Le misure di sicurezza, l`informatica e la privacy

Le misure di sicurezza, l'informatica e
la privacy
Avv. Pierluigi Perri – CIRSFID – Università degli Studi di Bologna
Una volta la sicurezza la si faceva così :-)
Ora invece la sicurezza è prevalentemente
così
Il concetto di sicurezza per
l'informatica
–
Non esiste una vera e propria definizione di
"Sicurezza Informatica". Possiamo comunque
delinearla come la scienza che studia come
proteggere le informazioni elaborate o trasferite
elettronicamente da atti indesiderabili che possono
avvenire accidentalmente, o essere frutto di azioni
colpose o dolose.
Il concetto di sicurezza per il diritto
Secondo la norma UNI/EN ISO 104559 “La sicurezza è studio, sviluppo ed
attuazione delle strategie, delle politiche e dei piani operativi volti a
prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o
colposa, che possono danneggiare le risorse materiali, immateriali ed
umane di cui l'azienda dispone e necessita per garantirsi un'adeguata
capacità concorrenziale nel breve, medio e lungo periodo”.
In particolare: nella legge sul trattamento dei dati personali
in Europa
●
●
●
Art. 17 Dir. 95/46/CE comma 1
“Gli Stati membri dispongono che il responsabile del trattamento
deve attuare misure tecniche ed organizzative appropriate al fine di
garantire la protezione dei dati personali dalla distruzione
accidentale o illecita, dalla perdita accidentale o dall'alterazione,
dalla diffusione o dall'accesso non autorizzati, segnatamente
quando il trattamento comporta trasmissioni di dati all'interno di
una rete, o da qualsiasi altra forma illecita di trattamento dei dati
personali.
Tali misure devono garantire, tenuto conto delle attuali conoscenze
in materia e dei costi dell'applicazione, un livello di sicurezza
appropriato rispetto ai rischi presentati dal trattamento e alla natura
dei dati da proteggere”.
…ed in Italia
•
Art. 15 L. 675/96 comma 1
• Art. 31 del Testo Unico
“I dati personali oggetto di
“I dati personali oggetto di trattamento
trattamento devono essere custoditi e
sono custoditi e controllati, anche in
controllati, anche in relazione alle
relazione alle conoscenze acquisite in
conoscenze acquisite in base al
base al progresso tecnico, alla natura
progresso tecnico, alla natura dei dati
dei
dati
e
alle
specifiche
e alle specifiche caratteristiche del
caratteristiche del trattamento, in
trattamento, in modo da ridurre al
modo da ridurre al minimo, mediante
minimo, mediante l’adozione di
l’adozione di idonee e preventive
idonee e preventive misure di
misure di sicurezza, i rischi di
sicurezza, i rischi di distruzione o
distruzione
o
perdita,
anche
perdita, anche accidentale, dei dati
accidentale, dei dati stessi, di accesso
stessi, di accesso non autorizzato o di
non autorizzato o di trattamento non
trattamento non consentito o non
consentito o non conforme alle
conforme alle finalità della raccolta”.
finalità della raccolta”
In particolare: le misure minime
• Art. 33 del nuovo Testo Unico
• Art. 15 L. 675/96 comma 2
“Nel quadro dei più generali
“Le misure minime di sicurezza
obblighi di sicurezza di cui
da adottare in via preventiva
sono individuate con
all’articolo 31, o previsti da
regolamento emanato con
speciali disposizioni, i titolari
del trattamento sono comunque
Decreto del Presidente della
Repubblica…omissis”
tenuti ad adottare le misure
minime individuate nel
presente capo o ai sensi
dell’art. 58, comma 3, volte ad
assicurare un livello minimo di
protezione dei dati personali”.
Alcune considerazioni:
- la lettera del Legislatore europeo non fa distinzione tra misure di sicurezza
“minime” e non, che saranno una nostra invenzione in sede di recepimento
della direttiva;
- la direttiva parla espressamente di “costi dell'applicazione”, introducendo
questo concetto quale parametro per la valutazione della messa in sicurezza di
un sistema;
- vengono forniti gli elementi essenziali per definire sicura un sistema
informativo, i quali possono riassumersi in:
1) integrità dei dati;
2) riservatezza dei dati;
3) disponibilità dei dati;
4) reattività del sistema stesso.
