2. Scuola consapevole
Portale di security e privacy per la scuola:
https://sites.google.com/site/scuolaconsapevole/
Per rimanere in contatto:
Forum (eventuali domande vanno inoltrate tramite questo gruppo)
Area formazione – Corso Security Awareness (materiale del corso)
Email docente: giampaolo.tn@gmail.com
Dott. Giampaolo Franco - Security Awareness
2
3. Elenco degli argomenti
PARTE 1
• Security awareness
• Risorse informatiche
• Asset
• Minaccia
• Vulnerabilità
• Criticità
• Cloud computing
PARTE 2
• Identità digitale
• Autenticazione
• Metodologie di autenticazione
• Meccanismi e limiti tecnologici
• Autorizzazione
• Reputazione digitale
Dott. Giampaolo Franco –Security Awareness
3
4. Security Awareness
Definizione del contesto
Alcuni soggetti, deliberatamente o
accidentalmente, tramite varie tecniche
possono visualizzare, rubare, cancellare
dati o utilizzare inappropriatamente gli
strumenti della scuola.
Per proteggere le persone, i dati, gli strumenti hardware e software e per
aderire alla normativa vigente si adottano:
• misure tecniche (backup, account, password);
• misure organizzative (privacy, regolamento interno).
Da sole queste prevenzioni non bastano: occorre che la scuola acquisisca
consapevolezza ed utilizzi correttamente le risorse informatiche.
Dott. Giampaolo Franco - Security Awareness
4
5. Security Awareness
Essere consapevoli significa:
Acquisire
consapevolezza
• aumentare il proprio livello di preparazione
in ambito informatico;
• acquisire familiarità con i concetti ed il
linguaggio della sicurezza informatica;
• conoscere i rischi presenti nel contesto;
• possedere attitudine;
• evitare le azioni sbagliate;
• capire perché vanno protette le persone e i
dati;
• utilizzare in sicurezza gli strumenti hardware
e software.
Obiettivo: formare una prima linea di difesa
per proteggere la sicurezza delle persone, delle
informazioni e dei sistemi hardware e
software.
Dott. Giampaolo Franco - Security Awareness
5
6. Security awareness
Instillare consapevolezza nell’ambito
della sicurezza è un'attività a lungo
termine che richiede un cambio
culturale e comportamentale
all’interno dell’organizzazione.
Prevede formazione con cadenza
almeno annuale e una serie di
attività con lo scopo di sensibilizzare
il contesto lavorativo.
Dott. Giampaolo Franco –Security Awareness
6
7. Come va interpretata la sicurezza?
Security Awareness
La maggioranza delle persone interpreta la sicurezza come una serie di
«inutili regole» aggiuntive che rallentano l'efficienza del «proprio
lavoro» e che fanno «perdere tempo» .
La sicurezza invece rientra nella normale attività routinaria, è un
elemento fondamentale per tutelare la scuola e soprattutto gli altri,
salvaguardare i dati, utilizzare al meglio gli strumenti informatici.
• Comportamenti non corretti possono mettere a rischio la privacy
degli altri colleghi e degli studenti.
• Le linee guida proposte potranno diventare delle regole.
Dott. Giampaolo Franco - Security Awareness
7
8. Risorse informatiche
Riferite al sistema informatico esse
rappresentano:
• componenti fisiche
• componenti virtuali
aventi funzionalità e disponibilità
limitate ad un certo ambito.
Caratteristiche:
• Condivisione verso uno o più
utenti.
• Gestione dell’accesso e risoluzione
dei conflitti.
• Limitazioni.
Dott. Giampaolo Franco - Security Awareness
8
9. Esempi di risorse informatiche
Basso livello
•
•
•
•
•
•
•
Server.
Dispositivi di rete.
Grandezza di banda.
Mezzi di trasmissione (modem).
Potenza elaborativa (CPU).
Memoria (Hard disk, RAM).
Altre risorse di un elaboratore.
•
•
•
•
•
Alto livello
Sistema operativo.
Software di base.
Applicazioni, programmi.
Archivi, files, banche dati.
Risorse (locali, rete, web).
Dott. Giampaolo Franco - Security Awareness
9
10. Il concetto di asset
Asset è un concetto astratto e generale che
sostituisce quello di risorsa informatica.
Nell’ambito della sicurezza informatica un asset è
un bene che ha un determinato valore e che si
intende proteggere.
L’asset può essere sia materiale che immateriale.
Gli assets sono per loro natura interdipendenti.
Valore economico: il costo di sostituzione è
generalmente minore della perdita finanziaria
conseguente alla sua compromissione.
Il target della sicurezza informatica è proteggere
gli assets.
Dott. Giampaolo Franco - Security Awareness
10
11. Esempi di asset
ASSETS INFORMATIVI
•Database e file di dati.
•Documentazione.
•Manuali utente.
SOFTWARE
•Applicazioni.
•Software di base o di sistemi.
•Strumenti di sviluppo e utilità.
ASSETS FISICI
INFORMATICI
•Elaboratori ed accessori.
•Dispositivi di comunicazione (dati e fonia).
•Supporti fisici (nastri, cd, dischi).
NON INFORMATICI
•Rete di alimentazione.
•Sistemi di condizionamento.
SERVIZI
•Servizi elaborativi.
•Servizi di help desk.
•Connessioni di telecomunicazione.
•Utilities di controllo: riscaldamento,
condizionamento, illuminazione,
alimentazione elettrica,…
Dott. Giampaolo Franco - Security Awareness
11
12. Interdipendenza degli assets
La compromissione di un asset può coinvolgere anche altre componenti della
catena. Per questo motivo il danno ad una singola componente si può
estendere ad altri assets.
Tutti gli assets della linea di interdipendenza possono essere responsabili di
un malfunzionamento percepito dall’utente.
Esternalizzando gli assets di alto livello (applicazioni, servizi, etc…) non si
garantisce una maggior sicurezza del sistema. Alimentazione e linee di
comunicazione sono sulla linea di interdipendenza di tutti gli assets: è
importante che la scuola investa anche in questi ambiti.
Dott. Giampaolo Franco - Security Awareness
12
13. Ruoli definiti negli assets
Per ogni asset si attribuiscono i seguenti ruoli:
•
•
•
Proprietario (owner).
Utilizzatore o fruitore.
Custode.
Per i beni di tipo “dato” o “servizio” (punti finali della catena di
interdipendenza) i proprietari e gli utilizzatori sono persone del
business – i proprietari non sono gli “informatici”.
Opportunamente guidata, la scuola deve poter eseguire un
inventario di tutti gli assets e fornire una stima attendibile dei costi
correlati alla loro compromissione o almeno il loro livello di
importanza.
Dott. Giampaolo Franco - Security Awareness
13
14. Attributi da preservare negli asset
Confidenzialità: assicurarsi che l’informazione sia
accessibile solo dalle persone autorizzate ad avere
l’accesso (riservatezza).
Integrità: salvaguardare l’esattezza e la totalità
delle informazioni e dei metodi di lavorazione.
Disponibilità: assicurarsi che gli utenti autorizzati
abbiano accesso alle informazioni e ai beni
associati quando richiesto.
Dott. Giampaolo Franco - Security Awareness
14
15. Minaccia
Per minaccia si intende la causa potenziale
di un evento indesiderato che può causare
danni ad un sistema o all’organizzazione.
Le minacce possono sfociare in eventi che
provocano la compromissione di uno o più
attributi di un bene, con un determinato
impatto.
Esempio: un virus su di un server è il
motivo della perdita della disponibilità
dell’anagrafica clienti e la conseguente
necessità di ricaricare i dati manualmente.
Dott. Giampaolo Franco –Security Awareness
15
16. UMANE
Deliberate
AMBIENTALI
Accidentali
-
Sniffing (cattura dei dati sulla rete).
Errori ed omissioni.
Terremoto
Modifica delle informazioni.
Cancellazione di file.
Fulmine
Hacking di un sistema.
Errori di configurazione di rete.
Alluvione
Codice malevolo.
Incidenti fisici.
Incendio
Furto, spionaggio.
-
Danni strutturali
Virus.
-
Black out
-
-
-
Dott. Giampaolo Franco - Security Awareness
16
17. VULNERABILITÀ
E’ la debolezza di un asset o di un gruppo di assets
che può essere sfruttata da una minaccia. La
vulnerabilità include debolezze dell’organizzazione,
delle procedure, del personale, del management,
dell’amministrazione, dell’hardware e del software.
Anche se strettamente correlati nell’ambito della
security, non confondiamo i concetti di vulnerabilità
e di criticità.
Dott. Giampaolo Franco - Security Awareness
17
18. ORGANIZZAZIONE
• Mancanza di politiche.
• Carenza di formazione del personale.
• Mancanza di awareness.
• Processi non governati correttamente.
HARDWARE e SOFTWARE
• Obsolescenza.
• Difetti di progettazione.
• Applicazioni e sistemi non aggiornati.
• Mancanza di protezioni di sicurezza.
RETE
• Mancanza di ridondanza degli apparati.
• Assenza di misure di protezione.
Dott. Giampaolo Franco - Security Awareness
18
19. Criticità
Criticità: condizione critica di un asset.
La minima variazione di un parametro
determina effetti di grande entità.
Ad esempio, si parla di criticità per
alcuni servizi che trattano dati
personali e sensibili.
Dott. Giampaolo Franco - Security Awareness
19
20. Cloud computing
In italiano ’nuvola informatica’, ossia un insieme di servizi
erogati tramite risorse hardware e software dislocate in
area geografica estesa.
Architettura ad alta affidabilità e bilanciamento del carico
di lavoro. Obiettivo: alti livelli di servizio e costi ridotti.
L’utente si interfaccia alla nuvola tramite vari dispositivi.
La nuvola gestisce e distribuisce le applicazioni e i dati nei
vari sistemi che la compongono e su di uno stesso server
fisico possono essere gestite componenti applicative e
dati di clienti diversi.
Un’applicazione o un dato di un certo utilizzatore può
essere gestito e distribuito su più server fisici sparsi in
tutto il mondo.
Dot. Giampaolo Franco - Security Awareness
20
21. Tipologie di servizio in cloud
SaaS (Software as a Service). Utilizzo di
programmi su server esterni alla rete locale
(Google Apps).
DaaS (Data as a service). Servizio che mette a
disposizione via web i dati come se fossero sul
disco locale (Google Drive web client).
IaaS (Infrastructure as a Service). Servizio che
mette a disposizione risorse hardware.
NB: le risorse vengono utilizzate a richiesta nel
momento in cui una piattaforma ne necessita.
Modello di pagamento «pay-per-use» .
Dott. Giampaolo Franco - Security Awareness
21
22. GOOGLE APPS - GA
• Gmail
• Google Hangouts
• Google Drive
• Google Calendar
• Youtube
iCLOUD (Apple)
• Apps
• Contatti
• Calendari
• Foto
• Musica
Dott. Giampaolo Franco - Security Awareness
22
23. Rischi legati al cloud: privacy
• L’utente non possiede più il controllo
esclusivo sui propri dati: la sicurezza
dipende dai meccanismi del service
provider.
• Maggiori rischi sulla disponibilità dei
dati.
• Legislazione, clausole contrattuali,
politiche di persistenza dei dati.
• Selezionare i dati da trattare in cloud.
• Nuove procedure informatiche e
formazione del personale.
Dott. Giampaolo Franco - Security Awareness
23
24. FINE DELLA PRIMA PARTE
Dott. Giampaolo Franco - Security Awareness
24
25. Identità digitale
«L’insieme delle caratteristiche essenziali
e uniche di un soggetto sono ciò che è in
grado di identificarlo»
Hal Abelson e Lawrence Lessig «Digital
Identity in cyberspace» 10/12/1998
Insieme delle informazioni presenti
online relative ad un soggetto: persona
fisica, ente o azienda, software,
computer, sistema informatico.
