BuiltWithNOF
DPS-La nota del redattore

 

 

di Marcello Pugliese

Il Consiglio dei Ministri n. 37 del 22 dicembre 2005, ha stabilito di prorogare la compilazione del DPS dal 31 dicembre 2005 al 31 marzo 2006 inserendo  tale risoluzione nel cosiddetto decreto "milleproroghe" che ha anche ridisegnato il calendario degli adempimenti previsti dagli articoli 180 e 181 del Codice della Privacy.
L'articolo 180 distingue tra misure minime di sicurezza vecchie (quelle previste dal DPR n. 318/1999) e nuove (quelle previste "ex novo" dall'allegato B al Codice) ma solo le misure minime di sicurezza previste dall'allegato B al Codice usufruiscono della proroga.
Poichè l'Autorità Garante della Privacy, con motivato parere del 22 marzo 2004, ha espressamente interpretato come misura "nuova" la redazione del Documento Programmatico sulla Sicurezza, di conseguenza la sua compilazione è prorogata al 31 marzo 2006, mentre l'adeguamento degli strumenti elettronici, che non consentono, in tutto od in parte, l'applicazione delle misure minime di sicurezza è differita al 30 giugno 2006. Invece le misure previste dal DPR n.318/1999 e cioè: password, antivirus, firewall ecc. devono essere già in atto.

Il DPS è una descrizione della situazione riguardo il trattamento dei dati (analisi dei rischi, distribuzione dei compiti, misure, distribuzione delle responsabilità e altro) e gli strumenti adottati per rendersi conformi alla normativa .

Il documento è diviso in sezioni per argomenti.

Nella prima sezione sono riportate le informazioni generali sul trattamento dei dati personali, seguono le sezioni con la descrizione della distribuzione dei compiti e delle responsabilità personali, l'analisi dei rischi che incombono sui dati, le misure da adottare , le modalità di ripristino della disponibilità dei dati, la pianificazione degli interventi formativi previsti, i trattamenti affidati all'esterno e infine la cifratura dei dati e la separazione dei dati identificativi .

Nella prima sezione (trattamento dei dati personali) c'è una descrizione del tipo di trattamento effettuato dal titolare, direttamente o attraverso collaborazioni esterne, con indicazioni sulla natura dei dati e del luogo in cui si svolge il trattamento, o delle eventuali strutture esterne che se ne occupano e gli strumenti elettronici impiegati, oltre alla descrizione sintetica del trattamento , le finalità del trattamento e gli interessati.

Nella seconda sezione (Distribuzione dei compiti e delle responsabilità) si deve descrivere l'organizzazione della società, i compiti assegnati ad ogni persona e le relative responsabilità in relazione al trattamento. Esempi di responsabilità sono l'introduzione dei dati in un database, quale il programma di gestione dell'ambulatorio, il salvataggio e ripristino dei dati, la manutenzione o sviluppo dei programmi di trattamento e simili

La terza sezione (Analisi dei rischi che incombono sui dati) è la più delicata, richiede l'elencazione degli eventi potenzialmente dannosi per la sicurezza dei dati e una valutazione delle conseguenze sulla sicurezza dei dati. I rischi sono divisi in tre categorie principali, quelli derivati rispettivamente dal comportamento degli operatori, dagli errori relativi agli strumenti e dalle situazioni derivanti dal contesto fisico e ambientale.

Per ogni rischio si deve specificare la probabilità stimata in tre livelli, alta, media e bassa. E' ovvio che, per esempio, in un computer non collegato a Internet le possibilità di un accesso esterno non autorizzato sono basse mentre saranno alte nel caso di una connessione permanente ADSL, che espone pesantemente al rischio di minacce di virus e spamming.

In questa sezione si elencano solo i rischi possibili e la loro gravità, mentre le misure di sicurezza per evitarli o ridurli sono nella sezione successiva. I rischi derivati dal comportamento degli operatori  consistono nella sottrazione delle credenziali di autenticazione (User Id e Password), incuria o disattenzione (es. computer lasciati incustoditi, foglietti con le password lasciati in vista) comportamenti sleali o fraudolenti (furto e vendita dei nominativi ad altre società) e l'errore materiale (per esempio spegnimento del computer prima del salvataggio dei dati).

Gli eventi relativi agli strumenti riguardano l'azione di virus e programmi maligni (quali i software keylogger che registrano le combinazioni dei tasti premuti o gli spyware che raccolgono informazioni dal computer e li inviano all'esterno o la cancellazione del disco a seguito di un virus), accessi esterni non autorizzati (programmi backdoor che permettono il controllo remoto del PC), spamming o tecniche di sabotaggio, malfunzionamento o degrado degli strumenti (antivirus non funzionante, disabilitazione del firewall), intercettazione di informazioni in rete (quali trasmissioni wireless tra server e client o in rete locale non protette da crittografia dei dati).

