L’ultimo Rapporto Clusit riporta come nel recente periodo siano aumentati, notevolmente rispetto al passato, gli attacchi ai sistemi informativi delle organizzazioni pubbliche e private, inclusi i sistemi sanitari. Ed è proprio l’interesse verso questi ultimi ad essere cresciuto perché ritenuti più “remunerativi” quando la tipologia di attacco è quella basata sul ransomware, ad oggi quella maggiormente utilizzata.
La causa alla base di molti di questi attacchi, ormai è noto, è spesso la negligenza, la scarsa attenzione, la disinformazione degli utenti dei servizi ICT; criticità in ogni caso dipendenti dal fattore umano.
È altrettanto scontata, e viene ribadito in tutti i contesti in cui si discute il problema, la necessità di investire sul personale. Ma come farlo? Su cosa concentrarsi in particolare?
Attacchi cyber emergenza globale, ci costano il 6% del PIL: i dati del rapporto Clusit 2021
Indice degli argomenti
La sicurezza informatica nel GDPR
Ovviamente non esiste una ricetta che risolva tutti i problemi; le soluzioni sono tante e diverse. Lo stesso Regolamento Europeo 2016/679 (il GDPR) assegna al titolare del trattamento di dati personali il compito di individuare e implementare le misure adeguate, tecniche e organizzative, per proteggerli.
Ma quello su cui è necessario riflettere riguarda proprio le misure organizzative, che certamente non possono prescindere dalle misure tecniche ma che forse vengono tuttora poco considerate.
È ancora troppo frequente, infatti, la convinzione per cui la sicurezza di un sistema informativo sia solo una questione tecnica a carico dell’amministratore di sistema o del reparto IT. A tal proposito è bene ricordare la differenza fra un sistema informativo ed un sistema informatico: il primo rispetto al secondo, comprende anche le risorse umane che operano tramite il sistema e che quindi sono parte integrante di esso. E dal punto di vista della sicurezza non sono una componente trascurabile.
L’insieme delle misure tecniche e organizzative deve essere definito e adeguato con molta attenzione (anche questo è organizzazione) perché, se è vero che un data breach può tradursi in un danno per l’interessato nel breve periodo, è anche vero che una eccessiva rigidità con una conseguente scarsa circolazione dei dati, soprattutto in settori come quello della ricerca scientifica, può provocare altrettanti danni sul lungo periodo, costituendo un freno allo sviluppo tecnologico.
Spesso, infatti, parlando di protezione dei dati ci si dimentica come lo stesso GDPR nasca con l’intento di stabilire delle regole il cui fine è quello di favorire la circolazione dei dati, concetto espresso già nel titolo del Regolamento e ribadito nel paragrafo 3 del primo articolo.
Per fare un paragone calzante, occorrerebbe considerare i dati come il denaro: accumularlo per tenerlo sotto il materasso non è vantaggioso per l’economia ma è ovviamente necessario che questo circoli in maniera lecita e regolamentata. Le misure organizzative “adeguate” dovranno essere costruite, come un vestito su misura, sul contesto specifico, sebbene alcune di queste potranno ritenersi sempre valide.
GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia
La formazione del personale
Anche la necessità di investire sulla formazione del personale viene ribadita e formalizzata dal GDPR, che all’articolo 29 stabilisce che chiunque abbia accesso a dati personali debba essere istruito dal titolare o dal responsabile del trattamento.
Tuttavia, tali istruzioni non possono esaudire la necessità di costruire una vera e propria coscienza sul concetto di protezione dei dati, che dev’essere necessariamente e contestualmente accompagnata dalla conoscenza delle nuove tecnologie; la necessità di protezione dei dati non deve trasformarsi in ossessione e conseguente diffidenza verso i nuovi strumenti con il risultato di rallentarne lo sviluppo.
Il ruolo importante del DPO
Un ruolo importante nel costruire questa consapevolezza e sensibilità lo assume il Responsabile della Protezione dei Dati personali (RPD o DPO, Data Protection Officer), figura introdotta dal GDPR per tutte le pubbliche amministrazioni e molti contesti anche privati. Il RPD ha fra i propri compiti quelli di fornire consulenza al titolare e ai dipendenti e di sorvegliare sull’osservanza del Regolamento europeo anche in merito alla formazione del personale stesso.
