IL DATA BREACH O VIOLAZIONE DEI DATI E IL NUOVO REGOLAMENTO EUROPEO 679/2016 by Ordine degli Ingegneri della Provincia di Roma

INGEGNERIA

DELLA INFORMAZIONE a cura di Ing. N. D. Castelliti commissione Sicurezza informatica visto da Ing. P. Rocco

Ing. G. D’Agnese

L'articolo è tratto dalla Rivista IoRoma N°4/2016

IL DATA BREACH O VIOLAZIONE DEI DATI E IL NUOVO REGOLAMENTO EUROPEO 679/2016 Nuovi adempimenti in materia di sicurezza dei sistemi e dei dati a carico delle P.A. e delle imprese. 32 ordine degli ingegneri della provinCia di roma

INGEGNERIA

DELLA INFORMAZIONE a cura di Ing. N. D. Castelliti commissione Sicurezza informatica visto da Ing. P. Rocco

Ing. G. Dâ&#x20AC;&#x2122;Agnese

DELLA INFORMAZIONE

IL REGOLAMENTO INTRODUCE REGOLE PIÙ CHIARE IN MATERIA D’INFORMATIVA E CONSENSO, DEFINISCE I LIMITI AL TRATTAMENTO AUTOMATIZZATO DEI DATI PERSONALI, PONE LE BASI PER L’ESERCIZIO DI NUOVI DIRITTI, STABILISCE CRITERI RIGOROSI PER IL TRASFERIMENTO DEI DATI AL DI FUORI DELL’UE E PER I CASI DI VIOLAZIONE DEI DATI PERSONALI (DATA BREACH).

gnato, se non affrontato in maniera adeguata e tempestiva, da una situazione di pericolo, danno fisico materiale o immateriale, per le persone fisiche. a puro scopo di esempio, la violazione dei dati personali può provocare limitazione dei diritti della persona, discriminazione, furto d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo per la persona fisica.

DATA BREACH E REGOLAMENTO EUROPEO

l data Breach è un termine che indica una violazione sui dati che può avvenire a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi. la definizione di “Data Breach” è riportata dallo standard iso/ieC 27040 che lo definisce una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico nella Comunità”. se la violazione riguarda dati personali, il deterioramento delle funzionalità può essere accompa-

a maggio del 2016 è stato pubblicato sulla gazzetta ufficiale dell’unione europea il Nuovo Regolamento, n. 679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali che abroga la direttiva 95/46/Ce. tutte le imprese pubbliche e private dell’unione avranno due anni per adeguarsi al regolamento che, per sua natura, non richiede ulteriori atti legislativi di recepimento a livello di paese. sostituirà inoltre le leggi locali sulla privacy; per l’italia il d. leg.vo 196/2003. il regolamento europeo nell’articolo 33 impone che “…in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.” il successivo articolo richiede inoltre che “Quando la violazione dei dati personali è suscettibile di presentare un ri-

33 ordine degli ingegneri della provinCia di roma

DELLA INFORMAZIONE

Figura 1.

34 ordine degli ingegneri della provinCia di roma

schio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.” ma quali sono le cause principali che possono causare la perdita dei dati? lo studio “2016 Data Breach Investigations Report” (DBIR) pubblicato da Verizon Enterprise Solutions, riporta che una delle cause del Data Breach è l’errore umano. infatti, uno dei fattori più critici per la Cyber Security in ambienti pubblici o privati, è la formazione dei dipendenti. la mancanza di consapevolezza in

questo campo è un problema di qualsiasi organizzazione in quanto ogni forma di eventuale negligenza da parte delle persone può tradursi in esposizione del sistema a possibili violazioni. un esempio di negligenza è rappresentato dalla gestione delle password. l’attacco di tipo “forza bruta” consiste nell’eseguire delle procedure che mettono in atto in tempi brevissimi migliaia di tentativi di accesso al server dove risiedono le applicazioni da violare. il tempo impiegato è funzione di: tempo di accesso (linee e dispositivi), la lunghezza della password e la quantità di caratteri usati. il grafico (Figura 1) riporta in scala logaritmica il tempo massimo necessario per trovare la password, per una velocità di accesso pari a 105/sec. i calcoli sono stati compiuti ipotizzando l’uso di caratteri alfabetici o solamente maiuscoli o solamente minuscoli (26); i caratteri alfabetici sia maiuscoli sia minuscoli (52); tutti i caratteri alfanumerici (62); aggiunta di alcuni caratteri speciali (80). le diverse curve si riferiscono a diverse lunghezze della password (8, 9, 10, 15 caratteri). analizzando i dati si evince che il tempo necessario per trovare una password può spaziare dai pochi secondi alle ore e fino a diversi giorni, secondo la complessità della password e del set di caratteri usati, oltre che dalla velocità di contatto. È questo il motivo per cui il disciplinare tecnico, allegato B del d. leg.vo 30 giugno 2003, n. 196, “Codice in materia

