Diapositiva 1 - Gianpiero Fasulo

Transcript

Il diritto alla riservatezza ex 675 - DPS
Tito (PZ) Giugno 2006
(docente Fasulo Gianpiero)
Il diritto alla riservatezza
Docente: Gianpiero Fasulo
( il Decreto Legge 196/2003 )
Il 29 Luglio 2003, nella Gazzetta
ufficiale n° 174 – Supplemento
Ordinario n° 123, veniva pubblicato
il decreto legislativo 30 Giugno
2003, n° 196 denominato anche
“Codice in materia di protezione
dei dati personali” che sostituisce
ed integra la legge 31/12/1996
n°675.
Andiamo quindi a vedere gli obblighi
e le modalità inerenti alla
compilazione del
“Documento Programmatico sulla Sicurezza”
D.P.S.
Logicamente, l’esame degli articoli
riguarderà soprattutto la parte
informatica per la compilazione del
D.P.S.
In particolar modo venivano
evidenziati le seguenti scadenze:
entro il 31 Marzo 2004, come indicato al punto 19
dell’allegato B, il titolare del trattamento deve
provvedere alla compilazione del D.P.S.;
entro il 30 Giugno 2004, come indicato al comma
1 dell’articolo 180, il titolare del trattamento è tenuto
ad adottare le misure minime di sicurezza richieste in
relazione ai rischi descritti nell’Art 31;
entro il 30 Giugno 2004, come indicato al comma
3 dell’art.180, il titolare del trattamento è tenuto ad
adeguare eventuali strumenti obsoleti utilizzati per il
trattamento dei dati.

Questi termini sono stati prorogati:
la prima prorogò i termini a fine
2005 l’ultima in ordine di tempo ma
non per questo si pensa sarà la
definitiva, porta i termini al 31 Marzo
2006 tutte e due le proroghe hanno
modificato il comma 1 dell’art 180
ma, andiamo a vedere gli articoli più
importanti estratti dal D.L. 30/6/2003
n° 196
La parte I del titolo I “Principi generali” recita:
(diritto alla protezione dei dati personali)
Art.1 Chiunque ha diritto alla protezione dei dati personali che
lo riguardano.
Art.2 il presente testo unico, di seguito denominato “codice”,
garantisce che il trattamento dei dati personali si svolga nel
rispetto dei diritti e delle libertà fondamentali, nonché della
dignità dell’interessato, con particolare riferimento alla
riservatezza, all’identità personale e al diritto alla protezione dei
dati personali.
Il trattamento dei dati personali è disciplinato assicurando un
elevato livello di tutela dei diritti e delle libertà di cui al comma 1
nel rispetto dei principi di semplificazione, armonizzazione ed
efficacia delle modalità previste per il loro esercizio da parte
degli interessati, nonché per l’adempimento degli obblighi da
parte dei titolari del trattamento.
Art.3 i sistemi informativi e i programmi
informatici sono configurati riducendo al
minimo l’utilizzazione di dati personali e di
dati identificativi, in modo da escludere il
trattamento quando le finalità perseguite
nei singoli casi possono essere realizzate
mediante, rispettivamente, dati anonimi od
opportune modalità che permettano di
identificare l’interessato solo in caso di
necessità.
Ma rivediamo un attimo le varie
proroghe per comprendere bene
cosa è stato prorogato e come….
Con il D.L. 24 Giugno 2004, n° 158
arriva la prima proroga ad alcuni
degli adempimenti previsti dal D.L. 30
Giugno 2003,n°196 ed in
particolare…..
Prima proroga.
Viene modificato il comma 1 dell’art
180 portando la scadenza per
l’adozione delle misure minime di
sicurezza richieste in relazione ai
rischi descritti nell’art. 31 al
31/12/2004…
(obblighi di sicurezza)
L’art. 31 recita:
I dati personali oggetto di trattamento sono
custoditi e controllati, anche in relazione alle
conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l’adozione di
idonee e preventive misure di sicurezza, i
rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o
non conforme alle finalità della raccolta.
Prima proroga (segue).
l’adeguamento di eventuali
strumenti obsoleti al 31 Marzo
2005.
Seconda proroga.
30/6/2005…
Seconda proroga (segue).
strumenti obsoleti al 30 Settembre
2005.
Terza ed ultima proroga.
31/12/2005…
Terza ed ultima proroga (segue).
strumenti obsoleti al 31 Marzo
2006.
In definitiva, l’articolo 180 del D.L.
196/03 ad oggi si legge così:
1. le misure minime di sicurezza di cui
agli articoli da 33 a 35 e all’allegato B
che non erano previste dal decreto del
presidente della repubblica 28 Luglio
1999, n°318, sono adottate entro il 31
Dicembre 2005.
2.
Il titolare che alla data di entrata in
vigore del presente codice dispone di
strumenti elettronici che, per obiettive
ragioni tecniche, non consentono in
tutto o in parte l’immediata
applicazione delle misure minime di cui
all’articolo 34 e delle corrispondenti
modalità tecniche di cui all’allegato B,
descrive, le medesime ragioni in un
documento a data certa da conservare
presso la propria struttura.
L’Articolo 34 recita:
1- il trattamento dei dati personali effettuato con strumenti
elettronici è consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell’allegato B, le
seguenti misure minime:
a) Autenticazione informatica
b) Adozione di procedure di gestione delle credenziali di
autenticazione
c) Utilizzazione di un sistema di autorizzazione
d) Aggiornamento periodico dell’individuazione dell’ambito del
trattamento consentito ai singoli incaricati e addetti alla
gestione o alla manutenzione degli strumenti elettronici.
e) Protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, di accessi non consentiti e a
determinati programmi informatici
f)
g)
h)
Adozione di procedure per la custodia di copie di sicurezza,
il ripristino della disponibilità dei dati e dei sistemi
Tenuta di un aggiornato documento programmatico sulla
sicurezza
Adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di
salute o la vita sessuale effettuati da organismi sanitari.
Articolo 180 del D.L. 196/03 (continua)
3. nel caso di cui al comma 2, il titolare
adotta ogni possibile misura di sicurezza
in relazione agli strumenti elettronici
detenuti in modo da evitare, anche sulla
base di idonee misure organizzative,
logistiche o procedurali, un incremento
dei rischi di cui all’articolo 31,
adeguando i medesimi strumenti al più
tardi entro il 31 Marzo 2006.
Cosa si rischia
Il mancato adeguamento alle norme
previste dal D.L.196/03, prevede sanzioni
elevate quali multe da 3.000 a 50.000
Euro, reclusione fino a 3 anni e
risarcimento del danno patrimoniale e
morale. Esiste anche la possibilità di
estinguere il reato penale, adeguandosi
alla normativa e pagando una sanzione
pecuniaria.
Sanzioni previste ( illeciti civili)
Art. 161
Assenza informativa o inidoneità informativa per
dati personali
Art 161
Assenza informativa o inidoneità informativa per
dati sensibili o giudiziari o in caso di trattamenti
che presentano rischi specifici o di maggiore
rilevanza del pregiudizio.
Sanzione da 3.000 a 18.000 EURO
Art 163
Omessa o incompleta notificazione al garante
Sanzione da 10.000 a 60.000 euro più
pubblicazione su quotidiani
Art 164
Omissione di fornire informazioni o esibire
documenti richiesti al garante
Sanzione da 4.000 a 24.000 euro
Sanzione da 5.000 a 30.000 euro (moltiplicabile
per 3 quando risulta inefficace in ragione delle
condizioni economiche del contravventore )
Sanzioni previste ( illeciti penali)
Art. 167
Trattamento illecito di dati personali
Reclusione da 6 mesi a 3 anni
Art 168
Falsità nelle dichiarazioni e notificazioni al garante
Reclusione da 6 mesi a 3 anni
Art 169
Omessa adozione di misure necessarie alla
sicurezza dei dati
Arresto fino a 2 anni o ammenda da 10.000 a
50.000 euro
Art 170
Inosservanza dei provvedimenti al garante
Arresto da 3 mesi a 2 anni
La definizione del tipo di dati
In base a quanto appena
visto,dobbiamo distinguere nell’ambito
della legge i seguenti tipi di dati:
dati personali
dati sensibili
dati giudiziari

