Sicurezza informatica

La formazione dei dipendenti riveste un ruolo fondamentale per la sicurezza informatica in azienda, dato che l’anello debole della catena è l’errore umano. Occorre evitare che nell’organizzazione ci sia “Dave”.

L’avvento dell’informatica e, in particolare, di Internet e dei suoi servizi, ha radicalmente cambiato il modo di lavorare di ogni azienda, di ogni istituzione, di ogni professionista, e sta lentamente modificando anche le abitudini delle persone normali.

Ormai, in ogni azienda, ufficio o studio che sia, è presente almeno un personal computer collegato ad Internet. Perfino nelle abitazioni, gli elaboratori elettronici e i siti web fanno prepotentemente parte della vita quotidiana, al pari della lavatrice, della televisione e dell’impianto stereo.

Contrariamente a questi ultimi elettrodomestici, tuttavia, l’uso del personal computer può creare seri problemi, per le intrinseche potenzialità connesse alla sua versatilità.

Come qualsiasi vettura sportiva può rivelarsi pericolosa per il neo patentato o per il guidatore scellerato, così il personal computer collegato ad Internet può essere fonte di guai, qualora venga utilizzato senza la necessaria consapevolezza o con superficialità.

Da quando le reti telematiche, Internet in primis, consentono di collegarsi con ogni angolo del pianeta, il p.c. è diventato, da semplice strumento di lavoro, vera e propria finestra sul mondo, con possibilità di scambiare dati, comunicare, effettuare transazioni, ecc.

Non a caso, i paesi industrializzati stanno da tempo portando avanti diversi progetti per garantire affidabilità e sicurezza ai sistemi di interconnessione e alle transazioni, in modo da poter sviluppare, accanto al mondo reale, un ambiente virtuale in cui muoversi agevolmente e velocemente per l’esecuzione di operazioni che, diversamente, richiederebbero viaggi, tempo e denaro.

Proprio tale globalizzazione, tuttavia, ha generato i primi problemi in un mondo assolutamente immateriale, in cui tutto può essere più o meno effimero se non si hanno a disposizione gli strumenti adatti al tipo di operazione che si sta compiendo.

Ed infatti, uno dei fenomeni criminali più diffusi è la sottrazione di dati a fini fraudolenti, da parte di chi sa utilizzare gli strumenti tecnologici disponibili, in danno di quanti, invece, non hanno neppure la cultura informatica necessaria ad approntare almeno una rudimentale forma di difesa.

Eppure, nonostante l’allarmismo dei mass-media, sempre pronti a sbattere in prima pagina la notizia di qualunque crimine perpetrato a mezzo Internet, il vero pericolo, per aziende ed istituzioni, viene dall’interno, dalla loro stessa organizzazione.

E’ quanto emerge dal rapporto annuale sulla criminalità informatica del Computer Security Institute di S. Francisco, istituzione collegata al FBI Statunitense, che, da sei anni, grazie ad un questionario anonimo, inviato ad un campione di circa seicento aziende ed istituzioni, pubbliche e private, redige tale documento basandosi sui dati raccolti.

Secondo il CSI, oltre il 60% delle aziende che hanno riferito di aver subito attacchi informatici o danni conseguenti ad un crimine informatico, sono state vittima di un dipendente infedele o di un collaboratore che ha abusato della posizione rivestita all’interno dell’organizzazione aziendale.

Solo un più modesto 40% di problemi può essere effettivamente attribuito ad aggressioni provenienti dall’esterno, dalle quali, ovviamente, va ulteriormente detratto il numero di quelle non andate a buon fine e di quelle comunque perpetrate grazie a qualcuno che le ha favorite dall’interno.

Non è assolutamente da scartare, infatti, l’ipotesi del dipendente frustrato, insoddisfatto o semplicemente corrotto che agevola la commissione di un reato ai danni dell’azienda o lo commette direttamente, approfittando, per l’appunto della fiducia di cui gode.

E non è da sottovalutare neppure l’operato di quanti, per mera negligenza o per incapacità, vanificano l’attività di chi quotidianamente si adopera per il miglioramento dei sistemi informativi aziendali e delle misure di sicurezza ad essi applicate. E’ sufficiente, ad esempio, il classico foglietto giallo attaccato al monitor o sotto la tastiera, sul quale sono solitamente annotate User Id e Password per l’accesso alla rete o al computer, per vanificare qualsiasi misura di sicurezza interna.

Al tempo stesso, la disattivazione accidentale o volontaria dell’antivirus, piuttosto che l’attivazione di un modem non autorizzato, innalzano notevolmente il rischio che un attacco o semplicemente un danneggiamento vadano a buon fine.

