Innovazione tecnologica e cybersecurity: un difficile compromesso

Autore: Giuseppe Vaciago

Da una recente ricerca di Gartner (“Digital Workplace Insights From Gartner's 2015 CIO”), emerge che “il livello di digitalizzazione dei dipendenti sta aumentando anche in termini di destrezza. La maggior parte dei lavoratori è ormai abituata ad attivare e a connettersi alle reti wireless, a gestire più di un dispositivo e a connettere più device fra loro, a usare app e web services. Di fatto la tecnologia è diventata una sorta di routine, uno strumento per velocizzare operazioni e migliorare la vita personale e quella lavorativa”.

Quali sono le conseguenze in termini di sicurezza informatica di una simile rivoluzione digitale? Molto semplici: alcuni anni fa l’amministratore delegato di un’azienda chiamava al telefono “quello dell’IT” perché non riusciva a mandare un’email, oggi si deve porre il problema del budget da destinare al Chief Information Officer (CIO) e soprattutto deve essere in grado di scegliere bene tale funzione perché il suo ruolo è divenuto rapidamente sempre più strategico.

Matt Cain, research vice president di Gartner, ritiene che un moderno e adeguato CIO deve avere un “approccio bimodale” nella gestione delle risorse IT. In pratica, non deve bloccare la necessità di guardare sempre di più alle tecnologie emergenti e in particolare a quelle che consentono di ottenere vantaggi competitivi, ma al contempo deve salvaguardare le strutture e le risorse informatiche aziendali. Insomma, più che un approccio bimodale, si potrebbe definire un approccio “schizofrenico”. Difatti, l’aumento dei device a disposizione del singolo dipendente e il conseguente fenomeno del “Bring Your Own Device” impediscono una gestione strutturata della sicurezza informatica. Inoltre, il vero problema è dato dal proliferare di app molto spesso gratuite in grado di risolvere le più disparate esigenze lavorative in tempo reale, ma non sempre di garantire un’adeguata tutela dei propri dati personali o aziendali.

La soluzione è banale ma non per questo facilmente realizzabile: è necessario investire di più e con più coordinamento. Molto spesso, infatti, buona parte del budget destinato alle risorse tecnologiche non viene deciso dal dipartimento IT, ma da altre funzioni che ritengono imprescindibile investire in software e hardware per garantire la continuità del business del loro settore. Gartner arriva a parlare di un investimento medio del 30% che sfugge alle mani del CIO. Questo aspetto non è secondario perché oltre a generare un inevitabile aumento dei costi, produce un’entropia informativa a cui difficilmente si può porre rimedio.

Al di là del quasi inevitabile incremento del budget IT all’interno dell’azienda, una possibile soluzione è sicuramente quella di investire nella valorizzazione della funzione del CIO. Molto spesso in Italia, tale figura ha un compito di mera verifica e di compliance, ma non entra nel processo delle decisioni strategiche aziendali e molto spesso le subisce. Questo fatto genera un inevitabile senso di frustrazione che poi si traduce in un atteggiamento censorio e non sinergico. In definitiva, in Italia la figura del CIO è ancora, di fatto, quella di responsabile IT con tutti i relativi limiti fisiologici di una funzione che è entrata a parte dell’organigramma aziendale da troppo poco tempo per assumere la rilevanza che meriterebbe. Da notare, tuttavia, che tale tipo di problematica è in discussione, fuori dal contesto italiano, fin dal 2012.

Inoltre, le realtà aziendali dovrebbero investire sempre più nei Sistemi di Gestione delle Informazioni e degli eventi di Sicurezza (Security Information and Event Management) che permettono una visione più completa e sinergica della sicurezza informatica (o meglio della gestione del dato digitale) delle imprese di medie e grandi dimensioni.

