15 Ottobre 2013

Cyber Risk: Internal investigation e digital

forensics nel rispetto della normativa in vigore

Giuseppe Vaciago

Alcuni dati: un primato europeo

In Italia vi sono 38.4 milioni di utenti nella fascia 11-74 anni con accessocontinuo ad Internet, e quasi 20 milioni in grado di connettersi con unosmartphone o tablet (Fonte: Audiweb Trends, 2013). Il 44% dei pc italiani sonoattaccati da malware contro il 20% di quelli danesi (Fonte: Kaspersky Lab).

Alcuni dati: un’analisi degli attacchi

Il rapporto Clusit 2013 identifica un rapido cambiamento del t rend:iniziano ad essere colpiti tutti i settori industriali e non solo più il settoregovernativo o quello dell’industria multimediale

Alcuni dati: un’analisi degli attacchi

Aumentano gli attacchi per finalità di cybercrime rispetto agli attacchi degliattivisti. 1 attacco su 2 è non è per finalità dimostrative.

Alcuni dati: tipologie di attacchi

Attività fraudolente poste in essere da insider e outsider

Attività fraudolente poste in essere da insider e outsider

Attività di “phishing”Attività di “phishing”

Furto di dati confidenziali, furto di

dati e spionaggio industriale

Furto di dati confidenziali, furto di

dati e spionaggio industriale

Accessi non autorizzati da parte

dei lavoratori

Accessi non autorizzati da parte

dei lavoratori

Accessi non autorizzati da parte di esterni (hacking)

Accessi non autorizzati da parte di esterni (hacking)

Violazioni contrattualiViolazioni

contrattualiDiffamazione e

molestie sessualiDiffamazione e

molestie sessuali

Acquisizione e commercio di

materiale pornografico e

pedopornografico

Acquisizione e commercio di

materiale pornografico e

pedopornografico

Furto di codici di accesso e pirateria

informatica

Furto di codici di accesso e pirateria

informatica

Modifica non autorizzata di dati (virus, cavallo di

Troia, etc.)

Modifica non autorizzata di dati (virus, cavallo di

Troia, etc.)

Furto di risorse informatiche

aziendali per fini personali

Furto di risorse informatiche

aziendali per fini personali

Denial of ServicesDenial of Services

Abuso dell’utilizzo della posta

elettronica e di internet

Abuso dell’utilizzo della posta

elettronica e di internet

Violazione di policy e regolamenti

aziendali

Violazione di policy e regolamenti

aziendali

Alcuni Casi: La “banda della firma digitale”

Un imprenditore “perde” la sua azienda perché il truffatore usando la suasmart card cede a sé stesso e al suo coimputato la totalità delle quotesociali.

Ciò avviene perché il truffatore ottiene la firma digitale dell’imprenditoreincarica uno studio commercialista che facendone richiesta a suo nomenon è tenuto a portare con sé l’imprenditore al momento della consegna.

Alcuni Casi: “Social Botnet”

Da una approfondita indagine dell’FBI emerge che nel 2012 più di 11milioni di utenti di Facebook sono rimasti affetti da un particolare malwarein grado di fare un danno di circa 850 milioni di dollari .

Social Media Security and Big Data

Behavioral security

BYOD e Consumerization

Perdità del controllo dei device aziendali+

Aumento del rischio di introduzione di malware=

Aumento del rischio di perdita di dati aziendali

Lontano da occhi indiscreti…

Sicurezza fisica del device

Sicurezza fisica del device

Security by Design Privacy by DesignV. ?

Alcuni Casi: Una esemplificazione

Normativa su “protezione cibernetica”: Awareness

DPCM 24 gennaio 2014 Direttiva recante indirizzi per laprotezione cibernetica e la sicurezza informatica nazionale.

