Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002

Ing. Andrea Gelpi

La sicurezza informatica,La sicurezza informatica,la cultura e i metodi di accertamento.la cultura e i metodi di accertamento.

Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002

ing. Andrea Gelpi

•IntroduzioneIntroduzione•Politiche aziendaliPolitiche aziendali•Altri aspettiAltri aspetti•ConclusioniConclusioni

3

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

IntroduzioneIntroduzione

• Che cosa comprende la sicurezza informatica

• Leggi da tener presenti• Un problema culturale, non solo tecnologico• Importanza del documento delle policy

4

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Che cosa comprende la sicurezza informaticaChe cosa comprende la sicurezza informatica

• Non è solo trattamento dati personali e diritto d'autore

• Tutto ciò che è possibile fare o subire con strumenti informatici e di comunicazione

5

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Principali norme da tener presentiPrincipali norme da tener presenti

• L. 547/93• L. 675/96• L. 633/41• L. 248/2000• L. 62/2001• L. 109/91• Norme sulla firma

digitale• Varie direttive

europee

• DPR 318/99• DLgs 518/92• DPCM 338/2001

• DM 314/92

6

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Un problema culturale non solo tecnologicoUn problema culturale non solo tecnologico

• Abitudini degli utenti– backup, codici d'accesso, file salvati in locale,

falsa sicurezza

• Manca un senso di cultura della sicurezza• Manca un senso di responsabilità

– Cosa vuoi che succeda

• Manca il concetto di chi a fatto che cosa• I pirati informatici insegnano e aiutano?

7

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Importanza del documento delle policyImportanza del documento delle policy

• La sicurezza informatica si realizza con ... un pezzo di carta o una cena !

• E' necessario dare regole prima di applicarle• E' opportuno condividere i contenuti con i

sindacati

8

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Policy aziendalePolicy aziendale

• Accessi fisici ai sistemi• Accessi logici ai sistemi e ai dati• Licenze d'uso• La rete aziendale• Navigazione su Internet• Posta elettronica• Monitoraggio delle attività e responsabilità

9

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Policy aziendale – accessi fisiciPolicy aziendale – accessi fisici

• DPR 318/99 impone di proteggere i dati• Necessità di locali chiusi per i server

– Tecnici esterni lasciati soli possono essere un rischio

• Come controllare chi accede ai locali• Che cosa si rischia

– danni e/o furto di dati– mancata adozione di misure di sicurezza

10

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Policy aziendale – accessi logiciPolicy aziendale – accessi logici

• DPR 318/99 impone di proteggere i dati• DPR 318/99 impone di tenere traccia di chi fa

trattamento• Problema dei codici d'accesso (UserID e Password)• Dove salvare i dati• Falsa sicurezza del salvataggio in locale dei dati• Chiunque può accedere ai dati in locale se esiste un

dominio o se il sistema operativo non è dotato di sufficienti misure di sicurezza (Win9x)

11

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Policy aziendale – accessi logiciPolicy aziendale – accessi logici

• DPR 318/99 impone che per il trattamento di dati sensibili devono esistere codici d'accesso su due livelli (al sistema e all'applicazione), ma non sempre è così

• Soluzione: tutti sono incaricati del trattamento• Vulnerabilità dei sistemi

– Il firewall è solo un aiuto– I server vanno tenuti aggiornati e monitorati– Che cosa fare in caso d'intrusione

• Segnalazione alle forze dell'ordine, no indagini per conto proprio

• Ricreare il server violato

– Mancata installazione di correttivi potrebbe diventare mancata adozione di misure di sicurezza

12

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Policy aziendale – accessi logiciPolicy aziendale – accessi logici

• Il problema dei virus– DPR 318/99 obbliga ad avere un sistema antivirus

aggiornato ogni 6 mesi !– I virus non creano solo danni locali, possono

diffondere informazioni riservate– Si rischia di essere coinvolti nel danneggiamento

di sistemi altrui, tentativo di accesso abusivo a sistema informatico (Patriot Act)

– Antivirus non aggiornato, crea una falsa sicurezza– E' fondamentale il comportamento degli utenti

13

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Policy aziendale – licenze d'usoPolicy aziendale – licenze d'uso

• A volte il problema non è sentito– Installazioni senza controllare il numero di licenze

disponibili– Installo per lavorare, quindi sono a posto– Il programma è in azienda quindi lo posso

utilizzare

• Come verificare– Posti di lavoro completamente chiusi– Posti di lavoro completamente aperti