Gli eventi relativi al contesto fisico e ambientale sono gli ingressi non autorizzati a locali e aree ad accesso ristretto, la sottrazione di strumenti contenenti dati (furto del computer, dei dischi di backup, archivi, schedari), eventi distruttivi naturali o artificiali accidentali o dovuti a incuria (incendi, allagamenti, terremoti, presenza di materiali incendiari o esplosivi in luoghi non adibiti e uso di fiamme libere in loro prossimità), guasti a sistemi complementari (all'impianto elettrico, al gruppo di continuità, al sistema di condizionamento) e infine errori umani nella gestione della sicurezza fisica (perdita delle chiavi di accesso, locali lasciati incustoditi e accessibili a chiunque)

Nella quarta sezione (Misure in essere e da adottare) sono descritti in maniera sintetica gli strumenti usati per contrastare le minacce riportare nella sezione precedente. Nella colonna Misure si deve inserire la descrizione generica della procedura adottata mentre nella colonna Misure attuali è descritta specificatamente la misura attiva.Per esempio l'autenticazione informatica è una misura generale di sicurezza e può essere realizzata richiedendo l'inserimento di un nome utente e di una password oppure tramite un sistema di riconoscimento delle impronte digitali o tramite, per es., dispositivo USB.

La Descrizione dei rischi contrastati analizza l'elemento di rischio indicato nella sezione precedente che si vuole contrastare con la misura. Nella colonna Trattamenti interessati sono riportati i database o gli archivi protetti dalla misura. Alcune misure come la procedura di identificazione con user Id e password non sono riconducibili a uno specifico trattamento in quanto la procedura protegge in generale tutti gli archivi di dati. Per ogni misura è indicata la data di attivazione.In Misure è inclusa anche la periodicità degli aggiornamenti dei programmi antivirus e di altri programmi specifici per la rimozione di software maligni

La sezione Criteri e modalità di ripristino della disponibilità dei dati descrive i criteri di salvataggio e ripristino dei dati. Nella colonna Pianificazione delle prove di ripristino vanno inserite le date in cui si prevede di effettuare dei test per valutare l'efficacia delle procedure di salvataggio e di ripristino.

 Gli interventi formativi previsti della sesta sezione riguardano l'addestramento del personale per l'attuazione della normativa tramite la frequenza a corsi tenuti da società o persone.

La colonna Classi di incarico interessate è un elenco delle tipologie di incaricati interessati.Nel modello in cui il titolare è anche il responsabile di tutte le procedure di formazione è inserito il nome anziché l'appartenenza a una classe o tipologia

Nella sezione Trattamenti affidati all'esterno si deve descrivere in modo sintetico le attività gestite da terzi che comportano il trattamento dei dati.

La cifratura dei dati o separazione dei dati identificativi è un punto che riguarda direttamente gli organismi sanitari e gli esercenti professioni sanitarie, poiché tali soggetti che effettuano trattamento di dati personali devono mettere in atto procedure per ridurre al minimo il rischio di danneggiamento,perdita dei dati o loro utilizzo fraudolento a seguito dell’azione di worm, spyware, trojan e altro ancora.

Per alcune problematiche è necessario scendere nel dettaglio, soprattutto per ciò che riguarda il  “Sistema di autenticazione informatica”, che al punto 1 riporta: “Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti”. In un linguaggio elementare significa che è richiesta una combinazione di nome utente e password per l’accesso al computer la quale è conosciuta soltanto dall’utente.Ed al punto 5 si specifica che la password deve essere composta da almeno otto caratteri e non deve contenere elementi che possano far risalire all’utente. Qualora il sistema non permetta di impostare una password di otto caratteri, il numero deve essere uguale al massimo consentito. Se la password è stata impostata da un amministratore di sistema l’addetto al trattamento dei dati sul computer la deve modificare al primo utilizzo. La password deve essere modificata almeno ogni 6 mesi, che scendono a 3 nel caso di dati sensibili o giudiziari.La protezione offerta da una password dipende fortemente dalla sua complessità. Le password brevi e composte da parole comuni sono facili da ricordare e altrettanto da scoprire. Le password complesse sono l’opposto: difficili da scoprire e da ricordare.Al punto 4 si pone l’accento sulla segretezza della password e la custodia dei dispositivi da parte dell’operatore del computer.Il punto 9 è un’aggiunta al punto 4 e riguarda le istruzioni che vanno impartite all’operatore affinché non lasci incustodito e accessibile il computer. In sostanza, se ci si assenta per qualche minuto, si deve proteggere il computer e i dati chiudendo a chiave la stanza o impostando un salvaschermo con password, oppure qualsiasi altro mezzo hardware o software che impedisca l’accesso ai dati.Le credenziali non utilizzate per 6 mesi vanno cancellate. La stessa cosa vale per le persone che non fanno più parte della società o che per vari motivi non dispongono più delle qualifiche per il trattamento dei dati personali.

