Alessandro Canella - convegno privacy - 23 Marzo 2004
1. Le misure minime di sicurezza dei dati e dei sistemi IT:
adempimenti organizzativi e tecnici
Relatore : Alessandro Canella - Ferrara, 23 Marzo 2004
2. Gli attacchi informatici, storia, modalità e tipologia del rischio
Panoramica sul mondo dei rischi che ci circonda, presa di coscienza sulla non immunità del
“nostro” sistema informatico
Misure minime di sicurezza : obbligo di legge, protezione necessaria o indice di
qualità
La necessità di migliorare sempre la qualità del servizio all’utenza della nostra azienda
passa anche per una organizzazione globale dei sistemi informativi
La protezione dei sistemi, cosa vogliamo e cosa ci chiede lo stato
Punti di contatto tra gli intenti del management di un’azienda moderna e il legislatore
4. Secondo l’Information Technology Security Evaluation Criteria, standard europeo di sicurezza,
sviluppato dai tardi anni 80, un sistema di calcolo viene considerato sicuro quando è in grado di
garantire il soddisfacimento delle proprietà di:
confidenzialità
integrità
disponibilità
È quindi da considerare, il pensiero di molti esperti di sicurezza, riassumibile in:
1) La sicurezza è direttamente proporzionale alla disponibilità di un sistema informatico
2) Un senso di falsa sicurezza è più dannoso di una consapevole insicurezza
3) Non e` questione di “se”, ma di “quando” si presenterà il danno e di “quanto tempo” si avra`per
limitare i danni.
4) Non esiste sicurezza assoluta.
Cos’è un sistema informatico sicuro?
Le informazioni devono essere disponibili solo agli interessati
I dati devono essere integri per poter effettuare elaborazioni attendibili
Il sistema informatico in deve garantire la massima funzionalità percentuale
5. Cosa mette a repentaglio la sicurezza del sistema?
Il sistema non deve mai essere fuori dai canoni di cui sopra : confidenzialità,
integrità, disponibilità devono sempre essere garantite. A parità di qualità degli
applicativi e dei calcolatori che usiamo, è compito dei sistemisti trovare ed applicare
soluzioni che possano maggiormente garantire il rispetto dell’enunciato precedente. Il
prezzo da pagare non può essere considerato ininfluente : al giorno d’oggi gran parte del
business aziendale si basa sui sistemi informativi ed avere il sistema indisponibile o dei
dati non integri va di pari passo con il fornire un servizio non adeguato all’utenza.
$ =
6. Cosa mette a repentaglio la sicurezza del sistema?
I PC client rappresentano un anello importante nella
catena della sicurezza, e i casi di violazione aumento a una
velocità allarmante. Solo nel 2002, la società londinese Mi2g
quantifica in 7 miliardi di dollari il danno derivante da
attacchi digitali dolosi a livello mondiale (Mi2G “Economic
damage from Digital Risk Stablishing”, 22 ottobre 2002).
Catania - La Guardia di Finanza di Catania scopre pirati
informatici che su Internet, accedendo illegittimamente
alla rete telematica dell'università catanese, violavano
sistemi informatici di enti pubblici, banche e società
private italiane ed estere. Sono state denunciate sette
persone (Il Giorno, 11/02/2000)
Imprese sempre più nel mirino dei
virus: in 20 mesi oltre un milione di
casi
Venti mesi di “osservazione”, oltre un
milione di casi accertati. Questo il
risultato d’una ricerca – la più completa,
probabilmente, fin qui condotta sul
problema delle infezioni on line –
effettuata dalla ICSA Laboratories (una
divisione della TruSecure, azienda
specializzata nella sicurezza on line) su
un campione di 300 imprese americane,
nell’arco di tempo che va dal gennaio del
200 all’agosto del 2001. La ricerca,
commissionata da una serie di
corporazioni, ha rilevato una media
mensile di 113 “incontri” – come vengono
definite le scoperte di virus – ogni mille
macchine. Nel 1996, quando questo tipo
di studio era stato effettuato per la prima
volta, gli incontri erano stati 20 ogni mille
macchine.
