UNIVERSITA' DEGLI STUDI DI PARMA

Transcript

1 I II REGOLAMENTO DI ACCESSO AI SERVIZI DI RETE III NORME DI ATTUAZIONE DEL REGOLAMENTO DI ACCESSO AI SERVIZI DI RETE

2 DIRETTIVE PER LA SICUREZZA DEI SERVIZI DI RETE

3 SOMMARIO PREFAZIONE 3 PROFILO DI RISCHIO: CLASSIFICAZIONE DEI RISCHI E VULNERABILITA 4 DEFINIZIONE DELLE 7 3

4 PREFAZIONE La necessità della definizione di direttive per l accesso ai servizi di rete di Ateneo deriva da un più generale contesto tecnologico e sociale che lo Stato italiano, seguendo le raccomandazioni dell AIPA e le linee guida emanate dagli organismi Internet internazionali, ha recepito in una serie di leggi e decreti in tema di circolazione delle informazioni su Internet e di sicurezza informatica. Il quadro normativo riconosce il ruolo centrale e strategico che le nuove tecnologie informatiche e telematiche hanno nel miglioramento dei servizi offerti dalla Pubblica Amministrazione, ma allo stesso tempo pone il problema della gestione dei potenziali fattori di rischio connessi con tali tecnologie: l affidabilità del mezzo (nelle sue componenti hardware e software) e delle informazioni (disponibilità, integrità, riservatezza). La qualità dei servizi offerti all utenza universitaria (interna o esterna) non può prescindere dalla sicurezza della rete; comportamenti non armonizzati, come anche l esperienza locale insegna, costituiscono quantomeno una fonte di rischio per il normale svolgimento dell attività accademica, con eventuali conseguenze di tipo civile e penale nel caso si rilevi un reato omissivo improprio (omessa adozione di adeguate misure di sicurezza - art. 40 c.p.). Questo documento ha quindi lo scopo di illustrare a tutto il personale docente e non docente dell Ateneo ed ai fornitori/fruitori di servizi di rete le direttive di sicurezza relative alla circolazione telematica delle informazioni e all accesso ai servizi di rete che l Ateneo ha ritenuto opportuno adottare per il perseguimento delle proprie finalità istituzionali. Tali direttive troveranno opportuna implementazione nel Regolamento di accesso ai servizi di rete di Ateneo, che terrà conto non solo degli aspetti tecnici (sicurezza fisica e logica delle apparecchiature) ma anche, se non principalmente, degli aspetti organizzativi (definizione di ruoli e responsabilità, procedure, formazione) e legali (leggi e raccomandazioni, normative); a quest ultimo proposito, è opportuno ricordare che le attuali disposizioni legislative non lasciano più discrezionalità alle singole Amministrazioni nell adozione o meno di efficaci misure atte a prevenire, o quantomeno a minimizzare, i rischi di incidente informatico o di atti di pirateria informatica, e contestualmente responsabilizzano utenti e gestori di servizi informatici. La legislazione vigente in materia fa distinzione tra trattamento informatizzato di dati personali, trattamento informatizzato di dati sensibili, trattamento informatizzato di dati comuni, con relativa diversificazione di normative tecnico-procedurali: l ambito di applicazione delle presenti direttive e della loro implementazione nel Regolamento di accesso ai servizi di rete di Ateneo è quello della circolazione di dati comuni, scientifici o accademici. Per questo tipo di dati la Legge n. 675 del 1996 sulla privacy non prevede disposizioni particolari. Occorre però notare che nell ambito della posta elettronica, l intestazione del messaggio, contenente mittente, destinatario, ora di spedizione, 4

5 può essere considerato un dato personale e pertanto le cosiddette misure minime di sicurezza, enunciate nel DPR 318/99 e da applicarsi per tale servizio, sono da valutare comunque con attenzione. L Ateneo ha dunque ritenuto necessario regolamentare i servizi di rete non solo per la loro crescente importanza ma anche in relazione a due considerazioni pratiche: la Legge n. 547 del 1993, che modifica il codice penale introducendo i crimini informatici, definisce delle precise responsabilità e delle norme di prevenzione; il danno di immagine per l Ateneo nei confronti della comunità Internet, nel caso di incidente informatico non gestito opportunamente, è da considerarsi assolutamente grave, anche se non seguito da sanzioni legislative. La definizione di norme adeguate non dovrebbe essere visto quindi come un appesantimento della normale attività lavorativa, quanto piuttosto come uno strumento per migliorare la qualità complessiva dei servizi offerti dall azienda università : un informazione inaccessibile è certamente sicura, un computer non collegato alla rete è certamente più sicuro di uno che accede ai servizi internet, ma certamente anche di scarsa utilità. Detto in altre parole: le direttive per la sicurezza dei servizi di rete di Ateneo partono dal presupposto di elevata disponibilità ed efficienza dei servizi, in un contesto di armonizzazione degli stessi e di compatibilità con le normative vigenti e con gli scopi istituzionali dell Ateneo. D altro canto, i fatti dimostrano che la stretta correlazione fra i servizi e le informazioni su Internet renderebbe inutile ogni forma di protezione o di ottimizzazione se limitata all ambito di una singola struttura dell Ateneo senza curarsi di quanto può accadere al di fuori di essa; pertanto la sicurezza dei servizi Internet potrà avere un buon livello di affidabilità solo a fronte di direttive organiche ed uniformi. PROFILO DI RISCHIO: CLASSIFICAZIONE DEI RISCHI E VULNERABILITA Le finalità del presente documento non riguardano la sicurezza complessiva del sistema informativo di Ateneo: tale obiettivo andrebbe infatti perseguito con strumenti più sofisticati, conformi, tra l altro, agli standard di valutazione e di progettazione espressi dagli organismi internazionali. Ci si occupa in questa sede di un aspetto particolare della sicurezza di un sistema informativo, quello relativo allo scambio di informazioni attraverso la rete, che implica in primo luogo l armonizzazione dei servizi di rete ed in secondo luogo la riduzione del rischio in termini di riservatezza, integrità e disponibilità dei dati in circolazione sulla rete di Ateneo. Questi obiettivi sono stati perseguiti attraverso un indagine qualitativa che ha cercato di classificare la tipologia dei dati in circolazione sulla rete di Ateneo e le vulnerabilità (anche alla luce dell esperienza 5

