Il Documento Programmatico di Sicurezza (ovvero, possiamo disinteressarci della Privacy e delle altre norme?) Seminarioe CorsosullaPrivacy Ottobre-Novembre 2006 Università di Verona Giovanni Michele Bianco
Possiamo disinteressarci? (parte 1) D.Lgs. 196/2003 (Codice della Privacy), Art. 169 (Misure di sicurezza) c. 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste all articolo 33 è punito con l arresto sino a due anni o con l ammenda da diecimila euro a cinquantamila euro. Chiunque: non il Rettore, o il Direttore Amministrativo, o il Preside, o il Direttore di Dipartimento, o il Dirigente, o l EP, o
Possiamo disinteressarci? (parte 2) Ci sono tante norme che inquadrano le nostre responsabilità, ad esempio: Il Decreto e la Legge Antiterrorismo D.M. 16/8/2005 e L. 155/2005 La policy del GARR Acceptable User Policy I regolamenti di Ateneo Regolamento Dati Sensibili Il Documento Programmatico di Sicurezza DPS 24 Marzo 2006
Possiamo disinteressarci? (parte 3) Ma anche il Codice Penale, ad esempio: Art. 615 quinques (diffusione programmi virus) E altre norme, ad esempio: L. 633/1941 e s.m.i. (Diritto d Autore)
Effetti del disinteressamento (parte 1) Settembre 2006 la rete di Ateneo decade di prestazioni al punto che nelle ore mattutine 10-13 non si riesce a lavorare né con i server interni né con InterNet Periodo critico 2 settimane Motivi dopo il periodo di indagine: 1 server Linux presso un Dipartimento non era gestito da tempo e era stato hackerato diventando un un server mondiale botnet Altri PC probabilmente senza antivirus sommavano i loro attacchi a quello del server Costo oltre alle 2 settimane di disagio e alla perdita di immagine, circa 8 mila Euro
Botnet? Una botnet èuna rete di computer collegati ad internet che, a causa di falle nella sicurezza o mancanza di attenzione da parte dell'utente e dell'amministratore di sistema, vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto. Si possono così sfruttare i sistemi compromessi per scagliare attacchi distribuiti del tipo denialof-service (DDoS) contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi agendo persino su commissione di organizzazioni criminali.
Effetti del disinteressamento (parte 2) Settembre 2006 Il NOC (networking Operating Center) del GARR ci notifica informalmente 3 right infringements ovverosia, notifiche di violazione dei diritti d autore perché da PC del nostro Ateneo sono stati scaricati film o programmi Indagine Abbiamo notificato ai tecnici che avremmo escluso quei PC dalla navigazione in InterNet Costo Ci potrebbero essere solamente effetti amministrativi e penali per chi ha violato i diritti d autore Fino a quando rimarranno informali le notifiche di violazione?
Quindi Possiamo disinteressarci? Delle norme Della gestione dei server Del mantenimento del PC dato in dotazione Di chi accede alle postazioni Di chi introduce access point Wi-Fi Di chi si connette con il proprio portatile Dell antivirus Del peer-to-peer Tutto questo determina l insieme dei rischi cui siamo sottoposti e da qui parte l elaborazione del Documento Programmatico di Sicurezza
Approfondimenti Per capire meglio i nostri confini dal punto di vista tecnico/organizzativo, saranno approfonditi, in particolare: Il Decreto Antiterrorismo D.M. 16/8/2005 La Legge Antiterrorismo L. 155/2005 Le policy del GARR Acceptable User Policy Il Documento Programmatico di Sicurezza DPS 24 Marzo 2006 La proposta di policy MM.4 Policy MM.4
Decreto Min. Int. 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche ovvero punti di accesso ad Internet utilizzando tecnologia senza fili, ai sensi dell articolo 7, comma 4, del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155
Art. 1. - Obblighi dei titolari e dei gestori c. 1 l. a) Accesso controllato c. 1 l. b) Identificazione degli utilizzatori c. 1 l. c) Monitoraggio Conservazione dati per aut. giud. e P.S. fino al 31/12/2007
Art. 2. Monitoraggio delle attivita c. 1) I soggetti di cui all'art. 1 adottano le misure necessarie a memorizzare e mantenere i dati relativi alla data ed ora della comunicazione e alla tipologia del servizio utilizzato, abbinabili univocamente al terminale utilizzato dall'utente, esclusi comunque i contenuti delle comunicazioni.
Art. 3. - Accesso alle reti telematiche attraverso postazioni non vigilate gli abbonamenti, forniti anche mediante credenziali di accesso prepagate o gratuite, non potranno avere validita' superiore ai dodici mesi dall'ultima operazione di identificazione. In deroga a quanto previsto al comma 1, possono consentirsi tempi di utilizzazione maggiori e comunque non superiori a cinque anni, nel caso di credenziali di accesso ad uso plurimo utilizzabili esclusivamente dai frequentatori di centri di ricerca, università ed altri istituti di istruzione per i terminali installati all interno delle medesime strutture.
Art. 4. Accesso alle reti telematiche attraverso tecnologia senza fili I soggetti che offrono accesso alle reti telematiche utilizzando tecnologia senza fili in aree messe a disposizione del pubblico sono tenuti ad adottare le misure fisiche o tecnologiche occorrenti per impedire l uso di apparecchi terminali che non consentono l identificazione dell utente, ovvero ad utenti che non siano identificati secondo le modalità di cui all art. 1.
