Manuale ECDL Full Standard. Modulo IT Security. Copyright AICA

Transcript

1 Manuale ECDL Full Standard Modulo Copyright AICA

2

3 Sommario Capitolo 01 Le informazioni personali 02 Capitolo 02 Rischi del crimine informatico 17 Capitolo 03 Come vengono sottratti illecitamente i dati 34 Capitolo 04 Come possiamo fenderci 54 Capitolo 05 I rischi per le aziende 89 1 Copyright AICA

4 Capitolo 1 Le informazioni personali 2 Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Distinguere tra dati e informazioni. Comprendere il termine crimine informatico. Comprendere i motivi per proteggere le informazioni personali, quali evitare il furto identità o le fro. Identificare le misure per prevenire accessi non autorizzati ai dati, quali cifratura, password Comprendere le caratteristi fondamentali della sicurezza delle informazioni, quali confidenzialità, integrità, sponibilità. Identificare i requisiti principali per la protezione, conservazione e controllo dati/privacy si applicano in Italia. Comprendere il termine furto identità e le sue implicazioni personali, finanziarie, lavorative, legali. Comprendere i vantaggi e i limiti della cifratura Contenuti della lezione In questa lezione cerremo : renderci conto del valore delle nostre informazioni, proteggere le nostre informazioni personali, lavorative, finanziarie,..., capire quali sono le caratteristi fondamentali della sicurezza informatica, analizzare brevemente la legislazione italiana in materia protezione dei dati personali, descrivere cosa si intende con crimine informatico. Copyright AICA

5 Sergio Margarita - Nuova ECDL e Open Source 1 In particolare, cerremo : renderci conto del valore delle nostre informazioni proteggere le nostre informazioni personali, lavorative, finanziarie,... capire quali sono le caratteristi fondamentali della sicurezza informatica analizzare brevemente 1. la Che legislazione valore hanno italiana le in nostre materia informazioni protezione dei dati personali descrivere cosa si intende con crimine informatico. In questa parte, esaminiamo gli aspetti meno tecnici dell'. Come accennato, questi sono fondamentali in quanto senza un minimo "cultura" della sicurezza informatica an gli strumenti tecnici più sofisticati sono inutili. Adrittura, come vedremo nei prossimi capitoli, le tecni attacco più Ma dobbiamo proteggere pericolose, i nostri dati quelle oppure dell'ingegneria le nostre sociale, informazioni? non usano nessuno strumento informatico! In particolare, cerremo : Distinguere tra dati e informazioni Distinguere tra dati e informazioni. renderci conto del valore delle nostre informazioni proteggere le nostre informazioni personali, lavorative, finanziarie,... Agli albori dell'informatica, capire si usava quali sono molto le caratteristi spesso il fondamentali termine EDP della (Electronic sicurezza informatica Data Processing), mettendo l'accento sull'elaborazione analizzare (Processing) brevemente con la strumenti legislazione elettronici italiana in materia (Electronic) protezione dei dei dati (Data). personaliallora, proprio per la rapissima evoluzione descrivere tecnica, cosa si insisteva intende con maggiormente crimine informatico. sugli aspetti tecnici. I "dati" la facevano da padrone, con tutti i problemi tecnologici l'informatica dell'epoca presentava. Ma dobbiamo proteggere i nostri dati oppure le nostre informazioni? Oggi, il termine EDP è pressoché scomparso ma soprattutto l'attenzione si è spostata dai dati alle Distinguere tra dati e informazioni. informazioni. Chi non ha mai sentito almeno uno questi termini: Tecnologie dell Informazione e della Comunicazione (Information and Communication Technology ICT), autostrade dell'informazione, sistema informativo aziendale? Se vi dovesse sfuggire il significato del termine ICT, vi raccomanamo gli IBUQ ECDL Computer Essentials e ECDL Online Essentials. Agli albori dell'informatica, si usava molto spesso il termine EDP (Electronic Data Processing), mettendo l'accento sull'elaborazione (Processing) con strumenti elettronici (Electronic) dei dati (Data). Allora, proprio per la rapissima evoluzione tecnica, si insisteva maggiormente sugli aspetti tecnici. I "dati" la facevano da padrone, con tutti i problemi tecnologici l'informatica dell'epoca presentava. Tabella 1: Dati grezzi Tabella 1: Dati grezzi I dati non sono nient'altro Oggi, il una termine rappresentazione EDP è pressoché scomparso proprietà, ma fatti, soprattutto caratteristi, l'attenzione azioni, si è spostata eventi dai... dati legati alle Tabella 2: Informazioni semplici informazioni. Chi non ha mai sentito almeno uno questi termini: Tecnologie dell Informazione e della a persone, enti,... o più generalmente oggetti una rilevazione. Per quanto ci riguarda, tale Comunicazione (Information and Communication Technology ICT), autostrade dell'informazione, sistema rappresentazione Sergio Margarita viene - Nuova fatta informativo in ECDL modalità aziendale? e Open elettronica Se Source vi dovesse e può sfuggire avvenire il significato attraverso del 2 termine versi ICT, mea vi raccomanamo e formati: gli testo, IBUQ segno, immagine,... Non ECDL necessariamente Computer Essentials i dati e ECDL grezzi Online appena Essentials. rilevati sono comprensibili e significativi per una persona versa da quella I dati non sono li nient'altro ha rilevati. Cosa una rappresentazione rappresentano proprietà, i dati riportati fatti, caratteristi, in Tabella azioni, 1 è noto eventi solo... legati a Tabella 2: Informazioni semplici chi li ha rilevati. a persone, enti,... o più generalmente oggetti una rilevazione. Per quanto ci riguarda, tale Realizzato esclusivamente rappresentazione per GABRIELE viene fatta TOMASI in modalità - SKILL elettronica on e LINE può avvenire attraverso versi mea e formati: testo, Spesso però i dati non sono segno, proprio immagine, grezzi... Non ma necessariamente almeno "spiegati", i dati grezzi an appena solo rilevati per sono la comotà comprensibili del e rilevatore. significativi per I dati riportati in Tabella 2 sono più facile lettura e comprensione rispetto agli stessi della tabella precedente. Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE Il concetto informazione si spinge oltre, compiendo un passo ulteriore: le informazioni sono dati elaborati (an soltanto organizzati) in modo da renderli comprensibili e significativi per i loro utilizzatori. Se si precisa la tabella precedente è relativa ai clienti della nostra azienda, la colonna "Debito" rappresenta quanto ognuno ci deve ancora pagare in seguito a delle vente, abbiamo maggiori informazioni sui clienti. Se elaboriamo queste informazioni in un prospetto sintesi, sponiamo vere e proprie informazioni sulla situazione finanziaria aziendale.( tra l'altro, non sembra tanto buona...) ci induce a Tabella 3: Informazioni elaborate mettere in atto qual azione recupero creti. In termini sicurezza informatica, è ben verso il furto dei dati riportati in tabella Tabella 1 rispetto al furto delle informazioni presenti in Tabella 3. Malgrado questa fferenza concettualmente importante, nell'uso corrente i termini dati e informazioni sono usati pressoché infferentemente. In questo IBUQ ci adegueremo a questa prassi, tranne in casi specifici Copyright Comprendere AICA 2014 le caratteristi 2019 fondamentali della sicurezza delle informazioni, quali confidenzialità, integrità, sponibilità.

