SICUREZZA INFORMATICA FRA PARANOIA E VIRTU'

Articolo dell'avv. Giorgio Battaglini pubblicato su Techne www.rivistatechne.it EDIZIONE SPECIALE PER IL XXIX CONGRESSO NAZIONALE FORENSE 2008

SICUREZZA INFORMATICA

ovvero

La paranoia è una virtù

Molte aziende, ma anche molti professionisti si chiedono il motivo per cui dovrebbero mai interessarsi alle problematiche relative alla sicurezza informatica. Basterebbe per convincerli invitarli ad effettuare delle semplici verifiche, visitando alcuni siti di test online, così da rendersi conto della gravità dei rischi a cui sono esposti - e con essi la loro azienda o il loro studio - nell'utilizzo delle nuove tecnologie. Tramite tali controlli è possibile accertare in tempo reale la presenza di vulnerabilità del sistema informatico utilizzato, ma soprattutto riscontrare la quantità di informazioni personali che vengono rilasciate ai siti visitati, senza saperlo ma soprattutto senza nemmeno sospettarlo.

Si va da semplici indicazioni sul proprio sistema operativo o sul browser utilizzato, a vere e proprie informazioni sensibili quali la cronologia e la tipologia dei siti già visitati, fino alla concreta possibilità di condivisione di intere parti del proprio hard disk e dei dati in esse contenuti. I rischi sono concreti e avere la consapevolezza della loro esistenza è già il primo passo per cercare di trovare un rimedio.

Al di là degli obblighi normativi e delle prescrizioni in materia di sicurezza informatica imposte dal Codice della Privacy, che poi analizzeremo, si ritiene che adottare delle misure di sicurezza per l'utilizzo dei propri sistemi informatici sia oramai un'inevitabile esigenza non solo per i professionisti e le aziende ma anche per i privati.

A differenza di quanto molti credono, il "processo sicurezza" non è un semplice prodotto da acquistare ed installare, ma comprende sia un fattore materiale che un fattore umano, il quale notoriamente costituisce l'anello debole della cd. security chain. La sicurezza quindi va intesa come un processo ove nessuna soluzione è definitiva e che va gestito continuamente, nel quale esistono solo diversi livelli, proporzionati all'importanza del bene da custodire.

Il legislatore, proprio per tali motivi, non pretende la sicurezza assoluta dei dati e dei sistemi ma esige l'adozione di un complesso di misure tecniche, informatiche, organizzative e logistiche, graduandole a seconda della tipologia del bene da tutelare, così da ridurre al minimo i rischi.

Il Codice della Privacy tratta l'argomento sicurezza al titolo V° della parte prima intestandolo "Sicurezza dei dati e dei sistemi".

Già da questa prima definizione, s'intuisce quali siano i due ambiti entro i quali bisogna operare per ottenere quel livello di sicurezza richiesto dalla legge, che si orienta non solo verso i dati ma anche verso i sistemi di trattamento e conservazione degli stessi. Per questi due ambiti sono previste le Misure Di Sicurezza.

La prima, e principale, distinzione operata dal legislatore è quella tra le Misure minime e le Misure idonee.

Il codice prevede l'obbligo di adozione delle citate misure minime da parte dei titolari del trattamento e provvede poi ad elencarle analiticamente:

a) autenticazione informatica, che è un processo atto a garantire il controllo di chi accede agli elaboratori, verificandone e convalidandone l'identità. In pratica non è altro che la procedura di riconoscimento e accesso, tramite inserimento di nome utente e password, che utilizziamo normalmente, ad esempio, per accedere al p.c. o al conto di home banking online;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione, che si rende necessario quando sono previsti profili di autorizzazione di ambito diverso per i vari incaricati. Ad esempio, al titolare di uno studio professionale sarà consentito il trattamento di tutti i dati archiviati mentre alla segretaria addetta al front desk sarà negato accedere ai dati sensibili e/o giudiziari dei clienti dello studio.

d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, e quindi la verifica periodica che ciascun incaricato acceda solo ai dati ad esso necessari per l'espletamento del suo incarico.

