DPS: istruzioni per l’uso

Con il D.Lgs. 196/03 il Legislatore ha nuovamente scelto la strada del Documento Programmatico per la Sicurezza obbligatorio solo per quanti gestiscono i c.d. dati sensibili.

Giá in occasione della Legge 675/96, tuttavia, il Garante aveva consigliato di adottare il suddetto documento anche quanto non necessario, sia per garantire un maggiore controllo delle misure di sicurezza, sia per agevolare eventuali verifiche da parte delle Forze dell’Ordine.

Appare evidente come, nel primo caso, il documento sia consigliabile soprattutto per ragioni pratiche. Innanzitutto, sempre piú aziende appaltano la gestione dei sistemi informativi aziendali a ditte o consulenti esterni. Questa delega di funzioni é indubbiamente comoda, e consente di risparmiare i notevoli costi di un amministratore di sistema interno, ma, al tempo stesso, non permette di avere una cognizione diretta delle misure effettivamente implementate, delle quali, in ogni caso, il titolare del trattamento risponde in sede civile e penale.

Per questi motivi, la redazione del Documento Programmatico, anche se non dovuta, consente, da un lato, di avere contezza del lavoro effettivamente svolto dal consulente, dall’altro, di tenere sotto controllo la situazione e procedere senza problemi ad eventuali ulteriori implementazioni.

E’ superfluo sottolineare che, stante la varietá e quantitá di misure di sicurezza da adottare ad ogni livello – logico, fisico ed organizzativo – la disponibilità di un documento che tenga conto, ordinatamente, di ogni cautela adottata, permetta un notevole risparmio di tempo e un ridotto margine di errore.

Per contro, ogni documento cartaceo o informatico, che tenga conto delle misure di sicurezza adottate, costituisce un oggetto decisamente appetibile per eventuali malintenzionati, per cui è evidente che esso dovrá essere custodito con cura e certo non lasciato in bella vista su una scrivania.

Appare utile evidenziare, per chiarire la portata del problema, che ogni nuovo impianto di allarme, nel momento in cui viene lanciato sul mercato, trova i suoi maggiori estimatori e tempestivi acquirenti proprio nei ladri, che devono servirsene al fine di studiarne i punti deboli ed eventuali carenze strutturali da sfruttare a proprio vantaggio nell’attivitá “professionale”.

Attaccare un sistema informativo, per quanto protetto, diventa certamente piú semplice potendo contare sul piano di sicurezza realizzato dal suo titolare, tanto piú che, spesso, sono le misure fisiche a mettere in crisi l’affidabilitá del sistema, unitamente all’elemento umano, che resta il vero anello debole della catena.

A prescindere dal dipendente infedele, infatti, le tecniche di social engineering dimostrano che è semplice, ove non vi è una adeguata cultura della sicurezza, ottenere informazioni riservate facendo leva sui comuni sentimenti e sulle normali abitudini di quanti lavorano nella struttura da attaccare.

Per comprendere cosa sia effettivamente l’ingegneria sociale occorre far riferimento alle tecniche teorizzate e sviluppate dagli hacker nel corso degli anni (ed ormai utilizzate con successo da qualsiasi criminale informatico) per trovare dei punti deboli nel sistema o per acquisire informazioni utili per ottenere un accesso non autorizzato.

L’attivitá di reperimento delle informazioni tramite il social engineering trae spunto dall’analisi del comportamento umano e delle reazioni che corrispondono a determinate sollecitazioni o a talune situazioni ambientali. Per quanto qui interessa, esso si basa soprattutto sulla possibilitá di approfittare della relativa ingenuitá della maggior parte degli utenti di sistemi informatici, spesso ben poco smaliziati rispetto alle potenzialitá degli elaboratori elettronici che utilizzano.

Non costituisce una novitá il fatto che, in ambito informatico, l’evoluzione tecnologica non sia andata di pari passo con la formazione degli utenti, i quali sono spesso appena mediocri nell’utilizzo delle funzionalità delle tecnologie messe a loro disposizione e, soprattutto, non hanno sufficiente competenza in materia. Meno che mai nello specifico settore della sicurezza informatica.

