Privacy: 15 dicembre, nuove regole

Transcript

1 Privacy: 15 dicembre, nuove regole E tu, ti sei adeguato ai nuovi obblighi?!! Con il patrocinio del Comune di Pescantina 4 Dicembre 2009 mayhem@alba.st

2 Security Board of Directors: Associazione Informatici Professionisti, CLUSIT Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, LUGVR, Sikurezza.org Hacker s Profiling Project! 2

3 D.Lgs. 196/2003

4 D.Lgs. 196/2003 Questa legge viene spesso percepita come una imposizione un inutile costo aggiuntivo 4

5 Capire Cosa vuole ottenere il legislatore con il D.Lgs. 196/2003? 5

6 Evoluzione il diritto di essere lasciati soli (Warren & Brandeis, 1890) il diritto a chiedere di se stessi (Lisi, 2005) 6

7 L era dell informazione Il non corretto trattamento delle informazioni può esporre il cittadino a rischi non previsti 7

8 Pretendo una corretta gestione dei dati che mi riguardano come cittadino Aziendalmente questa legge dovrebbe essere irrilevante: dice cose scontate 8

9 D.Lgs. 196/2003 trasforma le più comuni Best Practice in vincolo di legge 9

10 Paragoni La 626/1994 veniva inizialmente percepita come imposizione, intralcio, costo. I primi risultati, non solo nelle procedure, ma soprattutto nell'atteggiamento si iniziano a vedere solo oggi, dopo 10 anni (Bortolani, 2006) 10

11 Misure Minime

12 Misure Minime il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto 12

13 Password Password alfanumeriche di almeno 8 caratteri Cambio trimestrale o semestrale delle password 13

14 Brute Force hydra -L uid.txt -P pwd.txt / mail.miodominio.it pop3 -f Hydra v4.1 (c) 2004 by van Hauser / THC use allowed only for legal purposes. Hydra ( starting at :21:37 [DATA] 16 tasks, 1 servers, 132 login tries (l:12/p:11), ~8 tries per task [DATA] attacking service pop3 on port 110 [21][ftp] host: mail.miodominio.it login: alessio password: pippo [STATUS] attack finished for mail.server.it (valid pair found) Hydra ( finished at :21:44 14

15 Lockout Una buona politica di gestione delle password prevede la disabilitazione di account inutilizzati ed il lockout di account sotto brute-forcing 15

16 Password Decrypting 16

17 Local Brute Force 17

18 Rainbow Tables i tempi di password cracking si riducono drasticamente 18

19 Backup Non dovrebbe essere una legge ad imporlo E interesse dell azienda poter ripristinare l operatività in caso di incidents 19

20 Da considerare... Se il backup venisse distrutto assieme ai server? Se il supporto di backup fosse deteriorato? Se i supporti di backup venissero rubati? 20

21 Hints RAID Backup Se qualcosa può andare male lo farà! (Murphy) 21

22 Per la legge Perdita dei dati equivale a non corretto trattamento 22

23 Firewall Richiede competenza e cure continue Non è una magica scatola nera 23

24 Perimetro L avvento di VPN e tecnologie di telelavoro ha reso piuttosto labile il concetto di perimetro 24

25 Antivirus L aggiornamento semestrale è totalmente insufficiente Non è sempre sufficiente a mitigare tutti i rischi 25

26 Antivirus? Malware Worm Troyan Spyware Keylogger Dialer 26

27 Policy Navigazione USB Key Hard Disk esterni Floppy/CD/DVD 27

28 Patch L applicazione periodica delle patch è necessaria Spesso di parla di ore, non di mesi... 28

29 Target specifici Non è necessario essere un bersaglio interessante E sufficiente essere in rete! 29

30 Confiker.* Prevenzione: patch MS password non banali 11 Milioni di host in 2 mesi 30

31 Grazie alla Quelli che vengono indicati come requisiti minimi spesso non sono rispettati quindi è positivo che la legge li richieda. 31