Ci si potrebbe domandare perché in queste sintetiche considerazioni sulla cybersecurity non si è affrontato il tema della compliance legale. La risposta è semplice: a livello italiano e anche europeo stiamo vivendo una situazione di stallo. In attesa del nuovo regolamento sulla privacy proposto nel 2012 e non ancora  approvato, e della direttiva NIS (Network and Information Security) proposta nel 2013 e ancora in discussione, in Italia vigono ancora le regole fissate dal legislatore europeo del 1995 (direttiva 95/46/EC) e recepite dal D.lgs. 196/03 in materia di protezione dei dati personali. In sostanza, la normativa che dovrebbe regolamentare l’esponenziale sviluppo tecnologico degli ultimi 20 anni è stata emanata in un’era geologica in cui per collegarsi ad internet era necessario il modem (per i più giovani il modem era quella strana scatoletta che si collegava al computer con il doppino telefonico e che emetteva rumori sinistri prima di farti accedere al tuo browser).

I provvedimenti del Garante sulla gestione della posta elettronica e internet e quello sugli amministratori di sistema costituiscono un importante vademecum operativo e offrono indicazioni di estrema importanza per il rispetto della normativa in vigore. Tuttavia, la strada da percorrere è ancora lunga e deve essere percorsa avendo bene in mente due regole fondamentali: la prima è che la cultura della sicurezza informatica non può riguardare solo le infrastrutture critiche (centrali elettriche, ospedali o banche), ma deve diventare una priorità anche per le PMI italiane che stanno iniziando a sperimentare quali possano essere i devastanti danni economici e reputazionali di un attacco informatico. La seconda è che la sicurezza informatica deve essere pensata fin dal momento della produzione del software o dell’hardware (security by design) e deve essere il più possibile semplice e immediata per l’utente finale che difficilmente può concepire di perdere tempo a impostare un dispositivo in modo sicuro.

 

Leggi tutto...

Jobs Act: il controllo a distanza dei lavoratori dipendenti

autore:

Giuseppe Vaciago

Con lo schema di decreto legislativo n. 176 relativo alle disposizioni sulla semplificazione degli adempimenti previsti per i lavoratori e per le imprese, in materia di lavoro e di pari opportunità, il Governo ha dettato una revisione dell’art. 4 dello Statuto dei Lavoratori in tema di controlli a distanza del lavoratore dipendente.

 In particolare, l’art. 23 del decreto prevede che l'accordo sindacale o l’intervento dell’Ispettorato del lavoro non siano più necessari per effettuare un’attività di controllo dei lavoratori dipendenti su strumenti come laptop, tablet, cellulari e quant’altro anche se consentano una sorveglianza a distanza dell’attività lavorativa. Tale controllo è limitato esclusivamente a finalità organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale. Solo l’ultima di queste finalità non era presente nella previgente normativa e sarà sicuramente interessante osservare come sarà interpretata dalla giurisprudenza. A ciò si aggiunga che dalla lettura del testo normativo non è chiaro se rientrino negli strumenti aziendali esclusi dall’obbligo dell’accordo sindacale le applicazioni che il datore di lavoro potrebbe chiedere di installare al lavoratore per una mera finalità di controllo e che non rientrino nel concetto di “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”. 

Quanto sopra esposto non vale per quanto riguarda l’installazione degli impianti audiovisivi e degli altri strumenti “tradizionali” di controllo a distanza, che rimangono soggetti agli accordi sindacali o all’autorizzazione del Ministero del Lavoro (questa seconda ipotesi è prevista per le imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni) con l’eccezione degli strumenti di controllo degli accessi e delle presenze.

In ogni caso, sia per i dati raccolti tramite gli strumenti audiovisivi sia per quelli raccolti con gli strumenti come laptop, tablet, ecc., il decreto prevede che il datore di lavoro informi il lavoratore “circa le modalità d'uso degli strumenti e l'effettuazione dei controlli, sempre, comunque, nel rispetto del Codice privacy”. L’aggiunta di quest’ultimo comma ribadisce l’importanza di istituire un regolamento interno sull’uso degli strumenti informatici che è, di norma, presente in azienda ma, spesso, non riesce a stare al passo con i nuovi ritrovati della tecnologia e con la rapidità con cui gli stessi si evolvono. Basti citare l’ambito degli smart-device che stanno sempre più prendendo piede con l’avvento di Internet of Things (IOT) e che spesso non sono ricompresi nella policy aziendale.