Le tecniche di social engineering applicate all’informatica si basano proprio su questa debolezza intrinseca di ogni sistema di sicurezza, e la situazione e talmente nota da aver determinato perfino il Legislatore, nella redazione della normativa sul trattamento dei dati personali, a stabilire un obbligo di formazione costante per gli operatori.

Una delle attivitá piú diffuse, tendenti a carpire informazioni utili per l’accesso non autorizzato ad un sistema informatico, si basa sulla fiducia che solitamente gli utenti hanno dei centri di assistenza tecnica e sull’abitudine di rapportarsi con loro tramite e-mail.

Dopo aver registrato, sui uno dei tanti server di posta elettronica gratuita, un indirizzo del tipo assistenza.tecnica@dominio.it si potrá spedire all’ignara vittima dell’attacco un messaggio con il quale lo si avverte di un malfunzionamento della sua mailbox aziendale e lo si invita a fornire chiarimenti sull’utilizzo quotidiano.

Dopo aver scambiato qualche messaggio con l’utente, ogni volta addebitandogli velatamente una qualche responsabilità nell’utilizzo errato della sua casella di posta, si sará raggiunto lo scopo di aver spostato la sua attenzione sull’esigenza di difendersi dalle velate accuse mosse piuttosto che su quella di verificare l’attendibilitá della fonte.

Alla richiesta di inserire User Id e Password per autenticarsi in un modulo che si presenterá come predisposto sul web per il controllo dei dati (una pagina, con campi per l’inserimento dati, creata ad hoc) l’utente con ogni probabilità effettuerá l’inserimento, cedendo, di fatto, le proprie credenziali di accesso al sistema.

Il gioco riesce ancora piú facilmente se chi sferra l’attacco conosce giá alcuni dati dell’utente scelto come bersaglio, attraverso i quali superare l’iniziale e comunque debole diffidenza dell’interlocutore.

Appare evidente come l’utente si predisponga in modo diverso nei confronti di chi lo contatta al telefono, chiamandolo per nome e cognome, citando la sua posizione in azienda e chiedendo di eseguire delle operazioni che potrebbero effettivamente costituire un mero controllo.

Occorre poi valutare la debolezza di talune organizzazioni ed imprese in relazione alle modalità con le quali viene normalmente smaltito ció che si è soliti indicare con il nome di “spazzatura” – ed al cui valore intrinseco siamo evidentemente indifferenti, altrimenti non vi sarebbe motivo per disfarsene – che, in realtà, costituisce una miniera d’oro per quanti stiano cercando informazioni sul sistema informativo da violare.

Le tecniche di trashing sono ormai note da tempo, ma, ció nonostante, molte aziende, anche di notevoli dimensioni (per non parlare degli studi professionali), non hanno ancora la buona abitudine di utilizzare gli apparati distruggi-documenti e continuano a smaltire i contenuti dei cestini attraverso la normale spazzatura urbana.

Tale comportamento è pericoloso quanto l’ingenuitá dei soggetti che solitamente consente l’attivitá di social engineering, e di cui si è giá parlato, ed è in grado di vanificare anche le misure di sicurezza di un sistema progettato per essere inviolabile.

Quotidianamente ogni azienda o studio professionale produce una grande quantità di carta che viene solitamente smaltita attraverso i canali tradizionali, ossia i cassonetti della spazzatura.

A prescindere dall’opportunitá di riciclare la carta destinandola ad un percorso diverso rispetto agli altri rifiuti, esiste il rischio concreto (visto che la spazzatura si getta di sera e viene ritirata dal servizio nettezza urbana il mattino successivo) che il soggetto intenzionato ad attaccare l’azienda individui il cassonetto in cui solitamente i rifiuti vengono smaltiti e si impossessi dei sacchi appena gettati.