Il punto 10 è importante, per es., nel caso si nomini un sostituto, poiché specifica le procedure per consentire il trattamento nel caso in cui l’incaricato sia indisponibile per molto tempo e l’accesso è esclusivo, ossia non è possibile il trattamento da parte di altri incaricati.Per questa situazione sono previste disposizioni scritte che riportano le modalità con cui il titolare assicura la disponibilità dei dati, quale la nomina temporanea di un nuovo incaricato a cui vengono rese note le credenziali dell’incaricato indisponibile custodite rispettando criteri di sicurezza e segretezza.

Punti altrettanto importanti sono quelli che riguardano la protezione dei dati dai furti a seguito di vulnerabilità della rete Internet e dalla perdita a causa di malfunzionamento del programma che esegue il trattamento o del sistema operativo o per l’azione di un virus.Il punto 16 afferma “I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615- quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale”.Quindi si tratta di dotare il computer di una soluzione anti- intrusione, ossia un firewall che può essere hardware o software, di un antivirus e di un programma in grado di rilevare worm, trojan e loro sottofamiglie.Il Firewall, che letteralmente significa barriera taglia fuoco , è un dispositivo o un software installato su un computer o server collegati a una rete che ha il compito di gestire il traffico proveniente da Internet eda altri computer.Il firewall è in grado di ispezionare la comunicazione in arrivo e stabilire se si tratta di traffico legittimo oppure un tentativo di intrusione illegale.

Un’alternativa ai firewall software sono i firewall hardware: questi dispositivi controllano e verificano il traffico tra la rete locale e Internet, ispezionano i movimenti e bloccano i tentativi di accesso non autorizzati da Internet e gli attacchi DOS (DOS non è il vecchio sistema operativo (Disk Operating System) ma l’acronimo diDenial Of Service, cioè Negazione del servizio. È una tecnica che consiste nel sommergere di traffico un server Internet inviando richieste senza scopo (tipico è l’invio di un numero spropositato di messaggi di posta). Il server nel tentativo di rispondere rallenta le risposte anche alle richieste valide è può arrivare anche al blocco totale del servizio ).

Il punto 17 del decreto afferma “Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale”. Questo significa che il sistema operativo e le applicazioni sono da aggiornare almeno una volta all'anno, ogni sei mesi se i dati trattati sono sensibili o giudiziari. La richiesta di una cadenza di aggiornamento semestrale è ovviamente ampiamente superata da tutti i programmi di sicurezza che ormai eseguono un aggiornamento quotidiano delle “firme” che servono per individuare i programmi con codice maligno.Windows 2000 aggiornato al Service Pack 3 e Windows XP hanno una comoda funzionalità di aggiornamento automatico che però ha un inconveniente, è operativa solo quando si è connessi con l’account di amministratore e quindi se l’account abilitato al trattamento dei dati è di tipo limitato il responsabile della sicurezza dovrà sobbarcarsi il compito di aggiornare il sistema.La frequenza di aggiornamento almeno annuale indicata dal decreto è fin troppo permissiva considerando che in media ogni mese Microsoft rende disponibili delle patch che correggono vulnerabilità scoperte nel sistema e applicazioni. Una ricerca di aggiornamento una volta al mese è una frequenza ragionevole.In Windows XP l’installazione del Service Pack 2 attiva automaticamente Aggiornamenti automatici.

Il punto 18 del decreto richiede il salvataggio dei dati con frequenza settimanale con l'operazione di Backup. Non ci sono particolari richieste sui metodi di backup,che in teoria potrebbe essere salvato sullo stesso disco contenente i dati. Tuttavia questa non è una procedura da consigliare: se si guasta il disco o viene rubato il computer i dati sono persi. Una soluzione che concilia sicurezza ed economia è il ricorso a un'unità USB o CD e DVD riscrivibili che al termine del backup possono essere conservati in un armadio chiuso a chiave.