L’importanza del ruolo del RPD forse non è ancora ben compresa ed è anche questa la ragione che ha portato il Garante per la Protezione dei Dati Personali a pubblicare recentemente il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, nonostante avesse già promosso e sostenuto precedenti iniziative atte ad evidenziare l’importanza di tale figura.
Il Garante sostiene, infatti, che “dal 2018 ad oggi, pur a fronte di una maggiore sensibilità al tema, si registrano ancora, nella realtà delle pubbliche amministrazioni, diverse incertezze che impediscono una compiuta realizzazione di questa importante figura e che rischiano di pregiudicare una piena adesione ai principi e alle regole della protezione dati, che costituiscono un necessario presupposto per assicurare la tutela dei diritti e delle libertà fondamentali delle persone”.
Come detto, la figura del RPD è obbligatoria per la PA e, per questo, il Garante evidenzia come “tale onere generalizzato sia stato talvolta vissuto come un mero adempimento formale, senza comprendere adeguatamente l’importanza della figura in questione nel supporto e nella vigilanza sulla correttezza dei trattamenti di dati personali effettuati dal titolare”[1].
Investire sulla figura del RPD vuol dire riconoscergli un ruolo cruciale nell’organizzazione, ruolo che deve poter svolgere senza conflitti derivanti da ulteriori carichi di lavoro e/o da possibili condizionamenti e con le adeguate risorse in funzione delle dimensioni e complessità dell’organizzazione.
Il RPD, con il supporto di un team adeguato, dovrebbe dedicare all’aspetto di consulenza e formazione almeno lo stesso impegno riservato alle attività di controllo e sorveglianza, tramite incontri con il personale, attività formative e strumenti che supportino i dipendenti dell’organizzazione nel capire ed implementare le misure necessarie per realizzare una efficace protezione dei dati.
L’aspetto della formazione e sensibilizzazione avrebbe anche utili ricadute in una più agevole attività di controllo e monitoraggio.
È facilmente comprensibile come questo tipo di attività richieda che la figura del RPD si dedichi pienamente a questa attività. Ancora oggi sono diversi i casi di RPD che svolgono contemporaneamente e a volte per la stessa organizzazione anche attività che possono limitarne l’impegno o generare conflitti (fornitori di servizi ICT o professionisti che rappresentano legalmente l’organizzazione) e che quindi riducono l’efficacia dell’azione che tale figura dovrebbe garantire a tutela prima di tutto dell’interessato e, come conseguenza, dell’organizzazione.
L’esempio del CNR
In una realtà grande e complessa come è quella del Consiglio Nazionale delle Ricerche, al fine di affrontare al meglio la tematica della protezione dei dati, il RPD è affiancato da sette corrispondenti, uno per dipartimento (che raggruppa gli istituti per tematiche di ricerca), con competenze diversificate; non solo giuristi o tecnologi ma anche esperti in comunicazione e processi amministrativi. I compiti e le funzioni del titolare sono assegnate ai direttori degli 88 Istituti e ai 54 dirigenti delle altre strutture e uffici. Ad ognuno di loro è richiesto di nominare un referente privacy che costituisce il primo supporto per i dipendenti oltre che assumere il ruolo di interfaccia con il team del RPD ed il direttore generale. Quest’ultimo, a sua volta, ha il compito di coordinare i responsabili interni. Inoltre, un gruppo di lavoro si occupa di affrontare, in accordo con il RPD, le problematiche comuni all’intero Ente, attuando la separazione dei ruoli fra il RPD, con il compito di sorveglianza e consulenza, ed il titolare, cui spetta il compito di implementare le misure necessarie.
La gestione delle identità digitali
Un’altra misura che fa certamente uso di soluzioni tecniche ma che richiede uno sforzo organizzativo significativo riguarda la gestione delle identità digitali. Di questo tema se ne parla ormai da tempo ma probabilmente sono tanti i casi in cui le identità digitali non sono gestite correttamente, sottolineando che, laddove vengono creati account per l’accesso a servizi digitali e vengono assegnati privilegi, le identità sono comunque gestite, sebbene non nel migliore dei modi.
Cosa vuol dire quindi gestire opportunamente le identità digitali? Per prima cosa centralizzarne la gestione (a livello di organizzazione) e poi separare la fase dell’autenticazione da quella dell’autorizzazione.
Centralizzare la gestione delle identità digitali non vuol dire affidare ad una figura (una persona o un singolo ufficio) la creazione degli account di accesso ai servizi ma costruire una infrastruttura per l’Identity Management: un sistema che costituirà lo snodo fra chi genera le informazioni (gli attributi) che compongono l’identità digitale (i diversi reparti dell’organizzazione e lo stesso utente) e chi poi andrà ad utilizzare tali informazioni (i servizi).
