amministratore di sistema - principali reati informatici ver.2013
TRANSCRIPT
Amministratore di Sistema AdS
Illustrazione del provvedimento Garante Privacy del 27/11/2008 e dei principali reati informatici
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Argomenti •Definizione di AdS
•Compiti e funzioni degli AdS
•Adempimenti da eseguire
•Registrazione degli accessi
•Principali reati informaticiPasquale Lopriore
Responsabile del Sistema di protezione dei dati personali
Definizione di AdSCodice per la protezione dei dati personali definisce:
Titolare, Responsabile, Incaricato
Manca l'Amministratore di Sistema
Viene definito nel provvedimento del 27/11/2008. L’intento del Garante è quello di ricomprendere tutti i soggetti che hanno un'effettiva capacità di azione sulle informazioni
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Definizione di AdSFigure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.Altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati:•amministratori di basi di dati;•amministratori di reti e di apparati di sicurezza;•amministratori di sistemi software.Devono essere ricompresi anche soggetti che non sono preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo.Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software. (FAQ n.1)
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Definizione di AdSAttività tecniche che comportano il trattamento dei dati personali:•Salvataggio dei dati (backup/recovery);•Organizzazione dei flussi di rete;•Gestione dei supporti di memorizzazione;•Manutenzione hardware.In molti casi un'effettiva capacità di azione su informazioni va considerata a tutti gli effetti alla stregua di un trattamento di dati personali. Anche quando l'amministratore non consulti "in chiaro" le informazioni medesime.
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Valutazione del titolare dei datiValutazione delle attribuzioni di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali.
Responsabilità del titolare dei datiIn caso di incauta o inidonea designazione degli AdS, abbiamo delle responsabilità di ordine penale e civile (artt. 15 e 169 del Codice).
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Adempimenti da adottare1. Valutazione delle caratteristiche soggettive
2. Designazioni individuali
3. Elenco degli amministratori di sistema
4. Verifica delle attività
5. Registrazione degli accessi
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
1. Valutazione delle caratteristiche soggettive- Conoscenza della normativa vigente
- Conoscenza delle best practices di riferimento in materia di gestione “sicura” dei sistemi informatici
- Consapevolezza relativamente ai rischi di sicurezza derivanti da errori/violazioni nell’ambito della gestione dei sistemi
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Applicazione dell’art. 2104 c.c.«Il prestatore di lavoro deve usare la diligenza richiesta dalla natura della prestazione dovuta, dall'interesse dell'impresa e da quello superiore della produzione nazionale. Deve inoltre osservare le disposizioni per l'esecuzione e per la disciplina del lavoro impartite dall'imprenditore e dai collaboratori di questo dai quali gerarchicamente dipende.»
La violazione dell'obbligo di diligenza e dell'obbligo di osservanza comporta l'applicazione di misure disciplinari art. 2106 c.c. e l'obbligo di risarcire i danni subordinato all'esistenza della colpa lieve art. 1229 c.c., e può dar luogo, in casi estremi, al licenziamento (es.: se il lavoratore costantemente, violando istruzioni impartitegli, reca danno all'attività produttiva).
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
2. Designazioni individuali- Specifico atto di per ogni AdS
- Elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato
Separazione della gestione IT in ambiti di operatività
Definizione di profili di autorizzazione
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
3. Elenco degli amministratori di sistema
Redazione di un documento interno:
- Determinazione dei sistemi che trattano dati dei lavoratori
- Aggiornamento dell’elenco degli amministratori
-“Conoscibilità” degli amministratori che operano su sistemi che trattano dati dei lavoratori
Servizi in outsourcing
Acquisizione degli identificativi degli AdS che operano nell’ambito di servizi affidati in outsourcing
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
4. Verifica delle attività - Audit
Almeno cadenza annuale i titolari o i responsabili del trattamento devono verificare le attività degli AdS.
La rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.Non deve essere un controllo sulle attività professionali vietato dall’art. 4 L. n. 300/1970
Adempimenti:
Redazione di un verbale di controllo.Redazione di regole di condotta (Linee guida del Garante per posta elettronica e internet Del. n. 13 del 1° marzo 2007)
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
5. Registrazione degli accessiAdozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.
Le registrazioni (access log) devono avere caratteristiche:•Completezza;•Inalterabilità;•Possibilità di verifica della loro integrità.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
5. Registrazione degli accessiFaq del Garante pubblicate il 25 Maggio del 2010, in merito all’applicazione pratica delle misure da adottare, chiarendo in particolare che: • Non è necessario tracciare tutto quello che fa l’amministratore, ma solo gli eventi di Logon, Logoff e tentativi di accesso. (FAQN° 22)
• Bisogna tenere traccia degli accessi sui server, sui client (FAQ N° 4 ) ed anche sui Database (FAQ N°19)
• Non è necessario tracciare gli accessi degli amministratori agli applicativi (FAQ N°22)
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Reati penaliAccesso abusivo a sistema informatico o telematico (art. 615 ter)
Frode informatica (art. 640 ter)
Danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter)
Danneggiamento di sistemi informatici e telematici (artt. 635 quatere quinques)
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Art. 615-ter Accesso abusivo ad un sistema informatico o telematico.Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a 3 anni.Elemento fondamentale è l’impiego di misure di sicurezza. Anche con l’adozione di una protezione semplice costituita da una parola chiave.
