Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Cyber-security: disciplina, Appunti di Informatica Giuridica

Cos'è, come funziona, legislazione.

Tipologia: Appunti

2019/2020

Caricato il 07/10/2020

Irenemurgia94
Irenemurgia94 🇮🇹

4.6

(5)

10 documenti

1 / 17

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Cybersecurity
Le misure di sicurezza nel GDPR
Tre parti
1. Definizione, obiettivi e strumenti della sicurezza informatica
2. Minacce, Vulnerabilità e Rischi
3. La sicurezza informatica nel quadro giuridico
1. Definizione, obiettivi e strumenti della sicurezza informatica
La cibersicurezza
La cibersicurezza è una disciplina informatica, cioè nasce dallinformatica e ad essa concorrono
diverse discipline che in generale afferiscono al dominio dell’informatica (computer science, la
computer engineering, linformation technology, il software engineering ecc.) sono tutti contenuti
strettamente informatici.
Ha poi vari sottocapi a seconda degli ambiti in cui viene applicata ad esempio lo sviluppo del
software, la gestione dei database, le architetture delle reti e ha uno scopo che è detto in maniera
proprio generale quello di garantire la sicurezza complessiva del sistema informativo di una
organizzazione, di una istituzione, di unazienda, una sicurezza che possiamo riassumere con una
visione olistica complessiva nella sicurezza dei dispositivi, dellhardware, della sicurezza del
software, ma anche delle persone che fanno parte del sistema informativo, dellintelligenza, della
documentazione. Quindi una sicurezza diciamo complessiva.
Per questo alla computer security concorrono, oltre agli aspetti più tecnici e informatici, anche
diversi altri fattori: comportamenti umani, etica, management cioè la gestione dei processi
organizzativi, la gestione dei rischi, le politiche (pensiamo alle cyber war o alla guerra
dellinformazione che sono minacce informatiche particolarmente rilevanti), ma anche il diritto che,
come altre discipline, non si esime dal confrontarsi con questi aspetti con lobiettivo, con lintento
di regolamentare uno spazio elettronico che sta rivestendo sempre più importanza in tutte le
dimensioni delle attività umane, delle attività sociali, economiche, politiche e organizzative.
Obiettivi della sicurezza informatica
Prima di esaminare i profili giuridici, brevemente andiamo ad inquadrare alcuni elementi definitori
della disciplina.
In uno scenario di progressivo aumento quantitativo e qualitativo delle minacce e degli attacchi
informativi, la sicurezza informatica chiaramente ha lobiettivo di salvaguardare i sistemi dai
potenziali rischi e violazioni dei dati, mettendo in atto una serie di misure e tecniche organizzative
che operano su più fronti, su più livelli, sia per prevenire gli incidenti informatici, sia per reagire agli
stessi nel momento in cui accadono in modo da poter ripristinare il sistema tempestivamente,
riuscire a quantificare i danni e rilevare eventuali responsabilità.
Cosè un incidente informatico? È un qualsiasi evento di natura dolosa o colposa che va in qualche
modo a danneggiare lasset, cioè le risorse materiali ed umane di cui lorganizzazione dispone e che
necessita per garantirsi unadeguata capacità concorrenziale secondo la definizione ISO.
“La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi
volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che
possono danneggiare le risorse materiali, immateriali ed umane di cui l'azienda dispone e necessita
per garantirsi un'adeguata capacità concorrenziale nel breve, medio e lungo periodo” (UNI/EN ISO
104559).
La sicurezza informatica di un sistema attiene limitatamente ai prodotti e alle tecnologie che
vengono utilizzate, ma in realtà è molto più legata non alla tecnica, allultimo strumento, allultimo
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff

Anteprima parziale del testo

Scarica Cyber-security: disciplina e più Appunti in PDF di Informatica Giuridica solo su Docsity!

Cybersecurity

Le misure di sicurezza nel GDPR

Tre parti

  1. Definizione, obiettivi e strumenti della sicurezza informatica
  2. Minacce, Vulnerabilità e Rischi
  3. La sicurezza informatica nel quadro giuridico 1. Definizione, obiettivi e strumenti della sicurezza informatica La cibersicurezza La cibersicurezza è una disciplina informatica, cioè nasce dall’informatica e ad essa concorrono diverse discipline che in generale afferiscono al dominio dell’informatica (computer science, la computer engineering, l’information technology, il software engineering ecc.) – sono tutti contenuti strettamente informatici. Ha poi vari sottocapi a seconda degli ambiti in cui viene applicata ad esempio lo sviluppo del software, la gestione dei database, le architetture delle reti e ha uno scopo che è – detto in maniera proprio generale – quello di garantire la sicurezza complessiva del sistema informativo di una organizzazione, di una istituzione, di un’azienda, una sicurezza che possiamo riassumere con una visione olistica complessiva nella sicurezza dei dispositivi, dell’hardware, della sicurezza del software, ma anche delle persone che fanno parte del sistema informativo, dell’intelligenza, della documentazione. Quindi una sicurezza diciamo complessiva. Per questo alla computer security concorrono, oltre agli aspetti più tecnici e informatici, anche diversi altri fattori: comportamenti umani, etica, management cioè la gestione dei processi organizzativi, la gestione dei rischi, le politiche (pensiamo alle cyber war o alla guerra dell’informazione che sono minacce informatiche particolarmente rilevanti), ma anche il diritto che, come altre discipline, non si esime dal confrontarsi con questi aspetti con l’obiettivo, con l’intento di regolamentare uno spazio elettronico che sta rivestendo sempre più importanza in tutte le dimensioni delle attività umane, delle attività sociali, economiche, politiche e organizzative. Obiettivi della sicurezza informatica Prima di esaminare i profili giuridici, brevemente andiamo ad inquadrare alcuni elementi definitori della disciplina. In uno scenario di progressivo aumento quantitativo e qualitativo delle minacce e degli attacchi informativi, la sicurezza informatica chiaramente ha l’obiettivo di salvaguardare i sistemi dai potenziali rischi e violazioni dei dati, mettendo in atto una serie di misure e tecniche organizzative che operano su più fronti, su più livelli, sia per prevenire gli incidenti informatici, sia per reagire agli stessi nel momento in cui accadono in modo da poter ripristinare il sistema tempestivamente, riuscire a quantificare i danni e rilevare eventuali responsabilità. Cos’è un incidente informatico? È un qualsiasi evento di natura dolosa o colposa che va in qualche modo a danneggiare l’asset, cioè le risorse materiali ed umane di cui l’organizzazione dispone e che necessita per garantirsi un’adeguata capacità concorrenziale – secondo la definizione ISO. → “La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui l'azienda dispone e necessita per garantirsi un'adeguata capacità concorrenziale nel breve, medio e lungo periodo” (UNI/EN ISO 1045 59). La sicurezza informatica di un sistema attiene limitatamente ai prodotti e alle tecnologie che vengono utilizzate, ma in realtà è molto più legata non alla tecnica, all’ultimo strumento, all’ultimo