Dati personali
La legge definisce dato personale:
qualunque informazione relativa a
persona fisica o giuridica, ente od
associazione, identificati o identificabili,
anche indirettamente, mediante
riferimento a qualsiasi altra
informazione compresi eventuali numeri
di identificazione personale.
Dati sensibili
La legge definisce dato sensibile: i dati
personali idonei a rilevare l’origine raziale
ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni
politiche, l’adesione a partiti, sindacati,
associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale,
nonché i dati personali idonei a rivelare lo
stato di salute e la vita sessuale.
Dati giudiziari
La legge definisce dati giudiziari: i dati
personali idonei a rilevare provvedimenti di
cui all’art. 3, comma 1, lettere da a) ad o)
e da r) a u),del D.P.R. 14/11/2002 n°313,
in materia di casellario giudiziale, di
anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi
pendenti, o la qualità di imputato o di
indagato ai sensi degli articoli 60 e 61 del
codice di procedura penale.
Per poter poi comprendere al meglio
quello che il D.L. vuole significare nei
vari articoli, dobbiamo conoscere il
significato delle seguenti definizioni:
trattamenti
titolare
responsabile
incaricato
interessato
Trattamenti
Qualunque operazione o complesso di
operazioni, effettuati anche senza l’ausilio di
strumenti elettronici, concernenti la raccolta,
la registrazione, l’organizzazione, la
conservazione, la consultazione,
l’elaborazione, la modificazione, la selezione,
l’estrazione, il raffronto, l’utilizzo,
l’interconnessione, il blocco, la
comunicazione, la diffusione, la
cancellazione e la distruzione dei dati, anche
se non registrati in una banca dati.
Titolare
La persona fisica o giuridica, la pubblica
amministrazione e qualsiasi altro ente,
associazione od organismo cui
competono, anche unitamente ad altro
titolare, le decisioni in ordine di finalità,
alle modalità del trattamento dei dati
personali e agli strumenti utilizzati, ivi
compreso il profilo della sicurezza.
Responsabile
La persona fisica o giuridica, la
pubblica amministrazione e
qualsiasi altro ente, associazione
od organismo preposti dal titolare
al trattamento dei dati personali.
Incaricato
La persona fisica autorizzata a
compiere operazioni di trattamento
dal titolare o dal responsabile.
Interessato
La persona fisica o giuridica, l’ente
o l’associazione cui si riferiscono i
dati personali.
( il Decreto Legge 196/2003 il D.P.S. )
Come compilare il D.P.S.
Figure previste dalla normativa
titolare del trattamento
responsabile del trattamento
incaricati del trattamento
responsabile al controllo degli accessi
custode delle password
Titolare del trattamento
Il titolare del trattamento, consiste
nell’entità che decide in modo
completamente autonomo sulle finalità
e sulle modalità del trattamento, ivi
compreso il profilo della sicurezza.
( La definizione di Titolare del
trattamento è comunque descritta
nell’art. 28 del D.L. 196/2003 )
Responsabile del trattamento
Il responsabile del trattamento è
designato facoltativamente dal titolare e
viene individuato tra i soggetti con
maggiore esperienza, capacità ed
affidabilità. Per esigenze organizzative
possono essere designati più
responsabili. Il titolare specifica per
iscritto i compiti del responsabile, che
dovrà attenersi scrupolosamente alle
istruzioni impartite.
Incaricati del trattamento
Sono coloro che effettuano le
operazioni di trattamento ed operano
sotto la diretta autorità del titolare o del
responsabile, attenendosi alle istruzioni
impartite. La designazione è effettuata
per iscritto ed individua anche le
operazioni consentite nell’ambito del
trattamento.
Responsabile al controllo degli accessi
Il responsabile al controllo degli accessi ai
locali adibiti a conservazione cartacea e/o
elettronica delle banche dati è designato
facoltativamente dal responsabile del
trattamento. Qualora esista un custode
notturno, questo sarà nominato quale
responsabile dei locali specificando nel
documento che l’incarico gli viene affidato
per le ore di chiusura degli uffici. Il
responsabile del trattamento, ove esista la
necessità, può nominare più di un
responsabile degli accessi.
Custode delle password
Il custode delle password è designato
facoltativamente dal responsabile del
trattamento, il custode delle password sarà
l’unico a conoscere tutte le password, oltre
naturalmente al singolo incaricato che sarà a
conoscenza solo della propria, e provvederà
a controllare che le password siano
univoche. Egli predisporrà tante buste chiuse
quanti sono gli incaricati al trattamento. Tali
buste, riconoscibili all’esterno da nome dell’
incaricato, conterranno le password e
dovranno essere custodite in un posto sicuro
e non accessibile.
Custode delle password segue…
Quando uno o più incaricati dovessero
variare, il custode provvederà a distruggere
la/le relativa/e busta ed eventualmente, se
necessario, a predisporne delle nuove per i
nuovi incaricati ricordandosi sempre che una
parola chiave già utilizzata non può essere
riassegnata ad un nuovo utente. Il
procedimento fin qui descritto deve essere
effettuato anche in presenza di un solo
personal computer.
Sezione - Elenco dei trattamenti dei dati personali
In questa sezione del D.P.S. sono individuati i
trattamenti effettuati dal titolare, direttamente o
attraverso collaborazioni esterne, con l’indicazione
della natura dei dati e della struttura (ufficio,
funzione,ecc.) interna od esterna operativamente
preposta, nonché degli strumenti elettronici impiegati.
Se ad esempio fossimo in uno studio che è dotato di
uffici specifici (ad es. uff. personale) la lista dei
trattamenti potrebbe essere compilata per gruppi; ad
esempio tutti i dati riferiti al personale potrebbero
essere elencati nel gruppo ‘dati trattati dall’uff.
personale ’. Gli uffici specifici potrebbero essere
anche esterni (ad es. i dati riferiti alle condizioni di
salute dei dipendenti potrebbero essere trattati da un
apposito ufficio esterno facente capo magari ad una
struttura sanitaria).
Per ciascun trattamento vanno indicate
le seguenti informazioni secondo il
livello di sintesi deciso dal titolare:
Identificativo del trattamento
alla descrizione del trattamento, se
ritenuto utile può essere associato un
codice, per favorire un’ identificazione
univoca e più rapida di ciascun
trattamento nella compilazione delle
altre tabelle (es. 001Az1).
Descrizione sintetica
Menzionare il trattamento dei dati personali
attraverso l’indicazione della finalità
perseguita o dell’attività svolta (es. fornitura
di beni o servizi, gestione del personale) e
delle categorie di persone cui i dati si
riferiscono (es. clienti, dipendenti o
collaboratori, fornitori) indicando nel modo
più preciso possibile il tipo di dati ad es. ‘dati
dei clienti, dagli stessi forniti o acquisiti per
l’espletamento degli incarichi affidati allo