Firewall, antivirus, programmi per la rimozione di spyware e simili sono senza dubbio utili ma è errato pensare che la loro presenza garantisca una protezione totale. La velocità di diffusione di programmi maligni è elevata e tra il momento della loro comparsa in Rete e la preparazione di un rimedio passa almeno qualche ora, periodo più che sufficiente per produrre danni considerevoli. Oltre ad un aggiornamento periodico e costante alcune regole di comportamento nella navigazione e nell’uso del PC riducono di molto le possibilità di infezione. La prima regola è non aprire mai nessuna e-mail di cui non si è certi della provenienza, e anche se sembrano provenire da mittenti fidati bisogna prestare attenzione al tipo di allegato. Una delle tecniche più comuni dei virus è nascondersi in messaggi che provengono da gente conosciuta il cui indirizzo è stato trovato nel database di un computer infetto.Lo stesso vale per i documenti di Word e Excel le cui macro possono essere virus, o per gli aggiornamenti di Microsoft spediti per posta (Microsoft non spedisce mai aggiornamenti), i file DAT spacciati come giochi e simili. Non navigare nei siti sospetti o in quelli che promettono il download di programmi sprotetti evita di cadere in trappole, visto  che spesso installano tramite la pagina Web visitata dei virus o trojan. Conviene non usare floppy o compact disk di cui non si è sicuri del contenuto e disabilitare l’esecuzione di ActiveX, degli script di Java e Visual .Attenzione anche al Phishing: è un’alterazione del termine inglese Fhishing che significa pescare.E pescare utenti in buona fede nella rete è il vero intento di coloro che praticano questa nuova forma di truffa on line. È attualmente considerata una delle forme più redditiziedi truffe on line poiché consiste nel cercare di sottrarre all’utente quelle che sono le informazioni personali più importanti come i numeri di carta di credito, le password di posta elettronica, e vari tipi di pin.

Un altro vettore utilizzato sono i trojan horse, i cavalli di Troia, che si trovano occultati all’interno di altri programmi dall’apparente aspetto innocuo.Molti programmi freeware messi gratuitamente a disposizione dei navigatori  nascondono al loro interno programmi in grado di aprire una breccia nella sicurezza, cioè una porta di comunicazione, e permettere il controllo remoto del PC. Il computer dell’utente diventa quindi un ponte dal quale sferrare numerosi altri attacchi. Pensiamo inoltre a cosa è possibile fare con i software di keylogger: questi programmi sono in grado di registrare i tasti battuti sulla tastiera e quindi scoprire ad esempio il numero di carta di credito, il proprio pin o la propria password ed inviarle a database di computer remoti.È facile immaginare i danni provocati ai privati da tali truffe,ma ancora più gravi risultano essere quelli a discapito di aziende o professionisti, dove la quantità di dati sensibili è enormemente più elevata(dati personali, conti bancari, documenti riservati). Pensiamo a tutte le informazioni contenute nei database di una grande società, riguardanti sia i propri dipendenti, sia gli utenti gestiti da quella particolare azienda oppure ai dati sensibili degli archivi di un medico.

Nel computer di ogni utente dovrebbero quindi essere presenti oltre ad un buon antivirus (regolarmente aggiornato) e al personal firewall, un personal anti-spam, ed infine uno spyware detection. Tutti questi programmi esistono sia nelle versioni a pagamento sia nelle versioni freeware, e devono comunque essere regolarmente aggiornati se si vuole sempre garantire il massimo livello di protezione possibile.Tali applicazioni sono in grado di bloccare istantaneamente i malicious software come i trojan horse, e i keylogger. Sono in grado di controllare lo spam e di monitorare le richieste di connessioni remote da parti di programmi installati all’insaputa dell’utente.Vengono inoltre bloccati gli allegati nocivi e messi in quarantena eventuali virus rilevati dal software.

Molta attenzione va posta poi nella configurazione dei browser utilizzati per la navigazione in rete.Per prevenire attacchi da parte dei “phisher”, è opportuno disabilitare le funzionalità riguardanti i pop-up, disabilitare i famosi ActiveX, prevenire il salvataggio di cookies non sicuri ed evitare che il nostro browser faccia partire in automatico dei download non autorizzati.

