RIFORMA DEL LAVORO (2012) PACCHETTO LAVORO (2013) - “JOB ACT” (2014)
Prove Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job Act
-
Upload
studio-fiorenzi-security-forensics -
Category
Law
-
view
331 -
download
1
Transcript of Prove Digitali, Privacy e Poteri di Controllo in Azienda dopo il Job Act
Prove digitali, privacy e poteri di controllo in azienda
I controlli e le indagini informatiche in azienda nell'era del Job Act: i requisiti, le modalità e cosa può essere oggetto di una indagine informatica forense in azienda.
Chi sono: Alessandro Fiorenzi Dottore in Scienze dell'Informazione Consulente Informatico Forense Iscritto Albi CTU e Periti Tribunale di Firenze Consulenti Arbitratori CCIAA Firenze Albo Periti ed Esperti CCIAA Firenze Membro del Comitato Scientifico CLUSIT Membro di IISFA Membro Direttivo Osservatorio Nazionale Informatica Forense ONIF Certificato ECCE European Certificate on the fight against
Cybercrime and Electronic Evidence (ECCE) 2009 Lead Auditor ISO 27001/2013 Titolare «Studio Fiorenzi Security & Forensics»
Origine dell’articolo 4 legge 300/70 Parte Datoriale: esigenza di controllo dell’operato delle maestranze
a tutela dell’attività di impresa Dipendente: Esigenza di riservatezza del lavoratore L’iniziativa economica privata (art. 41 Cost. ) « non può svolgersi in
contrasto con l’utilità sociale o in modo da recare danno alla sicurezza, alla libertà, alla dignità umana »
Definizione dei poteri di controllo dell’imprenditore – art . 3 e 4 L. 300/700, ovvero accordo o autorizzazione DTL
Art. 4 Statuto Lavoratori, Pre e Post Job Act L’art 23 del D.lgs. 151/2015 (Job Act) , apporta alcune modifiche in
materia di controllo a distanza dei lavoratori (art. 4 della legge n. 300 del 1970 c.d. Statuto dei lavoratori).
Pre Job Act art. 4 « è vietato l’uso di impianti audiovisivi e di altre apparecchiatura per finalità di controllo a distanza dell’attività dei lavoratori »…… « gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto (…)»
Post Job Act art. 4 : «Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza
dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo (..)»
«La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.»
«Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal Dlgs. n. 196/03»
Cosa è cambiato con il job act?1. Si passa da un principio di divieto ad un principio positivo
dell’impiego, concordato, dei mezzi di controllo a distanza
2. Non sono necessari accordi sindacali per quanto riguarda l’assegnazione ai lavoratori degli «strumenti utilizzati per rendere la prestazione lavorativa » e in merito a « gli strumenti di registrazione degli accessi e delle presenze » se pur dagli stessi derivi anche la possibilità di controllo a distanza
3. Tutti i dati raccolti possono essere usati ai fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli nel pieno rispetto della normativa sulla privacy
Strumenti audiovisivi e strumenti di controllo L’impiego di impianti audiovisivi o di altri strumenti da cui derivi
anche la possibilità di controllo a distanza del lavoratore possono essere impiegati esclusivamente per : Esigenze organizzative e produttive Per la sicurezza del lavoro Per la tutela del patrimonio aziendale
PREVIO
Accordo Sindacale , in difetto del quale è necessaria Autorizzazione DTL
Autorizzazione del Ministero del Lavoro per imprese dislocate in territori di competenza di diverse DTL
Strumenti lavorativi, controllo accessi/presenzeIl comma 2 stabilisce che l’accordo sindacale l’autorizzazione della DTL non sono necessari per
• Gli strumenti che sono utilizzati dal lavoratore per rendere la prestazione lavorativa
• Per gli strumenti di registrazione delle presenze e degli accessi in azienda.
