D.P.S. - Documento Programmatico sulla Sicurezza
La nota del Redattore
di Marcello Pugliese
Il Consiglio dei Ministri n. 37 del 22 dicembre 2005, ha stabilito di
prorogare la compilazione del DPS dal 31 dicembre 2005 al 31 marzo 2006
inserendo tale risoluzione nel cosiddetto decreto "milleproroghe"
che ha anche ridisegnato il calendario degli adempimenti previsti dagli
articoli 180 e 181 del Codice della Privacy.
L'articolo 180 distingue tra misure minime di sicurezza vecchie (quelle
previste dal DPR n. 318/1999) e nuove (quelle previste "ex novo"
dall'allegato B al Codice) ma solo le misure minime di sicurezza
previste dall'allegato B al Codice usufruiscono della proroga.
Poichè l'Autorità Garante della Privacy, con motivato
parere del 22 marzo 2004, ha espressamente interpretato come misura
"nuova" la redazione del Documento Programmatico sulla Sicurezza, di
conseguenza la sua compilazione è prorogata al 31 marzo 2006,
mentre l'adeguamento degli strumenti elettronici, che non consentono,
in tutto od in parte, l'applicazione delle misure minime di sicurezza
è differita al 30 giugno 2006. Invece le misure previste dal DPR
n.318/1999 e cioè: password, antivirus, firewall ecc. devono
essere già in atto.
Il DPS è una descrizione della situazione riguardo il
trattamento dei dati (analisi dei rischi, distribuzione dei compiti,
misure, distribuzione delle responsabilità e altro) e gli
strumenti adottati per rendersi conformi alla normativa .
Il documento è diviso in sezioni per argomenti.
Nella prima sezione sono riportate le informazioni generali sul
trattamento dei dati personali, seguono le sezioni con la descrizione
della distribuzione dei compiti e delle responsabilità
personali, l'analisi dei rischi che incombono sui dati, le misure da
adottare , le modalità di ripristino della disponibilità
dei dati, la pianificazione degli interventi formativi previsti, i
trattamenti affidati all'esterno e infine la cifratura dei dati e
la separazione dei dati identificativi .
Nella prima sezione (trattamento dei dati personali) c'è una
descrizione del tipo di trattamento effettuato dal titolare,
direttamente o attraverso collaborazioni esterne, con indicazioni sulla
natura dei dati e del luogo in cui si svolge il trattamento, o delle
eventuali strutture esterne che se ne occupano e gli strumenti
elettronici impiegati, oltre alla descrizione sintetica del trattamento
, le finalità del trattamento e gli interessati.
Nella seconda sezione (Distribuzione dei compiti e delle
responsabilità) si deve descrivere l'organizzazione della
società, i compiti assegnati ad ogni persona e le relative
responsabilità in relazione al trattamento. Esempi di
responsabilità sono l'introduzione dei dati in un database,
quale il programma di gestione dell'ambulatorio, il salvataggio e
ripristino dei dati, la manutenzione o sviluppo dei programmi di
trattamento e simili
La terza sezione (Analisi dei rischi che incombono sui dati) è
la più delicata, richiede l'elencazione degli eventi
potenzialmente dannosi per la sicurezza dei dati e una valutazione
delle conseguenze sulla sicurezza dei dati. I rischi sono divisi in tre
categorie principali, quelli derivati rispettivamente dal comportamento
degli operatori, dagli errori relativi agli strumenti e dalle
situazioni derivanti dal contesto fisico e ambientale.
Per ogni rischio si deve specificare la probabilità stimata in
tre livelli, alta, media e bassa. E' ovvio che, per esempio, in un
computer non collegato a Internet le possibilità di un accesso
esterno non autorizzato sono basse mentre saranno alte nel caso di una
connessione permanente ADSL, che espone pesantemente al rischio di
minacce di virus e spamming.
