Introduzione
Nel corso degli ultimi anni con l'aumentare dei reati informatici, la legislazione informatica ha subito una proliferazione di normative, le quali hanno prodotto notevoli cambiamenti in termini di accorgimenti tecnici nel campo sia della sistemistiche che dello sviluppo software. All'interno di questo quadro normativo, quella con maggior risalto è sicuramente la normativa sulla privacy, che riveste un importante ruolo nell'informatica forense; esistono comunque normative nel campo della sicurezza dei dati e dei sistemi di comunicazioni, dei requisisti generali delle reti, e degli aspetti implementativi e funzionali del commercio elettronico. In quest'articolo cercheremo di sintetizzare il quadro normativo relativo alle misure minime legislative da implementare su sistemi e sulle reti informatiche utilizzate per il trattamento dei dati. L'informatica forense è quindi diventata parte integrante del bagaglio culturale che un buon amministratore di sistema deve possedere, al fine di gestire nel miglior modo e a norma di legge la propria infrastruttura di rete.
Requisiti di sicurezza delle reti
All'interno di una rete le policy di sicurezza devono tener conto dell'infrastruttura implementata, delle interazioni tra i mondi che compongono una rete (trusted ed unstrusted) e dei flussi informativi che viaggiano su di essa. I requisiti di base, che devono essere soddisfatti al fine di perseguire la sicurezza, non solo a livello sistemistico, ma anche a livello normativo, sono:
- Confidenzialità dei dati: riguarda l'accesso al processo di elaborazione dei dati in transito sulla rete in oggetto. Tali dati devono essere gestiti solo dal personale effettivamente autorizzato a farlo; occorre quindi prevedere meccanismi di autenticazione. Le modalità di autenticazioni, come vedremo in seguito, possono spaziare dalla semplice combinazione username/password sino alla richiesta di caratteristiche biometriche da parte degli utenti (esempio l'impronta digitale, scansione della retina ecc.). Maggiore è il livello di confidenzialità da implementare e maggiore sarà il livello di complessità dell'autenticazione da dover sviluppare.
- Integrità dei dati: occorre garantire che i dati inviati da un utente A ad un utente B non vengano alterati da utenti terzi durante il trasferimento (ad esempio con attacchi di tipo man in the middle), ma non solo, l'integrità dei dati riguarda anche tutte quelle informazioni già ricevute o trasmesse e memorizzati all'interno dei database o dei calcolatori elettronici utilizzati per l'archiviazione dei dati.
- Riservatezza: ogni qualvolta inviamo dei dati, occorre evitare che essi vengano intercettati da utenti “smaliziati" e divulgati in maniera non autorizzata.
A questi tre requisiti fondamentali si aggiungono altri due requisiti, il primo inerente la capacità di un singolo sistema informatico di "autodifendersi" da atti potenzialmente dannosi, il secondo dalla possibilità del responsabile del sistema informatico di catalogare i trattamenti effettuati sui dati al fine di accertarne eventuali responsabilità sulle operazioni fraudolente e non.
Obblighi di sicurezza
La sicurezza è obbligatoriamente a carico del titolare e del responsabile del sistema, ambedue hanno il compito di diversificare le diverse misure da attuare, per la protezione dei dati e delle reti sulle quali le informazioni viaggiano, lo scopo di tali politiche è quello di rendere le reti efficaci e sicure.
Secondo quanto espresso nell'articolo 31 relativo al codice della privacy, la custodia ed il controllo dei dati, sia presso aziende private che uffici pubblici avviene in relazione alle conoscenze acquisite in base al progresso tecnico, nonché alla natura dei dati e alle specifiche caratteristiche del trattamento, con l'obiettivo di minimizzare i rischi derivanti da distruzione o perdita dei dati anche in maniera accidentale. In tali misure, ad esempio, rientrano le politiche di backup da adottare, siano esse semplici backup su dispositivi esterni (type, dvd, hard disk ecc.), siano essi backup più complessi, come ad esempio i backup a ridondanza geografica.
Misure minime
Relativamente alle misure minime da adottare, il quadro normativo di riferimento è costituito dalle norme presenti nel Codice della privacy e dalle ventinove regole presenti nell'allegato B del codice stesso. Le misure minime da intraprendere vengono suddivise in due principali categorie: quelle relative al trattamento con strumenti elettronici e quelle da attuare senza l'ausilio di strumenti elettronici.
Analizziamo sicuramente la parte più interessante della normativa in termini informatici, riferendoci infatti al trattamento dei dati tramite l'ausilio di strumenti elettronici; tale trattamento può essere effettuato solo adottando le misure previste dal disciplinare tecnico contenuto nell'allegato B. Le caratteristiche minime da dover soddisfare riguardano un sistema di autenticazione informatico che limiti l'accesso ai dati agli utenti non autorizzati, e che permetta di risalire in caso di controversie legali e di utilizzo non conforme del sistema al responsabile delle azioni "criminali", il sistema di autenticazione dovrà avere idonee procedure relativamente alla gestione delle credenziali di autenticazione. Il sistema informatico utilizzato per il trattamento dei dati dovrà essere mantenuto aggiornato sia dal punto di vista degli strumenti hardware e software, sia dell'ambito del trattamento consentito ai singoli incaricati. Oltre alla parte tecnica riguardante la gestione delle autorizzazioni, degli aggiornamenti ecc. occorre adempiere ad una parte "burocratica" che ha come obiettivo principale quello di redigere ed aggiornare il D.P.S. (Documento Programmatico sulla Sicurezza). È importante rilevare che in ambito sanitario occorre adottare tecniche di cifratura per quei dati che consentono di rilevare lo stato di salute o la vita sessuale dei pazienti.
Autenticazione
Nell'ambito di qualsiasi sistema, l'autenticazione riveste un ruolo fondamentale sia in termini di privacy sia in termini di funzionalità utilizzabili dai singoli utenti. È possibile implementare l'autenticazione, come detto in precedenza utilizzando semplicemente uno username ed una password, ovvero utilizzando dispositivi di autenticazioni come budge, pass ecc. oppure, in ultima istanza avvalendosi di una caratteristica biometrica associabile eventualmente ad una password.
La password in ogni caso deve essere composta da almeno otto caratteri (meglio se alfanumerici), modificabile al primo utilizzo e almeno ogni sei mesi nei sistemi tradizionali, mentre nei sistemi che trattano dati sensibili e giudiziari almeno ogni tre mesi. La password stessa non deve contenere riferimenti che possono agevolare la riconducibilità all'incaricato come ad esempio il proprio nome, la data di nascita ecc.
Tutte le credenziali non utilizzate per almeno sei mesi devono essere disattivate; esse naturalmente dovranno essere disattivate anche in caso di perdita della qualità che consente all'incaricato di accedere ai dati. Il codice di identificazione deve essere univoco e non assegnabile a due utenti anche in tempi diversi. Occorre impartire opportune istruzioni agli incaricati per non lasciare incustodito lo strumento elettronico durante la sessione di lavoro, ogni qualvolta un incaricato si allontana dalla propria postazione, difatti, dovrebbe bloccare la propria sessione di lavoro, così da impedire l'utilizzo del sistema a persone terze. Relativamente agli incaricati essi devono adottare opportune misure per assicurare la segretezza della componente riservata (ad esempio la password) delle credenziali e la diligente custodia dei dispositivi in possesso.