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; tale misura, certamente basilare ed essenziale, tende ad impedire che i dati siano trattati illecitamente, e/o che si verifichino accessi non consentiti o altri danni ai dati o ai sistemi, causati dall'azione dei cd. scumware.

f) adozione di procedure per la custodia di copie di sicurezza, [e per] il ripristino della disponibilità dei dati e dei sistemi; si prescrive in sostanza l'obbligatorietà di effettuare periodicamente, delle copie di back-up dei dati predisponendo apposite procedure di custodia. Ove si trattino dati sensibili e giudiziari, è necessario adottare anche una procedura di disaster recovery e cioè l'organizzazione di un vero e proprio sistema per il ripristino dell'accesso ai dati entro il termine massimo di sette giorni dall'evento distruttivo;

g) tenuta di un aggiornato documento programmatico sulla sicurezza;

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Dopo aver rapidamente dato uno sguardo alle misure tecnico informatiche previste dalla legge, vediamo ora nel concreto quali potrebbero essere i primi essenziali passi per iniziare il processo sicurezza, anche utilizzando strumenti gratuiti posto che, come si dice in rete, "Software is like sex: it's better when it's free":

- attivare le varie impostazioni di sicurezza del proprio sistema operativo;

- attivare il sistema di autenticazione informatica per l'accesso al pc utilizzando solo password robuste e disattivare il cd. account guest;

- attivare, se necessario, un sistema di autorizzazione differenziata per l'accesso ai diversi dati trattati;

- impostare l'attivazione dello screensaver protetto da password dopo un'inattività di circa cinque minuti;

- creare un disco di ripristino per il riavvio del sistema operativo in caso di malfunzionamenti o danni;

- effettuare periodici back-up su supporti esterni non riscrivibili (mai sullo stesso hard-disk ove è installato il sistema operativo) e verificare sempre la bontà della copia;

- disabilitare, se non utilizzato, l'accesso remoto al p.c.;

- evitare assolutamente l'installazione di software per il p2p e di programmi superflui o di dubbia provenienza;

- disabilitare la condivisione di file e cartelle personali in rete;

- installare alcuni software per la sicurezza tra cui un firewall (ancora meglio se hardware), un antivirus e un più specifico software che rimuova i cookies e le liste MRU.

Ovviamente tali programmi dovranno essere aggiornati costantemente (meglio se manualmente e non in automatico), così come il sistema operativo e gli altri software utilizzati, installando anche le cd. patch.

Essenziale è l'utilizzo regolare di un software di cancellazione sicura dei file che ne impedisca il recupero e da impiegare soprattutto per la pulizia dei dispositivi portatili utilizzati per la memorizzazione di dati (floppy disk, penne usb, hd esterni).

Per coloro che si servono di tali supporti, appare indispensabile utilizzare un software di autenticazione e crittografazione sì da proteggere i dati in essi contenuti e impedirne la visione ad estranei in caso in smarrimento.

Utile è, infine, l'installazione di particolari plug-in del browser web per la preventiva verifica della sicurezza dei siti che ci si accinge a visitare.

Quanto fin qui illustrato per far intendere, senza pretesa di esaustività, quanti e diversi siano gli ambiti in cui operare per ottenere una maggiore sicurezza del proprio ambiente di lavoro e dei relativi strumenti informatici; ma soprattutto per far capire che, più che l'installazione di hardware e software appositi, è importante prendere coscienza del problema e iniziare a capire il funzionamento degli strumenti che utilizziamo quotidianamente. Purtroppo, anche su una macchina sicura, un utente ingenuo e inesperto rischia di creare danni.

LINK PER IL DOWNLOAD DEI SOFTWARE

(link verificati al 7/10/2008)Online Armor Personal Firewall (Ver. 2.1.0.131) Free edition

http://www.tallemu.com, http://www.download.com/Online-Armor/3000-10435_4-10831167.html?tag=lst-1

AVG Anti-Virus Free Edition Ver. 8.0 (Freeware)

http://free.grisoft.com/ww.download?prd=afe

Spybot - Search & Destroy Ver. 1.6.0.30 (Free Open-Source)

http://www.spybotsd.org/it/mirrors/index.html

CCleaner Ver. 2.12.660 (Freeware)

http://www.ccleaner.com/download

Ad-Aware 2008 Free Ver. 7.1.0.8 (Shareware)

http://www.lavasoft.com/single/mirror_download.php?f=g2Obc772A

SpywareBlaster Ver. 4.1 (Freeware)

http://www.javacoolsoftware.com/sbdownload.html

Eraser 5.86a (Freeware)

http://downloads.sourceforge.net/eraser/EraserSetup32.exe?modtime=1199873149&big_mirror=0

TrueCrypt Ver. 6.0a (Free Open-Source)

http://www.truecrypt.org/downloads.php

LETTURE E AUDIO UTILI FREE

Windows XP in sicurezza di Mario Pascucci. Apogeo

http://www.apogeonline.com/2007/libri/88-503-1008-0/ebook/pdf/8850310080_open.pdf

Vademecum per la sicurezza dei p.c. di G.Costabile

http://www.sitoflash.it/costabile/web/index.cfm?id=5CB836BA-F948-159B-BFDD741862B410DB