studio, idonei a rivelare lo stato di salute’
Struttura di riferimento
Indicare la struttura (ufficio, funzione..)
all’interno della quale viene effettuato il
trattamento. In caso di strutture
complesse, è possibile indicare la
macro struttura (direzione, dipartimento
ecc.) oppure gli uffici specifici all’interno
della stessa (uff. contratti, sviluppo
risorse, amministrazione,contabilità)
Altre strutture che concorrono al trattamento
Nel caso in cui un trattamento, per
essere completato, comporti l’attività di
diverse strutture è opportuno indicare,
oltre quella che cura primariamente
l’attività, le altre principali strutture che
concorrono al trattamento dall’esterno.
La tabella seguente, riporta un esempio
concreto di come compilare la lista trattamenti
secondo le richieste del Garante.
Tabella Lista trattamenti
CODICE
ATTIVITA’
TIPO
S
G
STRUTTURA
001AZ1
commerciali
sta
si
no
Uffici Studio
007AZ1
Commerciali
sta
Dati dei clienti per
l’espletamento degli
incarichi affidati allo
studio.Comprendono i dati
sul patrimonio, sulla
situazione economica e i
dati necessari alla
reperibilità.
Dati del personale
dipendente idonei a rilevare
lo stato di salute
si
no
Uffici Studio
STRUTTURA ESTERNA
Studio medico
Descrizione degli strumenti elettronici utilizzati
Va indicata la tipologia di strumenti
elettronici impiegati (elaboratori o
personal computer anche portatili,
collegati o meno in una rete locale,
geografica o internet)
La tabella seguente, riporta un esempio
concreto di come compilare la lista strumenti
elettronici
Tabella Lista strumenti elettronici
tipologia
ubicazione
interconnessione
internet
Fax
Segreteria
PC client
Segreteria
Rete locale
Si
PC server
Segreteria
Rete locale
No
Stampante Laser
Segreteria
Rete locale
No
note
No
Collegata alla LAN tramite una
propria scheda di rete
Sezione - Ulteriori elementi per
descrivere gli strumenti
Identificativo del trattamento:
Alla descrizione del trattamento, se
ritenuto utile, può essere associato un
codice, facoltativo, per favorire
un’identificazione univoca e più rapida
di ciascun trattamento nella
compilazione delle altre tabelle. Questo
codice deve essere lo stesso come
riportato nella tabella lista trattamenti.
Banca dati:
Indicare eventualmente la banca dati (
ovvero il database o l’archivio informatico )
con le relative applicazioni, in cui sono
contenuti i dati. Uno stesso trattamento può
richiedere l’utilizzo di dati che risiedono in più
di una banca dati. In tal caso le banche dati
potranno essere elencate. ( indicare per
ciascun trattamento la banca dati utilizzata
per la memorizzazione elettronica dei dati )
Luogo di custodia dei supporti di memorizzazione:
Indicare il luogo in cui risiedono fisicamente i
dati, ovvero dove si trovano (in quale sede,
centrale o periferica, o presso quale fornitore
di servizi, ecc) gli elaboratori sui cui dischi
sono memorizzati i dati, i luoghi di
conservazione dei supporti magnetici
utilizzati per le copie di sicurezza (nastri, CD,
ecc.) ed ogni altro supporto rimovibile.
Tipologia di dispositivi di accesso:
Elenco e descrizione sintetica degli
strumenti utilizzati dagli incaricati per
effettuare il trattamento: pc, terminale
non intelligente, palmare, telefonino…
Tipologia di interconnessione:
Descrizione sintetica e qualitativa della rete
che collega i dispositivi di accesso ai dati
utilizzati dagli incaricati: rete locale,
geografica, internet.
Le predette informazioni possono essere completate
o sostituite da schemi, tabelle, disegni di architettura
del sistema informativo o da altri documenti aziendali
già compilati e idonei a fornire in altro modo le
informazioni medesime.
Tabella: ulteriori informazioni lista trattamenti
Codice
001AZ1
Banca dati
Archivi software di
programma specifico
Luogo di custodia
PC Server
Tipologia
dispositivo
Personal
computer
interconnessione
Rete locale
Sezione - Distribuzione dei compiti e delle
responsabilità:
In questa sezione del D.P.S. bisogna
descrivere sinteticamente l’organizzazione
della struttura di riferimento, i compiti e le
relative responsabilità, in relazione ai
trattamenti effettuati. Si possono utilizzare
anche, mediante specifici riferimenti,
documenti già predisposti (es. provvedimenti,
ordini di servizio, regolamenti interni,
circolari) indicando le precise modalità per
reperirli.
Struttura:
Riportare le indicazioni delle strutture già
menzionate nella precedente sezione. (riportare
le strutture preposte al trattamento dei dati così
come riportate nella colonna “struttura” della
tabella Lista trattamenti
Trattamenti effettuati dalla struttura:
Indicare i trattamenti effettuati da ciascuna
struttura
Compiti e responsabilità della struttura:
Descrivere sinteticamente i compiti e le
responsabilità della struttura rispetto ai
trattamenti di competenza. Ad es. acquisizione o
caricamento dati, consultazione, comunicazione
a terzi, manutenzione tecnica dei programmi,
gestione tecnica operativa della base dati (
salvataggi, ripristini ecc) anche in questo caso è
possibile utilizzare, nei termini predetti,altri
documenti già predisposti.
Tabella: distribuzione dei compiti e delle responsabilità
STRUTTURA
SOGGETTO
TRATTAMENTO
COMPITI
UFFICI STUDIO
TITOLARE
TUTTI I TRATTAMENTI
TITOLARE DEL
TRATTAMENTO DEI DATI
UFFICI STUDIO
INCARICATO 01
TUTTI I TRATTAMENTI
RESPONSABILE AI
BACKUP (SALVATAGGI E
RIPRISTINI)
UFFICI STUDIO
INCARICATO 01
TUTTI I TRATTAMENTI
MANUTENZIONE TECNICA
DEI PROGRAMMI E
GESTIONE TECNICA
OPERATIVA DELLA BASE
DATI
UFFICI STUDIO
INCARICATO 01
TUTTI I TRATTAMENTI
RESPONSABILE AL
CONTROLLO DEGLI
ACCESSI
UFFICI STUDIO
INCARICATO 01
TUTTI I TRATTAMENTI
CUSTODE DELLE
PASSWORD
Al termine di questa sezione è possibile inserire la seguente dicitura:
“tutti i dati trattati dallo studio ed elencati nella tabella ‘lista trattamenti’
del presente documento devono poter essere trattati in modo completo
da tutti gli incaricati per il corretto svolgimento delle operazioni inerenti
l’attività dello studio.
Sezione – analisi dei rischi che incombono
sui dati:
Descrivere in questa sezione del D.P.S. i
principali eventi potenzialmente dannosi per
la sicurezza dei dati, e valutarne le possibili
conseguenze e gravità in relazione al
contesto fisico-ambientale di riferimento e
agli strumenti elettronici utilizzati. ( in
funzione del grado di preparazione del
personale e degli strumenti utilizzati, valutare
i rischi cui sono sottoposti i dati)
Informazioni essenziali:
Elenco degli eventi
Individuare ed elencare gli eventi che possono
generare danni e che comportano, quindi, rischi
per la sicurezza dei dati personali. In particolare,
si può prendere in considerazione la lista
esemplificativa dei seguenti eventi:
1) Comportamenti degli operatori
Sottrazione di credenziali di autenticazione
Carenza di consapevolezza, disattenzione o
incuria
comportamenti sleali o fraudolenti
errore materiale

