Data Breach: Le misure richieste dalla normativa italiana ......-NIS directive - 8 Febbraio 2013:...
25
Data Breach: Le misure richieste dalla normativa italiana e l’ottica cloud CSA Italy – Gloria Marcoccio
Transcript of Data Breach: Le misure richieste dalla normativa italiana ......-NIS directive - 8 Febbraio 2013:...
Data Breach: Le misurerichieste dalla normativaitaliana e l’ottica cloud
CSA Italy – Gloria Marcoccio
CSA Italy
� Associazione no-profit di diritto italiano (costituzione nel 2011)
� 100 soci regolarmente iscritti (+470 membri nel LinkedIn group CSA Italy Chapter)
� Affiliazioni/Convenzioni:
� Sponsor:
� Collaborazioni:
� 3 Aree di Ricerca: Traduzioni, Portabilita’-Interoperabilita’-Sicurezza Applicativa,
Privacy & Legal in the Cloud
Gruppo di Lavoro “Traduzioni”
• 2012 - Traduzione in italiano della Cloud Security Guidance Ver. 2.1
• 2013 - Traduzione in italiano del documento ENISA “Cloud Computing Benefits Risks and
Recommandations for Information Security”
Gruppo di Lavoro “Portabilità, Interoperabilità e Sicurezza Applicativa”
• 2012 - Documento di ricerca “Portabilità Interoperabilità Sicurezza Applicativa “(pdf, e-book)
Gruppo di Lavoro “Privacy & Legal in the Cloud”
• 2012 - Studio “Standard Contrattuali per il Cloud Computing” (ITA-ENG)
• 2012 - Risposta alla consultazione pubblica di cui alle “Linee guida in materia di attuazione della
disciplina sulla comunicazione delle violazioni di dati personali – Consultazione pubblica – 26 luglio
(G.U. n. 183 7 agosto 2012)
CSA Italy
Gruppo di Lavoro “Traduzioni”
• Cloud Security Guidance v.3
• Esame CCSK V3 in Italiano
• Traduzione in inglese del Rapporto CLUSIT sulla sicurezza ICT in Italia 2013
Gruppo di Lavoro “Portabilità, Interoperabilità e Sicurezza Applicativa”
• SSDLC e SDLC in ambito Cloud
Gruppo di Lavoro “Privacy & Legal in the Cloud”
• Data Forensics su Cloud in ambito aziendale: cosa aspettarsi
• Data Breach in the Cloud
• BYOD in the Cloud
CSA Italy
PremessaSistemi informativi e reti di comunicazioni sono fattori essenziali per qualunque
sviluppo economico e sociale sia in contesti tradizionali sia in ambito on line
nella Information & networked society
La governance finalizzata alla disponibilità & sicurezza richiede un approccio
sistematico e commensurato agli impatti sul business, con processi e soluzioni
tecnologiche per
• Rilevare, valutare e comunicare gli incidenti in relazione alla sicurezza
delle informazioni
• Gestire gli incidenti includendo l’attivazione di misure appropriate per la
loro prevenzione (misure ex ante) nonchè riduzione e recupero (misureex post) a fronte degli impatti sul business
• Comprendere i punti di debolezza della propria governance, valutarli ed
affrontarli in modo concreto
• Imparare dagli incidenti accaduti: aggiornare il proprio contesto di
misure per la gestione della sicurezza delle informazioni
Incident mngt normative e std: principali enti diriferimento
EuropeanCouncil
EuropeanParliament
European Commission:
JusticeFundamentalRights and Citizenship
DigitalAgenda
WorkingParty 29
ENISA
EuropeanCybercrime
Center
Centri EU di competenza/cooperazione
Istituzioni EU con potere di emanare norme di natura obbligatoria
Supporta/ propone
U.S. National Institute of Standards and
Technology
NIST
International Organization forStandardization
ISO
EDPS
Normativa incident mngt a livello EU
In vigore, nel contesto delle:
- comunicazioni elettroniche accessibili al pubblico Direttiva 2009/136/CE
(in Italia:D.Lgs 69/12)
- infrastrutture critiche nei settori dell’Energia e Trasporti 2008/114/EC
(in Italia: D.Lgs 61/11)
Proposta di nuova directive EU
- NIS directive - 8 Febbraio 2013: “Proposal for a Directive concerning measures to ensure
a high common level of network and information security across the Union”http://ec.europa.eu/dgs/home-affairs/what-is-new/news/news/2013/docs/1_directive_20130207_en.pdf
Proposta di nuova regulation EU
- Nuova legislazione EU in materia di privacy & protezione dei dati personali in luogo
della attuale direttiva 95/46/CE (si tratta di regolamentazione e non di direttiva, quindi si
applicherà direttamente senza processo di transposizione da parte degli Stati Membri EU)http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
Normativa incident mngt a livello EU
Pubblicata sulla Gazzetta Ufficiale Europea il 26 giugno 2013
Entra in vigore in tutti i paesi membri UE a partire dal 25 agosto 2013