I fornitori di connettività e i gestori delle infrastrutture critiche di rilievo nazionaledevono comunicare al Nucleo per la Sicurezza Informatica (CISR - ComitatoInterministeriale per la Sicurezza della Repubblica, AISE - Agenzia Informazioni eSicurezza Esterna, AISI - Agenzia Informazioni e Sicurezza Interna e NISP - NucleoInterministeriale Situazione e Pianificazione) ogni significativa violazione dellasicurezza o dell'integrità dei propri sistemi informatici , utilizzando canali ditrasmissione protetti

Provvedimento Generale del Garante del 4 aprile 2013 – Obbligoper ISP e TELCO di segnalazione di Data Breach

I fornitori di servizi di comunicazione elettronica hanno l’ obbligo di segnalareal Garante Privacy ogni violazione subita e, in talune ipotesi, di avvertire,successivamente gli interessati cui i dati si riferiscono.

Alcuni dati: statistiche ABI Lab

Alcuni dati: statistiche ABI Lab

Digital e Corporate Forensics

In questo contesto, la diventa sempre più necessario ricercare all’interno deisistemi informativi della banca (corporate forensics ) e del cittadino (digitalforensics ) la prova digitale utilizzabile nel successiva fase giudiziale (penale,civile e amministrativa).

La prova digitale è qualunque informazione generata, memorizzata otrasmessa attraverso uno strumento elettronico che possa essere ammessa ingiudizio (Fonte: Digital Forensics Guide - Council of Europe - 2013).

Autentica: non deve

subire alcuna

alterazione

Autentica: non deve

subire alcuna

alterazione

Ammissibile: essere

utilizzabile in giudizio

come fonte di prova

Ammissibile: essere

utilizzabile in giudizio

come fonte di prova

Proporzionale: ossia

rispettare I diritti

fondamentali

Proporzionale: ossia

rispettare I diritti

fondamentali

“Credibile”:Facilmente

comprensibile

dall’autorità giudiziaria

“Credibile”:Facilmente

comprensibile

dall’autorità giudiziaria

Sistema di Gestione della Digital Forensics

È necessario un sistema di gestione con un approccio di tipo preventivorispetto alle esigenze di investigazione informatica, fondato su 4 presupposti:

Monitoraggio e analisi

dell’evoluzione normativa

Pianificazione periodica di

attività di assessment

Progettazione e erogazione di iniziative di

training

Formalizzazione delle procedure

in caso di incidenti IT

Digital Forensics preventiva: esempio pratico

Fonte di prova Tempi di conservazione

Luogo e modalità di conservazione

Copie di backup

Note

CCTV 72 oreRegistrazione su server dedicato

No

Tempi di conservazione compliant con Garante Privacy

Log di accessoapplicazione X

6 mesi log in e log out

Registrazione su log server “xyz”

Si – Copienotturne

registrazione su nastro

Tempi di conservazione compliant con Garante Privacy

1 mese log in utenti generici

Registrazione in locale su application server

No

Mappatura (asset inventory) delle fonti di prova di gitale

La compliance nelle investigazioni difensive

Investigazioni difensive

Investigazioni difensive

Complianceprogram

(D.lgs. 231/01)

Complianceprogram

(D.lgs. 231/01)

Linee Guida di categoria

Linee Guida di categoria

Sistema di gestione della sicurezza delle

informazioni

Sistema di gestione della sicurezza delle

informazioniISO/IEC

27037, 27041, 27042 e 27043

ISO/IEC 27037, 27041, 27042 e 27043

Codice Privacy e

Provvedimenti Garante Privacy

Codice Privacy e

Provvedimenti Garante Privacy

Internal Investigation e Digital Forensics

LA NORMATIVA IN VIGORE

I limiti legali delle investigazioni difensive

Investigazioni difensive

Artt. 113 e 114 Codice Privacy

I “controlli difensivi”

Utilizzabilità in ambito penale

Utilizzabilità in ambito civile

La digital evidence in ambito civile

Nel processo civile, il giudice fonda il proprio convincimentosulla base delle prove a fondamento dei diritti e delleeccezioni reperite e prodotte dalle parti .