Attraverso l’esame della spazzatura si potrá facilmente risalire a molte informazioni utili (corrispondenza con i clienti, lettere dei fornitori, fax, tabulati dei CED, e magari anche qualche informazione piú importante, tipo account di posta elettronica o credenziali di accesso al sistema).

Del resto, contrariamente a quanto pensa la maggior parte delle persone che non conosce tali tecniche, il modo piú semplice per acquisire un certo numero di codici di carte di credito da utilizzare su Internet per gli usi piú svariati, ma comunque illeciti, non è quello di intercettare le transazioni sulla Rete (operazione peraltro difficilissima, sia per la breve durata delle transazioni, sia per la cifratura relativamente robusta rispetto al tempo impiegato, che impedisce qualsiasi attacco a forza bruta), ma consiste nell’attendere che il commesso di un qualsiasi negozio che faccia un discreto uso di tale sistema di pagamento (abbigliamento, computer, arredamento, ecc.) getti la spazzatura.

Poiché la maggior parte degli utenti di carte di credito non conserva la ricevuta del pagamento, e la getta direttamente nel cestino del negozio presso il quale ha effettuato l’acquisto, chi si impossesserà della spazzatura del negozio vi troverà dentro diversi scontrini, dai quali risalire al codice della carta e ad altri dati utilizzabili in vario modo.

Appare quindi evidente, alla luce di quanto sopra, come le abitudini piú banali e radicate, alle quali solitamente non si farebbe caso, possano invece mettere in crisi un sistema di sicurezza molto piú di quanto non sia possibile attraverso l’uso esasperato di tecnologie informatiche. 

Esaurita questa necessaria premessa, che dovrebbe aver aperto gli occhi a quanti pensavano di essere al sicuro solo per aver adottato un apparato hardware e software dal costo “esagerato”, si procederá ora all’analisi di una struttura aziendale tipo e alla redazione di un Documento Programmatico sulla Sicurezza standard, da poter utilizzare come modello per eventuali applicazioni sul campo.

Ovviamente, la prima attivitá da svolgere è essenzialmente quella di rilevamento dati, al fine di tracciare una immagine ben definita della struttura da mettere in sicurezza, per valutarne eventuali punti deboli e per cercare di sfruttare i punti di forza che essa giá possiede.

Trattandosi poi di un documento “programmatico”, appare evidente come esso debba tendere alla implementazione delle misure, prevedendo anche tempi e costi a carico dell’azienda, soprattutto per evitare che le informazioni contenute nel documento stesso non restino lettera morta, per carenza di fondi o disinteresse degli addetti ai lavori.

Non a caso, è stato previsto, dall’art. 26 dell’allegato B al D.Lgs. 196/03, l’obbligo di dar conto, nella relazione annuale al bilancio d’esercizio (ove dovuta), dell’avvenuta redazione o aggiornamento del documento programmatico per la sicurezza, e quindi, in sostanza, dello stato di attuazione delle prescrizioni contenute nel predetto allegato e di quelle ulteriori che il titolare del trattamento avrá ritenuto di dover implementare.

Anche in questa occasione è opportuno rammentare che l’adozione delle misure minime di sicurezza consente di evitare di stretta misura l’azione penale (posto che siano state adottate correttamente), ma solo una struttura che dimostri che tecnicamente non era possibile adottare misure piú restrittive solleverá il titolare del trattamento anche dalla responsabilità civile, la quale, essendo disciplinata dall’art. 2050 del Codice Civile, deve essere commisurata a quel tipo di responsabilità di natura professionale, connessa all’esercizio di attivitá pericolose ex lege, che inverte l’onere della prova, ponendo a carico del danneggiante il compito di dimostrare di aver adottato ogni precauzione utile ad evitare l’evento.

La stesura del documento deve necessariamente iniziare con l’individuazione dei dati essenziali dell’azienda o dello studio professionale cui si riferisce, ai quali andranno aggiunti quelli relativi alle nomine giá formalizzate del responsabile e degli incaricati del trattamento.