2)
azione di virus informatici o di programmi
suscettibili di recare danno
spamming o tecniche di sabotaggio
malfunzionamento, indisponibilità o
degrado degli strumenti
accessi esterni non autorizzati
intercettazione di informazioni in rete

Eventi relativi agli strumenti
3)
ingressi non autorizzati ai locali/aree di accesso
ristretto
sottrazione di strumenti contenenti dati
eventi distruttivi, naturali o artificiali (movimenti
tellurici, scariche atmosferiche, incendi,
allagamenti) nonché dolosi, accidentali o dovuti
all’incuria
guasto a sistemi complementari (impianto
elettrico, climatizzazione)
errori umani nella gestione della sicurezza
fisica

Eventi relativi al contesto fisico ambientale
E’ possibile, per ulteriori dettagli, rinviare a
documenti analoghi già redatti in tema di
piani di sicurezza e gestione del rischio,
come ad es. disaster recovery plan.
A livello aziendale potrebbe già esistere
della documentazione riguardante la
sicurezza. Se questa avesse attinenza
con il trattamento dei dati, potrebbe
essere allegata al D.P.S.
Impatto sulla sicurezza:
Descrivere le principali conseguenze individuate
per la sicurezza dei dati, in relazione a ciascun
evento, e valutare la loro gravità anche in
relazione alla rilevanza e alla probabilità stimata
dell’evento (anche in termini sintetici: es.
alta/media/bassa) in questo modo è possibile
formulare un primo indicatore omogeneo per i
diversi rischi da contrastare.
(indicare in funzione del grado di preparazione
del personale e degli strumenti utilizzati, i rischi a
cui sono sottoposti i dati)
Tabella: rischi che incombono sui dati
EVENTO
IMPATTO
ACCESSI ESTERNI NON AUTORIZZATI
ALTO
AZIONE DI VIRUS INFORMATICI O DI PROGRAMMI
SUSCETTIBILI DI RECARE DANNO
ALTO
CARENZA DI CONSAPEOLEZZA, DISATTENZIONE O INCURIA
MEDIO
Al termine di questa sezione è possibile inserire la seguente dicitura:
“attesto infine che gli incaricati al trattamento dei dati sono qualificati ed
affidabili e dimostrano riservatezza ed attenzione nella gestione dei dati
stessi, il rischio afferente la riservatezza, o la distrazione, o l’incuria
degli stessi, può essere definito basso. Inoltre i dati, quanto comuni che
sensibili, per gli affari trattati dallo studio ed il tipo di clientela dello
studio non possono essere come detto di particolare interesse per terzi”
Sezione – misure in essere e da adottare:
Contenuti
In questa sezione vanno riportate, in forma
sintetica, le misure in essere e da adottare per
contrastare i rischi individuati. Per misura si
intende lo specifico intervento tecnico od
organizzativo posto in essere per prevenire,
contrastare o ridurre gli effetti relativi ad una
specifica minaccia, come pure quelle attività di
verifica e controllo nel tempo, essenziali per
assicurarne l’efficacia. Le misure da adottare
possono essere inserite in una sezione dedicata
ai programmi per migliorare la sicurezza.
Informazioni essenziali:
Descrizione dei rischi
Per ciascuna misura indicare
sinteticamente i rischi che si intende
contrastare.
Misure
Descrivere sinteticamente le misure adottate
Trattamenti interessati
Indicare i trattamenti interessati per ciascuna
delle misure adottate
Struttura o persone addette all’adozione:
Indicare la struttura o la persona
responsabile o preposte all’adozione delle
misure indicate. Occorre specificare se la
misura è già in essere o da adottare, con
eventuale indicazione,in tale ultimo caso,
dei tempi previsti per la sua messa in
opera. Conviene adottare due tabelle
distinte, una per le misure in essere, l’altra
per quelle da adottare.
Tabella: misure in essere
rischio
misura
addetto
Accessi esterni
non autorizzati
E’ stata introdotta l’autenticazione tramite password. titolare
Ogni incaricato possiede una password di almeno 8
caratteri per l’accensione del PC ed una password
con medesime caratteristiche per l’accesso al
sistema. Dette password non contengono, né
conterranno, elementi facilmente ricollegabili
all’organizzazione o alla persona che le utilizza, né
allo studio. La stessa viene autonomamente scelta
dall’incaricato e dallo stesso consegnata in busta
chiusa al titolare del trattamento, il quale provvede a
conservarla con cura e proteggerla dal personale non
autorizzato. Ogni tre mesi ciscun incaricato provvede
a sostituire la propria password. Si è altresì disposto
che le password vengano disattivate dopo sei mesi di
non utilizzo.
Tabella: misure da adottare
rischio
misura
addetto
Scarsa
preparazione
del personale
Visto il continuo
titolare
evolversi delle
minacce in particolar
modo provenienti da
Internet, va
pianificata
l’istruzione del
personale
dipendente.
Data adozione
Entro il 12/2006
Determinate misure possono non essere riconducibili a specifici
trattamenti o banche dati (ad esempio con riferimento alle
misure per la protezione delle aree e dei locali)
Indicare quindi l’ubicazione ed altre particolarità inerenti lo
studio (ufficio) utilizzando ad esempio le diciture sotto riportate:
i dati vengono trattati e conservati in fascicoli
i fascicoli vengono riposti in schedari dotati di chiusura a
chiave
i dati vengono trattati tramite computer in rete
i dati vengono archiviati al termine della pratica
lo studio, ove vengono trattati i dati, è ubicato in una
abitazione singola in zona centrale dotato di portone di ingresso
e chiusura automatica e portoncino blindato
i singoli studi (stanze), che lo compongono sono dotati
ciascuno di porta con chiusura a chiave
la segreteria è ubicata in un locale più ampio
Sezione – criteri e modalità di ripristino dati
Contenuti
In questa sezione sono descritti i criteri e le
procedure adottate per il ripristino dei dati in
caso di danneggiamento o di inaffidabilità della
base dati. L’importanza di queste attività deriva
dalla eccezionalità delle situazioni in cui il
ripristino ha luogo:è essenziale che,quando sono
necessarie, le copie dei dati siano disponibili e
che le procedure di reinstallazione siano efficaci.
Pertanto, è opportuno descrivere sinteticamente
anche i criteri e le procedure adottate per il
salvataggio dei dati al fine di una corretta
esecuzione del loro ripristino.
Informazioni essenziali
Per quanto riguarda il salvataggio dei dati, le
informazioni essenziali sono:
Database
Identificare la banca, la base o l’archivio elettronico
di dati interessati (indicare i dati interessati al
salvataggio)
Criteri e procedure per il salvataggio dei dati:
Descrivere sinteticamente la tipologia di salvataggio
e la frequenza con cui viene effettuato.
Modalità di custodia delle copie
Indicare il luogo fisico in cui sono custodite le copie
dei dati salvate.
Struttura o persona incaricata del salvataggio:
Indicare la struttura o le persone incaricate di effettuare il
salvataggio e/o di controllarne l’esito.
Tabella: modalità di salvataggio dei dati
Banca dati
salvataggio
Archivi software Il salvataggio
di programma
viene effettuato
specifico
giornalmente
custodia
addetto
Le copie vengono
conservate in un
cassetto dotato di
chiusura a chiave
ed ubicato
all’interno degli
uffici. L’ultimo
backup viene
custodito
personalmente
dall’incaricato
addetto.
Incaricato 01
Per quanto riguarda il ripristino le informazioni
essenziali sono:
Database/banca dati/archivio
Identificare la banca, la base o l’archivio elettronico
di dati interessati.
Criteri e procedure per il ripristino dei dati:
Descrivere sinteticamente le procedure e i criteri
individuati per il ripristino dei dati.
Pianificazione delle prove di ripristino
Indicare i tempi previsti per effettuare i test di
efficacia delle procedure di salvataggio/ripristino dei
dati adottate.
Tabella: modalità di ripristino dei dati
Banca dati
ripristino
pianificazione
addetto
Archivi software
di programma
specifico
Il ripristino viene effettuato tramite
le seguenti operazioni:
1 – avvertire il titolare del
trattamento dei dati e l’incaricato
che ha in custodia i supporti
magnetici di backup nonché i
supporti contenenti i vari software
dello studio installati sugli strumenti
elettronici;
2 – rivolgersi immediatamente e
chiedere l’intervento del tecnico
manutentore sollecitandone al più
presto l’assistenza;
3 – reinstallati i programmi
danneggiati o distrutti, sempre che
non sia necessario sostituire
l’intero hardware, provvedere a
reinstallare tutti i dati contenuti nel
supporto di backup;
4 – provvedere all’aggiornamento
dei sistemi una volta reinstallati
Al fine di evitare
eventi di perdita e di
danneggiamento
degli strumenti
elettronici e dei dati
in essi contenuti,si
prevede che per 2
volte all’anno sia
effettuata
manutenzione
adeguata e test di
ripristino.
Incaricato 01
Sezione – pianificazione degli interventi formativi
previsti
contenuti
In questa sezione sono riportate le informazioni necessarie per
individuare il quadro sintetico degli interventi formativi che si
prevede di svolgere.
Classi di incarico o tipologie di incaricati interessati:
Individuare le classi omogenee di incarico a cui l’intervento è
destinato e/o le tipologie di incaricati interessati, anche in
riferimento alle strutture di appartenenza. (elencare gli individui
interessati all’intervento formativo indicando anche la struttura
di riferimento)
Descrizione sintetica degli interventi formativi:
Descrivere sinteticamente gli obiettivi e le modalità
dell’intervento formativo, ( ingresso in servizio o cambiamento
di mansioni degli incaricati, introduzione di nuovi elaboratori,
programmi o sistemi informatici ecc.)
Tempi previsti
Indicare i tempi previsti per lo svolgimento degli interventi
formativi
Tabella: pianificazione interventi formativi previsti
struttura
interessati
Uffici studio Tutto il personale
Descrizione
intervento
tempi
Formare gli
incaricati
all’ingresso in
servizio ed
installazione di
nuovi strumenti
per iltrattamento
dei dati.
Ogni volta
che si
acquisisce
un nuovo
strumento
Sezione – trattamenti affidati all’esterno
contenuti
Redigere un quadro sintetico delle attività affidate a
terzi che comportano il trattamento di dati, con
l’indicazione sintetica del quadro giuridico o
contrattuale (nonché organizzativo e tecnico) in cui
tale trasferimento si inserisce, in riferimento agli
impegni assunti, anche all’esterno, per garantire la
protezione dei dati stessi.
Descrizione dell’attività esternalizzata:
Indicare sinteticamente l’attività affidata all’esterno
Trattamenti di dati interessati:
Indicare i trattamenti di dati, sensibili o giudiziari,
effettuati nell’ambito della predetta attività
Soggetto esterno:
Indicare la società, l’ente o il consulente cui è
stata affidata l’attività, e il ruolo ricoperto agli
effetti della disciplina sulla protezione dei dati
personali (titolare o responsabile del
trattamento)
Descrizione dei criteri:
Perché sia garantito un adeguato trattamento
dei dati è necessario che la società a cui
viene affidato il trattamento rilasci specifiche
dichiarazioni o documenti, oppure assuma
alcuni impegni anche su base cotnrattuale,
con particolare riferimento ad esempio a:
Descrizione dei criteri (segue):
tattamento di dati ai soli fini dell’espletamento
dell’incarico ricevuto;
adempimento degli obblighi previsti dal Codice per
la protezione dei dati personali
rispetto delle istruzioni specifiche eventualmente
ricevute per il trattamento dei dati personali o
integrazione delle procedure già in essere;
impegno a relazionare periodicamente sulle misure
di sicurezza adottate anche mediante eventuali
questionari e liste di controllo e ad informare
immediatamente il titolare del trattamento in caso di
situazioni anomale o di emergenze.