sistema, all’ultimo software, quanto piuttosto al processo con cui il sistema viene gestito, dalla pianificazione, all’analisi del rischio, alla formazione del personale, quindi richiamando nuovamente la definizione della ISO sicurezza è un complesso studio, sviluppo, attuazione di strategie politiche e piani operativi con l’obiettivo di prevenire, fronteggiare e superare l’evento, cioè l’incidente informatico. → La sicurezza informatica ha l’obiettivo di salvaguardare i sistemi da potenziali rischi e violazione dei dati, mettendo in atto una serie di misure tecniche e organizzative per prevenire incidenti informatici e per reagire agli stessi in modo da ripristinare tempestivamente il sistema, quantificare i danni e rilevare eventuali responsabilità. → La sicurezza di un sistema informatico è molto legata al processo con cui il sistema viene gestito (pianificazione, analisi dei rischi, gestione dei sistemi, formazione del personale, ecc.) e limitatamente ai prodotti e alle tecnologie che vengono utilizzate. I paradigmi della sicurezza: chiarezza terminologica Con l’evoluzione della tecnologia anche i paradigmi della sicurezza informatica sono mutati e indice di questo cambiamento è anche l’introduzione di nuove espressioni, espressioni che vanno ad individuare elementi di protezione nuovi pur partendo da una base di obiettivi comuni. Mi riferisco in particolare ai termini di computer security, information security e cybersecurity che vengono talvolta utilizzati in maniera interscambiabile, come sinonimi, ma hanno un’accezione un po’ diversa, tra loro c’è qualche differenza.

  • Computer security : è legata alla protezione del sistema informatico, dei suoi apparati, dei programmi informatici, delle infrastrutture e delle informazioni che sono elaborate, memorizzate e trasmesse. Alla base di questo paradigma abbiamo la protezione e la tutela di 3 requisiti, il raggiungimento di 3 obiettivi di sicurezza, noti come “CIA triad” (RIAD nella traduzione italiana), sono di garantire la riservatezza, l’integrità, la disponibilità del sistema o del componente. È questa la nota triade – riad – che è alla base un po’ di tutti gli standard di sicurezza informatica, di tutte le definizioni di computer security a partire dalla definizione che ne dà il NIST o delle norme ISO della famiglia 27.000.
  • Information security : questo paradigma rimanda ad una concezione della sicurezza maggiormente orientata alla protezione delle informazioni e dei dati. Siamo nella cosiddetta società dei dati, ecosistema digitale complesso, in continua espansione da un punto di vista qualitativo e quantitativo e in questo contesto la sicurezza informatica si rivolge a fonti di dati eterogenea, a fonti di dati espansi, distribuiti, i cosiddetti big data. Questi dati non sono più oggi un patrimonio statico, ma materia prima di importanza vitale, in grado di creare valore e innovazione nella misura in cui i sistemi informatici sono in grado di leggerli, di utilizzarli e proteggerli. D’altro canto gli strumenti che si occupano di garantire la sicurezza informatica di questa tipologia di sistemi non possono basarsi su metodologie tradizionali ed architetture tradizionali. In questo dominio iniziano ad afferire tecniche come la anonimizzazione, la crittografia, tutte strategie rilevanti per la protezione dei dati nel caso di trattamenti massivi. Il concetto di sicurezza in questa dimensione dei big data si allarga andando a sottintendere anche requisiti di qualità dei dati e dunque la triade precedente si completa con ulteriori obiettivi di sicurezza: la non ripudiabilità e l’autenticità e, da ultimo, i principi di accountability (responsabilità) e di auditability (verificabilità) → che confluiscono anche nel nuovo regolamento della protezione dei dati personali. L’equilibrio tra gli obiettivi dipende dal perimetro e dai componenti del sistema.
  • Cybersecurity: il termine è introdotto nell’uso comune più di recente e viene utilizzato con un’accezione molto più ampia, andando ad indicare quella che è la governance dei rischi nel ciberspazio contro la minaccia cibernetica. La sicurezza nel ciberspazio è rilevante non solo come valore in sé, ma nell’ottica del bene comune della sicurezza nazionale, della protezione delle

relativi al paziente B e questo tipo di violazione è la violazione di due dei requisiti: sia la riservatezza dei dati del paziente B verso il paziente A che ne viene a conoscenza e viceversa il paziente B ha una violazione di disponibilità, cioè non viene a conoscenza di dati che invece sono importanti per la sua salute. Tre direttrici Ad un altro livello di astrazione la sicurezza informativa si estrinseca in 3 direttrici fondamentali:

