15 Ottobre 2013 Cyber Risk: Internal investigation e digital forensics nel rispetto della normativa in vigore Giuseppe Vaciago
Alcuni dati: un primato europeo In Italia vi sono 38.4 milioni di utenti nella fascia 11-74 anni con accesso continuo ad Internet, e quasi 20 milioni in grado di connettersi con uno smartphone o tablet (Fonte: Audiweb Trends, 2013). Il 44% dei pc italiani sono attaccati da malware contro il 20% di quelli danesi (Fonte: Kaspersky Lab).
Alcuni dati: un analisi degli attacchi Il rapporto Clusit 2013 identifica un rapido cambiamento del trend: iniziano ad essere colpiti tutti i settori industriali e non solo più il settore governativo o quello dell industria multimediale
Alcuni dati: un analisi degli attacchi Aumentano gli attacchi per finalità di cybercrime rispetto agli attacchi degli attivisti. 1 attacco su 2 è non è per finalità dimostrative.
Alcuni dati: tipologie di attacchi Attività fraudolente poste in essere da insider e outsider Attività di phishing Furto di dati confidenziali, furto di dati e spionaggio industriale Accessi non autorizzati da parte dei lavoratori Accessi non autorizzati da parte di esterni (hacking) Violazioni contrattuali Diffamazione e molestie sessuali Acquisizione e commercio di materiale pornografico e pedopornografico Furto di codici di accesso e pirateria informatica Modifica non autorizzata di dati (virus, cavallo di Troia, etc.) Furto di risorse informatiche aziendali per fini personali Denial of Services Abuso dell utilizzo della posta elettronica e di internet Violazione di policy e regolamenti aziendali
Alcuni Casi: La banda della firma digitale Un imprenditore perde la sua azienda perché il truffatore usando la sua smart card cede a sé stesso e al suo coimputato la totalità delle quote sociali. Ciò avviene perché il truffatore ottiene la firma digitale dell imprenditore incarica uno studio commercialista che facendone richiesta a suo nome non è tenuto a portare con sé l imprenditore al momento della consegna.
Alcuni Casi: Social Botnet Da una approfondita indagine dell FBI emerge che nel 2012 più di 11 milioni di utenti di Facebook sono rimasti affetti da un particolare malware in grado di fare un danno di circa 850 milioni di dollari.
Social Media Security and Big Data
Behavioral security
BYOD e Consumerization Perdità del controllo dei device aziendali + Aumento del rischio di introduzione di malware = Aumento del rischio di perdita di dati aziendali
Sicurezza fisica del device Lontano da occhi indiscreti
Sicurezza fisica del device Security by Design V. Privacy by Design?
Alcuni Casi: Una esemplificazione
Normativa su protezione cibernetica : Awareness DPCM 24 gennaio 2014 Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale. I fornitori di connettività e i gestori delle infrastrutture critiche di rilievo nazionale devono comunicare al Nucleo per la Sicurezza Informatica (CISR - Comitato Interministeriale per la Sicurezza della Repubblica, AISE - Agenzia Informazioni e Sicurezza Esterna, AISI - Agenzia Informazioni e Sicurezza Interna e NISP - Nucleo Interministeriale Situazione e Pianificazione) ogni significativa violazione della sicurezza o dell'integrità dei propri sistemi informatici, utilizzando canali di trasmissione protetti Provvedimento Generale del Garante del 4 aprile 2013 Obbligo per ISP e TELCO di segnalazione di Data Breach I fornitori di servizi di comunicazione elettronica hanno l obbligo di segnalare al Garante Privacy ogni violazione subita e, in talune ipotesi, di avvertire, successivamente gli interessati cui i dati si riferiscono.
