Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Security Awareness in ambito scolastico

1,511 views

Published on

Corso di security awareness e privacy destinato al personale scolastico

Published in: Education
  • Be the first to comment

  • Be the first to like this

Security Awareness in ambito scolastico

  1. 1. Dott. Giampaolo Franco Corso di formazione Security Awareness
  2. 2. Scuola consapevole Portale di security e privacy per la scuola: https://sites.google.com/site/scuolaconsapevole/ Per rimanere in contatto: Forum (eventuali domande vanno inoltrate tramite questo gruppo) Area formazione – Corso Security Awareness (materiale del corso) Email docente: giampaolo.tn@gmail.com Dott. Giampaolo Franco - Security Awareness 2
  3. 3. Elenco degli argomenti PARTE 1 • Security awareness • Risorse informatiche • Asset • Minaccia • Vulnerabilità • Criticità • Cloud computing PARTE 2 • Identità digitale • Autenticazione • Metodologie di autenticazione • Meccanismi e limiti tecnologici • Autorizzazione • Reputazione digitale Dott. Giampaolo Franco –Security Awareness 3
  4. 4. Security Awareness Definizione del contesto Alcuni soggetti, deliberatamente o accidentalmente, tramite varie tecniche possono visualizzare, rubare, cancellare dati o utilizzare inappropriatamente gli strumenti della scuola. Per proteggere le persone, i dati, gli strumenti hardware e software e per aderire alla normativa vigente si adottano: • misure tecniche (backup, account, password); • misure organizzative (privacy, regolamento interno). Da sole queste prevenzioni non bastano: occorre che la scuola acquisisca consapevolezza ed utilizzi correttamente le risorse informatiche. Dott. Giampaolo Franco - Security Awareness 4
  5. 5. Security Awareness Essere consapevoli significa: Acquisire consapevolezza • aumentare il proprio livello di preparazione in ambito informatico; • acquisire familiarità con i concetti ed il linguaggio della sicurezza informatica; • conoscere i rischi presenti nel contesto; • possedere attitudine; • evitare le azioni sbagliate; • capire perché vanno protette le persone e i dati; • utilizzare in sicurezza gli strumenti hardware e software. Obiettivo: formare una prima linea di difesa per proteggere la sicurezza delle persone, delle informazioni e dei sistemi hardware e software. Dott. Giampaolo Franco - Security Awareness 5
  6. 6. Security awareness Instillare consapevolezza nell’ambito della sicurezza è un'attività a lungo termine che richiede un cambio culturale e comportamentale all’interno dell’organizzazione. Prevede formazione con cadenza almeno annuale e una serie di attività con lo scopo di sensibilizzare il contesto lavorativo. Dott. Giampaolo Franco –Security Awareness 6
  7. 7. Come va interpretata la sicurezza? Security Awareness La maggioranza delle persone interpreta la sicurezza come una serie di «inutili regole» aggiuntive che rallentano l'efficienza del «proprio lavoro» e che fanno «perdere tempo» . La sicurezza invece rientra nella normale attività routinaria, è un elemento fondamentale per tutelare la scuola e soprattutto gli altri, salvaguardare i dati, utilizzare al meglio gli strumenti informatici. • Comportamenti non corretti possono mettere a rischio la privacy degli altri colleghi e degli studenti. • Le linee guida proposte potranno diventare delle regole. Dott. Giampaolo Franco - Security Awareness 7
  8. 8. Risorse informatiche Riferite al sistema informatico esse rappresentano: • componenti fisiche • componenti virtuali aventi funzionalità e disponibilità limitate ad un certo ambito. Caratteristiche: • Condivisione verso uno o più utenti. • Gestione dell’accesso e risoluzione dei conflitti. • Limitazioni. Dott. Giampaolo Franco - Security Awareness 8
  9. 9. Esempi di risorse informatiche Basso livello • • • • • • • Server. Dispositivi di rete. Grandezza di banda. Mezzi di trasmissione (modem). Potenza elaborativa (CPU). Memoria (Hard disk, RAM). Altre risorse di un elaboratore. • • • • • Alto livello Sistema operativo. Software di base. Applicazioni, programmi. Archivi, files, banche dati. Risorse (locali, rete, web). Dott. Giampaolo Franco - Security Awareness 9
  10. 10. Il concetto di asset Asset è un concetto astratto e generale che sostituisce quello di risorsa informatica. Nell’ambito della sicurezza informatica un asset è un bene che ha un determinato valore e che si intende proteggere. L’asset può essere sia materiale che immateriale. Gli assets sono per loro natura interdipendenti. Valore economico: il costo di sostituzione è generalmente minore della perdita finanziaria conseguente alla sua compromissione. Il target della sicurezza informatica è proteggere gli assets. Dott. Giampaolo Franco - Security Awareness 10
  11. 11. Esempi di asset ASSETS INFORMATIVI •Database e file di dati. •Documentazione. •Manuali utente. SOFTWARE •Applicazioni. •Software di base o di sistemi. •Strumenti di sviluppo e utilità. ASSETS FISICI INFORMATICI •Elaboratori ed accessori. •Dispositivi di comunicazione (dati e fonia). •Supporti fisici (nastri, cd, dischi). NON INFORMATICI •Rete di alimentazione. •Sistemi di condizionamento. SERVIZI •Servizi elaborativi. •Servizi di help desk. •Connessioni di telecomunicazione. •Utilities di controllo: riscaldamento, condizionamento, illuminazione, alimentazione elettrica,… Dott. Giampaolo Franco - Security Awareness 11
  12. 12. Interdipendenza degli assets La compromissione di un asset può coinvolgere anche altre componenti della catena. Per questo motivo il danno ad una singola componente si può estendere ad altri assets. Tutti gli assets della linea di interdipendenza possono essere responsabili di un malfunzionamento percepito dall’utente. Esternalizzando gli assets di alto livello (applicazioni, servizi, etc…) non si garantisce una maggior sicurezza del sistema. Alimentazione e linee di comunicazione sono sulla linea di interdipendenza di tutti gli assets: è importante che la scuola investa anche in questi ambiti. Dott. Giampaolo Franco - Security Awareness 12
  13. 13. Ruoli definiti negli assets Per ogni asset si attribuiscono i seguenti ruoli: • • • Proprietario (owner). Utilizzatore o fruitore. Custode. Per i beni di tipo “dato” o “servizio” (punti finali della catena di interdipendenza) i proprietari e gli utilizzatori sono persone del business – i proprietari non sono gli “informatici”. Opportunamente guidata, la scuola deve poter eseguire un inventario di tutti gli assets e fornire una stima attendibile dei costi correlati alla loro compromissione o almeno il loro livello di importanza. Dott. Giampaolo Franco - Security Awareness 13
  14. 14. Attributi da preservare negli asset Confidenzialità: assicurarsi che l’informazione sia accessibile solo dalle persone autorizzate ad avere l’accesso (riservatezza). Integrità: salvaguardare l’esattezza e la totalità delle informazioni e dei metodi di lavorazione. Disponibilità: assicurarsi che gli utenti autorizzati abbiano accesso alle informazioni e ai beni associati quando richiesto. Dott. Giampaolo Franco - Security Awareness 14
  15. 15. Minaccia Per minaccia si intende la causa potenziale di un evento indesiderato che può causare danni ad un sistema o all’organizzazione. Le minacce possono sfociare in eventi che provocano la compromissione di uno o più attributi di un bene, con un determinato impatto. Esempio: un virus su di un server è il motivo della perdita della disponibilità dell’anagrafica clienti e la conseguente necessità di ricaricare i dati manualmente. Dott. Giampaolo Franco –Security Awareness 15
  16. 16. UMANE Deliberate AMBIENTALI Accidentali - Sniffing (cattura dei dati sulla rete). Errori ed omissioni. Terremoto Modifica delle informazioni. Cancellazione di file. Fulmine Hacking di un sistema. Errori di configurazione di rete. Alluvione Codice malevolo. Incidenti fisici. Incendio Furto, spionaggio. - Danni strutturali Virus. - Black out - - - Dott. Giampaolo Franco - Security Awareness 16
  17. 17. VULNERABILITÀ E’ la debolezza di un asset o di un gruppo di assets che può essere sfruttata da una minaccia. La vulnerabilità include debolezze dell’organizzazione, delle procedure, del personale, del management, dell’amministrazione, dell’hardware e del software. Anche se strettamente correlati nell’ambito della security, non confondiamo i concetti di vulnerabilità e di criticità. Dott. Giampaolo Franco - Security Awareness 17
  18. 18. ORGANIZZAZIONE • Mancanza di politiche. • Carenza di formazione del personale. • Mancanza di awareness. • Processi non governati correttamente. HARDWARE e SOFTWARE • Obsolescenza. • Difetti di progettazione. • Applicazioni e sistemi non aggiornati. • Mancanza di protezioni di sicurezza. RETE • Mancanza di ridondanza degli apparati. • Assenza di misure di protezione. Dott. Giampaolo Franco - Security Awareness 18
  19. 19. Criticità Criticità: condizione critica di un asset. La minima variazione di un parametro determina effetti di grande entità. Ad esempio, si parla di criticità per alcuni servizi che trattano dati personali e sensibili. Dott. Giampaolo Franco - Security Awareness 19
  20. 20. Cloud computing In italiano ’nuvola informatica’, ossia un insieme di servizi erogati tramite risorse hardware e software dislocate in area geografica estesa. Architettura ad alta affidabilità e bilanciamento del carico di lavoro. Obiettivo: alti livelli di servizio e costi ridotti. L’utente si interfaccia alla nuvola tramite vari dispositivi. La nuvola gestisce e distribuisce le applicazioni e i dati nei vari sistemi che la compongono e su di uno stesso server fisico possono essere gestite componenti applicative e dati di clienti diversi. Un’applicazione o un dato di un certo utilizzatore può essere gestito e distribuito su più server fisici sparsi in tutto il mondo. Dot. Giampaolo Franco - Security Awareness 20