32 Misure Adeguate

33 Le misure minime sono inadeguate nella maggior parte dei casi 33

34 Misure Adeguate Il Garante richiede l applicazione di adeguate misure atte a proteggere l integrità e la riservatezza dei dati trattati 34

35 Prova Diabolica In caso di incident l azienda è tenuta a dimostrare di avere adottato tutte le misure adatte ad evitare che l incidente accadesse 35

36 Chi decide? Il CTU nominato dal giudice svolgerà la sua indagine e suggerirà la sua visione 36

37 AES 8192 Cloud 2.0 Non sono richieste tecnologie sperimentali Non sono richieste tecnologie militari Sono richieste le misure organizzative, formative e tecnologiche disponibili sul mercato 37

38 Cosa cambia?

39 Il Garante decide di regolamentare in modo specifico le attività degli amministratori di sistema 39

40 Definire i ruoli Chi sono gli amministratori di sistema? 40

41 Art. 1 esigenza di valutare con particolare attenzione l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema (system administrator), amministratore di base di dati (database administrator) o amministratore di rete (network administrator), laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. 41

42 Art. 2b b. Designazioni individuali La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. 42

43 Art. 2c c. Elenco degli amministratori di sistema Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza 43

44 Chi riguarda? L aggiornamento riguarda tutti: sia il personale interno sia i consulenti 44

45 Art. 2d d. Servizi in outsourcing Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. 45

46 Controllo e verifica L operato va verificato periodicamente Gli accessi vanno registrati e conservati 46

47 Art. 2e e. Verifica delle attività L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. 47

48 Art. 2f f. Registrazione degli accessi Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. 48

49 Art. 2f Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. 49

50 Art. 2f Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi; 50

51 Hints Firma digitale Marca temporale 51

52 Capire Quali sono le intenzioni del Garante cosa vuole tutelare con questo aggiornamento? 52

53 Premesse Attività tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un'effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l'amministratore non consulti "in chiaro" le informazioni medesime. 53

54 Premesse La rilevanza, la specificità e la particolare criticità del ruolo dell'amministratore di sistema sono state considerate anche dal legislatore il quale ha individuato, con diversa denominazione, particolari funzioni tecniche che, se svolte da chi commette un determinato reato, integrano ad esempio una circostanza aggravante. Ci si riferisce, in particolare, all'abuso della qualità di operatore di sistema prevista dal codice penale per le fattispecie di accesso abusivo a sistema informatico o telematico (art. 615 ter) e di frode informatica (art. 640 ter), nonché per le fattispecie di danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) e di danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques) di recente modifica1. 54

55 Carta?

56 Documenti? Informative D.P.S. 56

57 Cosa non sono? Non sono solo pezzi di carta 57

58 Aggiornamenti Richiedono un costante e continuo aggiornamento 58

59 D.P.S. Può essere un utile documento che fotografa la realtà aziendale i suoi dati, i suoi operatori le procedure seguite 59

60 ViaLibera Privacy permette: la gestione del DpS gestione e pianificazione delle attività gestione documenti consultazione online di una raccolta ragionata della normativa sulla privacy! 60

61 Prodotto sviluppato per rispondere integralmente alle esigenze del decreto amministratori di sistema 61

62 Altre esigenze, altri strumenti... Gestione dei LOG di navigazione Gestione piani di disaster recovery 62

63 Conclusioni

64 SysAdmin Devono essere incaricati nominalmente Va tenuta traccia delle loro attività La traccia deve avere valore legale 64

65 La sicurezza Non è un prodotto E un processo 65

66 D.Lgs. 196/2003 Come Cittadini, vogliamo che sia rispettato Come Azienda, vogliamo garantire il nostro patrimonio e quelli dei nostri clienti 66

67 These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution- ShareAlike-2.5 version; you can copy, modify, or sell them. Please cite your source and use the same licence :) Grazie! Domande?!! Con il patrocinio del Comune di Pescantina 4 Dicembre 2009 mayhem@alba.st