Tabella: trattamenti affidati all’esterno
descrizione trattamento
Raccolta
dati medici
del
personale
dipendente
Soggetto
esterno
Dati del personale Studio
dipendente idonei medico
a rivelare lo stato
di salute
criteri
Richiesta
dichiarazione
attestante
l’utilizzo dei
dati solo per
l’espletament
o dell’incarico
ricevuto
Sezione – cifratura o separazione dei dati identificativi
Contenuti
In questa sezione vanno rappresentate le modalità di
protezione adottate in relazione ai dati per cui è richiesta la
cifratura o la separazione fra dati identificativi e dati sensibili,
nonché i criteri e le modalità con cui viene assicurata la
sicurezza di tali trattamenti. Questo punto riguarda solo
organismi sanitari o esercenti professioni sanitarie.
Trattamenti di dati:
Descrivere i trattamenti (le banche dati o database ) dati
oggetto della protezione (indicare i trattamenti che lo studio
intende proteggere tramite cifratura o separazione dei dati )
Protezione scelta:
Riportare la tipologia di protezione adottata, scelta fra quelle
indicate dal codice o in base a considerazioni specifiche del
titolare. ( indicare le tecnologie utilizzate per la protezione dei
dati)
Tecnica adottata
Descrivere sinteticamente, in termini tecnici ed eventualmente organizzativi, la
misura adottata. Ad esempio, in caso di utilizzo di cifratura, le modalità di
conservazione delle chiavi
e le procedure
di utilizzo.
Tabella:
modalità
di cifratura dei dati
trattamento
protezione
tecnica
Tutti i trattamenti
Crittografazione
automatica tramite il
software di gestione
dei dati
Le chiavi di crittografazione
sono conservate
personalmente dal titolare
del trattamento ed inserite
giornalmente per l’utilizzo
della procedura. In caso di
indisponibilità del titolare,l
’incaricato 01’ conserva a
sua volta le chiavi in busta
sigillata e custodita in
cassetto dotato di serratura
La documentazione da allegare al D.P.S.:
informativa ex. Art. 13 D.lgs 196/2003
Va consegnato a tutti coloro per i quali la
struttura conserva i dati (clienti, fornitori,
dipendenti, collaboratori) l’interessato ne
conserva una copia ed una la restituisce
firmata in modo che la struttura possa
dimostrare l’avvenuta comunicazione.

formula di acquisizione del consenso
dell’interessato
Questo documento va debitamente compilato
e firmato dall’interessato per l’acquisizione da
parte della struttura del permesso a trattare i
dati. alcune voci potrebbero non interessare
per cui vanno tolte

lettera di opposizione al trattamento dei dati
per motivi legittimi
Questo documento va debitamente compilato
e firmato dall’interessato in caso di
opposizione per motivi legittimi al trattamento
dei dati. Questo diritto viene garantito
dall’art.7 del D.lsg 196/2003

lettera di incarico per il personale
autorizzato al trattamento
Questa lettera va consegnata e fatta firmare
per presa visione a tutto il personale
incaricato al trattamento dei dati. Allegate alla
lettera anche le istruzioni che il personale
dovrà leggere e firmare per presa visione.

password personale degli incaricati al
trattamento
Modulo per l’attribuzione agli incaricati al
trattamento della coppia di password per
l’accesso al sistema

lettera di incarico per la custodia delle
password
Lettera con la quale il responsabile del
trattamento nomina l’incaricato addetto alla
custodia di tutte le password. In questa
lettera sono indicate anche le mansioni per il
corretto svolgimento del compito assegnato.

lettera di incarico per il responsabile del
trattamento
Lettera con la quale il titolare del trattamento
nomina il responsabile del trattamento. In
questa lettera sono indicate anche le
mansioni per il corretto svolgimento del
compito assegnato.

lettera di incarico per il responsabile del
backup
Lettera con la quale il responsabile del
trattamento nomina il responsabile del
backup dei dati inerenti ai trattamenti e ne
descrive le modalità operative.

lettera di incarico per il controllo degli
accessi ai locali
Lettera da consegnare e far firmare
all’incaricato che dovrà gestire il controllo
dell’accesso ai locali per impedire l’accesso a
persone non autorizzate.

lettera di autorizzazione accessi ai locali
Lettera di richiesta dei dati relativi al
personale esterno che deve avere accesso ai
locali (ad es. la ditta che effettua le pulizie,
deve provvedere a fornire i nominativi del
personale che invierà per la prestazione).

rinvio termine 31/12/2004 per adottare le nuove
misure
Documento da predisporre per beneficiare del più
lungo termine del 31/12/2004 per adottare le nuove
misure di sicurezza, introdotte dal d.lgs 196/2003 e
dal disciplinare tecnico di cui all’allegato B. in questo
documento vanno descritti gli strumenti elettronici
inadeguati,e per ognuno le ragioni obiettive di tale
inadeguatezza, gli interventi previsti, in che cosa
consistono, quali tempi richiedono e la spesa
preventiva.

Tecniche per le misure di sicurezza
di una LAN
Cosa fa e cosa non fa un IDS
( Intrusion Detection System )
Un sistema di sicurezza, almeno per quanto
riguarda la protezione dall'esterno della rete
verso l'interno della rete locale, dovrebbe al
minimo comprendere un Firewall, un qualche
sistema per la verifica della presenza di
eventuali vulnerabilità come Nessus ed un
IDS (acronimo di Intrusion Detection System)
come ad esempio Snort. Molto spesso questi
strumenti collaborano scambiandosi dati tra
di loro.
Un IDS e' un sistema hardware o
software (a volte la combinazione di
tutti e due, sotto forma di sistemi standalone pre-installati e pre-configurati)
che permette all'amministratore di
sistema di monitorare la rete alla ricerca
di eventuali intrusioni o tentativi di
intrusione.
Facendo riferimento a Snort, uno degli
IDS piu' conosciuti, parliamo di NIDS,
ovvero di Network Intrusion Detection
System, che permette non solo di
monitorare un singolo host ma una rete
completa. Il layout tipico di una rete con
un NIDS come Snort e' quello
rappresentato dalla figura di seguito
evidenziata.
In questo modo il sistema IDS, essendo
collegato ad un HUB, riesce a "sniffare" tutto il
traffico da e per la DMZ, mettendo in modalità
promiscua l'interfaccia sulla quale e' in ascolto.
Il sistema su cui e' installato Snort viene
chiamato sensore.
Si usa questa architettura perche' il sensore
non riuscirebbe a catturare tutto il traffico di
rete collegandolo direttamente allo switch.
I log generati da Snort possono essere
inseriti in file di testo o salvati in un
database relazionale come MySQL o
PostgreSQL per una successiva
consultazione anche per mezzo di
interfacce web, utilizzando ad esempio
il pacchetto ACIDLAB. Eventualmente
piu' sensori possono essere collegati ad
uno stesso database centralizzato.
Un IDS consiste in un insieme di tecniche e
metodologie realizzate ad-hoc per rilevare
pacchetti sospetti a livello di rete, di trasporto
o di applicazione.
Due sono le categorie base: sistemi basati
sulle firme (signature) e sitemi basati sulle
anomalie (anomaly). La tecnica basata sulle
firme e' in qualche modo analoga a quella per
il rilevamento dei virus, che permette di
bloccare file infetti. Si tratta della tecnica piu'
utilizzata.
I sistemi basati sul rilevamento delle
anomalie utilizzano un insieme di regole
che permettono di distinguere cio' che
e' "normale" da cio' che e' "anormale".
Snort e' principalmente basato su
regole (rules) contenute in file di testo,
che permettono di rilevare le signature,
andando a cercare particolari pattern
nel traffico di rete.
Non appena il sistema di rilevamento delle
intrusioni rileva attivita' sospette, viene
avvisato l'amministratore di sistema
invandogli un alert che puo' coinsistere in
una email, un segnale acustico o in una
finestra popup.
Finora abbiamo parlato di cosa fa un IDS,
anche se in maniera superficiale, e come va
posizionato in un tipico layout di rete.
Cio' che invece non fa un IDS e'
bloccare o filtrare i pacchetti in ingresso
ed in uscita, ne tantomeno puo'
modificarli. Un IDS puo' essere
paragonato ad un antifurto, ed un
firewall ad una porta blindata. L'IDS non
cerca di bloccare le eventuali intrusioni,
cosa che spetta alla porta blindata (al
firewall), ma a rilevarle laddove si
verifichino.
Come eludere gli attacchi dei virus
La gran parte dei virus e trojan in
circolazione, sfruttano gli stessi
comandi e utility di Windows per
raggiungere il loro scopo "distruttivo".
Infatti, solitamente, si servono di
comandi e file come deltree, format,
regedit. etc.
Come prevenire gli attacchi dei virus??

Premesse
Il punto di forza dei virus è rappresentato
dalla standardizzazione di Windows, o meglio
dal sapere a priori dove trovare le
componenti e i file di sistema, in quanto le
cartelle e i nomi dei file sono, per la gran
parte dei casi, nella stessa posizione e con
gli stessi nomi. Quindi diventa fin troppo
facile per un virus effettuare per esempio un
FORMAT o un DELTREE con conseguenze
a dir poco "catastrofiche" per i nostri dati.
COME DIFENDERSI??
A volte un buon Antivirus non basta. E'
bene infatti effettuare alcune modifiche
alla "struttura" del sistema operativo
rinominando e/o "nascondendo" file e
cartelle potenzialmente "letali" per i
nostri dati.

