Le misure di sicurezza, l'informatica e la privacy. Avv. Pierluigi Perri CIRSFID Università degli Studi di Bologna

Transcript

1 Le misure di sicurezza, l'informatica e la privacy Avv. Pierluigi Perri CIRSFID Università degli Studi di Bologna

2 Una volta la sicurezza la si faceva così :-)

3 Ora invece la sicurezza è prevalentemente così

4 Il concetto di sicurezza per l'informatica Non esiste una vera e propria definizione di "Sicurezza Informatica". Possiamo comunque delinearla come la scienza che studia come proteggere le informazioni elaborate o trasferite elettronicamente da atti indesiderabili che possono avvenire accidentalmente, o essere frutto di azioni colpose o dolose.

5 Il concetto di sicurezza per il diritto Secondo la norma UNI/EN ISO La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui l'azienda dispone e necessita per garantirsi un'adeguata capacità concorrenziale nel breve, medio e lungo periodo.

6 In particolare: nella legge sul trattamento dei dati personali in Europa Art. 17 Dir. 95/46/CE comma 1 Gli Stati membri dispongono che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione o dall'accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all'interno di una rete, o da qualsiasi altra forma illecita di trattamento dei dati personali. Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell'applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere.

7 ed in Italia Art. 15 L. 675/96 comma 1 I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Art. 31 del Testo Unico I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta

8 In particolare: le misure minime Art. 15 L. 675/96 comma 2 Le misure minime di sicurezza da adottare in via preventiva sono individuate con regolamento emanato con Decreto del Presidente della Repubblica omissis Art. 33 del nuovo Testo Unico Nel quadro dei più generali obblighi di sicurezza di cui all articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell art. 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

9 Alcune considerazioni: - la lettera del Legislatore europeo non fa distinzione tra misure di sicurezza minime e non, che saranno una nostra invenzione in sede di recepimento della direttiva; - la direttiva parla espressamente di costi dell'applicazione, introducendo questo concetto quale parametro per la valutazione della messa in sicurezza di un sistema; - vengono forniti gli elementi essenziali per definire sicura un sistema informativo, i quali possono riassumersi in: 1) integrità dei dati; 2) riservatezza dei dati; 3) disponibilità dei dati; 4) reattività del sistema stesso.

10 Parliamo quindi innanzitutto di misure di sicurezza Prima di affrontare il dettato normativo circa le misure minime, è bene parlare di misure di sicurezza in genere. L adozione delle misure minime, infatti, mette al riparo da eventuali responsabilità penali ma non da responsabilità civili ex art c.c. (art. 18 L. 675/96 e articolo 15 del nuovo TU) Per la messa in sicurezza di qualsiasi sistema informativo/ico, sia esso connesso in intranet o in internet, basta seguire pochi ma sani principi.

11 Principio 1 Non esistono sistemi sicuri, nè tantomeno apparecchiature che possano garantire la sicurezza al 100 % - Il software può non essere perfetto (e in genere non lo è), ci possono essere errori di progettazione nei protocolli. - Il mito del sistema inviolabile è da assimilare al mito del caveau non svaligiabile o della nave inaffondabile (e.g. Titanic). - Il grado di sicurezza è dato dal tempo necessario per violare il sistema, dall'investimento necessario e dalla probabilità di successo.

12 Principio 2 Un sistema più è complesso più è insicuro. Per una progettazione ideale di un sistema conviene applicare la cd. KISS rule (Keep It Simple and Stupid)

13 Principio 3 Le entità che compongono un sistema sono necessariamente tre: hardware, software ed humanware. Senza continuo apporto di lavoro nessun sistema può essere sicuro. Ciò che è sicuro oggi potrebbe non esserlo più domani, perché per esempio è stato scoperto un difetto del sistema. I sistemi che non vengono aggiornati diventano quindi fragili.

14 Principio 4 La sicurezza deriva dalla conoscenza. Soprattutto per quanto riguarda il software, prediligere soluzioni open source porta innegabili vantaggi: - gli aggiornamenti sono costanti e continui; - si può sapere cosa realmente fa il software in background; - si può personalizzare il software per meglio adattarlo alle nostre esigenze.

15 Principio 5 La conoscenza degli strumenti di sicurezza e la consapevolezza dei problemi che man mano sorgono devono essere patrimonio culturale di tutti gli utenti. A tal proposito si parla di full disclosure contrapposta alla closed disclosure.

16 E il diritto che c azzecca? Il diritto, volente o nolente, ha dovuto mutuare per certi versi la disciplina informatica della sicurezza, integrandola nei testi di legge. Un esempio per tutti? Il DPCM 8 febbraio 1999 (in tema di firma digitale) ha incorporato alcuni dei criteri ITSEC al punto che all art. 14 si legge che il sistema operativo dei sistemi di elaborazione utilizzati nelle attività di certificazione, la generazione dei certificati e la gestione del registro dei certificati deve essere conforme almeno alle specifiche previste dalla classe ITSEC F-C2/E2 o a quella C2 delle norme TCSEC

17 La sicurezza ed il trattamento dei dati personali E tuttavia nella legge in materia di trattamento dei dati personali che la sicurezza (informatica e non) ha trovato il suo luogo di elezione. Ciò non toglie che, a quasi 6 anni dall emanazione del testo di legge e a quasi 3 anni dall emanazione del DPR specifico in tema di misure minime di sicurezza, sono ben pochi i soggetti che si sono adeguati.

18 Le motivazioni Il motivo principale, a detta di molti, va ricercato nell investimento economico che richiede il raggiungimento di una certa soglia di sicurezza e soprattutto il suo mantenimento mediante continui aggiornamenti delle tre componenti (hardware, software ed humanware).

19 In Italia la cultura della sicurezza ha tardato ad affermarsi. Per molto tempo, le misure di protezione sono state considerate come una spesa a fondo perduto o come un lusso, incompatibile con le esigenze di economicità G. Buttarelli, Banche dati e tutela della riservatezza, Milano, 1997.