  21. 21. Tipologie di servizio in cloud SaaS (Software as a Service). Utilizzo di programmi su server esterni alla rete locale (Google Apps). DaaS (Data as a service). Servizio che mette a disposizione via web i dati come se fossero sul disco locale (Google Drive web client). IaaS (Infrastructure as a Service). Servizio che mette a disposizione risorse hardware. NB: le risorse vengono utilizzate a richiesta nel momento in cui una piattaforma ne necessita. Modello di pagamento «pay-per-use» . Dott. Giampaolo Franco - Security Awareness 21
  22. 22. GOOGLE APPS - GA • Gmail • Google Hangouts • Google Drive • Google Calendar • Youtube iCLOUD (Apple) • Apps • Contatti • Calendari • Foto • Musica Dott. Giampaolo Franco - Security Awareness 22
  23. 23. Rischi legati al cloud: privacy • L’utente non possiede più il controllo esclusivo sui propri dati: la sicurezza dipende dai meccanismi del service provider. • Maggiori rischi sulla disponibilità dei dati. • Legislazione, clausole contrattuali, politiche di persistenza dei dati. • Selezionare i dati da trattare in cloud. • Nuove procedure informatiche e formazione del personale. Dott. Giampaolo Franco - Security Awareness 23
  24. 24. FINE DELLA PRIMA PARTE Dott. Giampaolo Franco - Security Awareness 24
  25. 25. Identità digitale «L’insieme delle caratteristiche essenziali e uniche di un soggetto sono ciò che è in grado di identificarlo» Hal Abelson e Lawrence Lessig «Digital Identity in cyberspace» 10/12/1998 Insieme delle informazioni presenti online relative ad un soggetto: persona fisica, ente o azienda, software, computer, sistema informatico. Dott. Giampaolo Franco - Security Awareness 25
  26. 26. Rappresentazione dell’identità digitale L’identità digitale si misura in base alle finalità ed al tipo di transazioni coinvolte. Il grado di affidabilità e la quantità di informazioni richieste per costituire l’identità digitale possono quindi variare. L’identità digitale è suddivisa in due parti: • Chi uno è (identità). • Le credenziali che ognuno possiede (gli attributi di tale identità). Il caso più comune di identità digitale è: utente + password Dott. Giampaolo Franco - Security Awareness 26
  27. 27. Identità digitale Autenticazione Il sistema deve provare che l’identità digitale presentata sia valida e corrisponda effettivamente a quella reale. A tale scopo si definiscono dei livelli di sicurezza creati in base alle finalità del servizio. Autenticazione ad un solo fattore Utente + password non è del tutto sicura: qualcuno potrebbe indovinare la password. Processo di autenticazione Autenticazione multifattore Aggiungere ulteriori informazioni all’identità per renderla più sicura Utente + password + smartcard (token, CNS) Dati biometrici (iride, impronta digitale, impronta vocale, riconoscimento del volto, …) Dott. Giampaolo Franco - Security Awareness 27
  28. 28. Identità digitale: metodologie di autenticazione I metodi tramite cui un essere umano può autenticarsi sono divisi in tre classi, in base a: • qualcosa che si conosce (es. password, frase chiave o numero di identificazione personale (PIN) ); • qualcosa che si ha (es. tesserino identificativo); • qualcosa che si è (es. impronte digitali, impronta vocale, modello retinico, sequenza del DNA, calligrafia o altri identificatori biometrici). La scelta dei diversi metodi di autenticazione è condizionata da vari fattori tra cui l'usabilità, l'importanza delle informazioni da proteggere ed il costo del sistema. Spesso, al posto del singolo metodo, viene utilizzata una combinazione di essi, es. un tesserino identificativo e un PIN che ne aumenta la sicurezza. Tale strategia prende il nome di strong authentication o autenticazione a due fattori. Fonte Wikipedia: http://it.wikipedia.org/wiki/Autenticazione Dott. Giampaolo Franco - Security Awareness 28
  29. 29. Identità digitale: limiti tecnologici Limiti tecnologici Non esistono computer, software o utenti in grado di confermare, con totale certezza, l'identità di altri computer, software e utenti. La soluzione "totalmente sicura" è irraggiungibile. Si può soltanto cercare di sottoporre l'autenticando ad ulteriori diverse prove (ad esempio a delle domande alle quali bisogna rispondere correttamente). Per i servizi più critici, come quelli che prevedono transazioni finanziarie o comunicazione di dati personali o sensibili, è estremamente importante che l'identità virtuale sia associata univocamente a quella "fisica" e sia quindi possibile verificare che la persona che fruisce del servizio sia veramente chi afferma di essere. Dott. Giampaolo Franco - Security Awareness 29
  30. 30. Meccanismi di autenticazione tramite crittografia I sistemi di autenticazione più evoluti utilizzano meccanismi di crittografia per garantire: • • • • Riservatezza dei dati Integrità dei dati Prova della fonte Non ripudio L’autenticazione tramite crittografia è anche utilizzata nei sistemi di firma digitale dei documenti. Tramite smartcard si firma il documento che viene inviato al destinatario. Il destinatario può verificare con certezza l’identità del mittente e l’integrità del documento, la data e l’ora di firma del documento. Giampaolo Franco - Security Awareness 30
  31. 31. Una volta che l’identità digitale è stata riconosciuta il sistema fornisce all’utente l’accesso alle solo risorse che gli competono (accesso alla sessione di lavoro). Alla base dei meccanismi di autorizzazione vi è il principio di confidenzialità o riservatezza delle informazioni. La gestione dell’autorizzazione viene svolta tramite appositi profili utente. Es: Google Drive condivide le risorse in base a determinati ruoli posseduti dagli utenti (owner, writer, reader) . Per garantire ulteriormente la sicurezza si procede al tracciamento delle attività dell’utente. Eventuali abusi o accessi a risorse non autorizzate sono violazioni della privacy e vengono di norma registrati dal sistema. Dott. Giampaolo Franco - Security Awareness 31
  32. 32. Reputazione digitale La reputazione digitale, detta anche web reputation, è l’immagine ricavata dall’analisi delle opinioni che gli utenti della rete si scambiano on line e dalle informazioni pubbliche sempre più presenti sui canali di comunicazione messi a disposizione dal web. Le informazioni presenti online e accessibili a chiunque costituiscono spesso la prima forma di contatto e la prima fonte informativa. Esse hanno una rilevanza significativa nel determinare la prima impressione e l’immagine che gli utenti si formano su di un soggetto (persona fisica, ente o azienda). Sono sempre più numerosi i servizi di gestione della reputazione online. La rete ha ‘memoria’ e questo influisce ulteriormente sulla web reputation. Giampaolo Franco – Corso di Security Awareness 32
  33. 33. Web reputation - un esempio Es: Difficoltà nella ricerca di lavoro All’interno di un social network si posso diffondere in maniera indiretta dati personali o sensibili associati alla propria identità digitale. • • • • • Appartenenza ad un certo gruppo politico. Un «mi piace» su un determinato contenuto. Scrivere una determinata affermazione. Pubblicare un testo. Pubblicare una foto. Informazioni divulgate sui social network possono precludere un’eventuale rapporto di lavoro (preferenze politiche, stato di salute, determinate abitudini, etc…). Il canale di informazione preferenziale per ricercare informazioni è internet: una delle prime attività delle aziende è trovare eventuali informazioni sulla persona direttamente nel web. «La reputazione vale più di 100mila euro….» Giampaolo Franco - Security Awareness 33
  34. 34. Attacchi alla web reputation L’attacco alla reputazione può avvenire spesso tramite i siti web della vittima, i social network, o più in generale le risorse internet personali. Nei social network, ma non solo, l’informazione messa online rimane lì per sempre. Alcuni possono mettere online informazioni negative creando danni all’immagine della vittima (es. recensioni di ristoranti su TripAdvisor) Alcuni software di monitoraggio della web reputation: Da ricordare. • • • • • Google alerts Tweetbeep.com Socialmention.com Topsy.com MonitorThis Il marketing del futuro sarà sempre più caratterizzato dall’ ingegneria reputazionale. Giampaolo Franco - Security Awareness 34
  35. 35. FINE Dott. Giampaolo Franco - Security Awareness 35
  36. 36. Corso di formazione - Security Awareness Sviluppo delle conoscenze – Modulo 1 Cod. Domanda 1.1 Qual è il significato di “Security Awareness”? 1.2 Che cosa si intende per “asset”? 1.3 Quali sono le tre principali caratteristiche di un asset e qual è il loro significato? 1.4 Qual è la differenza tra “minaccia” e “vulnerabilità”? 1.5 Cosa significa “criticità”? 1.6 Quali sono i rischi principali nell’utilizzare un servizio in Cloud?
  37. 37. 1.7 Indicare con una X se il termine si riferisce ad una minaccia oppure ad una vulnerabilità: Vulnerabilità Minaccia Carenza di formazione Cancellazione accidentale di dati Alluvione Password scritta su un post-it Difetto di progettazione Mancanza di protezioni di sicurezza Furto di dati Virus Incendio Danni strutturali 1.8 Che cosa si intende per “identità digitale”? Fornire degli esempi su come viene riconosciuta l’identità digitale all’interno di un sistema informatico. 1.9 Qual è la differenza tra “autenticazione” ed “autorizzazione”? 1.10 Che cos’è la “web reputation”? Può essere danneggiata permanentemente? In che modo?