Gestendo in proprio la sicurezza, ogni azienda vivemesi di noia, qua e là intercalati da istanti di panico’.(Information Security Magazine)
TUTTE Le analisi svolte a livello internazionale dimostranoche, in molti casi, un'adeguata programmazione degliinterventi permetterebbe di ottenere, con lo stesso budgetannuale speso per fronteggiare le emergenze, sistemi piùefficienti dal punto di vista tecnologico e gestionale.(A.Fuggetta, Espansione, novembre 2003)
ATTACCHI E VIOLAZIONI ALLA SICUREZZA
SONO COSTATI ALLE AZIENDE 378 MILIONI DI
DOLLARI NEL 2000
(da un rapporto dell’FBI)
7. Ma ci sono casistiche che possono preoccupare effettivamente?
Il 78% delle aziende e degli enti italiani è vittima di un attacco al proprio sistema
operativo attraverso un virus, un dato in sensibile crescita rispetto al 69% registrato
l'anno precedente. "Le aziende intervistate hanno subito almeno un attacco nell'ultimo
anno, nonostante il 95% di queste avesse un sistema di protezione"
Sempre più spesso le aggressioni provengono dall'esterno dell'azienda: gli attacchi
esterni rappresenterebbero il 73% degli atti di pirateria contro il 27% dei sabotaggi
interni, un dato in contraddizione con i risultati del rilevamento precedente.
Bersagli preferiti degli hacker, sono i servizi professionali, quelli informatici, aziende di
trasporti, assicurazioni, società di telecomunicazioni e banche
(Marco Bozzetti, portavoce di Forum Tecnologia Informazione, associazione sotto il patrocinio del
Ministero delle Attività Produttive)
8. In un periodo particolare della mia vita, a nemmeno 20
anni, decisi di fare un "raid". Quasi 50 sistemi informatici
[…], furono violati. Nomi famosi, tra questi sistemi: Ente
Nazionale Energia Alternativa, Consiglio Nazionale delle
Ricerche, case farmaceutiche di fama mondiale,
compagnie telefoniche americane ed europee, la Banca
d'Italia. Il gioco non era piu' tale, si era fatto pesante e io
non lo sapevo e un giorno venni arrestato per reati di
natura informatica.
[…] La Falange Armata ce la siamo inventata per farci
pubblicità, in realtà la nostra unica vera attività illecita è
stata quella di utilizzare numeri di carte di credito […]
Ma perché dovrebbero prendersela con la nostra azienda?
Quattro anni fa dei ragazzi scrissero un messaggio, il quale apparve su tutta una serie di
monitor e terminali, sparsi per l'Italia. Il messaggio recitava: "Ieri il potere erano le armi
nucleari, era la potenza economica; oggi il potere e' rappresentato dall'informazione.
Milioni di dati, dati economici e personali, che transitano su centinaia di reti, attraverso
migliaia di computer. Abbiamo l'informazione, abbiamo il potere: guardatevi intorno, i
vostri nuovi nemici saranno i monitor". Forse quei ragazzini non si sbagliavano poi di
molto.
D'altra parte era facilissimo, in
alcune di queste aziende le
password (parole chiave per
entrare in un sistema) erano
"prova", "Pippo" oppure
"Maria” […] Quando cercavo
lavoro, mi sono proposto alla
Fiat per curargli la sicurezza
del sistema informatico",
racconta poi Raoul. "Mi hanno
detto che non ne avevano
bisogno. Quella sera stessa ho
verificato che non era così". (
Raoul Chiesa “nobody”, ex hacker, esperto di sicurezza informatica
10. 26,3
22,6
19,7
14,4
7,3
6,7
5,2
2
1,7
1,7
0,8
0,6
0,6
0,3
0,3
virus
perdit a servizi essenziali
guast i
errori ut ilizzo
errori concet t uali
furt i
event i nat urali
at t acchi logici
incident i fisici
frodi
at t i denigrat ori
divulgazione di dat i
sabot aggi
int rusioni
est orsioni
Ci sono tipologie del rischio da sottovalutare??