Tuttavia occorre che il datore di lavoro fornisca una adeguata informazione ai lavoratori circa l’uso degli strumenti e la effettuazione dei controlli nel rispetto delle previsioni contenute nel D.L.vo n. 196/2003.
Strumenti lavorativi Gli strumenti informatici/tecnologici, pc (software applicativi, mail,
internet, etc..) , tablet, cellulari, (Min. Lav. 18,06,2015) in dotazione al dipendente per RENDERE la prestazione lavorativa, « gli attrezzi da lavoro » non sono soggetti ad alcun accordo
Nel momento in cui tale strumento viene modificato con l’aggiunta di appositi software di localizzazione e filtraggio, per controllare il lavoratore, si fuoriesce dal disposto. Min. Lav. 18/06/2015
Ma i dati che posso ottenere da queste tipologie di strumenti Auto aziendale :Telepass, GPS del navigatore, sistemi infotainment Fringe Benefitscome li devo gestire e come li posso usare?
Utilizzabilità dei dati raccolti Le informazioni raccolte ai sensi de 1 del 2 comma sono utilizzabili
a tuti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli nel rispetto di quanto disposto dl decreto legislativo 30 giugno 2003 n. 196
OVVERO INFORMATIVA e Raccolta consenso ai sensi del TU Privacy Policy Aziendali Regolamento utilizzo dispositivi e strumenti
Utilizzabilità dei dati raccolti Il nuovo articolo, non liberalizza i controlli a distanza e chiarisce le
modalità di utilizzo degli strumenti tecnologici, nonché i limiti di utilizzabilità dei dati raccolti tramite questi strumenti
I dati e le informazioni raccolti potranno essere utilizzati, in modo legittimo, a sostegno di un licenziamento o di altre sanzione disciplinari di natura conservativa.
Tale potere disciplinare potrà però essere utilizzato solo ed esclusivamente se vengono rispettate tutte le norme previste in materia di protezione dei dati personali; al lavoratore viene data un’adeguata informazione sulle modalità d’uso degli strumenti
e sulle modalità di effettuazione dei possibili controlli.. L’utilizzo dei dati nel rispetto del nuovo art. 4 richiede quindi
l’aggiornamento del corpo normativo aziendale, dei disciplinari, e intervenire sul modello organizzativo 231/2001 per quanto attiene alle sanzioni disciplinari.
Controlli e indagini informatiche in aziendaAccertata la possibilità di fare controlli sugli strumenti aziendali senza accordo e di farli sui sistemi di controllo a distanza previo
accordo con le RSU/RSA/DTL/ministerocome può metterli in partica l’azienda?
- Ufficio Controlli Interni:- Attraverso un Audit periodico Privacy, Policy aziendali, regolamento 231
- Definendo un piano di controlli: cosa e quando - Un perimetro d’azione
- HR aziendale- Piano di verifica a campione del rispetto della normativa aziendale e delle regole di
uso degli strumenti di lavoro- Ove abbia notizia di illeciti condotti a danno dell’azienda da parte di uno o più
dipendenti
- Ufficio Legale / AML- Ove ravvisi comportamenti illegali o illeciti a danno del patrimonio aziendale mediante
gli istituti dell’ATP o dei Indagini Difensive preventive
Controlli e indagini informatiche in azienda • I controlli, devono essere svolti secondo principi di gradualità e
proporzionalità (1)
• IE’ in generale preferibile che gli accertamenti tecnici siano effettuati da soggetti terzi, consulenti esterni all’azienda, non coinvolti umanamente nelle dinamiche aziendali; quindi indipendenti
• E’ fondamentale che le evidenze dei controlli siano costituite da elementi oggettivi, e verificati e verificabili.
• La produzione delle prove deve seguire i principi e i processi delle indagini informatiche forensi per dare garanzia di rispondenza all’originale e di riferibilità a un ben individuato momento(2) . Ove vengano meno queste garanzie le prove non sono utilizzabili in giudizio.
