Oceano GDPR: Pubblica Amministrazione e PMI a rimorchio dell’Open Source per entrare in porto

“TERRA, TERRA IN VISTA…”

Chi non ha mai sentito questa frase urlata a squarciagola da un marinaio di vedetta durante una proiezione di un film di pirati o non l’ha letta in qualche classico di avventura?

L’ “epilogo di un viaggio” può essere di diversi tipi: si può raggiungere la destinazione (magari dopo avere navigato anche in acque molto agitate), si può rinunciare a raggiungere il porto di destinazione (dopo magari aver preso coscienza di aver sbagliato rotta) oppure si può continuare a navigare perché durante il viaggio la rotta è stata via via corretta e, con un po’ più di tempo, quel fatidico porto sarà raggiunto.

Queste metafore marinaresche ben ricalcano “il viaggio” che le Pubbliche Amministrazioni e le “aziende” (nel senso più ampio possibile) dei paesi membri dell’UE, hanno affrontato (o dovrebbero aver fatto – ndr -) praticamente da 24 mesi verso il “porto di destinazione” il cui approdo dovrà avvenire entro il 25 maggio 2018.

In questo “porto” le diverse flotte ci arriveranno chi prima, chi dopo e forse (qualcuno) purtroppo non ci arriverà mai proprio a causa di errori di valutazione, inerzia, noncuranza o mala gestione.

Il nuovo Regolamento Europeo di Protezione Dati Personali, è oramai cosa nota e la “rotta” per arrivare al suo porto (conformità) è stata tracciata già da tempo. Certo il viaggio non era (e per alcuni non sarà ancora) facile, né breve, ma nella rotta erano ben indicati anche gli “scali tecnici” necessari ad arrivare in tempo e conformi alla “banchina di attracco”.

Ancora oggi, a circa un mese dalla piena operatività del GDPR, ancora molte sono le discussioni, i dubbi, le incertezze e i problemi che persistono nonostante l’impegno dell’Autorità Garante Nazionale, degli addetti ai lavori e dei destinatari stessi della nuova normativa consapevoli del nuovo che sta arrivando.

Al di là delle novità inserite all’interno del codice che i destinatari dovranno attuare per tendere ad una piena conformità (principio di responsabilizzazione – accountability – , privacy by design and by default, eventuale nomina del/dei DPO, registri dei trattamenti ecc.) la voce che, per alcuni versi, potrebbe essere responsabile di buona parte delle non conformità/inadempienze (specie per le Pubbliche Amministrazioni) appare sempre di più quella legata agli investimenti/stanziamenti di fondi da dedicare proprio agli adeguamenti pro-GDPR.

Nella Pubblica Amministrazione, oramai sempre più oggetto di tagli (dal punto di vista finanziario, di risorse di personale ecc.), sperare che vengano destinate delle risorse (quantomeno economiche) per lavorare sulla conformità al GDPR pare realmente utopistico (quantomeno a parere dello scrivente).

La problematica è ancora più seria, se consideriamo che, all’interno di molte PA, non esiste del personale da poter destinare all’effettuazione di tutti quei processi di analisi, reingegnerizzazione delle procedure, digitalizzazione, informatizzazione ecc che necessiterebbero per poter portare a compimento il percorso di adeguamento in se (NDR queste necessità erano già esistenti, ma non sono mai state considerate “preminenti”, nonostante esistessero normative nazionali che le imponessero o raccomandassero [Circolari AgiD, CAD, ecc] lasciando quindi che il GAP fra dipendente pubblico (prima) e dipendente pubblico 2.0 (poi) aumentasse sempre più).

Problema simile nelle conseguenze, ma leggermente differente per le motivazioni, possiamo trovarlo nel panorama delle PMI. In questo ambito, se trovare un dipendente con maggiore specializzazione/preparazione è più facile, ugualmente difficoltoso risulta reperire porzioni di budget da destinare all’intero processo di adeguamento e a quanto ne deriva (a causa sia della situazione nazionale del settore sia di una (forse) scarsa attenzione da parte delle istituzioni a questa importante fetta del tessuto economico/industriale italiano).

Come fare allora? Salvo poter ricominciare “a stampar moneta” come ai tempi dell’antica Repubblica, la soluzione (o qualcosa di simile) potrebbe venire dal mondo dell’OPEN SOURCE.