Parliamo quindi innanzitutto di misure di
sicurezza
Prima di affrontare il dettato normativo circa le misure minime, è bene
parlare di misure di sicurezza in genere. L’adozione delle misure minime,
infatti, mette al riparo da eventuali responsabilità penali ma non da
responsabilità civili ex art. 2050 c.c. (art. 18 L. 675/96 e articolo 15 del
nuovo TU)
Per la messa in sicurezza di qualsiasi sistema informativo/ico, sia esso
connesso in intranet o in internet, basta seguire pochi ma sani principi.
Principio 1
●
●
●
●
Non esistono sistemi sicuri, nè tantomeno apparecchiature che
possano garantire la sicurezza al 100 %
- Il software può non essere perfetto (e in genere non lo è), ci
possono essere errori di progettazione nei protocolli.
- Il mito del sistema inviolabile è da assimilare al mito del caveau
non svaligiabile o della nave inaffondabile (e.g. Titanic).
- Il grado di sicurezza è dato dal tempo necessario per violare il
sistema, dall'investimento necessario e dalla probabilità di
successo.
Principio 2
●
●
Un sistema più è complesso più è insicuro.
Per una progettazione ideale di un sistema
conviene applicare la cd. KISS rule (Keep It
Simple and Stupid)
Principio 3
●
●
Le entità che compongono un sistema sono
necessariamente tre: hardware, software ed
humanware.
Senza continuo apporto di lavoro nessun sistema
può essere sicuro. Ciò che è sicuro oggi potrebbe
non esserlo più domani, perché per esempio è
stato scoperto un difetto del sistema. I sistemi
che non vengono aggiornati diventano quindi
fragili.
Principio 4
●
●
●
●
●
La sicurezza deriva dalla conoscenza.
Soprattutto per quanto riguarda il software,
prediligere soluzioni open source porta innegabili
vantaggi:
- gli aggiornamenti sono costanti e continui;
- si può sapere cosa realmente fa il software in
background;
- si può personalizzare il software per meglio
adattarlo alle nostre esigenze.
Principio 5
●
●
La conoscenza degli strumenti di sicurezza e la
consapevolezza dei problemi che man mano
sorgono devono essere patrimonio culturale di
tutti gli utenti.
A tal proposito si parla di full disclosure
contrapposta alla closed disclosure.
E il diritto…che c’azzecca?
●
●
Il diritto, volente o nolente, ha dovuto “mutuare” per
certi versi la disciplina informatica della sicurezza,
integrandola nei testi di legge.
Un esempio per tutti? Il DPCM 8 febbraio 1999 (in tema
di firma digitale) ha incorporato alcuni dei criteri ITSEC
al punto che all’art. 14 si legge che “il sistema operativo
dei sistemi di elaborazione utilizzati nelle attività di
certificazione, la generazione dei certificati e la gestione
del registro dei certificati deve essere conforme almeno
alle specifiche previste dalla classe ITSEC F-C2/E2 o a
quella C2 delle norme TCSEC”
La sicurezza ed il trattamento dei dati
personali
●
●
E’ tuttavia nella legge in materia di trattamento
dei dati personali che la sicurezza (informatica e
non) ha trovato il suo luogo di elezione.
Ciò non toglie che, a quasi 6 anni
dall’emanazione del testo di legge e a quasi 3
anni dall’emanazione del DPR specifico in tema
di misure minime di sicurezza, sono ben pochi i
soggetti che si sono adeguati.
Le motivazioni
●
Il motivo principale, a detta di molti, va ricercato
nell’investimento economico che richiede il
raggiungimento di una certa soglia di sicurezza e
soprattutto il suo mantenimento mediante
continui aggiornamenti delle tre componenti
(hardware, software ed humanware).
“In Italia la cultura della sicurezza ha tardato ad affermarsi. Per molto
tempo, le misure di protezione sono state considerate come una spesa a
fondo perduto o come un lusso, incompatibile con le esigenze di
economicità” G. Buttarelli, Banche dati e tutela della riservatezza,
Milano, 1997.