La sicurezza informatica Elementi legali

Transcript

1 Elementi legali Stato dell arte e scenari evolutivi Gabriele Faggioli Presidente Clusit (Associazione Italiana per la Sicurezza Informatica) Adjunct Professor MIP-Politecnico di Milano Membro del Group of Expert incloud computing contracts (Commissione Europea) Security Summit Roma, 10 giugno 2015

2 Gli anni fra il 2011 e il 2014 sono stati caratterizzati da importanti novità nel settore normativo della sicurezza dei sistemi informativi con due linee di condotta contrapposte una di semplificazione e una di aggravamento: Abolizione decreto Pisanu (semplificazione) Provvedimento Garante per la protezione dei dati personali 12 maggio 2011 inerente la tracciabilità degli accessi ai dati bancari (aggravamento per mondo bancario) Decreto legge n. 70/2011 Semestre Europeo - Prime disposizioni urgenti per l'economia successivamente convertito con legge n 106/2011 (semplificazione) Decreto Legge n. 201/2011, noto come Decreto Salva Italia, contenente le Disposizioni urgenti per la crescita, l'equità e il consolidamento dei conti pubblici, convertito con la legge del 22 dicembre 2011, n. 214 (semplificazione) Decreto Semplificazioni 5/2012 approvato il convertito con la legge 4 aprile 2012 n. 35 (semplificazione) Decreto Legislativo n. 69/2012 (aggravamento per settore telco) Dec. Pres. Cons n (infrastrutture critiche) (burocrazia e potenziale aggravamento) Provvedimento del Garante sui cookies (4 maggio 2014) E all orizzonte: il nuovo Regolamento UE sostitutivo della direttiva 95/46 CE

3 Tra le altre cose le modifiche hanno riguardato pesantemente il tema della sicurezza informatica. In particolare: La nozione di «dato personale» con quindi incidenza sulla applicazione del D.Lgs. 196/03 L ambito di applicazione prima, e l esistenza poi, del Documento Programmatico sulla Sicurezza La nozione di trattamento per finalità amministrative e contabili (impatto sul Provvedimento Garante Amministratori di sistema del 27 novembre 2008) Il tema della data breach in ambito telco (obbligo di segnalazione e registro delle violazioni) Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale (Decreto Pres. Consiglio n Gazz. Uff., 19 marzo 2013, n. 66)

4 E le decisioni del Garante e della magistratura: Le decisioni del Garante in materia di sistemi CRM (mantenimento dati acquisti vs obblighi di loggatura) L obbligo della procedura sindacale per la installazione di talune apparecchiature di controllo Cassazione 4375/2010 Cassazione 2722/2012

5 - Semplificazione normativa - Tendenza a porre in essere provvedimenti settoriali in sostituzione di provvedimenti generali - Spinta alla sicurezza ma limiti alla sicurezza - Estensione degli obblighi di raccogliere log - Estensione degli obblighi di segnalazione dei casi di data breach - Regolamentazione del tempo di mantenimento dei dati - Grande attenzione del tema security nell ambito dei servizi IT e in particolare nel caso di servizi di cloud computing - Creazione del DPO

6 Provvedimento Garante 192/2011 Oltre alle misure minime di sicurezza, già prescritte dall'art. 34 del Codice nel caso di trattamento di dati personali effettuato con strumenti elettronici (con particolare riguardo alla necessità di "protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti [ ]" di cui alla lett. e) del citato art. 34), è necessario implementare misure idonee (art. 31 del Codice) che permettano un efficace e dettagliato controllo anche in ordine ai trattamenti condotti sui singoli elementi di informazione presenti nei diversi database utilizzati Tali soluzioni comprendono la registrazione dettagliata, in un apposito log, delle informazioni riferite alle operazioni bancarie effettuate sui dati bancari, quando consistono o derivano dall'uso interattivo dei sistemi operato dagli incaricati, sempre che non si tratti di consultazioni di dati in forma aggregata non riconducibili al singolo cliente