COME DIFENDERSI??
A volte un buon Antivirus non basta. E'
bene infatti effettuare alcune modifiche
alla "struttura" del sistema operativo
rinominando e/o "nascondendo" file e
cartelle potenzialmente "letali" per i
nostri dati.

Mettiamo al riparo WINDOWS
Alcuni virus, specialmente i Trojan "fatti
in casa", procedono nella loro azione,
ricercando la cartella
"WINDOWS"...Corriamo ai ripari
rinominandola in fase di installazione...
PROCEDURA:
-In fase di installazione di Windows
assegnate un nome diverso da Windows
come Directory di destinazione (Per Es.
C:\WME).

Mettiamo al riparo AUTOEXEC.BAT
Molti virus utilizzano il file
AUTOEXEC.BAT scrivendo al suo interno
dei comandi per effettuare delle
operazioni più o meno "distruttive" al
riavvio del PC. Un metodo molto valido di
prevenzione da tali Virus è quello di
rinominare il file Autoexec.bat e
modificare la riga di comando nel file
COMMAND.COM relativa allo stesso
autoexec.bat.
PROCEDURA:
-Create una copia dei file
AUTOEXEC.BAT e COMMAND.COM;
-Aprite una finestra MSDos e digitate
il seguente comando:
EDIT COMMAND.COM

Apparirà una finestra come in figura (con dei simboli e
lettere incomprensibili):
Figura del file COMMAND.COM
-Portatevi su "Cerca" e quindi selezionate "Trova";
-Digitate AUTOEXEC.BAT nella casella di ricerca e
date l'OK;
-Modificate dunque la sola parte evidenziata da
AUTOEXEC.BAT a AUTOE.BAT;
-Salvate le modifiche e chiudete il programma EDIT;
-Sempre dalla Finestra MSDos digitate i seguenti
comandi:
CD\
RENAME AUTOEXEC.BAT AUTOE.BAT
-Chiudete la finestra MSDos.
Con questa procedura abbiamo reso inoffensivi i
Virus che agiscono sul file Autoexec.bat.
Mettiamo
al riparo REGEDIT
Molti altri virus utilizzano REGEDIT come "cavallo di troja" per
lanciare, al successivo riavvio del PC, i file (ovviamente ben
nascosti) che provvederanno al contagio della macchina.
Solitamente vanno ad inserire le "stringhe di lancio" nelle
seguenti chiavi:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer
sion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer
sion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVe
rsion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVe
rsion\RunOnce
Mettiamo
al riparo REGEDIT
Controllare periodicamente che nelle
CHIAVI di REGISTRO sopra elencate non
vi siamo programmi di cui non si conosce la
provenienza.
Ovviamente, se si riscontrano dei riferimenti
"anomali" bisogna procedere alla
eliminazione sia della chiave che del file
correlato.
scovare i WORM Virus
Il più delle volte, l'ultimo ad accorgersi della
presenza di un Worm virus sul PC è il
proprietario. Infatti se ne accorgeranno
immediatamente gli amici e tutti coloro che
sono inseriti nella rubrica.
I trucchi che andremo ad illustrarvi di
seguito, sfruttano la caratteristica principale
dei worm virus....l'uso della Rubrica
indirizzi.

TRUCCO
n.1 (testato su Outlook Express)
Il funzionamento del trucco è reso possibile grazie
all'inserimento di un nome "non valido" nella rubrica
indirizzi....
- Portatevi sulla Rubrica;
- Fate click su "Nuovo=>Nuovo contatto";
- Inserire nella casella "Nome" la seguente
stringa:
!00112233
- Quindi date l'OK e chiudete la rubrica.
(non inserite nessun indirizzo e-mail)
In caso di presenza di virus Worm sul PC,
visto che il virus si auto-invia utilizzando gli
indirizzi della rubrica, questo indirizzo non
valido genererà un messaggio di errore. In
tal modo sapremo subito che un Virus ha
inviato delle
e-mail e ...... occorre fare pulizia nel PC.
TRUCCO
n.2 (valido per tutti i sw di posta)
Sfruttando sempre la rubrica, stavolta andremo a sfruttare
anche i Server SMTP....
- Portatevi sulla Rubrica;
- Fate click su "Nuovo=>Nuovo contatto";
- Inserire nella casella "Nome" un nome a vs. piacere:
Per es.: "Mi sono beccato un Virus"
- Inserire nella casella "Indirizzo posta elettronica", un
indirizzo assurdo.. che non può mai funzionare a vs.
piacere:
Per es.: "[email protected]"
- Quindi date l' OK e chiudete la rubrica.
In questo caso, il messaggio di errore
verrà generato dal server smtp, che
ovviamente non riuscirà mai a
raggiungere l'indirizzo e-mail "falso" da
noi inserito in rubrica e quindi ci invierà
una notifica..... allora capiremo...
Gli SPYWARE
Gli Spyware
Cosa sono gli spyware, come
funzionano e quali strumenti
utilizzare per proteggerci
Gli Spyware
Se navighi lentamente o scarichi file a
velocità "ridotta", controlla di non
avere spyware installati sul tuo
computer. Gli spyware non sono altro che
software in grado di trasmettere alle
aziende informazioni sulle nostre abitudini
al computer. Uno spyware, come indica il
nome stesso e semplificando al massimo
il concetto, è un programma che "spia" le
nostre attività.
Gli Spyware
Una definizione di spyware più articolata,
anche se ancora riduttiva, è quella di
"programma nascosto all'interno del
sistema operativo che trasmette
informazioni - riservate e non - attraverso
la rete Internet".
Vediamo allora come descrivono ed
illustrano il termine due interessanti siti che
cercano di fornire al riguardo tutte le
informazioni del caso: stiamo parlando di
Whatis.com e di Symantec.com.
Gli Spyware
Whatis.com definisce uno spyware, in modo
abbastanza generico, come una "tecnologia
che aiuta ad acquisire informazioni a
proposito di una persona o
un'organizzazione, senza che questi ne siano
a conoscenza".
Diversamente, Symantec Corporation (che
ha recentemente acquisito il portale di
sicurezza Securityfocus.com), li definisce
come "software che raccolgono informazioni a
scopo di marketing o per portare pubblicità
sulle pagine Internet".
Gli Spyware
Molte sono le giustificazioni riguardo
l'esistenza di questi programmi, ma nella
maggior parte dei casi gli spyware vengono
proprio utilizzati per trasmettere pubblicità e
raccogliere informazioni sui siti visitati
dall'ignaro utente. Diciamo "ignaro" in quanto,
normalmente, uno spyware non annuncia la
sua installazione, non ci avverte del suo
funzionamento all'interno del sistema
operativo e silenziosamente effettua
connessioni a dei server Internet prestabiliti.
Gli Spyware
L'installazione degli spy-ware dunque non
sempre viene notificata, spesso avviene
in automatico quando installiamo un
programma freeware; in altri casi gli
spyware vengono invece installati durante
la navigazione, approfittando dell'utente
inesperto (i cosiddetti utenti "newbie") che
vede apparire una finestra di conferma e senza leggere di cosa si tratta - clicca sul
fatidico pulsante "Accetta".
Gli Spyware
Gli autori di software freeware vengono
allora pagati dalle aziende per inserire
proprie porzioni di codice
comprendente spyware? Ciò è possibile
(ed è stato anche apertamente
dichiarato in alcuni casi), e la diffusione
degli spyware è comunque, di fatto, in
continuo aumento.
Gli Spyware
Anche per questo spyware è diventato, in tanti casi, sinonimo di Gain
(Gator Advertising Internet Network), una delle forme più diffuse di
pubblicità sulla Rete, oltre ad essere una delle più invasive.
Gli Spyware
Tutti conosciamo le insidie dei virus, che
attraverso vari sistemi, tra cui gli allegati di
posta, possono inserirsi nei nostri computer e
creare problemi più o meno gravi al nostro
PC. Ma ora c'è un nuovo orizzonte per chi
vuole sfruttare la nostra connessione alla rete
per il suo personale tornaconto. Ci riferiamo
alle società di ricerche di mercato che hanno
trovato il modo di inserire vere e proprie
"spie" nei nostri PC, allo scopo di entrare in
possesso della "traccia" delle nostre abitudini
di navigazione.
Gli Spyware
Che cos'è esattamente uno
spyware?
Si tratta di qualunque software che fa uso, in
background e all'insaputa dell'utente, della sua
connessione Internet. L'uso del "backchannel"
internet dovrebbe essere preceduto da un
esplicito avviso a cui fa seguito un'approvazione
dell'utente.
Qualunque software di comunicazione che fa
uso del backchannel senza rispettare queste
regole, è colpevole di furto di informazioni e
pertanto viene definito spyware.
Gli Spyware
Come può uno spyware installarsi nel
nostro PC?
Principalmente attraverso programmi scaricati dalla
rete o da qualche CD contenente "freeware"
(programmi gratuiti) ad esempio: Godzilla,
Webcopier, NetAccellerator, Comet cursor, DivX
Player, Kazaa Media Desktop, ecc. Durante
l'installazione di questi programmi, a nostra insaputa,
viene installato lo spyware che, durante ogni nostro
collegamento Internet, trasmette ad alcuni siti
l'elenco dei siti visitati (che si trova nello "storico"
di cui ogni browser tiene traccia).
Gli Spyware
Come liberarsi degli spyware?
A questo punto sarete impazienti di verificare
se anche il vostro PC è rimasto contagiato da
questa nuova infezione. Per evitare ogni tipo
di problema, esistono particolari software
che, alla stregua degli anti-virus, effettuando
una scansione completa del personal
computer (hard disk e registro di Windows),
sono in grado di trovare ed eliminare tutti gli
eventuali componenti adware e spyware
facenti parte dei programmi installati.
Gli Spyware
Il programma migliore che agisce in tal senso si
chiama Ad-Aware ed è distribuito in maniera del
tutto gratuita da Lavasoft, una piccola softwarehouse tedesca.
A patto che venga tenuto costantemente
aggiornato mediante l'installazione dei reference
file più recenti (gli archivi contenenti informazioni
sugli adware/spyware), Ad-Aware è certamente
lo strumento migliore per diagnosticare ed
eliminare le "spie" eventualmente presenti nel
nostro personal computer.
Gli Spyware
ufficiale:
http://www.lavasoftusa.com/italian/
Download:
http://www.lavasoftusa.com/italian/s
upport/download/
Sito
(consigliamo la "STANDARD EDITION", utilizzabile
gratuitamente a differenza della "PLUS" e della
"PROFESSIONAL", dedicate ad utenze aziendali e/o
professionali)
Gli Spyware
Esistono, tuttavia, altri due metodi per accorgersi
della presenza di spyware. Per prima cosa,
alcuni di essi, durante la loro esecuzione
"silenziosa", causano errori di protezione, ad
esempio, all'interno del browser Internet (Internet
Explorer o Netscape Navigator).
Si tratta di errori, ad una prima analisi,
inspiegabili e del tutto inattesi. Con il passare del
tempo però, anche gli spyware si sono evoluti ed
i "campanelli di allarme" rappresentati da errori
generali oggi si vedono sempre meno.
Gli Spyware
I software firewall, invece, rappresentano
probabilmente, dopo Ad-Aware, i migliori
nostri alleati nello scovare tentativi di
comunicazione con la Rete da parte di
componenti adware e spyware. Il firewall,
una volta attivato, informa l'utente su tutti i
tentativi di accesso ad Internet da parte delle
applicazioni installate. Il consiglio è quello di
negare l'autorizzazione a comunicare con la
Rete Internet ai programmi che non si
conoscono: si avrà il tempo per rendersi
conto dell'accaduto.
Gli Spyware
Prima di scaricare un nuovo software
shareware/freeware dalla Rete, una
buona idea è quella di fare riferimento
all'indirizzo www.spychecker.com
indicando, nell'apposita casella di
ricerca che campeggia in home page, il
nome del programma che intendete
installare: scoprirete se tale software fa
uso di componenti spyware.
Prima di intervenire per securizzare una rete
interna dell’ufficio bisogna seguire una
procedura”base”.
analizzare la situazione attuale
planning degli interventi
“lista della spesa”
Impatto sulla LAN (Hardware/Software)
Impatto sugli utenti (formazione)