Regulation EU no 611/2013 of 24 June 2013
On the measures applicable to the notification of personal data breaches under Directive 2002/58/EC of the European Parliament and of the Council on privacy and electronic communications
Press Release European Commission- June, 24 2013:Agenda digitale - nuove regole specifiche per i consumatori in caso di perdita o furto nell’UE di dati personali nelle telecomunicazioni
La Commissione europea introduce nuove regole su come esattamente gli operatoridelle telecomunicazioni e i fornitori di servizi Internet (ISP) debbano comportarsi in casodi perdita, furto o compromissione in altro modo dei dati personali dei loro clienti. Il finedi tali “misure tecniche di attuazione” è garantire che, in caso di violazione di dati, tutti iclienti ricevano un trattamento equivalente in tutta l’Unione europea e le impresepossano adottare un approccio paneuropeo a tale problema nel caso in cui operino inpiù di un paese
https://ec.europa.eu/digital-agenda/en/eprivacy-directive-data-breach-notifications
Principali Standard e linee guidaENISA
Data breach notifications in the EU - Jan 13, 2011 http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/dbn
Good Practice Guide for Incident Management, 2010 http://www.enisa.europa.eu/activities/cert/support/incident-management
ENISA Threat Landscape, 8 Gennaio 2013 http://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/ENISA_Threat_Landscape
Critical Cloud Computing - A CIIP perspective on cloud computing services - Version1,0, Dicembre 2012http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/critical-cloud-computing
NISTSP 800 61 Rev 2 Computer Security Incident Handling Guide, August 2012 http://csrc.nist.gov/publications/nistpubs/800-61rev2/SP800-61rev2.pdf
ISOISO/IEC 27035:2011 Information technology - Security techniques - Information security incident management WWW.ISO.ORG
Cloud Security AllianceSecurity Guidance for Critical Areas of Focus in Cloud Computing V3.0https://downloads.cloudsecurityalliance.org/initiatives/guidance/csaguide.v3.0.pdf
Data Breach in Italia – norme in vigore
nel settore dei servizi delle comunicazioni elettroniche accessibili al pubblico su reti pubbliche di comunicazione:
Violazione di dati personali (Data Breach):
violazione della sicurezza che comporta anche accidentalmente ladistruzione, la perdita, la modifica, la rivelazione non autorizzata ol'accesso ai dati personali trasmessi, memorizzati o comunque elaboratinel contesto della fornitura di un servizio di comunicazione accessibile alpubblico
Prescrizioni in materia di violazione dei dati personali (Data Breach),
conseguenti al recepimento in Italia della direttiva europea 2009/136/CE.
Il recepimento è avvenuto tramite il D.Lgs 69/12 che ha modificato in modo
significativo il D.Lgs 196/03 (Codice Privacy) relativamente al trattamento dei
dati personali e tutela della vita privata
Data Breach in Italia – norme in vigoreLe principali modifiche di interesse al D.Lgs 196/03 (Codice Privacy) :
• Violazione di dati personali
(art. 4, comma 3, punto g-bis - aggiunto ex novo: introdotta la definizione )
• Obblighi relativi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico
(art. 32 - articolo relativo alla sicurezza nei servizi, modificato in più punti in modo sostanziale)
• Adempimenti conseguenti ad una violazione di dati personali
(art. 32-bis - aggiunto ex novo)
• Procedure istituite dai fornitori
(art. 132-bis - aggiunto ex novo: sebbene non direttamente connesso alla data breachquesta prescrizione si considera comunque rilevante ai fini dei rapporti contrattuali tra i soggetti coinvolti nei servizi qui di interesse)
• Sanzioni nei confronti di fornitori di servizi di comunicazione elettronica accessibili al pubblico
(art. 162-ter - aggiunto ex novo)
• Falsità nelle dichiarazioni e notificazioni al Garante
(art. 168 - modificato)
Data Breach in Italia – norme in vigore
L’Autorità Garante per la protezione dei dati personali ha quindi adottato
“Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach)”
è un apposito provvedimento generale per specificare gli adempimenti
previsti in materia di Data Breach
Nel 2012 – CSA ITALY ha risposto alla consultazione pubblica di cui alle “Linee guida
in materia di attuazione della disciplina sulla comunicazione delle violazioni di datipersonali – Consultazione pubblica – 26 luglio (G.U. n. 183 7 agosto 2012).