(1) Garante Privacy Internet: proporzionalità nei controlli effettuati dal datore di lavoro - 2 febbraio 2006(2) Cassazione Sezione Lavoro n. 2912 del 18 febbraio 2004, Pres. Mattone, Rel. Spanò
La prova Digitale Tutto ciò che è idoneo a fornire risultati rilevanti per la decisione del giudice: cose (pistola) e persone (teste)
L’emento di prova una volta valutato dal giudice
RisultatoProbatorio=Valutazione-Giudice(elemento di prova)
L’informazione che si ricava dal mezzo di prova come dato grezzo
Emento di prova = Mezzzo_di_prova(fonte di prova)
Strumento attraverso cui si acquisisce al processo un elemento che serve per la
decisione del giudice, come unta testimonianza o una perizia
Fonte di prova
Mezzo di Prova
Elemento di Prova
Risultato probatorio
Le proveLe prove di un illecito o di un reato possono trovarsi un gran numero di strumenti utilizzati quotidianamente in azienda. Computer (desktop, portatili, server, appliance) Stampanti (tutte hanno un sistema operativo, tipicamente una busybox linux, che le fa funzionare) Memorie di massa (cd, dvd, pendrive, nastri, etc…) Smartphone, blackberry, tablet, Cloud: Dropbox, Onedrive, Gdrive, iCloud, OwnCloud, BitCasa, etc.. Instant Messaging e VOIP: whatsapp, telegram, skype, viber, confide…. History e file temporanei della navigazione In definitiva tutto ciò che implementa un software, quindi anche:
Un navigatore satellitare Un sistema di videosorveglianza Il sistema di allarme Il controllo accessi e il sistema registrazione presenze Il computer di bordo di un’auto
La prova informatica è una prova atipica e quindi deve essere trattata con metodi scientifici di garanzia nelle fasi di acquisizione, custodia, analisi ed estrazione delle evidenze.
Prova Digitale vs Prova analogica• La prova tradizionale
– tipicamente presenta le caratteristiche di tangibilità, misurabilità ed è definita
• La prova informatica /digitale – INTANGIBILE: è costituita da file, trasmissioni, più in generale dati distribuiti
sulla rete aziendale o addirittura in Internet – VOLATILE: le tracce informatiche in ragione del dispositivo in cui sono
memorizzate possono essere più o meno persistenti nel tempo e in ragione dell’uso che ne viene fatto. In ordine di volatilità decrescente: registri di memoria, ram, stato della rete, processi (programmi) attivi, file temporanei, dischi, log, floppy, nastri, cd, dvd, stampe.
– ALTERABILE: la prova informatica/digitale può essere facilmente alterata=compromessa o addirittura distrutta senza che ne rimanga traccia. Ma è ancora più grave come con certi dispositivi, in particolare smartphone tablet, si possa arrivare a resettare il dispositivo o cancellare contenuti semplicemente attraverso un collegamento dati.
Fasi di una indagine informatica
Idenfiticazione• Isolamento della scena criminis
• Identificazione di cosa può costituire prova o contenerla
Acquisizione •Copia forense di dischi, chiavette USB, Smartphone, contenuti Cloud etc..
•Attivazioe catena di custodia
Analisi•Accertamenti tecnici alla ricerca di evidenze
•Al termine dell’analisi verifica consistenza e congruenza dei dati rilevati con TimeLine per la correlazione degli eventi
Presentazione•Formulazione report attività, perizia, riportati in forma comprensibile anche ai non tecnici, documentando ogni passo seguito per il rinvenimento delle evidenze per rendere l’accertamento verificabile e non contestabile
Casi tipici indagine su dispositivi informatici• Mancato rispetto policy aziendali
– Uso degli strumenti aziendali per fini personali (smartphone, notebook etc.. Sono spesso percepiti come benefit e non come strumenti aziendali)
– Conservazione di dati privati, di natura anche sensibile, sui dispositivi aziendali (foto, esami clinici, email private, etc.)