In questa sezione si elencano solo i rischi possibili e la loro
gravità, mentre le misure di sicurezza per evitarli o ridurli
sono nella sezione successiva. I rischi derivati dal comportamento
degli operatori consistono nella sottrazione delle credenziali di
autenticazione (User Id e Password), incuria o disattenzione (es.
computer lasciati incustoditi, foglietti con le password lasciati in
vista) comportamenti sleali o fraudolenti (furto e vendita dei
nominativi ad altre società) e l'errore materiale (per esempio
spegnimento del computer prima del salvataggio dei dati).
Gli eventi relativi agli strumenti riguardano l'azione di virus e
programmi maligni (quali i software keylogger che registrano le
combinazioni dei tasti premuti o gli spyware che raccolgono
informazioni dal computer e li inviano all'esterno o la cancellazione
del disco a seguito di un virus), accessi esterni non autorizzati
(programmi backdoor che permettono il controllo remoto del PC),
spamming o tecniche di sabotaggio, malfunzionamento o degrado degli
strumenti (antivirus non funzionante, disabilitazione del firewall),
intercettazione di informazioni in rete (quali trasmissioni wireless
tra server e client o in rete locale non protette da crittografia dei
dati).
Gli eventi relativi al contesto fisico e ambientale sono gli ingressi
non autorizzati a locali e aree ad accesso ristretto, la sottrazione di
strumenti contenenti dati (furto del computer, dei dischi di backup,
archivi, schedari), eventi distruttivi naturali o artificiali
accidentali o dovuti a incuria (incendi, allagamenti, terremoti,
presenza di materiali incendiari o esplosivi in luoghi non adibiti e
uso di fiamme libere in loro prossimità), guasti a sistemi
complementari (all'impianto elettrico, al gruppo di continuità,
al sistema di condizionamento) e infine errori umani nella gestione
della sicurezza fisica (perdita delle chiavi di accesso, locali
lasciati incustoditi e accessibili a chiunque) .
Nella quarta sezione (Misure in essere e da adottare) sono descritti in
maniera sintetica gli strumenti usati per contrastare le minacce
riportare nella sezione precedente. Nella colonna Misure si deve
inserire la descrizione generica della procedura adottata mentre nella
colonna Misure attuali è descritta specificatamente la misura
attiva.Per esempio l'autenticazione informatica è una misura
generale di sicurezza e può essere realizzata richiedendo
l'inserimento di un nome utente e di una password oppure tramite un
sistema di riconoscimento delle impronte digitali o tramite, per es.,
dispositivo USB.
La Descrizione dei rischi contrastati analizza l'elemento di rischio
indicato nella sezione precedente che si vuole contrastare con la
misura. Nella colonna Trattamenti interessati sono riportati i database
o gli archivi protetti dalla misura. Alcune misure come la procedura di
identificazione con user Id e password non sono riconducibili a uno
specifico trattamento in quanto la procedura protegge in generale tutti
gli archivi di dati. Per ogni misura è indicata la data di
attivazione.In Misure è inclusa anche la periodicità
degli aggiornamenti dei programmi antivirus e di altri programmi
specifici per la rimozione di software maligni
La sezione Criteri e modalità di ripristino della
disponibilità dei dati descrive i criteri di salvataggio e
ripristino dei dati. Nella colonna Pianificazione delle prove di
ripristino vanno inserite le date in cui si prevede di effettuare dei
test per valutare l'efficacia delle procedure di salvataggio e di
ripristino.
Gli interventi formativi previsti della sesta sezione riguardano
l'addestramento del personale per l'attuazione della normativa tramite
la frequenza a corsi tenuti da società o persone.
La colonna Classi di incarico interessate è un elenco delle
tipologie di incaricati interessati.Nel modello in cui il titolare
è anche il responsabile di tutte le procedure di formazione
è inserito il nome anziché l'appartenenza a una classe o
tipologia
Nella sezione Trattamenti affidati all'esterno si deve descrivere in
modo sintetico le attività gestite da terzi che comportano il
trattamento dei dati.