Proprio alla luce di tali riscontri, non solo del CSI, il Legislatore Italiano ha da tempo concentrato la propria attenzione sulla sicurezza e sulla prevenzione, responsabilizzando, in particolare, i soggetti preposti all’adozione delle misure di sicurezza poste a protezione dei sistemi informativi loro affidati e chiunque rivesta la qualità di operatore di sistema, dal semplice impiegato all’amministratore, attraverso gradi crescenti di responsabilità.

Il primo timido approccio al problema fu garantito dal pur inesperto estensore della Legge 547/1993, nota come “Legge sui crimini informatici”, che, nel modificare ed integrare il codice penale con diverse fattispecie di reato aventi ad oggetto le nuove tecnologie, già evidenziava la necessità di dotare i sistemi informatici e telematici di misure di sicurezza.

In tal senso, infatti, l’art. 615 ter c.p., posto a tutela del domicilio informatico, al comma 1 recita “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”.

E’ quindi evidente l’intento del Legislatore di garantire protezione ai soli sistemi informatici protetti, nei quali sia palese l’intenzione del titolare di limitare l’accesso ai soli utenti autorizzati.

Con Sentenza n. 3067 del 14.12.1999 la Suprema Corte di Cassazione ha chiarito che “Con la previsione dell’art. 615-ter cod. pen., introdotto a seguito della legge 23 dicembre 1993 n. 547, il legislatore ha assicurato la protezione del “domicilio informatico” quale spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, ad esso estendendo la tutela della riservatezza della sfera individuale, quale bene anche costituzionalmente protetto”

Con la stessa decisione, la Corte ha chiarito anche che la norma non accorda tutela ai soli contenuti personalissimi dei dati raccolti nei sistemi informatici protetti, ma offre invece una protezione più ampia che si concreta nello “ius excludendi alios”, indipendentemente dal contenuto dei dati custoditi.

Risulta evidente, dalla motivazione, la necessità di manifestare chiaramente l’intenzione di limitare l’accesso ai soli utenti autorizzati mentre non v’è distinzione tra i dati di pertinenza della persona fisica rispetto a quelli della persona giuridica, pubblica o privata.

Un particolare peso, inoltre, viene dato all’attività dell’operatore di sistema, considerato, a ragione, un soggetto “a rischio”, poiché appare di tutta evidenza come la funzione svolta in seno all’organizzazione aziendale gli consenta di abusare della sua posizione per fini criminali.

Per questi motivi il Legislatore ha inteso inasprire le pene previste dall’ordinamento nel caso in cui sia questa figura a compiere un qualsiasi reato informatico.

Ed infatti, l’aggravante di aver compiuto il fatto abusando della qualità di operatore di sistema si rinviene in ogni fattispecie introdotta dalla legge sui reati informatici, in palese accostamento con la posizione del pubblico ufficiale, circostanza dalla quale può comprendersi la rilevanza data a tale figura.

L’esigenza di sicurezza dei sistemi informatici e la necessità di responsabilizzare soprattutto chi è preposto alla loro protezione sono ribadite anche dall’art. 15 della Legge 31.12.1996, n. 675, emanata a tutela della riservatezza dei dati personali (meglio conosciuta come “Legge sulla Privacy”), che, al comma 1, dispone che “I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.

A distanza di soli tre anni dalla promulgazione della legge sui crimini informatici, quindi, c’è un’ulteriore presa di posizione del Legislatore, un nuovo segnale molto forte, che, in relazione al trattamento di dati personali, reputato critico per la tutela dell’individuo rispetto all’abuso da parte di terzi, individua un preciso onere a carico di chiunque effettui detto trattamento, consistente nella predisposizione di idonee misure di sicurezza.

E’ quindi evidente la presa di coscienza, da parte dell’estensore della norma, di quanto sia importante, in questo settore, agire in via preventiva, e di quanto invece sia inutile il solo atteggiamento repressivo, che – appare di tutta evidenza, data l’importanza e la delicatezza del bene giuridico tutelato – non otterrebbe altro effetto che quello di “chiudere la stalla quando i buoi sono scappati”.

Del resto, l’esigenza di tutelare la riservatezza dei dati personali è palese se solo si riflette su quanti controlli e schedature ciascun individuo subisce ogni giorno senza accorgersene o senza valutare attentamente il problema. Chiunque abbia in tasca un telefono cellulare utilizza probabilmente anche bancomat e carta di credito ed esalta la comodità del telepass o della viacard.

