MISURE DI SICUREZZA ICT PER LE PA E PROTEZIONE DEI DATI

Aspetti Tecnici

​

Dott. Edoardo Limone

Agenda

• Analisi dei rischi e misure di sicurezza per la protezione dei dati personali nella prospettiva del GDPR

​

• Gli standard di protezione dei dati nella gestione informatica dei documenti

​

• Misure minime di sicurezza ICT per le pubbliche amministrazioni: la Circolare AgID 2/2017

Rischio e Sicurezza

I concetti base della sicurezza informatica

3

Rischio e Sicurezza

• Rischio: "Eventualità di subire un danno connessa a circostanze più o meno prevedibili" – Treccani

​

• Sicurezza: "La condizione che […] dà la possibilità di prevenire, eliminare o rendere meno gravi danni, rischi…" – Treccani

​

​

• La sicurezza è uno stato transitorio che deve essere mantenuto.
• La sicurezza informatica non è una questione di mera tecnica, non si conquista esclusivamente con un apparato hardware o un applicativo.
• Il GDPR sollecita l'utente ad una presa di coscienza dei rischi e, di conseguenza, delle contromisure necessarie per mitigarle.
• La mitigazione non è l'esclusione dei rischi ma una forte riduzione.

Rischio e Sicurezza

• La sicurezza informatica è composta da aspetti organizzativi e aspetti di natura tecnico-operativa.
• Lo sbilanciamento di una delle due parti comporta una perdita di equilibrio fondamentale per l'armonia dell'ecosistema informatico.
• Conoscere il proprio ecosistema significa individuare le potenziali minacce.

Rischio e Sicurezza

• Il principio di accountability prevede che vi sia sempre un responsabile
• Il responsabile deve essere consapevole di ogni aspetto della sua attività, ivi inclusi i rischi
• Sulla base di questa consapevolezza il responsabile deve progettare e formalizzare delle procedure
• L'attuazione di queste procedure interessa apparati di cui bisogna garantire la sicurezza

Misure di sicurezza

• Il GDPR pretende che l'organizzazione sia consapevole dei rischi
• Che siano contrapposte contromisure adeguate atte a contrastare i rischi
• Le contromisure sono di tipo logico e di tipo fisico
• Analisi rischio e DPIA sono due documenti importanti:
• DPIA: quando ci sono trattamenti con dati particolari o che permettono la profilatura dell'utente. È comunque una buona prassi.
• Analisi del rischio: più generica e orientata all'intero ecosistema informatico. Non è un obbligo ma è molto utile.
• Il rischio ha natura COLPOSA o DOLOSA
• Necessario indicare anche un valore di rischiosità
• Assente
• Basso
• Moderato
• Severo
• Elevato

Un sistema antincendio "estingue" il rischio d'incendio? O lo mitiga?

Data breach…

Il GDPR dice

​

"In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza"

​

Domanda

Se non riguarda i dati personali si può parlare comunque di data breach?

​

Data Breach: che cosa è…

• È una violazione di sicurezza

​

• È un evento regolamento sia dal GDPR che dall'art. 615-ter del c.p. "Accesso abusivo a sistema informatico"

​

• L'obiettivo sono i dati, non tanto i sistemi

​

• Può creare indisponibilità del dato e/o dei sistemi

​

• Finalità:
• alterazione dei dati
• vendita delle informazioni

​

• Hanno origine dall'esterno ma anche dall'interno

​

• Domanda: e se un sistema non venisse adeguatamente protetto e accadesse un evento colposo?

Data Breach: che cosa è…

• IL GARANTE DICE: una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

​

• Alcuni esempi:
• l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
• il furto o la perdita di dispositivi informatici contenenti dati personali;
• la deliberata alterazione di dati personali;
• l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
• la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
• la divulgazione non autorizzata dei dati personali.