La cifratura dei dati o separazione dei dati identificativi è un
punto che riguarda direttamente gli organismi sanitari e gli esercenti
professioni sanitarie, poiché tali soggetti che effettuano
trattamento di dati personali devono mettere in atto procedure per
ridurre al minimo il rischio di danneggiamento,perdita dei dati o loro
utilizzo fraudolento a seguito dell’azione di worm, spyware,
trojan e altro ancora.
Per alcune problematiche è necessario scendere nel dettaglio,
soprattutto per ciò che riguarda il “Sistema di
autenticazione informatica”, che al punto 1 riporta: “Il
trattamento di dati personali con strumenti elettronici è
consentito agli incaricati dotati di credenziali di autenticazione che
consentano il superamento di una procedura di autenticazione relativa a
uno specifico trattamento o a un insieme di trattamenti”. In un
linguaggio elementare significa che è richiesta una combinazione
di nome utente e password per l’accesso al computer la quale
è conosciuta soltanto dall’utente.Ed al punto 5 si
specifica che la password deve essere composta da almeno otto caratteri
e non deve contenere elementi che possano far risalire
all’utente. Qualora il sistema non permetta di impostare una
password di otto caratteri, il numero deve essere uguale al massimo
consentito. Se la password è stata impostata da un
amministratore di sistema l’addetto al trattamento dei dati sul
computer la deve modificare al primo utilizzo. La password deve essere
modificata almeno ogni 6 mesi, che scendono a 3 nel caso di dati
sensibili o giudiziari.La protezione offerta da una password dipende
fortemente dalla sua complessità. Le password brevi e composte
da parole comuni sono facili da ricordare e altrettanto da scoprire. Le
password complesse sono l’opposto: difficili da scoprire e da
ricordare.Al punto 4 si pone l’accento sulla segretezza della
password e la custodia dei dispositivi da parte dell’operatore
del computer.Il punto 9 è un’aggiunta al punto 4 e
riguarda le istruzioni che vanno impartite all’operatore
affinché non lasci incustodito e accessibile il computer. In
sostanza, se ci si assenta per qualche minuto, si deve proteggere il
computer e i dati chiudendo a chiave la stanza o impostando un
salvaschermo con password, oppure qualsiasi altro mezzo hardware o
software che impedisca l’accesso ai dati.Le credenziali non
utilizzate per 6 mesi vanno cancellate. La stessa cosa vale per
le persone che non fanno più parte della società o che
per vari motivi non dispongono più delle qualifiche per il
trattamento dei dati personali.
Il punto 10 è importante, per es., nel caso si nomini un
sostituto, poiché specifica le procedure per consentire il
trattamento nel caso in cui l’incaricato sia indisponibile per
molto tempo e l’accesso è esclusivo, ossia non è
possibile il trattamento da parte di altri incaricati.Per questa
situazione sono previste disposizioni scritte che riportano le
modalità con cui il titolare assicura la disponibilità
dei dati, quale la nomina temporanea di un nuovo incaricato a cui
vengono rese note le credenziali dell’incaricato indisponibile
custodite rispettando criteri di sicurezza e segretezza.
Punti altrettanto importanti sono quelli che riguardano la protezione
dei dati dai furti a seguito di vulnerabilità della rete
Internet e dalla perdita a causa di malfunzionamento del programma che
esegue il trattamento o del sistema operativo o per l’azione di
un virus.Il punto 16 afferma “I dati personali sono protetti
contro il rischio di intrusione e dell’azione di programmi di cui
all’art. 615- quinquies del codice penale, mediante
l’attivazione di idonei strumenti elettronici da aggiornare con
cadenza almeno semestrale”.Quindi si tratta di dotare il computer
di una soluzione anti- intrusione, ossia un firewall che può
essere hardware o software, di un antivirus e di un programma in grado
di rilevare worm, trojan e loro sottofamiglie.Il Firewall, che
letteralmente significa barriera taglia fuoco , è un dispositivo
o un software installato su un computer o server collegati a una rete
che ha il compito di gestire il traffico proveniente da Internet eda
altri computer.Il firewall è in grado di ispezionare la
comunicazione in arrivo e stabilire se si tratta di traffico legittimo
oppure un tentativo di intrusione illegale.