Qualcun altro naviga in Internet, fruisce degli sconti riconosciuti da vari supermercati ai possessori di talune “consumer cards” e mette benzina solo nel distributore che memorizza punti, ad ogni rifornimento, su una carta a microprocessore che consentirà successivamente di ricevere premi o buoni benzina.

I decoder che consentono la ricezione dei programmi televisivi ad accesso condizionato (quelli ancora dotati di smart card “normale”) sono collegati alla rete telefonica per scambiare dati con la sede della Rete Televisiva e abilitare la visione di determinati film grazie all’opzione “pay per view”.

Questi privilegi tecnologici, alla indiscutibile comodità associano, tuttavia, la possibilità di monitorare le abitudini e di controllare le attività dei relativi titolari. Giorno per giorno, momento per momento.

Chiunque ha accesso ai dati raccolti tramite questi apparati è in grado di incrociarli ed elaborarli, per trarne numerose informazioni. Ad una quantità maggiore di dati gestiti corrisponderà una maggiore attendibilità del profilo tracciato.

Una Compagnia di assicurazioni, ad esempio, potrebbe essere interessata a tali dati per valutare la polizza vita di un soggetto e regolare il premio o, addirittura, negarla, qualora il cliente dovesse risultare classificato come “a rischio” (ad esempio, solo perché frequenta abitualmente siti dedicati al virus dell’Aids o perché si interessa di talune malattie genetiche, o acquista farmaci particolari, interessi che potrebbero indurre la Compagnia di Assicurazioni a considerarlo un soggetto maggiormente esposto a tali rischi).

Al fine di evitare dubbi interpretativi su quelle che siano le misure “minime” di sicurezza da adottare, il Legislatore, con lo stesso art. 15, co. 2, ha disposto l’emanazione di un regolamento in cui individuare le prescrizioni cui adeguare i sistemi informatici e telematici e, per garantire il necessario adempimento, all’art. 36 della stessa legge, ha chiarito che “Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell’articolo 15, è punito con la reclusione sino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni”.

Al fine di prevenire la rapida obsolescenza delle misure adottate, infine, ha stabilito, con l’art. 15, co. 3, che “Le misure di sicurezza di cui al comma 2 sono adeguate, entro due anni dalla data di entrata in vigore della presente legge e successivamente con cadenza almeno biennale, con successivi regolamenti emanati con le modalità di cui al medesimo comma 2, in relazione all’evoluzione tecnica del settore e all’esperienza maturata”.

E’ quindi possibile, dall’esame della complessa normativa che tutela i sistemi informatici, che ogni elaboratore munito di misure di sicurezza è tutelato penalmente dall’accesso abusivo da parte di terzi e che, in relazione al trattamento di dati personali, sussiste un preciso obbligo, in capo ai responsabili del trattamento, di adottare misure di sicurezza “minime” per escludere la perseguibilità penale, e “idonee”, rispetto allo stato delle conoscenze tecnologie del periodo di riferimento, per escludere anche la responsabilità civile.

Alla Legge 675/1996 è stata data completa attuazione con l’emanazione del D.Lgs. 28.7.1999, n. 318 (“Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’articolo 15, comma 2, della L. 31 dicembre 1996, n. 675”).

Detto Regolamento ha previsto l’adozione di tre classi di misure di sicurezza, logiche, fisiche ed organizzative, graduando la rigorosità delle stesse in base al tipo di dati oggetto del trattamento e della tipologia di sistemi informatici.

Maggiore attenzione, com’è ovvio, viene riservata a quei dati il cui trattamento illecito o inadeguato può esporre l’interessato a gravi conseguenze (tali sono i dati sanitari, quelli relativi all’appartenenza a gruppi politici, religiosi, sindacati, ecc.), definiti dalla norma come “dati sensibili”.

Naturalmente, sono considerati maggiormente a rischio gli elaboratori elettronici collegati in rete, soprattutto se connessi a reti telematiche disponibili al pubblico, come Internet.

Tre sono gli aspetti che vengono in rilievo nell’approntare le misure di sicurezza destinate a proteggere un sistema informatico.

L’autenticazione degli utenti è importante perché consente di accertare in che momento, qualcuno, fa qualcosa. In assenza di autenticazione, tutti gli utenti avrebbero i medesimi privilegi e sarebbe impossibile esercitare qualsiasi tipo di controllo.

La tutela dell’integrità consente di verificare le attuali condizioni dei dati in relazione al loro stato originale. Se non è possibile verificare l’integrità dei dati contenuti in un database, appare evidente che su di esso non potrà farsi alcun affidamento.