Primo STEP
Layout di rete
Individuare il software utilizzato in azienda
Securizzare ogni client della rete (antivirus,
spyware, blocco delle porte)
Installare un server di controller di dominio
e creare gli utenti
Policy di accesso tra i client della rete
(condividere le risorse)

Secondo STEP
Intervenire su ogni client della rete senza bloccare
il lavoro degli altri (se non in casi di impossibilità a
fare diversamente)
Informare ogni collega di quanto si è fatto sulla sua
macchina e perchè
Informativa aziendale sulla nuova situazione della
LAN
Informativa preventiva su ogni modifica o nuova
installazione di apparecchiature o software
Terzo STEP
Effettuare una lista dei software e
dell’hardware necessario affinchè si possa
procedere con il lavoro
Ricercare in caso di necessità le figure o
l’azienda che ci possa dare assistenza o
consulenza
Ottenere (dagli eventuali esterni) e
pianificare i tempi di intervento per le
configurazioni o per l’acquisizione del nuovo
hardware
Quarto STEP
Procedere con le installazioni dei nuovi
software/hardware
Individuare le risorse di rete da condividere
Creare il dominio aziendale e gli utenti per
l’accesso allo stesso
FORMARE IL PERSONALE
PROTEGGERE L’INFORMAZIONE
L’informazione va protetta
Per farlo bisogna organizzarla e strutturarla
implementare un file server per gli archivi
(office, database altro…)
Accessi controllati agli share di rete
Limitare l’utilizzo di Internet
Firewalling
FIREWALL E SICUREZZA
Firewall e sicurezza
Conseguentemente alla diffusione su vasta
scala delle reti locali, i problemi relativi alla
sicurezza diventano sempre più pressanti.
Alcune tecnologie standard attualmente
utilizzate su Internet non sono affatto
sicure. La consapevolezza di questo fatto
è fondamentale se si desidera migliorare la
protezione di una rete.
I problemi più comuni sono i seguenti:
Utilizzo di password che vengono
trasmesse in chiaro
Facilità di monitoraggio della rete
Possibilità di intercettazione degli indirizzi
di rete
Scarsa qualità delle implementazioni per la
sicurezza
“La breccia nella LAN”
La forma più comune di breccia nel sistema di
sicurezza di una rete nasce da una
configurazione non corretta. Ciò generalmente, è
risultato di uno dei seguenti aspetti:
Mancanza di esperienza da parte
dell’amministratore di rete
Patch per la sicurezza non applicate al sistema
operativo
Mancanza di sicurezza di un singolo server/pc
che compromette la sicurezza complessiva della
rete.
Numerose applicazioni di rete impiegate
quotidianamente prevedono l’utilizzo di
password in chiaro. Queste applicazioni
comprendono ad es.:
FTP
Telnet
Client di posta (POP3)
Chiunque sappia utilizzare un analizzatore di
rete è in grado di catturare pacchetti di rete
e ricostruirli in modo da intercettare le
informazioni relative agli account e alle
password.
Nonostante innumerevoli avvertimenti, molte
password attualmente utilizzate non sono
assolutamente sicure. Le password non
dovrebbero essere costituite da nomi di
familiari, date di nascita, numeri telefonici.
Numerosi utenti condividono imprudentemente le
proprie password con altri colleghi oppure le
lasciano in aree facilmente accessibili nei propri
uffici. Alcuni addirittura le scrivono su post-it che
lasciano in bella mostra sul monitor. Questo tipo
di password è molto poco sicuro. In quasi tutti i
sistemi operativi sono disponibili programmi che
utilizzano algoritmi “forza bruta” di confronto
delle password con parole di dizionario sino a
che non individuano una corrispondenza. Come
ci si può proteggere quindi da questi programmi?
Il punto fondamentale consiste nello
scegliere parole alfanumeriche non
presenti in alcun dizionario. Non è
sufficiente utilizzare una cifra alla fine della
parola. Molti programmi di individuazione
delle password tengono conto di numeri
che vanno da 1 a 99 aggiunti alla fine di
ogni parola.
Gli analizzatori di rete “sniffer” sono
ampiamente disponibili e permettono di
visualizzare i pacchetti che vengono
trasmessi sulla rete. Se vengono utilizzate
applicazioni che trasmettono password in
chiaro, cioè non cifrate, questi strumenti
permettono a chiunque di intercettare
queste informazioni e di catturare le
password e gli account utente.
Il pericolo non è limitato alla rete locale, ma
riguarda tutti i “segmenti” di rete che
vengono attraversati dai pacchetti di dati
che partono dall’utente e devono
raggiungere un server. Qualsiasi
strumento di monitoraggio inserito fra i due
estremi di una rete è in grado di
intercettare le informazioni relative le
password e gli account utente.
Il comando netstat visualizza lo stato della
rete. Netstat può darvi informazioni su
quali porte sono aperte e sugli indirizzi IP
che vi stanno accedendo, su quali
protocolli stanno usando tali porte, lo stato
delle porte e informazioni sul processo o
programma che le utilizza.
Al prompt di comando digitate:
netstat -aon (per Windows) o
netstat -apn (per Linux)
e netstat visualizzerà una schermata simile a questa:
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:1134 0.0.0.0:0 LISTENING 3400
TCP 0.0.0.0:1243 0.0.0.0:0 LISTENING 3400
TCP 0.0.0.0:1252 0.0.0.0:0 LISTENING 2740
TCP 257.35.7.128:1243 64.257.167.99:80 ESTABLISHED 3400
TCP 257.35.7.128:1258 63.147.257.37:6667 ESTABLISHED 3838
TCP 127.0.0.1:1542 0.0.0.0:0 LISTENING 1516
TCP 127.0.0.1:1133 127.0.0.1:1134 ESTABLISHED 3400
TCP 127.0.0.1:1134 127.0.0.1:1133 ESTABLISHED 3400
TCP 127.0.0.1:1251 127.0.0.1:1252 ESTABLISHED 2740
TCP 127.0.0.1:1252 127.0.0.1:1251 ESTABLISHED 2740
Ora, dovete far corrispondere i numeri nella
colonna PID ai nomi dei processi che sono in
esecuzione. In Windows, dovete utilizzare il
Windows Task Manager, digitando
CTL+ALT+DEL
(se non viene visualizzata la colonna PID, fate click
su Visualizza, poi Seleziona Colonne, e
successivamente selezionate PID). In Linux,
andate nel prompt di comando e digitate ps auxf
per visualizzare lo stato dei processi.
Nel nostro esempio troviamo che il PID 3400
appartiene al vostro browser web e che il PID
2740 appartiene al vostro client di posta, entrambi
mandati in esecuzione consapevolmente
ed entrambi con una buona ragione per connettersi
ad Internet. Tuttavia il PID 3838
appartiene ad un programma chiamato 6r1n.exe e
il PID 1516 ad un programma chiamato