L’informativa da dare al lavoratore, non oggetto di interventi da parte dello schema di decreto del Governo, rimane quindi disciplinata, oltre che dalle norme del Codice della Privacy (d.lgs. 196/2003), anche e soprattutto dalle linee guida del Garante per posta elettronica e internet pubblicate sulla Gazzetta Ufficiale n. 58 del 10 marzo 2007, le quali comunque vietano al datore di lavoro: (i) la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori; (ii) la riproduzione e l'eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore; (iii) la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo; (iv) l'analisi occulta di computer portatili affidati in uso.

Le linee Guida del Garante, tuttavia, si limitano a regolamentare il controllo del lavoratore tramite la posta elettronica e l’utilizzo di internet, ma non sono invece relative ai sistemi di geo-localizzazione, il cui utilizzo da parte del datore di lavoro non sarebbe, quindi, ancora oggetto di normazione lasciando a quest’ultimo un potenziale margine di impiego, seppur sempre nel rispetto delle norme del Codice Privacy.

In conclusione, quello che cambia adesso è che il datore di lavoro potrà aumentare l’utilizzo di strumenti di controllo dell’attività del lavoratore senza più essere costretto a raggiungere un previo accordo con le rappresentanze sindacali al riguardo. Tale controllo, tuttavia, sarà limitato pur sempre alla raccolta dei dati di traffico necessari allo stabilire, ad esempio, dove si trova il lavoratore, se sta utilizzando la posta elettronica, oppure se sta accedendo a internet, rimanendo vietata la possibilità di controllare o registrare il contenuto delle comunicazioni o altre informazioni.

Insomma, non una rivoluzione copernicana, ma un sensibile passo in avanti finalizzato a garantire ai datori di lavoro di poter tutelare il patrimonio aziendale, sempre più messo a rischio dal processo di digitalizzazione che consente ad un dipendente di poter racchiudere in una pen-drive di pochi gigabyte l’intero know-how aziendale.

Leggi tutto...

Lo Stato nei PC dei cittadini: legittima compressione della privacy?

autore:

