martedì, aprile 18, 2006

Adeguarsi alla legge 196/2003: una chimera

E' finalmente operativa la legge sulla "Sicurezza dei Dati" o DPS o, più propriamente, legge 196/2003. Il decorso dell'attuazione di tale normativa ha attraversato, come succede spesso in Italia, una serie infinita di rinvii. In egual modo, ovvero con estrema superficialità, è stato ed è tuttora affrontato il problema della sicurezza dei dati informatici da parte dell'utente, a qualunque categoria lavorativa esso appartenga.

Ora che la legge è operativa, e solo ora, la stragrande maggioranza degli utenti coinvolti, pensa finalmente ad adeguarsi in qualche modo. Infatti, forti del fatto che vi sarebbe stato un ulteriore slittamento nell'obbligo ad ottemperare, la maggioranza di essi si è ritrovata a dover supplire, in poche ore ed in qualche modo al colpevole ritardo. Tant'è... l'Italia, si sa, è un paese votato alla superficialità ed alla improvvisazione.

Fa amaramente riflettere che, mettere in sicurezza una postazione, non è un'esigenza che nasce dall'intelligente discernimento di un individuo che intende lavorare al riparo da incidenti informatici (ogni anno, il danno economico per incidenti informatici a vario livello, raggiunge l'astronomica cifra di 61 milioni di euro), ma risulta essere una mal digerita "imposizione" derivante da una legge.

Ma vediamo come, la maggioranza degli utenti informatici, obbligati a redigere il documento sul DPS, ha deciso di affrontare siffatta incombenza e, soprattutto, verifichiamo e tocchiamo con mano la reale impossibilità, da parte di chiunque non adotti particolari metodologie di lavoro, di adeguarsi effettivamente alla legge 196/2003.

Entriamo nel dettaglio, rapportandoci con alcuni punti del documento di attuazione e facendo qualche esempio...

Buona parte degli utenti informatici, possiede ancora sistemi operativi desueti su macchine vetuste. Nello specifico, essi si ritrovano con Pc che non hanno password di protezione attivabile da BIOS ed hanno Windows 98 o ME (in taluni casi anche Windows 95) come sistema operativo, i quali non forniscono nessuna protezione via password.

I motivi sono principalmente due:
a) Buona parte dei vecchi programmi di contabilità attualmente in uso (parliamo, ad esempio, degli studi dei commercialisti) non può "girare" nemmeno in emulazione MS-DOS, ma solo in ambiente DOS puro. Ciò, di fatto, impedisce l'adozione di Windows XP, a meno che non si preveda la migrazione completa del database clienti (e quant'altro) su software e macchina/OS più recenti;
b) Molti utenti sono completamente refrattari al "nuovo" ed insistono con il voler continuare ad utilizzare softwares e sistemi operativi antidiluviani. A nulla serve invocare: "La sicurezza dei dati è una questione in primis... personale". Ti viene risposto: "Sì... ma tanto, io la posta la cancello ed i documenti li stampo". :-
c) Windows 95, 98, 98SE e Millennium non possiedono sistemi antiintrusione dalla rete al PC (Firewall) e, spesso, l'utente al quale viene fatto notare questo non indifferente dettaglio, adduce giustificazioni degne di un romanziere, per non dotarsi di un software di terze parti che supplisca alle deficienze dei vecchi sistemi operativi.
Se proprio non vuoi cambiare PC e sistema operativo, perlomeno mettiti in sicurezza con metodi alternativi! Figuriamoci. Troppe spese!.

Sulla base di quanto detto, i punti:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
e) protezione degli strumenti elettronici e dei dati rispetto ai trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

...non possono essere che disattesi.

Sin qui, si potrà eccepire che, in effetti, basta sostituire macchine, sistemi operativi e softwares, per poter adempiere, perlomeno, agli obblighi di legge. Pienamente d'accordo, ma a questo punto non potremo risolvere il problema che si incontra nel rapportarci al punto (f), laddove si recita:

"Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi".

Riassumendo. Una volta adeguatisi ai punti a), b), c), e) e, visti i presupposti, già questo mi sembra assai difficile, resta come poter fare altrettanto con il punto (f) e precisamente laddove esso precisa:

"...ripristino della disponibilità dei dati e dei sistemi".