Dott. Giampaolo Franco - Security Awareness
25
26. Rappresentazione dell’identità digitale
L’identità digitale si misura in base alle finalità ed al tipo
di transazioni coinvolte. Il grado di affidabilità e la
quantità di informazioni richieste per costituire l’identità
digitale possono quindi variare.
L’identità digitale è suddivisa in due parti:
• Chi uno è (identità).
• Le credenziali che ognuno possiede (gli attributi di
tale identità).
Il caso più comune di identità digitale è:
utente + password
Dott. Giampaolo Franco - Security Awareness
26
27. Identità digitale
Autenticazione
Il sistema deve provare che l’identità digitale
presentata sia valida e corrisponda effettivamente a
quella reale. A tale scopo si definiscono dei livelli di
sicurezza creati in base alle finalità del servizio.
Autenticazione ad un solo fattore
Utente + password non è del tutto sicura: qualcuno
potrebbe indovinare la password.
Processo di
autenticazione
Autenticazione multifattore
Aggiungere ulteriori informazioni all’identità per
renderla più sicura
Utente + password + smartcard (token, CNS)
Dati biometrici (iride, impronta digitale, impronta
vocale, riconoscimento del volto, …)
Dott. Giampaolo Franco - Security Awareness
27
28. Identità digitale: metodologie di autenticazione
I metodi tramite cui un essere umano può autenticarsi sono divisi in tre classi, in base a:
• qualcosa che si conosce (es. password, frase chiave o numero di identificazione
personale (PIN) );
• qualcosa che si ha (es. tesserino identificativo);
• qualcosa che si è (es. impronte digitali, impronta vocale, modello retinico, sequenza del
DNA, calligrafia o altri identificatori biometrici).
La scelta dei diversi metodi di autenticazione è condizionata da vari fattori tra cui l'usabilità,
l'importanza delle informazioni da proteggere ed il costo del sistema. Spesso, al posto del
singolo metodo, viene utilizzata una combinazione di essi, es. un tesserino identificativo e
un PIN che ne aumenta la sicurezza. Tale strategia prende il nome di strong authentication
o autenticazione a due fattori.
Fonte Wikipedia: http://it.wikipedia.org/wiki/Autenticazione
Dott. Giampaolo Franco - Security Awareness
28
29. Identità digitale: limiti tecnologici
Limiti tecnologici
Non esistono computer, software o utenti in grado di
confermare, con totale certezza, l'identità di altri
computer, software e utenti.
La soluzione "totalmente sicura" è irraggiungibile.
Si può soltanto cercare di sottoporre l'autenticando ad
ulteriori diverse prove (ad esempio a delle domande alle
quali bisogna rispondere correttamente).
Per i servizi più critici, come quelli che prevedono
transazioni finanziarie o comunicazione di dati personali
o sensibili, è estremamente importante che l'identità
virtuale sia associata univocamente a quella "fisica" e sia
quindi possibile verificare che la persona che fruisce del
servizio sia veramente chi afferma di essere.
Dott. Giampaolo Franco - Security Awareness
29
30. Meccanismi di autenticazione tramite crittografia
I sistemi di autenticazione più evoluti utilizzano
meccanismi di crittografia per garantire:
•
•
•
•
Riservatezza dei dati
Integrità dei dati
Prova della fonte
Non ripudio
L’autenticazione tramite crittografia è anche utilizzata
nei sistemi di firma digitale dei documenti.
Tramite smartcard si firma il documento che viene
inviato al destinatario. Il destinatario può verificare con
certezza l’identità del mittente e l’integrità del
documento, la data e l’ora di firma del documento.
Giampaolo Franco - Security Awareness
30
31. Una volta che l’identità digitale è stata riconosciuta il sistema fornisce all’utente
l’accesso alle solo risorse che gli competono (accesso alla sessione di lavoro).
Alla base dei meccanismi di autorizzazione vi è il principio di confidenzialità o
riservatezza delle informazioni.
La gestione dell’autorizzazione viene svolta tramite appositi profili utente.
Es: Google Drive condivide le risorse in base a determinati ruoli posseduti dagli
utenti (owner, writer, reader) .
Per garantire ulteriormente la sicurezza si procede al tracciamento delle attività
dell’utente.
Eventuali abusi o accessi a risorse non autorizzate sono violazioni della privacy e
vengono di norma registrati dal sistema.
Dott. Giampaolo Franco - Security Awareness
31
32. Reputazione digitale
La reputazione digitale, detta anche web reputation, è
l’immagine ricavata dall’analisi delle opinioni che gli
utenti della rete si scambiano on line e dalle
informazioni pubbliche sempre più presenti sui canali
di comunicazione messi a disposizione dal web.
Le informazioni presenti online e accessibili a
chiunque costituiscono spesso la prima forma di
contatto e la prima fonte informativa. Esse hanno una
rilevanza significativa nel determinare la prima
impressione e l’immagine che gli utenti si formano su
di un soggetto (persona fisica, ente o azienda).
Sono sempre più numerosi i servizi di gestione della
reputazione online. La rete ha ‘memoria’ e questo
influisce ulteriormente sulla web reputation.
Giampaolo Franco – Corso di Security Awareness
32
33. Web reputation - un esempio
Es: Difficoltà nella ricerca di lavoro
All’interno di un social network si posso diffondere in maniera
indiretta dati personali o sensibili associati alla propria identità
digitale.
•
•
•
•
•
Appartenenza ad un certo gruppo politico.
Un «mi piace» su un determinato contenuto.
Scrivere una determinata affermazione.
Pubblicare un testo.
Pubblicare una foto.
Informazioni divulgate sui social network possono precludere
un’eventuale rapporto di lavoro (preferenze politiche, stato di
salute, determinate abitudini, etc…).
Il canale di informazione preferenziale per ricercare informazioni
è internet: una delle prime attività delle aziende è trovare
eventuali informazioni sulla persona direttamente nel web.
«La reputazione vale più di 100mila euro….»
Giampaolo Franco - Security Awareness
33
34. Attacchi alla web reputation
L’attacco alla reputazione può avvenire spesso tramite i siti web
della vittima, i social network, o più in generale le risorse internet
personali.
Nei social network, ma non solo, l’informazione messa online
rimane lì per sempre.
Alcuni possono mettere online informazioni negative creando
danni all’immagine della vittima (es. recensioni di ristoranti su
TripAdvisor)
Alcuni software di monitoraggio della web reputation:
Da ricordare.
•
•
•
•
•
Google alerts
Tweetbeep.com
Socialmention.com
Topsy.com
MonitorThis
Il marketing del futuro sarà sempre più caratterizzato dall’
ingegneria reputazionale.
Giampaolo Franco - Security Awareness
34
36. Corso di formazione - Security Awareness
Sviluppo delle conoscenze – Modulo 1
Cod. Domanda
1.1
Qual è il significato di “Security Awareness”?
1.2
Che cosa si intende per “asset”?
1.3
Quali sono le tre principali caratteristiche di un asset e qual è il loro significato?
1.4
Qual è la differenza tra “minaccia” e “vulnerabilità”?
1.5
Cosa significa “criticità”?
1.6
Quali sono i rischi principali nell’utilizzare un servizio in Cloud?
37. 1.7
Indicare con una X se il termine si riferisce ad una minaccia oppure ad una vulnerabilità:
Vulnerabilità
Minaccia
Carenza di formazione
Cancellazione accidentale di dati
Alluvione
Password scritta su un post-it
Difetto di progettazione
Mancanza di protezioni di sicurezza
Furto di dati
Virus
Incendio
Danni strutturali
1.8
Che cosa si intende per “identità digitale”? Fornire degli esempi su come viene riconosciuta l’identità
digitale all’interno di un sistema informatico.
1.9
Qual è la differenza tra “autenticazione” ed “autorizzazione”?
1.10
Che cos’è la “web reputation”? Può essere danneggiata permanentemente? In che modo?
39. Scuola consapevole
Portale di security e privacy per la scuola:
https://sites.google.com/site/scuolaconsapevole/
Per rimanere in contatto:
Forum (eventuali domande vanno inoltrate tramite questo gruppo)
Area formazione – Corso Security Awareness (materiale del corso)
Email docente: giampaolo.tn@gmail.com
Dott. Giampaolo Franco - Security Awareness
2
40. Elenco degli argomenti
PARTE 1
• Definizione di privacy.
• La normativa italiana.
• Dati personali.
• Trattamento.
• Diritti alla protezione dei dati.
PARTE 2
• Doveri e responsabilità.
• La privacy nella scuola.
Dott. Giampaolo Franco –Security Awareness
3
41. Un diritto fondamentale
•
•
•
•
•
Cos’è la privacy
•
Riconosciuto da tutti i Paesi europei e dalla
maggior parte delle nazioni del mondo;
strumento per la tutela della libera e piena
autodeterminazione di tutte le persone;
diritto di controllo delle informazioni che ci
riguardano;
strumento per gestire un confine fra se
stesso e gli altri;
disciplina del modo in cui una persona vive
nei confronti delle altre persone;
diritto ad esercitare un controllo sulle
informazioni che ci riguardano.
Obiettivo
Garantire la riservatezza dei ‘nostri dati’
Dott. Giampaolo Franco - Security Awareness
4
42. Privacy: un controllo sui propri dati
• Diritto di conoscere se qualcuno raccoglie
dati che ci riguardano e per quali motivi
desidera trattarli.
• Diritto di concedere i nostri dati per la
loro raccolta ed utilizzo oppure, in un
qualsiasi
momento,
togliere
tale
consenso.
La privacy si concretizza in un insieme di
norme create per garantire che il
trattamento dei dati personali si svolga
secondo il pieno rispetto dei diritti e delle
libertà fondamentali di ogni individuo.
NB: CHIUNQUE HA DIRITTO ALLA
PROTEZIONE DEI PROPRI DATI PERSONALI
Dott. Giampaolo Franco – Security Awareness
5
43. Il Garante per la protezione dei dati personali
Garante per la protezione dei dati personali
www.garanteprivacy.it
Il Garante per la protezione dei dati personali è
un'autorità amministrativa indipendente istituita
dalla cosiddetta legge sulla privacy (legge 31
dicembre 1996, n. 675) - che ha attuato
nell'ordinamento giuridico italiano la direttiva
comunitaria 95/46/CE - e oggi disciplinata dal
Codice in materia di protezione dei dati
personali (D.lg. 30 giugno 2003 n. 196).
L'autorità ha sede in:
Piazza di Monte Citorio n. 121 - 00186 Roma
Dott. Giampaolo Franco - Security Awareness
6
44. Il Garante per la protezione dei dati personali
Il Garante per la protezione dei dati
personali è un organo collegiale, composto
da quattro membri eletti dal Parlamento, i
quali rimangono in carica per un mandato di
sette anni non rinnovabile.
L'attuale Collegio si è insediato il 19 giugno
2012:
Antonello Soro
(Presidente)
Augusta Iannini
(vice-presidente)
Giovanna Bianchi Clerici
(componente)
Licia Califano
(componente)
Giuseppe Busia
(Segretario generale)
Dott. Giampaolo Franco - Security Awareness
7
45. Diritti e prevenzione: dati personali
DATI PERSONALI
Sono dati personali le informazioni che identificano o rendono
identificabile una persona fisica e che possono fornire dettagli sulle
sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni
personali, il suo stato di salute, la sua situazione economica, ecc …
Dott. Giampaolo Franco - Security Awareness
8
46. Diritti e prevenzione: dati personali
Particolarmente importanti sono:
•
i dati identificativi: quelli che permettono l'identificazione diretta,
come i dati anagrafici (ad esempio: nome e cognome), le immagini,
etc.;
•
i dati sensibili: quelli che possono rivelare l'origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, lo stato di salute e la vita
sessuale;
•
i dati giudiziari: quelli che riguardano l'esistenza di determinati
provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale
(es. i provvedimenti penali di condanna definitivi, la liberazione
condizionale, il divieto od obbligo di soggiorno, le misure alternative
alla detenzione) o la qualità di imputato o di indagato.
Dati super sensibili (salute e sfera sessuale).