7 Provvedimento Garante 192/2011 I file di log devono tracciare per ogni operazione di accesso ai dati bancari effettuata da un incaricato, almeno le seguenti informazioni: il codice identificativo del soggetto incaricato che ha posto in essere l'operazione di accesso la data e l'ora di esecuzione il codice della postazione di lavoro utilizzata il codice del cliente interessato dall'operazione di accesso ai dati bancari da parte dell'incaricato la tipologia di rapporto contrattuale del cliente a cui si riferisce l'operazione effettuata (es. numero del conto corrente, fido/mutuo, deposito titoli) Le misure di cui al presente paragrafo sono adottate nel rispetto della vigente disciplina in materia di controllo a distanza dei lavoratori (art. 4, l. 20 maggio 1970, n. 300), tenendo altresì conto dei princìpi affermati dal Garante in tema di informativa agli interessati nelle linee guida sull'utilizzo della posta elettronica e di internet

8 Articolo 4, comma 3, lett. g-bis), del Codice (Introdotta dal d.lgs. 69/2012) Violazione dei dati personali: "violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico"

9 Art. 32-bis del Codice (introdotto dal d.lgs. 69/2012) 1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante. 2. Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione. 3. La comunicazione di cui al comma 2 non é dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione. 4. Ove il fornitore non vi abbia già provveduto, il Garante può, considerate le presumibili ripercussioni negative della violazione, obbligare lo stesso a comunicare al contraente o ad altra persona l'avvenuta violazione.

10 Il Garante ha stabilito un quadro di regole in base alle quali le società di tlc e i fornitori di servizi di accesso a Internet saranno tenuti a comunicare, oltre che alla stessa Autorità, anche agli utenti le "violazioni di dati personali" che i loro data base dovessero subire a seguito di attacchi informatici o di eventi avversi, quali incendi o altre calamità. Il Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach) stabilisce: chi deve adempiere all'obbligo di comunicazione; in quali casi scatta l'obbligo di avvisare gli utenti; le misure di sicurezza tecniche e organizzative da mettere in atto per avvisare l'autorità e gli utenti di un avvenuto "data breach"; i tempi e i contenuti della comunicazione.

11 Nel settore bancario il Provvedimento 192/2011 oltre a una serie di misure necessarie, prevede anche alcune misure «opportune» fra cui la seguente: «Le banche comunicano senza ritardo all'interessato le operazioni di trattamento illecito effettuate -sui dati personali allo stesso riferiti- dagli incaricati. Tale tempestiva informazione, infatti, in termini generali, può consentire all'interessato l'adozione di appropriate misure e, ove possibile, una minimizzazione dei rischi connessi alla violazione della disciplina di protezione dei dati personali» «Le banche comunicano tempestivamente al Garante fornendo gli opportuni dettagli i casi in cui risultino accertate violazioni, accidentali o illecite, nella protezione dei dati personali, purché di particolare rilevanza per la qualità o la quantità di dati coinvolti e/o il numero di clienti interessati, dalle quali derivino la distruzione, la perdita, la modifica, la rivelazione non autorizzata dei dati della clientela» Sono misure opportune ai sensi dell'art. 154, comma 1, lett. c) del Codice

12 Codice Privacy Obblighi di sicurezza (art.31) I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Regolamento UE Sicurezza del trattamento (art.30) Tenuto conto dei risultati della valutazione di impatto in materia diprotezione dei dati e dell evoluzione tecnica e dei costi di attuazione, il responsabile del trattamento e l incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta. (La valutazione dei rischi era uno degli elementi del DPS ad oggi abrogato).

13 Codice Privacy Obblighi di sicurezza (art.31) I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. (La valutazione dei rischi era uno degli elementi del DPS ad oggi abrogato). Regolamento UE Sicurezza del trattamento (art.30) Tenuto conto dell evoluzione tecnica e dei costi di attuazione, una simile politica di sicurezza deve includere: a) la capacità di assicurare che sia convalidata l integrità dei dati personali; b) la capacità di assicurare l attuale riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; c) la capacità di ripristinare la disponibilità e l accesso ai dati in modo tempestivo, in caso di incidente fisico o tecnico che abbia un impatto sulla disponibilità, sull integrità e sulla riservatezza dei sistemi e dei servizi di informazione; d) in caso di trattamento di dati personali sensibili, misure di sicurezza aggiuntive per garantire la consapevolezza situazionale dei rischi e la capacità di adottare azioni di prevenzione, correzione e attenuazione, praticamente in tempo reale, contro le vulnerabilità riscontrate o gli incidenti verificatisi, che potrebbero costituire unrischio per i dati; e) unprocesso per provare, verificare e valutare regolarmente l efficacia delle politiche, delle procedure e dei piani di sicurezza attuati per assicurare la continua efficacia.