• E' importante responsabilizzare gli utenti• Che cosa si rischia

– Violazione di norme fiscali e dei diritti d'autore

• Open Source e Free Software

14

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Policy aziendale – rete aziendalePolicy aziendale – rete aziendale

• Attenzione ai punti d'accesso non controllati– Le postazioni fisse– Le postazioni mobili

• Attacchi dall'interno– Il 50% e più degli attacchi provengono dall'interno– sniffer

15

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Policy aziendale – navigazione InternetPolicy aziendale – navigazione Internet

• Uso non consono con le attività lavorative– Visita a siti non attinenti l'attività lavorativa– Scarico di contenuti (musica, ecc...)– Consumo di banda pregiata

• Come fare i controlli– Log di tutto il traffico verso Internet (Firewall log)– Controlli anonimi per evitare il controllo a distanza

del dipendente– Controlli puntuali solo per evidenti violazioni delle

regole aziendali– Possibilità di creare liste nere o liste bianche di siti– Utilizzo di software che aiutano, ma non risolvono

16

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Policy aziendale – navigazione InternetPolicy aziendale – navigazione Internet

• Le vulnerabilità del browser• Pagine web con codice maligno• Domande trabocchetto• I servizi gratuiti, li paga l'utente ! (rivendita

informazioni)• E' necessario educare gli utenti

17

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Policy aziendale – Posta elettronicaPolicy aziendale – Posta elettronica

• Principale sistema di propagazione di virus e troiani• Lo SPAM – una piaga• Liste di distribuzione e newsgroup• La casella di posta è mia e quindi inviolabile – falso• La casella di posta istituzionale è dell'azienda che, a

determinate regole, la può visionare• Soluzione: casella di posta personale diversa da

quella istituzionale• Lotta allo SPAM con liste nere e filtri

18

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Policy aziendale – Posta elettronicaPolicy aziendale – Posta elettronica

• E' necessario educare gli utenti– Non rispondere alla posta non sollecitata– Non fare clic su pulsanti e non tentare di

cancellarsi da liste di ditribuzione– Usare solo il formato di testo puro, per gli altri

formati utilizzare gli allegati– Quando possibile inviare il link al contenuto

19

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Policy aziendale – Monitoraggio attivitàPolicy aziendale – Monitoraggio attività

• Descrivere i monitoraggi che verranno fatti• Spiegare come vengono fatti (anonimi, ecc...)• Spiegare perchè vengono fatti• Ribadire le responsabilità di ciascuno• Concordare il tutto con i sindacati• I monitoraggi dovrebbero essere esguiti da un gruppo

apposito diverso da gestori dei sistemi

20

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Altri aspettiAltri aspetti

• Rapporti con le forze dell'ordine• La formazione sia degli utenti che degli

amministratori dei sistemi• La programmazione e configurazione del

software

21

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Rapporti con le forze dell'ordineRapporti con le forze dell'ordine

• Passa troppo tempo dai fatti al momento delle indagini (anche più di un anno)

• La formulazione della richiesta– Il problema degli orologi– Fornire tutte le informazioni atte ad identificare

l'utilizzatore dell' IP X.Y.Z.T il giorno gg alle ore hh.mm

• Chi deve fare le indagini• Le indagini possono risalire al PC e ai codici

usati, ma non direttamente ad una persona• Il sequestro di materiale informatico

– Una copia dei supporti è il più delle volte prova sufficiente

22

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Programmazione e configurazione del softwareProgrammazione e configurazione del software

• Necessità di dotarsi di software sicuro• Scrivere software sicuro è difficile, l'Open

Source può aiutare• Configurazioni errate possono essere fonte

di problemi

23

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

Formazione degli utentiFormazione degli utenti

• Il documento delle policy deve essere spiegato, non imposto e basta

• Il DPR 318/99 impone l'obbligo di formazione• A medio termine la formazione costa meno

degli interventi per sanare situazioni

24

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

ConclusioniConclusioni

• La sicurezza informatica è principalmente un problema organizzativo e di cultura

• E' importante riuscire ad attribuire a ciascuno le proprie responsabilità

• Una buona organizzazione aumenta la sicurezza e fa risparmiare tempo e denaro

25

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

GRAZIE

:-)