Protezione dei dati personali: i tre aspetti critici più diffusi
L’esperienza da DPO
In questi anni di prima applicazione del Regolamento Europeo 2016/679 (GDPR) abbiamo incontrato tante realtà, analizzato tanti processi di trattamento e parlato con qualche responsabile dei sistemi informativi, quando abbiamo avuto la fortuna di collaborare con organizzazioni che ne avevano uno.
Il nostro lavoro da Responsabili della Protezione dei Dati Personali (DPO) o da consulenti di supporto al DPO interno ci ha portati a suggerire, a mente dell’art. 32 del GDPR, “misure tecniche ed organizzative adeguate per garantire un livello di sicurezza” congruo con il rischio.
Ma in che modo si individua il rischio? Come si valuta? Come si tratta? Per tutte queste attività viene in soccorso la norma ISO‑IEC 27001:2017 e, naturalmente, il primo passo, ovvero l’individuazione dei rischi, è quello che determina il successo (o l’insuccesso) delle attività successive.
L’individuazione del rischio
Nel dizionario ISO‑IEC 27000 l’identificazione del rischio è definita come il processo di “ricerca, riconoscimento e descrizione del rischio”: detto così, sembra facile! Ma, per molti aspetti, questa definizione è fin troppo generica: ci vorrebbe un metodo. Per fortuna, la definizione si arricchisce di due note:
Nota 1
“L’identificazione del rischio richiede l’individuazione delle fonti di rischio, gli eventi (accadimento o cambiamenti di un insieme di circostanze particolari), le loro cause e le loro conseguenze”.
Nota 2
“L’identificazione del rischio può richiedere dati storici, analisi teoriche, opinioni di esperti e di persone informate, richieste degli stakeholder”.
Le note, quindi, forniscono un metodo. Quello che, successivamente, lo standard 27001 spiega meglio, rispetto alla Nota 1, è che bisogna analizzare bene gli asset e comprenderne le vulnerabilità perché un’altra definizione (più circostanziata) di rischio è “la probabilità che una minaccia sfrutti una vulnerabilità per generare conseguenze negative”.
L’analisi degli asset, quindi, aiuta ad individuare le vulnerabilità e ad avviare tutto il ciclo di assessment dei rischi. Nell’analizzare le vulnerabilità conviene sempre partire da quelle più macroscopiche che, di solito, sono quelle che più facilmente possono essere sfruttate da malintenzionati o da tentativi di attacco “a strascico”. Vogliamo, quindi, focalizzare la nostra attenzione sulle vulnerabilità che si incontrano più di frequente nelle realtà italiane, pubbliche e private.
I sistemi operativi
Come sappiamo, il sistema operativo più diffuso nel mondo è Microsoft Windows (nelle sue varie versioni): la sua diffusione sfiora il 90% dell’installato. Lo è anche in Italia con una larga diffusione della versione 7 e con una residua presenza di Windows XP. Questa circostanza costituisce una delle vulnerabilità più diffuse nelle organizzazioni pubbliche e private italiane. Infatti, il supporto di Microsoft a Windows XP è terminato l’8 aprile 2014[1] (ben 5 anni fa) mentre il supporto a Windows 7 terminerà il prossimo 14 gennaio 2020[2]; volutamente trascuriamo le versioni “intermedie” di Windows ovvero Windows Vista e Windows 8.1 perchè hanno una diffusione molto meno intensa.
Per quanto riguarda Windows XP la presenza residua riguarda, perlopiù, personal computer non collegati alla rete (né interna né esterna) sui quali operano vecchi software di gestione di apparati tipicamente meccanici (apparati di controllo di sistemi frenanti nelle officine meccaniche) o di gestione di aspetti amministrativi non integrati (bollette di consegna, gestione di magazzino, ecc.). Tuttavia, non sono rari i casi nei quali i personal computer equipaggiati con XP sono collegati alla rete e, quindi, costituiscono un varco che può essere sfruttato per prendere il controllo di altri sistemi.
Più seria è la situazione che riguarda MS‑Windows 7. Intanto, esiste ancora un parco di installato importante: le ultime statistiche parlano di poco meno del 30% di personal computer che in Italia montano ancora questo sistema operativo. Nella nostra esperienza, peraltro, esistono organizzazioni, soprattutto pubbliche, che hanno una percentuale di installato anche più elevata dovuta al fatto che, di solito, gli approvvigionamenti hanno la caratteristica di essere “massivi” e, quindi, concentrati in un determinato periodo storico (quello, appunto, nel quale Windows 7 era l’ultima generazione di sistemi operativi commerciali).