In questo panorama, infatti, non solo in diretto riferimento al GDPR, è possibile reperire risorse che, quantomeno a grandi linee, potrebbero contribuire a indirizzare verso uno stato di conformità alla nuova normativa europea.

Ricordiamo, infatti, che nel GDPR spesso si fa riferimento a “… misure tecniche e organizzative idonee …” che il Titolare del Trattamento dovrà mettere in campo per proteggere i dati personali e la loro sicurezza durante le operazioni di trattamento (es. Art. 6 – Art. 24 – Art. 25 – Art. 32 –Art. 35 c.7 lett. d) per citare alcuni esempi)

Ovvio che soluzioni tecniche, informatiche e tecnologiche ON-DEMAND esistano, ma, ahimè, spesso non sono a buon mercato e dubito che le aziende produttrici di questi prodotti siano disposte a far della “beneficenza”.

Da una recente ricerca è emerso come, in seguito all’avvento del GDPR, la spesa per investimenti in sicurezza IT nel periodo 2017 – 2021 si attesterà su un tasso annuo di crescita composto del 19,5% con picchi previsti nel prossimo anno (2019) quando gli investimenti raggiungeranno i 3,7 miliardi di dollari globali (a livello Italia nel 2019 è previsto che sfiorerà i 230 milioni di dollari di spesa!!). Va da se che l’esito di questa ricerca difficilmente (se non sicuramente) potrà verificarsi nella PA e nelle PMI (!!)

Quali indicazioni dare allora ad una PA o PMI che volesse (in attesa di reperire eventuali fondi) tendere alla conformità al GDPR utilizzando strumenti OPEN SOURCE?

Innanzi tutto indirizzarsi verso applicativi che possano essere utilizzati sia per verificare lo stato di sicurezza delle proprie infrastrutture di rete sia dei propri applicativi e delle policy di sicurezza.

A questo scopo potremmo citare come esempi suddivisi in categorie:

Software IDS/IPS (Intrusion Detection/Prevention Software): gli applicativi che effettuano un monitoring costante, a vari livelli, delle reti informatiche identificando e segnalando le anomalie di traffico o tentativi “sospetti” di accessi (da esterno a interno e viceversa)

Esempi: SNORT / SURICATA / OSSEC free IDS;

---

Software Antimalware / Antivirus: applicativi che, data l’evoluzione delle minacce informatiche in rete, devono convivere sempre all’interno di ogni singola postazione. Importante la presenza di funzionalità di protezione real time oltre alla possibilità di programmare scansioni a vari livelli e di disporre di aggiornamenti.

Esempi: MALWAREBYTES / SPYWARE TERMINATOR / Kaspersky Free, BitDefender Free Edition;

---

Firewall: software utili e necessari per la protezione delle connessioni e della rete da intrusioni esterne.

Esempi: ZONEALARM FREE / COMODO FREE / GLASSWIRE;

---

Software di Log management: sono software utilizzati per la registrazione completa degli eventi all’interno di una azienda, struttura, organizzazione al fine di rilevare rischi e minacce (anche provenienti dall’interno) alle infrastrutture e ai dati “aziendali”

Esempi: KIWI SYSLOG SERVER / PRTG / SNMPSoft Sys-log Watcher

---

Altre possibilità sarebbe possibile reperirle, porgendo lo sguardo al mondo LINUX (dato che di OPEN SOURCE che stiamo parlando), e utilizzare una delle collaudate distribuzioni che si focalizzano sulla sicurezza informatica. Al loro interno è possibile trovare set di applicativi che si focalizzano su numerosi aspetti della sicurezza IT (reti – LAN e WiFi -, siti, recupero dati, recupero supporti danneggiati/cancellati, monitoring e log-managment).

Esempi: DEFT / CAINE / PARROT OS / QUBESOS

---

L’utilizzo di queste distribuzioni può essere utile anche per l’effettuazione di analisi interne legate a vulnerabilità presenti all’interno delle reti aziendali, dei siti web o anche delle singole postazioni a causa di mancati aggiornamenti di sicurezza, di versioni o mancata installazione di patch rilasciate dai relativi fornitori di software/servizi.

