Le misure di sicurezza, l`informatica e la privacy
Transcript
Le misure di sicurezza, l`informatica e la privacy
Le misure di sicurezza, l'informatica e la privacy Avv. Pierluigi Perri – CIRSFID – Università degli Studi di Bologna Una volta la sicurezza la si faceva così :-) Ora invece la sicurezza è prevalentemente così Il concetto di sicurezza per l'informatica – Non esiste una vera e propria definizione di "Sicurezza Informatica". Possiamo comunque delinearla come la scienza che studia come proteggere le informazioni elaborate o trasferite elettronicamente da atti indesiderabili che possono avvenire accidentalmente, o essere frutto di azioni colpose o dolose. Il concetto di sicurezza per il diritto Secondo la norma UNI/EN ISO 104559 “La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui l'azienda dispone e necessita per garantirsi un'adeguata capacità concorrenziale nel breve, medio e lungo periodo”. In particolare: nella legge sul trattamento dei dati personali in Europa ● ● ● Art. 17 Dir. 95/46/CE comma 1 “Gli Stati membri dispongono che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione o dall'accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all'interno di una rete, o da qualsiasi altra forma illecita di trattamento dei dati personali. Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell'applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere”. …ed in Italia • Art. 15 L. 675/96 comma 1 • Art. 31 del Testo Unico “I dati personali oggetto di “I dati personali oggetto di trattamento trattamento devono essere custoditi e sono custoditi e controllati, anche in controllati, anche in relazione alle relazione alle conoscenze acquisite in conoscenze acquisite in base al base al progresso tecnico, alla natura progresso tecnico, alla natura dei dati dei dati e alle specifiche e alle specifiche caratteristiche del caratteristiche del trattamento, in trattamento, in modo da ridurre al modo da ridurre al minimo, mediante minimo, mediante l’adozione di l’adozione di idonee e preventive idonee e preventive misure di misure di sicurezza, i rischi di sicurezza, i rischi di distruzione o distruzione o perdita, anche perdita, anche accidentale, dei dati accidentale, dei dati stessi, di accesso stessi, di accesso non autorizzato o di non autorizzato o di trattamento non trattamento non consentito o non consentito o non conforme alle conforme alle finalità della raccolta”. finalità della raccolta” In particolare: le misure minime • Art. 33 del nuovo Testo Unico • Art. 15 L. 675/96 comma 2 “Nel quadro dei più generali “Le misure minime di sicurezza obblighi di sicurezza di cui da adottare in via preventiva sono individuate con all’articolo 31, o previsti da regolamento emanato con speciali disposizioni, i titolari del trattamento sono comunque Decreto del Presidente della Repubblica…omissis” tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’art. 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali”. Alcune considerazioni: - la lettera del Legislatore europeo non fa distinzione tra misure di sicurezza “minime” e non, che saranno una nostra invenzione in sede di recepimento della direttiva; - la direttiva parla espressamente di “costi dell'applicazione”, introducendo questo concetto quale parametro per la valutazione della messa in sicurezza di un sistema; - vengono forniti gli elementi essenziali per definire sicura un sistema informativo, i quali possono riassumersi in: 1) integrità dei dati; 2) riservatezza dei dati; 3) disponibilità dei dati; 4) reattività del sistema stesso. Parliamo quindi innanzitutto di misure di sicurezza Prima di affrontare il dettato normativo circa le misure minime, è bene parlare di misure di sicurezza in genere. L’adozione delle misure minime, infatti, mette al riparo da eventuali responsabilità penali ma non da responsabilità civili ex art. 2050 c.c. (art. 18 L. 675/96 e articolo 15 del nuovo TU) Per la messa in sicurezza di qualsiasi sistema informativo/ico, sia esso connesso in intranet o in internet, basta seguire pochi ma sani principi. Principio 1 ● ● ● ● Non esistono sistemi sicuri, nè tantomeno apparecchiature che possano garantire la sicurezza al 100 % - Il software può non essere perfetto (e in genere non lo è), ci possono essere errori di progettazione nei protocolli. - Il mito del sistema inviolabile è da assimilare al mito del caveau non svaligiabile o della nave inaffondabile (e.g. Titanic). - Il grado di sicurezza è dato dal tempo necessario per violare il sistema, dall'investimento necessario e dalla probabilità di successo. Principio 2 ● ● Un sistema più è complesso più è insicuro. Per una progettazione ideale di un sistema conviene applicare la cd. KISS rule (Keep It Simple and Stupid) Principio 3 ● ● Le entità che compongono un sistema sono necessariamente tre: hardware, software ed humanware. Senza continuo apporto di lavoro nessun sistema può essere sicuro. Ciò che è sicuro oggi potrebbe non esserlo più domani, perché per esempio è stato scoperto un difetto del sistema. I sistemi che non vengono aggiornati diventano quindi fragili. Principio 4 ● ● ● ● ● La sicurezza deriva dalla conoscenza. Soprattutto per quanto riguarda il software, prediligere soluzioni open source porta innegabili vantaggi: - gli aggiornamenti sono costanti e continui; - si può sapere cosa realmente fa il software in background; - si può personalizzare il software per meglio adattarlo alle nostre esigenze. Principio 5 ● ● La conoscenza degli strumenti di sicurezza e la consapevolezza dei problemi che man mano sorgono devono essere patrimonio culturale di tutti gli utenti. A tal proposito si parla di full disclosure contrapposta alla closed disclosure. E il diritto…che c’azzecca? ● ● Il diritto, volente o nolente, ha dovuto “mutuare” per certi versi la disciplina informatica della sicurezza, integrandola nei testi di legge. Un esempio per tutti? Il DPCM 8 febbraio 1999 (in tema di firma digitale) ha incorporato alcuni dei criteri ITSEC al punto che all’art. 14 si legge che “il sistema operativo dei sistemi di elaborazione utilizzati nelle attività di certificazione, la generazione dei certificati e la gestione del registro dei certificati deve essere conforme almeno alle specifiche previste dalla classe ITSEC F-C2/E2 o a quella C2 delle norme TCSEC” La sicurezza ed il trattamento dei dati personali ● ● E’ tuttavia nella legge in materia di trattamento dei dati personali che la sicurezza (informatica e non) ha trovato il suo luogo di elezione. Ciò non toglie che, a quasi 6 anni dall’emanazione del testo di legge e a quasi 3 anni dall’emanazione del DPR specifico in tema di misure minime di sicurezza, sono ben pochi i soggetti che si sono adeguati. Le motivazioni ● Il motivo principale, a detta di molti, va ricercato nell’investimento economico che richiede il raggiungimento di una certa soglia di sicurezza e soprattutto il suo mantenimento mediante continui aggiornamenti delle tre componenti (hardware, software ed humanware). “In Italia la cultura della sicurezza ha tardato ad affermarsi. Per molto tempo, le misure di protezione sono state considerate come una spesa a fondo perduto o come un lusso, incompatibile con le esigenze di economicità” G. Buttarelli, Banche dati e tutela della riservatezza, Milano, 1997.