• Like
Amministratore di sistema - Principali reati informatici Ver.2013
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Amministratore di sistema - Principali reati informatici Ver.2013

  • 773 views
Published

Illustrazione del provvedimento Garante Privacy del 27/11/2008 e dei principali reati informatici …

Illustrazione del provvedimento Garante Privacy del 27/11/2008 e dei principali reati informatici

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
773
On SlideShare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
12
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Amministratore di Sistema AdS Illustrazione del provvedimento Garante Privacy del 27/11/2008 e dei principali reati informatici Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 2. Argomenti • Definizione di AdS • Compiti e funzioni degli AdS • Adempimenti da eseguire • Registrazione degli accessi • Principali reati informatici Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 3. Definizione di AdS Codice per la protezione dei dati personali definisce: Titolare, Responsabile, Incaricato Manca l'Amministratore di Sistema Viene definito nel provvedimento del 27/11/2008. L’intento del Garante è quello di ricomprendere tutti i soggetti che hanno un'effettiva capacità di azione sulle informazioni Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 4. Definizione di AdS Figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati: •amministratori di basi di dati; •amministratori di reti e di apparati di sicurezza; •amministratori di sistemi software. Devono essere ricompresi anche soggetti che non sono preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo. Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software. (FAQ n.1) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 5. Definizione di AdS Attività tecniche che comportano il trattamento dei dati personali: •Salvataggio dei dati (backup/recovery); •Organizzazione dei flussi di rete; •Gestione dei supporti di memorizzazione; •Manutenzione hardware. In molti casi un'effettiva capacità di azione su informazioni va considerata a tutti gli effetti alla stregua di un trattamento di dati personali. Anche quando l'amministratore non consulti "in chiaro" le informazioni medesime. Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 6. Valutazione del titolare dei dati Valutazione delle attribuzioni di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. Responsabilità del titolare dei dati In caso di incauta o inidonea designazione degli AdS, abbiamo delle responsabilità di ordine penale e civile (artt. 15 e 169 del Codice). Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 7. Adempimenti da adottare 1. Valutazione delle caratteristiche soggettive 2. Designazioni individuali 3. Elenco degli amministratori di sistema 4. Verifica delle attività 5. Registrazione degli accessi Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 8. 1. Valutazione delle caratteristiche soggettive - Conoscenza della normativa vigente - Conoscenza delle best practices di riferimento in materia di gestione “sicura” dei sistemi informatici - Consapevolezza relativamente ai rischi di sicurezza derivanti da errori/violazioni nell’ambito della gestione dei sistemi Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 9. Applicazione dell’art. 2104 c.c. «Il prestatore di lavoro deve usare la diligenza richiesta dalla natura della prestazione dovuta, dall'interesse dell'impresa e da quello superiore della produzione nazionale. Deve inoltre osservare le disposizioni per l'esecuzione e per la disciplina del lavoro impartite dall'imprenditore e dai collaboratori di questo dai quali gerarchicamente dipende.» La violazione dell'obbligo di diligenza e dell'obbligo di osservanza comporta l'applicazione di misure disciplinari art. 2106 c.c. e l'obbligo di risarcire i danni subordinato all'esistenza della colpa lieve art. 1229 c.c., e può dar luogo, in casi estremi, al licenziamento (es.: se il lavoratore costantemente, violando istruzioni impartitegli, reca danno all'attività produttiva). Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 10. 2. Designazioni individuali - Specifico atto di per ogni AdS - Elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato Separazione della gestione IT in ambiti di operatività Definizione di profili di autorizzazione Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 11. 3. Elenco degli amministratori di sistema Redazione di un documento interno: - Determinazione dei sistemi che trattano dati dei lavoratori - Aggiornamento dell’elenco degli amministratori -“Conoscibilità” degli amministratori che operano su sistemi che trattano dati dei lavoratori Servizi in outsourcing Acquisizione degli identificativi degli AdS che operano nell’ambito di servizi affidati in outsourcing Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 12. 