  • Prevenzione: cioè la capacità di realizzare sistemi robusti in grado di resistere agli attacchi informatici, ha l’obiettivo di impedire che una minaccia si concretizzi, controllando i punti di vulnerabilità del sistema e proteggendolo dagli attacchi.
  • Rilevazione: cioè la progettazione di metodi per il rilevamento di attacchi o minacce che riescano a garantire la resilienza dei sistemi, quindi questi metodi intervengono nel momento in cui l’incidente informatico ormai è avvenuto, è finalizzata a rilevare, in seguito ad un incidente, le conseguenze dannose e ad accertare eventuali responsabilità.
  • Reazione: riguarda la capacità di ripristino, le misure di ripristino, è l’ambito in cui vengono definite le risposte di un sistema ad un attacco, consente di minimizzare i danni con la riattivazione tempestiva del sistema e delle sue funzionalità, senza perdita di dati. Ciascuno di questi ambiti comprende una vasta gamma di strumenti tecnici, di misure organizzative, quali ad esempio il controllo fisico e logico degli accessi, piani di disaster recovery o business continuity, la crittografia, strumenti hardware e software per la difesa perimetrale, sistemi di rilevamento intrusione. Contromisure Elenco dei principali strumenti della sicurezza informatica suddivisi a seconda delle tre direttrici che abbiamo illustrato, quindi categorie di strumenti che si applicano per:
  • Prevenzione : Controllo degli accessi, sicurezza fisica, sicurezza logica (autenticazione, autorizzazione, controllo), difesa perimetrale (firewall proxy, ecc.); Crittografia; Pseudonimizzazione; Programmi antimalware; aggiornamento dei sistemi; cancellazione definitiva; formazione e comportamenti consapevoli, ecc.
  • Rilevazione : analisi dei log, monitoraggio del traffico di rete, forensics readiness plan, intrution detection system (IDS), Security Information and event management (SIEM), ecc.
  • Ripristino: Backup e Restore, continuità operativa (affidabilità della rete, architetture distribuite, ripristino rapido) Disaster ricovery, ecc. La difesa del sistema informatico viene generalmente presentata come un sistema a livelli, a cerchi concentrici a partire dal Perimetro che è il confine tra la DMZ e l’esterno (cioè tutto cioè che è al di fuori dell’organizzazione). È la parte dell’architettura che controlla il flusso del traffico in entrata e in uscita dall’azienda. Porte, protocolli e servizi devono essere filtrati. DMZ (Zona demilitarizzata): è la zona in cui l’azienda conserva i dati che servono per le interazioni con l’esterno. Ai sistemi qui collocati si può accedere con un IP privato dall’interno o un IP pubblico dall’esterno. Particolare attenzione va posta alle porte e ai protocolli di questa zona Rete: è la parte dell’azienda che permette all’organizzazione di comunicare e condividere risorse (Data, stampanti, connessioni internet)

Sistemi (server): Sono i sistemi che svolgono servizi per migliorare l’organizzazione del lavoro (mail, server print, database, applicazione) Sistemi (workstations/endpoint): Sono i sistemi che le persone usano per connettersi a altre risorse e per compiere i loro compiti Applicazioni: Programmi che risiedono su sistemi sui server e abilitano specifiche funzioni, come e- Commerce, traccia delle vendite ecc. Processi: Entità non tecnologiche che definiscono come gli strumenti tecnologici vengono utilizzati. Anche se non riguardano specificatamente la difesa un gap tra policy e processo crea una vulnerabilità Persone: da chi gestisce la sicurezza (amministratore di sistema) a tutti gli operatori.

2. Minacce, Vulnerabilità e Rischi È estremante difficile raggiungere la protezione totale del dato informatico nella società di oggi, sostanzialmente per una serie di motivi: innanzitutto i sistemi informatici che utilizziamo oggi sono sistemi molto complessi e quindi maggiormente insicuri rispetto ai sistemi che si utilizzavano fino a qualche anno fa. Mi riferisco alle vulnerabilità collegate ai dispositivi mobile che impiegano app non sempre adeguata dai gestori e che fanno circolare grandi quantità di informazioni con funzionalità avanzate o all’uso di protocolli di trasmissione come Wi-Fi e Bluetooth non riservati e quindi spesso condivisi in luoghi pubblici con altri utenti, ma anche vulnerabilità legate alle architetture di tipo cloud, o legate all’IOT dove le lacune di sicurezza vengono sfruttate dagli aggressori per introdursi attraverso oggetti di largo utilizzo, come le console giochi o i router domestici, introdursi negli ambienti domestici, nella sfera personale dell’utente, dell’utilizzatore, con l’obiettivo di impadronirsi di informazioni personali. Per raggiungere la protezione del dato, sia esso personale o professionale, abbiamo strumenti appositi tecnologicamente anche avanzati (i firewall, la cifratura, virus, software), ma da soli non sono sufficienti perché è necessario anche mettere in atto comportamenti adeguati → la persona che utilizza i sistemi deve preventivamente analizzare il rischio dei suoi comportamenti e utilizzare in maniera corretta e consapevole gli strumenti. Per mettere in atto una analisi dei rischi è necessario identificare e valutare le minacce, le vulnerabilità del sistema informatico che dobbiamo proteggere. I concetti di minaccia e vulnerabilità sono concetti basilari nell’information security. La minaccia rappresenta un’azione, accidentale o deliberata, che può portare (non necessariamente porta) alla violazione di uno o più obiettivi di sicurezza definiti (* violazione dei dati personali). «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati (Art. 4 Definizioni). Non ogni minaccia si traduce in un attacco e non tutti gli attacchi riescono. La vulnerabilità è “un difetto o una debolezza nella progettazione, nell’implementazione o nel funzionamento e nella gestione che potrebbe essere sfruttato per violare la politica di sicurezza del sistema” (RFC Internet security Glossary). ISO 27000 Vulnerabilità la “debolezza di un asset o di un controllo che può essere sfruttata da una o più minacce”. Un asset è qualsiasi oggetto che abbia valore per il sistema o per l’organizzazione. Un sistema può avere più tipi di vulnerabilità, la maggior parte dei sistemi ha una o più vulnerabilità, ma questo non significa che i sistemi siano imperfetti per l’uso, ci sono vulnerabilità che vengono attivamente utilizzate e sfruttate dalle minacce e vulnerabilità che non vengono mai sfruttate. Il concetto di sicurezza informatica è strettamente legato al concetto di rischio.