6 acquisita) dei servizi di rete. Tale analisi ha portato all adozione di direttive di sicurezza coerenti con una situazione di medio rischio informatico. Sinteticamente, le considerazioni sono le seguenti: la vulnerabilità dei servizi di rete è piuttosto elevata, sia per la natura intrinseca degli attuali protocolli di trasmissione dati (IPv4) che per la situazione non omogenea delle varie strutture di Ateneo che erogano servizi di rete non armonizzati tra loro; le minacce sono molteplici ma tutte essenzialmente sotto forma di accesso non autorizzato, sia esterno (da Internet) che interno. In particolare, le modalità con cui si attua l intrusione possono essere elencate come segue: minaccia alla proprietà/confidenzialità/autenticità dell informazione cattura di passwords (sniffers, trojan horse, IP spoofing, brute force); acquisizione dei privilegi di amministratore di sistema da parte di soggetti non autorizzati; mail spamming (utilizzo dei server di posta elettronica per la spedizione su Internet di messaggi non richiesti, ad esempio pubblicitari) minaccia all integrità dell informazione diffusione di virus informatici (application-layer attacks) minaccia alla disponibilità dell informazione denial-of-service (fermo dei servizi, fermo macchina, distruzione di dati) Inoltre, tali minacce sono abbastanza frequenti e spesso non hanno obbiettivi distruttivi ma semplicemente rappresentano una sfida tecnologica. I danni sono classificabili in due categorie: quelli dovuti all interruzione o al malfunzionamento dei servizi, con conseguente penalizzazione dell attività accademica e dell immagine verso l esterno, ma non perseguibili penalmente; l utilizzo dei servizi di rete di Ateneo per atti di criminalità informatica, anche verso terzi, con conseguente eventuale azione giudiziaria nei confronti dell Ateneo. I dati critici (personali, sensibili e amministrativi) in transito sulla rete di Ateneo rappresentano attualmente una percentuale molto bassa del volume complessivo. Ciononostante, due considerazioni indicano la necessità di adottare in un prossimo futuro misure tecniche e procedurali di firma digitale (le uniche che allo stato attuale 6

7 dell arte garantiscono proprietà, riservatezza e autenticità del messaggio): l intestazione di un messaggio di posta elettronica può essere classificato come dato personale (mittente, destinatario, tempo di accesso); la posta elettronica è uno strumento destinato a svolgere un ruolo primario in tutte le attività dell Ateneo e come tale deve essere armonizzato ed affidabile. Da queste considerazioni si può concludere che l alta vulnerabilità dei servizi è, in buona misura, compensata dalla bassa criticità dei dati, con un conseguente rischio risultante di livello medio. 7

8 DEFINIZIONE DELLE L Ateneo stabilisce di adottare norme che, coerentemente con le finalità istituzionali dell Università e con il profilo di rischio sopra descritto, si pongono l obiettivo di garantire il più possibile l utilizzo efficiente ed aperto dei servizi di rete, compatibilmente con il contesto normativo e tecnico di riferimento, cercando di decentrare sia la gestione dei servizi stessi che, di conseguenza, l assunzione di responsabilità. I. L Ateneo ritiene opportuna l adozione di tecnologie telematiche per lo svolgimento delle proprie attività istituzionali e per il miglioramento costante dei servizi offerti all utenza, e ne incentiva l utilizzo ispirandosi al principio della circolazione interna delle informazioni e della decentralizzazione dei servizi di rete. II. L Ateneo ritiene indispensabile la più ampia visibilità esterna di informazioni relative alla propria attività istituzionale attraverso Internet. III. L Ateneo recepisce pienamente il quadro normativo dello Stato italiano in materia di sicurezza informatica, trattamento dei dati personali e criminalità informatica, nonché le indicazioni degli organi di riferimento nazionali ed internazionali. IV. I servizi di rete sono un bene comune dell Ateneo, uno strumento di lavoro e di promozione dell attività accademica. V. I servizi di rete possono essere erogati in modo distribuito, lasciando spazi di autonomia alle singole strutture erogatrici, purchè tali iniziative siano armonizzate da un Regolamento comune con una precisa individuazione di ruoli e relative assunzioni di responsabilità. VI. VII. Il Regolamento è emanato dagli organi accademici preposti. L Ateneo considera l istruzione degli utenti e la formazione permanente del personale lo strumento principale per l utilizzo efficiente, corretto e sicuro dei servizi di rete: il Regolamento deve pertanto essere diffuso e recepito da utenti e gestori dei servizi stessi. VIII. La severità dei controlli deve essere adeguata alla natura del servizio e alla tipologia delle informazioni da proteggere. IX. Il Regolamento deve tener conto dall evoluzione tecnologica e delle mutate esigenze di servizio dell Ateneo. X. Le norme di sicurezza si fondano su due criteri principali: servizi Intranet: sono accessibili a tutti i client interni; sono erogati con le modalità descritte nel Regolamento. servizi Internet: sono accessibili a tutti gli host interni; gli host esterni accedono solo ai server di Ateneo autorizzati; sono erogati solo dai server autorizzati con modalità descritte nel Regolamento. 8