Questa circostanza, associata ad una scarsa pianificazione finalizzata ad ricambio graduale in vista della deadline, porterà certamente a sforare il 14 gennaio prossimo ed a prestare il fianco ad eventuali eventi sfavorevoli che possono compromettere il funzionamento dell’intera organizzazione.
Le virtual machine
In tutte le organizzazioni, piccole o grandi, pubbliche o private, ormai la virtualizzazione dei server è una realtà molto diffusa. Esistono due circostanze che rendono questo paradigma una vulnerabilità:
- la proliferazione delle virtual machine;
- la scarsa attenzione a meccanismi di difesa puntati sulle singole virtual machine.
Nella maggior parte delle organizzazioni medio‑grandi le virtual machine nascono su richiesta dei fornitori esterni di software o di servizi; tuttavia, quando cambia il fornitore di un software o di un servizio (circostanza molto frequente soprattutto nelle organizzazioni pubbliche) esiste un periodo transitorio che, di solito, viene utilizzato per la migrazione dei dati. Vengono, quindi, mantenute operative una o più vecchie virtual machine – di solito almeno due, una di produzione/test, l’altra di (non-)esercizio – dedicate al vecchio software/servizio e una o più nuove virtual machine concesse al nuovo fornitore. Purtroppo, questo periodo transitorio, spesso, si prolunga a tal punto da avere come conseguenza la perdita di controllo da parte della struttura interna che si occupa di gestione del sistema informativo aziendale. Abbiamo trovato organizzazioni pubbliche medio‑grandi che ci hanno detto di avere in esercizio più di duecento virtual machine ma che stavano ancora cercando di comprendere quali di queste fossero veramente essenziali alla loro attività.
Inoltre, quando si affidano virtual machine a fornitori esterni capita che la gestione infrastrutturale (compresa la sicurezza della singola virtual machine) sia affidata ai fornitori stessi che, tuttavia, sono più interessati affinché tutto funzioni e l’utenza possa operare piuttosto che a garantire che tutti gli anelli della catena siano difesi in maniera opportuna. Quindi, esiste la possibilità che qualche virtual machine mal gestita possa costituire il buco attraverso il quale può introdursi un malintenzionato.
E a poco vale l’alibi di avere solidi sistemi di sicurezza sulla macchina ospite: la letteratura in materia è piena di descrizioni di attacchi che si propagano tra virtual machine entrando, per esempio, da ingressi principali deliberatamente consentiti dai firewall o dagli IDS/IPS posti a difesa della macchina ospite.
La gestione delle credenziali
Poche organizzazioni hanno reali meccanismi per gestire le credenziali amministrative. Questa circostanza riguarda, peraltro, vari livelli di gestione:
- personal computer; in molte organizzazioni vengono mantenute credenziali amministrative locali con password perpetue e, di solito, convenzionali; inoltre, il relativo elenco, nelle mani della struttura di gestione del sistema informativo, non è conservato con i dovuti meccanismi di sicurezza;
- virtual machine e DBMS; non vengono create utenze amministrative assegnate a specifici operatori (la maggior parte dei quali, come si diceva prima, dipendenti da fornitori esterni) e, quando vengono create, sono gestite senza i dovuti controlli periodici circa la perdurante necessità di mantenerle;
- sistema operativo delle macchine ospiti o dell’hypervisor; sono credenziali, di solito, nella disponibilità del personale interno deputato alla gestione del sistema informativo aziendale ma, comunemente, non assegnate ai singoli soggetti.
Manca, in definitiva, una visione organica (e, possibilmente, sostenuta da un software sufficientemente solido) di gestione delle credenziali.
Conclusioni
Queste sono le vulnerabilità più diffuse e, se vogliamo, più facilmente identificabili anche perché già presenti nei documenti di riferimento che, per esempio, l’Agenzia per l’Italia Digitale ha divulgato ormai da qualche anno[3].
Note
[1] https://support.microsoft.com/it-it/help/14223/windows-xp-end-of-support
[2] https://support.microsoft.com/it-it/help/4057281/windows-7-support-will-end-on-january-14-2020
[3] https://www.agid.gov.it/it/sicurezza/misure-minime-sicurezza-ict
Articolo a cura di Francesco Maldera
Francesco Maldera è Data Protection Officer e Data Scientist.
Il suo percorso professionale lo ha chiamato a responsabilità direzionali nell’ambito dei sistemi informativi, della safety&security, della privacy e dell’auditing svolgendo diversi incarichi dirigenziali nella Pubblica Amministrazione e in aziende private.
Attualmente, accompagna l’attività consulenziale a quella di sensibilizzazione delle persone tramite il sito www.prontoprivacy.it