Il susseguirsi di attacchi informatici, anche di grande entità, ha senza dubbio aumentato la consapevolezza della vulnerabilità di soggetti diversi come i privati, le persone, le imprese, gli enti pubblici, le istituzioni e le organizzazioni. È interessante rilevare che il rapporto del World Economic Forum del 2019 sui rischi globali ha classificato gli attacchi informatici tra i primi 10 rischi globali di maggiore impatto. Questi sono alcuni grafici presi dal rapporto sulla sicurezza informatica del CLUSIT (associazione italiana per la sicurezza informatica) che periodicamente fornisce dati riguardo ai principali attacchi informatici nel nostro paese, attacchi informatici gravi, in termini di danni economici, di reputazione o di diffusione di dati strategici, sensibili o personali. Queste grafiche si riferiscono agli ultimi 5 anni, non sono le uniche statistiche, gli unici rapporti sulla sicurezza informatica disponibile, ce ne sono svariati. Quello che è interessante mostrare, oltra alla quantificazione degli attacchi, è una analisi della tipologia degli attacchi, anche se presentare un quadro sistematico di minacce che mutano geneticamente in maniera dinamica sicuramente non è semplice. Gli aspetti più nuovi e problematici sono forse quelli legati alle cyberwar – guerre cyber e alle guerre delle informazioni, sono guerre che modificano i rapporti fra gli stati in modo non percepibile immediatamente, senza provocare un allarme particolare nell’opinione pubblica e sfruttano la simmetria tecnologica e anche una difficoltà nell’attribuire l’azione offensiva. Il controllo delle informazioni, cioè l’information welfare, non riguarda però solo l’ambito militare, ma si manifesta soprattutto in altri ambiti, questo proprio facendo leva sulla pervasività di internet e sulla sua crescente rilevanza nella formazione dell’opinione pubblica. Si manifesta in altri ambiti, per esempio nell’economia, nella politica, nella vita sociale, attraverso la diffusione di fake-news, trolls, che propagano informazioni manipolate sulla rete che poi vengono amplificate dai social network. A queste minacce se ne aggiunge un’altra che non è una vera e propria minaccia cibernetica, nel senso che non nasconde un attacco, un attaccante, ma va tenuta in considerazione, è quella del cosiddetto “capitalismo della sorveglianza”, basato sullo sfruttamento delle tecnologie digitarli volte a controllare in maniera totale le vite, le scelte, gli orientamenti politici, di consumo, degli individui sulla base dei loro interessi economici e questo messo in atto da poche multinazionali, i cosiddetti “signori dei dati” che si avvantaggiano della asimmetria informativa e della scarsa consapevolezza degli utenti della rete. Accanto a queste minacce, nella slide citato anche il machine learning o più ampiamente l’intelligenza artificiale, i sistemi di intelligenza artificiale che hanno un duplice problema: da un lato sono sistemi particolarmente vulnerabili basati su algoritmi e metodologie di progettazione che richiedono sistemi e strumenti di sicurezza un po’ diversi da quelli tradizionali, d’altro canto l’intelligenza artificiale offre anche nuovi modi per condurre i cosiddetti attacchi cyber, sfruttando

