<Insert Picture Here> Chi possiede i miei dati e come li protegge? Identity Management, Personal Data Ownership e Data Breach Prevention Strategy Fabrizio Leoni Infocert Simone Mola SafeNet
Agenda Cosa sono i personal data Una definizione in evoluzione Chi possiede i personal data Dalle aziende agli individui Dal dato al contesto di utilizzo L evoluzione della gestione dei personal data Midata e SPID La normative europea sul data breach
Cosa sono i personal data?
Cosa sono i personal data (2)
Personal Data Ownership Il controllo dei dati personali: dalle aziende alle persone dai dati al loro utilizzo
Personal Data Ownership Il controllo dei dati personali: dalle aziende alle persone dai dati al loro utilizzo
La responsabilità e il trust, modelli emergenti
Midata We ll review progress on the midata project by March 2014. If we decide there s not been enough in one or more of the core sectors, we ll consult on the wording of regulations to make industry cooperation compulsory. Midata Innovation Labs (end 11/2013)
SPID Con la legge n. 98 del 9 Agosto 2013, il Governo Italiano ha introdotto all art. 17-ter il Servizio Pubblico di Identità Digitale (SPID). In attesa di decreto, che definirà: a) modello architetturale e organizzativo; b) modalità e requisiti per l'accreditamento; c) standard tecnologici
News dall europa data protection reform
Lo stato dei Personal Data La gestione e il possesso dei personal data sono al centro di una importante evoluzione Il controllo da parte dell interessato è un trend normativo e funzionale in atto La gestione dell identità digitale è un tassello fondamentale per garantire il possesso del dato I soggetti che gestiscono i dati personali si stanno differenziando, in uno scenario che richiede sempre maggior controllo E la sicurezza?
Data breach / violazione dati personali «violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico nella Comunità.» Definizione presente nel D.Lgs 196/03 (Codice in materia di protezione dati personali), identica a quella presente nella Direttiva Europea 2002/58/CE (relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, come modificata dalla Direttiva Europea 2009/136/CE)
Una minaccia top e sempre in crescita Big Data 2nd Mobile Computing 10th Data breach ranked as threat in Emerging Areas 3th Internet of Things 9th 4th Trust Infrastructure Cloud Computing Riferimento: ENISA Threat Landscape 2013 - Overview of current and emerging cyber-threats, 11 Dicembre 2013
Violazione dati nella normativa UE attuale Direttiva 95/46/CE per la tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati Direttiva 2002/58/CE, direttiva relativa alla vita privata e alle comunicazioni elettroniche come modificata dalla Direttiva 2009/136/CE Regolamento UE N. 611/2013 in vigore in tutti i paesi membri UE dal 25 agosto 2013 riguardo la notifica delle violazioni di dati personali a norma della direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche
Regolamento UE 611/2013 sulla violazione dei dati I destinatari del Regolamento sono i fornitori di servizi di comunicazione elettronica accessibili al pubblico (il Fornitore) (come definiti nell art. 2 c. a), c) e d) della Direttiva 2002/21/CE) Il Fornitore ha la responsabilità di valutare se l evento sia da considerare una violazione ai sensi dell articolo 2, lettera i), della direttiva 2002/58/CE La notifica deve essere effettuata entro 24 ore dall avvenuta conoscenza della violazione alla competente Autorità nazionale (nel caso Italia: il Garante per la protezione dei dati personali) Entro i 3 giorni successivi il fornitore deve integrare, se necessario, la prima notifica fornendo ulteriori elementi in relazione alla violazione Il Fornitore notifica la violazione senza indebito ritardo anche all abbonato o all altra persona i cui dati sono stati oggetto della violazione Può ritardare tale comunicazione, con l approvazione dell Autorità nazionale, se necessario per non mettere a rischio il corretto svolgimento dell indagine sulla violazione di dati personali Presupposto per non procedere con la notifica all abbonato o all altra persona: dati personali oggetto della violazione sono non-intelligibili È sempre il Fornitore a dover notificare la violazione anche se sono coinvolti suoi sub-fornitori Il sub-fornitore ha comunque l obbligo di informare..immediatamente il Fornitore che lo ha ingaggiato in caso di violazione di dati personali
Report ENISA ENISA ha pubblicato il Report Recommended cryptographic measures Securing personal data, 20 Settembre 2013 con il quale fornisce input e raccomandazioni riguardo le misure da applicare per rendere i dati inintelligibili Il Report ENISA è il primo input per l elenco di misure tecnologiche che la Commissione ha facoltà di pubblicare, e come tale è destinato a condizionare in modo significativo le scelte in merito alle soluzioni di sicurezza che i fornitori di servizi soggetti alle normative UE devono porre in essere Le misure crittografiche sono dichiarate come base essenziale per ottenere sicurezza e governance riguardo la inintelligibilità dei dati, con l efficacia richiesta dalla legge, e per consentire alle organizzazioni di avvalersi delle conseguenti deroghe previste riguardo la notificazione delle violazione dei dati ai soggetti interessati.