Ovviamente utilizzare il personal computer senza un buon antivirus è molto pericoloso, ma l'antivirus di per sé stesso non è garanzia di protezione a meno che si non aggiornino costantemente le informazioni che gli permettono di riconoscere i nuovi virus. Ogni giorno si susseguono,infatti, le segnalazionidi nuovi e sempre più pericolosi virus. Le principali minacce arrivano dai worm: virus che hanno scelto la posta elettronica come miglior veicolo per la propria diffusione e per una più semplice infezione dei sistemi informatici di tutto il mondo. Un tempo bastava evitare di aprire allegati sospetti, provenienti da mittenti sconosciuti, ma oggi non basta più. I virus worm sono infatti sempre più “intelligenti”: per attivarsi in modo automatico, senza l’intervento dell’utente (il classico “doppio clic”), sfruttano vulnerabilità di sicurezza e bug del programma di posta elettronica, del browser Internet e del sistema operativo. Se non si adotta l’abitudine di aggiornare periodicamente il sistema operativo applicando tutte le più importanti patch di sicurezza, c'è l’elevata probabilità che il proprio computer cada preda di virus e di ogni genere di malware e di programmi che s'installano sul sistema senza l’autorizzazione dell’utente.

 Quindi la prima misura è di dotarsi di un antivirus e di mantenere sempre aggiornata la lista di descrizione dei virus

La seconda misura è di aggiornare il sistema operativo, IE e Oulook Express ed il programma applicativo usato con patch e service pack.

La terza misura è di sbarrare qualsiasi possibile accesso al proprio sistema da parte di utenti malintenzionati tramite firewall.

 La quarta misura è di eliminare gli intrusi che sono riusciti comunque a intrufolarsi attraverso canali non sospettabili, ricordando che spyware, hijackers e malware sono programmi purtroppo sempre più diffusi e sempre più pericolosi e subdoli.Gli spyware sono componenti che fanno uso di particolari algoritmi per raccogliere informazioni sul nostro personal computer , sulle nostre abitudini e che ritrasmettono le informazioni a terzi, via Internet, spesso senza il nostro consenso, e perciò illegalmente.

La quinta misura è di non lasciare informazioni critiche liberamente accessibili sul computer e di tenere sotto chiave le proprie password.

La sesta misura è di cifrare e rendere impenetrabili le informazioni che facciamo uscire dal nostro PC e spediamo via posta elettronica o in altra forma. La crittografia è una tecnica che codifica le informazioni in modo che siano accessibili solo alle persone autorizzate. Il problema è stato decisivamente affrontato negli anni settanta con l’invenzione della crittografia a chiave pubblica. Ogni interlocutore dispone di due chiavi: una pubblica (da distribuire liberamente) e una privata (da mantenere segreta). Un messaggio cifrato con una certa chiave pubblica può essere decifrato solo con la chiave privata corrispondente (ossia solo dal proprietario della chiave pubblica con la quale un messaggio è stato cifrato). Per comunicare con una persona in modo sicuro è sufficiente cifrare il messaggio originale con la sua chiave pubblica e spedirglielo. Costui (e solo lui) sarà in grado di decifrare il messaggio con la propria chiave privata.

La settima e ultima misura è il Wiping, cioè la cancellazione definitiva delle informazioni sul disco: tutti i file memorizzati sul disco fisso, anche quando eliminati utilizzando i comandi “tradizionali” messi a disposizione dal sistema operativo, continuino a lasciare delle tracce sul disco fisso. Di fatto possono verificarsi tre condizioni. Il file cancellato è ancora presente nel cestino e può essere facilmente ripristinato. Il file è stato rimosso dal cestino, ma si trova ancora sul disco fisso nella sua forma integrale, semplicemente non compare più nell’elenco dei file disponibili, ma può essere recuperato con un’utility ad hoc. Molto spesso, infatti, nel caso in cui la cancellazione di un file sia avvenuta di recente, è possibile recuperarlo completamente facendo uso di apposite utility .Nel terzo caso, il file è scomparso dal disco e al suo posto se né sostituito un altro, ma esistono ancora tracce magnetiche della sua presenza sufficienti per ricostruirne il contenuto con speciali strumenti. La soluzione consiste nell’operazione di wiping, dove il file viene cancellato e al suo posto vengono scritte ripetutamente informazioni nulle fino al eliminarne qualsiasi traccia. ivo Service Pack Download Data rilascio Dimensione

al momento

 

 

 

 

[Home] [Organigramma] [Prima pagina] [Links] [Riviste] [Congressi] [ECM] [Leggi e normative] [Buona fede] [Sentenza 559/93] [Indebito oggettivo] [Riscossione quote] [Eccesso di assistiti] [Se il MMG si ammala] [Certificati e IVA] [Patentino] [Cassazione Ottobre 2005] [Privacy] [Regione Calabria - Prescrizioni] [IRAP] [DPS-La nota del redattore] [Informativa (Privacy)] [Certificato di morte] [Prescrizioni non autorizzate] [I soci scrivono] [Prescrivere] [E-Mail]