14 Codice Privacy Regolamento UE Compiti del Responsabile della protezione dei dati (art.37) Sensibilizzare, informare e consigliare il responsabile del trattamento o l'incaricato del trattamento in merito agli obblighi derivanti dal regolamento, segnatamente per quanto attiene alle misure e procedure tecniche e organizzative, e conservare la documentazione relativa a tale attività e alle risposte ricevute; Sorvegliare l attuazione e l applicazione delle politiche del responsabile del trattamento o dell incaricato del trattamento in materia di protezione dei dati personali, compresi l attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi; Sorvegliare l attuazione e l applicazione del regolamento, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l informazione dell interessato e le richieste degli interessati di esercitare i diritti riconosciuti dal presente regolamento; Garantire la conservazione della documentazione;

15 Codice Privacy Regolamento UE Compiti del Responsabile della protezione dei dati (art.37) Controllare che le violazioni dei dati personali siano documentate, notificate e comunicate; Controllare che il responsabile del trattamento o l incaricato del trattamento effettui la valutazione d impatto sulla protezione dei dati e richieda l autorizzazione preventiva o la consultazione preventiva nei casi previsti dal regolamento; Controllare che sia dato seguito alle richieste dell autorità di controllo e, nell ambito delle sue competenze, cooperare con l autorità di controllo di propria iniziativa o su sua richiesta; Fungere da punto di contatto per l autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l autorità di controllo di propria iniziativa. Verificare la conformità con il regolamento ai sensi del meccanismo di consultazione preventiva. Informare i rappresentanti del personale in merito al trattamento dei dati che riguardano i dipendenti.

16 Opinion 5/2012 Article 29 Data Protection Working Party LE MISURE DI SICUREZZA L articolo 17, paragrafo 2, della direttiva 95/46/CE prevede che Gli Stati membri dispongono che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione o dall'accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all'interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali. Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell'applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere.

17 Opinion 5/2012 Article 29 Data Protection Working Party LE MISURE DI SICUREZZA In Italia occorre prevedere il rispetto dell Allegato B al d.lgs 196/03, di misure idonee. del provvedimento del Garante sugli Amministratori di sistema, del provvedimento del Garante sulla tracciabilità degli accessi ai dati bancari Le comunicazioni tra fornitore e cliente di servizi cloud e tra centri di trattamento dati dovrebbero essere criptate. La gestione a distanza della piattaforma cloud dovrebbe avvenire esclusivamente tramite un canale di comunicazione sicuro Le clausole contrattuali devono anche imporre obblighi di riservatezza ai dipendenti di clienti cloud, fornitori cloud e subcontraenti.

18 Opinion 5/2012 Article 29 Data Protection Working Party LE MISURE DI SICUREZZA E importante per la piattaforma cloud fornire meccanismi di monitoraggio e logging affidabili e completi al fine di evitare trattamenti illegittimi. I fornitori di servizi cloud dovrebbero fornire prove documentali di misure opportune ed efficaci per la realizzazione di un efficiente protezione dei dati. Ad esempio, vi sono le procedure per garantire l identificazione di tutte le operazioni di trattamento dei dati e per rispondere a richieste di accesso, la designazione di funzionari addetti alla protezione dei dati e responsabili dell osservanza dei principi di protezione dei dati, ovvero procedure di certificazione indipendenti. I responsabili del trattamento dovrebbero garantire di essere pronti a dimostrare l istituzione delle misure necessarie, su richiesta delle autorità di vigilanza competenti.

19 Le indicazioni del Garante sul riparto degli obblighi tra le parti del trattamento Sicurezza dei dati. - Il titolare del trattamento deve assicurarsi che siano adottate misure tecniche e organizzative volte a ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, di modifica dei dati in conseguenza di interventi non autorizzati o non conformi alle regole - Occorre quindi contrattualmente imporre ai fornitori non solo il rispetto delle misure minime di sicurezza previste dall allegato B al d.lgs 196/03 ma anche un livello di sicurezza che, di volta in volta in considerazione delle caratteristiche di ogni contratto, possa essere ritenuto idoneo Secondo il Garante, comunque, anche i fornitori cloud potrebbero trarre nuove opportunità dalla definizione di clausole pro-privacy o da una eventuale preventiva certificazione indipendente sul rispetto della normativa europea sulla protezione dei dati personali per i servizi da loro offerti.