Ove conferiti, si dará atto anche degli incarichi di amministratore di sistema e soggetto preposto alla custodia delle credenziali di accesso al sistema, che solitamente coincidono.

Quindi si procederá alla rilevazione dei dati trattati presso ogni singola struttura e, all’interno di esse, dei singoli database o archivi, con l’indicazione degli assegnatari e di eventuali soggetti terzi (consulenti, collaboratori, aziende affidatarie, ecc.) che trattano dati per conto dell’azienda.

In questa sede si dovrá anche dar conto della tipologia di dati trattati, poiché, com’è noto, si dovranno successivamente adottare misure di sicurezza diverse a seconda che si tratti di dati normali o sensibili.

Ai fini della redazione di tale documento si dovrá anche dare atto delle disposizioni interne alla struttura e delle responsabilità previste per il funzionamento della stessa; particolare attenzione dovrá essere rivolta ai trattamenti effettuati con l’ausilio di strumenti elettronici e alla gestione organizzativa delle aree in cui essi saranno svolti.

La fase di analisi proseguirá, pertanto, con l’individuazione delle strutture e degli apparati presso i quali i dati vengono trattati, al fine di consentire una mappatura dell’azienda anche dal punto di vista fisico. Tale secondo rilevamento non è meno importante del primo, giacché appare evidente come la tutela “fisica” degli elaboratori e degli archivi cartacei sia altrettanto importante rispetto a quella “logica”, cui solitamente si riservano fiumi d’inchiostro e notevoli risorse finanziarie, magari “dimenticando” di dotare le finestre di grate o di dispositivi di allarme.

Per comprendere la portata del problema è sufficiente operare una similitudine con altro tipo di criminalitá, piú tradizionale, impegnata con casseforti e armadi corazzati. Sempre piú spesso, i ladri che operano nelle ville e negli appartamenti utilizzano dei metal detectors per trovare in breve tempo le casseforti nascoste, e i martelli pneumatici per estrarle dai muri e portarle via.

Il motivo è facilmente intuibile: per quanto rumore si possa fare, l’operazione durerá comunque pochi minuti, riducendo sensibilmente la possibilitá di essere intercettati dalle Forze dell’Ordine. Nel caso degli archivi cartacei – e a maggior ragione per i sistemi informatici – portare via materialmente un server, o il contenitore in cui sono custoditi i supporti di backup, è certamente piú semplice che violare una rete protetta e non impegna direttamente l’eventuale malintenzionato tecnologicamente preparato, potendosi tranquillamente delegare l sottrazione materiale dell’apparato ad un qualsiasi ladruncolo.

Come nel caso della cassaforte, il sistema sottratto al legittimo proprietario potrá essere analizzato e “forzato” in assoluta tranquillità in altra sede, senza alcun rischio e senza fretta.

Per queste ragioni è opportuno riservare alla protezione dei perimetri in cui avvengono i trattamenti o sono conservati di dati, la stessa attenzione solitamente dedicata alle misure hardware e software.

A tale fase di rilevamento dovrá far seguito una fase di analisi dei dati raccolti, che consenta, come giá detto, di individuare i punti deboli da rafforzare e i settori giá adeguatamente protetti.

Una prima disamina della struttura, pertanto, sará attuata attraverso la descrizione dei locali, della consistenza dei muri, dei pavimenti e dei solai, della resistenza (almeno teorica) allo scasso di porte e finestre, dando rilievo fin d’ora ad eventuali misure giá implementate, come grate alle finestre, vetri corazzati, porta blindata o serratura di sicurezza, ecc.

Qualora si intenda dotare l’immobile di un impianto di allarme, sará opportuno rivolgersi ad un Istituto di Vigilanza Privata, con centrale operativa attiva 24 ore su 24 e pattuglie in grado di intervenire per sopralluoghi, eventualmente di concerto con le Forze dell’Ordine, in caso di assenza del titolare.

Un’altra buona abitudine è quella di lasciare allo stesso Istituto copia delle chiavi delle strutture perimetrali, per consentire l’accesso a corridoi e cortili, dai quali verificare l’assenza di problemi.