Le riproduzioni informatiche di fatti e di cose formano pienaprova dei fatti e delle cose rappresentate, se colui contro ilquale sono prodotte non ne disconosce la conformità aifatti o alle cose medesime.

Ove disconosciute, esse conservano il valore probatorio diun semplice elemento di prova , liberamente valutabile dalgiudice.

Solo nel rito del lavoro , le prove a fondamento dei diritti edelle eccezioni devono essere cercate e prodotte dalleparti, ma il giudice ha poteri istruttori non previsti nel ritoordinario

La digital evidence in ambito penale

La prova in sede penale è valutata liberamentedall’organo giudicante e viene raggiunta a seguito delgiudizio come disciplinato dal codice di procedura penale.

La legge 48/2008 si è posta il problema della peculiaritàdelle tradizionali attività di ricerca dei mezzi di prova(ispezioni, perquisizioni, sequestri e accertamenti urgenti),in relazione alle prove digitali, prevedendo l’adozione dimisure tecniche dirette ad assicurare la conservazionedei dati originali e a impedirne l’alterazione .

I mezzi di ricerca della prova sono strumenti di indagine adisposizione del pubblico ministero e in via residualedella polizia giudiziaria , ma anche al difensoredell’indagato e della parte offesa è concessa la facoltà dicompiere indagini difensive, anche in ottica preventiva.

Art. 113 D.lgs. 196/03 e art. 4 Statuto Lavoratori

È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controlloa distanza dell'attività dei lavoratori a meno che non siano richieste da:

Esigenze organizzative Esigenze produttive

Esigenze di sicurezza

CONTROLLI LEGITTIMI O PRAETERINTENZIONALI

Previo accordo con RSA e in difetto di accordo su istanza del datore di lavoro e provvedimento dell’ispettorato del lavoro

Art. 114 D.lgs. 196/03 e art. 8 Statuto Lavoratori

È fatto divieto al datore di lavoro, ai fini dell'assunzione, come nelcorso dello svolgimento del rapporto di lavoro, di effettuare indagini,anche a mezzo di terzi su:

1. Opinioni politiche, religiose o sindacali del lavoratore.

2. Su fatti non rilevanti ai fini della valutazione dell'attitudineprofessionale del lavoratore.

Art. 171 D.lgs 196/03 e art. 38 Statuto Lavoratori

Le violazioni degli articoli 4 e 8 comportano:

Ammenda da € 154,95 a €1549,5 o arresto da 15 giorni ad unanno.

Nei casi più gravi le pene dell'arresto e dell'ammenda sonoapplicate congiuntamente.

Se il giudice ritiene l’ammenda troppo bassa ha facoltà diaumentarla fino al quintuplo.

Nei casi più gravi l'autorità giudiziaria ordina la pubblicazionedella sentenza penale di condanna

I controlli difensivi

La giurisprudenza ha introdotto con i controlli difensiviuna ulteriore ipotesi di non applicazione del divietodell’art. 4 dello Statuto dei Lavoratori:

“ devono ritenersi certamente fuori dall ’ ambito diapplicazione dell’art. 4 Statuto dei Lavoratori i controllidiretti ad accertare condotte illecite del lavoratore(c.d. controlli difensivi), quali, ad esempio, i sistemi dicontrollo dell’accesso ad aree riservate, o appunto gliapparecchi di rilevazione di telefonate ingiustificate”.

Investigazioni difensive in ambito penale

L’attività principale riconosciuta dall’art. 327-bis c.p.p., è senza dubbiol’assunzione di informazioni da soggetti che possono rendereinformazioni utili all’indagine.

Tuttavia, è prevista dall’art. 391-sexies anche la possibilità di effettuare unsopralluogo e di redigere un verbale che documenti l’attività svolta. Inquesta attività investigativa, potrebbe rientrare l’accesso a un sistemainformatico aziendale da parte di un consulente tecnico nominatodall’avvocato, finalizzato a controllare la commissione di eventuali illeciti daparte del lavoratore.