Questi ultimi sono legati alla sfera privata dell’individuo e non
necessariamente relazionati ad un «gruppo».
Dott. Giampaolo Franco - Security Awareness
9
47. Diritti e prevenzione: dati personali
Nuove tipologie di dato personale
Con l'evoluzione delle nuove tecnologie altri
dati personali hanno assunto un ruolo
significativo, come quelli relativi alle
comunicazioni elettroniche (via internet o
telefono) e quelli che consentono la geo
localizzazione, fornendo informazioni sui
luoghi frequentati e sugli spostamenti.
Dott. Giampaolo Franco - Security Awareness
10
48. Diritti e prevenzione: trattamento dei dati
TRATTAMENTO DEI DATI
Per trattamento si intende ogni operazione compiuta - manualmente o
con strumenti elettronici – sui dati personali di un individuo.
Ad esempio: la raccolta, la conservazione, l'elaborazione, la modifica, il
collegamento e il confronto, la comunicazione e la diffusione a terzi, la
cancellazione e la distruzione (art. 4, comma 1, lettera a) del Codice in
materia di protezione dei dati personali).
I soggetti che procedono al trattamento dei dati personali altrui devono
adottare particolari misure per garantire il corretto e sicuro utilizzo di essi.
“Chiunque cagiona danno ad altri per effetto del trattamento di dati
personali è tenuto al risarcimento ai sensi dell'articolo 2050 del Codice
Civile”. (art. 15 Codice Privacy) [attività pericolosa]
Dott. Giampaolo Franco - Security Awareness
11
49. Diritti e prevenzione: le parti in gioco
LE PARTI IN GIOCO
•
Interessato è la persona fisica cui si riferiscono i dati personali. Quindi se un
trattamento riguarda l'indirizzo, il codice fiscale … di Mario Rossi, questa persona è l’
«interessato» (articolo 4, comma 1, lettera i), del Codice in materia di protezione dei
dati personali);
•
Titolare è la persona fisica o giuridica (impresa, ente pubblico o privato, associazione
…) cui spettano le decisioni sugli scopi e sulle modalità del trattamento, oltre che
sugli strumenti utilizzati (articolo 4, comma 1, lettera f), del Codice in materia di
protezione dei dati personali);
•
Responsabile è la persona fisica o giuridica (impresa, ente pubblico o privato,
associazione …) cui il titolare affida, anche all'esterno della sua struttura
organizzativa, specifici e definiti compiti di gestione e controllo del trattamento dei
dati (articolo 4, comma 1, lettera g), del Codice in materia di protezione dei dati
personali). La designazione del responsabile è facoltativa (articolo 29 del Codice in
materia di protezione dei dati personali);
•
Incaricato è la persona fisica che, per conto del titolare, elabora o utilizza
materialmente i dati personali sulla base delle istruzioni ricevute dal titolare e/o dal
responsabile (articolo 4, comma 1, lettera h), del Codice in materia di protezione dei
dati personali). L’Amministratore di Sistema è uno specifico incaricato con compiti di
gestione e manutenzione degli impianti informatici, con specifici obblighi.
Dott. Giampaolo Franco - Security Awareness
12
50. Diritto alla protezione dei dati personali
Il diritto alla protezione dei dati personali è un diritto fondamentale
dell'individuo tutelato dal Codice in materia di protezione dei dati
personali (decreto legislativo 20 giugno 2003, n. 196), oltre che da
altri atti normativi italiani e internazionali. In particolare grazie ad
esso ogni individuo può pretendere che i propri dati personali
siano trattati da terzi solo nel rispetto delle regole e dei principi
stabiliti dalla legge.
Il Codice in materia di protezione dei dati personali prevede
specifiche misure di protezione e sicurezza da applicare, ed
adempimenti da svolgere quando si effettua un trattamento di dati
personali altrui e riconosce all'interessato determinati diritti che è
possibile far valere rivolgendosi direttamente al titolare (articolo 7).
Dott. Giampaolo Franco - Security Awareness
13
51. Diritto di accedere ai propri dati personali
E' possibile richiedere ad un soggetto (persona fisica o giuridica) di fornire
informazioni sull'eventuale trattamento dei propri dati personali, oltre che
ottenere la messa a disposizione di tutte le informazioni personali detenute dal
titolare del trattamento. In particolare, è possibile richiedere :
• quale sia l'origine dei dati personali trattati;
• le finalità e le modalità del trattamento;
• se i dati personali sono trattati con strumenti elettronici e qual è la logica
applicata a tale trattamento;
• gli estremi identificativi di chi tratta i dati (titolare, responsabile,
rappresentante designato nel territorio dello stato italiano);
• i soggetti o le categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di rappresentante
designato nel territorio dello Stato, di responsabili o incaricati.
L'esercizio del diritto non è subordinato ad alcuna motivazione particolare e di
regola è gratuito.
Dott. Giampaolo Franco - Security Awareness
14
52. Tutelare i propri dati personali
Ogni persona può tutelare i propri dati personali, in
primo luogo, esercitando i diritti previsti dall'articolo
7 del Codice in materia di protezione dei dati
personali.
L'interessato può presentare un'istanza al titolare o al
responsabile (se designato) anche tramite un
incaricato del trattamento senza particolari formalità
(es. mediante lettera raccomandata, telefax, posta
elettronica ...).
L'istanza può essere riferita, a seconda delle esigenze
dell'interessato, a specifici dati personali, a categorie
di dati o ad un particolare trattamento, oppure a tutti
i dati personali che lo riguardano comunque trattati.
Dott. Giampaolo Franco - Security Awareness
15
53. Ulteriori diritti sui propri dati personali
Diritto all'aggiornamento, alla rettifica o alla cancellazione dei dati
personali
E' possibile richiedere a chi sta trattando i propri dati personali che
questi siano:
a) aggiornati, rettificati o (qualora la persona rappresenti uno
specifico interesse) integrati;
b) bloccati, cancellati o trasformati in forma anonima se:
- il trattamento non viene effettuato secondo le regole stabilite dalla
legge;
- non è più necessaria la loro conservazione.
Nota: delle operazioni di aggiornamento, rettifica o cancellazione dei
dati devono essere informati tutti coloro a cui eventualmente siano
stati comunicati o diffusi i dati personali, a meno che tale
adempimento si riveli impossibile da realizzare o comporti un
impiego di mezzi manifestamente sproporzionato rispetto al diritto
tutelato.
Dott. Giampaolo Franco - Security Awareness
16
54. Diritto di opposizione
E' possibile opporsi al trattamento dei propri dati
personali:
a) per motivi legittimi;
b) (senza necessità di motivare l'opposizione)
quando i dati sono trattati per finalità commerciali
o di marketing.
Nota: Dal 1° febbraio 2011 gli abbonati, i cui
nominativi e numeri siano pubblicati negli elenchi
telefonici e che non desiderino ricevere telefonate
pubblicitarie con operatore, devono iscriversi al
Registro Pubblico delle Opposizioni (articolo 130,
commi 3-bis e seguenti del Codice in materia di
protezione dei dati personali).
Dott. Giampaolo Franco - Security Awareness
17
55. Strumenti per tutelare i propri dati personali
Nell'esercizio dei propri diritti l'interessato può farsi assistere da una persona di fiducia e
può anche conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni od
organismi.
All'istanza il titolare o il responsabile (se designato), anche per il tramite di un incaricato,
deve fornire idoneo riscontro, senza ritardo e non oltre:
• 15 giorni dal suo ricevimento;
• 30 giorni se le operazioni necessarie per un integrale riscontro sono di particolare
complessità ovvero ricorre altro giustificato motivo. In tal caso il titolare o il
responsabile devono comunque darne comunicazione all'interessato entro i predetti 15
giorni.
Se la risposta ad un'istanza con cui si esercita uno o più dei diritti previsti dall'articolo 7 del
Codice in materia di protezione dei dati personali non perviene nei tempi indicati o non è
soddisfacente, l'interessato può far valere i propri diritti dinanzi all'autorità giudiziaria o
rivolgendosi al Garante per la protezione dei dati personali.
Dott. Giampaolo Franco - Security Awareness
18
56. Chi tutela i nostri dati personali?
La tutela del diritto alla protezione dei dati
personali è affidata, in sede amministrativa, al
Garante per la protezione dei dati personali.
In alternativa al Garante, ci si può rivolgere
all'autorità giudiziaria ordinaria (articolo 152
del Codice in materia di protezione dei dati
personali) a cui compete anche di decidere sulle
controversie che hanno ad oggetto i
provvedimenti del Garante stesso.
Giampaolo Franco - Security Awareness
19
57. FINE DELLA PRIMA PARTE
Dott. Giampaolo Franco - Security Awareness
20
58. Trattamento dati
Le regole da rispettare
Tutti possono liberamente raccogliere, per uso
strettamente
personale,
dati
personali
riguardanti altri individui, a patto di non
diffonderli o comunicarli sistematicamente a
terzi. (Un esempio: i dati raccolti per uso
personale nelle proprie agende cartacee o
elettroniche).
Doveri e
responsabilità
Quando però i dati sono raccolti e utilizzati per
altre finalità (es. un'azienda che vuole vendere
prodotti, un professionista che vuole
pubblicizzare i suoi servizi, un'associazione che
vuole trovare nuovi iscritti, un partito che fa
propaganda politica, ecc.) il trattamento dei
dati personali deve rispettare alcune regole.
Dott. Giampaolo Franco - Security Awareness
21
59. Doveri e responsabilità - Informativa
Fatte salve alcune eccezioni chiunque intenda effettuare un trattamento di dati personali deve
prima dare all'interessato alcune informazioni (articolo 13 del Codice in materia di
protezione dei dati personali) per metterlo nelle condizioni di esercitare i propri diritti
(articolo 7 del Codice in materia di protezione dei dati personali). In particolare, l'informativa
deve spiegare:
•
•
•
•
•
•
in che modo e per quale scopo verranno trattati i propri dati personali;
se il conferimento dei propri dati personali è obbligatorio o facoltativo;
le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali;
a chi saranno comunicati o se saranno diffusi i propri dati personali;
i diritti previsti dall'articolo 7 del Codice in materia di protezione dei dati personali;
chi è il titolare e (se è stato designato) il responsabile del trattamento.
Se i dati personali sono stati raccolti da altre fonti (ad esempio archivi pubblici, familiari
dell'interessato, ecc.), cioè non direttamente presso l'interessato, l'informativa deve essere
resa quando i dati sono registrati oppure non oltre la prima comunicazione a terzi.
L'omessa o inidonea informativa è punita con la sanzione amministrativa del pagamento di
una somma da seimila euro a trentaseimila euro (articolo 161 del Codice in materia di
protezione dei dati personali).
Dott. Giampaolo Franco - Security Awareness
22
60. Doveri e responsabilità: consenso
Soggetti privati ed enti pubblici economici
Fatte salve alcune eccezioni per i soggetti privati e gli enti pubblici economici il
trattamento di dati personali è possibile con il consenso dell'interessato documentato
per iscritto (articolo 23 del Codice in materia di protezione dei dati personali) che è valido
se:
•
•
all'interessato è stata resa l'informativa (articolo 13 del Codice in materia di
protezione dei dati personali);
è stato espresso dall'interessato liberamente e specificamente in riferimento ad un
trattamento chiaramente individuato (oppure a singole operazioni di trattamento).
Soggetti pubblici
Le pubbliche amministrazioni non devono richiedere il consenso dell'interessato purché il
trattamento sia effettuato nell'ambito dello svolgimento delle proprie funzioni
istituzionali (articolo 18 del Codice in materia di protezione dei dati personali).
Il trattamento di dati personali effettuato in violazione dell'articolo 23 del Codice è
punito con la sanzione amministrativa del pagamento di una somma da diecimila euro
a centoventimila euro (articolo 162, comma 2 bis, del Codice in materia di protezione
dei dati personali).