Perchè riguarda UniVr fornitore di apparecchi terminali utilizzabili per le comunicazioni telematiche ( ) a frequentatori di centri di ricerca (art. 3) soggetto che offre accesso alle reti telematiche utilizzando tecnologie senza fili in aree messe a disposizione del pubblico (art. 4)
Frequentatori Coloro i quali, pur non essendo dipendenti nè associati, in modo più o meno occasionale hanno accesso alle sedi e ai quali sia consentito l uso di apparecchi terminali per la connessione ad Internet (ad esempio studenti, ospiti) L art. 3 richiede che Univr metta in atto misure idonee a: impedire l accesso ai terminali a soggetti non preventivamente identificati identificare chi accede mediante acquisizione di dati anagrafici e copia del documento di identità informare chi accede delle condizioni d uso rendere disponibili i dati acquisiti alla polizia postale, giudiziaria o all Autorità Giudiziaria solo ove queste autorità lo richiedano assicurare il trattamento e la conservazione dei dati fino al 31.12.2007 (tratto da INFN)
Wi-Fi il decreto richiede che siano identificabili gli utilizzatori delle reti wireless in aree messe a disposizione del pubblico. In particolare, si dovrà prestare particolare attenzione alle reti che si estendono in strade, piazze, giardini pubblici, aree universitarie, e alle reti wireless attivate in occasione di convegni, eventi e altre manifestazioni di formazione e promozione scientifica. Per questi casi, il Decreto specifica che è necessario: impedire l uso di terminali che non consentano l identificazione dell utente impedire l uso ad utenti che non siano preventivamente identificati. Anche per Univr risulta quindi necessario identificare i soggetti ai quali è consentito l accesso wireless alla rete; tale identificazione deve avvenire mediante acquisizione dei dati anagrafici riportati su un documento di identità e riproduzione del documento. (tratto da INFN)
È indispensabile collaborare E indispensabile la collaborazione di chi organizza l evento e/o predispone server e/o accessi: il Centro di Resposanbilità (Facoltà, Dipartimento, Biblioteca centralizzata, Centro, Amm. Centrale) Si suggerisce di informare preventivamente i partecipanti e raccogliere in anticipo i dati anagrafici, ove possibile Se è previsto un sito/pagina web per la Conferenza si suggerisce di mettere online l avviso riguardante la raccolta dati anagrafici e l informativa privacy (tratto da INFN)
Legge 155, 31 Luglio 2005 Conversione in legge, con modificazioni, del decreto legge 27 luglio 2005, n. 144, recante misure urgenti per il contrasto del terrorismo internazionale
Art. 6.- Nuove norme sui dati del traffico telefonico e telematico C. 1. A decorrere dalla data di entrata in vigore del presente decreto e fino al 31 dicembre 2007 é sospesa l'applicazione delle disposizioni di legge, di regolamento o dell'autorità amministrativa che prescrivono o consentono la cancellazione dei dati del traffico telefonico o telematico, anche se non soggetti a fatturazione, e gli stessi, esclusi comunque i contenuti delle comunicazioni, e limitatamente alle informazioni che consentono la tracciabilità degli accessi, nonché, qualora disponibili, dei servizi, debbono essere conservati fino a quella data dai fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico, fatte salve le disposizioni vigenti che prevedono un periodo di conservazione ulteriore.
Art. 6.- Nuove norme sui dati del traffico telefonico e telematico C. 2. All'articolo 55, comma 7, del decreto legislativo 1 agosto 2003, n. 259, le parole «al momento dell'attivazione del servizio.» sono sostituite (OMISSIS) Il comma 2 modifica altre norme, tra cui quella della Privacy
Acceptable User Policy GARR Art. 1 La Rete Italiana dell'università e della Ricerca Scientifica, denominata comunemente "la rete del GARR", si fonda su progetti di collaborazione scientifica ed accademica tra le Università e gli Enti di Ricerca pubblici italiani. Di conseguenza il servizio di rete GARR è destinato principalmente alla comunità che afferisce al Ministero dell'università e della Ricerca Scientifica e Tecnologica (MURST). (OMISSIS) L'utilizzo della rete è comunque soggetto al rispetto delle Acceptable User Policy (AUP) da parte di tutti gli utenti GARR.
Cosa hanno in comune le norme? Il D.M., la Legge 155 e la Policy del GARR hanno in comune: L identificazione di chi accede Il D.M. e la Legge 155 aggiungono, tra l altro: L archiviazione del flusso dati (non del contenuto) La Policy GARR aggiunge, tra l altro: Che gli utenti siano a conoscenza dei limiti (doveri) di utilizzo Che gli utenti si responsabilizzino per evitare la non conformità alle norme
Il DPS (CdA( 24 Marzo 2006) In base all Articolo 34 del d.lgs 196/2003 Codice in Materia di Protezione dei Dati Personali, e alla Regola 19 dell Allegato B Disciplinare tecnico in materia di misure minime di sicurezza
La proposta di policy MM.4 Nasce allo scopo di regolare il flusso dei frequentatori negli spazi di Univr, ivi compreso lo spazio virtuale delle rete Tiene conto delle norme recenti (D.M. 16 Agosto 2005 e L. 155/2005) sul fatto di riconoscere chi fa che cosa e di archiviare il traffico Tiene conto del D.Lgs. 196/2003 per responsabilizzare gli utenti/propositori della rete Chi installa e gestisce un server Chi installa e gestisce un Access Point Chi