipo, patch e hot-fix) e di comunicarlo al Cisco Trust Agent NAC utilizza protocolli diffusi opportunamente estesi (non standard): EAP, IEEE802.1x, Radius 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

25 Identità digitale Ogni utente possiede diverse forme di identità memorizzate in forme e luoghi differenti: Account di posta elettronica Account presso un negozio di acquisti on-line Account home banking Passaporto Carta Bancomat (ATM) L identità digitale è l insieme degli attributi dell utente che costituiscono i diversi account 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

26 Circle of Trust Car Rental John Smith Bank John Smith Bank Johnny Car Rental Car Rental Bank Airline Airline Bank Airline J Smith J Smith Airline Car Hire 2 Hotel Identity Silos Federated Accounts Circle of Trust Link Circles of Trust 2004 Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

27 Percezione delle nuove esigenze dei clienti Event Info. Vulnerability Assessment Detection Web Application Firewall Prevention System Firewall, Content Filtering, (IPS) VPN Protection Monitoring Detection + Response Security Information VA Management (SIM) Output Console - FW/IDS Tuning Intrusion Intrusion Detection System (IDS) Detection Response Time Fonte: M.Dècina, Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

28 Gli standard di riferimento In ambito ISO gli standard per la Information Security sono sviluppati dal Security Techniques Committee ISO/IEC JTC1/SC27 (es: ISO/IEC TR 13335: Guidelines for the management of IT Security, ISO/IEC 15408:Common Criteria (CC), ISO/IEC 21827: SSE-CMM). In ambito ITU gli standard per le telecomunicazioni sono sviluppati dal ITU-T SG 17 Lead Study Group for Communication System Security (es. X.805, Security architecture for systems providing end-to-end communications; X.509 Public Key Infrastructure (PKI)). In ambito IETF esiste l area Security composta dai WG che si occupano di protocolli sicuri (es. IPSEC, SSL/TLS, SMIME) e di best practice. In ambito W3C si sviluppano standard applicativi per la sicurezza delle applicazioni web. L IEEE ha promosso una serie di iniziative dedicate allo sviluppo di progetti e standard mirati alla sicurezza delle informazioni (IEEE Information Assurance - IEEEIA). Inoltre all interno degli standard di livello 2 per le LAN/MAN (IEEE 802) sono presenti indicazioni per garantire alla sicurezza dei dati trasmessi. Numerose autorevoli iniziative di standardizzazione a livello regionale es. BS British Standards (gestione del processo di sicurezza), NIST (standard e procedure), NSA (configurazione sicura di sistemi ed applicazioni), ETSI-3GPP (GSM, GPRS, UMTS). CoBIT di ISACA è uno standard ampiamente utlizzato per l auditing Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004

29 Normativa a Glance Norma Impatto Norma Impatto Norma Impatto Norma Impatto Privacy Codice in materia di protezione dei dati personali - D.L.. n.196/2003 La severità della pena è proporzionale all'infrazione commessa: le sanzioni vanno dalla multa di notevole entità alla reclusione (per il mancato rispetto delle misure m minime), ferma restando la responsabilità civile in caso di giudizio per il risarcimento del l danno se le misure poste in essere fossero ritenute non idonee. Copyright Diritto d'autore Protezione del Diritto d'autore e di altri diritti connessi al suo esercizio - Legge n.633/1941 e modifiche introdotte dai D.L. n.518/1992 e n.68/2003 L utilizzo, l acquisto, il noleggio, la duplicazione o la riproduzione di opere e materiali protetti vengono puniti con una sanzione pecuniaria che aumenta con la recidività e la gravità del fatto. La duplicazione, la riproduzione, la vendita, il noleggio, la trasmissione e la diffusione in pubblico effettuate per uso non personale e a fine di lucro sono punite con c reclusione e sanzione pecuniaria proporzionali alla gravità del reato. Documento Informatico Firma Digitale Testo unico sulla documentazione amministrativa (DPR( 445/2000) Regole tecniche per la generazione, apposizione e verifica delle firme digitali (Schema di decreto del Presidente del Consiglio dei ministri) (testo non ancora ufficiale) Sanzioni civili. Cyber Crime - Reati Informatici Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica (Legge( 547/1993) Sono reati penali: la falsificazione di documenti informatici, l accesso l abusivo ed il danneggiamento ad un sistema informatico o telematico,, la detenzione e la diffusione abusiva di codici di accesso, la violazione della segretezza della corrispondenza trasmessa per via v telematica, la diffusione di programmi diretti a danneggiare od interrompere un sistema informatico Maurizio Dècina e Vittorio Trecordi Gestione della Sicurezza - Milano, 4 Giugno 2004