Le considerazioni esposte da CSA ITALY sulle Misure di Sicurezza
hanno contribuito alla attuale formulazione del Provv. Data Breach
Data Breach in Italia – norme in vigoreFOCUS ON: I DESTINATARI
� Essenzialmente indirizzata ai Fornitori= fornitori di servizi di comunicazione elettronica accessibili al pubblico
il Garante con il suo Provvedimento Data Breach precisa che
� non sono destinatari delle prescrizioni: i soggetti che offrono servizi di
comunicazione elettronica a gruppi delimitati di persone, titolari e gestori di
esercizi pubblici che si limitano a mettere a disposizione del
pubblico/clienti/soci telefoni o similari mezzi di comunicazione, i gestori di siti
internet che diffondono esclusivamente contenuti, i gestori di motori di ricerca
�
� sono invece ulteriori soggetti per le prescrizioni:
• i gestori di siti internet se offrono servizi di posta elettronica e limitatamente a
questi servizi
• i servizi di mobile payment con addebito e conseguente decurtazione del costo dal
credito telefonico, per i clienti dotati di una carta di traffico telefonico ricaricabile, e
con addebito sul conto telefonico per quelli che hanno l’abbonamento telefonico
Data Breach in Italia – norme in vigoreFOCUS ON: I DESTINATARI
Considerando ora gli Affidatari (*) dei servizi dei Fornitori…
� Il Garante con il suo Provvedimento Data Breach fornisce in sostanza due esempi di Affidatari:
• i fornitori di comunicazione elettronica tradizionali che erogano servizi ai MVNO
• i soggetti terzi ai quali il Fornitore affida in tutto o in parte la materiale
erogazione del servizio stesso, che hanno le infrastrutture a ciò necessarie, ad
esempio per ragioni di ottimizzazione dei costi.
� in ogni caso la realtà è come sempre più complessa:
• tenendo presente la definizione di “Violazione di dati personali” occorrerà
individuare il soggetto Affidatario come
quella terza parte che il Fornitore coinvolge nel contesto della fornitura di un
servizio di comunicazione elettronica accessibile al pubblico, il quale, in
ragione del servizio erogato, sia nelle concrete condizioni di poter rilevare la
violazione in luogo del Fornitore.
(*) Affidatario qui si intende il soggetto a cui il Fornitore di un servizio di comunicazione elettronica accessibile al pubblico affida l'erogazione del predetto servizio, in tutto o in parte.