I vantaggi sono molteplici: dal distinguere più agevolmente le fasi di autenticazione e autorizzazione, al mantenere un maggiore controllo sui privilegi concessi, al poter astrarre dal meccanismo di autenticazione utilizzato.
Sistemi e tecnologie per la gestione delle identità digitali
La possibilità di disaccoppiare la fase di autenticazione da quella di autorizzazione consente di accedere a diverse opportunità oggi disponibili e ancora poco usate in ambito privato, come possono essere quelle offerte dalle infrastrutture di autenticazione federata, quali SPID, la Carta d’Identità Elettronica o la Tessera Nazionale dei Servizi.
Tutti questi sistemi possono essere utilizzati per implementare la fase di autenticazione, in maniera sufficientemente robusta e affidabile, anche tramite soluzioni open source, delegando la fase di creazione e di verifica delle identità degli utenti ad una figura terza, l’Identity Provider (in realtà a più Identity Provider), eventualmente localizzato non solo in Italia ma sull’intero territorio Europeo grazie all’interoperabilità prevista dal Regolamento UE 910/2014 (eIDAS). Il livello di robustezza della fase di autenticazione potrà essere selezionato dall’organizzazione dell’utente, che gestisce il servizio di accesso al dato[2], in funzione della tipologia e criticità del dato stesso.
La fase di autorizzazione e soprattutto il controllo dei privilegi di accesso ai dati viene semplificata e snellita implementando l’accesso basato sui ruoli e/o attributi (Role/Attribute Based Access Control).
Una volta definiti i privilegi sulla base di un particolare ruolo all’interno dell’organizzazione o sulla base di un profilo predefinito (sulla base della tipologia di rapporto, dell’assegnazione ad un reparto ecc.) sarà immediata la rimozione dei privilegi di cui gode un particolare utente nel momento in cui dovesse cambiare il suo profilo (ad esempio spostandosi di reparto) o il suo ruolo (una diversa mansione) o ancora nel caso in cui il suo rapporto con l’organizzazione dovesse concludersi[3].
Perché il tutto possa funzionare correttamente è necessario dedicare particolare attenzione alla gestione delle informazioni (gli attributi) che compongono l’identità digitale che dovranno essere inserite da chi ha autorità per farlo. Non l’amministratore IT e certamente non una singola persona o ufficio. Sarà, ad esempio, l’ufficio del personale a gestire le informazioni sul rapporto contrattuale del dipendente con l’organizzazione ed il responsabile del suo reparto a definirne il ruolo all’interno dello stesso.
Si potrebbe osservare che centralizzare la fase di autenticazione, magari delegandola all’esterno, potrebbe creare difficoltà ad attuare politiche di aggiornamento periodico delle password come richiesto dalle buone prassi (e dalle misure minime di sicurezza indicate da AGID). Su questo punto andrebbe osservato che innanzitutto il NIST, considerato un riferimento in materia di cybersecurity e che è stato la fonte da cui sono derivate le stesse misure minime, non considera più questa come una buona pratica. In ogni caso una politica di questo tipo, qualora si volesse applicare, dovrebbe essere “dettata” dalla fase di autorizzazione e quindi dal servizio di accesso al dato. L’intervallo di tempo richiesto per l’aggiornamento delle credenziali dipende infatti dalla criticità del dato e l’identity provider dovrebbe limitarsi, eventualmente e dove possibile, a fornire le indicazioni su quando sia avvenuta l’ultima modifica. Sulla base di questa informazione il servizio potrà stabilire se consentire l’accesso o richiedere all’utente di aggiornare le proprie credenziali.
Conclusioni
Una maggiore consapevolezza unita ad una buona gestione delle identità digitali può quindi contribuire a limitare, grazie alla riduzione del numero di password e all’implementazione di meccanismi di autenticazione multifattore, anche gli eventi causati da “disattenzione” dell’utente come della stessa organizzazione.
NOTE
Provvedimento del 29 aprile 2021 del Garante per la Protezione dei Dati Personali – Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico [Doc Web 9589104]. ↑
Incidenti informatici sono spesso causati dai cosiddetti “account zombie”, ovvero account non chiusi e non gestiti di utenti che hanno lasciato l’organizzazione. ↑