​

​

https://www.garanteprivacy.it/regolamentoue/databreach

​

Data Breach: un esempio

• Il RANSOMWARE è un virus che ha lo scopo di rendere inaccessibili i file.
• La finalità è la richiesta di riscatto all'organizzazione infettata.
• L'azione viene eseguita mediante crittazione e/o cancellazione.
• La soluzione si trova nella corretta gestione dei backup.

​

• Anche la perdita di documenti cartacei può essere un data breach.

Misure di sicurezza LOGICHE

• Sono intangibili e riguardano spesso la configurazione di server ed apparati.
• Proteggono spesso "la parte interna" dell'ecosistema informatico.

​

• CONTROLLO ACCESSI: la capacità di garantire l'accesso ai dati solo agli autorizzati.
• SEGMENTAZIONE DEL DATO: la capacità di garantire accessi segmentati agli aventi diritto.
• TRACCIABILITÁ DEL DATO: inteso come il sistema che monitora "chi" accede "a cosa" per fare "cosa"
• CIFRATURA: mezzo caldeggiato anche dal GDPR per proteggere i dati attraverso l'occultamento degli stessi in stringhe illeggibili.
• Cifratura logica: si cifra esclusivamente il singolo file, magari per l'invio mediante posta elettronica.
• Cifratura fisica (FDE): si cifra l'intero disco per evitare il furto dello stesso.

Misure di sicurezza FISICHE

• Sono tangibili e visibili, spesso integrate nelle contromisure logiche.
• Proteggono spesso "la parte esterna" dell'ecosistema informatico.

​

• ALLARME ANTI-INTRUSIONE O ANTI-INCENDIO
• VIDEOSORVEGLIANZA
• GUARDIANIA
• PORTA BLINDATA
• ACCESSO MEDIANTE SMART-CARD
• ARMADI CON CHIUSURA A CHIAVE

Un piccolo esempio

FURTO APPARATI INFORMATICI

CONTROMISURE LOGICHE

​

• CIFRATURA DISCO (FDE)
• SEGMENTAZIONE DATI
• BACKUP IN SEDE REMOTA

​

CONTROMISURE FISICHE

​

• VIDEOSORVEGLIANZA
• CONTROLLO ACCESSI
• GUARDIANIA
• PORTA BLINDATA
• ALLARME

Individuare il rischio è importante: FURTO APPARATI O PERDITA DEI DATI ?

Gli standard di protezione dei dati nella gestione informatica dei documenti

Linee Guida Documento Informatico

15

Cosa dice AgID ?

• Risulta decisivo avvalersi di un valido e completo manuale di gestione documentale, di workflow documentali e sistemi di Document & Content Management e di applicativi informatici […] che si basino su elevati livelli di automazione ed interoperabilità in grado di operare nel web.

​

• Prediligere: qualità, efficienza, razionalità, sistematicità, accessibilità, coerenza

16

Documenti: standard di protezione

ALLEGATO 1

Glossario

ALLEGATO 2

Formati di File

e

Riversamento

ALLEGATO 3

Certificazione

di

Processo

ALLEGATO 4

Standard

e�specifiche tecniche

ALLEGATO 5

Metadati

ALLEGATO 6

Comunicazione tra

Aree Organizzative Omogenee

di

Documenti

Amministrativi Protocollati

Linee Guida sulla formazione, gestione e conservazione dei documenti informatici

⚠️ Pubblicato il nuovo testo dell’Allegato 5 e dell’Allegato 6 alle Linee guida su formazione, gestione e conservazione dei documenti informatici e posticipato al 1° gennaio 2022 l’obbligo di attuazione (con proroga inserita nella determinazione n. 371/2021 del 17 maggio 2021)

Come si crea un documento?