4. Verifica delle attività - Audit Almeno cadenza annuale i titolari o i responsabili del trattamento devono verificare le attività degli AdS. La rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. Non deve essere un controllo sulle attività professionali vietato dall’art. 4 L. n. 300/1970 Adempimenti: Redazione di un verbale di controllo. Redazione di regole di condotta (Linee guida del Garante per posta elettronica e internet Del. n. 13 del 1° marzo 2007) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 13. 5. Registrazione degli accessi Adozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche: •Completezza; •Inalterabilità; •Possibilità di verifica della loro integrità. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 14. 5. Registrazione degli accessi Faq del Garante pubblicate il 25 Maggio del 2010, in merito all’applicazione pratica delle misure da adottare, chiarendo in particolare che: • Non è necessario tracciare tutto quello che fa l’amministratore, ma solo gli eventi di Logon, Logoff e tentativi di accesso. (FAQN° 22) • Bisogna tenere traccia degli accessi sui server, sui client (FAQ N° 4 ) ed anche sui Database (FAQ N°19) • Non è necessario tracciare gli accessi degli amministratori agli applicativi (FAQ N°22) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 15. Reati penali Accesso abusivo a sistema informatico o telematico (art. 615 ter) Frode informatica (art. 640 ter) Danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) Danneggiamento di sistemi informatici e telematici (artt. 635 quatere quinques) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 16. Art. 615-ter Accesso abusivo ad un sistema informatico o telematico. Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a 3 anni. Elemento fondamentale è l’impiego di misure di sicurezza. Anche con l’adozione di una protezione semplice costituita da una parola chiave. Reato di pericolo Il pericolo è rappresentato dal rischio che chi accede abusivamente al sistema possa impadronirsi o comunque visionare quanto custodito al suo interno. Si consuma con il semplice accesso al sistema e non con l’utilizzo delle informazioni o disturbando il regolare funzionamento del sistema Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 17. Domicilio informatico Bene tutelato Riservatezza delle comunicazioni o delle informazioni trasmesse tramite sistemi informatici. Domicilio informatico Non può considerarsi una mera specificazione del domicilio tutelato dall’art. 614 c.p., ma deve essere inteso quale proiezione spaziale della persona indicante un nuovo bene protetto. “Riservatezza informatica” Indisturbata fruizione del sistema informatico o telematico. (Tribunale di Rovereto sent. 9 gennaio 2004) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 18. Giurisprudenza Il reato di accesso abusivo ad un sistema informatico sussiste ogni volta che vengono sorpassati gli ostacoli che presiedono l’accesso al sistema. Non presupponendo necessariamente che il reo sia in grado di poter richiamare e disporre dei dati e dei programmi contenuti nel computer violato. (Tribunale di Bologna Sent. 22/12/2005) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 19. Giurisprudenza Ai fini della configurabilità del reato la violazione dei dispositivi di sicurezza non rileva di per sè, ma solo come manifestazione di una volontà contraria a quella di chi dispone del sistema. Ne consegue che commette il delitto di cui all'art. 615 ter c.p. anche colui che, autorizzato all'accesso per una finalità (controllo della funzionalità del programma informatico), utilizzi il titolo di legittimazione per copiare i dati gestiti da detto programma. (Cass. Pen. sez. V, 14 ottobre 2003, n. 44362) Non costituisce accesso abusivo ai sensi dell’art. 615 ter c.p. la condotta del dipendente, autorizzato all’uso del sistema informatico, che consulta dati relativi ad un settore diverso da quello di sua competenza in assenza di un divieto espresso di accedere a quel determinato settore e in assenza di finalità personale o di terzi estranee all’ente di appartenenza. (Tribunale di Viterbo, sent. del 5 luglio 2005) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 20. Fattispecie del reato 2 orientamenti giurisprudenziali: Accesso lecito del soggetto abilitato effettuato per finalità diverse a quelle dell'ufficio e perfino illecite. Accesso illecito anche chi, autorizzato all'accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa. Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 21. Fattispecie del reato Nuovo orientamento giurisprudenziale Valutazione non delle finalità ma del dato oggettivo (Cass. S.U. n. 4694/12 del 27 ottobre 2011) La questione non può essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza dell'agente nel sistema informatico. Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 22. Fattispecie del reato Nuovo orientamento giurisprudenziale Profilo oggettivo dell'accesso e del trattenimento nel sistema informatico si riscontra: • sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema; • sia quando ponga in essere operazioni ontologicamente diverse da quelle di cui è incaricato ed in relazione alle quali l'accesso era consentito. Il dissenso del dominus ioci viene desunto dalla oggettiva violazione delle disposizioni del titolare in ordine all'uso del sistema. ((Cassazione Pen. n° 15054 del 18.04.2012) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 23. Frode informatica (art. 640 ter c.p.) “chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a se o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 516 a euro 1032. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1549 se ricorre una delle circostanze previste dal n.1 del secondo comma dell’art. 640 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. […] Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 24. Frode informatica (art. 640 ter c.p.) - Fattispecie del reato La norma individua due precise condotte criminose (Cass. Pen. 24 febbraio 2011, n. 9891): 1.Alterazione (sia hardware che software) del funzionamento di un sistema informatico/telematico; 2.L’intervento senza diritto in qualunque modo su dati, informazioni o programmi contenuti in un sistema informatico/telematico , procura a sé o ad altri un ingiusto profitto con danno altrui. Tali condotte devono procurare a se o ad altri un ingiusto profitto con danno altri (a differenza dei Delitti di danneggiamento informatico (artt. 635 bis - ter quater - quinquies c.p.) Il reato si consuma nel momento in cui l’agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui (Cass. pen. 3065/1999) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 25. Frode informatica (art. 640 ter c.p.) - Modalità operative Le modalità operative della condotta in esame possono essere differenti interventi criminosi: •intervento sui dati inseriti nel computer. I dati potrebbero essere manipolati dal soggetto attivo (alterazione o immissione abusiva). In questo caso esiste concorso di reato con l’art. 491bis (delitto di falso informatico); •intervento sul programma operativo del sistema. Il <<software>> viene alterato affinché il computer (o il sistema) operi in modo differente da come è stata progettata al fine di compiere illeciti (frodi); •intervento sulle informazioni, ovvero sulla correlazioni fra i dati contenuti in un elaboratore o in un sistema. La detenzione delle password, che consente l'accesso al sistema informatico senza manometterlo, non determinano "il diritto" di modificare i dati presenti (es. la posizione contributiva dei contribuenti effettuando degli sgravi non dovuti e non giustificati dalle evidenze in possesso dell'Agenzia delle Entrate) (Cass. Pen. n° 13475 del 22.03.2013) Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 26. Danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) Chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. (Art. 635 BIS) Se utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. (Art. 635 TER) Si prevede come aggravante se il fatto è commesso con abuso della qualità di operatore del sistema. Il delitto di danneggiamento tutela il diritto all’integrità delle cose mobili e immobili altrui, nella struttura o nella loro utilizzabilità, dalle aggressioni che ne determinano la distruzione, la dispersione, il deterioramento o l’inservibilità. Nell’intento di reprimere la violenza informatica sono state, altresì, introdotte quattro peculiari fattispecie criminose che puniscono le condotte di danneggiamento lesive di informazioni, dati e programmi informatici, nonché di sistemi informatici o telematici. Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 27. Giurisprudenza Sussiste il reato di danneggiamento informatico anche quando i file cancellati possono essere recuperati. La locuzione 'cancellazione' deve essere interpretata - dice la Cassazione nella accezione informatica e non semantica del termine, ossia come la "rimozione da un certo ambiente di determinati dati, in via provvisoria attraverso il loro spostamento nell'apposito cestino o in via 'definitiva' mediante il successivo svuotamento dello stesso". Del tutto irrilevante, ai fini della sussistenza del reato, il fatto che i files cancellati possano essere recuperati ex post attraverso una specifica procedura tecnico-informatica. Cass., Sez. V, 18 novembre 2011 Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali
  • 28. Grazie per l’attenzione Pasquale Lopriore Responsabile del Sistema di protezione dei dati personali