Dott. Giampaolo Franco – Security Awareness
23
61. Doveri e responsabilità: modalità del trattamento
Il trattamento deve avvenire riducendo al
minimo l'utilizzo di dati personali (principio di
necessità - articolo 3 del Codice in materia di
protezione dei dati personali), oltre che nel
rispetto dei seguenti principi (articolo 11 del
Codice in materia di protezione dei dati
personali):
•
•
•
•
•
liceità e correttezza del trattamento;
finalità del trattamento;
esattezza e aggiornamento dei dati;
pertinenza, completezza e non eccedenza
dei dati raccolti rispetto alle finalità del
trattamento;
conservazione dei dati per un tempo non
superiore a quello necessario rispetto agli
scopi per i quali è stato effettuato il
trattamento (necessità).
Dott. Giampaolo Franco - Security Awareness
24
62. Doveri e responsabilità: misure di sicurezza
Il titolare del trattamento è obbligato ad adottare
misure di sicurezza idonee a ridurre al minimo i rischi di
distruzione, perdita, accesso non autorizzato o
trattamento dei dati personali non consentito o non
conforme alle finalità della raccolta (articolo 31 del
Codice in materia di protezione dei dati personali).
In particolare, il titolare deve adottare le misure minime
di sicurezza (articolo 33 del Codice in materia di
protezione dei dati personali e relativo Allegato B) volte
ad assicurare un livello minimo di protezione dei dati
personali.
L'omessa applicazione delle misure minime di sicurezza
è punita con la sanzione amministrativa del pagamento
di una somma da diecimila euro a centoventimila euro
(articolo 162, comma 2 bis del Codice in materia di
protezione dei dati personali) e con la sanzione penale
dell'arresto fino a 2 anni (articolo 169 del Codice in
materia di protezione dei dati personali).
Dott. Giampaolo Franco - Security Awareness
25
63. Doveri e responsabilità: notificazione
Nei casi espressamente indicati, che
presentano rischi particolari legati alla
tutela dei diritti e delle libertà delle
persone interessate, il titolare deve
notificare al Garante per la protezione dei
dati personali l'intenzione di effettuare un
trattamento prima di iniziarlo (articolo 37
del Codice in materia di protezione dei dati
personali).
L'omessa,
ritardata
o
incompleta
notificazione del trattamento, quando
prevista, è punita con la sanzione
amministrativa del pagamento di una
somma da ventimila euro a centoventimila
euro (articolo 163 del Codice in materia di
protezione dei dati personali).
Dott. Giampaolo Franco – Security Awareness
26
64. Doveri e responsabilità: verifica preliminare
Nel caso in cui il trattamento dei dati personali, pur non coinvolgendo dati sensibili
o dati giudiziari, presenti rischi specifici per i diritti e le libertà fondamentali
ovvero per la dignità delle persone in relazione
• alla natura particolare dei dati trattati (es. dati biometrici),
• alle modalità del trattamento (es. sistemi di raccolta delle immagini associate a
dati biometrici),
• agli effetti che il trattamento può determinare,
il Garante per la protezione dei dati personali - su richiesta del titolare o d'ufficio effettua una verifica preliminare all'inizio del trattamento a seguito della quale
può prescrivere misure ed accorgimenti particolari a tutela dell'interessato
(articolo 17 del Codice in materia di protezione dei dati personali).
Il trattamento di dati personali effettuato in violazione dell'articolo 17 del Codice
in materia di protezione dei dati personali è punito con la sanzione amministrativa
del pagamento di una somma da diecimila euro a centoventimila euro (articolo
162, comma 2 bis del Codice in materia di protezione dei dati personali).
Dott. Giampaolo Franco - Security Awareness
27
65. Trattamento di dati sensibili e giudiziari
Soggetti privati ed enti pubblici economici
I soggetti privati e gli enti pubblici economici possono effettuare un
trattamento di:
- dati sensibili con il consenso scritto dell'interessato e previa
autorizzazione del Garante per la protezione dei dati personali (articolo
26 del Codice in materia di protezione dei dati personali), salvo alcune
eccezioni specificamente previste; [DM 7/12/2006 regola il trattamento
sui dati sensibili e giudiziari all’interno della scuola]
- dati giudiziari se autorizzati da una espressa disposizione di legge o da
un provvedimento del Garante per la protezione dei dati personali
(articolo 27 del Codice in materia di protezione dei dati personali).
Soggetti pubblici
Le pubbliche amministrazioni possono effettuare un trattamento di dati
sensibili e dati giudiziari sulla base delle disposizioni specifiche previste
dagli articoli 20, 21 e 22 del Codice in materia di protezione dei dati
personali (tipicamente disposizioni di legge obbligatorie).
Dott. Giampaolo Franco - Security Awareness
28
66. Doveri e responsabilità: trasferimento dati all’estero
Verso Paesi appartenenti all'Unione europea
Le legislazioni dei Paesi aderenti all'Unione europea (adottate in attuazione della direttiva comunitaria
95/46/CE) sono considerate equivalenti in relazione all'adeguata tutela in materia di protezione dei dati
personali. Il trasferimento attraverso o verso questi Paesi non è quindi soggetto a particolari restrizioni
(articolo 42 del Codice).
Verso Paesi non appartenenti all'Unione europea
Il trasferimento di dati personali verso Paesi non appartenenti all'Unione europea è possibile quando:
- ricorre una delle condizioni previste dall'articolo 43 del Codice in materia di protezione dei dati
personali
- oppure è autorizzato dal Garante per la protezione dei dati personali sulla base di adeguate garanzie per
i diritti dell'interessato (articolo 44 del Codice in materia di protezione dei dati personali)
Fuori da questi casi il trasferimento è vietato quando l'ordinamento del Paese di destinazione o di transito
dei dati personali non assicura un livello adeguato di tutela delle persone (articolo 45 del Codice in
materia di protezione dei dati personali).
Il trasferimento di dati personali effettuato in violazione dell'articolo 45 del Codice in materia di
protezione dei dati personali è punito con la sanzione amministrativa del pagamento di una somma da
diecimila euro a centoventimila euro (articolo 162, comma 2 bis del Codice in materia di protezione dei
dati personali).
Dott. Giampaolo Franco - Security Awareness
29
67. Doveri e responsabilità: cessazione del trattamento
CESSAZIONE DEL TRATTAMENTO
In caso di cessazione del trattamento, i dati personali
devono essere (articolo 16 del Codice in materia di
protezione dei dati personali):
•
distrutti;
•
ceduti ad altro titolare, purché destinati ad un
trattamento in termini compatibili agli scopi per i
quali i dati sono raccolti;
•
conservati per fini esclusivamente personali e non
destinati ad una comunicazione sistematica o alla
diffusione;
•
conservati o ceduti ad altro titolare per scopi
storici, statistici o scientifici.
Dott. Giampaolo Franco - Security Awareness
30
68. La scuola come esempio
La scuola è la sede migliore per far intraprendere ai
ragazzi il percorso di educazione al rispetto
reciproco.
Nell’ambito della privacy la scuola è il luogo più
adatto per instillare i valori di rispetto dell’identità
della persona, della dignità e della sua sfera più
intima.
La privacy
nella scuola
E’ fondamentale che la scuola dia il buon esempio e
tratti correttamente tutte le informazioni relative ai
propri studenti ed alle loro famiglie.
Obiettivo: trasmettere ai ragazzi la consapevolezza
al diritto alla riservatezza personale ed altrui.
Dott. Giampaolo Franco - Security Awareness
31
69. Doveri della scuola – consenso ed informativa
Per trattare i dati degli studenti la scuola pubblica non ha
l’obbligo di ottenere il consenso scritto da parte degli
stessi o delle loro famiglie (se minorenni). La scuola
privata invece lo deve obbligatoriamente richiedere.
Gli studenti debbono essere comunque informati
adeguatamente sulle modalità e finalità del trattamento,
secondo il Codice in materia di protezione dei dati
personali.
Tutte le scuole pubbliche e private hanno l’obbligo di
fornire un’adeguata informativa sul trattamento dei dati
personali.
Fonte: ADICONSUM
Dott. Giampaolo Franco - Security Awareness
32
70. Doveri della scuola – dati sensibili e giudiziari
Dati sensibili e giudiziari richiedono livelli di riservatezza e misure di sicurezza
adeguate. Il loro utilizzo è lecito solo se previsto dalla legge e se necessario
esclusivamente per le seguenti finalità:
• credo religioso: l’utilizzo è legato alla frequenza o all’esonero dall’ora di religione,
nonché alla libertà di culto (come particolari abitudini alimentari);
• origini razziali o etniche: l’utilizzo è finalizzato all’integrazione;
• stato di salute: l’utilizzo è finalizzato alla gestione di tutte le situazioni che
riguardano studenti affetti da qualche patologia, contingente o permanente (es.
assenze per malattia, sostegno in classe, ecc.);
• convinzioni politiche: l’utilizzo è finalizzato solo per la composizione degli organi di
rappresentanza (es. associazioni degli studenti);
• dati giudiziari: il loro utilizzo ha il fine di permettere di studiare anche a chi è in
regime di detenzione o protezione.
NB: Tutte le informazioni e i dati relativi ad eventuali contenziosi tra gli studenti e la
scuola (reclami, ricorsi, denunce, provvedimenti disciplinari, ecc.) devono essere
sottoposti allo stesso regime per i dati sensibili e giudiziari.
Dott. Giampaolo Franco - Security Awareness
33
71. Doveri della scuola – temi in classe
E’ lecito assegnare temi che riguardano la sfera personale degli
studenti.
Se si tratta di argomenti delicati però l’insegnante dovrà
bilanciare le esigenze di riservatezza con quelle didattiche
valutando di volta in volta l’opportunità di darne lettura davanti
alla classe.
Importante: nel caso di sistemi di gestione informatizzata dei
contenuti didattici (es. GAPPS) il docente deve prestare
attenzione nelle modalità di pubblicazione sulle risorse
condivise in lettura tra tutti gli studenti della classe.
La privacy dello studente in questo caso particolare deve essere
garantita. Restano validi gli obblighi di riservatezza, segreto
d’ufficio professionale, conservazione dei dati personali
eventualmente contenuti negli elaborati degli alunni.
Dott. Giampaolo Franco - Security Awareness
34
72. Doveri della scuola – voti, scrutini, esami
Tutte le informazioni relative ai risultati scolastici ed agli
esami di Stato (voti compresi) sono pubbliche e non vige
nessun obbligo di riservatezza.
Proprio in virtù del principio di trasparenza e garanzia di ogni
studente, i voti di scrutini ed esami devono essere pubblicati
nell’albo dell’istituto.
Prestare attenzione a non fornire in questi casi, anche
indirettamente, informazioni sullo stato di salute o altri dati
personali non pertinenti (es. riferimenti a «prove
differenziate» sostenute per studenti portatori di handicap
non vanno inserite nei tabelloni affissi all’albo dell’Istituto,
deve essercene indicazione solamente nell’attestazione da
rilasciare allo studente).
Dott. Giampaolo Franco - Security Awareness
35
73. Doveri della scuola – circolari e comunicazioni
Il diritto-dovere di informare le famiglie sull’attività e sugli avvenimenti della
vita scolastica deve essere sempre bilanciato con l’esigenza di tutelare la
personalità dei minori.
E’ quindi necessario, ad esempio, evitare di inserire nelle comunicazioni
scolastiche elementi che consentano di risalire, anche indirettamente,
all’identità di minori coinvolti in vicende particolarmente delicate.
Dott. Giampaolo Franco - Security Awareness
36
74. Doveri della scuola – orientamento studenti
Su richiesta degli studenti interessati, le scuole possono comunicare, anche
a privati e per via telematica, i dati relativi ai loro risultati scolastici per
aiutarli nell’orientamento, la formazione e l’inserimento professionale anche
all’estero.
Dott. Giampaolo Franco - Security Awareness
37
75. Doveri della scuola – marketing e pubblicità
Non è possibile utilizzare i dati presenti nell’albo degli istituti scolastici per
inviare materiale pubblicitario a casa degli studenti. La conoscibilità a chiunque
degli esiti scolastici (ad esempio attraverso il tabellone affisso nella scuola)
risponde ad essenziali esigenze di trasparenza.