Fonte : Clusif “étude et statistique sur la sinistralité informatique en France 2002”
11. Misure minime di sicurezza : obbligo di legge, protezione necessaria o indice di
qualità
12. La sicurezza informatica, è oggi necessaria? Analizziamo innanzitutto gli impatti
possibili su una azienda :
Tangibili
- perdita di dati, rilavorazione dei medesimi
- utilizzo di dati non corretti nelle procedure aziendali
- fermo sistemi e fermo lavorazione (compresa la produttività del personale non IT)
- costi di lavoro e materiali per il rilevamento, il ripristino, il contenimento
- costi di lavoro per la raccolta informazioni relative all’accertamento della responsabilità
Intangibili
- utilizzo di dati propri da parte di terzi per marketing, perdita di clienti
- perdita dell’eventuale esclusivo know-how economico e industriale
- danno di immagine e perdita di fiducia dei clienti
- responsabilità per danni involontari a terzi
Quale e perché dovrebbe essere il nostro comportamento?
13. 1. Identificazione degli elementi da proteggere
2. Identificazione delle minacce a cui gli elementi definiti sono sottoposti
3. Analisi dei rischi
Questi step sono meglio identificati sotto il nome di “analisi del rischio”, l’analisi del rischio
serve a individuare i rischi cui si è sottoposti ed è necessaria per poter valutare quali
tipologia di rischio coprire ed il bilanciamento dei costi ad esso correlati. Deve essere
svolta a seconda delle tipologie di dati e di sistemi secondo analisi quantitative e
qualitative
VALORE
basso medio alto
RISCHIO
basso
medio
alto
Come Procedere?
Analisi qualitativa
Rischio = (valore del bene) X
(fattore di esposizione) X
(frequenza di accadimento)
Analisi quantitativa
14. Come Procedere?
SERVER ACCESS
POINT
CLIENT
BACKUP
INTERNAL
NETWORK
L’analisi del rischio, produrrà una tabella contenente questi elementi, ed evidenzieremo per
ogni singolo oggetto, la singola minaccia e decideremo, a riguardo il prodotto o la
procedura adeguata
VIRUS
ACCESSI
UPS
PATCH
DATI
ACCESSI
FIREWALL
VPN
UPS
VIRUS
ACCESSI
UPS
PATCH
DATI
PROCEDURA
STORICO
CONSERVAZI
ONE
ACCESSI
PROCEDURE
PERIMETRO
NODI
15. 4. Analisi costi-benefici
5. Piano operativo
6. Regole comportamentali
7. Procedura di gestione degli incidenti
Trovate le singole criticità e le relative protezioni, analizzeremo i costi-benefici perché se
è vero che la sicurezza non è mai troppa, è anche vero che ogni azienda ha una sua
dimensione del rischio e di conseguenza una sua dimensione dei costi. Il piano operativo
sarà costituito da questi due fattori: un’insieme omogeneo fra sistemi tecnologici e
procedure comportamentali.
Come Procedere?
SERVER ACCESS
POINT
CLIENT
BACKUP
INTERNAL
NETWORK
VIRUS
ACCESSI
UPS
PATCH
DATI
ACCESSI
FIREWALL
VPN
UPS
VIRUS
ACCESSI
UPS
PATCH
DATI
PROCEDURA
STORICO
CONSERVAZI
ONE
ACCESSI
PROCEDURE
PERIMETRO
NODI
17. Ricostruendo l’analisi sin qui effettuata, analizziamo le richieste di legge
L’adozione di misure minime di sicurezza : “il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di
protezione richiesto in relazione ai rischi previsti dall’art. 31”(rischi di distruzione o perdita
anche accidentale dei dati, rischi di accesso non autorizzato o di trattamento non consentito
o non conforme alle finalità della raccolta)
- I titolari del trattamento sono tenuti ad adottare le misure minime, individuate dal Codice,
secondo le modalità previste dal Disciplinare Tecnico (allegato B), per assicurare un livello
minimo di protezione dei dati personali.