la capacità di questi sistemi di identificare vulnerabilità che potrebbero sfuggire ad un essere umano e quindi anche la capacità di realizzare malware autonomi, o di utilizzare gli stessi paradigmi del machine learning in maniera avversa. Quindi una deriva verso uno cyber-spazio dominato dall’intelligenza artificiale insicuro e instabile è sicuramente uno scenario che desta qualche preoccupazione. Altre attività in forte aumento che vengono segnalate dai rapporti sugli incidenti informatici più recenti sono le attività di spionaggio e di cyber-spionaggio o di sabotaggio che sono attività indirizzate sostanzialmente alle imprese, alle aziende, alle organizzazioni, proprio con lo scopo di acquisire informazioni industriali, commerciali, o relativi al know-how, decretando in questo modo anche il fallimento di aziende attraverso sia il furto di dati importanti, rilevanti, sia attraverso danni di immagine o danni a carattere organizzativo. Oltre a questo è sempre quantitativamente rilevante l’impatto del cybercrime che attraverso truffe on line, frodi, estorsioni, ricatti, furti di identità, colpisce in particolare facendo leva sul fattore umano che è l’anello debole della catena, sulle persone, sugli utenti, sugli utilizzatori dei sistemi, e attacchi e truffe che vengono utilizzati e portati avanti con varie forme e con varie tecniche. Tipologie di attacchi esterni Le aggressioni, gli attacchi esterni si basano sullo sfruttamento di vulnerabilità, che sono lacune di sicurezza dei sistemi informatici, attacchi in grado di sfruttare le debolezze dei programmi, attacchi in grado di sfruttare le connessioni di rete, le porte di accesso ai sistemi target, attacchi condotti attraverso i cosiddetti software malevoli (virus, trojan, spyware, ransomware, ecc.) ma anche attacchi al fattore debole della sicurezza informatica, della catena di sicurezza informatica che è l’essere umano, quindi in particolare gli attacchi di social engineering che hanno l’obiettivo di sfruttare la scarsa consapevolezza della riservatezza delle informazioni da parte dell’utente, della persona o del collaboratore di un’organizzazione. La vulnerabilità delle persone, in particolare è correlata al grado di competenza tecnica, alla percezione del rischio che esse hanno e spesso il rischio connesso ad un uso improprio di dati personali viene trascurato, mentre sono percepiti dalle persone in maniera più chiara i rischi relativi ad un ransomware, la cifratura con riscatto dei propri dati personali o ad una estorsione, meno percepito il rischio connesso all’utilizzo improprio dei dati personali, che invece ha delle conseguenze anche drammatiche, gravi, in termini di costruzione dell’identità personale, in termini di web reputation, di profilazione e anche di esposizione al cyber crimine. ➢ Attacchi in grado di sfruttare specifiche debolezze di un programma software: exploit, buffer overflow, cracking ➢ Attacchi in grado di sfruttare connessioni di rete e porte di accesso al sistema target o di intervenire sul traffico in transito: backdoor, port scanning, sniffing, keylogging, spoofing, DoS/DDooS ➢ Attacchi condotti con l’utilizzo di software malevolo: virus, trojan, spyware, ransomware ➢ Attacchi di social engineering, con l’obiettivo di sfruttare la scarsa consapevolezza della riservatezza delle informazioni apparentemente non critiche da parte del personale di un’organizzazione, per accedere ad informazioni riservate: phishing e Business E-mail Compromise, chiavette USB che veicolano Trojan, ecc. Cybersecurity e COVID Per chiudere non possiamo non fare riferimento ai molteplici tentativi di phishing, furti di credenziali, di truffe on line, che sfruttano la paura delle persone e l’esigenza di avere informazioni in merito all’emergenza sanitaria.

➢ Direttiva 90/388/CE “ Concorrenza nei mercati dei servizi di telecomunicazioni” ; In questa direzione poi si colloca la direttiva 9 7 /66/CE sul trattamento dei dati personali nel settore delle telecomunicazioni e una successiva del 2002, la 58 del 2002, che contiene un nucleo di quelle disposizioni che sono confluite poi nel codice privacy. La sicurezza informatica era incentrata sul concetto di sicurezza dei sistemi e delle reti di comunicazione. Requisiti fondamentali:

  • sicurezza di funzionamento della rete;
  • mantenimento della sua integrità;
  • protezione dei dati circolanti;
  • disponibilità della rete pubblica in caso di urgenza;
  • obbligo di adottare appropriate misure per salvaguardare la sicurezza dei servizi offerti anche congiuntamente al fornitore della rete di telecomunicazione. La sicurezza informatica: prevenzione e repressione dei cybercrimes La sicurezza informatica, quindi anche le nozioni di misure di sicurezza, al contempo trovano un ruolo di rilievo centrale anche in quelle iniziative legislative comunitarie e non che si sono concentrate sugli obblighi fondamentali per prevenire e reprimere i cosiddetti cyber-crime o in generale reati informatici, reati commessi con sistemi informatici, o ancora reati comuni in cui si rinvengono indizi nei sistemi informatici a partire dalla Convenzione di Budapest del 2001 sulla criminalità informatica per poi ritrovarsi nelle varie norme di recepimento, nel nostro codice penale ecc. In queste norme si fa riferimento a misure di sicurezza per la gestione, la conservazione dei dati originali, che diventano elemento di prova in un procedimento giudiziario, per l’adozione di procedure tecniche che non alterino i dati stessi, ma anche misure di sicurezza per proteggere i sistemi informatici in riferimento ad esempio agli accessi abusivi o per evitare che vengano commessi reati informatici attraverso sistemi informativi di enti e organizzazioni. Nel nostro Paese: ➢ Legge n. 547 del 1993 (“Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”) ➢ la legge n. 48 del 2008 “Ratifica ed esecuzione della Convenzione di Budapest” ➢ rispetto all’art.615 ter c.p., accesso abusivo in un sistema informatico e telematico, considerato che la norma non protegge tutti i sistemi, ma esclusivamente quelli protetti da misure di sicurezza ➢ Rispetto al d.Lgs n. 231 del 2001 (“Disciplina della responsabilità amministrativa delle persone giuridiche, …ʺ), che pone a carico dell’ente l’onere di impedire che, a mezzo dei propri sistemi informatici, vengano consumati reati. L’esonero da responsabilità, previsto dall’art. 6 del d.lgs 231 può essere sussistente solo laddove il modello di organizzazione richiesto sia dotato anche di un piano di sicurezza idoneo a dimostrare che è stato fatto di tutto per evitare che il reato venisse commesso La sicurezza informatica: strategia europea del Digital Single Market La sicurezza informatica diventa comunque più centrale, con un approccio più generale in quella che definiamo la strategia europea del Digital Single Market, cioè un insieme di norme, di provvedimenti, di linee guida che hanno l’obiettivo di creare un mercato unico dei beni e servizi digitali che non conosca barriere tra gli Stati membri. La sicurezza informatica è vista sempre più come protezione delle attività pubbliche e private dipendenti da un ambiente digitale, allo scopo di incrementare il mercato del lavoro e stimolare l’innovazione, ma forse anche con la consapevolezza che vi è il rischio che la società possa scivolare in nuove derive, derive caratterizzate dalla mancata