Giuseppe Vaciago

Lo scorso febbraio un avvocato statunitense ha denunciato di essere stato vittima di un’elaborata frode informatica tramite la quale degli hacker sarebbero riusciti a impadronirsi di circa 300 mila dollari sottraendoli dal conto intestato al suo studio professionale (qui la notizia). La frode sarebbe stata perpetrata nel modo seguente: il professionista riceve una email apparentemente spedita da un ufficio postale statunitense; la email contiene delle istruzioni con l’indicazione di aprire un documento allegato per proseguire nella lettura, cosa che il professionista fa cliccando sul documento allegato che si apre dopo essersi scaricato in automatico sul suo computer. Successivamente l’avvocato, dopo essere tornato al lavoro, cerca tramite il suo computer di accedere al conto corrente bancario dello studio, non riuscendoci immediatamente perchè dirottato su un’altra pagina internet che, invece di chiedergli la propria password di accesso (come usualmente richiesto dal servizio bancario online) gli chiede di inserire il suo codice PIN. Contemporaneamente, l’avvocato viene contattato telefonicamente da un signore che si spaccia per un tecnico della banca il quale dice di aver verificato che il professionista ha delle difficoltà di accesso, e gli chiede quindi di ridigitare il suo codice PIN e il suo “token”, cioè un ulteriore codice di sicurezza di solito associato ai servizi bancari online che prevedono trasferimento di denaro; l’operazione tuttavia porta il professionista verso una nuova pagina internet in cui si afferma che il servizio è temporaneamente fuori uso per manutenzione. Due giorni dopo, l’avvocato viene nuovamente contattato dall’apparente tecnico della banca e viene richiesto di ripetere nuovamente l’operazione di inserimento dei codici, venendo però nuovamente informato che il sistema non funzionava e che avrebbe avuto l’accesso disabilitato per 24 ore. Qualche ora dopo, il professionista scopre che dal conto corrente online a cui aveva cercato di accedere erano stati sottratti quasi 300 mila dollari.
Quello che è successo al malcapitato avvocato è un banale caso di phishing dove, tuttavia, i cybercriminali hanno utilizzato uno strumento prodigioso: il key-logger. Cosa è il keylogger? Non è altro che una sorta di “cimice” che, una volta installata occultamente all’interno del computer “bersaglio” supera qualsiasi misura di sicurezza presente sul device e permette di intercettare ogni singolo tasto digitato sulla tastiera del computer da parte dell’utente. Questo tipo di strumento permette di avere un controllo totale sull’attività svolta da un soggetto all’interno del suo personal computer, tablet o smartphone. Da alcuni anni si dibatte a livello politico, legislativo e giudiziario se tale strumento possa essere utilizzato anche dalle forze dell’ordine per poter svolgere la loro attività investigativa. Secondo alcuni, il key-logger non è altro che una “cimice informatica” anche definito “captatore informatico” che potrebbe tranquillamente essere disciplinato dalla normativa relativa alle intercettazioni telematiche e/o ambientali. Secondo altri, invece, il captatore informatico rappresenta un quid pluris, in quanto attraverso il pieno controllo del computer è possibile analizzare le attività svolte dall’indagato per un arco temporale ben più ampio di quello previsto in caso di un’intercettazione telefonica o ambientale.
Si pensi ad esempio ad una persona che non abbia mai cancellato la propria posta elettronica dal 2003: in questo caso, attraverso l’utilizzo del captatore informatico sarebbe possibile ricostruire più di dieci anni di storia della sua vita leggendo le sue email. Qualcuno potrebbe sostenere che attraverso il sequestro del personal computer si ottiene lo stesso risultato. Questo è vero, ma è anche vero che il sequestro è un atto effettuato con la piena consapevolezza dell’indagato e non in modo occulto come invece avviene con il “captatore informatico”.
In questo contesto, il recente disegno di legge “antiterrorismo” teso a “rafforzare gli strumenti di prevenzione delle nuove minacce terroristiche, anche di matrice internazionale” aveva previsto una modifica all’art. 266-bis in tema di intercettazioni telematiche che consentiva “l'impiego di strumenti o di programmi informatici per l'acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico”.
In parole povere, il decreto antiterrorismo aveva inizialmente legittimato l’utilizzo del “captatore informatico” consentendone un ampio utilizzo. L’aspetto più inquietante era che non veniva previsto l’utilizzo di tale strumento per i soli reati con finalità terroristiche, ma per tutti i reati anche quelli comuni come truffa, diffamazione o violazione della privacy (qui un approfondimento).
La previsione normativa è stata osteggiata da alcuni esperti e il Primo Ministro ha suggerito un provvidenziale stralcio posticipando la decisione durante la discussione del disegno di legge in tema di intercettazioni (qui un approfondimento).
Una previsione normativa quindi posticipata, ma che sicuramente dovrà essere presa in seria considerazione nei prossimi mesi. La ragione è semplice: chi combatte il crimine non può avere strumenti tecnologici inferiori a chi li commette. La preoccupazione però è che tali strumenti siano potenzialmente in grado di generare una sorveglianza massiva di portata anche più ampia di quella avuta nel noto scandalo “DataGate”.
In conclusione, ritengo personalmente comprensibile l’esigenza di dotare l’autorità giudiziaria di un key-logger nella fase investigativa a condizione che siano ben definite le tipologie di illecito per cui ne è ammissibile un suo utilizzo e che venga garantita la privacy del cittadino attraverso, ad esempio, la distruzione dei dati non pertinenti alle indagini che potrebbero venire acquisiti attraverso l’utilizzo del captatore informatico.

Leggi tutto...
Sottoscrivi questo feed RSS