– Uso privato della posta elettronica aziendale– Condivisione documenti tecnici e contabili riservati con terzi esterni/concorrenti all’azienda– Condivisione documenti aziendali su forum, newsgroup o altri canali– Uso di credenziali aziendali per partecipare a social network, forum o altre attività non attinenti alle
mansioni– Uso di credenziali private, account Google/iCloud,Microsoft, Dropbox, email, numero di telefono, per lo
svolgimento dell’attività lavorativa– Utilizzo di tecniche di evasione per aggirare gli strumenti di controllo della navigazione (online proxy,
deepweb etc..)– Utilizzo di chiavette USB, e modalità storage smartphone (spesso veicolo di infezioni virus gravi come i
cryptoloker)– Installazione e utilizzo di software personale o non acquistato dall’azienda– Denigrazione dell’azienda in Internet, social network, forum, gruppi di discussione
Le indagini informatiche in azienda• Concorrenza Sleale Ex Socio/Dipendente Infedele
– Furto di dati aziendali mediante copia massiva dati aziendali su chiavette, dischi usb, cloud o via mail– Furto di dati aziendali mediante Stampa massiva di documenti aziendali– Violazione dell’obbligo di diligenza – Appropriazione know-how aziendale per attività concorrente– Imitazione servile di prodotti e servizi
• Frode– Uso e rendicontazione truffaldina di carte di credito, carte carburante, pedaggi, kilometraggio – Alterazione dati contabilità– Falso in bilancio– False attestazioni di presenza– Falso documentale
• Reati– Trattamento illecito di dati– Accesso abusivo ai sistemi– Detenzione e/o diffusione di codici di accesso – Inside attack
• Interruzione/intercettazione comunicazioni elettroniche• Danneggiamento sistemi informatici
DomandaSpesso l’imprenditore si pone in questi termini
Ma devo veramente seguire un procedimento così articolato e complesso? Non posso fare a modo mio? Del resto sono io che ho le prove dell’illecito/del comportamento
infedele di tizio, perché mai dovrei eseguire un’indagine forense per applicare un provvedimento disciplinare o licenziare un mio dipendente infedele?
E perché mai dovrei far fare un tale procedimento ad un ‘esterno’, mi costa di più e non mi cambia niente
Le questioni però sono un attimo diverse
1. Al dipendente a cui si vuole applicare una sanzione disciplinare o il licenziamento devono essere contestati dei fatti oggettivi, documentati e verificabili.
2. Le prove acquisite senza le garanzie di autenticità accuratezza e completezza non hanno valore probatorio quando in un contenzioso giudico
3. La legge 48/2008 sottolinea l’esigenza di adottare strumenti e processi per l’acquisizione della prova atti a garantire la genuinità della prova digitale.
4. Un soggetto terzo, un consulente informatico forense che professionalmente adotta le metodologie forensi, è garanzia di imparzialità perché non è coinvolto nelle dinamiche aziendali e perché con la firma della relazione tecnica/perizia diviene garante, anche in un processo, di come ha condotto le indagini, di quanto ha scoperto e delle conclusioni a cui giunge
Inziamo le indagini con la copia forense Non possiamo analizzare la fonte di prova originale in quanto:
Rischieremmo di comprometterla o di essere accusati di averla manipolata
Quindi operiamo una copia Forense della fonte di prova e conduciamo le analisi sulle copie di questa.
La copia Forense di una fonte di prova Informatica è l’analogo Digitale della « copia conforme all’originale » del mondo analogico .
Per computer e server consiste in
Calcolo dell’hash sul dispositivo originale, copia bit a bit del contenuto delle memorie di massa senza alterare minimamente
la fonte di prova (uso di dispositivi o di presidi tecnologici adeguati) calcolo dell’hash della copia e verifica della corrispondenza all’originale
Presenta problematiche relative a: Cifratura dei dischi, utilizzo di password, dischi ssd, utilizzo di tecniche di
antiforensics
Iniziamo le indagini con la copia forense Per gli smartphone
consiste in: copia fisica o logica (in ragione degli obiettivi) del contenuto in ragione dello
smartphone Calcolo dell’hash dei dati originali e verifica con l’hash delle copie forensi.