Data Breach in Italia: adempimenti e misure in sintesiMisure di sicurezza in background
(pre esistenti alle novità normative del 2012/2013 ma sempre in vigore):
• Minime di sicurezza art 33-35 ed All. B D.Lgs 196/03
• Come da Provv. del Garante sulla figura dell’Amministratore di sistema
• Come da Provv del Garante sulla sicurezza dei dati di traffico, ove applicabile
• Individuate con specifica analisi dei rischi (art 31 e 32 D.Lgs 196/03)
Misure da nuova normativa 2012/2013 riguardo la Data Breach
• Riaffermazione della esigenza di implementare una Politica per la sicurezza
• Rafforzamento importanza analisi dei rischi per individuare anche adeguate misure ex ante ex post rispetto ad una violazione dei dati personali
• Misure per l’inintelligibillità dei dati (essenziale per minimizzare anche il rischio di effettuare
comunicazioni ai contraenti/altre persone)
• Misure suggerite dal Garante
• rendere i dati trattati indisponibili al termine delle attività svolte su di essi
• Individuare misure specifiche per mitigare il rischio connesso alla portabilità dei dispostivi portatili
• Obblighi di comunicazione da Fornitore a Garante
• In determinati casi: obblighi di comunicazione da Fornitore ai Contraenti/altre persone
• Obblighi di comunicazione da Affidatario a Fornitore
• Inventario delle Data Breach
assume importanza strategica anche ai fini delle Sanzioni
Data Breach
Data Breach
Data Breach in Italia - SanzioniIl D.Lgs 69/12 ha :
Introdotto nuove sanzioni (AMMINISTRATIVE):
• Art. 162-ter. Sanzioni nei confronti di fornitori di servizi di comunicazione elettronica accessibili al pubblico
relative agli obblighi di:
Comunicazione di violazione dati personali al Garante Privacy
Comunicazione di violazione dati personali ai contraenti o altre persone
Inventario delle violazioni dei dati personali
Esteso l’esistente (PENALE)
• Art. 168. Falsità nelle dichiarazioni e notificazioni al Garante
In caso di falso in dichiarazioni /attestazione di notizie o circostanze / nella
produzione di documenti in relazione a
Comunicazione di violazione dati personali da Fornitore al Garante
Comunicazione di violazione dati personali da soggetto affidatario di servizio verso il Fornitore
Data Breach in Italia - Sanzioni
VIOLAZIONE SANZIONE Amministrativa
Omessa comunicazione di violazione dati
personali al Garante
fino a €. 150.000
Omessa comunicazione di violazione dati
personali al contraente o altre persone
fino a €. 1.000 per ciascuna persona nei cui
confronti venga omessa o ritardata la
comunicazione prevista; il tutto fino alla misura
massima del 5% del volume d'affari realizzato
dal fornitore di servizi
Violazione della disposizione concernente la
tenuta di un aggiornato inventario delle
violazioni dei dati personali
fino a €. 120.000
Le medesime sanzioni si applicano nei confronti dei soggetti a cui il fornitore
di servizi di comunicazione elettronica accessibili al pubblico abbia affidato
l'erogazione dei predetti servizi, qualora tali soggetti non abbiano comunicato
senza indebito ritardo, al fornitore le informazioni necessarie ai fini degli
adempimenti di cui all'articolo 32-bis. (Adempimenti per Data Breach)
Data Breach e Cloud Services
� Data Breach come problematica di Incident Response
� CSA Security Guidance for Critical Areas of Cloud Computing Version 3.0./ Domain 9 Incident Response
https://cloudsecurityalliance.org/research/security-guidance/
Data Breach e Cloud Servicesresponsabilità nell’implementare misure
SaaS PaaS IaaS
Fornitore dei servizio Cloud
Cliente del servizio Cloud
SaaS: security controls and their scope are negotiated into the contracts for service:service levels, privacy, and compliance are all issues to be dealt in contracts
PaaS: securing the platform itself falls onto the Provider, but securing the applicationsdeveloped against the platform and developing them securely, is a taskfor the Customer
IaaS: responsibility for securing the underlying infrastructure and abstraction layersbelongs to the Provider, the remainder of the stack is the Customer’s responsibility
Data Breach e Cloud Servicespunti di forza e punti di attenzione
Tra i punti di forza:
� Continuous monitoring
� Rende più efficiente ed efficaci le azioni per individuare gliincidenti e nel gestire le reazioni (tempi, applicazione misure,..)
� Virtualization and elasticity
� Maggior capacità di contenimento problemi conseguenti e recovery actions (natura distribuita e ridondante)
� Riduzione di impatti negativi (es. downtime) per i clienti
� Maggior capacità di portare un ambiente virtualizzato in lab a finiinvestigativi
Data Breach e Cloud Servicespunti di forza e punti di attenzione
Tra i punti di attenzione:
� La natura SelfService del servizio rende complesso individuareprontamente il problema (ruolo del cliente può fare la differenza)
� Il pooling di risorse tra più Clienti può
� moltiplicare gli impatti negativi di un problema
� comportare difficoltà per acquisire legittamente i dati necessariper le analisi e le investigazioni
� Criticità derivanti da multiple giurisdizioni e leggi applicabili
� Contratti/SLA intra Cloud Computing Providers: NOT Data Breach oriented
Data Breach: ricetta must have
Una base solida di misure tecniche-organizzative-procedurali?
• Data Breach Response team (risorse e mezzi adeguati)
• Encryption, Encryption, Encryption, Encryption, Encryption, Encryption,…
• Misure di Autenticazione
• Misure di Autorizzazione
• Adeguati contratti/SLA