  38. 38. Dott. Giampaolo Franco Corso di formazione Security Awareness
  39. 39. Scuola consapevole Portale di security e privacy per la scuola: https://sites.google.com/site/scuolaconsapevole/ Per rimanere in contatto: Forum (eventuali domande vanno inoltrate tramite questo gruppo) Area formazione – Corso Security Awareness (materiale del corso) Email docente: giampaolo.tn@gmail.com Dott. Giampaolo Franco - Security Awareness 2
  40. 40. Elenco degli argomenti PARTE 1 • Definizione di privacy. • La normativa italiana. • Dati personali. • Trattamento. • Diritti alla protezione dei dati. PARTE 2 • Doveri e responsabilità. • La privacy nella scuola. Dott. Giampaolo Franco –Security Awareness 3
  41. 41. Un diritto fondamentale • • • • • Cos’è la privacy • Riconosciuto da tutti i Paesi europei e dalla maggior parte delle nazioni del mondo; strumento per la tutela della libera e piena autodeterminazione di tutte le persone; diritto di controllo delle informazioni che ci riguardano; strumento per gestire un confine fra se stesso e gli altri; disciplina del modo in cui una persona vive nei confronti delle altre persone; diritto ad esercitare un controllo sulle informazioni che ci riguardano. Obiettivo Garantire la riservatezza dei ‘nostri dati’ Dott. Giampaolo Franco - Security Awareness 4
  42. 42. Privacy: un controllo sui propri dati • Diritto di conoscere se qualcuno raccoglie dati che ci riguardano e per quali motivi desidera trattarli. • Diritto di concedere i nostri dati per la loro raccolta ed utilizzo oppure, in un qualsiasi momento, togliere tale consenso. La privacy si concretizza in un insieme di norme create per garantire che il trattamento dei dati personali si svolga secondo il pieno rispetto dei diritti e delle libertà fondamentali di ogni individuo. NB: CHIUNQUE HA DIRITTO ALLA PROTEZIONE DEI PROPRI DATI PERSONALI Dott. Giampaolo Franco – Security Awareness 5
  43. 43. Il Garante per la protezione dei dati personali Garante per la protezione dei dati personali www.garanteprivacy.it Il Garante per la protezione dei dati personali è un'autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy (legge 31 dicembre 1996, n. 675) - che ha attuato nell'ordinamento giuridico italiano la direttiva comunitaria 95/46/CE - e oggi disciplinata dal Codice in materia di protezione dei dati personali (D.lg. 30 giugno 2003 n. 196). L'autorità ha sede in: Piazza di Monte Citorio n. 121 - 00186 Roma Dott. Giampaolo Franco - Security Awareness 6
  44. 44. Il Garante per la protezione dei dati personali Il Garante per la protezione dei dati personali è un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di sette anni non rinnovabile. L'attuale Collegio si è insediato il 19 giugno 2012: Antonello Soro (Presidente) Augusta Iannini (vice-presidente) Giovanna Bianchi Clerici (componente) Licia Califano (componente) Giuseppe Busia (Segretario generale) Dott. Giampaolo Franco - Security Awareness 7
  45. 45. Diritti e prevenzione: dati personali DATI PERSONALI Sono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc … Dott. Giampaolo Franco - Security Awareness 8
  46. 46. Diritti e prevenzione: dati personali Particolarmente importanti sono: • i dati identificativi: quelli che permettono l'identificazione diretta, come i dati anagrafici (ad esempio: nome e cognome), le immagini, etc.; • i dati sensibili: quelli che possono rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale; • i dati giudiziari: quelli che riguardano l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (es. i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Dati super sensibili (salute e sfera sessuale). Questi ultimi sono legati alla sfera privata dell’individuo e non necessariamente relazionati ad un «gruppo». Dott. Giampaolo Franco - Security Awareness 9
  47. 47. Diritti e prevenzione: dati personali Nuove tipologie di dato personale Con l'evoluzione delle nuove tecnologie altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via internet o telefono) e quelli che consentono la geo localizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti. Dott. Giampaolo Franco - Security Awareness 10
  48. 48. Diritti e prevenzione: trattamento dei dati TRATTAMENTO DEI DATI Per trattamento si intende ogni operazione compiuta - manualmente o con strumenti elettronici – sui dati personali di un individuo. Ad esempio: la raccolta, la conservazione, l'elaborazione, la modifica, il collegamento e il confronto, la comunicazione e la diffusione a terzi, la cancellazione e la distruzione (art. 4, comma 1, lettera a) del Codice in materia di protezione dei dati personali). I soggetti che procedono al trattamento dei dati personali altrui devono adottare particolari misure per garantire il corretto e sicuro utilizzo di essi. “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del Codice Civile”. (art. 15 Codice Privacy) [attività pericolosa] Dott. Giampaolo Franco - Security Awareness 11
  49. 49. Diritti e prevenzione: le parti in gioco LE PARTI IN GIOCO • Interessato è la persona fisica cui si riferiscono i dati personali. Quindi se un trattamento riguarda l'indirizzo, il codice fiscale … di Mario Rossi, questa persona è l’ «interessato» (articolo 4, comma 1, lettera i), del Codice in materia di protezione dei dati personali); • Titolare è la persona fisica o giuridica (impresa, ente pubblico o privato, associazione …) cui spettano le decisioni sugli scopi e sulle modalità del trattamento, oltre che sugli strumenti utilizzati (articolo 4, comma 1, lettera f), del Codice in materia di protezione dei dati personali); • Responsabile è la persona fisica o giuridica (impresa, ente pubblico o privato, associazione …) cui il titolare affida, anche all'esterno della sua struttura organizzativa, specifici e definiti compiti di gestione e controllo del trattamento dei dati (articolo 4, comma 1, lettera g), del Codice in materia di protezione dei dati personali). La designazione del responsabile è facoltativa (articolo 29 del Codice in materia di protezione dei dati personali); • Incaricato è la persona fisica che, per conto del titolare, elabora o utilizza materialmente i dati personali sulla base delle istruzioni ricevute dal titolare e/o dal responsabile (articolo 4, comma 1, lettera h), del Codice in materia di protezione dei dati personali). L’Amministratore di Sistema è uno specifico incaricato con compiti di gestione e manutenzione degli impianti informatici, con specifici obblighi. Dott. Giampaolo Franco - Security Awareness 12
  50. 50. Diritto alla protezione dei dati personali Il diritto alla protezione dei dati personali è un diritto fondamentale dell'individuo tutelato dal Codice in materia di protezione dei dati personali (decreto legislativo 20 giugno 2003, n. 196), oltre che da altri atti normativi italiani e internazionali. In particolare grazie ad esso ogni individuo può pretendere che i propri dati personali siano trattati da terzi solo nel rispetto delle regole e dei principi stabiliti dalla legge. Il Codice in materia di protezione dei dati personali prevede specifiche misure di protezione e sicurezza da applicare, ed adempimenti da svolgere quando si effettua un trattamento di dati personali altrui e riconosce all'interessato determinati diritti che è possibile far valere rivolgendosi direttamente al titolare (articolo 7). Dott. Giampaolo Franco - Security Awareness 13
  51. 51. Diritto di accedere ai propri dati personali E' possibile richiedere ad un soggetto (persona fisica o giuridica) di fornire informazioni sull'eventuale trattamento dei propri dati personali, oltre che ottenere la messa a disposizione di tutte le informazioni personali detenute dal titolare del trattamento. In particolare, è possibile richiedere : • quale sia l'origine dei dati personali trattati; • le finalità e le modalità del trattamento; • se i dati personali sono trattati con strumenti elettronici e qual è la logica applicata a tale trattamento; • gli estremi identificativi di chi tratta i dati (titolare, responsabile, rappresentante designato nel territorio dello stato italiano); • i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. L'esercizio del diritto non è subordinato ad alcuna motivazione particolare e di regola è gratuito. Dott. Giampaolo Franco - Security Awareness 14
  52. 52. Tutelare i propri dati personali Ogni persona può tutelare i propri dati personali, in primo luogo, esercitando i diritti previsti dall'articolo 7 del Codice in materia di protezione dei dati personali. L'interessato può presentare un'istanza al titolare o al responsabile (se designato) anche tramite un incaricato del trattamento senza particolari formalità (es. mediante lettera raccomandata, telefax, posta elettronica ...). L'istanza può essere riferita, a seconda delle esigenze dell'interessato, a specifici dati personali, a categorie di dati o ad un particolare trattamento, oppure a tutti i dati personali che lo riguardano comunque trattati. Dott. Giampaolo Franco - Security Awareness 15
  53. 53. Ulteriori diritti sui propri dati personali Diritto all'aggiornamento, alla rettifica o alla cancellazione dei dati personali E' possibile richiedere a chi sta trattando i propri dati personali che questi siano: a) aggiornati, rettificati o (qualora la persona rappresenti uno specifico interesse) integrati; b) bloccati, cancellati o trasformati in forma anonima se: - il trattamento non viene effettuato secondo le regole stabilite dalla legge; - non è più necessaria la loro conservazione. Nota: delle operazioni di aggiornamento, rettifica o cancellazione dei dati devono essere informati tutti coloro a cui eventualmente siano stati comunicati o diffusi i dati personali, a meno che tale adempimento si riveli impossibile da realizzare o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. Dott. Giampaolo Franco - Security Awareness 16
  54. 54. Diritto di opposizione E' possibile opporsi al trattamento dei propri dati personali: a) per motivi legittimi; b) (senza necessità di motivare l'opposizione) quando i dati sono trattati per finalità commerciali o di marketing. Nota: Dal 1° febbraio 2011 gli abbonati, i cui nominativi e numeri siano pubblicati negli elenchi telefonici e che non desiderino ricevere telefonate pubblicitarie con operatore, devono iscriversi al Registro Pubblico delle Opposizioni (articolo 130, commi 3-bis e seguenti del Codice in materia di protezione dei dati personali). Dott. Giampaolo Franco - Security Awareness 17
  55. 55. Strumenti per tutelare i propri dati personali Nell'esercizio dei propri diritti l'interessato può farsi assistere da una persona di fiducia e può anche conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni od organismi. All'istanza il titolare o il responsabile (se designato), anche per il tramite di un incaricato, deve fornire idoneo riscontro, senza ritardo e non oltre: • 15 giorni dal suo ricevimento; • 30 giorni se le operazioni necessarie per un integrale riscontro sono di particolare complessità ovvero ricorre altro giustificato motivo. In tal caso il titolare o il responsabile devono comunque darne comunicazione all'interessato entro i predetti 15 giorni. Se la risposta ad un'istanza con cui si esercita uno o più dei diritti previsti dall'articolo 7 del Codice in materia di protezione dei dati personali non perviene nei tempi indicati o non è soddisfacente, l'interessato può far valere i propri diritti dinanzi all'autorità giudiziaria o rivolgendosi al Garante per la protezione dei dati personali. Dott. Giampaolo Franco - Security Awareness 18
  56. 56. Chi tutela i nostri dati personali? La tutela del diritto alla protezione dei dati personali è affidata, in sede amministrativa, al Garante per la protezione dei dati personali. In alternativa al Garante, ci si può rivolgere all'autorità giudiziaria ordinaria (articolo 152 del Codice in materia di protezione dei dati personali) a cui compete anche di decidere sulle controversie che hanno ad oggetto i provvedimenti del Garante stesso. Giampaolo Franco - Security Awareness 19
  57. 57. FINE DELLA PRIMA PARTE Dott. Giampaolo Franco - Security Awareness 20