Presenta problematiche relativamente a: Possibilità di alterazione/cancellazione/compromissione da remoto il contenuto Bassa standardizzazione Hardware e Software (molte varianti di sistemi
operativi(Windows, Android, iOS, bada, etc… Cifratura dei dati Protezione da pin
Per in contenuti web e cloud l’acquisizione forense consiste nell’adottare un procedimenti e processi che forniscano garanzia di rispondenza
all’originale e la riferibilità ad un momento ben individuato in quanto le informazioni tratte da una rete sono per loro natura voltatili e suscettibili di continua trasformazione (cassazione lavoro n 2912 18 Febbraio 2004)
Sistemi di protezione: contenuti pubblici e privati, password di accesso, aree crittografate, contenuti cifrati sulla rete.
AnalisiE’ la fase di indagini tecniche volte alla ricerca di specifiche evidenze. Può riguardare :
• Documenti (DOC, XLS, PDF, …)• Video e Immagini• Email , PEC, webmail, • Cronologia dei browser e file temporanei• Sistemi di chat: skype, lync, whatsapp,
telegram• File sharing:P2P, Torrent, Emule• Database di contabilità, sistemi ERP, CRM
SAP• Software (aziendale, personale, craccato)• File di Log• Registri di sistema e ActiveData Stream• File e cartelle cancellati• File e cartelle nascosti
• Slack Space, • Bad Blocks• File cifrati, o uso si steganografia,
Partizioni nascoste• Sms in ingresso ed uscita compresi quelli
cancellati• La Rubrica telefonica, compresi i cancellati• Registro delle chiamate, anche quelle
perse (che le telco cancellano dai tabulati dopo 30 gg)
• Dati GPS, percorsi seguiti, posizioni mantenute, velocità e orari
Al termine dell’analisi deve essere fatta la verifica della consistenza e congruenza dei dati rilevati con la timeline degli eventi del caso
Presentazione: relazione tecnica/perizia
La relazione tecnica o Perizia deve riportare in forma comprensibile anche a non tecnici i risultati raggiunti.
A garanzia della genuinità e correttezza di quanto eseguito, deve anche documentare gli strumenti e le elaborazioni eseguite, per rendere verificabile ripetibile gli accertamenti e opponibile senza tema di smentita quanto fatto
Può sembrare superfluo ma: Non deve essere stampata con stampante a getto di inchiostro, l’umidità o il caffè del
cancelliere del tribunale potrebbe renderla illeggibile… Deve essere stampata a colori dove il colore rende meglio comprensibili gli elementi
che si vogliono sottolineare.
Case Studies: Dipendente Infedele 1
Dipendente infedele che usa nell'orario lavorativo scrive libri e sviluppa un’altra professione
L’azienda da tempo ha sospetti su «pollicino» (così il nome è veramente di fantasia)
Il dipendente ha un ruolo di commerciale dell’azienda per il quale gli è affidato un portatile, una chiavetta Internet e uno Smartphone
Sussistendo un regolamento aziendale, sottoscritto dal dipendente, che prevede il potere ispettivo dell’azienda in base a patti di non concorrenza, si procede ad acquisizione forense del portatile e dello smartphone.