E’ opportuno diffidare di impianti di allarme wireless che non diano serie garanzie di affidabilità del sistema di cifratura implementato nelle trasmissioni (da evitare nel caso non lo abbiano affatto). Una delle tecniche maggiormente utilizzate nella violazione di tali sistemi di sicurezza, infatti, si basa anch’essa sull’ingegneria sociale e consiste nell’individuare ed interferire nelle frequenze del sistema, in modo da creare una serie di falsi allarmi che costringeranno il proprietario dell’immobile, esasperato, a disattivare l’impianto, lasciando cosí via libera ai malintenzionati.

Potrebbe essere una soluzione anche quella, ipotizzata da taluni, di sguinzagliare, nella sala archivio o nei locali dei server, una coppia di dobermann particolarmente aggressivi, pronti a scagliarsi contro chiunque violi il perimetro sottoposto al loro controllo, ma non sembra la migliore soluzione al problema, soprattutto qualora dovessero trovare appetibili le pratiche sugli scaffali o i cavi degli elaboratori..

Scherzi a parte, il documento programmatico dovrá proseguire con l’individuazione degli apparati hardware che compongono il sistema informativo aziendale, al fine di tracciare, dopo la mappa della struttura, una mappa della rete interna e dei punti di accesso da/verso l’esterno.

Una descrizione puntuale dei server, dei client, dei firewall e dei router, nonché dei software installati su ciascun apparato, consentirá una piú rapida analisi dei punti di forza e dei punti critici, permettendo, incidentalmente, anche un controllo delle licenze d’uso effettivamente acquistate, problema attualmente secondario, rispetto alle scadenze del D.Lgs. 196/03, ma ugualmente di rilevanza penale in caso di controllo da parte delle Forze dell’Ordine.

Particolare attenzione deve essere prestata ai numeri di release dei programmi, alle patch, ai bug fix e ai service pack, poiché dalla mancata installazione di uno di essi, o dall’utilizzo di una versione ormai datata, potrebbe derivare una vulnerabilità del sistema in grado di mettere in crisi l’intero apparato.

Un modo corretto di procedere, in questa fase, è quello di redigere una scheda per ogni trattamento operato dall’azienda, con l’elenco dei soggetti coinvolti, ed una scheda per ogni elaboratore elettronico installato, con dettaglio dell’hardware e del software.

La predisposizione di tali schede permetterá successivamente di valutare con calma l’intera struttura, sia dal punto di vista materiale che organizzativo, e certamente dará maggiore consapevolezza della realtà esistente.

Terminata l’attivitá relativa alle misure fisiche di sicurezza, occorrerá iniziare a valutare le misure logiche da implementare, procedendo nell’ordine ad individuare:

  • le credenziali di accesso al sistema (solitamente User Id e Password, ma sempre piú diffuse sono le smart card e i dispositivi di identificazione biometrica, altrettanto validi);
  • la loro durata, dovendo essere cambiate ogni tre mesi (sei, se non si trattano dati sensibili) e comunque generate nel rispetto dei criteri imposti dal D.Lgs. 196/03;
  • la loro disattivazione, in caso di inutilizzo da parte del titolare per un periodo superiore a sei mesi;
  • i profili di ciascun utente, ossia l’insieme delle operazioni che è autorizzato a svolgere e delle risorse cui puó accedere;
  • la temporizzazione degli aggiornamenti e delle verifiche dei sistemi di intrusion detection, antivirus, firewall e di ogni altro apparato destinato a “sorvegliare” il sistema informativo aziendale;
  • le periodicitá dei backup dei dati, lo smaltimento dei supporti non riutilizzabili, la rotazione dei supporti impiegati nei salvataggi, la loro conservazione.

In relazione a tale ultimo punto, è opportuno segnalare che diversi Istituti di Vigilanza privata, preso atto dell’importanza di conservare in un luogo sicuro i supporti di backup, erogano il servizio di ritiro a domicilio e conservazione degli stessi presso la propria sede.