Contromisure raccomandate dal Report ENISA Secure deletion of files (Cancellazione sicura dei files) Authenticated Encryption (Crittografia autenticata) Secure Hardware (Hardware sicuro) Key Architecture (Architettura di Chiavi) Access Control System (Sistema controllo accessi)
Secure deletion of files Come generale regola di sicurezza, i dati non più necessari devono essere resi indisponibili in modo affidabile: per i dati personali ciò rappresenta un obbligo imposto dalla direttiva europea sulla privacy 95/46/CE, il cui recepimento negli Stati Membri in genere richiede la cancellazione o la trasformazione in forma anonima dei dati in questione Per la cancellazione di file (dati non strutturati) possono essere seguiti diversi approcci, che vanno dalle azioni logiche (cioè la riscrittura casuale con dati non significativi) agli interventi fisici come smagnetizzazione o distruzione dei supporti Qualunque sia la soluzione adottata in un ambiente reale non sempre l'operazione di cancellazione può essere considerata efficace al 100%: in particolare quando i dati sono sensibili per il business, la loro preventiva cifratura può aumentare significativamente il reale valore della cancellazione, ma in concomitanza con adeguate precauzioni per rendere inefficaci le chiavi di decrittazione relative L'adozione di cifratura come misura preventiva per garantire la cancellazione sicura dei dati è, per esempio, suggerita dal PCI Security Standards Council nelle sue Linee Guida per il Cloud Computing: «[...] I clienti possono scegliere di assicurare che tutti i dati vengano crittografati con una forte crittografia per ridurre il rischio di eventuali dati residui lasciati sui sistemi CSP»
Authenticated Encryption Preservare i dati da accessi non autorizzati e, allo stesso tempo, attuare la rilevazione di eventuali modifiche non autorizzate effettuate sui dati E considerato un livello più elevato di riservatezza poiché aggiunge il controllo sulla autenticità dei dati trasmessi o memorizzati La crittografia autenticata può essere realizzata combinando opportunamente meccanismi di crittografia con Codici di Autenticazione di Messaggio (MAC) Un aspetto importante nella scelta nella crittografia autenticata è quello di giungere ad un giusto equilibrio tra l'obiettivo di massimizzare il livello di sicurezza e il requisito di disporre comunque di una efficiente elaborazione dei dati Una sintesi dei meccanismi di crittografia autenticata è riportata al paragrafo 4.3 delle raccomandazioni di ENISA(*) ai fini di un livello minimo di requisiti sulla crittografia in tutti gli Stati Membri UE (*) ENISA: Algorithms, Key Sizes and Parameters Report 2013 recommendations, version 1.0 Ottobre 2013
Secure Hardware Secure Hardware è una misura di sicurezza indispensabile per gestire trattamenti di dati critici per il business sia in contesti off-line sia on-line come un'infrastruttura a chiave pubblica o applicazioni on-line per servizi sanitari o soluzioni per la conservazione dei dati di traffico a responsabilità di TelCo ed ISP per finalità di giustizia Hardware Security Module (HSM), Trusted Platform Module (TPM) così come le smartcard rappresentano esempi tipici di un hardware sicuro Il principio è quello di utilizzare hardware dedicato per il trattamento specifico di dati sensibili per il business, Secure Hardware solitamente comporta l'adozione della crittografia applicata ai dati memorizzati e la specializzazione ad erogare solo alcuni servizi, al fine di limitare l'esposizione alle possibili minacce Inoltre, le soluzioni Secure Hardware sono generalmente dotate di meccanismi di strong authentication e logging, nonché funzioni di rilevazione e di allarme in caso di azioni di manomissione
Key Architecture La Key Architecture è un importante elemento per la gestione delle chiavi, ossia: la sicura generazione, memorizzazione, distribuzione, utilizzo e distruzione di chiavi di cifratura Qualunque sia l' intrinseco livello di sicurezza offerto dalle lunghezza delle chiavi e l'affidabilità degli algoritmi di cifratura/decifratura implementati, lo scenario reale e la dinamicità del ciclo di vita delle chiavi e delle possibili relative minacce, richiedono l'attuazione di una strategia adeguata, commensurata alla criticità del business interessato, per limitare il tempo massimo di utilizzo di una singola chiave, per diversificare le chiavi in base a distinti casi d'utilizzo, per limitare la massima quantità di dati da cifrare con una singola chiave. In ogni caso l'aggiornamento regolare delle chiavi e la loro cancellazione in modo sicuro (una volta che i dati crittografati non sono più necessari) rappresentano le raccomandazioni di base per rendere efficace la sicurezza nell'uso delle chiavi di cifratura/decifratura in pressoché tutti contesti di business Le Key architecture sono generalmente strutturate su più livelli: ai livelli più bassi vi sono le chiavi utilizzate per cifrare/decifrare i set di dati mentre ai livelli più alti vi sono le chiavi per cifrare/autenticare o per generare le chiavi ai più bassi livelli NIST: Special Publication 800-57 Recommendation for Key Management
Access Control System In base al tipo di dati e dei trattamenti da svolgere, il controllo accessi può richiedere qualcosa di più della gestione di un userid e una password: in alcuni casi la legislazione UE vigente già richiede, de facto, l'adozione di tecniche di strong authentication per il controllo accesso ai dati. Un esempio è trattamento di dati di traffico per finalità di giustizia a cura di Telco e ISP ai sensi della direttiva 2006/24/CE: il recepimento nella legislazione degli Stati membri dell'ue dell'articolo 7 "Protezione e sicurezza dei dati" in alcuni casi ha portato al requisito di strong authentication basata su tecniche biometriche A parte le compliance già richieste dalla normativa UE, in molti contesti di trattamento dati l'adozione di controlli d'accesso "forte" è risultato del processo di analisi dei rischi, per cui i sistemi di controllo accessi sono spesso basati sull'uso di password in combinazione con token (ad esempio smart card, dispositivi USB,...) nei quali sono conservate chiavi specifiche per l'esecuzione di controllo accessi degli utenti. Quando i token sono utilizzati per memorizzare anche chiavi di encryption, deve essere attuata un'adeguata separazione dei due set di chiavi allo scopo di evitare la derivazione delle chiavi di encryption da chiavi di controllo accesso e viceversa
SECURE DELETION OF FILES AUTHENTICATED ENCRYPTION SECURE HARDWARE KEY ARCHITECTURE ACCESS CONTROL ProtectV ProtectFile StorageSecure Luna Hardware Security Modules (HSM) Network Encryptors HSM Token PKI e smart cards KeySecure DataSecure SAS (SafeNet Authentication as a Service) SAM (SafeNet Authentication Manager)
ProtectV Cifratura macchine e dischi virtuali, Preboot authentication Protected Storage Protected VM Instance ProtectV Client High Assurance Option KeySecure HA ProtectV Manager Encrypted Instance AES 256 Pre-launch Authentication Centralized Policy & Key Management Capable of managing up to 500 servers Active/Passive High Availability
StorageSecure Transparent Network-Based Encryption per CIFS, NFS e iscsi StorageSecure Encrypted Data Cleartext Data StorageSecure