protezione dei diritti, disuguaglianze, controllo sociale, la necessità di garantire diritti di cittadinanza digitale, insomma in tutto ciò diventa essenziale che i pubblici poteri stabiliscano quelli che sono i principi e le direttrici del governo dei dati, proprio onde evitare rischi per la violazione del sistema dei diritti e delle libertà fondamentali e gravi conseguenze per la comunità, per le istituzioni, per le imprese. In questo nucleo di provvedimenti abbiamo alcune norme fondamentali, primo fra tutti il regolamento generale per la protezione dei dati personali, ma oltre a questo, o in affiancamento a questo, abbiamo una serie di norme che vanno proprio nella direzione di creare fiducia da parte degli operatori e dei consumatori, quindi un approccio globale al tema della cybersecurity anche in riferimento all’identificazione elettronica, a garantire un trattamento equo e non discriminatorio del traffico nella fornitura di servizi di accesso ad Internet, a tutti quegli strumenti giuridici e tecnici che consentono l’identificazione elettronica e lo sviluppo di trust nei servizi, nelle transazioni elettroniche del mercato interno. Assieme a questi provvedimenti che ispirano la base di questi provvedimenti abbiamo anche le linee guida dell’OCSE del 2015 e le linee impostate sulla gestione del rischio digitale per incentivare quella che è la prosperità sociale ed economica. ➢ Regolamento (UE) 2015/2120 che stabilisce misure riguardanti l’accesso a un’Internet aperta e che modifica la direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica e il regolamento (UE) n.531/2012 relativo al roaming sulle reti pubbliche di comunicazioni mobili all’interno dell’Unione: Garantire il funzionamento dell’ecosistema di Internet quale volano dell’innovazione ➢ Linee guida Ocse 2015 sulla gestione del rischio digitale per la prosperità sociale e economica ➢ Regolamento eIDAS, electronic IDentification Authentication and Signature: regolamento in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche del mercato interno. ➢ Regolamento UE 679/2016 (GDPR) → Provvedimenti orientati a creare fiducia da parte degli operatori e dei consumatori La sicurezza informatica: Approccio globale alla Cybersecurity È interessante anche dare uno sguardo un po’ più ampio a quelle iniziative legislative comunitarie che si sono concentrate sul concetto di cybersecurity nel senso ampio come governance dei rischi del cyberspazio. In questo senso alla convenzione di Budapest del 2001 sono seguite una serie di iniziative dell’UE frammentarie ma che sicuramente pongono la sicurezza informatica tra gli obiettivi centrali dell’unione, sicuramente l’istituzione dell’ENISA (Agenzia europea per la sicurezza delle informazioni e delle reti), poi anche l’istituzione della European Cybercrime Centre (EC3) di Europol, e anche non da ultimo la creazione di un gruppo di risposta agli incidenti informatici all’interno dell’UE (CERT-EU). Assistiamo però ad un vero e proprio cambio di paradigma solamente a partire dal 2013 con la Cybersecurity Strategy - “Strategia dell’Unione europea per la cybersecurity: un ciberspazio aperto e sicuro” → questa strategia adotta un approccio top/down in cui l’Unione ricorda agli stati membri che è necessario un livello di sicurezza elevato non solo allo scopo di mantenere i servizi essenziali e il funzionamento della società e dell’economia e quindi richiamiamo la strategia del digital single market, ma anche allo scopo di salvaguardare l’integrità fisica dei cittadini. Questa strategia confluisce in due provvedimenti importanti: uno è il GDPR cioè il regolamento generale per la protezione dei dati personali e parallelamente la direttiva NIS – Direttiva UE 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi

personale; ma poi a discendere da questa troviamo la direttiva 95/46/CE e la Direttiva 97/66/CE e la successiva Direttiva 2002/58/CE sul “trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni” che dispongono l’adozione di misure tecniche e organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento dei dati personali (Art.17 – sicurezza del trattamento) Le misure di sicurezza hanno lo scopo di evitare, per quanto possibile, la lesione dei diritti tutelati nonché la violazione delle norme sulla modalità del trattamento, per apprestare una tutela preventiva, e non solo sanzionatoria, dei diritti stessi. In linea evolutiva con i precedenti interventi troviamo il D.lgs. 196/2003 (Codice privacy) che rivela tuttavia finalità maggiormente precettive in riferimento agli obblighi di sicurezza, troviamo infatti in questo decreto l’influsso di standard tecnici specialistici dell’ISO che a partire dal ISO/IEC 17799 del 2000 e le linee guida dell’Ocse del 2002 sulla sicurezza dei sistemi e delle reti di informazioni. In questo decreto, in particolare, sono previsti due livelli di sicurezza: le misure minime di sicurezza (art 33 e ss.) e le misure idonee e preventive di sicurezza (art. 31) finalizzate a “ ridurre al minimo […] i rischi di distruzione o perdita, anche accidentale, dei dati […], di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta ” → le misure minime sono volte ad assicurare un livello minimo di sicurezza – le misure idonee sono adottate dal titolare tenendo conto di: 1) progresso tecnico, 2) natura dei dati oggetto del trattamento, 3) specifiche caratteristiche del trattamento. Misure minime di sicurezza sono un set di misure che devono necessariamente essere adottate dal titolare del trattamento dei dati e servono, hanno lo scopo di assicurare un livello minimo di sicurezza, queste misure sono effettivamente enucleate dal codice privacy, cioè il codice privacy dispone ed elenca in maniera dettagliata e abbastanza precisa quali misure di sicurezza il titolare del trattamento deve obbligatoriamente adottare. Le misure idonee invece sono qualcosa di aggiuntivo, sono adottate dal titolare tenendo conto di una serie di fattori, cioè in particolare del progresso tecnologico, quindi degli strumenti che la tecnica mette a disposizione per proteggere i dati, dalla natura dei dati che vengono trattati e quindi oggetto del trattamento e anche dalle specifiche caratteristiche del trattamento, quindi in qualche modo connesso con i rischi insiti nel trattamento stesso. Abbiamo dunque una visione della sicurezza informatica nuova, di tipo progettuale, la sicurezza come un processo, che deve essere implementato e accompagnare lo sviluppo dei sistemi e tutta la vita del trattamento del dato, tutta la vita del dato digitale, dal momento in cui viene raccolto fino a quando viene cancellato e non è più necessario il trattamento. Queste le misure di sicurezza minime (ex art. 34 Codice privacy) che dispone come obbligatorie per il trattamento di dati personali. Sono misure molto specifiche da un punto di vista tecnico: a) Autenticazione informatica b) Adozione di procedure di gestione delle credenziali di autenticazione c) Utilizzazione di un sistema di autorizzazione d) Aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici e) Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici f) Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi g) Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari

Sono comunque una serie di misure che normalmente vengono applicate, vengono ancora applicate al buon senso, per qualsiasi trattamento di dati, anche a prescindere dai dati personali che sono un po’ il cuore della sicurezza informatica. (Indicazioni specifiche sono contenute nel Disciplinare tecnico - Allegato B) Le misure di sicurezza nel GDPR Arriviamo infine al regolamento generale per la protezione dei dati personali che si discosta in parte dall’approccio delle norme precedenti introducendo un approccio sostanziale alla protezione dei dati, sempre a partire dalla considerazione che sia necessario elevare la protezione dei dati nell’ambito della società digitale allo scopo di creare un clima di fiducia che consenta lo sviluppo dell’economia digitale in tutto il mercato interno. Il regolamento europeo amplia i diritti dell’interessato in termini di diritti di rettifica, di portabilità dei dati, di diritto all’oblio e affianco a questo ampliamento dei diritti troviamo un nuovo approccio alla sicurezza informatica orientata al rischio, introduce infatti in capo al titolare l’obbligo di analisi dei rischi e anche gli obblighi di notifica dell’autorità garante e di comunicazione all’interessato nel caso in cui i dati personali siano violati e questa violazione rappresenti dei rischi per i diritti e le libertà delle persone fisiche. Questo è un punto molto importante del nuovo regolamento europeo ed è interessante notare che abbiamo un cambio di prospettiva rispetto al codice privacy infatti il regolamento non fornisce più un elenco di misure minime da adottare, ma sposta la scelta e anche la responsabilità sul titolare del trattamento che deve valutare quali misure tecniche organizzative sia opportuno mettere in atto per garantire e quindi anche essere in grado di dimostrare nel caso di verifica o di data brige che il trattamento è effettuato in modo conforme al regolamento. Questo è il cosiddetto principio di accountability, il cuore del regolamento europeo per la protezione dei dati personali che prevede proprio il passaggio da un mero adempimento dell’applicazione delle misure tecniche ad un approccio sostanziale alla protezione dei dati. Lo scopo del regolamento è tutelare il valore del dato in sé, questo anche però indipendentemente dalla tutela dei diritti dei singoli interessati. ➢ Le misure di sicurezza hanno un ruolo di particolare rilievo. ➢ I considerando 6 e 7 ribadiscono la necessità di elevare la protezione dei dati nell’ambito di una società digitale che utilizza tecnologie che consentono “ tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali come mai in precedenza nello svolgimento della loro attività ”. ➢ L’obiettivo è creare un “ clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno ”. ➢ Il Regolamento cambia prospettiva rispetto al Codice privacy: non fornisce più al titolare una lista di misure da attuare ma sposta la scelta e la responsabilità su quali misure tecniche e organizzative sia opportuno adottare sul titolare del trattamento, in ragione del rischio. ➢ Lo scopo del regolamento è la tutela del valore del dato in sé, anche indipendente dalla tutela dei diritti dei singoli interessati. ➢ Particolarmente orientato ai trattamenti massivi dei dati: misure di sicurezza pensate per trattamenti massivi di dati: Pseudonomizzazione e cifrature. Articolo 32 Sicurezza del trattamento