DELLA INFORMAZIONE

L’ATTACCO DI TIPO “FORZA BRUTA” CONSISTE NELL’ESEGUIRE DELLE PROCEDURE CHE METTONO IN ATTO IN TEMPI BREVISSIMI MIGLIAIA DI TENTATIVI DI ACCESSO AL SERVER DOVE RISIEDONO LE APPLICAZIONI DA VIOLARE. IL TEMPO IMPIEGATO È FUNZIONE DI: TEMPO DI ACCESSO (LINEE E DISPOSITIVI), LA LUNGHEZZA DELLA PASSWORD E LA QUANTITÀ DI CARATTERI USATI.

di protezione dei dati personali”, impone che la lunghezza della parola “chiave”, quando è prevista dal sistema di autenticazione, sia composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, dal numero di caratteri pari al massimo consentito. tornando al test dell’indagine inglese, esso ha rilevato, nel giro di pochi giorni, che le password più usate erano quelle presentate nella tabella qui sotto, da cui si conclude che, almeno per questo social network, l’attenzione alle password è alquanto bassa (tabella 1).

CHE FARE IN CASO DI DATA BREACH? il legislatore ha voluto dare una grande importanza ad ogni forma di violazione, sia per l’evento in sé, sia per le conseguenze critiche che possono coinvolgere l’interessato. emerge inoltre la necessità, da parte del titolare del trattamento, di reagire in tempi rapidi, salvo dare spiegazioni di un eventuale ritardo. appare evidente la necessità di affrontare il problema della gestione del rischio di violazione con approccio olistico su due piani diversi ma integrati: da una parte un’infrastruttura tecnica di protezione proattiva, basata su proposte ampie e dettagliate di un mercato; dall’altra una cultura aziendale finalizzata a proteggere l’anello debole della catena di difesa: il personale. i processi di ingegneria sociale, descritti magistralmente da Kevin David Mitnick nel 2002, sono ancora validi, in quanto l’evoluzione degli strumenti è di gran lunga più veloce dell’atavica inerzia che caratterizza gli esseri umani. bisogna acquisire la mentalità per la quale lavorare su

Password

Frequenza

123456

753,305

172,523

password

144,458

123456789

94,314

12345678

63,769

111111

57,21

1234567

49,652

sunshine

39,118

qwerty

37,538

654321

33,854

Tabella 1.

dati o, ancor più, su dati personali, richiede la stessa attenzione della guida di un’automobile, consapevoli che ogni errore può fare incorrere in incidenti d’impredicibile gravità. lo stesso Rapporto Clusit 2016 sulla Sicurezza ICT in Italia conferma che nel 2015 si è assistito alla diffusione ormai endemica di attività cybercriminali “spicciole” (…) per esempio le quotidiane campagne di estorsione realizzate tramite phishing (truffa on-line) e ransomware (virus informatici), che hanno colpito moltissime organizzazioni e cittadini italiani, a dimostrazione che tanto si deve ancora fare sul fronte della cultura aziendale per arginare Data Breach a diversi livelli.

CONCLUSIONI poiché la gestione del data Breach ricade pienamente in un evento di Risk e Crisis Management, la sua gravità deve essere valutata con tutta la dovuta competenza. i consigli utili alle aziende per mitigare i rischi di una “Data Breach” possono essere sintetizzati come segue: - trasformare l’utente da anello debole a prima linea di difesa; - applicare il principio del minimo privilegio per quanto riguarda l’accesso ai dati; - adottare puntuali politiche per aggiornare i sistemi; - proteggere adeguatamente i dati (ad esempio crittografare i dati sensibile; - utilizzando meccanismi di autenticazione a due fattori; - rivolgere grande attenzione anche alla sicurezza fisica. ■

35 ordine degli ingegneri della provinCia di roma