  58. 58. Trattamento dati Le regole da rispettare Tutti possono liberamente raccogliere, per uso strettamente personale, dati personali riguardanti altri individui, a patto di non diffonderli o comunicarli sistematicamente a terzi. (Un esempio: i dati raccolti per uso personale nelle proprie agende cartacee o elettroniche). Doveri e responsabilità Quando però i dati sono raccolti e utilizzati per altre finalità (es. un'azienda che vuole vendere prodotti, un professionista che vuole pubblicizzare i suoi servizi, un'associazione che vuole trovare nuovi iscritti, un partito che fa propaganda politica, ecc.) il trattamento dei dati personali deve rispettare alcune regole. Dott. Giampaolo Franco - Security Awareness 21
  59. 59. Doveri e responsabilità - Informativa Fatte salve alcune eccezioni chiunque intenda effettuare un trattamento di dati personali deve prima dare all'interessato alcune informazioni (articolo 13 del Codice in materia di protezione dei dati personali) per metterlo nelle condizioni di esercitare i propri diritti (articolo 7 del Codice in materia di protezione dei dati personali). In particolare, l'informativa deve spiegare: • • • • • • in che modo e per quale scopo verranno trattati i propri dati personali; se il conferimento dei propri dati personali è obbligatorio o facoltativo; le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali; a chi saranno comunicati o se saranno diffusi i propri dati personali; i diritti previsti dall'articolo 7 del Codice in materia di protezione dei dati personali; chi è il titolare e (se è stato designato) il responsabile del trattamento. Se i dati personali sono stati raccolti da altre fonti (ad esempio archivi pubblici, familiari dell'interessato, ecc.), cioè non direttamente presso l'interessato, l'informativa deve essere resa quando i dati sono registrati oppure non oltre la prima comunicazione a terzi. L'omessa o inidonea informativa è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro (articolo 161 del Codice in materia di protezione dei dati personali). Dott. Giampaolo Franco - Security Awareness 22
  60. 60. Doveri e responsabilità: consenso Soggetti privati ed enti pubblici economici Fatte salve alcune eccezioni per i soggetti privati e gli enti pubblici economici il trattamento di dati personali è possibile con il consenso dell'interessato documentato per iscritto (articolo 23 del Codice in materia di protezione dei dati personali) che è valido se: • • all'interessato è stata resa l'informativa (articolo 13 del Codice in materia di protezione dei dati personali); è stato espresso dall'interessato liberamente e specificamente in riferimento ad un trattamento chiaramente individuato (oppure a singole operazioni di trattamento). Soggetti pubblici Le pubbliche amministrazioni non devono richiedere il consenso dell'interessato purché il trattamento sia effettuato nell'ambito dello svolgimento delle proprie funzioni istituzionali (articolo 18 del Codice in materia di protezione dei dati personali). Il trattamento di dati personali effettuato in violazione dell'articolo 23 del Codice è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis, del Codice in materia di protezione dei dati personali). Dott. Giampaolo Franco – Security Awareness 23
  61. 61. Doveri e responsabilità: modalità del trattamento Il trattamento deve avvenire riducendo al minimo l'utilizzo di dati personali (principio di necessità - articolo 3 del Codice in materia di protezione dei dati personali), oltre che nel rispetto dei seguenti principi (articolo 11 del Codice in materia di protezione dei dati personali): • • • • • liceità e correttezza del trattamento; finalità del trattamento; esattezza e aggiornamento dei dati; pertinenza, completezza e non eccedenza dei dati raccolti rispetto alle finalità del trattamento; conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento (necessità). Dott. Giampaolo Franco - Security Awareness 24
  62. 62. Doveri e responsabilità: misure di sicurezza Il titolare del trattamento è obbligato ad adottare misure di sicurezza idonee a ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o trattamento dei dati personali non consentito o non conforme alle finalità della raccolta (articolo 31 del Codice in materia di protezione dei dati personali). In particolare, il titolare deve adottare le misure minime di sicurezza (articolo 33 del Codice in materia di protezione dei dati personali e relativo Allegato B) volte ad assicurare un livello minimo di protezione dei dati personali. L'omessa applicazione delle misure minime di sicurezza è punita con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis del Codice in materia di protezione dei dati personali) e con la sanzione penale dell'arresto fino a 2 anni (articolo 169 del Codice in materia di protezione dei dati personali). Dott. Giampaolo Franco - Security Awareness 25
  63. 63. Doveri e responsabilità: notificazione Nei casi espressamente indicati, che presentano rischi particolari legati alla tutela dei diritti e delle libertà delle persone interessate, il titolare deve notificare al Garante per la protezione dei dati personali l'intenzione di effettuare un trattamento prima di iniziarlo (articolo 37 del Codice in materia di protezione dei dati personali). L'omessa, ritardata o incompleta notificazione del trattamento, quando prevista, è punita con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro (articolo 163 del Codice in materia di protezione dei dati personali). Dott. Giampaolo Franco – Security Awareness 26
  64. 64. Doveri e responsabilità: verifica preliminare Nel caso in cui il trattamento dei dati personali, pur non coinvolgendo dati sensibili o dati giudiziari, presenti rischi specifici per i diritti e le libertà fondamentali ovvero per la dignità delle persone in relazione • alla natura particolare dei dati trattati (es. dati biometrici), • alle modalità del trattamento (es. sistemi di raccolta delle immagini associate a dati biometrici), • agli effetti che il trattamento può determinare, il Garante per la protezione dei dati personali - su richiesta del titolare o d'ufficio effettua una verifica preliminare all'inizio del trattamento a seguito della quale può prescrivere misure ed accorgimenti particolari a tutela dell'interessato (articolo 17 del Codice in materia di protezione dei dati personali). Il trattamento di dati personali effettuato in violazione dell'articolo 17 del Codice in materia di protezione dei dati personali è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis del Codice in materia di protezione dei dati personali). Dott. Giampaolo Franco - Security Awareness 27
  65. 65. Trattamento di dati sensibili e giudiziari Soggetti privati ed enti pubblici economici I soggetti privati e gli enti pubblici economici possono effettuare un trattamento di: - dati sensibili con il consenso scritto dell'interessato e previa autorizzazione del Garante per la protezione dei dati personali (articolo 26 del Codice in materia di protezione dei dati personali), salvo alcune eccezioni specificamente previste; [DM 7/12/2006 regola il trattamento sui dati sensibili e giudiziari all’interno della scuola] - dati giudiziari se autorizzati da una espressa disposizione di legge o da un provvedimento del Garante per la protezione dei dati personali (articolo 27 del Codice in materia di protezione dei dati personali). Soggetti pubblici Le pubbliche amministrazioni possono effettuare un trattamento di dati sensibili e dati giudiziari sulla base delle disposizioni specifiche previste dagli articoli 20, 21 e 22 del Codice in materia di protezione dei dati personali (tipicamente disposizioni di legge obbligatorie). Dott. Giampaolo Franco - Security Awareness 28
  66. 66. Doveri e responsabilità: trasferimento dati all’estero Verso Paesi appartenenti all'Unione europea Le legislazioni dei Paesi aderenti all'Unione europea (adottate in attuazione della direttiva comunitaria 95/46/CE) sono considerate equivalenti in relazione all'adeguata tutela in materia di protezione dei dati personali. Il trasferimento attraverso o verso questi Paesi non è quindi soggetto a particolari restrizioni (articolo 42 del Codice). Verso Paesi non appartenenti all'Unione europea Il trasferimento di dati personali verso Paesi non appartenenti all'Unione europea è possibile quando: - ricorre una delle condizioni previste dall'articolo 43 del Codice in materia di protezione dei dati personali - oppure è autorizzato dal Garante per la protezione dei dati personali sulla base di adeguate garanzie per i diritti dell'interessato (articolo 44 del Codice in materia di protezione dei dati personali) Fuori da questi casi il trasferimento è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati personali non assicura un livello adeguato di tutela delle persone (articolo 45 del Codice in materia di protezione dei dati personali). Il trasferimento di dati personali effettuato in violazione dell'articolo 45 del Codice in materia di protezione dei dati personali è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis del Codice in materia di protezione dei dati personali). Dott. Giampaolo Franco - Security Awareness 29
  67. 67. Doveri e responsabilità: cessazione del trattamento CESSAZIONE DEL TRATTAMENTO In caso di cessazione del trattamento, i dati personali devono essere (articolo 16 del Codice in materia di protezione dei dati personali): • distrutti; • ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti; • conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione; • conservati o ceduti ad altro titolare per scopi storici, statistici o scientifici. Dott. Giampaolo Franco - Security Awareness 30
  68. 68. La scuola come esempio La scuola è la sede migliore per far intraprendere ai ragazzi il percorso di educazione al rispetto reciproco. Nell’ambito della privacy la scuola è il luogo più adatto per instillare i valori di rispetto dell’identità della persona, della dignità e della sua sfera più intima. La privacy nella scuola E’ fondamentale che la scuola dia il buon esempio e tratti correttamente tutte le informazioni relative ai propri studenti ed alle loro famiglie. Obiettivo: trasmettere ai ragazzi la consapevolezza al diritto alla riservatezza personale ed altrui. Dott. Giampaolo Franco - Security Awareness 31
  69. 69. Doveri della scuola – consenso ed informativa Per trattare i dati degli studenti la scuola pubblica non ha l’obbligo di ottenere il consenso scritto da parte degli stessi o delle loro famiglie (se minorenni). La scuola privata invece lo deve obbligatoriamente richiedere. Gli studenti debbono essere comunque informati adeguatamente sulle modalità e finalità del trattamento, secondo il Codice in materia di protezione dei dati personali. Tutte le scuole pubbliche e private hanno l’obbligo di fornire un’adeguata informativa sul trattamento dei dati personali. Fonte: ADICONSUM Dott. Giampaolo Franco - Security Awareness 32
  70. 70. Doveri della scuola – dati sensibili e giudiziari Dati sensibili e giudiziari richiedono livelli di riservatezza e misure di sicurezza adeguate. Il loro utilizzo è lecito solo se previsto dalla legge e se necessario esclusivamente per le seguenti finalità: • credo religioso: l’utilizzo è legato alla frequenza o all’esonero dall’ora di religione, nonché alla libertà di culto (come particolari abitudini alimentari); • origini razziali o etniche: l’utilizzo è finalizzato all’integrazione; • stato di salute: l’utilizzo è finalizzato alla gestione di tutte le situazioni che riguardano studenti affetti da qualche patologia, contingente o permanente (es. assenze per malattia, sostegno in classe, ecc.); • convinzioni politiche: l’utilizzo è finalizzato solo per la composizione degli organi di rappresentanza (es. associazioni degli studenti); • dati giudiziari: il loro utilizzo ha il fine di permettere di studiare anche a chi è in regime di detenzione o protezione. NB: Tutte le informazioni e i dati relativi ad eventuali contenziosi tra gli studenti e la scuola (reclami, ricorsi, denunce, provvedimenti disciplinari, ecc.) devono essere sottoposti allo stesso regime per i dati sensibili e giudiziari. Dott. Giampaolo Franco - Security Awareness 33