È importante rilevare che, ai sensi dell’art. 391-decies, qualora l’attività siaqualificabile come accertamento tecnico non ripetibile ex art. 360 c.p.p., ildifensore ha il dovere di darne avviso, senza ritardo, al pubb licoministero . La dottrina si è interrogata molte volte sulla ripetibilità o menodell’analisi forense di un sistema informatico .

La società Marsh S.p.A. attraverso la società di investigazionetedesca Kroll Ontrack GMBH effettuava un controllo sulla postaelettronica del lavoratore senza alcun avviso. Il dipendente ricorreal Garante della Privacy e la società si difende sostenendo che:

1. Era specificato nel Manuale sulla privacy l’esclusione per finipersonali dell’utilizzo della e-mail aziendale2. Era stato espletato in forza “sia dalla legislazione americanache impone alle aziende accertamenti di tal specie in relazione apresunti illeciti penali commessi dal top management (SarbanesOxley Act–Sox), sia dalla legislazione italiana, che prevedesanzioni per le imprese che non vigilino sull'osservanza di modelliorganizzativi volti a prevenire la commissione di specifici reati daparte degli stessi vertici aziendali (d.lg. n. 231/2001)””””

Garante Privacy: Caso “Marsh”

Il Garante accoglie il ricorso del dipendente in quanto il principiodi correttezza comporta l'obbligo, in capo al titolare deltrattamento, di indicare chiaramente agli interessati lecaratteristiche essenziali del trattamento e l'eventualità checontrolli da parte del datore di lavoro possano riguardare glistrumenti di comunicazione elettronica, ivi compreso l'account diposta (Caso Copland in UK).

Nel caso di specie, tale principio impone di renderepreventivamente e chiaramente noto agli interessati se, in chemisura e con quali modalità vengono effettuati controlli ai sensidelle linee guida del Garante della Privacy del 1/3/2007 .

In sostanza, il Garante impedisce ogni ulteriore utilizzo dei dati,salva la loro conservazione per la tutela di diritti in sedegiudiziaria nei limiti di cui all'art. 160, comma 6 del Codic e.

Garante Privacy: Caso “Marsh”

La società Telepost licenzia un dipendente che aveva all’interno delsuo notebook aziendale file contenenti materiale pornografico.L’azienda accede all’hard disk in sua assenza e con l’ausilio di unconsulente tecnico terzo, dopo aver inviato solo il giorno prima lanormativa per l'utilizzo dei servizi informatici.

Il Garante accoglie il ricorso sostenendo che la società ha esperito ilcontrollo informatico in assenza di una previa idonea informativaall'interessato relativa al:

• trattamento dei dati personali (art. 13 del Codice)

• modalità da seguire per gli stessi (presenza dell'interessato, dirappresentanti sindacali, di personale all'uopo incaricato)

Garante Privacy: Caso “Telepost”

Linee Guida Garante Privacy su posta elettronica e internet

I datori di lavoro privati e pubblici devono indicarechiaramente le modalità di uso degli strumenti elettronicimessi a disposizione e se e in che misura e con quali modalitàvengono effettuati controlli

Divieti (es. file-sharing o downloading di mp3 e

software illegale)

Posta privata: come (webmail o client?) e

quando ?

Memorizzazione di dati (es. log file): quali e per quanto

tempo ?

Controlli del datore di lavoro: specifici con indicazione dei

tempi

I datori di lavoro devono adottare e pubblicare un disciplinareinterno e adottare misure di tipo organizzativo affinché:

� si proceda ad un’attenta valutazione dell’impatto sui diritti deilavoratori;

� si individuino preventivamente i lavoratori cui è consentitol’utilizzo di internet e della posta elettronica;

� si individui quale ubicazione è riservata alle postazioni di lavoroper ridurre il rischio di impieghi abusivi.