Infatti! Qui arriva il bello della faccenda. L'unica metodologia efficace per rispettare tale presupposto legislativo implica la netta separazione fisica del sistema operativo (e della sua riconfigurazione) dai dati utente, così come è mia abitudine fare da anni. Tale prerogativa è esclusiva e non mi consta sia stata applicata in tutti i suoi aspetti da altri utenti e, soprattutto da aziende informatiche piccole, medie o grandi. Per quanto riguarda il backup dei dati, anche qui siamo alla preistoria informatica, poiché in molti si giustificano dicendo che, ogni tanto, copiano su floppy disk, e per loro è più che sufficiente. A tal proposito rammento un gustoso episodio, protagonista un magazzino che emetteva centinaia di fatture alla settimana, che effettuava il backup dei dati del software di fatturazione, su floppy, e fin qui... possiamo ancora capire, ma il problema era che su quelle decine di floppy vi erano solo i collegamenti ai file .dat e non i files stessi!

Un dato su tutti: chi di voi non salva i propri documenti mettendoli sul desktop? Male! Malissimo! Perché? Perché il desktop corrisponde al seguente percorso:

"C:\Documents and Settings\Nome Utente\Desktop"

Mi dite come potete recuperare i vostri dati di lavoro se Windows si rifiutasse di partire? E mi dite come ripristinare Windows senza perdere automaticamente i dati lasciati sul desktop?

E' vero. E' possibile ripristinare un sistema su di una macchina predisposta dalla casa costruttrice del computer, ma il sistema di ripristino adottato, comporta necessariamente la perdita dei dati utente, riportando il computer allo stato di pre-vendita.

Perché tutto questo? Semplice, perché nessuna azienda vi fornirà mai di un computer con sistema operativo riconfigurato in modo tale da avere TUTTI i dati utente separati dal sistema operativo, con buona pace delle aziende per il recupero dei dati.

Quindi...
a) Se ripristino il sistema operativo, non devo perdere i dati di lavoro;
b) Se voglio ripristinare i dati, senza toccare il sistema operativo, devo averli separati fisicamente dal sistema operativo stesso.

Entrambi questi punti non sono applicabili da nessuno, quindi la legge è sì operativa, ma non può essere rispettata in alcun modo, poiché non vi sono i presupposti tecnici ed educativi per mettere in sicurezza i dati di lavoro. In realtà è semplice, ma nessun rivenditore ha l'intenzione, nonché le conoscenze per farlo. Ricordiamoci che, se acquistiamo un computer HP, Acer, IBM/Lenovo, Packard Bell, Asus, Toshiba ecc., questi hanno il sistema operativo preinstallato, configurato così come Microsoft l'ha concepito, ovverosia con i dati utente nella directory:

"C:\Documents and Settings\Nome Utente"

Ed il vostro rivenditore, ovviamente, ve lo lascerà così come l'ha ricevuto dal suo fornitore. Al massimo vi installerà i programmi e poi basta. Il suo lavoro si limiterà a quello, perché null'altro sarà in grado di fare.

Il computer avrà inoltre una partizione logica (D) praticamente vuota ed inutilizzabile. Al massimo, l'utente intelligente potrà ricoverarvi, in maniera artificiosa (per Windows la cartella documenti è sempre in "C:\Documents and Settings\Nome Utente"), i suoi dati di lavoro (documenti di testo, foto, ecc.), ma non potrà fare nulla per quanto riguarda, ad esempio, i dati di posta elettronica, le rubriche di Outlook ed Outlook Express, i preferiti di internet ecc., che rimarranno nella partizione di sistema (C).

Il metodo di ripristino (laddove esso sia fornito insieme al PC) di siffatte macchine è strutturato in modo tale, come dicevo, da riportare il SO allo stato di pre-vendita, senza curarsi minimamente, è ovvio, di ricoverare i dati di lavoro ancora certamente presenti in "C:\Documents and Settings\Nome Utente" solo per quel che concerne Windows ed in altre directories, sempre sparse su "C" da altri applicativi.

E' un dato di fatto che, talune persone (utenti finali e non), dalla scarsa intelligenza e dalla notevole prosopopea, si rifiutano categoricamente di seguire consigli che vengono dati solo nel loro interesse. Essere ignoranti non è una colpa, ma perseverare nell'errore e rifiutarsi di imparare è da perfetti idioti.