Ciò non autorizza soggetti terzi ad utilizzare i dati degli studenti per altre finalità,
come il marketing e la promozione commerciale.
Dott. Giampaolo Franco - Security Awareness
38
76. Doveri della scuola – questionari per attività di ricerca
Svolgere attività di ricerca con la raccolta di informazioni
personali, spesso anche sensibili, tramite questionari da
sottoporre agli alunni è consentito soltanto se i ragazzi, o
i genitori nel caso di minori, siano stati preventivamente
informati sulle modalità di trattamento e conservazione
dei dati raccolti e sulle misure di sicurezza adottate.
Gli intervistati, inoltre, devono sempre avere la facoltà di
non aderire all’iniziativa.
Dott. Giampaolo Franco - Security Awareness
39
77. Doveri della scuola – recite, gite scolastiche e foto
Non violano la privacy le riprese video e le fotografie
raccolte dai genitori, durante le recite, le gite ed i
saggi scolastici. Le immagini in questi casi sono
raccolte per fini scolastici e destinate ad un ambito
familiare o amicale e non alla diffusione.
Va prestata particolare attenzione all’eventuale
pubblicazione delle medesime su internet ed in
particolare sui social network.
In caso di comunicazione sistematica o diffusione
diventa necessario ottenere il consenso delle persone
presenti nelle fotografie e nei video.
Dott. Giampaolo Franco - Security Awareness
40
78. Doveri della scuola – registrazione della lezione
E’ possibile registrare la lezione esclusivamente per scopi
personali, ad esempio per motivi di studio individuale.
Per ogni eventuale altro utilizzo o eventuale diffusione, anche su
internet, è necessario prima informare adeguatamente le
persone coinvolte nella registrazione (professori, studenti, …) ed
ottenere il loro esplicito consenso.
Nell’ambito dell’autonomia scolastica, gli istituti possono
decidere di regolamentare diversamente o anche inibire gli
apparecchi in grado di registrare tramite l’adozione di apposite
politiche di sicurezza.
Dott. Giampaolo Franco - Security Awareness
41
79. Doveri della scuola – dati biometrici
L’utilizzo delle impronte digitali o di altri dati
biometrici per rilevare la presenza di un gruppo di
individui è giustificato soltanto dall’esistenza di reali
esigenze di sicurezza, determinate da concrete e gravi
situazioni di rischio.
Il sistema di rilevamento delle impronte digitali, ad
esempio, è stato giudicato sproporzionato rispetto
all’obiettivo di consentire agli studenti l’accesso ai
servizi di mensa scolastica.
Dott. Giampaolo Franco - Security Awareness
42
80. Doveri della scuola – videofonini, filmati, MMS
L’utilizzo di videofonini, di apparecchi per la registrazione di
suoni e immagini è in genere consentito, ma esclusivamente
per fini personali, e sempre nel rispetto dei diritti e delle libertà
fondamentali delle persone coinvolte, in particolare della loro
immagine e dignità.
Le istituzioni scolastiche hanno comunque la possibilità di
regolare o di inibire l’utilizzo di registratori audio-video, inclusi i
telefoni cellulari abilitati, all’interno delle aule di lezione o nelle
scuole stesse.
Non è possibile, in ogni caso, diffondere o comunicare
sistematicamente i dati personali di altre persone (ad esempio
immagini o registrazioni audio/video) senza aver prima
informato adeguatamente le persone coinvolte e averne
ottenuto l’esplicito consenso.
Dott. Giampaolo Franco - Security Awareness
43
81. Doveri della scuola – videofonini, filmati, MMS
Gli studenti e gli altri membri della comunità scolastica
devono quindi prestare particolare attenzione a non mettere
on line immagini (ad esempio su blog, siti web, social
network) o a diffonderle via mms.
Succede spesso, tra l’altro, che una fotografia inviata a un
amico/familiare poi venga inoltrata ad altri destinatari,
generando involontariamente una comunicazione a catena
dei dati personali raccolti.
Tale pratica può dar luogo a gravi violazioni del diritto alla
riservatezza delle persone riprese, incorrendo in sanzioni
disciplinari, pecuniarie e penali.
Dott. Giampaolo Franco - Security Awareness
44
82. Doveri della scuola – videosorveglianza
L’installazione di sistemi di videosorveglianza nelle scuole
deve garantire il diritto dello studente alla riservatezza.
In caso di stretta necessità le telecamere sono ammesse,
ma devono funzionare solo negli orari di chiusura degli
istituti.
Se le riprese riguardano l’esterno della scuola, l’angolo
visuale delle telecamere deve essere opportunamente
delimitato.
Le immagini registrate possono essere conservate per
brevi periodi (24 ore).
Infine, i cartelli che segnalano il sistema di
videosorveglianza devono essere visibili anche di notte.
Dott. Giampaolo Franco - Security Awareness
45
83. Doveri della scuola – ulteriori tutele
STATUS PERSONALI E DIFFUSIONE
E’ illecito diffondere o comunicare a terzi (ad esempio sul sito dell’Istituto) i dati
degli studenti in ritardo con il pagamento di un qualsiasi servizio scolastico (retta,
mensa, ecc.) o di chi ne usufruisca gratuitamente sulla base dell’appartenenza a
determinate categorie sociali o fasce di reddito.
AVVISI ONLINE
Tutti gli avvisi online devono avere carattere generale, mentre le comunicazioni
personali vanno inviate direttamente al singolo.
Dott. Giampaolo Franco - Security Awareness
46
84. Doveri della scuola – diritti degli studenti
Lo studente ha il diritto di conoscere i dati che la scuola tratta
sul suo conto, di estrarne copia, nonché di ottenerne la rettifica
nel caso in cui siano errati, incompleti o non aggiornati.
Le richieste vanno rivolte alla scuola, in quanto titolare del
trattamento, oppure al responsabile, se designato, tramite i
relativi incaricati.
Se la scuola non adempie nei tempi di legge (15 gg o al
massimo ulteriori 15gg se particolari difficoltà nella
procedura), o adempie parzialmente, ci si può rivolgere al
Garante o al giudice ordinario.
Attenzione: l’accesso agli atti amministrativi è una fattispecie
diversa, disciplinata dalla legge 241 del 90 e successive
modifiche del Codice in materia di protezione dei dati personali
prevede che l’amministrazione valuti di volta in volta i requisiti
normativi per l’accesso.
Dot. Giampaolo Franco - Security Awareness
47
85. La privacy nella scuola – come ricordarla
Una risorsa utile da avere sempre con sé:
• Vademecum del Garante «La privacy tra i banchi di
scuola»
http://www.garanteprivacy.it/documents/10160/2416443
/La_privacy_tra_i_banchi_di_scuola.pdf
Regole generali, voti ed esami, informazioni sugli
studenti, foto, audio e video, sicurezza e controllo,
parole chiave, approfondimenti.
Ulteriori riferimenti
contesto scolastico:
aggiornati
relativamente
al
• Scuola consapevole - Area Privacy
https://sites.google.com/site/scuolaconsapevole/privacy
Dott. Giampaolo Franco - Security Awareness
48
87. Corso di formazione - Security Awareness
Sviluppo delle conoscenze – Modulo 2
Cod. Domanda
1.1
Qual è il significato di “Privacy”?
1.2
Che cosa si intende per “Trattamento”?
1.3
Che cosa si intende per “Titolare del Trattamento”?
1.4
Che cosa si intende per “Responsabile del Trattamento”? E’ una figura obbligatoria?
1.5
Che cosa si intende per “Incaricato” ed “Amministratore di Sistema”? E’ corretto che
l’amministratore di sistema sia anche Responsabile di Trattamento?
1.6
Che cosa si intende per “Interessato”?
88. 1.7
Che cosa si intende per “informativa” e “consenso”?
1.8
Quali sono le quattro tipologie in cui possono essere suddivisi i “dati personali”?
1.9
Inserire opportunamente in tabella i termini: liceità, necessità, finalità, non eccedenza.
Definizione
La conservazione dei dati viene effettuata per un tempo non superiore a
quello necessario rispetto agli scopi per i quali è stato effettuato il
trattamento.
Il trattamento, per essere lecito e consentito dalla legge, deve prevedere
un
“consenso informato” in quanto esso tutela la libertà di
autodeterminazione dell’interessato.
i sistemi informativi ed i programmi informatici dovranno essere
predisposti in modo da assicurare che i dati personali siano utilizzati per
il raggiungimento degli specifici scopi che il Titolare si prefigge.
Nei form di iscrizione ad un sito web devono essere oggetto di
trattamento solo i dati necessari alle finalità perseguite ovvero al
raggiungimento degli scopi dichiarati.
Principio
1.10
Qual è la differenza fra “misure minime” e “misure idonee”?
1.11
Indicare l’ordine di gerarchia nella gestione del Trattamento (dal più alto al più basso):
Ordine
Amministratore di Sistema
Incaricato
Titolare
Responsabile di Trattamento
Indicare se persona fisica / giuridica
90. Scuola consapevole
Portale di security e privacy per la scuola:
https://sites.google.com/site/scuolaconsapevole/
Per rimanere in contatto:
Forum (eventuali domande vanno inoltrate tramite questo gruppo)
Area formazione – Corso Security Awareness (materiale del corso)
Email docente: giampaolo.tn@gmail.com
Dott. Giampaolo Franco - Security Awareness
2
91. Elenco degli argomenti
PARTE 1
• La situazione privacy attuale.
• L’avvento delle nuove tecnologie.
• Sviluppo delle conoscenze privacy.
PARTE 2
• Utilizzo dell’antivirus.
• Malware.
Dott. Giampaolo Franco – Security Awareness
3
92. La situazione privacy attuale
Utilizzo di dati personali da parte di terzi per fini non
consentiti:
• Abbonamenti a riviste o servizi mai richiesti.
• Accesso non autorizzato alla propria casella e-mail.
• Intercettazione di dati relativi a comunicazioni
telefoniche.
• Intercettazione del traffico web.
• Danni alla reputazione personale ed aziendale.
• Diffamazione.
• Sistemi di videosorveglianza fuori norma.
• Ispezione dei propri dati bancari.
• Spionaggio informatico.
Aree con maggiori criticità:
• Social network.
• Telefono cellulare, smartphone, tablet.
Dott. Giampaolo Franco – Security Awareness
4
93. Il rischio più grave.
Nel contesto privacy i dati sensibili sono la parte
più importante di un individuo.
Tali informazioni, se comunicate senza consenso o
diffuse, possono ledere la personalità ed i diritti
dell’interessato.
Divulgazione dei
dati sensibili
Detenere i dati sensibili di un individuo senza
autorizzazione permette di esercitare su di esso
forti limitazioni della libertà, pressioni ed
emarginazioni.
Tali comportamenti vanno espressamente contro
il principio di autodeterminazione della persona:
uno dei fondamenti essenziali della privacy.
Dott. Giampaolo Franco - Security Awareness
5
94. La situazione privacy attuale: il rendiconto 2012
Lavoro svolto dal Garante per la protezione dei dati
personali nell’anno 2012:
•
•
•
•
4180 segnalazioni e reclami,
395 ispezioni,
578 sanzioni,
460 provvedimenti collegiali.
Difendere la privacy è un compito sempre più difficile.
Aumentano i casi di violazione della privacy.
Il telemarketing è una delle minacce maggiori.
Le aziende di telemarketing continuano ad essere sempre
più aggressive e commettono moltissime violazioni,
nonostante dal 2010 sia stato istituito il registro delle
opposizioni ( www.registrodelleopposizioni.it ).
Dott. Giampaolo Franco - Security Awareness
6
95. La situazione privacy attuale: il rendiconto 2012
Diffusione dei sistemi di videosorveglianza
In molti esercizi pubblici ed altri luoghi di lavoro
vengono installate delle telecamere a scopo antirapina, in realtà servono anche a monitorare i
lavoratori:
• entrate;
• uscite;
• pause.