buscanv.exe, nessuno dei quali vi è familiare.
la sola ragione che non riconoscete il
nome di un programma, non significa che
non ci sia un valido motivo per cui sia in
esecuzione sul sistema. Il passo successivo
è andare su un motore di ricerca e cercare di
scoprire a cosa servono tali programmi.
Nella nostra ricerca, scopriamo che buscanv.exe è
necessario al nostro programma di
scansione virus e che deve essere in esecuzione.
Tuttavia 6r1n.exe potebbe essere un trojan.
Osservando nuovamente l'output di netstat,
possiamo notare che la porta associata al
programma 6r1n.exe è la 6667, una porta IRC
comunemente utilizzata dai trojans per
l'accesso remoto. A questo punto iniziamo la
ricerca del metodo per rimuovere il trojan.
Ora potete sedervi al computer e mandare in
esecuzione continuamente netstat per
controllare i dati che transitano per il vostro
computer o potete usare un programma firewall
che lo faccia per voi. Un firewall controlla il traffico
presente sul vostro computer e utilizza un
numero di regole o filtri per determinare se ad un
programma debba o meno essere
consentito l'accesso alla rete. Un firewall può
filtrare i dati in base ad un indirizzo IP e a nomi di
dominio, porte e protocolli, o anche dati trasmessi.
Questo significa che potete fare cose
quali:
· bloccare o consentire l'accesso a tutti i
dati provenienti da un indirizzo IP specifico
· bloccare o consentire l'accesso a tutti i
dati provenienti da un dominio specifico
· chiudere o aprire porte specifiche
· bloccare o abilitare protocolli specifici
Potete anche combinare questi filtri per consentire
il controllo dei dati abilitati a transitare
attraverso la rete. Ad esempio potete:
· abilitare i dati provenienti da www.ibiblio.com
solo tramite le porte 20 o 21
· abilitare i dati provenienti da www.google.com
che utilizzano il protocollo UDP
· abilitare i dati provenienti da www.yahoo.com
solo attraverso la porta 80 e solo se il
Realizzazione di un firewall (il minimo indispensabile)
È sufficiente visitare il sito http://freshmeat.net e cercare “firewall” per
rendersi conto dell’attenzione che il mondo dell’Open Source ha
dedicato all’argomento.
Tra le tante offerte disponibili abbiamo scelto "IPCop" per le seguenti
caratteristiche:
Facilità d'installazione.
Applicabile in ambiente “Home” o piccola rete locale con
minime opzioni.
Applicabile in ambiente “Enterprise network” con diverse
funzionalità aggiuntive quali logging, reporting, proxy, vpn ecc.
IPCop é una mini distribuzione Linux specializzata per
realizzare un firewall;

Ottenere la distribuzione
L’immagine iso è scaricabile direttamente dal sitohttp://www.ipcop.org al link Download, fate attenzione
a scaricare la versione più recente (alla redazione di questo documento è la 1.4.2).
Caratteristiche
Linux Netfilter con capacità di NAT/PAT e logging.
Supporto per quattro schede di rete.
Supporto Client DHCP su una scheda di rete per ricevere l’indirizzo IP dal
Provider.
Supporto Server DHCP per due schede di rete.
Supporto server NTP per sincronizzare la data e l’ora e per fornirla a due schede
di rete.
IDS (Intrusion detection system) per tutte e quattro le schede di rete.
Supporto per la VPN (rete privata virtuale).
Supporto proxy per il Web.
Amministrazione e controllo attraverso il browser.
Possibilità di pach/update
Backup e Restore della configurazione

Hardware
IPCop può essere installato su un vecchio “486” con 16
MB di RAM, consigliamo tuttavia di utilizzare schede
madri e schede di rete basate sullo standard PCI, 64 MB
di RAM, un BIOS che permette l’avvio da CDROM (la
distribuzione comprende anche l’immagine floppy per
l’avvio) e qualche GB di Hard Disk.
Per utilizzare il proxy è consigliabile avere 256 MB di
RAM e di più GB di Hard Disk se si desidera conservare
i file di log.
Perché quattro adattatori di rete?
Gli adattatori di rete sono individuati con dei colori:
ROSSO – rappresenta l’interfaccia connessa ad internet.
VERDE – rappresenta l’interfaccia per la rete interna.
BLU – rappresenta l’interfaccia per una seconda rete
interna o per una rete wireless.
ARANCIO – rappresenta l’interfaccia per un’eventuale
zona DMZ in cui si trovano server che offrono servizi
all’esterno.

L’applicazione minima prevede due interfacce di rete, quella verso
internet (ROSSA) e quella verso la rete locale (VERDE) da proteggere.
Nel caso in cui esistono due reti locali
che devono rimanere separate (accesso
consentito solo in VPN) si utilizza anche
l’interfaccia BLU;
è la classica situazione in cui la rete
locale dell’amministrazione condivide
l’unico accesso ad internet con la rete dei
server, tuttavia ne deve restare separata.
La nostra installazione minima
Abbiamo utilizzato un Pentium III 800 Mhz con 128 MB di RAM, 5GB di
Hard Disk, due schede di rete PCI (ROSSA e VERDE).
L’installazione è composta dai seguenti passi:
Avvio del sistema (nel nostro caso direttamente dal CDROM generato
dall’immagine iso scaricata).
Partizionamento del disco rigido del vostro computer“ATTENZIONE I DATI
PRESENTI SUL HARD DISK SARANNO CANCELLATI”.
Rilevamento delle interfacce di rete (scegliere automatico).
Scelta dell’indirizzo IP dell’interfaccia verde (rete locale).
Scelta dei parametri locali (tastiera, data/ora).
Scelta del nome del sistema (hostname) e del domino.
Configurazione del dispositivo ISDN (saltare se non interessa).
A questo punto il sistema è configurato per due schede di rete (ROSSA +
VERDE). Utilizzate il menu per cambiare le impostazioni ed abilitare
eventualmente altre schede di rete.
Con l’opzione “Impostazioni driver e schede”
impostate i driver delle schede di rete non
ancora configurate.
Assegnate ora gli indirizzi IP alle schede di
rete tramite l’opzione “Impostazione indirizzo”.
Assegnate il Gateway e il DNS tramite
l’opzione “Impostazioni DNS e Gateway”.
Configurate il server DHCP (saltare se non
interessa).
Impostate le password di root e di
amministratore.
Il firewall in configurazione minima è pronto,
collegate un cavo di rete al router (quello
dell’interfaccia ROSSA) e un altro al vostro Hub
o Switch (quello dell’interfaccia VERDE);
poiché non sapete fisicamente come sono state
assegnate le interfacce può essere necessario
invertire i cavi.
Provate a navigare con i PC della vostra rete
locale.
GRAZIE!