Guida alla sicurezza informatica Pv. Como - PolPost Lombar

http://www.anpsitalia.eu/portale/images/pdf/sicurezza%20informatica%20completo.pdf

Corso di sicurezza informatica di PcOpen

http://www.pcopen.it/01NET/HP/0,1254,4_ART_61028,00.html

Il podcast di Ventiquattrore Avvocato del Prof. G. Ziccardi, tra cui :

- Sicurezza del professionista, backup e firewall

- Sicurezza e autenticazione: accesso al computer, user id e password

- L'uso corretto dei supporti magnetici

- Le tecnologie di cifratura dei dati e di firma elettronica

- La sicurezza e la privacy delle code di stampa

- Possibile strategia per limitare al minimo i rischi di contagio

- I codici maligni e il computer

- Come difendersi dai virus e dai worm durante l'attività professionale

- Come difendersi dai virus

- Gli adempimenti formali e sostanziali in tema di sicurezza e privacy

http://www.ilmerito.ilsole24ore.com/podcast.asp

BIBLIOGRAFIAMarco D'Auria, Dizionario Internet, Editori Riuniti, 1996

Giovanni Buttarelli, Banche dati e tutela della riservatezza, Giuffrè, 1997

Francesco Brugaletta, Internet per giuristi, Simone, 1998

Ernesto Damiani, Internet. Guida pratica alla rete internazionale, Tecniche Nuove, 1999

Enrico Gianfelici, La legge sulla privacy, Fag, 1999

Emilio Tosi (a cura di), Il Codice del diritto dell'informatica e di internet, Tribuna, 2000

Giorgio Rognetta (a cura di), Informatica Giuridica, Simone, 2001

Glauco Riem, Privacy e Sicurezza, Simone, 2002

Carmelo Giurdanella, Lo studio legale on line, Simone, 2003

Giorgio Zarrelli, Sicurizza il tuo pc, Tecniche Nuove, 2003

AA.VV., Hacker & sicurezza, Guide pratiche JCE, 2003

Andrea Lisi, (a cura di), La privacy in internet, Simone, 2003

Paolo Poli, Virus & Co - Guida pratica alla sicurezza, Apogeo 2004

Luigi Manzo, Trucchi per la sicurezza del tuo pc, J. Group Editore, 2004

Rapetto - Caporale, Documento Programmatico sulla Sicurezza, EPC, 2004

Guido Scorza, Elementi di diritto dell'informatica, Simone, 2004

Ciccia - Fumagalli, Privacy, Guida agli adempimenti, Ipsoa, 2004

G.P. Cirillo (a cura di), Il Codice sulla protezione dei dati personali, Giuffrè, 2004

Imperiali - imperiali, Codice della privacy, Il Sole 24 Ore, 2004

Riccardo Acciai (a cura di), Il diritto alla protezione dei dati personali, Maggioli, 2004

Cardarelli - Sica - Zencovich, Il codice dei dati personali, Giuffrè, 2004

AA.VV., Codice della privacy, Giuffrè, 2004

AA.VV., Dizionario di Internet e delle reti, Mondadori informatica, 2004

AA.VV., Windows Xp e sicurezza - Guide Pratiche Computer Magazine, 2004

AA.VV., Il registro di Windows - Guide Pratiche Computer Magazine, 2004

Gerardo Costabile (a cura di), Sicurezza e privacy: dalla carta ai bit, Experta, 2005

Giovanni Ziccardi, Telematica giuridica, Giuffrè, 2005

Luca Graziano, Spia e non farti spiare, FAG, 2005

David D'Agostini (a cura di), L'informatica negli studi legali e nel processo civile, Experta, 2005

Davide Scullino, Proteggi il tuo pc da virus, hacker & Co., J. Group Editore, 2005

Giuseppe Santaniello (a cura di), La protezione dei dati personali, in Trattato di Dir. Amm., Cedam, 2005

AA.VV., Windows Xp. No Hacker !, Future Media, 2005

Alessandro del Ninno, La tutela dei dati personali, Cedam, 2006

Ghirardini - Faggioli, Computer Forensics, Apogeo, 2007

Borrusso - Di Giorgio - Mattioli - Ragona, L'informatica del diritto, Giuffrè, 2007

Bianca - Busnelli (a cura di), Protezione dei dati personali, Cedam 2007

Cajani - Costabile - Mazzaraco, Phishing e furto d'identità digitale, Giuffrè, 2008

Elena Faletti, E-justice, Giuffrè, 2008

---

Clicca qui per scaricare l'intera rivista del Dicembre 2008

www.rivistatechne.it