6 4 Il concetto informazione si spinge oltre, compiendo un passo ulteriore: le informazioni sono dati elaborati una (an persona soltanto versa organizzati) da quella in modo li ha da rilevati. renderli Cosa comprensibili rappresentano e significativi i dati riportati per in i Tabella loro utilizzatori. 1 è noto solo Se si a chi precisa li ha rilevati. la tabella precedente è relativa ai clienti della nostra azienda, la colonna "Debito" Spesso rappresenta però quanto i dati non ognuno sono ci proprio deve ancora grezzi ma pagare almeno in seguito "spiegati", a delle an vente, solo per abbiamo la comotà maggiori del informazioni rilevatore. I dati sui clienti. riportati Se in Tabella elaboriamo 2 sono queste più facile informazioni lettura e in comprensione un prospetto rispetto sintesi, agli stessi sponiamo della tabella vere precedente. e proprie Sergio Margarita - Nuova ECDL e Open Source 2 informazioni sulla situazione finanziaria aziendale.( tra l'altro, non sembra tanto buona...) ci induce a Tabella 3: Informazioni elaborate Il mettere concetto in atto informazione qual azione si spinge recupero oltre, creti. compiendo un passo ulteriore: le informazioni sono dati elaborati una persona versa da quella ha rilevati. Cosa rappresentano i dati riportati in Tabella 1 è noto solo a (an soltanto organizzati) in modo da renderli comprensibili e significativi per i loro utilizzatori. Se si chi li ha rilevati. precisa In termini sicurezza la tabella informatica, precedente è è ben relativa verso ai il furto clienti dei della dati nostra riportati azienda, in tabella Tabella la colonna 1 rispetto "Debito" al furto delle informazioni presenti in Spesso Tabella però 3. i dati non sono proprio grezzi ma almeno "spiegati", an solo per la comotà del rilevatore. I rappresenta quanto ognuno dati ci riportati deve ancora in Tabella pagare 2 sono in più seguito facile lettura a delle e comprensione vente, rispetto abbiamo agli stessi maggiori della tabella informazioni precedente. sui Malgrado clienti. questa Se elaboriamo fferenza queste Il concettualmente informazioni concetto informazione importante, in un prospetto si spinge oltre, nell'uso compiendo corrente sintesi, un passo i ulteriore: termini sponiamo le dati informazioni e informazioni vere e proprie sono dati elaborati sono informazioni usati pressoché sulla infferentemente. situazione (an finanziaria soltanto In questo aziendale.( organizzati) IBUQ in ci modo adegueremo tra da l'altro, renderli non comprensibili a questa sembra prassi, e tanto significativi buona tranne per...) in i loro casi utilizzatori. specifici. induce Se a si Tabella 3: Informazioni elaborate mettere in atto qual azione precisa recupero la tabella creti. precedente è relativa ai clienti della nostra azienda, la colonna "Debito" rappresenta quanto ognuno ci deve ancora pagare in seguito a delle vente, abbiamo maggiori informazioni In termini Comprendere sicurezza le caratteristi informatica, sui clienti. fondamentali è Se ben elaboriamo verso della queste il furto sicurezza informazioni dei dati delle in riportati un informazioni, prospetto tabella sintesi, quali Tabella confidenzialità, sponiamo 1 rispetto vere integrità, al e furto proprie delle sponibilità. informazioni presenti in informazioni Tabella sulla 3. situazione finanziaria aziendale.( tra l'altro, non sembra tanto buona...) ci induce a Tabella 3: Informazioni elaborate mettere in atto qual azione recupero creti. Malgrado Proprio per questa i fondamentali fferenza In risvolti concettualmente termini pratici sicurezza informatica, assume, importante, è la ben sicurezza nell'uso verso il corrente furto delle dei dati informazioni i termini riportati dati tabella è oggetto e Tabella informazioni 1 rispetto numerosi sono al furto usati stu pressoché e ricer. infferentemente. Il documento delle informazioni In riferimento questo presenti IBUQ in Tabella ci adegueremo ha 3. strutturato a questa l'argomento, prassi, tranne è ISO/IEC in casi 27002:2013 specifici. Information Comprendere technology - Malgrado Security questa le caratteristi techniques fferenza concettualmente - Code fondamentali of importante, practice nell'uso for corrente della information i termini dati sicurezza security e informazioni delle controls sono usati pressoché infferentemente. In questo IBUQ ci adegueremo a questa prassi, tranne in casi specifici. informazioni, quali ( Comprendere le caratteristi fondamentali della sicurezza Questo delle documento informazioni, propone quali confidenzialità, il modello integrità, CID confidenzialità, integrità, sponibilità sponibilità. (Confidenzialità, Integrità, Disponibilità), in inglese CIA (Confidentiality, Integrity, Availability) Comprendere le caratteristi fondamentali della sicurezza delle informazioni, quali confidenzialità, integrità, sponibilità. Proprio Le tre linee per i proposte fondamentali da questo risvolti pratici modello, venute assume, ormai la sicurezza standard delle si informazioni ritrovano spesso è oggetto nelle politi numerosi stu sicurezza e ricer. informatica Il documento e hanno trovato riferimento riscontro nelle sposizioni ha strutturato legge: l'argomento, è ISO/IEC 27002:2013 Information confidenzialità: technology le informazioni - Security devono techniques essere - protette Code per of practice impere for accessi information e utilizzo security a persone controls non ( autorizzate. Le stesse autorizzazioni accesso Questo devono documento essere limitate propone alle effettive il modello necessità CID consultazione e elaborazione. (Confidenzialità, In un'azienda, Integrità, Disponibilità), ovviamente, in inglese tutte CIA le (Confidentiality, informazioni Integrity, devono Availability). (Confidenzialità, Integrità, Disponibilità), in inglese CIA (Confidentiality, Integrity, Availability). essere protette da accessi non autorizzati, interni o esterni siano. Inoltre, devono essere previsti sistemi autorizzazioni Le per tre limitare linee proposte gli accessi da alle questo sicurezza varie modello, informatica categorie e venute hanno informazioni trovato ormai riscontro standard agli nelle addetti sposizioni si ritrovano legge: ne hanno spesso l'effettiva nelle politi necessità. sicurezza Per esempio, informatica gli addetti e hanno alla trovato produzione, riscontro nelle per la sposizioni loro attività non legge: hanno la necessità accedere ai dati confidenzialità: contabili dei clienti, le informazioni non devono potervi devono accedere. essere protette per impere accessi e utilizzo a persone non autorizzate. Le stesse autorizzazioni accesso devono essere limitate alle effettive necessità consultazione e elaborazione. In un'azienda, ovviamente, tutte le informazioni devono essere protette da Realizzato accessi non esclusivamente autorizzati, interni per GABRIELE TOMASI - SKILL on LINE contabili o esterni dei clienti, non siano. devono potervi Inoltre, accedere. devono essere previsti sistemi autorizzazioni per limitare gli accessi alle varie categorie informazioni agli addetti ne hanno l'effettiva necessità. Per esempio, gli addetti alla Realizzato produzione, esclusivamente per per la GABRIELE loro attività TOMASI non - SKILL hanno on la LINE necessità accedere ai dati contabili dei clienti, non devono potervi accedere. Proprio per i fondamentali risvolti pratici assume, la sicurezza delle informazioni è oggetto numerosi stu e ricer. Il documento riferimento ha strutturato l'argomento, è ISO/IEC 27002:2013 Information technology - Security techniques - Code of practice for information security controls ( Questo documento propone il modello CID Le tre linee proposte da questo modello, venute ormai standard si ritrovano spesso nelle politi confidenzialità: le informazioni devono essere protette per impere accessi e utilizzo a persone non autorizzate. Le stesse autorizzazioni accesso devono essere limitate alle effettive necessità consultazione e elaborazione. In un'azienda, ovviamente, tutte le informazioni devono essere protette da accessi non autorizzati, interni o esterni siano. Inoltre, devono essere previsti sistemi autorizzazioni per limitare gli accessi alle varie categorie informazioni agli addetti ne hanno l'effettiva necessità. Per esempio, gli addetti alla produzione, per la loro attività non hanno la necessità accedere ai dati Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE Copyright AICA

7 Sergio Margarita - Nuova ECDL e Open Source 3 integrità: nello stesso modo in cui la consultazione delle informazioni deve essere controllata, deve essere assicurata la conservazione delle informazioni nel loro stato corretto, senza vi sia la possibilità moficarle, cancellarle o aggiungerne in modo improprio, accidentalmente, o volontariamente. Questa alterazione deve essere impeta sia per i dati memorizzati nel sistema, sia per i dati trasmessi. Per esempio, in occasione dell'invio un messaggio posta elettronica, deve (dovrebbe) essere garantito il contenuto del messaggio, compresi gli allegati, giunge al destinatario sia lo stesso quello inviato dal mittente. sponibilità: così come le informazioni non devono essere accessibili a chi non è autorizzato, devono essere rese sponibili a chi è autorizzato in modo efficace e tempestivo. Questa caratteristica deve essere garantita sia nell'operatività ornaria (affidabilità dell'hardware e del software, garanzia accesso,...), sia in seguito a fatti accidentali (guasto, malfunzionamento, cancellazione involontaria dati), sia in caso azioni dolose (danneggiamento alle apparecchiature, furto spositivi o dati). In tutti i casi, il ripristino della funzionalità del sistema informatico deve avvenire in tempi brevi. 5 Il rispetto queste caratteristi nella messa in opera politi sicurezza coinvolge aspetti tecnici organizzativi e legali, spesso complessi vanno analizzati caso per caso. Ma, lo vogliamo ripetere, coinvolge aspetti non tecnici vanno affrontati con opportuna sensibilizzazione e formazione del personale. Va inoltre detto nessuna misura sicurezza elimina completamente i rischi. Si parla quin riduzione a livelli accettabili del rischio, livelli da definire tramite un'analisi dei rischi e in funzione del costo accettabile delle misure sicurezza, dal punto visto economico e organizzativo. C'è poi sempre la possibilità seguire il consiglio questa citazione per impostare le misure sicurezza (tratta e liberamente tradotta da "L'unico sistema veramente sicuro è quello spento, sigillato in un blocco cemento e chiuso in una stanza blindata sorvegliata da guare armate - e an così ho dei dubbi". Prof. Eugene Spafford, Purdue University Comprendere i motivi per proteggere le informazioni personali, quali evitare il furto identità o le fro. Nell'IBUQ ECDL Online Essentials sono illustrati i principali servizi sponibili oggi su Internet, sempre più numerosi e sempre più adoperati da privati e aziende, Rari sono quelli non hanno mai adoperato l'ecommerce per comprare un biglietto, un libro o qual bene o servizio oppure quelli non usano l'ebanking per effettuare la maggior parte delle operazioni con la propria banca tramite Internet. Tutti servizi hanno a fare con pagamenti e richiedono l'identificazione dell'utente e soprattutto l'inserimento Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE Copyright AICA