Case Studies: Dipendente Infedele 1 Cosa emerge dalle analisi sui tre dispositivi:
Dal computer: Sono rinvenuti numerosi file docx relativi a testi non pertinenti l’attività lavorativa lavorati durante
l’orario di lavoro. Sono Rinvenuti anche numerosi file PPT elaborati dal dipendente relativi al coaching nello sport. E’ la
professione di cui l’azienda ha sentito parlare Sono rinvenuti molti file pdf, alcuni relativi alla contabilità dei diritti SIAE dei libri del dipendente, altri
relativi a contabili bancarie, altri risultano essere libri sul coaching che molto probabilmente venivano usati per formazione personale dal soggetto
Dall’esame della mailbox aziendale si scopre che il soggetto gestiva e organizzava, mediante la mail aziendale, sessioni di coaching a pagamento, prenotando alberghi per convegni e aule perla formazione. Questo fino a 3 mesi prima dell’accertamento, da allora inizia ad usare la webmail di gmail con il suo indirizzo personale
Sono rinvenute migliaia di foto degli eventi di coaching sportivo organizzati dal soggetto Dallo smartphone:
La cronologia delle chiamate evidenzia un uso intenso dello smartphone anche al difuori dell’orario di lavoro e verso numeri che non risultano essere associati a clienti dell’azienda o a prospect commerciali
L’analisi di whatsapp evidenzia la presenza di 2 gruppi denominati «Coaching Basket: vincenti nello sport e nella vita» e « Vincere le sfide nello sport» che riportano numeri di soggetti non connessi all’attività aziendale
Naturalmente il contenzioso con il dipendente ha portato al licenziamento del soggetto che è ricorso in sede giudiziaria ma senza successo
Case Studies: Ex Dipendente Accesso abusivoDopo l’uscita dall’azienda di un dipendente che ha avviato una usa
attività l’azienda ha la sensazione che l’ex sappia quello che succede in azienda
Una priva verifica evidenzia come sul sistema informatico aziendale non siano state disattivate le utenze dell’ex dipendente a seguito della sua uscita.
Dai log della connessione VPN si evidenzia che l’ex si collega con regolarità tutti i giorni dalle 21 alle 23 da circa 3 mesi, ovvero da quando è uscito dall’azienda. I log delle connessioni abusive, sono cristallizzati
Si blocca l’utenza e si osservano tentativi di accesso via VPN per circa 4 giorni, ma l’ex dipendente questa volta ha l’utenza bloccata. Anche questi log sono cristallizzati
Case Studies: Ex Dipendente Accesso abusivo Passano 20 giorni e riaffiora il sospetto che la persona possa
riuscire ad accedere alle informazioni aziendal scambiate via mail fra le figure apicali.
Si decide di far cambiare password della mail a tutte le figure apicali. La sera stesa si notano numerosi tentativi di accesso falliti alla webmail del Direttore Generale, tutti dallo stesso indirizzo IP.
Credendo di aver risolta la questione l’azienda sporge denuncia per accesso abusivo al sistema informatico corredandolo degli accertamenti tecnici eseguiti.
Passa circa un mese prima che ritorni in azienda «la sensazione di essere spiati». Si valuta la presenza di una talpa all’interno dell’azienda che gira materiale riservato all’ex dipendente.
Case Studies: Ex Dipendente Accesso abusivo
L’esame del Computer non rileva niente di particolarmente significativo e interessante, ma fornisce alcuni indirizzi email privati del soggetto a cui inoltrava materiale.
Vengono messi in blacklist sul server di posta gli indirizzi email privati dell’ex dipendente
La talpa cerca di inviare più volte materiale, appunti, note all’ex dipendente scoprendosi dai log del server di posta.
La pratica si conclude con l’integrazione della precedente denuncia e il licenziamento della talpa
Case Studies:Dipendente InfedeleL’azienda offre servizi di logistica e partecipa spesso a bandi pubblici. negli ultimi anni l’azienda sta perdendo molti bandi su cui faceva affidamento e di cui era abbastanza
certa, ma soprattutto molti dei bandi vedono passare l’assegnazione all’azienda concorrente «XY Logistica»
• L’analisi del contesto aziendale evidenzia la presenza di 2 persone che si occupano della partecipazione ai bandi, con uno dei due, «Giuseppe» negli ultimi 18 mesi i rapporti si sono irrigiditi a causa di mancati riconoscimenti di carriera e di obbiettivi raggiunti.
• Si decide di agire in parallelo su due filoni di indagine: Da una parte si esaminano i log del server di posta alla ricerca di contatti email dell’azienda
concorrente Dall’altra si decide di eseguire un’analisi del computer di «Giuseppe» temendo che collabori
con aziende concorrenti
Case Studies:Dipendente Infedele Dalle indagini emerge:
Log server di posta: non ci sono contatti fra l’azienda e la concorrente, o perlomeno non attraverso indizi email «ufficiali» dell’azienda concorrente.
Dall’analisi del Computer emergono invece dati importanti: Copie Massive di file su chiavette usb e dischi esterni Frequenti scambi email con uno specifico indirizzo email, peraltro si tratta di
email in buona parte cancellate. Il loro recupero e l’analisi mette in luce che si tratta di un indirizzo email non ufficiale della «XY Logistica» con cui venivano scambiati numerose mail ma in particolare i prezzi e la documentazione di partecipazione ai bandi.
La pratica si è conclusa con il licenziamento e la querela del dipendente infedele
Case Studies:Pratiche commerciali scorretteL’azienda MacchinariXY che commercializza ingranaggi di precisone si accorge di una emorragia di clienti. Uno dei clienti gli confessa di essere stato contattato di «Giovanni Tarabusi» che, per gli stessi prodotti gli ha praticato prezzi più convenienti. Ma «Giovanni Tarabusi» fino a 6 mesi fa era un dipendente dell’azienda che si è licenziato per intraprendere una sua attività.
Si avviano le indagini inforamtiche forensi e si ottiene:
Ispezionando il sito dell’attività concorrente si scopre che oltre al layout del sito che è molto simile, quasi identico, a quello di MacchinariXY, le schede prodotto riportano esattamente le stesse informazioni commerciali e caratteristiche del sito di MacchinariXY. Si esegue una copia forense del sito «clone»
L’esame della copia forense del sito clone evidenzia come le immagini del sito clone siano le stesse del sito originale, stesso hash, e anche i parametri che vengono passati per accedere ai prodotti sono gli stessi opportunamente rinominati ma con i soliti valori del sito originale, per cui il cuscinetto abc ha il codice prodotto 123 sul sito originale e sul sito clone, oltre ad avere la stessa foto e le stesse schede descrittive.
Il computer che era assegnato a «Giovanni Tarabusi» 6 mesi prima è stato riassegnato ad un’altra persona con un’utenza diversa. Si decide quindi di tentare la strada dell’indagine sul computer.
Case Studies:Pratiche commerciali scorrette L’indagine sul computer evidenzia:
Uso di dropbox sul quale risultano salvati: cartelle prodotto, elenco clienti e fornitori e il listino prezzi. Accedendo allo stesso Dropbox da casa si copiava sul computer personale i dati aziendali
Scambio di mail con la moglie e il suo nuovo socio relative ai piani della nuova attività e alle strategie commerciali
L’uso di un disco esterno usb da 500GB su cui avrebbe avviato una copia massiva di documenti del pc il fine settimana precedente alla sua uscita dall’azienda.
Ci sono tracce dell’installazione di iTunes ma non è stato possibile recuperare le credenziali di accesso Apple ID, ad iTunes per poter recuperare i backup dell’iPhone 5S ed esaminali dal momento che il telefono non è più in azienda.
L’indagine ha permesso di accertare la condotta di pratiche commerciali scorrette: clonazone sito, con le stesse foto, le stesse descrizioni, ma anche l’uso dell’elenco degli elenchi clienti e fornitori nonché del listino prezzi sottratti all’azienda attraverso dropbox e molto probabilmente anche attraverso un disco esterno da 500GB
Case Studies:web reputation Azienda settore alimentare in crisi, con forti tensioni sindacali
• La rappresentanza sindacale apre una pagina web sulla piattaforma blogspot per riportare le proprie iniziative. La pagina su blogspot è aperta a tutti e non moderata .