La confidenzialità (o riservatezza) delle informazioni memorizzate negli archivi è l’aspetto che più direttamente viene preso in considerazione alla Legge 675/96. L’autenticazione degli utenti e la tutela dell’integrità dei dati sono strumentali per il raggiungimento di tale obiettivo, che richiede, oltre all’utilizzo di appropriati strumenti tecnologici, l’adozione degli opportuni meccanismi organizzativi; misure soltanto tecniche, per quanto sofisticate, non risulteranno efficaci se usate in modo inappropriato.

Appare inutile evidenziare che le precauzioni di tipo fisico (cancelli, badge per l’accesso ai locali, serrature, ecc.) e logico (User ID, Password, monitoraggio, aggiornamento dei software, ecc.) possono proteggere le informazioni durante il loro transito attraverso i sistemi, o anche quando queste rimangono inutilizzate su un disco di un computer, ma nel momento in cui esse raggiungono l’utente finale, la loro protezione dipende esclusivamente da quest’ultimo, e nessuno strumento tecnologico può sostituirsi al suo senso di responsabilità e al rispetto delle norme.

E’ quindi assolutamente necessario curare con atteggiamento quasi maniacale quelle che dalla norma sono definite misure “organizzative”, che possono arrivare a cambiare (in meglio, ovviamente) la stessa struttura aziendale.

E’ la stessa legge che pone l’accento su tale adempimento, disponendo che, nel caso di trattamento di dati sensibili, è necessario predisporre un “Documento Programmatico sulla Sicurezza”, nel quale definire, ”…sulla base dell’analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati stessi: a) i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l’accesso delle persone autorizzate ai locali medesimi; b) i criteri e le procedure per assicurare l’integrità dei dati; c) i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica; d) l’elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire danni.”

Un vero e proprio “piano di battaglia”, strutturato per garantire ai sistemi protetti una sicurezza ritenuta sufficiente ad escludere la maggior parte dei rischi noti e basato non solo sull’adozione di impressionanti apparati tecnologici, ma, soprattutto sulla formazione del personale, che risulta essere, come già detto, il vero punto debole di ogni organizzazione.

Nell’ottica di mantenere il grado di sicurezza entro livelli accettabili in relazione al periodo storico in cui l’azienda si trova ad operare, il Regolamento prevede, infine, l’obbligo di aggiornare tale documento programmatico con cadenza almeno annuale.

Come già evidenziato dal Garante della Privacy in una delle sue innumerevoli esternazioni, la redazione del documento programmatico sulla sicurezza è un atto di buona amministrazione, consigliato anche alle aziende che non sono tenute, per la tipologia dei dati trattati, ad adottarlo.

Ciò in quanto una corretta organizzazione aziendale, sotto tutti i punti di vista, tecnologico, umano e strutturale, consente in ogni caso di sfruttare al meglio le risorse disponibili.

Non a caso, nelle aziende in cui è stato adottato un documento di questo tipo ed è stata fatta, conseguentemente, un’attività costante di formazione del personale e di adeguamento delle strutture tecnologiche, è stato possibile riscontrare un incremento della produttività e, più in generale, un miglioramento  nel funzionamento dell’intero apparato.

Occorre anche rilevare che un sistema informatico sicuro al 100% non esiste e, probabilmente, non esisterà mai. L’elusione o il superamento di qualsiasi misura di sicurezza, almeno fino ad oggi, è solo questione di tempo.

Ciò premesso, è opportuno diffidare di quanti promettono la sicurezza assoluta, poiché si tratta certamente di soggetti inesperti o, più semplicemente, troppo furbi.

La sicurezza è sempre relativa e il grado di affidabilità di un sistema, come per ogni altro aspetto della vita aziendale, è soprattutto un problema di spesa. E’ quindi necessario contemperare ovvie esigenze di bilancio con il livello di sicurezza necessario per il tipo di dati oggetto del trattamento (e non solo per ottemperare alla Legge sulla Privacy, ma, più in generale, per garantire riservatezza alle informazioni vitali per la propria attività).

Il consiglio, quindi, è quello di non abbassare mai la guardia per le insidie che possono provenire dall’esterno, ma, al tempo stesso, di rivolgere uno sguardo attento e critico anche alla propria struttura interna, alla propria organizzazione, al proprio personale, assicurando, soprattutto a quest’ultimo, vera risorsa inesauribile, la gratificazione economica e morale, garantendo una costante formazione nel tempo, che consenta di limitare i danni provocati dagli “imbranati” e, al tempo stesso, di circoscrivere i rischi derivanti dalla presenza di eventuali elementi “infedeli”.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *