Le misure di sicurezza dei dati personali
di Niccolò Nalesso
Con l’introduzione del Regolamento UE n. 679/2016 (c.d. GDPR) il Legislatore europeo ha inteso affermare la sicurezza dei dati come condizione di legittimità di ogni trattamento messo in atto[1]. E’ stata infatti inserita tra i principi generali di cui all’art 5 par. 1 lett. f), per cui i dati personali devono essere trattati in maniera da garantirne “un’adeguata sicurezza…compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)”. Per i soggetti c.d. interessati, ovvero le persone fisiche identificate dai dati personali oggetto del trattamento, è quindi possibile agire in giudizio per l’eventuale danno subito a causa di una violazione delle misure adottate dal Titolare del trattamento. E’ stato peraltro evidenziato che l’art 32 non fa riferimento solamente alla categoria dei c.d. interessati, bensì a qualunque persona fisica i cui diritti sono potenzialmente posti in pericolo dal trattamento dei dati, ponendosi dunque come baluardo delle libertà fondamentali e dei diritti umani[2].
Il principio generale viene poi specificato nell’art 32 del GDPR, per cui: “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Dalla lettera della norma si evince chiaramente che l’adozione delle misure di sicurezza può variare per contenuto ed intensità, in stretta dipendenza con la valutazione dei rischi effettuata all’origine del trattamento stesso, e con l’eventuale valutazione d’impatto condotta dal Titolare (c.d. DPIA, ex art 35 GDPR)[3].
L’art 32 elenca, a dire il vero in maniera non esaustiva, alcune possibili misure di sicurezza da adottare. Tra queste, alla lettera a) si riscontrano la pseudonimizzazione e la cifratura dei dati, mentre alle lettere b)-c)-d) sono individuati gli obiettivi che devono essere conseguiti dal Titolare del trattamento, tra cui “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”, e “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.
A dire il vero, la sicurezza dei dati va oltre la portata di ciascun trattamento, ed attiene direttamente alle tecnologie utilizzate per lo svolgimento dell’attività. Del resto, in linguaggio informatico, la sicurezza dei dati sta ad indicare la necessità di proteggere la riservatezza, l’integrità e la disponibilità degli stessi. Questa triade costituisce la base di ogni strategia di sicurezza e va pertanto conosciuta e tenuta in considerazione da tutte le aziende che hanno implementato un sistema informatico per lo svolgimento del proprio business.
Un programma di sicurezza delle informazioni inizia con la valutazione del rischio volta ad individuare quali dati debbano essere protetti, quali siano le minacce specifiche contro di essi e quale possa essere il danno all’impresa qualora le minacce si concretizzassero. Va tuttavia ricordato che nessuna politica di sicurezza darà la garanzia assoluta di poter sventare qualsiasi attacco informatico. L’obiettivo ragionevole deve essere quello di abbassare il rischio ad un livello accettabile. Cerchiamo quindi di sintetizzare alcune misure di sicurezza applicabili.
In primo luogo, è consigliabile procedere con una precisa e puntuale classificazione dei dati utilizzati, in modo tale che ad ogni voce sia assegnata una valutazione di riservatezza. Per ogni grado di riservatezza possono quindi essere impostate delle autorizzazioni di accesso a seconda delle funzioni aziendali interessate[4], tenendo a mente che ogni programma ed ogni utente del sistema dovrebbero operare utilizzando il minimo insieme di privilegi necessari a portare a termine il proprio compito, così limitando il danno derivante da un incidente o da un errore (principio del minimo privilegio)[5]. Andrebbe quindi definita una lista di controllo degli accessi (in gergo, ACL) per definire quali utenti o processi aziendali possano accedere a determinate risorse del sistema e quali operazioni specifiche possano compiere.
Una classificazione di base consiste nel definire le seguenti categorie di riservatezza:
- informazioni confidenziali, nelle quali rientrano i segreti commerciali, il know-how ed i dati personali sensibili trattati dall’azienda, tutti i quali andrebbero condivisi solamente da predeterminati soggetti autorizzati. In tale contesto è necessario prestare particolare attenzione alle utenze con privilegi di amministratore, per le quali è importante differenziare i profili di autorizzazione e le credenziali di accesso al sistema che, per l’appunto, non devono essere condivise da più individui[6];
- informazioni private, ovvero i dati finanziari dell’azienda e dei suoi dipendenti, clienti e tutte le informazioni che si ritiene di dover utilizzare solamente entro la struttura aziendale;
- informazioni interne, nelle quali possono rientrare l’organigramma, le procedure che regolano l’attività aziendale e quelle informazioni la cui eventuale rivelazione non dovrebbe causare grave nocumento all’impresa;
- informazioni pubbliche, che possono essere liberamente comunicate all’esterno[7].
I dati informatici gestiti dall’azienda possono essere conservati nel server aziendale oppure archiviati in data center esterni. In entrambi i casi, la cifratura dei dati aggiunge una linea di difesa che si rivela essenziale in caso di data breach, in quanto consente di occultare i dati impedendo all’aggressore entratone in possesso di poterli visionare.
Le misure di sicurezza concernono anche il sistema di autenticazione degli utenti/dipendenti. I fattori di autenticazione si basano su “qualcosa che sai” (PIN, password ecc.), “qualcosa che hai“ (badge, key fob ecc.) e “qualcosa che sei” (impronta digitale, retina ecc.). L’integrazione di tali fattori diviene più necessaria all’aumentare del livello di rischio. Quanto all’utilizzo delle password, in più occasioni il Garante della Privacy si è espresso in favore di alcune caratteristiche delle stesse, quali la lunghezza non inferiore agli otto caratteri alfanumerici, e l’impiego di un controllo automatico di qualità che impedisca l’utilizzo di password eccessivamente deboli[8]. E’ altresì essenziale impostare un numero limite di tentativi di accesso, in modo tale da impedire un attacco c.d. brute force, ove un software prova tutte le possibili combinazioni di caratteri e numeri finché non individua quella esatta.
E’ altresì importante tenere traccia degli accessi e delle operazioni effettuate dagli utenti nel sistema informatico attraverso un sistema di gestione dei file di log. Monitorare i file di log permette di determinare se è avvenuto un attacco e se le difese implementate sono state efficaci. Gli stessi log necessitano anche di una protezione dagli accessi non autorizzati, dall’alterazione e/o distruzione.
Quanto ai protocolli di rete, è oramai assodata la necessità di erogare la totalità dei contenuti del sito web aziendale tramite il protocollo https (secure hyper text transport protocol), il quale, attraverso la crittografia asimmetrica, garantisce che i contenuti delle comunicazioni tra l’utente ed il sito web non possano essere intercettati o alterati da terzi. In tal modo si prevengono i comunemente denominati attacchi man in the middle, ove l’aggressore intercetta la comunicazione tra le parti per poterla modificare o ritrasmettere a terzi.
Nella gestione della rete aziendale, si può pensare di impostare una segregazione/segmentazione della stessa in modo tale che l’eventuale malware che abbia superato il perimetro di security non sia in grado di paralizzare tutti i dispositivi aziendali connessi. La stessa misura è volta ad impedire ai visitatori dei locali dell’azienda di accedere alla rete interna.
In tal senso, una delle principali aree di vulnerabilità proviene dagli accessi remoti alla rete aziendale, i quali vengono solitamente concessi a dipendenti in “smart working” ovvero a fornitori IT che richiedono tale accesso per la manutenzione delle apparecchiature. L’accesso remoto dovrebbe avvenire tramite VPN (Virtual Private Network), ovvero un canale criptato che collega un dispositivo esterno alla rete aziendale. L’utente connesso da remoto diventa parte del network ed avrà potenzialmente accesso a tutte le informazioni presenti nella rete interna. Anche in questo caso andrebbero registrate e sottoposte a verifica tutte le attività di coloro che operano da remoto.
Per la gestione di un incidente, è invece essenziale aver predisposto un piano di business continuity per individuare le misure tecnologiche e logistico/organizzative che permettono all’azienda di continuare ad operare, mentre un piano di disaster recovery va a stabilire delle misure preventive e correttive atte a ripristinare la disponibilità e l’accesso ai sistemi ed alle infrastrutture aziendali.
In entrambi i casi va contemplato un piano di backup dei dati in modo tale che ove il sistema venga compromesso sarà possibile recuperarli. Il backup andrebbe effettuato su base regolare e protetto con delle password complesse.
Nella stessa ottica, aver preventivamente svolto dei vulnerability assessment e dei penetration test, permette all’azienda di testare il proprio sistema di cyber-security alla ricerca di eventuali vulnerabilità sulle quali intervenire in anticipo rispetto a potenziali aggressori.
Infine, è importante l’utilizzo di prodotti software non obsoleti, per i quali vengano costantemente distribuiti dal produttore gli aggiornamenti e le patch di sicurezza necessarie a rimediare alle vulnerabilità informatiche che emergono di volta in volta.
[1] F. PIZZETTI, La protezione dei dati personali e la sfida dell’Intelligenza Artificiale, in F. PIZZETTI (a cura di), Intelligenza Artificiale, protezione dei dati personali e regolazione, Giappichelli, 2018, p. 108.
[2] F. PIZZETTI, La protezione dei dati personali e la sfida dell’Intelligenza Artificiale, in F. PIZZETTI (a cura di), Intelligenza Artificiale, protezione dei dati personali e regolazione, Giappichelli, 2018, p. 130.
[3] Come indicato dal Garante privacy nella Guida al Regolamento in materia di protezione dei dati personali,“non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure minime di sicurezza”
[4] Per approfondimenti v. K. D. MITNICK, L’arte dell’inganno – I consigli dell’hacker più famoso al mondo, Universale Economica Feltrinelli, 2003, pp. 258 ss.
[5] J. SALTZER, The Protection of Information in Computer Systems, 1975.
[6] Vedi il Provvedimento del Garante Privacy del 14.11.2008 in merito alla designazione degli Amministratori di Sistema (AdS), alla necessità di verificare la loro attività e di registrare i loro accessi al sistema.
[7] E’ chiaro che tale classificazione rientra in un piano di sicurezza volto a tutelare le informazioni aziendali nella loro totalità, indipendentemente dal fatto che esse rientrino o meno nella definizione di dato personale fornita dall’art 4 del Gdpr.
[8] Vedi, da ultimo, il Provvedimento del Garante Privacy n. 548/2017.
Autore