Tale utilizzo ovviamente viola le norme relative alla
privacy.
Dott. Giampaolo Franco - Security Awareness
7
96. La situazione privacy attuale: il rendiconto 2012
BANCHE ED ASSICURAZIONI
•
•
Indagini dell’Agenzia delle Entrate sui conti
correnti bancari (obiettivo di scovare l’evasione
fiscale).
Raccolta dati da parte di dispositivi che
registrano l’attività dei veicoli (scatole nere)
effettuata dalle Compagnie di assicurazione.
INTERCETTAZIONI
• Diffusione delle intercettazioni giudiziarie. Le
intercettazioni
sono
uno
strumento
indispensabile agli inquirenti ma con troppe
fughe di notizie che danneggiano le indagini
stesse e la privacy.
Dott. Giampaolo Franco - Security Awareness
8
97. La situazione privacy attuale: il rendiconto 2012
Il nodo più intricato: internet ed i social media.
Utilizzo dei cookies sui siti da parte di Google
(tracciamento dei siti già visitati).
Gestione ‘opaca’ della privacy da parte di Google e
Facebook.
Per garantire gli utenti servono norme europee in
materia di privacy su internet.
Chiunque può verificare tale situazione:
http://www.google.it/intl/it/policies/privacy/
https://it-it.facebook.com/about/privacy
Dott. Giampaolo Franco - Security Awareness
9
98. 2013: il caso «Data Retention»
Il Garante ha verificato il rispetto della normativa in materia di
trattamento dei dati personali in undici provider telefonici ed
internet.
Nove su undici sono fuorilegge.
Le principali violazioni sono:
•
•
•
conservazione dei dati relativi al traffico telefonico ed internet
degli utenti oltre i termini previsti dal trattamento;
mancata adozione delle misure minime di sicurezza (allegato B
del Codice in materia di protezione dei dati personali);
mancata adozione di ulteriori misure del codice (es. tecnologie di
riconoscimento biometrico per selezionare l’accesso ai dati e la
cifratura dei dati).
Vi sono in corso ulteriori valutazioni sulle misure previste, sulla
liceità dei trattamenti, sul trasferimento dei dati all’estero.
Dott. Giampaolo Franco - Security Awareness
10
99. Dati relativi al traffico telefonico e telematico
Il trattamento dei dati di traffico telefonico, mms, sms ed
internet consente agli operatori di disporre di una serie
di importanti informazioni tra cui il numero chiamato,
l’ora e la data, la durata del contatto nonché la
localizzazione degli apparati degli utenti in caso
dell’utilizzo di un telefono cellulare (aggancio alle ‘celle’
di zona). Vengono fornite ulteriori informazioni sulla
geolocalizzazione (GPS) per gli smartphone e tablet.
Questi dati, opportunamente incrociati tra loro o con
altri, tracciano buona parte delle abitudini e dei
movimenti della nostra vita e non possono essere
certamente messe a disposizione di chiunque, fatto
salvo le Autorità inquirenti che sono preposte alla
sicurezza ed alla protezione pubblica.
Dott. Giampaolo Franco - Security Awareness
11
100. L’avvento delle nuove tecnologie
E’ POSSIBILE DIFENDERE LA PRIVACY?
• Internet non è stata progettata per gestire i dati personali o
sensibili.
• L’accesso ai canali di informazione è sempre più facile ed alla
portata di tutti.
• La gestione dei dati personali e sensibili è un’attività sempre più
rischiosa.
• Aumento del pericolo di diffusione dei dati personali e sensibili.
• Uso non consentito di informazioni personali o riservate.
• La diffusione delle informazioni avviene in tempi più rapidi
rispetto a prima (aumenta la possibilità di lesione della privacy).
Dott. Giampaolo Franco - Security Awareness
12
101. Una prima linea di difesa
La sicurezza dei dati memorizzati in un sistema
informatico dipende molto dal comportamento di chi
lo utilizza. Non basta conoscere il funzionamento del
sistema informatico occorre anche:
•
•
Conoscere le
regole ed i rischi
sapere le norme che regolano la privacy;
essere a conoscenza delle policy interne di
sicurezza sull’utilizzo degli strumenti;
•
essere consapevoli dello scenario in cui si opera
ed adottare le necessarie cautele;
•
conoscere le terminologie e le tecniche utilizzate
per carpire informazioni riservate.
Dott. Giampaolo Franco - Security Awareness
13
102. Sviluppo delle conoscenze - privacy
Verifica dei concetti relativi all’ambito «PRIVACY»
Dott. Giampaolo Franco - Security Awareness
14
103. FINE DELLA PRIMA PARTE
Dott. Giampaolo Franco - Security Awareness
15
104. Utilizzo dell’antivirus
L’utente che non ha installato sul proprio PC un
software antivirus ha una probabilità 5.5 volte più
alta che il proprio computer si infetti tramite
malware o altre minacce.
In Italia 2,5 PC su 10 non dispongono di
un’adeguata protezione antivirus.
Gli antivirus rappresentano l’arma più efficace volta a contrastare i malware
e salvaguardare la privacy degli utenti.
«Le persone capiscono intuitivamente l’importanza di chiudere a chiave la porta di
casa per impedire eventuali intrusioni. La sicurezza dei computer non è diversa.
Navigare in Internet senza disporre di un antivirus aggiornato equivale a lasciare la
porta di ingresso aperta ai criminali».
Tim Rains (Microsoft).
Dott. Giampaolo Franco - Security Awareness
16
105. Malware
Per ‘malware’ si intente un qualsiasi software con lo scopo di
creare danni a:
•
•
•
•
apparati hardware;
Personal Computer;
sistemi di elaborazione;
dati.
Obiettivo: intaccare gli attributi di un asset (logico): integrità,
confidenzialità, disponibilità.
Il termine malware deriva da malicious e software (software
malevolo).
Dott. Giampaolo Franco – Security Awareness
17
106. Malware
Il PC deve sempre avere il sistema operativo
aggiornato e possedere un buon software
antivirus aggiornato e funzionante, per evitare
gravi danni ai dati, ai programmi, alla rete ed ai
sistemi dell’Istituto.
Occorre avere accortezza nell’uso dei supporti
rimovibili, ai link ed agli allegati presenti nella
posta elettronica, alla provenienza dei software
che si installano sul PC.
Esempi di antivirus:
Kaspersky
Nod32
Norton.
Avast! (free)
Dott. Giampaolo Franco - Security Awareness
18
107. Attacchi condotti attraverso il PC dell’utente
Se non adeguatamente protetto il PC può
subire attacchi da parte di hacker o può
essere sfruttato da terzi per operazioni
illegali.
Disservizi ed attacchi a terzi.
Controllo dei PC delle vittime a distanza.
Furto di dati.
Furto di identità (user e password).
Dott. Giampaolo Franco - Security Awareness
19
108. DoS - DDoS
DoS – Denial of Service
Sfruttando il PC di una vittima un hacker può
eseguire un attacco verso un determinato
sistema o risorsa target della rete per creare
disservizio, rimanendo anonimo.
DDoS – Distribuited Denial of Service
Lo stesso caso di prima con la differenza che non
è uno solo ma sono molti i PC sfruttati per
sferrare un attacco più forte verso il target.
Dott. Giampaolo Franco - Security Awareness
20
109. Virus e worm
Virus
Software appartenente alla categoria dei malware che è in grado, una
volta eseguito, di infettare dei file in modo da riprodursi facendo copie
di se stesso, generalmente senza farsi rilevare dall'utente (sotto questo
punto di vista il nome è in perfetta analogia con i virus in campo
biologico).
Caratteristica principale di un virus è quella di riprodursi e quindi
diffondersi nel computer ogni volta che viene aperto il file infetto.
Worm
Un worm (letteralmente "verme") è una particolare categoria di
malware in grado di autoreplicarsi.
Il mezzo più comune impiegato dai worm per diffondersi è la posta
elettronica: il programma maligno ricerca indirizzi e-mail memorizzati
nel computer ospite ed invia una copia di se stesso come file allegato
(attachment) a tutti o parte degli indirizzi che è riuscito a raccogliere. Il
worm si può attivare anche tramite un link.
Dott. Giampaolo Franco - Security Awareness
21
110. Trojan horse - backdoor
Trojan horse
Questa tipologia di malware deve il suo nome al fatto che le sue funzionalità
sono nascoste all'interno di un programma apparentemente utile: è dunque
l'utente stesso che installando ed eseguendo un certo programma,
inconsapevolmente, installa ed esegue anche il codice trojan nascosto. I
trojan non si diffondono autonomamente come i virus o i worm: richiedono
un intervento diretto dell'aggressore per far giungere l'eseguibile maligno
alla vittima. Un trojan può contenere qualunque tipo di istruzione maligna o
ulteriori malware.
Backdoor
Le backdoor in informatica sono paragonabili a porte di servizio (cioè le porte
sul retro) che consentono di superare in parte o in tutto le procedure di
sicurezza attivate in un sistema informatico o un computer entrando nel
sistema stesso. Queste "porte" possono essere intenzionalmente create dai
gestori del sistema informatico (amministratori di rete e sistemisti) per
permettere una più agevole opera di manutenzione dell'infrastruttura
informatica da remoto. Possono anche essere installate autonomamente da
alcuni malware (come virus, worm o trojan), in modo da consentire ad un
utente esterno di prendere il controllo remoto della macchina senza
l'autorizzazione del proprietario.
Dott. Giampaolo Franco - Security Awareness
22
111. Spyware
Spyware
Uno spyware è un tipo di software che raccoglie
informazioni sull'attività online di un utente (siti visitati,
acquisti eseguiti in rete, …) senza il suo consenso,
trasmettendole tramite Internet ad un'organizzazione che
le utilizzerà per trarne profitto, solitamente attraverso
l'invio di pubblicità mirata.
I programmi per la raccolta di dati che vengono installati
con il consenso dell'utente non sono propriamente
spyware: sempre che sia ben chiaro all'utente quali dati
siano oggetto della raccolta ed a quali condizioni questa
avvenga.
Dott. Giampaolo Franco - Security Awareness
23
112. Browser hijacking
Browser hijacking
Il termine hijacking indica una tecnica di attacco informatico che
consiste nel modificare opportunamente dei pacchetti dei
protocolli TCP/IP al fine di dirottare i collegamenti ai propri siti web
e prenderne il controllo.
Questa tecnica, più nota come Browser Hijacking (dirottamento del
browser), permette ai dirottatori di eseguire sul malcapitato
computer una serie di modifiche tali da garantirsi la visita alle loro
pagine con l'unico scopo di incrementare in modo artificioso il
numero di accessi e di click diretti al loro sito e conseguentemente
incrementare i guadagni dovuti alle inserzioni pubblicitarie (ad es.
banner pubblicitari).
Nei motori di ricerca ad esempio l’hijacking, sfruttando un bug del
motore stesso, riesce a sostituirsi al sito "vittima" nei risultati del
motore. In pratica in una ricerca su un motore, cliccando sul
collegamento scelto, ci appare tutt'altra cosa rispetto a quello
desiderato.
Dott. Giampaolo Franco - Security Awareness
24
113. Rootkit
Rootkit
Un rootkit, termine letteralmente traducibile in lingua
italiana con equipaggiamento da amministratore (in
ambiente Unix per «root» si intende accesso di livello
amministrativo).
E’ un programma software prodotto per avere il controllo sul
sistema senza bisogno di autorizzazione da parte di un
utente o di un amministratore. Alcuni virus informatici si
sono avvalsi della possibilità di agire come rootkit all'interno
del sistema operativo. Sono stati creati Trojan horses ed altri
programmi maligni volti ad ottenere il controllo di un
computer da locale o da remoto in maniera nascosta, ossia
non rilevabile dai comuni strumenti di amministrazione e
controllo.