1. Creazione tramite l’utilizzo di strumenti software o servizi cloud qualificati che assicurino la produzione di documenti nei formati e nel rispetto delle regole di interoperabilità;
2. Acquisizione di un documento informatico per via telematica o su supporto informatico, acquisizione della copia per immagine su supporto informatico di un documento analogico, acquisizione della copia informatica di un documento analogico;
3. Memorizzazione su supporto informatico in formato digitale delle informazioni risultanti da transazioni o processi informatici o dalla presentazione telematica di dati attraverso moduli o formulari resi disponibili all’utente;
4. Generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni, provenienti da una o più banche dati, anche appartenenti a più soggetti interoperanti, secondo una struttura logica predeterminata e memorizzata in forma statica.

Allegato 2: quale formato scegliere?

E il documento analogico?

• "La copia per immagine su supporto informatico di un documento analogico è prodotta mediante processi e strumenti che assicurino che il documento informatico abbia contenuto e forma identici a quelli del documento analogico da cui è tratto, previo raffronto dei documenti o, nel caso di esigenze di dematerializzazione massiva di documenti analogici, attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza della forma e del contenuto dell’originale e della copia."
• Un pubblico ufficiale dovrebbe garantire il processo ma…"nel caso in cui non vi è l’attestazione di un pubblico ufficiale, la conformità della copia per immagine ad un documento analogico è garantita mediante l’apposizione della firma digitale o firma elettronica qualificata o firma elettronica avanzata o altro tipo di firma ai sensi dell’art. 20 comma 1bis, ovvero del sigillo elettronico qualificato o avanzato da parte di chi effettua il raffronto."

La dematerializzazione

• È un processo subordinato ad un'attestazione di conformità o rapporto di verificazione.
• Allegato 03 (pg 09-10) vengono elencati i criteri per la verifica di conformità
• È un processo da non sottovalutare per complessità e rischi.

La dematerializzazione

Allegato 4: quale standard scegliere?

• Uno standard è un modello di riferimento: lo standard può essere de facto o de iure e può fare riferimento ad aspetti tanto tecnologici quanto procedurali.
• Standard procedurali per: la gestione documentale, conservazione digitale, affidabilità, sicurezza informatica

Misure minime di sicurezza per la P.A.

Cosa sono e come funzionano

24

Circolare AgID 2/2017

25

DOVERE:

Ciò che si è obbligati a fare dalla religione, dalla morale, dalle leggi, dalla ragione, dallo stato sociale (Treccani)

Misure Minime di sicurezza per la P.A.

• Hanno origine dal Critical Security Control (CSC) da cui è nato l'AgID Basic Security Controls (ABSC)
• Si basano su 3 livelli di attuazione:
• Minimo: è quello al quale ogni Pubblica Amministrazione deve necessariamente essere o rendersi conforme
• Standard: è il livello, superiore al livello minimo che ogni amministrazione deve considerare come base di riferimento in termini di sicurezza.
• Avanzato: deve essere adottato dalle organizzazioni maggiormente esposte a rischi ma anche visto come obiettivo di miglioramento da parte di tutte le altre organizzazioni.
• Forniscono un riferimento operativo direttamente utilizzabile (checklist);
• Stabiliscono una base comune di misure tecniche ed organizzative irrinunciabili;
• Forniscono uno strumento utile a verificare lo stato di protezione contro le minacce informatiche;
• Responsabilizzano le Amministrazioni sulla protezione cibernetica.

27

• Le misure minime sono in esercizio dal 31 dicembre 2017

​

• Richiamano un framework della sicurezza più ampio (FNSC)

​

• Sono quindi agganciati al perimetro di sicurezza cibernetica nazionale

Misure Minime di sicurezza per la P.A.

Reale implementazione

• Problematiche di implementazione derivate da:
• Scarsa conoscenza del proprio comparto ICT
• Assenza di procedure scritte e formalizzate
• Difficoltà di organizzazione interna
• Rapporti poco definiti con fornitori esterni di servizi ICT

​

• Per implementare è necessario:
• Identificare processi
• Razionalizzarli
• Ufficializzarli attraverso nomine e documentazione
• Monitorare i servizi
• Applicare il principio di accountability

Grazie per l'attenzione

Edoardo Limone

edoardo@edoardolimone.com

Comune di Genova

30