8 6 Comprendere Sergio Margarita - i Nuova motivi ECDL per e Open proteggere Source le informazioni 4 personali, quali evitare il furto identità o le fro informazioni utili per il pagamento (tipicamente i dati della propria carta creto). Per Sergio la maggior Margarita parte - Nuova delle transazioni ECDL e Open sono Source previste misure sicurezza 4 sempre più efficaci ma an gli attacchi e le tecni per carpire informazioni sono sempre più numerose ed efficaci. E' facile intuire quanto informazioni sia pericoloso utili furto per il pagamento informazioni (tipicamente il cui uso possa i dati portare della propria ad una carta perta creto). denaro. Per Ma il la furto maggior delle parte sole credenziali delle transazioni accesso sono previste alla propria misure casella sicurezza posta elettronica sempre più o efficaci alla rete ma sociale an gli attacchi utilizziamo e le può tecni arrecarci per danni carpire significativi, informazioni an sono se sempre questo più non numerose ha un immeato efficaci. riflesso E' facile economico. intuire quanto Furti sia identità pericoloso (approfonto il furto informazioni al punto successivo), il cui uso possa fro, portare danneggiamento ad una perta della propria denaro. immagine o della propria Ma reputazione il furto delle sono sole rischi credenziali cui ci dobbiamo accesso rendere alla propria conto casella e dobbiamo posta elettronica prendere o in alla considerazione. rete sociale Un utilizziamo uso sicuro può Internet arrecarci e dei danni suoi significativi, servizi basa an quin se questo sulla conoscenza non ha un immeato questi rischi riflesso frode economico. e furto Furti identità identità per (approfonto ridurre i quali al è punto fondamentale successivo), tenere fro, riservate danneggiamento e protette queste della informazioni propria immagine personali. o della propria reputazione Un'attenzione sono particolare rischi a cui queste ci dobbiamo problemati rendere deve conto essere e dobbiamo posta dalle prendere aziende, in ancora considerazione. più Un dai uso privati. sicuro Per questo Internet le riprenderemo e dei suoi servizi nella si parte basa finale quin decata sulla conoscenza alle aziende, al questi punto rischi frode e furto identità per ridurre i quali è fondamentale tenere riservate e protette queste informazioni personali Comprendere il termine furto identità e sue implicazioni personali, finanziarie, lavorative, legali. Un'attenzione particolare a queste problemati deve essere posta dalle aziende, ancora più dai privati. Per Il furto identità Comprendere questo le riprenderemo è un tema il portata termine nella parte generale, furto finale decata ha dei identità alle aziende, risvolti informatici e le al sue punto particolarmente implicazioni importanti. personali, A finanziarie, livello Comprendere generale, il il furto termine furto identità identità (o più e propriamente le sue implicazioni usurpazione personali, lavorative, finanziarie, identità) legali lavorative, consiste legali. nel fatto utilizzare l'identità un'altra persona con lo scopo compiere degli atti fraudolenti natura commerciale, civile o Il penale, furto come identità se li è avesse un tema compiuti portata lei. generale, ha dei risvolti informatici particolarmente importanti. A livello An generale, se, ancora il furto oggi, le identità statisti (o più realizzate propriamente dagli usurpazione organismi controllo identità) e consiste repressione nel fatto mostrano utilizzare l'identità sono prevalenti un'altra i furti persona identità con lo non scopo informatici compiere (furto degli documenti atti fraudolenti identità natura cartacei, commerciale, falsificazione civile o penale, documenti come cartacei, se li avesse...), i furti compiuti identità lei. coinvolgono strumenti informatici sono sempre più frequenti. An Il furto se, identità ancora si oggi, basa le quin statisti sull'acquisizione realizzate da dagli parte organismi del ladro controllo informazioni e repressione su una persona mostrano per potersi sono sostituire prevalenti ad essa i furti e far ricadere identità su non informatici essa i rischi (furto e le conseguenze documenti negative identità cartacei, degli atti falsificazione esso vuole documenti compiere. Non cartacei, bisogna...), i pensare furti identità abbiano coinvolgono valore solo strumenti informazioni informatici riservate, sono sempre protette più e spesso frequenti. tenute Il segrete. furto I identità furti si identità basa quin organizzati sull'acquisizione hanno sempre da parte una del fase ladro iniziale informazioni cui il ladro su una acquisisce persona informazioni per potersi sostituire apparentemente ad essa pubbli e far ricadere e scarsa su rilevanza essa i rischi (ma sempre e le conseguenze personali): nome, negative cognome, degli atti inrizzo, esso numeri vuole compiere. telefono, data Non e bisogna luogo nascita, pensare coce abbiano fiscale, valore composizione solo informazioni della famiglia riservate, e dati personali protette e dei spesso membri tenute della segrete. famiglia, I nomi furti degli identità animali organizzati compagnia hanno (!), sempre luogo una lavoro fase e iniziale nome del in cui datore il ladro lavoro, acquisisce hobby, informazioni... Per poi apparentemente passare a dati più pubbli rilevanti quali e scarsa inrizzi rilevanza mail, identificativi (ma sempre servizi personali): Internet, nome, nome cognome, della banca, inrizzo, numero numeri della telefono, carta creto. data e luogo Per poi nascita, proseguire coce la fiscale, raccolta composizione con informazioni della famiglia riservate e quali dati personali password dei membri accesso della e famiglia, compiere nomi effettivamente degli animali alla fine compagnia questo (!), percorso luogo le azioni lavoro fraudolenti. e nome del datore lavoro, hobby,... Per poi passare a dati più rilevanti quali inrizzi mail, identificativi servizi Internet, nome della banca, numero della carta creto. Per poi proseguire la raccolta con informazioni riservate quali password accesso e Copyright AICA compiere effettivamente alla fine questo percorso le azioni fraudolenti. Realizzato esclusivamente per AICA - Associazione Italiana per l'informatica ed il Calcolo Automatico

9 1.3.3 Comprendere il termine furto identità e le sue implicazioni personali, finanziarie, lavorative, legali. Il furto identità è un tema portata generale, ha dei risvolti informatici particolarmente importanti. A livello generale, il furto identità (o più propriamente usurpazione identità) consiste nel fatto utilizzare l'identità un'altra persona con lo scopo compiere degli atti fraudolenti natura commerciale, civile o penale, come se li avesse compiuti lei. An se, ancora oggi, le statisti realizzate dagli organismi controllo e repressione mostrano sono prevalenti i furti identità non informatici (furto documenti identità cartacei, falsificazione documenti cartacei,...), i furti identità coinvolgono strumenti informatici sono sempre più frequenti. Il furto identità si basa quin sull'acquisizione da parte del ladro informazioni su una persona per potersi sostituire ad essa e far ricadere su essa i rischi e le conseguenze negative degli atti esso vuole compiere. Non bisogna pensare abbiano valore solo informazioni riservate, protette e spesso tenute 7 segrete. I furti identità organizzati hanno sempre una fase iniziale in cui il ladro acquisisce informazioni apparentemente pubbli e scarsa rilevanza (ma sempre personali): nome, cognome, inrizzo, numeri telefono, data e luogo nascita, coce fiscale, composizione della famiglia e dati personali dei membri della famiglia, nomi degli animali compagnia (!), luogo lavoro e nome del datore lavoro, hobby,... Per poi passare a dati più rilevanti quali inrizzi mail, identificativi servizi Internet, nome della banca, numero della Sergio Sergio Margarita Margarita - Nuova Nuova ECDL ECDL e Open Open Source Source 6 IT IT Security Security carta creto. Per poi proseguire la raccolta con informazioni riservate quali password accesso e compiere effettivamente alla fine questo percorso le azioni fraudolenti. Il Il processo processo raccolta raccolta delle delle informazioni informazioni pende pende ovviamente ovviamente dalla dalla natura natura dell'azione dell'azione illegale illegale il il ladro ladro vuole vuole compiere, compiere, non non trattandosi trattandosi sempre sempre furto furto somme somme denaro denaro ma ma azioni azioni vario vario genere: genere: poter poter documentare documentare plomi mai conseguiti, sembrare in posizione regolare per l'immigrazione senza esserlo Realizzato realmente, guidare esclusivamente plomi mai conseguiti, un veicolo per senza GABRIELE sembrare averne realmente TOMASI in posizione - l'abilitazione, SKILL on regolare LINE per l'immigrazione senza esserlo... realmente, guidare un veicolo senza averne realmente l'abilitazione, Identificare le misure le per misure prevenire accessi per prevenire non autorizzati ai accessi dati, quali non cifratura, autorizzati password Identificare le misure per prevenire accessi non autorizzati ai dati, quali cifratura, password ai dati, quali cifratura, password Possiamo classificare in due famiglie le misure destinate prevenire accessi non autorizzati ai dati, verse Possiamo classificare in due famiglie le misure destinate a prevenire accessi non autorizzati ai dati, verse per obiettivi finalità: per obiettivi e finalità: impere l'accesso non autorizzato ai dati. Queste misure sono basilari irrinunciabili ma non sempre impere l'accesso non autorizzato ai dati. Queste misure sono basilari e irrinunciabili ma non sempre hanno un elevato livello sicurezza: sono tipicamente l'uso delle credenziali autenticazione, in hanno un elevato livello sicurezza: sono tipicamente l'uso delle credenziali autenticazione, in generale la password, usate per limitare l'accesso ai soli utenti registrati hanno la responsabilità della generale la password, usate per limitare l'accesso ai soli utenti registrati hanno la responsabilità della non vulgazione della stessa. All'uso della password si affiancano le misure minime sicurezza quali il non vulgazione della stessa. All'uso della password si affiancano le misure minime sicurezza quali il blocco della propria postazione lavoro in caso assenza, la custoa della password,... La password blocco della propria postazione lavoro in caso assenza, la custoa della password,... La password costituisce però una misura sicurezza debole richiede l'attivazione misure altro tipo per costituisce però una misura sicurezza debole richiede l'attivazione misure altro tipo per impere l'utilizzo dei dati da parte un ladro sia riuscito ad impadronirsene. impere l'utilizzo dei dati da parte un ladro sia riuscito ad impadronirsene. impere l'utilizzo dei dati in caso furto dati. se non bastata la password ma sono stati rubati dati, impere l'utilizzo dei dati in caso furto dati. E se non è bastata la password ma sono stati rubati i dati, per esempio asportando un sco rubando un portatile? dati non potranno essere utilizzati dal ladro se per esempio asportando un sco o rubando un portatile? I dati non potranno essere utilizzati dal ladro se saranno stati cifrati (detti an crittografati) prima registrarli sul sco. In questo caso, an inserendo saranno il sco in stati un cifrati altro (detti computer an crittografati) vanificando prima così la protezione registrarli sul offerta sco. dalla In questo password caso, an non inserendo possibile il accedere sco in ai un dati altro senza computer sporre - della vanificando chiave usata così la nella protezione cifratura. offerta dalla password - non è possibile accedere ai dati senza sporre della chiave usata nella cifratura. La Notizia La Notizia Copyright AICA luglio 2014

10 impere l'accesso non autorizzato ai dati. Queste misure sono basilari e irrinunciabili ma non sempre hanno un elevato livello sicurezza: sono tipicamente l'uso delle credenziali autenticazione, in generale la password, usate per limitare l'accesso ai soli utenti registrati hanno la responsabilità della non vulgazione della stessa. All'uso della password si affiancano le misure minime sicurezza quali il blocco della propria postazione lavoro in caso assenza, la custoa della password,... La password costituisce però una misura sicurezza debole richiede l'attivazione misure altro tipo per impere l'utilizzo dei dati da parte un ladro sia riuscito ad impadronirsene. impere l'utilizzo dei dati in caso furto dati. E se non è bastata la password ma sono stati rubati i dati, per esempio asportando un sco o rubando un portatile? I dati non potranno essere utilizzati dal ladro se saranno stati cifrati (detti an crittografati) prima registrarli sul sco. In questo caso, an inserendo il sco in un altro computer - vanificando così la protezione offerta dalla password - non è possibile accedere ai dati senza sporre della chiave usata nella cifratura. 8 La Notizia 24 luglio 2014 La BCE (Banca Centrale Europea) riconosce un furto dati dai propri sistemi informatici consentito da una falla sicurezza in un database supporto al suo sito web. Sergio Margarita - Nuova ECDL e Open Source 8 Sergio Margarita - Nuova ECDL e Open Source 8 Per farsi riconoscere da un sistema informatico e poter accedere ai dati, la password può essere affiancata o Per sostituita farsi riconoscere da altri sistemi da un protezione, sistema informatico più sicuri, e per poter esempio accedere un ai badge dati, la personale password da può inserire essere in affiancata un apposito o sostituita lettore. In da questo altri sistemi caso, non protezione, basta la conoscenza più sicuri, per della esempio password un badge ma occorre personale duplicare da inserire (in gergo, in un clonare) apposito o lettore. Realizzato rubare fisicamente In questo esclusivamente caso, il spositivo. non basta per GABRIELE la conoscenza TOMASI della - password SKILL on ma LINE occorre duplicare (in gergo, clonare) o rubare fisicamente il spositivo. An questo tema verrà ripreso nella parte finale decata alle imprese al punto An questo tema verrà ripreso nella parte finale decata alle imprese al punto Comprendere i vantaggi e i limiti della Comprendere cifratura. i vantaggi e i limiti della cifratura Comprendere i vantaggi e i limiti della cifratura. Si parla cifratura non soltanto per la registrazione dei dati su supporto memorizzazione, ma an a Si proposito parla della cifratura trasmissione non soltanto informazioni. per la registrazione In questo dei caso dati la trasmissione su supporto informazioni memorizzazione, avviene ma in an quattro a proposito passi: della trasmissione informazioni. In questo caso la trasmissione informazioni avviene in quattro passi: 1. cofica da parte del mittente dell'informazione da trasmettere cofica invio dell'informazione da parte mittente cifrata dell'informazione da trasmettere invio ricezione dell'informazione cifrata cifrata da parte del destinatario ricezione decofica dell'informazione cifrata ricevuta. da parte del destinatario 4. decofica dell'informazione ricevuta. Un sistema oggi largamente utilizzato è quello prende il nome Crittografia asimmetrica (o crittografia a Un chiave sistema pubblica). oggi largamente Senza entrare utilizzato nei dettagli è quello tecnici, prende ci limitiamo il nome a re Crittografia : asimmetrica (o crittografia a chiave ognuno pubblica). dei due Senza interlocutori entrare spone nei dettagli due tecnici, chiavici limitiamo a re : ognuno una chiave dei due pubblica, interlocutori deve spone ffondere, due chiavi utilizzata da chi vuole mandargli informazioni, per criptarle pubblica, deve ffondere, utilizzata da chi vuole mandargli informazioni, per criptarle una chiave privata, segreta, utilizzata dal destinatario per decoficare le ricevute Copyright AICA il mittente una chiave utilizza privata, la chiave segreta, pubblica utilizzata del dal destinatario destinatario per per coficare decoficare le informazioni le informazioni da spergli ricevute il mittente destinatario utilizza utilizza la chiave la propria pubblica chiave del privata destinatario per decoficare per coficare le informazioni le informazioni ricevute da spergli

11 proposito della trasmissione informazioni. In questo caso la trasmissione informazioni avviene in quattro passi: 1. cofica da parte del mittente dell'informazione da trasmettere 2. invio dell'informazione cifrata 3. ricezione dell'informazione cifrata da parte del destinatario 4. decofica dell'informazione ricevuta. Un sistema oggi largamente utilizzato è quello prende il nome Crittografia asimmetrica (o crittografia a chiave pubblica). Senza entrare nei dettagli tecnici, ci limitiamo a re : ognuno dei due interlocutori spone due chiavi una chiave pubblica, deve ffondere, utilizzata da chi vuole mandargli informazioni, per criptarle una chiave privata, segreta, utilizzata dal destinatario per decoficare le informazioni ricevute il mittente utilizza la chiave pubblica del destinatario per coficare le informazioni da spergli il destinatario utilizza la propria chiave privata per decoficare le informazioni ricevute la chiave privata non ha bisogno essere scambiata, in quanto non serve nella cifratura, consentendo un'ulteriore riduzione dei rischi. 9 In sintesi, nel caso trasmissione, la cifratura rende molto fficile la lettura dei dati in caso intercettazione. Nel caso cifratura file su supporto memorizzazione, l'accesso ai dati e il loro utilizzo è possibile solo a chi spone della chiave cofica. In caso furto del file, il ladro non potrà leggere immeatamente i dati. Ma attenzione, la cifratura non è per sé una panacea. Nei casi in cui la cifratura file non avviene automaticamente ma ad opera dell'utente (si pensi per esempio alla cifratura documenti LibreOffice, come Sergio descritto Margarita successivamente - Nuova ECDL al punto e Open 1.4.2), Source essa presenta due limiti dei 9 quali tener conto: Realizzato in caso esclusivamente smarrimento della per chiave GABRIELE nemmeno TOMASI il legittimo - SKILL proprietario on LINE può acceder ai propri dati. La chiave o password permette decoficare il file deve quin essere custota in modo da non compromettere la sponibilità dei dati (una delle caratteristi fondamentali della sicurezza informatica) ma ovviamente in modo riservato il livello sicurezza pende dalla scelta da parte dell'utente della chiave o password cofica. Se l'utente sbrigativo non rispetta le buone politi per le password (illustrate al punto 3.4.2), il file è facilmente decoficabile da parte qual malintenzionato ne venisse in possesso. Lo stesso casi se non si rispettano le norme elementari sicurezza per far conoscere la chiave al destinatario. Ricreazione Vi incuriosisce la crittografia? Due suggerimenti brevi letture: informazioni sulla "nonna" dei spositivi crittografia, la macchina Enigma: la crittografia resa semplice: La macchina Enigma Copyright AICA Così come si osserva una rincorsa fra creatori virus e produttori antivirus, in modo simile si scute sull'inviolabilità delle tecni crittografia e periocamente vengono scoperti meto decofica

12 10 Vi incuriosisce la crittografia? Due suggerimenti Ricreazione brevi letture: informazioni sulla "nonna" dei spositivi crittografia, la macchina Enigma: Vi incuriosisce la crittografia? Due suggerimenti brevi letture: informazioni la crittografia sulla resa semplice: "nonna" dei spositivi crittografia, la macchina Enigma: La macchina Enigma la crittografia resa semplice: La macchina Enigma Così come si osserva una rincorsa fra creatori virus e produttori antivirus, in modo simile si scute sull'inviolabilità delle tecni crittografia e periocamente vengono scoperti meto decofica Così rendono come inutili si osserva sistemi una cifratura rincorsa ritenuti fra creatori fino ad ora virus sicurissimi. e produttori antivirus, in modo simile si scute sull'inviolabilità delle tecni crittografia e periocamente vengono scoperti meto decofica rendono L'importanza inutili della sistemi sicurezza cifratura informatica ritenuti fino è stata ad ora recepita sicurissimi. dal legislatore italiano già da versi anni. Si sono susseguite sposizioni legge in materia Tutela dei dati personali (detta privacy) definivano norme L'importanza minime sicurezza della sicurezza e incitavano informatica imprese è stata e privati recepita a dal mettere legislatore in pratica italiano comportamenti già da versi e anni. regole Si sono per susseguite proteggere dati sposizioni personali e legge dati sensibili, in materia in particolare Tutela dei se dati gestiti personali tramite (detta strumenti privacy) informatici. definivano norme minime sicurezza e incitavano imprese e privati a mettere in pratica comportamenti e regole per proteggere Identificare i requisiti principali per la protezione, conservazione e controllo dati/privacy si applicano in Italia. dati personali i requisiti e dati sensibili, principali in particolare per la gestiti protezione, tramite strumenti conservazione informatici. e controllo dati/privacy Il Testo Identificare unico sulla i requisiti privacy principali (D.Lgs per 196/2003) la protezione, e successive conservazione si mofi applicano e controllo (per dati/privacy esempio in Italia il Decreto si applicano Legge in n. Italia. 5 del 9 febbraio 2012 convertito nella Legge n.35 del 4 aprile 2012) è lo strumento tutela i dati personali dei Il cittani Testo unico italiani, sulla dentro privacy e fuori (D.Lgs Internet. 196/2003) Il decreto e successive è entrato mofi in vigore (per il esempio 1 gennaio il Decreto 2004 ed Legge è il testo n. 5 del 9 riferimento febbraio 2012 in merito convertito alla protezione nella Legge dei dati n.35 personali del 4 aprile in Italia. 2012) Le è finalità lo strumento della norma tutela sono i illustrate dati personali all'art 2: dei cittani 1. Il presente italiani, testo dentro unico, e fuori seguito Internet. denominato Il decreto "coce", è entrato garantisce in vigore il il 1 trattamento gennaio 2004 dei dati ed è personali il testo si riferimento svolga nel in merito rispetto alla dei protezione ritti e dei delle dati libertà personali fondamentali, in Italia. Le finalità nonché della della norma gnità sono dell'interessato, illustrate all'art con 2: 1. Sergio Il presente Margarita testo unico, - Nuova seguito ECDL e denominato Open Source "coce", garantisce 10il trattamento dei dati personali si svolga nel rispetto dei ritti e delle libertà fondamentali, nonché della gnità dell'interessato, con Realizzato particolare esclusivamente riferimento alla per riservatezza, GABRIELE all'identità TOMASI personale - SKILL on e al LINE ritto alla protezione dei dati personali. 2. Il trattamento dei dati personali è sciplinato assicurando un elevato livello tutela dei ritti e delle Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE libertà cui al comma 1 nel rispetto dei principi semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l'adempimento degli obblighi da parte dei titolari del trattamento. L'art 3 del Coce unico contiene l'elenco delle definizioni adottate dalla legge. Vale la pena soffermarsi su alcune queste: "trattamento" qualunque operazione o complesso operazioni, effettuati an senza l'ausilio strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la moficazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la ffusione, la cancellazione e la struzione dati, an se non registrati in una banca dati; dato personale", qualunque informazione relativa a persona fisica, persona giurica, ente od associazione, identificati o identificabili, an inrettamente, meante riferimento a qualsiasi altra informazione, ivi compreso un numero identificazione personale. "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofi o altro genere, le opinioni politi, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato salute e la vita sessuale; "titolare", la persona fisica, la persona giurica, la pubblica amministrazione e qualsiasi altro ente, Copyright AICA

13 L'art 3 del Coce unico contiene l'elenco delle definizioni adottate dalla legge. Vale la pena soffermarsi su alcune queste: "trattamento" qualunque operazione o complesso operazioni, effettuati an senza l'ausilio strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la moficazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la ffusione, la cancellazione e la struzione dati, an se non registrati in una banca dati; dato personale", qualunque informazione relativa a persona fisica, persona giurica, ente od associazione, identificati o identificabili, an inrettamente, meante riferimento a qualsiasi altra informazione, ivi compreso un numero identificazione personale. "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofi o altro genere, le opinioni politi, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato salute e la vita sessuale; "titolare", la persona fisica, la persona giurica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, an unitamente ad altro titolare, le decisioni in orne alle finalita', alle modalita' del trattamento dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza "responsabile", la persona fisica, la persona giurica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dati personali; "incaricati", le persone fisi autorizzate a compiere operazioni trattamento dal titolare o dal responsabile; "interessato", la persona fisica, la persona giurica, l'ente o l'associazione cui si riferiscono i dati personali. 11 L'interessato, cioè colui a cui si riferiscono i dati personali, ha ritto: essere informato sull'esistenza dati personali e averne comunicazione in forma intellegibile (art 7, Sergio comma Margarita 1) - Nuova ECDL e Open Source 11 conoscere l'origine tali dati, le finalità e modalità del trattamento, gli estremi del titolare del trattamento e i soggetti ai quali possono essere comunicati tali dati (art. 7, comma 2) Realizzato ottenere esclusivamente cancellazione, aggiornamento, per GABRIELE rettifica TOMASI e integrazione - SKILL LINE dei dati (art. 7, comma 3) opporsi, per motivi legittimi, al trattamento dei propri dati e in particolare al trattamento dati personali lo riguardano a fini invio materiale pubblicitario o venta retta o per il compimento ricer mercato o comunicazione commerciale. (art. 7, comma 4). La gestione dei dati personali è una questione molto delicata, tanto da essere regolata in modo puntuale da specifi norme. In ottemperanza a quanto previsto dal Testo Unico della Privacy, il titolare del trattamento deve informare l'interessato, per quanto riguarda: il motivo, le finalità e le modalità della raccolta l'obbligatorietà della raccolta e le conseguenze in caso rifiuto i soggetti terzi a cui potrebbero essere comunicati i suoi dati gli estremi del titolare del trattamento e a chi rivolgersi per l'esercizio dei suoi ritti. Di norma il trattamento può avvenire solo previo consenso dell'interessato, salvo : si tratti un obbligo giurico (come nel caso alberghi e pensioni devono trasmettere alla questura i dati del cliente) Copyright AICA

14 trattamento e i soggetti ai quali possono essere comunicati tali dati (art. 7, comma 2) ottenere cancellazione, aggiornamento, rettifica e integrazione dei dati (art. 7, comma 3) opporsi, per motivi legittimi, al trattamento dei propri dati e in particolare al trattamento dati personali lo riguardano a fini invio materiale pubblicitario o venta retta o per il compimento ricer mercato o comunicazione commerciale. (art. 7, comma 4). 12 La gestione dei dati personali è una questione molto delicata, tanto da essere regolata in modo puntuale da specifi norme. In ottemperanza a quanto previsto dal Testo Unico della Privacy, il titolare del trattamento deve informare l'interessato, per quanto riguarda: il motivo, le finalità e le modalità della raccolta l'obbligatorietà della raccolta e le conseguenze in caso rifiuto i soggetti terzi a cui potrebbero essere comunicati i suoi dati gli estremi del titolare del trattamento e a chi rivolgersi per l'esercizio dei suoi ritti. Di norma il trattamento può avvenire solo previo consenso dell'interessato, salvo : si tratti un obbligo giurico (come nel caso alberghi e pensioni devono trasmettere alla questura i dati del cliente) sia necessario per la salvaguara della vita e dell'incolumità dell'interessato (ad esempio per ricoveri urgenti in ospedali) sia necessario per fendere propri ritti in sede giuziaria. Citando il Garante per la protezione dei dati personali, il consenso è: La libera manifestazione volontà dell'interessato con cui questi accetta espressamente un determinato trattamento dei suoi dati personali, del quale è stato preventivamente informato da chi ha un potere decisionale sul trattamento (ve titolare ). È sufficiente il consenso sia "documentato" in forma scritta (ossia annotato, trascritto, riportato dal titolare o dal responsabile o da un incaricato del trattamento su un registro o un atto o un verbale), a meno il trattamento riguar dati "sensibili"; in questo caso occorre il consenso rilasciato per iscritto dall'interessato (ad es., con la sua sottoscrizione). Dal punto vista tecnico, altre precisazioni dettate dalla legge riguardano: la gestione delle credenziali autenticazione Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE Copyright AICA

15 Leggere il testo dell'allegato B - Disciplinare tecnico in materia misure minime sicurezza fornisce utili incazioni sugli aspetti informatici Il Il quadro riferimento normativo normativo europeo europeo originario originario è la la Direttiva Direttiva 95/46/CE 95/46/CE del del Parlamento Parlamento Europeo Europeo e del del Consiglio Consiglio Il quadro Sergio Margarita del del riferimento ottobre ottobre - Nuova normativo ECDL relativa relativa europeo e Open alla alla originario tutela tutela Source delle delle è persone persone la Direttiva fisi fisi 95/46/CE con con 12 riguardo riguardo del Parlamento al al trattamento trattamento Europeo dei dei e dati dati del personali, personali, Consiglio del nonché nonché 24 ottobre alla alla libera libera 1995 relativa circolazione circolazione alla tutela tali tali delle dati. dati. persone Il Il fisi marzo marzo con riguardo è stato stato al approvato approvato trattamento il il dei nuovo nuovo dati Regolamento Regolamento personali, il formato nonché delle sullo sullo password alla stesso stesso libera tema tema circolazione tiene tiene conto conto tali dati. delle delle Il nuove nuove 12 marzo esigenze esigenze 2014 emerse emerse è stato dal dal approvato ad ad il oggi. oggi. nuovo A completamento completamento Regolamento sullo del il salvataggio e del stesso quadro ripristino quadro tema normativo, dei normativo, tiene entro dati entro conto il il delle dovrebbe dovrebbe nuove essere essere esigenze emanata emanata emerse an an dal 1995 la la Direttiva Direttiva ad oggi. A sciplina sciplina completamento la la protezione la materia materia del quadro per contro per finalità l'intrusione finalità normativo, polizia e polizia entro e il malware giustizia giustizia il 2014 ossia ossia dovrebbe "il "il trattamento trattamento essere emanata dei dei dati dati personali personali an la da da Direttiva parte parte delle delle autorità autorità sciplina competenti la periocità competenti la materia a aggiornamento per fini fini finalità prevenzione, prevenzione, polizia indagine, degli strumenti indagine, e giustizia accertamento protezione accertamento ossia "il trattamento e dei dati. perseguimento perseguimento dei dati personali reati reati o da esecuzione esecuzione parte delle sanzioni sanzioni autorità competenti penali". penali". a fini prevenzione, indagine, accertamento e perseguimento reati o esecuzione sanzioni penali". L'estrema L'estrema attenzione attenzione portata portata alla alla sicurezza sicurezza informatica informatica è dovuta dovuta an an alla alla pericolosità pericolosità delle delle azioni azioni fraudolenti L'estrema attenzione Esercizio 13 fraudolenti si si possono portata possono compiere alla sicurezza compiere attraverso informatica attraverso gli gli strumenti è dovuta strumenti informatici an informatici e alla alla gravità pericolosità gravità dei dei reati delle reati azioni ne ne derivano. fraudolenti derivano. Tant'è si Tant'è possono si si parla compiere parla ormai ormai veri attraverso veri e propri gli propri crimini strumenti crimini informatici. informatici informatici. Vedremo e alla Vedremo quin gravità quin in in questo dei reati questo IBUQ IBUQ cosa ne cosa rischiano derivano. rischiano i Tant'è nostri nostri Leggere dati dati e si il cosa parla cosa testo rischiamo ormai veri rischiamo dell'allegato noi noi se e propri se B - siamo crimini siamo Disciplinare oggetto informatici. tecnico questi in crimini. Vedremo quin in questo IBUQ cosa materia misure minime rischiano i nostri dati e cosa rischiamo noi se siamo oggetto questi crimini. sicurezza fornisce utili Comprendere incazioni sugli aspetti il termine informatici Comprendere il termine crimine informatico. crimine informatico Comprendere il il termine crimine informatico. Dando per scontato il significato "crimine", possiamo concentrarci sulle caratteristi specifi del Dando per scontato il significato "crimine", possiamo concentrarci sulle caratteristi specifi del crimine informatico. Con crimine informatico, si intende un atto illecito realizzato attraverso l'uso (improprio) crimine informatico. Con crimine informatico, si intende un atto illecito realizzato attraverso l'uso (improprio) Il quadro strumenti riferimento informatici, normativo siano essi europeo locali (un originario personal è la computer, Direttiva un 95/46/CE spositivo del Parlamento elettronico) Europeo oppure remoti strumenti informatici, siano essi locali (un personal computer, un spositivo elettronico) oppure remoti e del (una Consiglio (una rete rete del computer computer 24 ottobre o Internet Internet 1995 relativa stesso). stesso). alla Essere Essere tutela vittima vittima delle persone un un crimine crimine fisi informatico informatico con riguardo è uno uno al trattamento dei dei rischi rischi ai ai dei quali quali dati è Sergio soggetto personali, Sergio Margarita soggetto l'utente Margarita - l'utente nonché sistemi alla Nuova Nuova sistemi libera informatici. ECDL ECDL circolazione e Open Open informatici. Ma Ma chi Source Source chi oggi oggi tali non non dati. è utente utente Il 12 marzo sistemi sistemi o strumenti strumenti è stato informatici? informatici? approvato il nuovo IT IT Security Security Regolamento sullo stesso tema tiene conto delle nuove esigenze emerse dal 1995 ad oggi. A Anticipiamo Di completamento crimini informatico tratteremo del quadro in normativo, in tutto questo entro IBUQ., il 2014 così dovrebbe come esamineremo essere le emanata an le tecni la Direttiva fesa. alcuni esempi il crimine la informatico: l'accesso non autorizzato a sistemi informatici, il il furto informazioni, il sciplina danni vario la materia furto genere identità, operati finalità tramite la struzione polizia l'uso improprio e giustizia o alterazione degli ossia strumenti "il dati trattamento... informatici. e i conseguenti dei dati personali furti veri e da propri parte o delle altri danni Realizzato autorità competenti vario esclusivamente genere a operati fini prevenzione, per tramite AICA l'uso - Associazione improprio indagine, degli accertamento Italiana strumenti per e informatici. l'informatica perseguimento ed il reati Calcolo o esecuzione Automatico sanzioni Ma così penali". come ci sono ladri dati criminali informatici, esistono verse istituzioni fra loro compiti Ma così hanno come quello ci sono reprimere ladri cyber-crimini dati e criminali informatici. informatici, livello esistono europeo, verse l'europol istituzioni (European fra Police i loro Office) compiti hanno L'estrema quello attenzione reprimere portata i cyber-crimini alla un'agenzia sicurezza informatici. dell'unione informatica A livello Europea è europeo, dovuta l'europol an assicura alla supporto (European pericolosità Police la delle repressione Office) azioni - fraudolenti del crimine alle si forze possono dell'orne compiere è un'agenzia dei paesi attraverso dell'eu, dell'unione gli in strumenti collaborazione Europea informatici assicura con e una alla supporto quincina gravità per dei la reati paesi repressione extra- del derivano. europei. crimine Tant'è mostrazione alle forze si dell'orne parla dell'importanza ormai dei veri paesi crescente e propri dell'eu, crimini del in crimine collaborazione informatici. informatico, Vedremo con ha una costituito quin quincina in questo gennaio paesi IBUQ 2013 extraeuropei. rischiano apposito A centro i mostrazione nostri per dati la e lotta cosa dell'importanza al rischiamo crimine informatico. noi crescente se siamo Il focus del oggetto crimine dell'attività questi informatico, crimini. questo ha centro costituito (European in gennaio Cybercrime 2013 un cosa un apposito Center - centro EC3) è per proprio la lotta sui al crimini crimine ad informatico. opera gruppi Il focus organizzati dell'attività a scopo questo frode centro online, (European l'adescamento Cybercrime in Center rete Comprendere e lo - EC3) sfruttamento è proprio il termine sessuale sui crimine crimini dei informatico. ad bambini opera nonché gruppi gli organizzati attacchi a a infrastrutture scopo frode criti online, e sistemi l'adescamento informativi rete dell'ue. e lo Tutti sfruttamento temi avremo sessuale occasione dei bambini incontrare nonché gli in attacchi questo IBUQ. a infrastrutture criti e sistemi informativi dell'ue. Dando per Tutti scontato temi il avremo significato occasione "crimine", incontrare possiamo in questo concentrarci IBUQ. sulle caratteristi specifi del crimine informatico. Con crimine informatico, si intende un atto illecito realizzato attraverso l'uso (improprio) strumenti informatici, siano essi locali (un personal La Notizia computer, un spositivo elettronico) oppure remoti (una rete computer o Internet stesso). Essere La vittima Notizia un crimine informatico è uno dei rischi ai quali è soggetto l'utente 22 settembre sistemi informatici Ma chi oggi non è utente sistemi o strumenti informatici? Di crimini informatico 22 Di fronte settembre alla tratteremo recrudescenza 2014 in tutto del questo crimine IBUQ., informatico, così come la Federazione esamineremo delle le Ban tecni fesa. Di Europee fronte alla (EBF) recrudescenza e il il European del crimine Cybercrime informatico, Centre la la Federazione (EC3) hanno delle siglato Ban un Realizzato Copyright AICA esclusivamente Europee Europee memorandum (EBF) (EBF) d'intesa per e il il GABRIELE il il per European European potenziare TOMASI Cybercrime Cybercrime la collaborazione - SKILL Centre Centre on LINE fra (EC3) (EC3) le forze hanno hanno dell'orne siglato siglato e un un il memorandum memorandum settore bancario d'intesa d'intesa nell'ue. per per potenziare potenziare la la collaborazione collaborazione fra fra le le forze forze dell'orne dell'orne e il il settore bancario nell'ue. settore bancario nell'ue.

16 del crimine alle forze dell'orne dei paesi dell'eu, in collaborazione con una quincina paesi extraeuropei. A mostrazione dell'importanza crescente del crimine informatico, ha costituito in gennaio 2013 un apposito centro per la lotta al crimine informatico. Il focus dell'attività questo centro (European Cybercrime Center - EC3) è proprio sui crimini ad opera gruppi organizzati a scopo frode online, l'adescamento in rete e lo sfruttamento sessuale dei bambini nonché gli attacchi a infrastrutture criti e sistemi informativi dell'ue. Tutti temi avremo occasione incontrare in questo IBUQ. La Notizia settembre 2014 Di fronte alla recrudescenza del crimine informatico, la Federazione delle Ban Europee (EBF) e il il European Cybercrime Centre (EC3) hanno siglato un memorandum d'intesa per potenziare la collaborazione fra le forze dell'orne e il settore bancario nell'ue. Esercizio Dal sito EUROPOL ( scaricate il Rapporto 2013 (EUROPOL REVIEW 2013). Leggete la descrizione delle operazioni Police Ransomware e Pandora-Storm, con particolare riferimento al numero vittime e all'ammontare dei danni. Realizzato esclusivamente per AICA - Associazione Italiana per l'informatica ed il Calcolo Automatico Copyright AICA

17 Capitolo 2 Rischi del crimine informatico Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riferimento Syllabus Riconoscere le minacce ai dati provocate da forza maggiore, quali fuoco, inondazione, guerra, terremoto. Riconoscere le possibilità connessione ad una rete meante cavo o wireless. Comprendere la connessione ad una rete ha implicazioni sicurezza, quali malware, accessi non autorizzati ai dati, mantenimento della privacy. Riconoscere l importanza richiedere una password per proteggere gli accessi a reti wireless. Riconoscere versi tipi sicurezza per reti wireless, quali WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access), MAC (Mea Access Control). Essere consapevoli usando una rete wireless non protetta si rischia i propri dati vengano intercettati da spie gitali. Connettersi ad una rete wireless protetta/non protetta. Comprendere l importanza non vulgare informazioni riservate su siti reti sociali. Comprendere i rischi potenziali durante l uso siti reti sociali, quali cyberbullismo, adescamento, informazioni fuorvianti/pericolose, false identità, link o messaggi fraudolenti. Comprendere il termine messaggistica istantanea (IM) e i suoi usi. Comprendere le vulnerabilità sicurezza della messaggistica istantanea, quali malware, accesso da backdoor, accesso a file. Comprendere il motivo per eliminare in modo permanente i dati dalle memorie massa o dai spositivi. Distinguere tra cancellare i dati e struggerli in modo permanente. 15 Copyright AICA

18 Sergio Margarita - Nuova ECDL e Open Source Va detto le misure sicurezza sono sempre un fastio per l'utente e all'aumentare delle misure Contenuti della lezione In questa lezione vedremo: i casi forza maggiore, i rischi della rete, il caso delle reti Wi-Fi, i rischi delle reti sociali, i rischi sicurezza aumenta il sagio viene percepito. Chi non ha mai detto: "Che noia dover gestire 15 alcuni mezzi comunicazione, cosa vuol re cancellare i propri dati. password"? Ma nello stesso modo, menticare uno dei tre aspetti appena presentati porta conseguenze molto più gravi e penalizzanti in caso evento infausto. Le minacce ai dati presenti nei sistemi informativi non sono tuttavia dovute soltanto a comportamenti umani dolosi. Distinguere tra dati e informazioni Riconoscere le minacce ai dati provocate da forza maggiore, quali fuoco, inondazione, guerra, terremoto. Quelle provocate da forza maggiore (catastrofi naturali, eventi straornari,...) si riferiscono prevalentemente alla struzione, totale o parziale, del sistema informatico, con conseguente perta dei dati. Nel caso catastrofi o eventi straornari (inceno, inondazione, terremoto, guerra,...) impere la struzione dei dati può essere molto fficile se non impossibile. L'attenzione in termini sicurezza si sposta quin sul recupero dei dati in caso perta e la riduzione dei danni ne derivano. Come vedremo, acquistano quin particolare importanza le procedure backup o copie sicurezza e ripristino. In questi casi, rispetto a quello del furto visto prima: nessuno entra in possesso dei dati ma questi vengono strutti. Sono quin rilevanti soltanto i punti 1. e 3. La Notizia 25 aprile 2011 Un inceno si sviluppa nella server farm principale Aruba, uno dei maggiori provider italiani, nella zona dei gruppi continuità ( dovrebbero garantire la fornitura energia in caso black-out). I spositivi anti-inceno scattano regolarmente per spegnere le apparecchiature. Nessun dato viene perso ma ne consegue un'interruzione del servizio verse ore. Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE Copyright AICA