Dott. Giampaolo Franco - Security Awareness
25
114. Scareware
Scareware
Nel gergo informatico scareware individua una classe di software dannosi, o
comunque di limitata utilità, la cui installazione viene suggerita agli utenti
attraverso tecniche di marketing scorretto.
Gli scareware vengono diffusi principalmente attraverso la rete grazie alla
realizzazione di vere e proprie campagne di marketing. Il software viene
spesso presentato come strumento per la manutenzione del sistema
operativo o per la risoluzione di comuni problemi informatici. Anche le
denominazioni scelte richiamano tipicamente prodotti noti ed affidabili.
Nelle pagine web messe a punto per la distribuzione di scareware è
frequente la presenza di certificazioni e riconoscimenti fasulli che servono a
rassicurare gli utenti sulla qualità del software e sulla serietà di chi lo
sviluppa. In questo scenario tutto è pensato per far sì che sia l'utente stesso
a scaricare ed installare volontariamente il software sul proprio computer.
A questa prima modalità di diffusione non è raro se ne affianchino altre in
cui, con tecniche più o meno complesse, si induce l'utente a ritenere che il
proprio sistema sia infetto da virus informatici o da gravi anomalie di
funzionamento. In questi casi lo scareware (dal termine inglese to scare,
'spaventare') viene indicato come strumento per la risoluzione del
problema.
Dott. Giampaolo Franco - Security Awareness
26
115. Rabbit
Rabbit
I rabbit (detti anche bacteria o wabbit) sono un tipo di
malware che attacca le risorse del sistema duplicando in
continuazione la propria immagine su disco, o attivando
nuovi processi a partire dal proprio eseguibile, in modo da
consumare tutte le risorse disponibili sul sistema in
pochissimo tempo. Entrambi i nomi si riferiscono proprio
alla prolificità di questo "infestante" (rabbit è l'inglese per
coniglio). Si distinguono dai virus in quanto non "infettano" i
file.
Un esempio di questa tipologia di malware è la fork bomb.
Dott. Giampaolo Franco - Security Awareness
27
116. Fork bomb
La bomba fork è un attacco di tipo denial of
service contro un computer che utilizza la
funzione fork. L'azione si basa sull'assunto che il
numero di programmi e processi che possono
essere eseguiti contemporaneamente su un
computer abbia un limite.
Una bomba fork agisce creando un gran numero
di processi in un tempo molto rapido, così da
saturare lo spazio disponibile nella lista dei
processi che viene mantenuta dal sistema
operativo.
Le bombe fork impiegano anche del tempo di
processore e della memoria. Pertanto il sistema
rallenta e può diventare più difficile, se non
impossibile da utilizzare.
Concetto dietro la fork
bomb: un processo genera
altri processi in cascata,
finché non avviene un denial
of service oppure un crash
del sistema.
Dott. Giampaolo Franco - Security Awareness
28
117. Adware
Adware
Con il termine "Adware" (abbreviazione di advertising-supported
software) in italiano «Software sovvenzionato da pubblicità» si indica una
tipologia di software che presenta al suo interno inserzioni pubblicitarie
esposte di proposito all'utente, allo scopo di indurlo ad effettuare ulteriori
acquisti o eventuali upgrade del software utilizzato per generare maggiore
profitto alla società. Gli annunci pubblicitari possono comparire
nell'interfaccia utente del software, durante il processo d'installazione, o
in entrambi i casi.
Talvolta i programmi adware presentano rischi per la stabilità e la
sicurezza del computer: alcuni di essi aprono continuamente popup
pubblicitari che rallentano notevolmente le prestazioni della macchina,
altri modificano le pagine html direttamente nelle finestre del browser per
includere link e messaggi pubblicitari propri con la conseguenza che
all'utente viene presentata una pagina diversa da quella voluta dall'autore.
Molti adware inoltre comunicano le abitudini di navigazione dell'utente a
server remoti. Non è facile, ed a volte quasi impossibile, essere a
conoscenza di quali dati vengano inviati e ricevuti attraverso tale
connessione.
Dott. Giampaolo Franco - Security Awareness
29
118. File batch
File batch
Nei sistemi operativi è possibile eseguire dei comandi di
sistema tramite l’esecuzione di file di testo contenenti una
sequenza di istruzioni (file batch).
Il file batch viene eseguito dall'interprete dei comandi
mandando in esecuzione i comandi elencati nel file uno dopo
l'altro, nello stesso ordine in cui compaiono nel file.
Tramite questo «linguaggio di scripting», con poche istruzioni
è possibile creare dei veri e propri virus che possono
formattare il disco, cancellare files, saturare il file-system,
riavviare la macchina, creare DoS.
I file batch hanno estensione .bat e possono essere eseguiti
con il semplice doppio click del mouse.
Dott. Giampaolo Franco - Security Awareness
30
119. Keylogger
Keylogger
In informatica un keylogger è uno strumento hardware o software in grado di intercettare
tutto ciò che un utente digita sulla tastiera di un personal computer.
Hardware: vengono collegati al cavo di comunicazione tra la tastiera ed il computer o
all'interno della tastiera. Molto efficaci perché il sistema non è in grado di accorgersi della
loro presenza e possono essere nascosti nella tastiera.
Software: programmi che controllano e salvano la sequenza di tasti che viene digitata da
un utente. Essi rimangono in esecuzione captando ogni tasto che viene digitato e poi, in
alcuni casi, trasmettono tali informazioni ad un computer remoto.
Spesso i keylogger software sono trasportati e installati nel computer da worm o trojan
ricevuti tramite Internet e hanno in genere lo scopo di intercettare password e numeri di
carte di credito e inviarle tramite posta elettronica al creatore degli stessi.
Poiché esistono alcuni tipi di keylogger non intercettabili, per evitare di essere monitorati si
può utilizzare la "tastiera su schermo" presente in tutte le distribuzioni Linux, Mac OS/Mac
OS X, Windows XP/Vista e successivi tra le risorse per l'accessibilità o distribuita da alcuni
antivirus come Kaspersky.
Dott. Giampaolo Franco - Security Awareness
31
120. Rogue antispyware
Rogue antispyware
Con il termine rogue antispyware vengono generalmente definiti tutti quei
malware che si "mascherano" come innocui programmi antispyware. Sono
spesso reperibili gratuitamente e il loro obiettivo principale è quello di spingere
l'utente ad acquistare una versione completa del programma in questione,
sostenendo che nel computer siano presenti molteplici minacce informatiche.
Spesso questi programmi sono difficili da rimuovere dal PC.
Questi malware, per spingere l'utente ad acquistare una versione completa,
eseguono finte scansioni del PC che trovano moltissimi malware nel computer
(falsi risultati).
Molti programmi vengono scaricati intenzionalmente dall'utente, perché
offrono un servizio di online scanner fasullo. Dirottano il browser sostenendo
che ciò è stato fatto per motivi di sicurezza. Fanno comparire fastidiose finestre
popup che allarmano l'utente affermando che il computer è a rischio.
Inoltre i rogue antispyware provocano sul sistema operativo colpito un calo
delle prestazioni, maggior utilizzo della connessione ad internet, installazione di
altri malware, installazione di backdoor, interferiscono con le indagini sui motori
di ricerca e con la normale navigazione su internet, affermando che le pagine
visualizzate contengano malware.
Dott. Giampaolo Franco - Security Awareness
32
121. Bomba logica
Bomba logica
In informatica una bomba logica (o logic bomb in inglese) è un tipo di
malware che consiste in una porzione di codice inserito in un
programma apparentemente innocuo, la quale resta latente fino al
verificarsi di particolari condizioni che "attivano la bomba": ad esempio
in un programma di gestione di un database una bomba logica può
attivarsi al raggiungimento di un certo numero di record salvati oppure
quando viene cancellato un preciso dato. Una bomba logica, una volta
attivata, può svolgere diverse operazioni atte ad arrecare danno, ad
esempio modificare o cancellare file, bloccare il sistema o cancellare
l'intero contenuto di un disco.
Software dannosi per i computer quali i virus ed i worm possono a loro
volta contenere delle bombe logiche che eseguono delle operazioni
predeterminate in particolari giorni.
Per essere considerata tale una bomba logica deve essere ignota
all'utilizzatore del sistema.
Dott. Giampaolo Franco - Security Awareness
33
122. Come evitare i malware
•
Utilizzare un software antivirus.
•
Cautele nell’utilizzo dei supporti di memorizzazione.
•
Accortezze nell’utilizzo della posta elettronica: non aprire links ed
eseguire allegati di posta elettronica provenienti da mittenti
sconosciuti.
•
Non installare software di cui non si conosce la provenienza .
•
Adottare regole comportamentali per l’utilizzo degli strumenti
informatici: policy di sicurezza.
Dott. Giampaolo Franco - Security Awareness
34
123. Esercizio
In riferimento alle tipologie di malware trattate, indicare in una tabella sulla
lavagna quali asset possono essere coinvolti evidenziando le problematiche
relative alla confidenzialità, integrità e disponibilità.
Dott. Giampaolo Franco - Security Awareness
35
126. Scuolaconsapevole
Portale di security e privacy per la scuola:
https://sites.google.com/site/scuolaconsapevole/
Per rimanere in contatto:
Forum (eventuali domande vanno inoltrate tramite questo gruppo)
Area formazione – Corso Security Awareness (materiale del corso)
Email docente: giampaolo.tn@gmail.com
Dott. Giampaolo Franco - Security Awareness
2
127. Elenco degli argomenti
PARTE 1
• Furto dell’identità digitale
• Hacking delle password
• Rendere la password più sicura
• Ingegneria sociale
• Spamming
PARTE 2
• Phishing
• Accorgimenti
• Policy di sicurezza
Dott. Giampaolo Franco – Security Awareness
3
128. Furto dell’identità digitale
Decreto-legge 14 agosto 2013, n. 93: “Disposizioni urgenti in
materia di sicurezza e per il contrasto della violenza di genere,
nonché in tema di protezione civile e di commissariamento delle
province” (13G00141) (GU n.191 del 16-8-2013 ).
Entrata in vigore del provvedimento: 17/08/2013
Le modalità previste della frode informatica sono due:
•
•
alterazione del funzionamento del sistema;
intervento abusivo su dati e programmi.
Circostanza aggravante: il reato è commesso con sostituzione
dell'identità digitale in danno di uno o più soggetti. In questo caso
scatta la punibilità d'ufficio.
E’ punita con la reclusione da due a sei anni e con la multa da euro
600 ad euro 3.000. Inoltre la procedibilità scatta d'ufficio, senza
necessità di querela di parte: basta una denuncia, senza aspettare
che il truffato si rivolga all'autorità giudiziaria chiedendo la
punizione del colpevole. Potrà inoltre presentare denuncia anche il
soggetto sostituito.
Dott. Giampaolo Franco - Security Awareness
4
129. Tecniche di hacking delle password
Oltre a svariate possibilità manuali (indagini, tentativi di accesso
manuali, post-it, lettura dalla rubrica del cellulare, etc…) si
sfruttano potenti strumenti informatici. In linea teorica l’attacco
ad una password tramite questi strumenti ha sempre successo:
dipende dal tempo e dalle risorse impiegate. Può essere avvenire
con le seguenti tecniche:
Dizionario (Dictionary list)
Forza bruta (Brute force, Rainbow tables)
Intercettazione (Eavesdropping)
La nostra password è sicura?
http://passcodes.org/passcodes/brute-force-attack-calculator/
http://passcodes.org/passcodes/passcode-strength-analyzer/
Dott. Giampaolo Franco - Security Awareness
5
130. Possedere una password sicura non è ancora sufficiente
All’interno di una rete, quando si effettua il processo di autenticazione ad un servizio via
internet e tramite il browser, occorre prestare molta attenzione che la trasmissione sia
crittografata. Ulteriore attenzione se la rete è wi-fi.
http://
TRASMISSIONE NON CRITTOGRAFATA: PASSWORD TRANSITA «IN CHIARO»
https://
TRASMISSIONE CRITTOGRAFATA: LA PASSWORD NON E’ RICONOSCIBILE
NB: In quest’ultimo caso occorre verificare che la fonte con cui stiamo comunicando sia
certificata.