Ma non solo nel panorama software/sicurezza IT è possibile trovare un “aiuto” nel processo di adeguamento al GDPR.

Esistono, infatti, anche da questo punto di vista una serie di aiuti OPEN che è possibile reperire in rete quantomeno per avviare il processo di adeguamento:

Citiamo alcune di queste risorse:

1. Valutazione di impatto sulla protezione dei dati: sul sito del CNIL (Autorità di Protezione Francese), è stato reso disponibile un software open source che aiuta i Titolari nella redazione della valutazione di impatto (DPIA);
2. Registro dei Trattamenti: Sul sito dell’Autorità Belga è stato reso disponibile un modello excel di registro dei trattamenti oltre ad una serie di chiarimenti pratici sull’argomento;
3. Designazione DPO / RPD: Sul sito dell’Autorità Garante Italiana sono state pubblicate una serie di FAQ su questo argomento (sia per ambito Pubblico che Privato) nonché uno schema di “atto di designazione “per questa nuova figura;
4. Privacy by design: sul sito dell’Autorità norvegese è stata pubblicata un’interessante guida destinata principalmente a sviluppatori software ma non solo
5. Sicurezza nei trattamenti e privacy nelle app: due guide sono state rese disponibili in occasione del Data Protection day dello scorso 18 gennaio da parte dell’ENISA (Agenzia europea per al Sicurezza delle reti e dell’Informazione). Principalmente destinate alle PMI, ma comunque utili per districarsi nella gestione del rischio connesso all’utilizzo di apparecchiature informatiche.

Va da se che gli strumenti e le soluzioni citati, anche solo a titolo di esempio nel presente articolo, da soli con molta probabilità, non saranno sufficienti a traghettare pienamente una PA o una PMI nel porto della conformità al GDPR, ma con buona probabilità il loro utilizzo, insieme ovviamente ad una ridefinizione dei processi interni (policy di sicurezza, le procedure di Disaster Recovery, le procedure di sicurezza/archiviazione dei dati, la formazione del personale ecc.) potrebbero essere considerati (in caso di eventuale controllo da parte dell’Autorità competente) come dimostrazione di “buona volontà” e propensione verso la conformità prevista all’interno della normativa europea.

Del resto, specie se ci riferiamo a PA distribuite su tutto il territorio nazionale, le articolazioni periferiche poco margine operativo (se non nullo) hanno in termini di spese e acquisti in qualunque settore salvo autorizzazioni e assegnazione di fondi provenienti dal “centro” e questo ancor di più “ingessa” qualunque pubblico amministratore anche il più lungimirante e propositivo.

Detto tutto questo non resta che continuare a “navigare con le macchine avanti tutta” e l’occhio attento alla strumentazione sperando di non impattare contro qualche “iceberg” durante i giorni (e soprattutto le notti) che ci separano dall’arrivo nel porto del 25 maggio.

SITOGRAFIA:

Regolamento (UE) 2016/679

http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA&toc=OJ:L:2016:119:TOC , ultima consultazione 20/11/2017;

Software IDS/IPS:

• www.snort.org;
• https://suricata-ids.org;
• https://ossec.github.io;

Software Antimalware/Antivirus:

• https://it.malwarebytes.com;
• https://www.spywareterminator.com/it;
• https://www.kaspersky.it/free-antivirus;
• https://www.bitdefender.it/solutions/free.html;

Firewall:

• https://www.zonealarm.com/;
• https://personalfirewall.comodo.com;
• https://www.glasswire.com;

Software Log management:

• https://www.kiwisyslog.com;
• https://www.it.paessler.com/prtg;
• https://syslogwatcher.com;

Distribuzioni LINUX :

• DEFT: www.deftlinux.net/it;
• CAINE: https://www.caine-live.net/;
• PARROT OS: https://www.parrotsec.org;
• QUBESOS: https://www.qubes-os.org;

RISORSE DIRETTE PER GDPR:

• https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil;
• https://www.privacycommission.be/fr/canevas-de-registre-des-activites-de-traitement;
• http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322110;
• http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793;
• http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322273;
• http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322292;
• https://www.enisa.europa.eu/publications/handbook-on-security-of-personal-data-processing/;
• https://www.enisa.europa.eu/publications/privacy-and-data-protection-in-mobile-applications/;

 

A cura di: Leonardo Scalera