- I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle
conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità
della raccolta.
- Il trattamento dei dati è consentito solo se:
- sono adottate le misure minime di sicurezza individuate dal Codice
- le misure minime di sicurezza sono adottate con le modalità previste dal
Disciplinare tecnico (allegato B)
Effettivamente cosa ci richiede la legge 196?
18. Misure individuate dall’art. 34 del codice
- Autenticazione informatica
- Procedure di gestione delle credenziali di autenticazione
- Utilizzazione di un sistema di autorizzazione
- Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito agli incaricati
e addetti alla gestione e manutenzione degli strumenti elettronici
- Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non
consentiti
- Procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei
sistemi
- Redazione e aggiornamento del Documento Programmatico sulla Sicurezza (DPS)
- Adozione di tecniche di cifratura o codici identificativi per determinati trattamenti di dati
sensibili effettuati da organismi sanitari
Effettivamente cosa ci richiede la legge 196?
19. Misure individuate dall’allegato B
- Il trattamento dei dati è consentito solo agli - incaricati dotati di credenziali di autenticazione
(username + password; dispositivo elettronico di autenticazione eventualmente associato a un
codice identificativo o a una parola chiave; caratteristica biometrica dell’incaricato
eventualmente associata a un codice identificativo o a una parola chiave)
- È prevista una gestione dei codici identificativi (username):
- I criteri di definizione e assegnazione comprendono:
individualità
non riutilizzabilità
- È prevista una validità temporale (disattivazione per mancato utilizzo – o per perdita
qualità)
- È prevista una gestione delle parole chiave (password):
criteri di creazione (almeno 8 caratteri o numero caratteri massimo consentito dal
sistema, non banale, ecc.)
- Sono previsti criteri di gestione ( modifica ogni 6 mesi; 3 mesi in caso di dati sensibili) e di
custodia
Effettivamente cosa ci richiede la legge 196?
20. Misure individuate dall’allegato B
- Ad ogni incaricato possono essere associate una o più credenziali
- Il titolare dovrà fornire agli incaricati precise istruzioni riguardanti:
la gestione e conservazione delle credenziali di autenticazione
la custodia dei dispositivi in possesso e uso esclusivo dell’incaricato
la gestione e custodia dello strumento elettronico durante le sessioni di trattamento
- Deve esserci individuazione puntuale delle modalità di accesso ai dati, in caso di
assenza prolungata o impedimento dell’incaricato, per esigenze organizzative e di
sicurezza aziendale
- Profili di autorizzazione (per ciascun incaricato o per classi omogenee):
- Sono previsti criteri di individuazione preventiva
- Sono previste verifiche periodiche (almeno ogni anno)
- Sono previsti criteri di revoca
Effettivamente cosa ci richiede la legge 196?
21. Altre Misure
- Aggiornamento periodico e verifiche (almeno ogni anno) dell’ambito di trattamento consentito
agli incaricati e redazione della lista degli incaricati
- installazione e aggiornamento software antivirus (almeno ogni 6 mesi)
- aggiornamenti periodici dei software volti a prevenire la vulnerabilità di strumenti elettronici e a
correggere difetti (annualmente; ogni 6 mesi in caso di trattamento di dati sensibili)
- istruzioni tecniche e organizzative per il salvataggio dei dati (frequenza settimanale)
Ulteriori misure in caso di trattamento dati sensibili
- sono previste
- istruzioni organizzative e tecniche per la custodia e l’uso di supporti rimovibili
- istruzioni per la distruzione controllata dei supporti e per la cancellazione delle
informazioni contenute
- adozione di idonee misure per il ripristino dei dati in caso di danneggiamento dei
dati e/o degli strumenti (con un massimo di 7 giorni)
- Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria
struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione
scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare
tecnico
Effettivamente cosa ci richiede la legge 196?
22. RICHIESTE DI LEGGE
PROCEDURE
STANDARD
A GARANZIA
DELLA
QUALITA’
DEI SISTEMI
Quale dovrebbe essere in sintesi il nostro piano di attuazione?