Sul browser, oltre all’indirizzo espresso in forma https:// deve apparire l’icona del lucchetto.
https + certificato = comunicazione sicura e certificata
Cliccando sul lucchetto ci sono le informazioni sul certificato.
Dott. Giampaolo Franco - Security Awareness
6
131. Rendere la password più sicura
Perché devo avere una password sicura? perché devo
cambiarla frequentemente? ogni quanto devo farlo?
Normalmente all’incaricato sono affidate delle
credenziali di autenticazione differenti per ogni
trattamento dati.
Codice per la protezione dei dati personali - Allegato B
Punto 5. La parola chiave, quando è prevista dal
sistema di autenticazione, è composta da almeno otto
caratteri oppure, nel caso in cui lo strumento
elettronico non lo permetta, da un numero di caratteri
pari al massimo consentito; essa non contiene
riferimenti agevolmente riconducibili all'incaricato ed è
modificata da quest'ultimo al primo utilizzo e,
successivamente, almeno ogni sei mesi. In caso di
trattamento di dati sensibili e di dati giudiziari la parola
chiave è modificata almeno ogni tre mesi.
Dott. Giampaolo Franco - Security Awareness
7
132. Composizione della password
Per essere ‘buona’, una password deve essere facile da ricordare ma difficile da indovinare o
da violare con strumenti software. Una buona password è univoca e complessa.
Ecco alcune regole da rispettare per creare e mantenere password efficaci:
•
•
•
•
•
•
•
•
•
utilizza una combinazione di lettere maiuscole e minuscole, simboli e numeri;
assicurati che le tue password siano lunghe almeno otto caratteri. Tanto maggiore è il
numero di caratteri che compongono le password, tanto più difficile è indovinarle;
cerca di creare password senza alcun significato e quanto più possibile casuali;
crea password diverse per ogni account;
cambia le password regolarmente;
non utilizzare nomi o numeri associati alla tua persona, quali una data di nascita o un
soprannome;
non utilizzare il tuo nome o il nome di accesso in alcuna forma;
non utilizzare una parola derivata dal nome, il nome di un componente della famiglia o di
un animale domestico;
evita l'utilizzo di una singola parola in qualsiasi altra lingua. Per violare questi tipi di
password gli hacker si avvalgono di strumenti basati su dizionari.
Dott. Giampaolo Franco – Security Awareness
8
133. Composizione della password
•
•
•
Non utilizzare ‘123456’ nè la parola "password" .
Non rispondere affermativamente alla richiesta di salvare la password sul browser di un
altro computer. Affidati invece a una password efficace ricordata a memoria o memorizzata
in un programma per la gestione delle password affidabile. Alcuni antivirus memorizzano le
password in modo sicuro e le compilano online in forma crittografata.
Non trascrivere mai le password e non comunicarle mai ad altri.
Password migliori
• Incomincia creando una frase password che personalizzerai per ogni sito Web che utilizzi.
Ad esempio, una frase possibile potrebbe essere "Ricordi tre somari e tre briganti". Quindi,
convertila in un'abbreviazione utilizzando le prime lettere di ogni parola e cambia il "tre"
nel numero "3". Si otterrà la seguente frase password base: r3se3b. Infine, metti la prima e
l'ultima lettera del sito Web utilizzato nella nuova frase password. Ad esempio, se vuoi
creare una password per Symantec.com, Sr3se3bc è la tua nuova, esclusiva e complessa
password Symantec!
Dott. Giampaolo Franco – Security Awareness
9
134. Ingegneria sociale
L'ingegneria sociale (in inglese social engineering) è lo studio del comportamento individuale
di una persona al fine di carpire informazioni utili.
Per un hacker a volte risulta impossibile attaccare un sistema informatico: l'unico modo per
procurarsi le informazioni di cui necessita è quello di attuare un attacco di ingegneria sociale.
Un ingegnere sociale (social engineer) per definirsi tale deve saper fingere, sapere ingannare
gli altri, in una parola: saper mentire.
Un social engineer è molto bravo a nascondere la propria identità: in tal modo riesce a ricavare
informazioni che non potrebbe mai carpire con la sua identità reale.
Il social engineering è una tecnica molto usata dagli hacker esperti e dalle spie e dato che
comporta, nella fase dell'attacco, il rapporto più diretto con la vittima, è una delle più
importanti tecniche per ottenere informazioni.
Dott. Giampaolo Franco - Security Awareness
10
135. Ingegneria sociale
Il social engineer comincia con il raccogliere informazioni sulla vittima (es. Facebook) per poi arrivare
all'attacco vero e proprio. Durante la prima fase (che può richiedere anche alcune settimane di analisi),
l'ingegnere cercherà di ricavare tutte le informazioni di cui necessita sul suo bersaglio: e-mail, recapiti
telefonici, ecc. Superata questa fase, detta footprinting, l'ingegnere passerà alla fase successiva, cioè quella
che gli permetterà di verificare se le informazioni che ha ricavato sono più o meno attendibili, anche
telefonando all'azienda del bersaglio e chiedendo cortesemente di parlare con la vittima. La fase più
importante, quella che determinerà il successo dell'attacco, è lo studio dello stile vocale della persona per la
quale vuole spacciarsi (ad esempio cercando di evitare in tutti i modi l'utilizzo di espressioni dialettali e
cercando di essere quanto più naturale possibile, sempre utilizzando un tono neutro e cortese). In questa
fase l'attaccante avrà sempre vicino a sé i propri appunti con tutte le informazioni raccolte nella fase di
footprinting, dimostrandosi pertanto sicuro nel caso gli venisse posta qualche domanda.
Molto spesso il social engineering viene utilizzato per ricavare informazioni su privati (phishing). Un
esempio di azione di questo genere può essere una falsa e-mail mandata da un aspirante ingegnere sociale,
fingendosi magari un amministratore di sistema o un membro di qualche grosso ente. Vengono richiesti al
malcapitato di turno nome utente e password di un suo account, ad esempio quello di posta elettronica,
con la scusa di fare dei controlli sul database dell'azienda. Se la vittima cade nel tranello, il social engineer
avrà ottenuto il suo obiettivo, ossia una breccia nel sistema della vittima, da cui potrà iniziare una fase di
sperimentazione allo scopo di violare il sistema stesso.
(Tratto da Wikipedia)
Dott. Giampaolo Franco - Security Awareness
11
136. Spamming
Lo spamming, detto anche fare spam o spammare, è l'invio di
messaggi indesiderati (generalmente commerciali). Può
essere attuato attraverso qualunque sistema di
comunicazione, ma il più usato è Internet, attraverso
messaggi di posta elettronica, chat e forum.
Il principale scopo dello spamming è la pubblicità, il cui
oggetto può andare dalle più comuni offerte commerciali a
proposte di vendita di materiale pornografico o illegale,
come software pirata e farmaci senza prescrizione medica,
da discutibili progetti finanziari a veri e propri tentativi di
truffa. Uno spammer, cioè l'individuo autore dei messaggi
spam, invia messaggi identici (o con qualche
personalizzazione) a migliaia di indirizzi e-mail. Questi
indirizzi sono spesso raccolti in maniera automatica dalla
rete (articoli di Usenet, pagine web) mediante spambot ed
appositi programmi, ottenuti da database o semplicemente
indovinati usando liste di nomi comuni.
Per definizione lo spam viene inviato senza il permesso del
destinatario ed è un comportamento ampiamente
considerato inaccettabile dagli Internet Service Provider (ISP)
e dalla maggior parte degli utenti di Internet. Mentre questi
ultimi trovano lo spam fastidioso e con contenuti spesso
offensivi, gli ISP vi si oppongono anche per i costi del traffico
generato dall'invio indiscriminato.
Dott. Giampaolo Franco - Security Awareness
12
137. FINE DELLA PRIMA PARTE
Dott. Giampaolo Franco - Security Awareness
13
138. Phishing
Il phishing è un tipo di truffa via Internet, attraverso
la quale un aggressore cerca di ingannare la vittima
convincendola a fornire informazioni personali
sensibili.
Si tratta di una attività illegale che sfrutta una
tecnica di ingegneria sociale: attraverso l'invio
casuale di messaggi di posta elettronica che imitano
la grafica di siti bancari o postali, un malintenzionato
cerca di ottenere dalle vittime la password di
accesso al conto corrente, le password che
autorizzano i pagamenti oppure il numero della carta
di credito. Tale truffa può essere realizzata anche
mediante contatti telefonici o con l'invio di SMS.
Dott. Giampaolo Franco - Security Awareness
14
139. Phishing
Il malintenzionato (phisher) spedisce al malcapitato e ignaro utente un messaggio email che
simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per
esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
L'email contiene quasi sempre avvisi di particolari situazioni o problemi verificatisi con il
proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account,
ecc.) oppure un'offerta di denaro.
L'email invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito
e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la
grafica e l'impostazione (Fake login).
Il link fornito, in realtà, non porta al sito web ufficiale, ma a una copia fittizia
apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo
scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la
scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste
informazioni vengono memorizzate dal server gestito dal phisher e quindi acquisite dal
malintenzionato.
Dott. Giampaolo Franco - Security Awareness
15
140. Phishing
Il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo
come "ponte" per ulteriori attacchi. Talora l'email contiene l'invito a cogliere una nuova
"opportunità di lavoro" quale operatore finanziario o financial manager: occorre
semplicemente fornire le proprie coordinate bancarie per ricevere l'accredito di somme di
denaro da ritrasferire successivamente all'estero tramite sistemi di money trasfert (Western
Union o Money Gram), trattenendo una elevata percentuale dell'importo.
In realtà si tratta di denaro rubato con il phishing: il titolare del conto online beneficiario,
spesso in buona fede, commette così il reato di riciclaggio di denaro sporco.
Quest'attività comporta per il phisher la perdita di una certa percentuale di quanto è
riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro sottratto in
molti conti correnti e a fare ritrasferimenti in differenti Paesi, perché così diviene più difficile
risalire alla identità del criminale informatico e ricostruire compiutamente il meccanismo
illecito. Peraltro, se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei
movimenti bancari si allungano, poiché spesso serve una rogatoria e l'apertura di un
procedimento presso la magistratura locale di ogni Paese interessato.
Dott. Giampaolo Franco - Security Awareness
16
141. Accorgimenti
Garantire sempre le caratteristiche di sicurezza alla password.
Effettuare il cambio della password periodicamente.
Effettuare il login solo tramite un sito sicuro (https con
certificato): le credenziali possono essere catturate o
intercettate.
La posta elettronica non garantisce la reale identità del
mittente: attenzione allo spamming ed al phishing.
Evitare di fornire informazioni a sconosciuti. Tenere la scrivania
pulita (clean desk policy). Attenzioni alle stampanti
multifunzione. Non dimenticare di adottare gli accorgimenti di
sicurezza anche sul cartaceo.
Accertarsi della reale identità dei contatti, ricontattandoli
telefonicamente o con altri mezzi di comunicazione.
Attenersi sempre alle normative sulla privacy ed alle regole di
utilizzo degli strumenti impartite dall’Istituto.
Dott. Giampaolo Franco - Security Awareness
17
142. Misure idonee
•
Organizzazione in un’ottica orientata ai servizi. Ogni servizio
può essere ricondotto ad un trattamento.
•
Registro dei trattamenti (Nome del trattamento, descrizione,
Responsabile, Amministratore di Sistema, incaricati, funzioni
di reportistica, elenco incaricati abilitati/disattivati, audit).
•
Gestione delle richieste relative ai trattamenti (abilitazioni,
reset password, disattivazioni, implementazioni).
•
Linee guida, obiettivi d’Istituto in termini di sicurezza e
privacy.
•
Policy di sicurezza: politiche di sicurezza per l’utilizzo delle
risorse secondo la normativa vigente ed il regolamento
d’Istituto.
Dott. Giampaolo Franco - Security Awareness
18