  71. 71. Doveri della scuola – temi in classe E’ lecito assegnare temi che riguardano la sfera personale degli studenti. Se si tratta di argomenti delicati però l’insegnante dovrà bilanciare le esigenze di riservatezza con quelle didattiche valutando di volta in volta l’opportunità di darne lettura davanti alla classe. Importante: nel caso di sistemi di gestione informatizzata dei contenuti didattici (es. GAPPS) il docente deve prestare attenzione nelle modalità di pubblicazione sulle risorse condivise in lettura tra tutti gli studenti della classe. La privacy dello studente in questo caso particolare deve essere garantita. Restano validi gli obblighi di riservatezza, segreto d’ufficio professionale, conservazione dei dati personali eventualmente contenuti negli elaborati degli alunni. Dott. Giampaolo Franco - Security Awareness 34
  72. 72. Doveri della scuola – voti, scrutini, esami Tutte le informazioni relative ai risultati scolastici ed agli esami di Stato (voti compresi) sono pubbliche e non vige nessun obbligo di riservatezza. Proprio in virtù del principio di trasparenza e garanzia di ogni studente, i voti di scrutini ed esami devono essere pubblicati nell’albo dell’istituto. Prestare attenzione a non fornire in questi casi, anche indirettamente, informazioni sullo stato di salute o altri dati personali non pertinenti (es. riferimenti a «prove differenziate» sostenute per studenti portatori di handicap non vanno inserite nei tabelloni affissi all’albo dell’Istituto, deve essercene indicazione solamente nell’attestazione da rilasciare allo studente). Dott. Giampaolo Franco - Security Awareness 35
  73. 73. Doveri della scuola – circolari e comunicazioni Il diritto-dovere di informare le famiglie sull’attività e sugli avvenimenti della vita scolastica deve essere sempre bilanciato con l’esigenza di tutelare la personalità dei minori. E’ quindi necessario, ad esempio, evitare di inserire nelle comunicazioni scolastiche elementi che consentano di risalire, anche indirettamente, all’identità di minori coinvolti in vicende particolarmente delicate. Dott. Giampaolo Franco - Security Awareness 36
  74. 74. Doveri della scuola – orientamento studenti Su richiesta degli studenti interessati, le scuole possono comunicare, anche a privati e per via telematica, i dati relativi ai loro risultati scolastici per aiutarli nell’orientamento, la formazione e l’inserimento professionale anche all’estero. Dott. Giampaolo Franco - Security Awareness 37
  75. 75. Doveri della scuola – marketing e pubblicità Non è possibile utilizzare i dati presenti nell’albo degli istituti scolastici per inviare materiale pubblicitario a casa degli studenti. La conoscibilità a chiunque degli esiti scolastici (ad esempio attraverso il tabellone affisso nella scuola) risponde ad essenziali esigenze di trasparenza. Ciò non autorizza soggetti terzi ad utilizzare i dati degli studenti per altre finalità, come il marketing e la promozione commerciale. Dott. Giampaolo Franco - Security Awareness 38
  76. 76. Doveri della scuola – questionari per attività di ricerca Svolgere attività di ricerca con la raccolta di informazioni personali, spesso anche sensibili, tramite questionari da sottoporre agli alunni è consentito soltanto se i ragazzi, o i genitori nel caso di minori, siano stati preventivamente informati sulle modalità di trattamento e conservazione dei dati raccolti e sulle misure di sicurezza adottate. Gli intervistati, inoltre, devono sempre avere la facoltà di non aderire all’iniziativa. Dott. Giampaolo Franco - Security Awareness 39
  77. 77. Doveri della scuola – recite, gite scolastiche e foto Non violano la privacy le riprese video e le fotografie raccolte dai genitori, durante le recite, le gite ed i saggi scolastici. Le immagini in questi casi sono raccolte per fini scolastici e destinate ad un ambito familiare o amicale e non alla diffusione. Va prestata particolare attenzione all’eventuale pubblicazione delle medesime su internet ed in particolare sui social network. In caso di comunicazione sistematica o diffusione diventa necessario ottenere il consenso delle persone presenti nelle fotografie e nei video. Dott. Giampaolo Franco - Security Awareness 40
  78. 78. Doveri della scuola – registrazione della lezione E’ possibile registrare la lezione esclusivamente per scopi personali, ad esempio per motivi di studio individuale. Per ogni eventuale altro utilizzo o eventuale diffusione, anche su internet, è necessario prima informare adeguatamente le persone coinvolte nella registrazione (professori, studenti, …) ed ottenere il loro esplicito consenso. Nell’ambito dell’autonomia scolastica, gli istituti possono decidere di regolamentare diversamente o anche inibire gli apparecchi in grado di registrare tramite l’adozione di apposite politiche di sicurezza. Dott. Giampaolo Franco - Security Awareness 41
  79. 79. Doveri della scuola – dati biometrici L’utilizzo delle impronte digitali o di altri dati biometrici per rilevare la presenza di un gruppo di individui è giustificato soltanto dall’esistenza di reali esigenze di sicurezza, determinate da concrete e gravi situazioni di rischio. Il sistema di rilevamento delle impronte digitali, ad esempio, è stato giudicato sproporzionato rispetto all’obiettivo di consentire agli studenti l’accesso ai servizi di mensa scolastica. Dott. Giampaolo Franco - Security Awareness 42
  80. 80. Doveri della scuola – videofonini, filmati, MMS L’utilizzo di videofonini, di apparecchi per la registrazione di suoni e immagini è in genere consentito, ma esclusivamente per fini personali, e sempre nel rispetto dei diritti e delle libertà fondamentali delle persone coinvolte, in particolare della loro immagine e dignità. Le istituzioni scolastiche hanno comunque la possibilità di regolare o di inibire l’utilizzo di registratori audio-video, inclusi i telefoni cellulari abilitati, all’interno delle aule di lezione o nelle scuole stesse. Non è possibile, in ogni caso, diffondere o comunicare sistematicamente i dati personali di altre persone (ad esempio immagini o registrazioni audio/video) senza aver prima informato adeguatamente le persone coinvolte e averne ottenuto l’esplicito consenso. Dott. Giampaolo Franco - Security Awareness 43
  81. 81. Doveri della scuola – videofonini, filmati, MMS Gli studenti e gli altri membri della comunità scolastica devono quindi prestare particolare attenzione a non mettere on line immagini (ad esempio su blog, siti web, social network) o a diffonderle via mms. Succede spesso, tra l’altro, che una fotografia inviata a un amico/familiare poi venga inoltrata ad altri destinatari, generando involontariamente una comunicazione a catena dei dati personali raccolti. Tale pratica può dar luogo a gravi violazioni del diritto alla riservatezza delle persone riprese, incorrendo in sanzioni disciplinari, pecuniarie e penali. Dott. Giampaolo Franco - Security Awareness 44
  82. 82. Doveri della scuola – videosorveglianza L’installazione di sistemi di videosorveglianza nelle scuole deve garantire il diritto dello studente alla riservatezza. In caso di stretta necessità le telecamere sono ammesse, ma devono funzionare solo negli orari di chiusura degli istituti. Se le riprese riguardano l’esterno della scuola, l’angolo visuale delle telecamere deve essere opportunamente delimitato. Le immagini registrate possono essere conservate per brevi periodi (24 ore). Infine, i cartelli che segnalano il sistema di videosorveglianza devono essere visibili anche di notte. Dott. Giampaolo Franco - Security Awareness 45
  83. 83. Doveri della scuola – ulteriori tutele STATUS PERSONALI E DIFFUSIONE E’ illecito diffondere o comunicare a terzi (ad esempio sul sito dell’Istituto) i dati degli studenti in ritardo con il pagamento di un qualsiasi servizio scolastico (retta, mensa, ecc.) o di chi ne usufruisca gratuitamente sulla base dell’appartenenza a determinate categorie sociali o fasce di reddito. AVVISI ONLINE Tutti gli avvisi online devono avere carattere generale, mentre le comunicazioni personali vanno inviate direttamente al singolo. Dott. Giampaolo Franco - Security Awareness 46
  84. 84. Doveri della scuola – diritti degli studenti Lo studente ha il diritto di conoscere i dati che la scuola tratta sul suo conto, di estrarne copia, nonché di ottenerne la rettifica nel caso in cui siano errati, incompleti o non aggiornati. Le richieste vanno rivolte alla scuola, in quanto titolare del trattamento, oppure al responsabile, se designato, tramite i relativi incaricati. Se la scuola non adempie nei tempi di legge (15 gg o al massimo ulteriori 15gg se particolari difficoltà nella procedura), o adempie parzialmente, ci si può rivolgere al Garante o al giudice ordinario. Attenzione: l’accesso agli atti amministrativi è una fattispecie diversa, disciplinata dalla legge 241 del 90 e successive modifiche del Codice in materia di protezione dei dati personali prevede che l’amministrazione valuti di volta in volta i requisiti normativi per l’accesso. Dot. Giampaolo Franco - Security Awareness 47
  85. 85. La privacy nella scuola – come ricordarla Una risorsa utile da avere sempre con sé: • Vademecum del Garante «La privacy tra i banchi di scuola» http://www.garanteprivacy.it/documents/10160/2416443 /La_privacy_tra_i_banchi_di_scuola.pdf Regole generali, voti ed esami, informazioni sugli studenti, foto, audio e video, sicurezza e controllo, parole chiave, approfondimenti. Ulteriori riferimenti contesto scolastico: aggiornati relativamente al • Scuola consapevole - Area Privacy https://sites.google.com/site/scuolaconsapevole/privacy Dott. Giampaolo Franco - Security Awareness 48
  86. 86. FINE Dott. Giampaolo Franco - Security Awareness 49
  87. 87. Corso di formazione - Security Awareness Sviluppo delle conoscenze – Modulo 2 Cod. Domanda 1.1 Qual è il significato di “Privacy”? 1.2 Che cosa si intende per “Trattamento”? 1.3 Che cosa si intende per “Titolare del Trattamento”? 1.4 Che cosa si intende per “Responsabile del Trattamento”? E’ una figura obbligatoria? 1.5 Che cosa si intende per “Incaricato” ed “Amministratore di Sistema”? E’ corretto che l’amministratore di sistema sia anche Responsabile di Trattamento? 1.6 Che cosa si intende per “Interessato”?
  88. 88. 1.7 Che cosa si intende per “informativa” e “consenso”? 1.8 Quali sono le quattro tipologie in cui possono essere suddivisi i “dati personali”? 1.9 Inserire opportunamente in tabella i termini: liceità, necessità, finalità, non eccedenza. Definizione La conservazione dei dati viene effettuata per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento. Il trattamento, per essere lecito e consentito dalla legge, deve prevedere un “consenso informato” in quanto esso tutela la libertà di autodeterminazione dell’interessato. i sistemi informativi ed i programmi informatici dovranno essere predisposti in modo da assicurare che i dati personali siano utilizzati per il raggiungimento degli specifici scopi che il Titolare si prefigge. Nei form di iscrizione ad un sito web devono essere oggetto di trattamento solo i dati necessari alle finalità perseguite ovvero al raggiungimento degli scopi dichiarati. Principio 1.10 Qual è la differenza fra “misure minime” e “misure idonee”? 1.11 Indicare l’ordine di gerarchia nella gestione del Trattamento (dal più alto al più basso): Ordine Amministratore di Sistema Incaricato Titolare Responsabile di Trattamento Indicare se persona fisica / giuridica
  89. 89. Dott. Giampaolo Franco Corso di formazione Security Awareness
  90. 90. Scuola consapevole Portale di security e privacy per la scuola: https://sites.google.com/site/scuolaconsapevole/ Per rimanere in contatto: Forum (eventuali domande vanno inoltrate tramite questo gruppo) Area formazione – Corso Security Awareness (materiale del corso) Email docente: giampaolo.tn@gmail.com Dott. Giampaolo Franco - Security Awareness 2
  91. 91. Elenco degli argomenti PARTE 1 • La situazione privacy attuale. • L’avvento delle nuove tecnologie. • Sviluppo delle conoscenze privacy. PARTE 2 • Utilizzo dell’antivirus. • Malware. Dott. Giampaolo Franco – Security Awareness 3
  92. 92. La situazione privacy attuale Utilizzo di dati personali da parte di terzi per fini non consentiti: • Abbonamenti a riviste o servizi mai richiesti. • Accesso non autorizzato alla propria casella e-mail. • Intercettazione di dati relativi a comunicazioni telefoniche. • Intercettazione del traffico web. • Danni alla reputazione personale ed aziendale. • Diffamazione. • Sistemi di videosorveglianza fuori norma. • Ispezione dei propri dati bancari. • Spionaggio informatico. Aree con maggiori criticità: • Social network. • Telefono cellulare, smartphone, tablet. Dott. Giampaolo Franco – Security Awareness 4
