Ottobre 2011 LA SICUREZZA INFORMATICA
SICUREZZA INFORMATICA Non esiste una vera e propria definizione di "Sicurezza Informatica". Possiamo comunque delinearla come la scienza che studia come proteggere le informazioni elaborate o trasferite elettronicamente da atti indesiderabili che possono avvenire accidentalmente, o essere frutto di azioni colpose o dolose. (Perri 2003)
SICUREZZA INFORMATICA (per giovani giuristi) Non esiste un sistema sicuro al 100%; Il mito del sistema inattaccabile è analogo al mito della nave inaffondabile. (V. Titanic) Gnu/Linux e MacOS sono veramente immuni ai virus? Il livello sicurezza di un sistema è dato dal tempo necessario per violare il sistema, dall'investimento necessario e dalla probabilità di successo.
SICUREZZA INFORMATICA (per giovani giuristi) Un sistema più è complesso più è insicuro. Le entità che compongono un sistema sono necessariamente tre: hardware, software ed humanware.
SICUREZZA INFORMATICA La conoscenza degli strumenti di sicurezza, dei problemi e delle vulnerabilità che sorgono progressivamente devono essere patrimonio culturale di tutti gli utenti. A tal proposito si parla di full disclosure contrapposta alla closed disclosure.
SICUREZZA GIURIDICA Perché i giuristi parlano di sicurezza informatica? Il diritto, volente o nolente, ha dovuto mutuare per certi versi la disciplina informatica della sicurezza, integrandola nei testi di legge.
SICUREZZA GIURIDICA Secondo la norma UNI/EN ISO 104559 La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui l'azienda dispone e necessita per garantirsi un'adeguata capacità concorrenziale nel breve, medio e lungo periodo.
SICUREZZA GIURIDICA Art. 17 Dir. 95/46/CE comma 1 Gli Stati membri dispongono che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione o dall'accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all'interno di una rete, o da qualsiasi altra forma illecita di trattamento dei dati personali. Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell'applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla naturadei dati da proteggere.
DIRITTO DELLA SICUREZZA INFORMATICA La Comuntà Europea [...] è impegnata nel promuovere un vero e proprio diritto della sicurezza informatica (Cfr. Buttarelli, Verso un diritto della sicurezza informatica in Sicurezza Informatica.1995) Nella tematica della sicurezza, l'approccio giuridico non è quello prevalente, ma, nel tempo, la disciplina tecnica si è dovuta coniugare con un insieme di regole simbolicamente contrassegnate come diritto della sicurezza informatica (Buttarelli 1997)
LA NOZIONE DI SICUREZZA Il diritto della sicurezza informatica ha ad oggetto lo studio delle norme tramite le quali è possibile assicurare l'integrità, la riservatezza e la disponibilità del dato trattato. (Bonavita 2009)
IL DATO Il concetto di 'dato' esprime una registrazione elementare nella memoria di un computer, pur non avendo una sua dimensione numerica prestabilita, che possa farlo ritenere una precisa unità di misurazione: nel linguaggio comune il termine dati ha invece una accezione più ampia, significando spesso l'insieme dei contenuti registrati nella memoria di un computer [...] (Pica 1999)
RISERVATEZZA L informazione deve essere accessibile solo a chi è autorizzato a conoscerla. Le informazioni riservate devono essere protette sia durante la trasmissione che durante la memorizzazione. I dati memorizzati devono essere protetti mediante crittografia o utilizzando un controllo d accesso, mentre per le informazioni riservate trasmesse è necessaria la crittografia.
INTEGRITA' Le informazioni devono essere trattate in modo che siano difese da manomissioni e modifiche non autorizzate. Solo il personale autorizzato può modificare la configurazione di un sistema o l informazione trasmessa su una rete. Per garantire l integrità dei dati è necessario che il sistema sia preparato ad individuare eventuali modifiche apportate ai dati durante la trasmissione, sia intenzionalmente in seguito ad un attacco, sia involontariamente in seguito ad un errore di trasmissione.
DIRITTO DELLA SICUREZZA INFORMATICA In Italia la cultura della sicurezza ha tardato ad affermarsi. Per molto tempo, le misure di protezione sono state considerate come una spesa a fondo perduto o come un lusso, incompatibile con le esigenze di economicità (Buttarelli 1997)
DISPONIBILITA' L informazione deve essere sempre disponibile alle persone autorizzate quando necessario. Una varietà di attacchi possono comportare la perdita o la riduzione parziale della disponibilità di un sistema informatico; alcuni di questi attacchi sono evitabili tramite contromisure automatizzate come l autenticazione e la crittografia, mentre altri richiedono speciali azioni fisiche per prevenire o ridurre la perdita di dati o di risorse in un sistema distribuito.
DIRITTO DELLA SICUREZZA INFORMATICA D.P.C.M.15 FEBBRAIO 1989 Coordinamento delle iniziative e pianificazioni degli investimenti in materia di automazione nelle amministrazioni pubbliche, Art. 4. Le amministrazioni pubbliche garantiscono l'applicazione delle misure per la sicurezza dei centri elaborazione dati, la segretezza e la riservatezza dei dati contenuti negli archivi automatizzati, il numero delle copie dei programmi dei dati memorizzati da conservare, le modalità per la loro conservazione e custodia.
LE FONTI La legge 23 dicembre 1993 n. 547 Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica ; la legge 3 agosto 1998, n. 269 Norme contro lo sfruttamento della prostituzione, della pornografia, del turismo sessuale in danno di minori, quali nuove forme di riduzione in schiavitù ; la legge 18 agosto 2000, n. 248 Nuove norme di tutela del diritto d'autore volta a reprimere i comportamenti illeciti di pirateria informatica;
LE FONTI Il Decreto Legislativo 8 giugno 2001, n. 231 Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300 In particolare il d.lgsl. 231/01 viene periodicamente aggiornato con l inclusione di nuovi reati; nel 2008 è stato aggiornato per tener conto della legge n.48/2008, nel luglio 2009 per tener conto di nuovi delitti in relazione alla violazione del diritto d autore.
LE FONTI E tuttavia nella legge in materia di trattamento dei dati personali che la sicurezza informatica ha trovato il suo luogo di elezione.
Codice Privacy art. 31. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Codice Privacy art. 34 Trattamenti con strumenti elettronici. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell allegato B), le seguenti misure minime:
Codice Privacy art. 34 a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell individuazione dell ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
Codice Privacy art. 34 f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Codice Privacy art. 34 & 31 Quale è la differenza tra misure minime e misure idonee?
Codice Privacy art. 15 & 167 Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni.
Codice Privacy art. 34 Ulteriori misure in caso di trattamento di dati sensibili o giudiziari I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.
Codice Privacy art. 34 I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.
Codice Privacy art. 34 I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.
Codice Privacy art. 34 Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
Il DPS Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
Il DPS l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; la previsione di interventi formativi degli incaricati;
Il DPS La descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
Codice Privacy art. 34 Nel concreto: Credenziali Antivirus Firewall Backup Crittografia Patch DPS
VEDIAMO L'ALLEGATO B) Cfr tabelle DPS Garante
PROVVEDIMENTI DEL GARANTE Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'allegato B) al Codice in materia di protezione dei dati personali -27 novembre 2008 Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 7 novembre 2008 Semplificazione al modello per la notificazione al Garante- 22 ottobre 2008 Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali - 13 ottobre 2008
PROVVEDIMENTI DEL GARANTE Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili - 19 giugno 2008 Riconoscimento vocale e gestione di sistemi informatici - 28 febbraio 2008 Trattamento di dati biometrici con finalità di verifica della presenza dei dipendenti e di accesso a particolari aree produttive (mulino) -15 giugno 2006 Dati bancari: accesso non autorizzato e misure di sicurezza -23 luglio 2009
D.lgs 231/01 Legge 18 marzo 2008, n. 48 Ratifica ed esecuzione della Convenzione del Consiglio d' Europa sulla criminalità informatica Si prevede l'estensione della responsabilità amministrativa delle le aziende, (D.lgs 231/01) ai reati informatici commessi da un vertice o da un dipendente dell azienda allorquando ciò avvenga nel suo interesse o abbia apportato alla stessa un vantaggio, salvo che queste siano dotate di un piano di gestione degli incidenti informatici.
D.lgs 231/01 Il decreto legislativo 231 del 2001, prevede l esonero di responsabilità dell ente allorquando lo stesso dimostri di aver predisposto modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi
1. Costituiscono oggetto di tutela le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni: a) siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore; b) abbiano valore economico in quanto segrete; c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete. 2. Costituiscono altresi' oggetto di protezione i dati relativi a prove o altri dati segreti, la cui elaborazione comporti un considerevole impegno ed alla cui presentazione sia subordinata l'autorizzazione dell'immissione in commercio di prodotti chimici, farmaceutici o agricoli implicanti l'uso di nuove sostanze chimiche.
INFORMAZIONI SEGRETE EX ART. 98 CPI Le informazioni devono essere tali da rimanere soggette al legittimo controllo del detentore e da permanere segrete, atteso che la loro rivelazione si tradurrebbe in un vantaggio illecito. A tal fine è necessario, però, che le notizie siano sottoposte dall'imprenditore a misure di segregazione idonee a non consentire di rivelarne la natura. (Tribunale Bologna 16 maggio 2006)
LE FONTI USA Digital Millennium Copyright Act (DMCA) - 1998 Computer Fraud and Abuse Act (CFAA) -1984 Electronic Communications Privacy Act -1986
Grazie