Secondo la temporizzazione prescelta dal cliente, la Guardia Giurata si reca presso l’azienda e si fa consegnare il supporto di backup, da preservare in una busta chiusa e sigillata, che verrá successivamente depositata nei locali protetti dell’Istituto di Vigilanza e resterá a disposizione del cliente in caso di necessitá.

Il supporto sará ovviamente affiancato, nel tempo, dai supporti successivi, fino a quando, secondo le disposizioni impartite, non verrá restituito all’interessato, perché ormai datato ed essendo pertanto venute meno le esigenze di conservazione e protezione.

Tale tecnica di protezione dei supporti consente di evitare che alla perdita dell’edificio e degli apparati in esso contenuti (es.: in caso di incendio devastante) segua automaticamente la perdita dei dati memorizzati nei supporti di backup (che sarebbe inevitabile, se gli stessi fossero conservati nella sala server o anche in un’altra stanza dell’edificio).

Se a tale precauzione si aggiunge un contratto di assistenza che prevede l’obbligo del fornitore degli apparati hardware, di mantenere sempre disponibili, per una pronta reinstallazione, dei server gemelli (con software preinstallato, ma privi dei soli dati) rispetto a quelli in uso, appare evidente come la possibilitá di riattivare un’azienda nel volgere di qualche ora dall’eventuale disastro sia tutt’altro che remota.

Sará sufficiente, infatti, attivare le nuove macchine, anche presso una sede provvisoria, e riversare su di esse i dati di backup, per riorganizzare tempestivamente il lavoro aziendale, almeno per quanto riguarda il sistema informativo.

Precauzioni analoghe possono essere intraprese per gli archivi cartacei, che non necessariamente devono essere concentrati in un’unica struttura (situazione anzi sconsigliabile anche per la facilitá con la quale potrebbero svilupparsi incendi) ma possono essere decentralizzati a seconda dei centri di interesse cui fanno riferimento.

Centralizzando il sistema di archiviazione e ricerca, in modo da renderlo uniforme per tutte le sedi, è possibile conoscere immediatamente l’ubicazione di un determinato fascicolo ed acquisirlo presso il luogo in cui è necessario, salvo poi restituirlo all’archivista presso la sede ove è normalmente conservato.

La crescente duplicazione degli archivi cartacei su supporto informatico, inoltre, renderá nel tempo sempre meno necessario il ricorso al supporto materiale, di talché la decentralizzazione degli archivi sará sempre piú auspicabile e sempre meno difficoltosa, ma con indubbi vantaggi per la conservazione e la sicurezza.

Non occorre dimenticare, in ogni caso, che anche per gli archivi cartacei devono essere implementate misure di sicurezza che consentano di regolamentare l’accesso ai locali ed ai singoli fascicoli.

Le stanze in cui sono conservati, pertanto, dovranno essere dotate quantomeno di serratura, se non di grate alle finestre, porte blindate e sistemi antincendio adeguati al supporto cartaceo, che garantiscano, da un lato, un pronto intervento dell’apparato e, dall’altro, senza metterne in discussione l’efficacia estinguente, la salvaguardia dei fascicoli.

Da ultimo, preme ricordare che il D.Lgs. 196/03 prevede una formazione costante del personale, al fine di sviluppare non soltanto una struttura “blindata” dal punto di vista materiale, ma, soprattutto, una corretta cultura della sicurezza e del trattamento dei dati personali.

Sara quindi necessario programmare dei seminari di introduzione alla sicurezza informatica per i dipendenti neo assunti e come corso base per tutto il personale, salvo poi specializzare i soggetti che andranno ad occuparsi di particolari tipologie di trattamento, al fine di metterli in condizione di agire in assoluta sicurezza.

Il documento cosí redatto dovrá essere ripercorso ed eventualmente aggiornato entro il 31 marzo di ogni anno, adottando una modalità di documentazione che consenta di dare certezza alla data di sua redazione (es.: autoprestazione presso l’ufficio postale).

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *