Misure di sicurezza: vecchie conoscenze

Misure di sicurezza: vecchie conoscenze

 

Violazioni di sicurezza e data breach sono rispettivamente la causa e l’effetto aventi ad oggetto dati personali di diversi titolari di caselle PEC (“[…] numerosi casi di data breach notificati al Garante da diversi titolari di caselle PEC”). Questo è quanto riportato nel Provvedimento del Garante per la protezione dei dati personali (“Garante”) del 18 dicembre 2019, reso noto ai più solo lo scorso 6 marzo per impedire che “le vulnerabilità rilevate potessero essere sfruttate da eventuali malintenzionati” (doc. web n. n. 9283040, “Provvedimento”).

Volendo anticipare l’esito della vicenda, ecco la lieta notizia: “La società ha dichiarato di aver adempiuto, nei termini previsti, alle prescrizioni impartite” (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9283047#1).

Ciò detto, di seguito si esamina il Provvedimento che potrà certamente essere utile nel definire le misure minime di sicurezza, alcune delle quali già note – qualcuno ricorderà l’Allegato B al Codice Privacy (D.lgs. 196/2003) che chiedeva espressamente il cambio password al primo utilizzo[1], il cambio password periodico, e l’assegnazione di credenziali individuali[2] – altre, invece, sensate e basilari best practices di sicurezza.

 

Le non conformità riscontrate e le norme violate

Come detto, il caso in esame si presta ad essere un utile strumento per l’identificazione di misure di sicurezza alla luce delle criticità rilevate:

  1. definizione della password di accesso alla casella di PEC dal Partner di Aruba PEC S.p.a. ed invio in chiaro sulla casella di posta ordinaria del titolare della PEC;
  2. password sprovvista di requisiti di complessità – oltre al numero minimo (di 8) di caratteri – e di necessario aggiornamento periodico;
  3. non obbligatorietà di cambio password al primo utilizzo;
  4. possibilità di consultare ed esportare i log dei messaggi di circa 6,5 milioni di casella di PEC, peraltro mediante l’uso di una utenza condivisa e non individuale, che non consente quindi di attribuire le azioni compiute ad un determinato soggetto, impedendo, in primis alla stessa Aruba PEC, di controllarne l’operato;
  5. memorizzazione, in file di log, di informazioni ultronee e non necessarie alle normali e giustificate istanze di controllo e sicurezza privacy e IT, con conseguente duplicazione dei dati personali ed aumento delle probabilità di violazione degli stessi;
  6. memorizzazione all’interno di file di log di credenziali di autenticazione,

contrarie all’art. 32 e ai principi privacy di minimizzazione e di riservatezza di cui all’art. 5 del Regolamento UE 679/2016 (“GDPR”).

 

Le azioni di compliance e le relative misure di sicurezza prescritte dal Garante

Per arginare ed eliminare le suddette violazioni privacy e criticità riscontrate, il Garante ha prescritto l’adozione delle seguenti misure di sicurezza:

  1. invio di una comunicazione agli intestatari delle 559.151 caselle di PEC per procedere con la modifica della password assegnata dal Partner di Aruba PEC S.p.a.;
  2. adozione di una procedura per la modifica obbligatoria della password;
  3. inibizione alle utenze con profilo autorizzativo elevato e non necessario;
  4. assegnazione di utenze individuali e ad uso esclusivo;
  5. la ridefinizione dei file di log in modo da escludere il tracciamento delle credenziali di autenticazione di utenze tecniche e di altre informazioni non indispensabili e non necessarie;
  6. la modifica delle password riportate nei file di log.

 

Sul punto non si può tuttavia non notare come alcune misure di sicurezza erano già richiamate dall’abrogato Allegato B.

  

Le sanzioni amministrative (riserva)

Contrariamente agli ultimi provvedimenti pubblicati dal Garante, come i più famosi emessi nei confronti di TIM S.p.a.[3] ed ENI Gas e Luce S.p.a.[4], il Garante valuterà, con successivo provvedimento, “… ulteriori aspetti del trattamento dei dati svolto da Aruba PEC S.p.a., nonché il complesso delle violazioni rilevate”. Capiremo quindi solo in futuro se e quanto costeranno le suddette violazioni di sicurezza.

   

Suggerimenti per generare e utilizzare password più sicure

Prima di tutto, occorre verificare le password utilizzare e cambiarle se non lo si è mai fatto prima (o di recente) o se risultano poco complesse.

Ecco alcuni semplici accorgimenti da seguire:

  • utilizzare caratteri speciali e numeri;
  • non utilizzare password deboli, come quelle facilmente riconducibili alla propria persona, evitando quindi l’uso del proprio nome e cognome, l’impresa per cui si lavora, nonché l’uso della stessa password nel tempo (come, “azienda1”, “azienda2”, “azienda3”);
  • non comunicare a terzi le proprie credenziali di autenticazione o, in tali casi, provvedere immediatamente al loro aggiornamento;
  • aggiornare periodicamente le password (ad esempio, 3-4 volte l’anno), oltre che in caso di incidenti di sicurezza o se si sospettano violazioni, accessi non autorizzati;
  • non utilizzare la stessa password per accedere ai diversi applicativi/strumenti/database/social network/servizi;
  • ove sia necessario comunicare le proprie credenziali a terzi, fornire la password e il codice identificativo con canali diversi (es.: l’username via e-mail/in file zippato, la password con sms);
  • utilizzare password manager per la conservazione e un uso più sicuri.

 

Si ricordano inoltre i consigli flash per tutelare la tua privacy con buone password[5] e la Guida all’applicazione del GDPR[6] del Garante (cfr. sezione “Approccio basato sul rischio e misure di accountability (responsabilizzazione) di titolari e responsabili).

 

 

[1] Punto 5 dell’abrogato Allegato B al Codice Privacy (D.lgs. 196/2003) recitava: “La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri … essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi”.

[2] Punto 3 dell’abrogato Allegato B al Codice Privacy (D.lgs. 196/2003) recitava: “Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione”, e Punto 6 del medesimo: “Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi”.

[3]Provvedimento correttivo e sanzionatorio nei confronti di TIM S.p.A. – 15 gennaio 2020 [9256486]: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9256486

Provvedimento correttivo e sanzionatorio nei confronti di TIM S.p.A. – 9 gennaio 2020 [9263597]: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9263597

[4] Provvedimento correttivo e sanzionatorio nei confronti di Eni Gas e luce S.p.a. – 11 dicembre 2019 [9244358]: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9244358

[5] https://www.garanteprivacy.it/documents/10160/0/Consigli+flash+per+tutelare+la+tua+privacy+con+buone+password.pdf/3af66017-7a4a-4a18-895e-ce94e2522cee?version=1.3

[6] https://www.garanteprivacy.it/regolamentoue/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabili#misure