Un’alternativa ai firewall software sono i firewall hardware:
questi dispositivi controllano e verificano il traffico tra la rete
locale e Internet, ispezionano i movimenti e bloccano i tentativi di
accesso non autorizzati da Internet e gli attacchi DOS (DOS non
è il vecchio sistema operativo (Disk Operating System) ma
l’acronimo diDenial Of Service, cioè Negazione del
servizio. È una tecnica che consiste nel sommergere di traffico
un server Internet inviando richieste senza scopo (tipico è
l’invio di un numero spropositato di messaggi di posta). Il
server nel tentativo di rispondere rallenta le risposte anche alle
richieste valide è può arrivare anche al blocco totale
del servizio ).
Il punto 17 del decreto afferma “Gli aggiornamenti periodici dei
programmi per elaboratore volti a prevenire la vulnerabilità di
strumenti elettronici e a correggerne difetti sono effettuati almeno
annualmente. In caso di trattamento di dati sensibili o giudiziari
l’aggiornamento è almeno semestrale”. Questo
significa che il sistema operativo e le applicazioni sono da aggiornare
almeno una volta all'anno, ogni sei mesi se i dati trattati sono
sensibili o giudiziari. La richiesta di una cadenza di aggiornamento
semestrale è ovviamente ampiamente superata da tutti i programmi
di sicurezza che ormai eseguono un aggiornamento quotidiano delle
“firme” che servono per individuare i programmi con codice
maligno.Windows 2000 aggiornato al Service Pack 3 e Windows XP hanno
una comoda funzionalità di aggiornamento automatico che
però ha un inconveniente, è operativa solo quando si
è connessi con l’account di amministratore e quindi se
l’account abilitato al trattamento dei dati è di tipo
limitato il responsabile della sicurezza dovrà sobbarcarsi il
compito di aggiornare il sistema.La frequenza di aggiornamento almeno
annuale indicata dal decreto è fin troppo permissiva
considerando che in media ogni mese Microsoft rende disponibili delle
patch che correggono vulnerabilità scoperte nel sistema e
applicazioni. Una ricerca di aggiornamento una volta al mese è
una frequenza ragionevole.In Windows XP l’installazione del
Service Pack 2 attiva automaticamente Aggiornamenti automatici.
Il punto 18 del decreto richiede il salvataggio dei dati con frequenza
settimanale con l'operazione di Backup. Non ci sono particolari
richieste sui metodi di backup,che in teoria potrebbe essere salvato
sullo stesso disco contenente i dati. Tuttavia questa non è una
procedura da consigliare: se si guasta il disco o viene rubato il
computer i dati sono persi. Una soluzione che concilia sicurezza ed
economia è il ricorso a un'unità USB o CD e DVD
riscrivibili che al termine del backup possono essere conservati in un
armadio chiuso a chiave.
Firewall, antivirus, programmi per la rimozione di spyware e simili
sono senza dubbio utili ma è errato pensare che la loro presenza
garantisca una protezione totale. La velocità di diffusione di
programmi maligni è elevata e tra il momento della loro comparsa
in Rete e la preparazione di un rimedio passa almeno qualche ora,
periodo più che sufficiente per produrre danni considerevoli.