EFFETTIVO PIANO
DI GESTIONE
DEL SISTEMA
23. Potendo fare una sintesi organizzativa, basata sulle effettive richieste di legge,
idealmente includeremmo:
- Un sistema di autenticazione per l’accesso ai dati, gestione di password ai
differenti sistemi
- L’aggiornamento periodico dell’individuazione dell’ambito un sistema di
procedure di gestione delle responsabilità e degli accessi
- La protezione degli strumenti elettronici e dei dati, un antivirus con gestione
degli aggiornamenti e degli alerting, policy di utilizzo
- L’ adozione di procedure per la custodia di copie di sicurezza, con
garantita la custodia extra aziendale di copie dei dati (o comunque in ambienti sicuri)
- La tenuta di un aggiornato documento programmatico sulla sicurezza, che
possa garantire l’aggiornamento progettuale ed attuativo
- Formazione per gli incaricati del trattamento, per renderli edotti dei rischi che
incombono sui dati, delle misure disponibili per prevenire eventi dannosi e delle modalità
di contenimento dei rischi
Ma l’effettivo impegno profuso, in cosa si concretizza?
24. - I dati personali sono protetti contro il rischio di intrusione un sistema
firewall, e un sistema IDS con gestione degli aggiornamenti e degli alerting
- L’ adozione di tecniche di cifratura o di codici identificativi con gestione di
chiavi crittografiche
- Gli aggiornamenti periodici dei programmi per elaboratore un sistema di
update dei sistemi operativi e dei software.
- Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso
dei supporti rimovibili per la gestione dei dati estratti dal sistema e pertanto fuori
controllo del medesimo
- I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati
sono distrutti o resi inutilizzabili, un sistema di distruzione dei dati inutili
- Sono adottate idonee misure per garantire il ripristino dell’accesso ai
dati un contingency plan che comprenda il restore dei dati e dei sistemi,
proceduralizzato per poter essere attuato in tempi ristrettissimi
Ma l’effettivo impegno profuso, in cosa si concretizza?
25. No, l’applicazione della legge sulla privacy, prefigura anche:
- Redazione di documentazione sulle effettive responsabilità di gestione
ed utilizzo
nomina del titolare
nomina del responsabile
nomina degli incaricati
elenco accessi ai diversi sistemi, natura e modalità dell’autenticazione
- Redazione di documentazione sulla configurazione software dei sistemi
elenco attrezzature
elenco software
checklist di sicurezza
- Redazione di documentazione sulla configurazione dei sistemi di
protezione del sistema informatico
elenco dei sistemi di sicurezza, modalità di mantenimento, controllo ed
aggiornamento
procedure sulla modalità di esecuzione e gestione dei salvataggi
procedure di ripartenza dei sistemi e di gestione delle emergenze
Tutta questa documentazione deve essere redatta in maniera armonica ed
integrata, prevedere gli effettivi aggiornamenti con cadenze prefissate ed
inclusa nel documento programmatico sulla sicurezza.
Pertanto una mera applicazione di software e capacita progettuali?
27. BIBLIOGRAFIA :
• L'Evoluzione dei Meccanismi per la Sicurezza dei Sistemi Informatici (Danilo Bruschi - dip di Scienze dell Informazione
Università degli Studi di Milano, Computer Emergency Response Team Italiano)
• B. Fraser, "Site Security Handbook", RFC 2196 (Obsoletes RFC1244)
• Espansione novembre 2003 : LA SICUREZZA INFORMATICAÈ UN INVESTIMENTO STRATEGICO (Alfonso Fuggetta, direttore
scientifico di Cefriel-Politecnico di Milano, docente di ingegneria del Software)
• Sicurezza in azienda: integrazione e compromessi (Lorenzo Grespan, 2003)
• Analysis and statistics on computer system losses in france (CLUb for the Security of Information system in France – 2002)
• Analisi del Rischio (Giorgio Giudice, 2003)
Alessandro Canella – acanella@aangstrom.it