  93. 93. Il rischio più grave. Nel contesto privacy i dati sensibili sono la parte più importante di un individuo. Tali informazioni, se comunicate senza consenso o diffuse, possono ledere la personalità ed i diritti dell’interessato. Divulgazione dei dati sensibili Detenere i dati sensibili di un individuo senza autorizzazione permette di esercitare su di esso forti limitazioni della libertà, pressioni ed emarginazioni. Tali comportamenti vanno espressamente contro il principio di autodeterminazione della persona: uno dei fondamenti essenziali della privacy. Dott. Giampaolo Franco - Security Awareness 5
  94. 94. La situazione privacy attuale: il rendiconto 2012 Lavoro svolto dal Garante per la protezione dei dati personali nell’anno 2012: • • • • 4180 segnalazioni e reclami, 395 ispezioni, 578 sanzioni, 460 provvedimenti collegiali. Difendere la privacy è un compito sempre più difficile. Aumentano i casi di violazione della privacy. Il telemarketing è una delle minacce maggiori. Le aziende di telemarketing continuano ad essere sempre più aggressive e commettono moltissime violazioni, nonostante dal 2010 sia stato istituito il registro delle opposizioni ( www.registrodelleopposizioni.it ). Dott. Giampaolo Franco - Security Awareness 6
  95. 95. La situazione privacy attuale: il rendiconto 2012 Diffusione dei sistemi di videosorveglianza In molti esercizi pubblici ed altri luoghi di lavoro vengono installate delle telecamere a scopo antirapina, in realtà servono anche a monitorare i lavoratori: • entrate; • uscite; • pause. Tale utilizzo ovviamente viola le norme relative alla privacy. Dott. Giampaolo Franco - Security Awareness 7
  96. 96. La situazione privacy attuale: il rendiconto 2012 BANCHE ED ASSICURAZIONI • • Indagini dell’Agenzia delle Entrate sui conti correnti bancari (obiettivo di scovare l’evasione fiscale). Raccolta dati da parte di dispositivi che registrano l’attività dei veicoli (scatole nere) effettuata dalle Compagnie di assicurazione. INTERCETTAZIONI • Diffusione delle intercettazioni giudiziarie. Le intercettazioni sono uno strumento indispensabile agli inquirenti ma con troppe fughe di notizie che danneggiano le indagini stesse e la privacy. Dott. Giampaolo Franco - Security Awareness 8
  97. 97. La situazione privacy attuale: il rendiconto 2012 Il nodo più intricato: internet ed i social media. Utilizzo dei cookies sui siti da parte di Google (tracciamento dei siti già visitati). Gestione ‘opaca’ della privacy da parte di Google e Facebook. Per garantire gli utenti servono norme europee in materia di privacy su internet. Chiunque può verificare tale situazione: http://www.google.it/intl/it/policies/privacy/ https://it-it.facebook.com/about/privacy Dott. Giampaolo Franco - Security Awareness 9
  98. 98. 2013: il caso «Data Retention» Il Garante ha verificato il rispetto della normativa in materia di trattamento dei dati personali in undici provider telefonici ed internet. Nove su undici sono fuorilegge. Le principali violazioni sono: • • • conservazione dei dati relativi al traffico telefonico ed internet degli utenti oltre i termini previsti dal trattamento; mancata adozione delle misure minime di sicurezza (allegato B del Codice in materia di protezione dei dati personali); mancata adozione di ulteriori misure del codice (es. tecnologie di riconoscimento biometrico per selezionare l’accesso ai dati e la cifratura dei dati). Vi sono in corso ulteriori valutazioni sulle misure previste, sulla liceità dei trattamenti, sul trasferimento dei dati all’estero. Dott. Giampaolo Franco - Security Awareness 10
  99. 99. Dati relativi al traffico telefonico e telematico Il trattamento dei dati di traffico telefonico, mms, sms ed internet consente agli operatori di disporre di una serie di importanti informazioni tra cui il numero chiamato, l’ora e la data, la durata del contatto nonché la localizzazione degli apparati degli utenti in caso dell’utilizzo di un telefono cellulare (aggancio alle ‘celle’ di zona). Vengono fornite ulteriori informazioni sulla geolocalizzazione (GPS) per gli smartphone e tablet. Questi dati, opportunamente incrociati tra loro o con altri, tracciano buona parte delle abitudini e dei movimenti della nostra vita e non possono essere certamente messe a disposizione di chiunque, fatto salvo le Autorità inquirenti che sono preposte alla sicurezza ed alla protezione pubblica. Dott. Giampaolo Franco - Security Awareness 11
  100. 100. L’avvento delle nuove tecnologie E’ POSSIBILE DIFENDERE LA PRIVACY? • Internet non è stata progettata per gestire i dati personali o sensibili. • L’accesso ai canali di informazione è sempre più facile ed alla portata di tutti. • La gestione dei dati personali e sensibili è un’attività sempre più rischiosa. • Aumento del pericolo di diffusione dei dati personali e sensibili. • Uso non consentito di informazioni personali o riservate. • La diffusione delle informazioni avviene in tempi più rapidi rispetto a prima (aumenta la possibilità di lesione della privacy). Dott. Giampaolo Franco - Security Awareness 12
  101. 101. Una prima linea di difesa La sicurezza dei dati memorizzati in un sistema informatico dipende molto dal comportamento di chi lo utilizza. Non basta conoscere il funzionamento del sistema informatico occorre anche: • • Conoscere le regole ed i rischi sapere le norme che regolano la privacy; essere a conoscenza delle policy interne di sicurezza sull’utilizzo degli strumenti; • essere consapevoli dello scenario in cui si opera ed adottare le necessarie cautele; • conoscere le terminologie e le tecniche utilizzate per carpire informazioni riservate. Dott. Giampaolo Franco - Security Awareness 13
  102. 102. Sviluppo delle conoscenze - privacy Verifica dei concetti relativi all’ambito «PRIVACY» Dott. Giampaolo Franco - Security Awareness 14
  103. 103. FINE DELLA PRIMA PARTE Dott. Giampaolo Franco - Security Awareness 15
  104. 104. Utilizzo dell’antivirus L’utente che non ha installato sul proprio PC un software antivirus ha una probabilità 5.5 volte più alta che il proprio computer si infetti tramite malware o altre minacce. In Italia 2,5 PC su 10 non dispongono di un’adeguata protezione antivirus. Gli antivirus rappresentano l’arma più efficace volta a contrastare i malware e salvaguardare la privacy degli utenti. «Le persone capiscono intuitivamente l’importanza di chiudere a chiave la porta di casa per impedire eventuali intrusioni. La sicurezza dei computer non è diversa. Navigare in Internet senza disporre di un antivirus aggiornato equivale a lasciare la porta di ingresso aperta ai criminali». Tim Rains (Microsoft). Dott. Giampaolo Franco - Security Awareness 16
  105. 105. Malware Per ‘malware’ si intente un qualsiasi software con lo scopo di creare danni a: • • • • apparati hardware; Personal Computer; sistemi di elaborazione; dati. Obiettivo: intaccare gli attributi di un asset (logico): integrità, confidenzialità, disponibilità. Il termine malware deriva da malicious e software (software malevolo). Dott. Giampaolo Franco – Security Awareness 17
  106. 106. Malware Il PC deve sempre avere il sistema operativo aggiornato e possedere un buon software antivirus aggiornato e funzionante, per evitare gravi danni ai dati, ai programmi, alla rete ed ai sistemi dell’Istituto. Occorre avere accortezza nell’uso dei supporti rimovibili, ai link ed agli allegati presenti nella posta elettronica, alla provenienza dei software che si installano sul PC. Esempi di antivirus: Kaspersky Nod32 Norton. Avast! (free) Dott. Giampaolo Franco - Security Awareness 18
  107. 107. Attacchi condotti attraverso il PC dell’utente Se non adeguatamente protetto il PC può subire attacchi da parte di hacker o può essere sfruttato da terzi per operazioni illegali. Disservizi ed attacchi a terzi. Controllo dei PC delle vittime a distanza. Furto di dati. Furto di identità (user e password). Dott. Giampaolo Franco - Security Awareness 19
  108. 108. DoS - DDoS DoS – Denial of Service Sfruttando il PC di una vittima un hacker può eseguire un attacco verso un determinato sistema o risorsa target della rete per creare disservizio, rimanendo anonimo. DDoS – Distribuited Denial of Service Lo stesso caso di prima con la differenza che non è uno solo ma sono molti i PC sfruttati per sferrare un attacco più forte verso il target. Dott. Giampaolo Franco - Security Awareness 20
  109. 109. Virus e worm Virus Software appartenente alla categoria dei malware che è in grado, una volta eseguito, di infettare dei file in modo da riprodursi facendo copie di se stesso, generalmente senza farsi rilevare dall'utente (sotto questo punto di vista il nome è in perfetta analogia con i virus in campo biologico). Caratteristica principale di un virus è quella di riprodursi e quindi diffondersi nel computer ogni volta che viene aperto il file infetto. Worm Un worm (letteralmente "verme") è una particolare categoria di malware in grado di autoreplicarsi. Il mezzo più comune impiegato dai worm per diffondersi è la posta elettronica: il programma maligno ricerca indirizzi e-mail memorizzati nel computer ospite ed invia una copia di se stesso come file allegato (attachment) a tutti o parte degli indirizzi che è riuscito a raccogliere. Il worm si può attivare anche tramite un link. Dott. Giampaolo Franco - Security Awareness 21
  110. 110. Trojan horse - backdoor Trojan horse Questa tipologia di malware deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile: è dunque l'utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto. I trojan non si diffondono autonomamente come i virus o i worm: richiedono un intervento diretto dell'aggressore per far giungere l'eseguibile maligno alla vittima. Un trojan può contenere qualunque tipo di istruzione maligna o ulteriori malware. Backdoor Le backdoor in informatica sono paragonabili a porte di servizio (cioè le porte sul retro) che consentono di superare in parte o in tutto le procedure di sicurezza attivate in un sistema informatico o un computer entrando nel sistema stesso. Queste "porte" possono essere intenzionalmente create dai gestori del sistema informatico (amministratori di rete e sistemisti) per permettere una più agevole opera di manutenzione dell'infrastruttura informatica da remoto. Possono anche essere installate autonomamente da alcuni malware (come virus, worm o trojan), in modo da consentire ad un utente esterno di prendere il controllo remoto della macchina senza l'autorizzazione del proprietario. Dott. Giampaolo Franco - Security Awareness 22
  111. 111. Spyware Spyware Uno spyware è un tipo di software che raccoglie informazioni sull'attività online di un utente (siti visitati, acquisti eseguiti in rete, …) senza il suo consenso, trasmettendole tramite Internet ad un'organizzazione che le utilizzerà per trarne profitto, solitamente attraverso l'invio di pubblicità mirata. I programmi per la raccolta di dati che vengono installati con il consenso dell'utente non sono propriamente spyware: sempre che sia ben chiaro all'utente quali dati siano oggetto della raccolta ed a quali condizioni questa avvenga. Dott. Giampaolo Franco - Security Awareness 23
  112. 112. Browser hijacking Browser hijacking Il termine hijacking indica una tecnica di attacco informatico che consiste nel modificare opportunamente dei pacchetti dei protocolli TCP/IP al fine di dirottare i collegamenti ai propri siti web e prenderne il controllo. Questa tecnica, più nota come Browser Hijacking (dirottamento del browser), permette ai dirottatori di eseguire sul malcapitato computer una serie di modifiche tali da garantirsi la visita alle loro pagine con l'unico scopo di incrementare in modo artificioso il numero di accessi e di click diretti al loro sito e conseguentemente incrementare i guadagni dovuti alle inserzioni pubblicitarie (ad es. banner pubblicitari). Nei motori di ricerca ad esempio l’hijacking, sfruttando un bug del motore stesso, riesce a sostituirsi al sito "vittima" nei risultati del motore. In pratica in una ricerca su un motore, cliccando sul collegamento scelto, ci appare tutt'altra cosa rispetto a quello desiderato. Dott. Giampaolo Franco - Security Awareness 24
  113. 113. Rootkit Rootkit Un rootkit, termine letteralmente traducibile in lingua italiana con equipaggiamento da amministratore (in ambiente Unix per «root» si intende accesso di livello amministrativo). E’ un programma software prodotto per avere il controllo sul sistema senza bisogno di autorizzazione da parte di un utente o di un amministratore. Alcuni virus informatici si sono avvalsi della possibilità di agire come rootkit all'interno del sistema operativo. Sono stati creati Trojan horses ed altri programmi maligni volti ad ottenere il controllo di un computer da locale o da remoto in maniera nascosta, ossia non rilevabile dai comuni strumenti di amministrazione e controllo. Dott. Giampaolo Franco - Security Awareness 25
  114. 114. Scareware Scareware Nel gergo informatico scareware individua una classe di software dannosi, o comunque di limitata utilità, la cui installazione viene suggerita agli utenti attraverso tecniche di marketing scorretto. Gli scareware vengono diffusi principalmente attraverso la rete grazie alla realizzazione di vere e proprie campagne di marketing. Il software viene spesso presentato come strumento per la manutenzione del sistema operativo o per la risoluzione di comuni problemi informatici. Anche le denominazioni scelte richiamano tipicamente prodotti noti ed affidabili. Nelle pagine web messe a punto per la distribuzione di scareware è frequente la presenza di certificazioni e riconoscimenti fasulli che servono a rassicurare gli utenti sulla qualità del software e sulla serietà di chi lo sviluppa. In questo scenario tutto è pensato per far sì che sia l'utente stesso a scaricare ed installare volontariamente il software sul proprio computer. A questa prima modalità di diffusione non è raro se ne affianchino altre in cui, con tecniche più o meno complesse, si induce l'utente a ritenere che il proprio sistema sia infetto da virus informatici o da gravi anomalie di funzionamento. In questi casi lo scareware (dal termine inglese to scare, 'spaventare') viene indicato come strumento per la risoluzione del problema. Dott. Giampaolo Franco - Security Awareness 26
  115. 115. Rabbit Rabbit I rabbit (detti anche bacteria o wabbit) sono un tipo di malware che attacca le risorse del sistema duplicando in continuazione la propria immagine su disco, o attivando nuovi processi a partire dal proprio eseguibile, in modo da consumare tutte le risorse disponibili sul sistema in pochissimo tempo. Entrambi i nomi si riferiscono proprio alla prolificità di questo "infestante" (rabbit è l'inglese per coniglio). Si distinguono dai virus in quanto non "infettano" i file. Un esempio di questa tipologia di malware è la fork bomb. Dott. Giampaolo Franco - Security Awareness 27
  116. 116. Fork bomb La bomba fork è un attacco di tipo denial of service contro un computer che utilizza la funzione fork. L'azione si basa sull'assunto che il numero di programmi e processi che possono essere eseguiti contemporaneamente su un computer abbia un limite. Una bomba fork agisce creando un gran numero di processi in un tempo molto rapido, così da saturare lo spazio disponibile nella lista dei processi che viene mantenuta dal sistema operativo. Le bombe fork impiegano anche del tempo di processore e della memoria. Pertanto il sistema rallenta e può diventare più difficile, se non impossibile da utilizzare. Concetto dietro la fork bomb: un processo genera altri processi in cascata, finché non avviene un denial of service oppure un crash del sistema. Dott. Giampaolo Franco - Security Awareness 28
  117. 117. Adware Adware Con il termine "Adware" (abbreviazione di advertising-supported software) in italiano «Software sovvenzionato da pubblicità» si indica una tipologia di software che presenta al suo interno inserzioni pubblicitarie esposte di proposito all'utente, allo scopo di indurlo ad effettuare ulteriori acquisti o eventuali upgrade del software utilizzato per generare maggiore profitto alla società. Gli annunci pubblicitari possono comparire nell'interfaccia utente del software, durante il processo d'installazione, o in entrambi i casi. Talvolta i programmi adware presentano rischi per la stabilità e la sicurezza del computer: alcuni di essi aprono continuamente popup pubblicitari che rallentano notevolmente le prestazioni della macchina, altri modificano le pagine html direttamente nelle finestre del browser per includere link e messaggi pubblicitari propri con la conseguenza che all'utente viene presentata una pagina diversa da quella voluta dall'autore. Molti adware inoltre comunicano le abitudini di navigazione dell'utente a server remoti. Non è facile, ed a volte quasi impossibile, essere a conoscenza di quali dati vengano inviati e ricevuti attraverso tale connessione. Dott. Giampaolo Franco - Security Awareness 29
  118. 118. File batch File batch Nei sistemi operativi è possibile eseguire dei comandi di sistema tramite l’esecuzione di file di testo contenenti una sequenza di istruzioni (file batch). Il file batch viene eseguito dall'interprete dei comandi mandando in esecuzione i comandi elencati nel file uno dopo l'altro, nello stesso ordine in cui compaiono nel file. Tramite questo «linguaggio di scripting», con poche istruzioni è possibile creare dei veri e propri virus che possono formattare il disco, cancellare files, saturare il file-system, riavviare la macchina, creare DoS. I file batch hanno estensione .bat e possono essere eseguiti con il semplice doppio click del mouse. Dott. Giampaolo Franco - Security Awareness 30
  119. 119. Keylogger Keylogger In informatica un keylogger è uno strumento hardware o software in grado di intercettare tutto ciò che un utente digita sulla tastiera di un personal computer. Hardware: vengono collegati al cavo di comunicazione tra la tastiera ed il computer o all'interno della tastiera. Molto efficaci perché il sistema non è in grado di accorgersi della loro presenza e possono essere nascosti nella tastiera. Software: programmi che controllano e salvano la sequenza di tasti che viene digitata da un utente. Essi rimangono in esecuzione captando ogni tasto che viene digitato e poi, in alcuni casi, trasmettono tali informazioni ad un computer remoto. Spesso i keylogger software sono trasportati e installati nel computer da worm o trojan ricevuti tramite Internet e hanno in genere lo scopo di intercettare password e numeri di carte di credito e inviarle tramite posta elettronica al creatore degli stessi. Poiché esistono alcuni tipi di keylogger non intercettabili, per evitare di essere monitorati si può utilizzare la "tastiera su schermo" presente in tutte le distribuzioni Linux, Mac OS/Mac OS X, Windows XP/Vista e successivi tra le risorse per l'accessibilità o distribuita da alcuni antivirus come Kaspersky. Dott. Giampaolo Franco - Security Awareness 31
  120. 120. Rogue antispyware Rogue antispyware Con il termine rogue antispyware vengono generalmente definiti tutti quei malware che si "mascherano" come innocui programmi antispyware. Sono spesso reperibili gratuitamente e il loro obiettivo principale è quello di spingere l'utente ad acquistare una versione completa del programma in questione, sostenendo che nel computer siano presenti molteplici minacce informatiche. Spesso questi programmi sono difficili da rimuovere dal PC. Questi malware, per spingere l'utente ad acquistare una versione completa, eseguono finte scansioni del PC che trovano moltissimi malware nel computer (falsi risultati). Molti programmi vengono scaricati intenzionalmente dall'utente, perché offrono un servizio di online scanner fasullo. Dirottano il browser sostenendo che ciò è stato fatto per motivi di sicurezza. Fanno comparire fastidiose finestre popup che allarmano l'utente affermando che il computer è a rischio. Inoltre i rogue antispyware provocano sul sistema operativo colpito un calo delle prestazioni, maggior utilizzo della connessione ad internet, installazione di altri malware, installazione di backdoor, interferiscono con le indagini sui motori di ricerca e con la normale navigazione su internet, affermando che le pagine visualizzate contengano malware. Dott. Giampaolo Franco - Security Awareness 32
  121. 121. Bomba logica Bomba logica In informatica una bomba logica (o logic bomb in inglese) è un tipo di malware che consiste in una porzione di codice inserito in un programma apparentemente innocuo, la quale resta latente fino al verificarsi di particolari condizioni che "attivano la bomba": ad esempio in un programma di gestione di un database una bomba logica può attivarsi al raggiungimento di un certo numero di record salvati oppure quando viene cancellato un preciso dato. Una bomba logica, una volta attivata, può svolgere diverse operazioni atte ad arrecare danno, ad esempio modificare o cancellare file, bloccare il sistema o cancellare l'intero contenuto di un disco. Software dannosi per i computer quali i virus ed i worm possono a loro volta contenere delle bombe logiche che eseguono delle operazioni predeterminate in particolari giorni. Per essere considerata tale una bomba logica deve essere ignota all'utilizzatore del sistema. Dott. Giampaolo Franco - Security Awareness 33
  122. 122. Come evitare i malware • Utilizzare un software antivirus. • Cautele nell’utilizzo dei supporti di memorizzazione. • Accortezze nell’utilizzo della posta elettronica: non aprire links ed eseguire allegati di posta elettronica provenienti da mittenti sconosciuti. • Non installare software di cui non si conosce la provenienza . • Adottare regole comportamentali per l’utilizzo degli strumenti informatici: policy di sicurezza. Dott. Giampaolo Franco - Security Awareness 34
  123. 123. Esercizio In riferimento alle tipologie di malware trattate, indicare in una tabella sulla lavagna quali asset possono essere coinvolti evidenziando le problematiche relative alla confidenzialità, integrità e disponibilità. Dott. Giampaolo Franco - Security Awareness 35
  124. 124. FINE Dott. Giampaolo Franco - Security Awareness 36
  125. 125. Dott. Giampaolo Franco Corso di formazione Security Awareness
  126. 126. Scuolaconsapevole Portale di security e privacy per la scuola: https://sites.google.com/site/scuolaconsapevole/ Per rimanere in contatto: Forum (eventuali domande vanno inoltrate tramite questo gruppo) Area formazione – Corso Security Awareness (materiale del corso) Email docente: giampaolo.tn@gmail.com Dott. Giampaolo Franco - Security Awareness 2
  127. 127. Elenco degli argomenti PARTE 1 • Furto dell’identità digitale • Hacking delle password • Rendere la password più sicura • Ingegneria sociale • Spamming PARTE 2 • Phishing • Accorgimenti • Policy di sicurezza Dott. Giampaolo Franco – Security Awareness 3
  128. 128. Furto dell’identità digitale Decreto-legge 14 agosto 2013, n. 93: “Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province” (13G00141) (GU n.191 del 16-8-2013 ). Entrata in vigore del provvedimento: 17/08/2013 Le modalità previste della frode informatica sono due: • • alterazione del funzionamento del sistema; intervento abusivo su dati e programmi. Circostanza aggravante: il reato è commesso con sostituzione dell'identità digitale in danno di uno o più soggetti. In questo caso scatta la punibilità d'ufficio. E’ punita con la reclusione da due a sei anni e con la multa da euro 600 ad euro 3.000. Inoltre la procedibilità scatta d'ufficio, senza necessità di querela di parte: basta una denuncia, senza aspettare che il truffato si rivolga all'autorità giudiziaria chiedendo la punizione del colpevole. Potrà inoltre presentare denuncia anche il soggetto sostituito. Dott. Giampaolo Franco - Security Awareness 4
  129. 129. Tecniche di hacking delle password Oltre a svariate possibilità manuali (indagini, tentativi di accesso manuali, post-it, lettura dalla rubrica del cellulare, etc…) si sfruttano potenti strumenti informatici. In linea teorica l’attacco ad una password tramite questi strumenti ha sempre successo: dipende dal tempo e dalle risorse impiegate. Può essere avvenire con le seguenti tecniche:  Dizionario (Dictionary list)  Forza bruta (Brute force, Rainbow tables)  Intercettazione (Eavesdropping) La nostra password è sicura? http://passcodes.org/passcodes/brute-force-attack-calculator/ http://passcodes.org/passcodes/passcode-strength-analyzer/ Dott. Giampaolo Franco - Security Awareness 5
  130. 130. Possedere una password sicura non è ancora sufficiente All’interno di una rete, quando si effettua il processo di autenticazione ad un servizio via internet e tramite il browser, occorre prestare molta attenzione che la trasmissione sia crittografata. Ulteriore attenzione se la rete è wi-fi. http:// TRASMISSIONE NON CRITTOGRAFATA: PASSWORD TRANSITA «IN CHIARO» https:// TRASMISSIONE CRITTOGRAFATA: LA PASSWORD NON E’ RICONOSCIBILE NB: In quest’ultimo caso occorre verificare che la fonte con cui stiamo comunicando sia certificata. Sul browser, oltre all’indirizzo espresso in forma https:// deve apparire l’icona del lucchetto. https + certificato = comunicazione sicura e certificata Cliccando sul lucchetto ci sono le informazioni sul certificato. Dott. Giampaolo Franco - Security Awareness 6
  131. 131. Rendere la password più sicura Perché devo avere una password sicura? perché devo cambiarla frequentemente? ogni quanto devo farlo? Normalmente all’incaricato sono affidate delle credenziali di autenticazione differenti per ogni trattamento dati. Codice per la protezione dei dati personali - Allegato B Punto 5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. Dott. Giampaolo Franco - Security Awareness 7
  132. 132. Composizione della password Per essere ‘buona’, una password deve essere facile da ricordare ma difficile da indovinare o da violare con strumenti software. Una buona password è univoca e complessa. Ecco alcune regole da rispettare per creare e mantenere password efficaci: • • • • • • • • • utilizza una combinazione di lettere maiuscole e minuscole, simboli e numeri; assicurati che le tue password siano lunghe almeno otto caratteri. Tanto maggiore è il numero di caratteri che compongono le password, tanto più difficile è indovinarle; cerca di creare password senza alcun significato e quanto più possibile casuali; crea password diverse per ogni account; cambia le password regolarmente; non utilizzare nomi o numeri associati alla tua persona, quali una data di nascita o un soprannome; non utilizzare il tuo nome o il nome di accesso in alcuna forma; non utilizzare una parola derivata dal nome, il nome di un componente della famiglia o di un animale domestico; evita l'utilizzo di una singola parola in qualsiasi altra lingua. Per violare questi tipi di password gli hacker si avvalgono di strumenti basati su dizionari. Dott. Giampaolo Franco – Security Awareness 8
  133. 133. Composizione della password • • • Non utilizzare ‘123456’ nè la parola "password" . Non rispondere affermativamente alla richiesta di salvare la password sul browser di un altro computer. Affidati invece a una password efficace ricordata a memoria o memorizzata in un programma per la gestione delle password affidabile. Alcuni antivirus memorizzano le password in modo sicuro e le compilano online in forma crittografata. Non trascrivere mai le password e non comunicarle mai ad altri. Password migliori • Incomincia creando una frase password che personalizzerai per ogni sito Web che utilizzi. Ad esempio, una frase possibile potrebbe essere "Ricordi tre somari e tre briganti". Quindi, convertila in un'abbreviazione utilizzando le prime lettere di ogni parola e cambia il "tre" nel numero "3". Si otterrà la seguente frase password base: r3se3b. Infine, metti la prima e l'ultima lettera del sito Web utilizzato nella nuova frase password. Ad esempio, se vuoi creare una password per Symantec.com, Sr3se3bc è la tua nuova, esclusiva e complessa password Symantec! Dott. Giampaolo Franco – Security Awareness 9
  134. 134. Ingegneria sociale L'ingegneria sociale (in inglese social engineering) è lo studio del comportamento individuale di una persona al fine di carpire informazioni utili. Per un hacker a volte risulta impossibile attaccare un sistema informatico: l'unico modo per procurarsi le informazioni di cui necessita è quello di attuare un attacco di ingegneria sociale. Un ingegnere sociale (social engineer) per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola: saper mentire. Un social engineer è molto bravo a nascondere la propria identità: in tal modo riesce a ricavare informazioni che non potrebbe mai carpire con la sua identità reale. Il social engineering è una tecnica molto usata dagli hacker esperti e dalle spie e dato che comporta, nella fase dell'attacco, il rapporto più diretto con la vittima, è una delle più importanti tecniche per ottenere informazioni. Dott. Giampaolo Franco - Security Awareness 10
  135. 135. Ingegneria sociale Il social engineer comincia con il raccogliere informazioni sulla vittima (es. Facebook) per poi arrivare all'attacco vero e proprio. Durante la prima fase (che può richiedere anche alcune settimane di analisi), l'ingegnere cercherà di ricavare tutte le informazioni di cui necessita sul suo bersaglio: e-mail, recapiti telefonici, ecc. Superata questa fase, detta footprinting, l'ingegnere passerà alla fase successiva, cioè quella che gli permetterà di verificare se le informazioni che ha ricavato sono più o meno attendibili, anche telefonando all'azienda del bersaglio e chiedendo cortesemente di parlare con la vittima. La fase più importante, quella che determinerà il successo dell'attacco, è lo studio dello stile vocale della persona per la quale vuole spacciarsi (ad esempio cercando di evitare in tutti i modi l'utilizzo di espressioni dialettali e cercando di essere quanto più naturale possibile, sempre utilizzando un tono neutro e cortese). In questa fase l'attaccante avrà sempre vicino a sé i propri appunti con tutte le informazioni raccolte nella fase di footprinting, dimostrandosi pertanto sicuro nel caso gli venisse posta qualche domanda. Molto spesso il social engineering viene utilizzato per ricavare informazioni su privati (phishing). Un esempio di azione di questo genere può essere una falsa e-mail mandata da un aspirante ingegnere sociale, fingendosi magari un amministratore di sistema o un membro di qualche grosso ente. Vengono richiesti al malcapitato di turno nome utente e password di un suo account, ad esempio quello di posta elettronica, con la scusa di fare dei controlli sul database dell'azienda. Se la vittima cade nel tranello, il social engineer avrà ottenuto il suo obiettivo, ossia una breccia nel sistema della vittima, da cui potrà iniziare una fase di sperimentazione allo scopo di violare il sistema stesso. (Tratto da Wikipedia) Dott. Giampaolo Franco - Security Awareness 11
  136. 136. Spamming Lo spamming, detto anche fare spam o spammare, è l'invio di messaggi indesiderati (generalmente commerciali). Può essere attuato attraverso qualunque sistema di comunicazione, ma il più usato è Internet, attraverso messaggi di posta elettronica, chat e forum. Il principale scopo dello spamming è la pubblicità, il cui oggetto può andare dalle più comuni offerte commerciali a proposte di vendita di materiale pornografico o illegale, come software pirata e farmaci senza prescrizione medica, da discutibili progetti finanziari a veri e propri tentativi di truffa. Uno spammer, cioè l'individuo autore dei messaggi spam, invia messaggi identici (o con qualche personalizzazione) a migliaia di indirizzi e-mail. Questi indirizzi sono spesso raccolti in maniera automatica dalla rete (articoli di Usenet, pagine web) mediante spambot ed appositi programmi, ottenuti da database o semplicemente indovinati usando liste di nomi comuni. Per definizione lo spam viene inviato senza il permesso del destinatario ed è un comportamento ampiamente considerato inaccettabile dagli Internet Service Provider (ISP) e dalla maggior parte degli utenti di Internet. Mentre questi ultimi trovano lo spam fastidioso e con contenuti spesso offensivi, gli ISP vi si oppongono anche per i costi del traffico generato dall'invio indiscriminato. Dott. Giampaolo Franco - Security Awareness 12
  137. 137. FINE DELLA PRIMA PARTE Dott. Giampaolo Franco - Security Awareness 13
  138. 138. Phishing Il phishing è un tipo di truffa via Internet, attraverso la quale un aggressore cerca di ingannare la vittima convincendola a fornire informazioni personali sensibili. Si tratta di una attività illegale che sfrutta una tecnica di ingegneria sociale: attraverso l'invio casuale di messaggi di posta elettronica che imitano la grafica di siti bancari o postali, un malintenzionato cerca di ottenere dalle vittime la password di accesso al conto corrente, le password che autorizzano i pagamenti oppure il numero della carta di credito. Tale truffa può essere realizzata anche mediante contatti telefonici o con l'invio di SMS. Dott. Giampaolo Franco - Security Awareness 14
  139. 139. Phishing Il malintenzionato (phisher) spedisce al malcapitato e ignaro utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto). L'email contiene quasi sempre avvisi di particolari situazioni o problemi verificatisi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account, ecc.) oppure un'offerta di denaro. L'email invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione (Fake login). Il link fornito, in realtà, non porta al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi acquisite dal malintenzionato. Dott. Giampaolo Franco - Security Awareness 15
  140. 140. Phishing Il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi. Talora l'email contiene l'invito a cogliere una nuova "opportunità di lavoro" quale operatore finanziario o financial manager: occorre semplicemente fornire le proprie coordinate bancarie per ricevere l'accredito di somme di denaro da ritrasferire successivamente all'estero tramite sistemi di money trasfert (Western Union o Money Gram), trattenendo una elevata percentuale dell'importo. In realtà si tratta di denaro rubato con il phishing: il titolare del conto online beneficiario, spesso in buona fede, commette così il reato di riciclaggio di denaro sporco. Quest'attività comporta per il phisher la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro sottratto in molti conti correnti e a fare ritrasferimenti in differenti Paesi, perché così diviene più difficile risalire alla identità del criminale informatico e ricostruire compiutamente il meccanismo illecito. Peraltro, se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano, poiché spesso serve una rogatoria e l'apertura di un procedimento presso la magistratura locale di ogni Paese interessato. Dott. Giampaolo Franco - Security Awareness 16
  141. 141. Accorgimenti  Garantire sempre le caratteristiche di sicurezza alla password.  Effettuare il cambio della password periodicamente.  Effettuare il login solo tramite un sito sicuro (https con certificato): le credenziali possono essere catturate o intercettate.  La posta elettronica non garantisce la reale identità del mittente: attenzione allo spamming ed al phishing.  Evitare di fornire informazioni a sconosciuti. Tenere la scrivania pulita (clean desk policy). Attenzioni alle stampanti multifunzione. Non dimenticare di adottare gli accorgimenti di sicurezza anche sul cartaceo.  Accertarsi della reale identità dei contatti, ricontattandoli telefonicamente o con altri mezzi di comunicazione.  Attenersi sempre alle normative sulla privacy ed alle regole di utilizzo degli strumenti impartite dall’Istituto. Dott. Giampaolo Franco - Security Awareness 17
  142. 142. Misure idonee • Organizzazione in un’ottica orientata ai servizi. Ogni servizio può essere ricondotto ad un trattamento. • Registro dei trattamenti (Nome del trattamento, descrizione, Responsabile, Amministratore di Sistema, incaricati, funzioni di reportistica, elenco incaricati abilitati/disattivati, audit). • Gestione delle richieste relative ai trattamenti (abilitazioni, reset password, disattivazioni, implementazioni). • Linee guida, obiettivi d’Istituto in termini di sicurezza e privacy. • Policy di sicurezza: politiche di sicurezza per l’utilizzo delle risorse secondo la normativa vigente ed il regolamento d’Istituto. Dott. Giampaolo Franco - Security Awareness 18
  143. 143. Policy di sicurezza 1. Creazione (necessità, ownership, scrittura, approvazione). 2. Comunicazione (pubblicazione, training, attestazione e certificazione). 3. Gestione (applicazione, gestione delle eccezioni). 4. Mantenimento (revisione programmata, versioning, archiviazione). Dott. Giampaolo Franco – Security Awareness 19

×