Oltre ad un aggiornamento periodico e costante alcune regole di
comportamento nella navigazione e nell’uso del PC riducono di
molto le possibilità di infezione. La prima regola è non
aprire mai nessuna e-mail di cui non si è certi della
provenienza, e anche se sembrano provenire da mittenti fidati bisogna
prestare attenzione al tipo di allegato. Una delle tecniche più
comuni dei virus è nascondersi in messaggi che provengono da
gente conosciuta il cui indirizzo è stato trovato nel database
di un computer infetto.Lo stesso vale per i documenti di Word e Excel
le cui macro possono essere virus, o per gli aggiornamenti di Microsoft
spediti per posta (Microsoft non spedisce mai aggiornamenti), i file
DAT spacciati come giochi e simili. Non navigare nei siti sospetti o in
quelli che promettono il download di programmi sprotetti evita di
cadere in trappole, visto che spesso installano tramite la pagina
Web visitata dei virus o trojan. Conviene non usare floppy o compact
disk di cui non si è sicuri del contenuto e disabilitare
l’esecuzione di ActiveX, degli script di Java e Visual
.Attenzione anche al Phishing: è un’alterazione del
termine inglese Fhishing che significa pescare.E pescare utenti in
buona fede nella rete è il vero intento di coloro che praticano
questa nuova forma di truffa on line. È attualmente considerata
una delle forme più redditiziedi truffe on line poiché
consiste nel cercare di sottrarre all’utente quelle che sono le
informazioni personali più importanti come i numeri di carta di
credito, le password di posta elettronica, e vari tipi di pin.
Un altro vettore utilizzato sono i trojan horse, i cavalli di Troia,
che si trovano occultati all’interno di altri programmi
dall’apparente aspetto innocuo.Molti programmi freeware
messi gratuitamente a disposizione dei navigatori nascondono al
loro interno programmi in grado di aprire una breccia nella sicurezza,
cioè una porta di comunicazione, e permettere il controllo
remoto del PC. Il computer dell’utente diventa quindi un ponte
dal quale sferrare numerosi altri attacchi. Pensiamo inoltre a cosa
è possibile fare con i software di keylogger: questi programmi
sono in grado di registrare i tasti battuti sulla tastiera e
quindi scoprire ad esempio il numero di carta di credito, il proprio
pin o la propria password ed inviarle a database di computer
remoti.È facile immaginare i danni provocati ai privati da tali
truffe,ma ancora più gravi risultano essere quelli a discapito
di aziende o professionisti, dove la quantità di dati sensibili
è enormemente più elevata(dati personali, conti bancari,
documenti riservati). Pensiamo a tutte le informazioni contenute nei
database di una grande società, riguardanti sia i propri
dipendenti, sia gli utenti gestiti da quella particolare azienda oppure
ai dati sensibili degli archivi di un medico.
Nel computer di ogni utente dovrebbero quindi essere presenti oltre ad
un buon antivirus (regolarmente aggiornato) e al personal
firewall, un personal anti-spam, ed infine uno spyware detection.
Tutti questi programmi esistono sia nelle versioni a pagamento sia
nelle versioni freeware, e devono comunque essere regolarmente
aggiornati se si vuole sempre garantire il massimo livello di
protezione possibile.Tali applicazioni sono in grado di bloccare
istantaneamente i malicious software come i trojan horse, e i
keylogger. Sono in grado di controllare lo spam e di monitorare le
richieste di connessioni remote da parti di programmi installati
all’insaputa dell’utente.Vengono inoltre bloccati gli
allegati nocivi e messi in quarantena eventuali virus rilevati dal
software.
Molta attenzione va posta poi nella configurazione dei browser
utilizzati per la navigazione in rete.Per prevenire attacchi da parte
dei “phisher”, è opportuno disabilitare le
funzionalità riguardanti i pop-up, disabilitare i famosi
ActiveX, prevenire il salvataggio di cookies non sicuri ed evitare che
il nostro browser faccia partire in automatico dei download non
autorizzati.