• A seguito di uno sciopero iniziano i commenti fra i quali alcuni dai toni molto accesi, ma comunque rispettosi, fino a quando un tale signor «Andrea» inizia a postare commenti pesanti, arrivando a sostenere che l’azienda con la crisi ha ridotto la qualità dei prodotti, e usando anche materie prime non proprio salutari solo a vantaggio del profitto etc…
• La pagina della RSU è ripresa da alcuni giornali locali che usano i commenti per riportate lo stato di tensione presente.
• Ne deriva un grave danno di immagine per l’aziendale che ritiene le affermazioni fatte dal signor Andrea siano fale e prive di ogni fondamento
Case Studies:web reputation Come si sono svolte le indagini:- Si è compreso il conteso in cui venivamo chiamati ad operare- Si sono cristallizzati i contenuti web della pagina denigratoria
dell’azienda.- Si è risaliti all’identità reale di «Andrea» attraverso il suo profilo
Google+ che riportava alcuni suoi vecchi post firmati con nome e cognome. Si sono cristallizzate anche queste evidenze.
- Il fascicolo di prove raccolto è stato allegato alla denuncia per diffamazione.
E infine qualche consiglio Aiutateci ad aiutarvi, ovvero piccolo semplici accorgimenti posso cambiare radicalmente la gestione e i risultati di una indagine forense. Keep Kalm e non compromettere le fonti di prova. Se avete un sospetto su un ex dipendente maneggiate il
meno possibile gli strumenti in dotazione al soggetto, ed evitare di fare reinstallazioni, ripristini di fabbrica o reset . Tempestività. Se si decide di fare una verifica, un accertamento tecnico su un dispositivo informatico piuttosto
che su una pagina di Facebook, la parola chiave è tempestività. Una pagina in Internet può essere cancellata o modificata in qualsiasi momento, un messaggio whatsapp o un sms, ma anche una mail potrebbero essere cancellate inavvertitamente o scomparire da Gmail dopo 30 giorni. Quindi Tempestività è la prima regola da seguite
Logging. Attivate per quanto possibile il maggior livello possibile di logging di server, pc, firewall. Il log forniscono molte informazioni
GMAIL: Attenzione le mail che spostate nel cestino di Gmail, dopo 30 giorni vengono cancellate da Google, quindi se avete qualcosa di importante e interessante che avete spostato nel cestino di Google: levatelo dal cestino e procedete ad un accertamento tecnico con Tempestività prima che elementi fortuiti possano pregiudicare la sopravvivenza della prova
Servizi Cloud: dropbox, google drive, office 365, Onedrive, Attivate un contratto business con cui assegnare e poter gestire le utenze e i contenuti. L’uso di credenziali personali in contesto lavorativo può creare qualche problema in particolare quando la persona esce dall’azienda
Account Smartphone. Attivate un contratto business per i servizi Google e iOS e Windows, per poter assegnare e gestire le utenze con cui gli smartphone azienadli si registrano. L’uso delle credenziali personali su dispositivi azienali espone l’azienda ad un maggior rischio di sottrazione di dati difficilmente verificabile a posteriori sugli account cloud
E soprattutto prima di prendere qualunque iniziativa consultatevi con un esperto, non con il tecnico o l’amico smanettone; intervenire dopo interventi maldestri è molto più complesso
Q&A
Dott. Alessandro FiorenziConsulente Informatico Forense, Esperto in Sicurezza Informatica
Membro Direttivo ONIF Membro CTS Clusit
Mail [email protected] www.studiofiorenzi.it
Facebook https://www.facebook.com/studiofiorenzi.it/
Linkedin https://www.linkedin.com/in/alessandrofiorenzi
Twitter @fiorenzics
Mobile 348 7920172