Luna HSM Root of Trust Hardware in Applicazioni che Necessitano Encryption Offload! Application Multiple Application PKCS #11 CAPI / CNG Servers Key Usage Services Java CSP XML-DIGSIG OpenSSL Multiple Partitions Luna SA High Availability And Load Balancing Key Vault Services Tamper Resistance Separation of Duties MFA with M of N Controls FIPS 140-2 Level 3 Cryptographic Processing CC EAL4+ e.g. AES_GCM, DES3_GCM Key Management Services Backup/Restore Export Controls EKM Interface Policies
Network Encryptors Data Encryption Efficiente e Scalabile per High-speed Networks Cloud Security Multicast Networking Disaster Recovery Carrier Ethernet Network Point-to-Point Connections Remote Connections
KeySecure Enterprise Key Manager con 26 Partner Integrati, Cloud Ready SAN NetApp NAS DC1 Brocade SAN Switch KMIP SafeNet StorageSecure KMIP IBM RAID700 Storage Cloud KeySecure DataSecure KMIP KMIP NetApp Storage Encryption (NSE) Bucket with Encrypted Objects Amazon S3 Administrators HP ELS G3 Tape Library DR site
SafeNet Authentication Service Protegge Accesso a Reti, Applicazioni e Servizi Cloud Public Cloud Applications Private Cloud Services Online Storage Application Hosting Collaboration Tools SAML SAML Tokens & Users Administrators API RADIUS Agent SAML Private Networks Corporate Network Corporat e Network Corporat e Network Corporat e Network LDAP / Active Directory LDAP / Active Directory LDAP / Active Directory LDAP / Active Directory
Conclusioni L evoluzione del contesto normativo UE in materia di violazione tecniche considerate efficaci dei dati delinea le categorie di contromisure Sempre necessarie le analisi dei rischi specifiche, allo scopo di implementare adeguate misure tecnico/organizzative per prevenire, rilevare e bloccare i casi di violazione dati Nel caso dei servizi erogati dai TelCo / Internet Provider, le misure di sicurezza che rendono i dati inintelligibili sono espressamente indicate prerequisito per l'esenzione dall'obbligo di notifica delle violazioni dei dati verso abbonati e gli altri individui Analoghe deroghe saranno estese in altri settori di mercato dalle prossime normative UE sulla protezione dei dati La crittografia è prescritta come base essenziale per conseguire l'inintelligibilità dei dati, insieme ad altre misure di sicurezza con essa coerenti, quali le soluzioni di hardware sicuro e di controllo accessi
Grazie! Fabrizio Leoni fabrizio.leoni@infocert.it Simone Mola simone.mola@safenet-inc.com
Bibliografia e fonti World Economic Forum: «Rethinking personal Data» http://www.weforum.org/issues/rethinking-personal-data http://www.out-law.com/en/articles/2014/february/midata-initiative-may-have-stalled-due-to-poor-data-qualitysays-it-consultant/ UK Government: «Midata» https://www.gov.uk/government/policies/providing-better-information-and-protection-for-consumers/supportingpages/personal-data MidataLab «Midata Explained» http://www.midatalab.org.uk/midata-explained/ AGID «Accesso ai servizi» (SPID) http://archivio.digitpa.gov.it/cad/modalit-accesso-ai-servizi-erogati-rete-dalle-pubbliche-amministrazioni Cntrl-shift report: «The-new-personal-data-landscape» http://ctrl-shift.co.uk/wordpress/wp-content/uploads/2011/11/the-new-personal-data-landscape-final.pdf REGOLAMENTO (UE) N. 611/2013 DELLA COMMISSIONE del 24 giugno 2013 http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=oj:l:2013:173:0002:0008:it:pdf Recommended cryptographic measures - Securing personal data http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/recommended-cryptographicmeasures-securing-personal-data