Per concludere

Qualunque documento di autocertificazione l'utente ora stia compilando o abbia già compilato, dichiarando di essersi messo in regola, sarà non solo lettera morta e mendace, ma dimostrerà, ancora una volta, che un conto è pensare una legge ed un altro conto è pensarla alla luce della reale situazione in cui si trova la totalità dei fruitori di strumenti informatici, in Italia come all'estero.

In definitiva: la sicurezza dei dati non si ottiene con le leggi, ma con l'adozione di metodologie innovative e con la corretta educazione degli utenti... cosa che, a tutt'oggi, è solo fantascienza e tale rimarrà per i secoli a venire.

© Rosario Marcianò

COSA DICE LA LEGGE
Backup obbligatorio: per la gestione e per Legge
La difesa del patrimonio delle informazioni è un passaggio obbligatorio per ogni organizzazione.
Allorquando le informazioni vengono trattate per mezzo di strumenti informatici, la replica dei dati critici è la modalità obbligata al fine di non dover affrontare costi rilevanti per la ricostruzione di dati, ammesso che la ricostruzione sia effettivamente possibile.
Tale argomento interessa sia chi opera con un solo personal computer (a maggior ragione se il p.c. è un portatile, più facilmente assoggettato alla sottrazione piuttosto che alla rottura) sia le organizzazioni (enti, aziende, Pubblica Amministrazione ecc.) che ricorrono in modo continuativo all’uso del patrimonio delle informazioni, la cui consistenza diventa giornalmente più rilevante.
Il tema della sicurezza informatica è alla quotidiana attenzione di tutti coloro che si occupano di problemi gestionali. Un momento di riferimento sono le norme contenute nel SGSI – Sistema di Gestione per la Sicurezza delle Informazioni, normativa ISO 17799 derivata dalla BS 7799.
Inoltre per chi tratta dati personali è obbligatorio il rispetto del “Codice in materia di protezione dei dati personali” più conosciuto come Legge sulla Privacy (DLgs. 196/03) che, con decorrenza dal 1° Gennaio 2005, prescrive l’obbligo di backup almeno settimanale tra le misure minime di sicurezza da applicare ai dati sensibili.
Il D.L. 30 giugno 2003 n. 196 "Codice in Materia di Protezione dei Dati Personali" è entrato in vigore il 1 gennaio 2004 e definisce le misure minime di sicurezza idonee che devono essere utilizzate nel trattamento dei dati.
"Per "trattamento" deve intendersi qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati"
Art. 34. Trattamenti con strumenti elettronici.
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto ai trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
L’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati, viola l'obbligo per il titolare dei dati, compreso il diritto fondamentale alla protezione dei dati personali delle persone che può essere esercitato nei confronti del titolare del trattamento (artt. 1 e 7, comma 3, del Codice), ed espone a responsabilità civile per danno anche non patrimoniale qualora, davanti al giudice ordinario, non si dimostri di aver adottato tutte le misure idonee ad evitarlo (artt. 15 e 152 del Codice).
Pertanto, in aggiunta alle conseguenze appena citate, il Codice conferma l’impianto secondo il quale l’omessa adozione di alcune misure indispensabili ("minime"), costituisce anche reato (art. 169 del Codice), che prevede l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro.
Per ulteriori informazioni Garante della Privacy

1 commento:

Anonimo ha detto...

Il problema è Windows !
In Linux non esistono questi problemi, soprattutto perchè non esiste un falso Firewall come in XP (non dire che avrebbe sistemi anti-intrusione poi ...), ma soprattutto girano vecchi software da MS/DOS e nuovissi di XP ... e i dati possono essere separati dall'OS

Sempre problema di cattiva educazione Windows :
Se usi Seamonkey o l'accoppiata TB+FF risolvi i problemi, se usi OpenOffice metti automaticamente in zona riservata, puoi gestire copie di sicurezza, e i backup e ripristini "filano" in tutta sicurezza e semplicità !
Con Linux FoxLinux e Linux Linspire e similari oramai è più facile di Windows e non tanto diverso da quest'ultimo !

Insomma bisogna che informi i tuoi clienti correttamente.

Ciao