Linee Guida Garante Privacy su posta elettronica e internet

È vietato il trattamento di dati personali da parte dei datori di lavoromediante software e hardware che mirano al controllo a distanza deilavoratori attraverso:

� la lettura sistematica dei messaggi di posta elettronica;

� memorizzazione riproduzione delle pagine web visionate dallavoratore;

� la lettura e la registrazione dei caratteri inseriti tramite la tastiera;

� l’analisi occulta dei computer portatili affidati al lavoratore.

Linee Guida Garante Privacy su posta elettronica e internet

In ogni caso tutti i trattamenti devono rispettare i principi di:

PERTINENZA

Divieto di un'ingiustificatainterferenza sui diritti e sulle libertàfondamentali di lavoratori

NECESSITÀ

Elenco di siti attendibili Filtri inseriti su black list (download Anonimizzazione dei log fileRetention limitate file

CORRETTEZZA

Le caratteristiche essenziali deitrattamenti devono essere resenote ai lavoratori

NON INVASIVITÀ

Monitoraggio effettuato solo su soggetti a rischio ed effettuato nel rispetto del principio della segretezza della corrispondenza

Linee Guida Garante Privacy su posta elettronica e internet

Giurisprudenza penale su art. 616 c.p.

“Non incorre nel reato di cui all’art. 616 c.p. il datore di lavoro chelegge le e-mail aziendali dei propri dipendenti se esiste unregolamento dettato dall’ impresa che impone la comunicazionedella password del PC” (Cass. Pen., Sez. V, 11/12/2007, n. 47096)

“ L ’ indirizzo aziendale, proprio perché tale, può essere nelladisponibilità di accesso e lettura da parte di persone diversedall ’ utilizzatore consuetudinario a prescindere dalla identità odiversità di qualifica o funzione” (Tribunale di Milano, 10/5/2002)

“Il dipendente che utilizza la casella di posta elettronica aziendale siespone al rischio che anche altri della medesima azienda possanolecitamente accedere alla casella in suo uso previa acquisizionedella relativa " password” (Tribunale Torino, 15 settembre 2006)

Giurisprudenza civile su controlli difensivi

“Non sono utilizzabili a fini disciplinari i dati acquisiti mediante programmiinformatici che consentono il monitoraggio della posta elettronica e degliaccessi Internet dei dipendenti, sul presupposto che gli stessi consentono aldatore di lavoro di controllare a distanza ed in via continuativa l'attivitàlavorativa durante la prestazione, e di accertare se la stessa sia svolta intermini di diligenza e corretto adempimento” (Cassazione civile sez. lav.,23/2/2010, n. 4375)

“Non sono utilizzabili i programmi informatici che consentono il monitoraggiodella posta elettronica e degli accessi ad Internet violano, da un lato, l'art. 8st. lav., posto che il monitoraggio e la conservazione per un certo lasso ditempo dei dati acquisiti può concretare trattamenti dei dati sensibili checonsentono al datore di lavoro di acquisire indicazioni sulle "opinionipolitiche, religiose o sindacali" del singolo dipendente"; dall'altro, l'art. 4 dellostesso statuto, ove non sia attivata la procedura prevista per l'installazionedelle apparecchiature necessarie per soddisfare esigenze aziendali (C. App.Milano, 30/09/2005)

Conclusioni

Quadro normativo e giurisprudenziale caotico : dall’art. 4 StatutoLavoratori alle Linee Guida del Garante Privacy del 1 marzo 2007, daiProvvedimenti del Garante Privacy alle decisioni della Corte diCassazione civile e penale.

Il D.lgs. 231/01 rischia di essere in contrasto con quanto st abilito dalGarante Privacy rendendo difficile la redazione del modello diorganizzazione gestione e controllo.

La digital forensics , riveste e rivestirà sempre di più un ruolo difondamentale importanza per garantire la corretta cristallizzazione dellaprova digitale che dovrà essere successivamente prodotta in giudizio.

giuseppe.vaciago@replegal.ithttp://it.linkedin.com/in/vaciago

https://twitter.com/giuseppevaciago

Grazie per l’attenzione