Ovviamente utilizzare il personal computer senza un buon antivirus
è molto pericoloso, ma l'antivirus di per sé stesso non
è garanzia di protezione a meno che si non aggiornino
costantemente le informazioni che gli permettono di riconoscere i nuovi
virus. Ogni giorno si susseguono,infatti, le segnalazionidi nuovi e
sempre più pericolosi virus. Le principali minacce arrivano dai
worm: virus che hanno scelto la posta elettronica come miglior veicolo
per la propria diffusione e per una più semplice infezione dei
sistemi informatici di tutto il mondo. Un tempo bastava evitare di
aprire allegati sospetti, provenienti da mittenti sconosciuti, ma oggi
non basta più. I virus worm sono infatti sempre più
“intelligenti”: per attivarsi in modo automatico,
senza l’intervento dell’utente (il classico “doppio
clic”), sfruttano vulnerabilità di sicurezza e bug del
programma di posta elettronica, del browser Internet e del sistema
operativo. Se non si adotta l’abitudine di aggiornare
periodicamente il sistema operativo applicando tutte le più
importanti patch di sicurezza, c'è l’elevata
probabilità che il proprio computer cada preda di virus e di
ogni genere di malware e di programmi che s'installano sul sistema
senza l’autorizzazione dell’utente.
Quindi la prima misura è di dotarsi di un antivirus e di
mantenere sempre aggiornata la lista di descrizione dei virus
La seconda misura è di aggiornare il sistema operativo, IE e
Oulook Express ed il programma applicativo usato con patch e service
pack.
La terza misura è di sbarrare qualsiasi possibile accesso al
proprio sistema da parte di utenti malintenzionati tramite firewall.
La quarta misura è di eliminare gli intrusi che sono
riusciti comunque a intrufolarsi attraverso canali non sospettabili,
ricordando che spyware, hijackers e malware sono programmi purtroppo
sempre più diffusi e sempre più pericolosi e subdoli.Gli
spyware sono componenti che fanno uso di particolari algoritmi per
raccogliere informazioni sul nostro personal computer , sulle nostre
abitudini e che ritrasmettono le informazioni a terzi, via Internet,
spesso senza il nostro consenso, e perciò illegalmente.
La quinta misura è di non lasciare informazioni critiche
liberamente accessibili sul computer e di tenere sotto chiave le
proprie password.
La sesta misura è di cifrare e rendere impenetrabili le
informazioni che facciamo uscire dal nostro PC e spediamo via posta
elettronica o in altra forma. La crittografia è una tecnica che
codifica le informazioni in modo che siano accessibili solo alle
persone autorizzate. Il problema è stato decisivamente
affrontato negli anni settanta con l’invenzione della
crittografia a chiave pubblica. Ogni interlocutore dispone di due
chiavi: una pubblica (da distribuire liberamente) e una privata (da
mantenere segreta). Un messaggio cifrato con una certa chiave pubblica
può essere decifrato solo con la chiave privata corrispondente
(ossia solo dal proprietario della chiave pubblica con la quale un
messaggio è stato cifrato). Per comunicare con una persona in
modo sicuro è sufficiente cifrare il messaggio originale con la
sua chiave pubblica e spedirglielo. Costui (e solo lui) sarà in
grado di decifrare il messaggio con la propria chiave privata.
La settima e ultima misura è il Wiping, cioè la
cancellazione definitiva delle informazioni sul disco: tutti i file
memorizzati sul disco fisso, anche quando eliminati utilizzando i
comandi “tradizionali” messi a disposizione dal sistema
operativo, continuino a lasciare delle tracce sul disco fisso. Di fatto
possono verificarsi tre condizioni. Il file cancellato è ancora
presente nel cestino e può essere facilmente ripristinato. Il
file è stato rimosso dal cestino, ma si trova ancora sul disco
fisso nella sua forma integrale, semplicemente non compare più
nell’elenco dei file disponibili, ma può essere recuperato
con un’utility ad hoc. Molto spesso, infatti, nel caso in cui la
cancellazione di un file sia avvenuta di recente, è possibile
recuperarlo completamente facendo uso di apposite utility .Nel terzo
caso, il file è scomparso dal disco e al suo posto se né
sostituito un altro, ma esistono ancora tracce magnetiche della sua
presenza sufficienti per ricostruirne il contenuto con speciali
strumenti. La soluzione consiste nell’operazione di wiping, dove
il file viene cancellato e al suo posto vengono scritte ripetutamente
informazioni nulle fino al eliminarne qualsiasi traccia.