20 I contratti: un limite allo sviluppo dei servizi Cloud? La reperibilità dei dati Informazione Informazioni sul fornitore Utilizzo di subfornitori (con indicazione di Utilizzo di subfornitori elementi identificativi e di localizzazione Trattamento e e riservatezza dei dati personali Esclusione Esclusioni o limitazione o limitazione di responsabilità di responsabilità del fornitore del fornitore Diritto di recesso a favore del fornitore di Diritto di recesso a favore del fornitore di servizi Cloud servizi cloud Possibilità Possibilità di switching di switching alla cessazione alla cessazione del contratto del contratto e portabilità e portabilità dei dati dei dati Durata del del contratto e e rinnovo tacito Costi del servizio e principali condizioni Costi del servizio e principali condizioni economiche economiche (modalità di pagamento, cadenza Penali SLA Localizzazione geografica dei di data Data center Center 0% 20% 40% 60% 80% 100% Dato non trovato Per nulla reperibile Abbastanza reperibile Molto reperibile Campione 60 servizi Cloud internazionali

21 I contratti: un limite allo sviluppo dei servizi Cloud? La semplicità di comprensione Informazione Informazioni sul fornitore Utilizzo di subfornitori (con indicazione di Costi del servizio e principali condizioni economiche elementi identificativi e di localizzazione Trattamento Localizzazione e riservatezza geografica dei dei dati Data personali Center Esclusioni o limitazione Utilizzo di responsabilità di subfornitori del fornitore Diritto di recesso a favore del fornitore di servizi cloud SLA Possibilità di switching alla cessazione del Durata del contratto e rinnovo tacito contratto e portabilità dei dati Trattamento Durata e del riservatezza contratto dei e rinnovo dati personali tacito Costi del servizio e principali condizioni Esclusione o limitazione di responsabilità del fornitore economiche (modalità di pagamento, cadenza Diritto di recesso a favore del fornitore di servizi Penali Cloud Penali SLA Possibilità di switching alla cessazione del contratto Localizzazione geografica di data center e portabilità dei dati Per nulla reperibile Abbastanza reperibile Molto reperibile 0% 20% 40% 60% 80% 100% Campione 60 servizi Cloud internazionali

22 I contratti: un limite allo sviluppo dei servizi Cloud? La completezza dell informazione Esclusione o limitazione di Informazione responsabilità sul del fornitore Utilizzo di subfornitori (con indicazione di Trattamento e riservatezza dei dati personali elementi identificativi e di localizzazione Trattamento e riservatezza Informazioni dei dati sul personali fornitore Esclusioni o limitazione di responsabilità del SLA fornitore Diritto di recesso a favore del fornitore di Localizzazione servizi geografica cloud dei Data Center Possibilità di switching alla cessazione del Penali contratto e portabilità dei dati Diritto di recesso Durata a del favore contratto del fornitore e rinnovo di servizi tacito Cloud Costi del servizio e principali condizioni Costi del servizio e principali condizioni economiche economiche (modalità di pagamento, cadenza Possibilità di switching alla cessazione del contratto Penali e portabilità dei dati Utilizzo di subfornitori SLA Localizzazione Durata del geografica contratto e di rinnovo data center tacito Per nulla reperibile Abbastanza reperibile Molto reperibile 0% 20% 40% 60% 80% 100% Campione 60 servizi Cloud internazionali

23 I contratti: un limite allo sviluppo dei servizi Cloud? La trasparenza dei siti Informazione Informazioni sul fornitore Utilizzo di subfornitori (con indicazione di Utilizzo di subfornitori elementi identificativi e di localizzazione Trattamento e e riservatezza dei dati personali Esclusione Esclusioni o limitazione o limitazione di responsabilità di responsabilità del fornitore del fornitore Diritto di recesso a favore del fornitore di Diritto di recesso a favore del fornitore di servizi Cloud servizi cloud Possibilità Possibilità di switching di switching alla cessazione alla cessazione del contratto del contratto e portabilità e portabilità dei dati dei dati Durata del del contratto e e rinnovo tacito Costi del servizio e principali condizioni Costi del servizio e principali condizioni economiche economiche (modalità di pagamento, cadenza Penali SLA Localizzazione geografica dei di data Data center Center 0% 20% 40% 60% 80% 100% Dato non trovato Per nulla reperibile Abbastanza reperibile Molto reperibile Campione 60 servizi Cloud internazionali