Alcuni dati: statistiche ABI Lab
Alcuni dati: statistiche ABI Lab
Digital e Corporate Forensics In questo contesto, la diventa sempre più necessario ricercare all interno dei sistemi informativi della banca (corporate forensics) e del cittadino (digital forensics) la prova digitale utilizzabile nel successiva fase giudiziale (penale, civile e amministrativa). La prova digitale è qualunque informazione generata, memorizzata o trasmessa attraverso uno strumento elettronico che possa essere ammessa in giudizio (Fonte: Digital Forensics Guide - Council of Europe - 2013). Autentica: non deve subire alcuna alterazione Ammissibile: essere utilizzabile in giudizio come fonte di prova Proporzionale: ossia rispettare I diritti fondamentali Credibile :Facilmente comprensibile dall autorità giudiziaria
Sistema di Gestione della Digital Forensics È necessario un sistema di gestione con un approccio di tipo preventivo rispetto alle esigenze di investigazione informatica, fondato su 4 presupposti: Formalizzazione delle procedure in caso di incidenti IT Monitoraggio e analisi dell evoluzione normativa Progettazione e erogazione di iniziative di training Pianificazione periodica di attività di assessment
Digital Forensics preventiva: esempio pratico Mappatura (asset inventory) delle fonti di prova digitale Fonte di prova Tempi di conservazione Luogo e modalità di conservazione Copie di back up Note CCTV 72 ore Registrazione su server dedicato No Tempi di conservazione compliant con Garante Privacy Log di accesso applicazione X 6 mesi log in e log out 1 mese log in utenti generici Registrazione su log server xyz Registrazione in locale su application server Si Copie notturne registrazione su nastro No Tempi di conservazione compliant con Garante Privacy
La compliance nelle investigazioni difensive Linee Guida di categoria Sistema di gestione della sicurezza delle informazioni ISO/IEC 27037, 27041, 27042 e 27043 Compliance program (D.lgs. 231/01) Investigazioni difensive Codice Privacy e Provvedimenti Garante Privacy
Internal Investigation e Digital Forensics LA NORMATIVA IN VIGORE
I limiti legali delle investigazioni difensive Utilizzabilità in ambito penale Investigazioni difensive Artt. 113 e 114 Codice Privacy I controlli difensivi Utilizzabilità in ambito civile
La digital evidence in ambito civile Nel processo civile, il giudice fonda il proprio convincimento sulla base delle prove a fondamento dei diritti e delle eccezioni reperite e prodotte dalle parti. Le riproduzioni informatiche di fatti e di cose formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime. Ove disconosciute, esse conservano il valore probatorio di un semplice elemento di prova, liberamente valutabile dal giudice. Solo nel rito del lavoro, le prove a fondamento dei diritti e delle eccezioni devono essere cercate e prodotte dalle parti, ma il giudice ha poteri istruttori non previsti nel rito ordinario
La digital evidence in ambito penale La prova in sede penale è valutata liberamente dall organo giudicante e viene raggiunta a seguito del giudizio come disciplinato dal codice di procedura penale. La legge 48/2008 si è posta il problema della peculiarità delle tradizionali attività di ricerca dei mezzi di prova (ispezioni, perquisizioni, sequestri e accertamenti urgenti), in relazione alle prove digitali, prevedendo l adozione di misure tecniche dirette ad assicurare la conservazione dei dati originali e a impedirne l alterazione. I mezzi di ricerca della prova sono strumenti di indagine a disposizione del pubblico ministero e in via residuale della polizia giudiziaria, ma anche al difensore dell indagato e della parte offesa è concessa la facoltà di compiere indagini difensive, anche in ottica preventiva.
Art. 113 D.lgs. 196/03 e art. 4 Statuto Lavoratori È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori a meno che non siano richieste da: Esigenze organizzative Esigenze produttive Esigenze di sicurezza CONTROLLI LEGITTIMI O PRAETERINTENZIONALI Previo accordo con RSA e in difetto di accordo su istanza del datore di lavoro e provvedimento dell ispettorato del lavoro
Art. 114 D.lgs. 196/03 e art. 8 Statuto Lavoratori È fatto divieto al datore di lavoro, ai fini dell'assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi su: 1. Opinioni politiche, religiose o sindacali del lavoratore. 2. Su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore.
Art. 171 D.lgs 196/03 e art. 38 Statuto Lavoratori Le violazioni degli articoli 4 e 8 comportano: Ammenda da 154,95 a 1549,5 o arresto da 15 giorni ad un anno. Nei casi più gravi le pene dell'arresto e dell'ammenda sono applicate congiuntamente. Se il giudice ritiene l ammenda troppo bassa ha facoltà di aumentarla fino al quintuplo. Nei casi più gravi l'autorità giudiziaria ordina la pubblicazione della sentenza penale di condanna
I controlli difensivi La giurisprudenza ha introdotto con i controlli difensivi una ulteriore ipotesi di non applicazione del divieto dell art. 4 dello Statuto dei Lavoratori: devono ritenersi certamente fuori dall ambito di applicazione dell art. 4 Statuto dei Lavoratori i controlli diretti ad accertare condotte illecite del lavoratore (c.d. controlli difensivi), quali, ad esempio, i sistemi di controllo dell accesso ad aree riservate, o appunto gli apparecchi di rilevazione di telefonate ingiustificate.
Investigazioni difensive in ambito penale L attività principale riconosciuta dall art. 327-bis c.p.p., è senza dubbio l assunzione di informazioni da soggetti che possono rendere informazioni utili all indagine. Tuttavia, è prevista dall art. 391-sexies anche la possibilità di effettuare un sopralluogo e di redigere un verbale che documenti l attività svolta. In questa attività investigativa, potrebbe rientrare l accesso a un sistema informatico aziendale da parte di un consulente tecnico nominato dall avvocato, finalizzato a controllare la commissione di eventuali illeciti da parte del lavoratore. È importante rilevare che, ai sensi dell art. 391-decies, qualora l attività sia qualificabile come accertamento tecnico non ripetibile ex art. 360 c.p.p., il difensore ha il dovere di darne avviso, senza ritardo, al pubblico ministero. La dottrina si è interrogata molte volte sulla ripetibilità o meno dell analisi forense di un sistema informatico.
Garante Privacy: Caso Marsh La società Marsh S.p.A. attraverso la società di investigazione tedesca Kroll Ontrack GMBH effettuava un controllo sulla posta elettronica del lavoratore senza alcun avviso. Il dipendente ricorre al Garante della Privacy e la società si difende sostenendo che: 1. Era specificato nel Manuale sulla privacy l esclusione per fini personali dell utilizzo della e-mail aziendale 2. Era stato espletato in forza sia dalla legislazione americana che impone alle aziende accertamenti di tal specie in relazione a presunti illeciti penali commessi dal top management (Sarbanes Oxley Act Sox), sia dalla legislazione italiana, che prevede sanzioni per le imprese che non vigilino sull'osservanza di modelli organizzativi volti a prevenire la commissione di specifici reati da parte degli stessi vertici aziendali (d.lg. n. 231/2001)
Garante Privacy: Caso Marsh Il Garante accoglie il ricorso del dipendente in quanto il principio di correttezza comporta l'obbligo, in capo al titolare del trattamento, di indicare chiaramente agli interessati le caratteristiche essenziali del trattamento e l'eventualità che controlli da parte del datore di lavoro possano riguardare gli strumenti di comunicazione elettronica, ivi compreso l'account di posta (Caso Copland in UK). Nel caso di specie, tale principio impone di rendere preventivamente e chiaramente noto agli interessati se, in che misura e con quali modalità vengono effettuati controlli ai sensi delle linee guida del Garante della Privacy del 1/3/2007. In sostanza, il Garante impedisce ogni ulteriore utilizzo dei dati, salva la loro conservazione per la tutela di diritti in sede giudiziaria nei limiti di cui all'art. 160, comma 6 del Codice.
Garante Privacy: Caso Telepost La società Telepost licenzia un dipendente che aveva all interno del suo notebook aziendale file contenenti materiale pornografico. L azienda accede all hard disk in sua assenza e con l ausilio di un consulente tecnico terzo, dopo aver inviato solo il giorno prima la normativa per l'utilizzo dei servizi informatici. Il Garante accoglie il ricorso sostenendo che la società ha esperito il controllo informatico in assenza di una previa idonea informativa all'interessato relativa al: trattamento dei dati personali (art. 13 del Codice) modalità da seguire per gli stessi (presenza dell'interessato, di rappresentanti sindacali, di personale all'uopo incaricato)
Linee Guida Garante Privacy su posta elettronica e internet I datori di lavoro privati e pubblici devono indicare chiaramente le modalità di uso degli strumenti elettronici messi a disposizione e se e in che misura e con quali modalità vengono effettuati controlli Divieti (es. file-sharing o downloading di mp3 e software illegale) Posta privata: come (webmail o client?) e quando? Memorizzazione di dati (es. log file): quali e per quanto tempo? Controlli del datore di lavoro: specifici con indicazione dei tempi
Linee Guida Garante Privacy su posta elettronica e internet I datori di lavoro devono adottare e pubblicare un disciplinare interno e adottare misure di tipo organizzativo affinché: si proceda ad un attenta valutazione lavoratori; dell impatto sui diritti dei si individuino preventivamente i lavoratori cui è consentito l utilizzo di internet e della posta elettronica; si individui quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di impieghi abusivi.
Linee Guida Garante Privacy su posta elettronica e internet È vietato il trattamento di dati personali da parte dei datori di lavoro mediante software e hardware che mirano al controllo a distanza dei lavoratori attraverso: la lettura sistematica dei messaggi di posta elettronica; memorizzazione riproduzione delle pagine web visionate dal lavoratore; la lettura e la registrazione dei caratteri inseriti tramite la tastiera; l analisi occulta dei computer portatili affidati al lavoratore.
Linee Guida Garante Privacy su posta elettronica e internet In ogni caso tutti i trattamenti devono rispettare i principi di: CORRETTEZZA Le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori PERTINENZA Divieto di un'ingiustificata interferenza sui diritti e sulle libertà fondamentali di lavoratori NECESSITÀ Elenco di siti attendibili Filtri inseriti su black list (download Anonimizzazione dei log file Retention limitate file NON INVASIVITÀ Monitoraggio effettuato solo su soggetti a rischio ed effettuato nel rispetto del principio della segretezza della corrispondenza
Giurisprudenza penale su art. 616 c.p. Non incorre nel reato di cui all art. 616 c.p. il datore di lavoro che legge le e-mail aziendali dei propri dipendenti se esiste un regolamento dettato dall impresa che impone la comunicazione della password del PC (Cass. Pen., Sez. V, 11/12/2007, n. 47096) L indirizzo aziendale, proprio perché tale, può essere nella disponibilità di accesso e lettura da parte di persone diverse dall utilizzatore consuetudinario a prescindere dalla identità o diversità di qualifica o funzione (Tribunale di Milano, 10/5/2002) Il dipendente che utilizza la casella di posta elettronica aziendale si espone al rischio che anche altri della medesima azienda possano lecitamente accedere alla casella in suo uso previa acquisizione della relativa " password (Tribunale Torino, 15 settembre 2006)
Giurisprudenza civile su controlli difensivi Non sono utilizzabili a fini disciplinari i dati acquisiti mediante programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi Internet dei dipendenti, sul presupposto che gli stessi consentono al datore di lavoro di controllare a distanza ed in via continuativa l'attività lavorativa durante la prestazione, e di accertare se la stessa sia svolta in termini di diligenza e corretto adempimento (Cassazione civile sez. lav., 23/2/2010, n. 4375) Non sono utilizzabili i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad Internet violano, da un lato, l'art. 8 st. lav., posto che il monitoraggio e la conservazione per un certo lasso di tempo dei dati acquisiti può concretare trattamenti dei dati sensibili che consentono al datore di lavoro di acquisire indicazioni sulle "opinioni politiche, religiose o sindacali" del singolo dipendente"; dall'altro, l'art. 4 dello stesso statuto, ove non sia attivata la procedura prevista per l'installazione delle apparecchiature necessarie per soddisfare esigenze aziendali (C. App. Milano, 30/09/2005)
Conclusioni Quadro normativo e giurisprudenziale caotico: dall art. 4 Statuto Lavoratori alle Linee Guida del Garante Privacy del 1 marzo 2007, dai Provvedimenti del Garante Privacy alle decisioni della Corte di Cassazione civile e penale. Il D.lgs. 231/01 rischia di essere in contrasto con quanto stabilito dal Garante Privacy rendendo difficile la redazione del modello di organizzazione gestione e controllo. La digital forensics, riveste e rivestirà sempre di più un ruolo di fondamentale importanza per garantire la corretta cristallizzazione della prova digitale che dovrà essere successivamente prodotta in giudizio.
Grazie per l attenzione giuseppe.vaciago@replegal.it http://it.linkedin.com/in/vaciago https://twitter.com/giuseppevaciago