19 Sergio Margarita - Nuova ECDL e Open Source 20 Partendo dai tre approcci appena visti per il furto, riformularli per adattarli a Sergio Margarita - Nuova ECDL e Open Source 20 un'inceno: 1. mettere in pratica fare in modo... Esercizio Esercizio Partendo Trattandosi dai tre struzione, approcci appena potrebbero visti esserci per il furto, soltanto riformularli due punti. per adattarli a un'inceno: Partendo dai tre approcci appena visti per il furto, riformularli per adattarli a 1. un'inceno: mettere in pratica... Oggi è pressoché 1. mettere impossibile in pratica trovare fare in modo... un personal computer isolato, non collegato a qual rete. Una rete aziendale, la 2. rete fare in casa modo con... due o tre personal computer, per non parlare Internet. In tema sicurezza, il collegamento Trattandosi ad una rete struzione, introduce rischi potrebbero e fficoltà esserci protezione soltanto due aggiuntivi. punti. Trattandosi struzione, potrebbero esserci soltanto due punti Comprendere la connessione ad una rete ha implicazioni sicurezza, quali malware, accessi non autorizzati ai dati, mantenimento della privacy. Oggi è pressoché impossibile trovare un personal computer isolato, non collegato a qual rete. Una rete rete aziendale, Ma tutti sono la rete collegati casa ad Internet, con due non o tre può personal essere computer, così rischioso! per non parlare Internet. In tema sicurezza, il collegamento Comprendere ad una rete introduce la connessione rischi e fficoltà ad una protezione rete ha aggiuntivi. implicazioni sicurezza, quali malware, accessi Il numero utenti Internet ha non raggiunto autorizzati dei livelli ai dati, tutto rispetto. mantenimento Secondo Internet della World privacy Stats ( Comprendere la connessione ad una mentre rete ha a implicazioni marzo 2009 sicurezza, erano nel quali mondo malware, più accessi 1,5 miliar, non autorizzati a giugno ai dati, mantenimento della privacy erano ventati più 2,4 miliar (si veda la tabella inserita nella prima versione questo IBUQ). Ma tutti sono collegati ad Internet, non può essere così rischioso! Dati 2012 Il numero utenti Internet ha raggiunto dei livelli tutto rispetto. Secondo Internet World Stats Popolazione Utenti Internet Utenti Internet Penetrazione Variaz. utenti Utenti ( mentre a marzo 2009 erano nel mondo più 1,5 miliar, a giugno (Stima 2012 (Fine 2000) (metà 2012) (% popolaz,) % 2012 erano ventati più 2,4 miliar (si veda la tabella inserita nella prima versione questo IBUQ). Africa ,6 % 3.606,7 % 7,0 % Asia ,5 % 841,9 % 44,8 % Dati Europa ,2 % 393,4 % 21,5 % Meo oriente ,2 % 2.639,9 % 3,7 % Popolazione Utenti Internet Utenti Internet Penetrazione Variaz. utenti Utenti America del Nord Popolazione Utenti Internet Utenti Internet Penetrazione 78,6 % Variaz. 153,3 utenti% Utenti 11,4 % (Stima 2012 (Fine 2000) (metà 2012) (% popolaz,) % America latina (Stima (Fine ) (metà ) (% popolaz,) 42, ,8 10,6 Africa ,6 % 3.606,7 % 7,0 % Africa Oceania / Australia ,6 67, ,7 218,7 7,0 1,0 Asia ,5 % 841,9 % 44,8 % Asia TOTALE ,5 34,3 841,9 566,4 100,0 44,8 Europa ,2 % 393,4 % 21,5 % Europa Meo oriente ,2 40,2 % 2.639,9 393,4 % 21,5 3,7 % Meo oriente , ,9 3,7 Realizzato America del esclusivamente Nord per GABRIELE TOMASI SKILL on LINE 78,6 % 153,3 % 11,4 % America del latina Nord ,6 42,9 % 1.310,8 153,3 % 11,4 10,6 % America Oceania / latina Australia ,9 67,6 % 1.310,8 218,7 % 10,6 1,0 % Oceania TOTALE / Australia ,6 34,3 % 218,7 566,4 % 100,0 1,0 % TOTALE ,3 % 566,4 % 100,0 % 17 Realizzato esclusivamente per AICA - Associazione Italiana per l'informatica ed il Calcolo Automatico Realizzato esclusivamente per AICA - Associazione Italiana per l'informatica ed il Calcolo Automatico Copyright AICA

20 Sergio Margarita - Nuova ECDL e Open Source IT Dati Popolazione Popolazione Utenti Utenti Internet Internet Utenti Utenti Internet Internet Penetrazione Penetrazione Variaz. Variaz. utenti utenti Utenti Utenti (Stima (Stima 2008) 2008) (Fine (Fine 2000) 2000) (Inizio (Inizio 2009) 2009) (% (% popolaz,) popolaz,) % Africa Africa ,6 5,6 % 1.100, ,0 % 3,4 3,4 % Asia Asia ,4 17,4 % 474,9 474,9 % 41,2 41,2 % Europa Europa ,9 48,9 % 274,3 274,3 % 24,6 24,6 % Meo Meo oriente oriente ,3 23,3 % 1.296, ,2 % 2,9 2,9 % America America del del Nord Nord ,4 74,4 % 132,5 132,5 % 15,7 15,7 % America America latina latina ,9 29,9 % 860,9 860,9 % 10,9 10,9 % Oceania Oceania / Australia Australia ,4 60,4 % 172,7 172,7 % 1,3 1,3 % TOTALE TOTALE ,8 23,8 % 342,2 342,2 % 100,0 100,0 % Certo Certo è Internet oggi oggi è verso da da com'era alle alle sue sue origini. Nato Nato per per applicazioni militari, cresciuto nel nel mondo della della ricerca e dell'università, Internet ha ha oggi oggi una una vocazione essenzialmente commerciale. E' E' ventato lo lo strumento per per eccellenza ffusione informazioni e comunicazione, cambiando an racalmente il il modello economico versi servizi: inviare un un milione lettere per per posta ha ha un un costo elevatissimo; inviare un un milione messaggi posta posta elettronica ha ha un un costo costo pressoché nullo. Internet rappresenta quin quin una una platea platea 2,4 2,4 miliar potenziali clienti. Ma Ma non non solo solo potenziali clienti. clienti. An An potenziali bersagli truffe, truffe, attacchi, tentativi spionaggio, furti furti identità, ecc ecc La La malversazione non non è certo certo nata nata con con Internet, è soltanto uno uno strumento scambio informazioni ma ma per per via via della della sua sua ffusione ne ne venta un un canale in in grado grado amplificarne gli gli effetti e la la portata. Con Con un un numero tale tale potenziali bersagli, si si può può facilmente immaginare vi vi sia sia un un numero significativo attaccanti. E' E' fondamentale importanza adoperare tutte tutte le le cautele, mettere in in pratica tutte tutte le le precauzioni e attivare tutti tutti i sistemi sistemi protezione necessari per per ridurre ridurre il il più più possibile i rischi rischi provenienti dalla dalla rete. rete. Collegarsi in in rete rete vuol vuol re re accedere alle alle sue sue risorse risorse e ai ai server server le le contengono ma ma vuol vuol re re an dalla dalla rete rete è possibile accedere al al nostro nostro personal computer o rettamente o trasmettendo file file in in grado grado impadronirsi parte parte delle delle funzionalità del del nostro nostro personal computer a scopo scopo malevolo. Sì Sì ma ma gli gli attacchi attacchi sono sono rivolti rivolti ai ai server server Internet, alle alle gran gran organizzazioni, non non alla alla mia mia rete rete casa! casa! Sbagliato! leggete leggete la la notizia. notizia. Realizzato esclusivamente per per GABRIELE TOMASI - SKILL SKILL on on LINE LINE Copyright AICA