  1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate a

finalità, l’ambito del trattamento e i rischi, i rischi per i diritti e le libertà delle persone. Quindi il perno, il cuore, delle scelte del titolare sta nell’analisi del rischio, nella valutazione del rischio connesse al trattamento, in ragione della natura del trattamento e dei rischi di violazione e dell’entità del danno causato da un eventuale incidente informatico o violazione dei dati. Dopodiché per garantire un livello di sicurezza adeguato al rischio il titolare e il responsabile valutano quali misure tecniche o organizzative mettere in atto. Queste misure tecniche o organizzative comprendono se del caso, tra le altre, quindi non abbiamo un elenco puntuale di misure che devono essere messe in atto, quindi di adempimenti, ma un’elencazione ampia dei punti, però questi punti in realtà comprendono un universo estremamente vasto e ampio di strumenti, di modelli operativi, di architetture e di soluzioni tecniche, cioè richiamano tutto il cuore dell’information security. Nei 4 punti solo 2 riguardano specifiche misure tecniche la pseudonimizzazione e la cifratura, sono due metodologie di protezione dei dati che sono utilizzate in particolar modo, sono particolarmente utili nel caso di trattamenti massivi dei dati e questo è un po’ l’obiettivo del GDPR, cioè proteggere il dato personale anche nei contesti big data, nei contesti di fonti di dati eterogenee espanse. Queste due tecniche sono la pseudonimizzazione e la cifratura che sono metodologie, entrambe, che di fatto puntano a rendere il dato non immediatamente intellegibile anche nel caso di violazione dei sistemi e di diffusione di dati personali: la cifratura rende il dato non comprensibile ad un terzo soggetto che non possieda le chiavi di decifratura del dato, lo trasforma non rendendolo intellegibile, la pseudonimizzazione invece è una tecnica basata sulla separazione dell’aspetto contenutistico del dato dall’identificativo, quindi nel caso in cui venga reso noto il contenuto, qualcuno riesca in qualche modo ad accedere al contenuto del dato, non riesca immediatamente ad identificare il soggetto. ATTENZIONE! È diverso dal concetto di dato anonimo, questo è un dato che non è anonimo, semplicemente separiamo gli identificatori per proteggere il contenuto del dato. Il regolamento ci indica poi che gli strumenti che devono essere adottati devono avere la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi nonché essere in grado di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di un incidente fisico o tecnico. Qui abbiamo appunto tutto il cuore dell’information security, i tre requisiti, la triade RID (riservatezza, integrità, disponibilità del dato) che sono alla base del trattamento sicuro dei dati informatici. Altro punto interessante è che il titolare deve essere in grado di modificare nel tempo l’efficacia delle misure che ha adottato, cioè di giustificare le sue scelte e verificare che le misure adottate siano efficaci e funzionanti. Per questo motivo abbiamo anche l’indicazione di adottare, di sviluppare procedure per testare e verificare e valutare correttamente l’efficacia delle misure tecniche organizzative per garantire la sicurezza del trattamento. Quindi di fatto la sicurezza tecnologica diventa una conseguenza dell’obbligo di protezione del dato, però ognuno dei requisiti poi elencati e previsti dal regolamento è possibile individuare, elencare, una serie di contromisure che, se adottate, pianificate attraverso politiche adeguate, sono in grado di proteggere il sistema anche a scopo preventivo. Requisito 1: Confidenzialità o riservatezza ➢ Violazione della confidenzialità: accidentale o non autorizzata divulgazione o accesso ai dati personali ➢ La confidenzialità deve essere assicurata sia in fase di memorizzazione, sia in fase di elaborazione, sia in fase di trasmissione. Contromisure:

  • Controllo degli accessi
  • Cifratura
  • Pseudonimizzazione
  • Cancellazione definitiva dei dati e di eventuali copie
  • Formazione del personale, attenzione all’ambiente organizzativo e alle condizioni di lavoro ➢ Una politica adeguata deve definire quali informazioni devono essere fornite all’utente e ciò che l’utente può visualizzare Requisito 2: integrità ➢ Violazioni dell’integrità: accidentale o non autorizzata alterazione dei dati ➢ Il requisito di integrità è strettamente legato alla confidenzialità e riguarda dati memorizzati, dati in fase di elaborazione e dati in transito. ➢ Devono essere garantiti la riduzione dei livelli di rischio di cancellazione o modifica, accidentale e non autorizzata del dato ➢ Una politica adeguata deve evitare agli accessi non autorizzati, l’esecuzione di codice malevolo, errori software, alterazioni accidentali. Contromisure:
  • Robuste procedure di autenticazione
  • Controlli sul software
  • Sistemi di rilevamento e blocco delle intrusioni
  • Cifratura e algoritmi di hashing Requisito 3: disponibilità ➢ Capacità del sistema informatico e telematico di rendere sempre disponibili (senza interruzioni) agli aventi diritto i dati che devono essere trattati. ➢ Comprende anche quegli accorgimenti atti a evitare la cancellazione o la modifica di dati da parte di utenti non autorizzati. ➢ Minacce: attacchi di tipo DoS; guasti hardware, errori software ➢ Una politica adeguata mira a negare l’accesso a soggetti non autorizzati, a prevenire attacchi esterni, guasti ai sistemi e disastri naturali. Contromisure:
  • Policy di ridondanza
  • Mantenimento di backup
  • Busniss continuity plan ➢ Rientra in questo requisito anche il concetto di portabilità del dato: i dati devono essere resi disponibili agli utenti autorizzati quando si rende necessario lo spostamento verso un altro provider (evitare il lock-in) Security by design Il principio di accountability , i criteri risk based che promuovono la consapevolezza di requisiti di conformità e gli obblighi di notifica delle violazioni dei dati all’Autorità competente – previsti non solo dal GDPR, ma anche da eIDas e dalla direttiva NIS (Network and Information Security) – promuovono modelli di security by design, durante tutto il ciclo di vita del sistema, dalla sua progettazione alla sua dismissione. Conclusione: alcuni punti di riflessione Problema del bilanciamento tra la cybersecurity e la tutela della riservatezza e dei dati personali; Political Digital Divide: la cybesecurity non può essere affrontata solo in una dimensione europea; Nuove criticità poste dai sistemi di AI;• Gestione della cybersecurity nell’interesse pubblico