Reato di pericoloIl pericolo è rappresentato dal rischio che chi accede abusivamente al sistema possa impadronirsi o comunque visionare quanto custodito al suo interno.
Si consuma con il semplice accesso al sistema e non con l’utilizzo delle informazioni o disturbando il regolare funzionamento del sistema
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Domicilio informaticoBene tutelato
Riservatezza delle comunicazioni o delle informazioni trasmesse tramite sistemi informatici.
Domicilio informaticoNon può considerarsi una mera specificazione del domicilio tutelato dall’art. 614 c.p., ma deve essere inteso quale proiezione spaziale della persona indicante un nuovo bene protetto.
“Riservatezza informatica”Indisturbata fruizione del sistema informatico o telematico.
(Tribunale di Rovereto sent. 9 gennaio 2004)
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
GiurisprudenzaIl reato di accesso abusivo ad un sistema informatico sussiste ogni volta che vengono sorpassati gli ostacoli che presiedono l’accesso al sistema.
Non presupponendo necessariamente che il reo sia in grado di poter richiamare e disporre dei dati e dei programmi contenuti nel computer violato.
(Tribunale di Bologna Sent. 22/12/2005)
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
GiurisprudenzaAi fini della configurabilità del reato la violazione dei dispositivi di sicurezza non rileva di per sè, ma solo come manifestazione di una volontà contraria a quella di chi dispone del sistema. Ne consegue che commette il delitto di cui all'art. 615 ter c.p. anche colui che, autorizzato all'accesso per una finalità (controllo della funzionalità del programma informatico), utilizzi il titolo di legittimazione per copiare i dati gestiti da detto programma.(Cass. Pen. sez. V, 14 ottobre 2003, n. 44362)
Non costituisce accesso abusivo ai sensi dell’art. 615 ter c.p. la condotta del dipendente, autorizzato all’uso del sistema informatico, che consulta dati relativi ad un settore diverso da quello di sua competenza in assenza di un divieto espresso di accedere a quel determinato settore e in assenza di finalità personale o di terzi estranee all’ente di appartenenza.(Tribunale di Viterbo, sent. del 5 luglio 2005)
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Fattispecie del reato 2 orientamenti giurisprudenziali:
Accesso lecito del soggetto abilitato effettuato per finalità diverse a quelle dell'ufficio e perfino illecite.
Accesso illecito anche chi, autorizzato all'accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa.
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Fattispecie del reatoNuovo orientamento giurisprudenziale
Valutazione non delle finalità ma del dato oggettivo (Cass. S.U. n. 4694/12 del 27 ottobre 2011)
La questione non può essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza dell'agente nel sistema informatico.
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Fattispecie del reatoNuovo orientamento giurisprudenziale
Profilo oggettivo dell'accesso e del trattenimento nel sistema informatico si riscontra:• sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare
del sistema;
• sia quando ponga in essere operazioni ontologicamente diverse da quelle di cui è incaricato ed in relazione alle quali l'accesso era consentito.
Il dissenso del dominus ioci viene desunto dalla oggettiva violazione delle disposizioni del titolare in ordine all'uso del sistema.
((Cassazione Pen. n° 15054 del 18.04.2012)
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Frode informatica (art. 640 ter c.p.)
“chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o
intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un
sistema informatico o telematico o ad esso pertinenti, procura a se o ad altri un ingiusto profitto con
altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 516 a euro 1032. La
pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1549 se ricorre una delle
circostanze previste dal n.1 del secondo comma dell’art. 640 ovvero se il fatto è commesso con abuso
della qualità di operatore del sistema. […]
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Frode informatica (art. 640 ter c.p.) - Fattispecie del reato
La norma individua due precise condotte criminose (Cass. Pen. 24 febbraio 2011, n. 9891):
1.Alterazione (sia hardware che software) del funzionamento di un sistema informatico/telematico;
2.L’intervento senza diritto in qualunque modo su dati, informazioni o programmi contenuti in un sistema informatico/telematico , procura a sé o ad altri un ingiusto profitto con danno altrui.
Tali condotte devono procurare a se o ad altri un ingiusto profitto con danno altri (a differenza dei Delitti di danneggiamento informatico (artt. 635 bis - ter - quater - quinquies c.p.)
Il reato si consuma nel momento in cui l’agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui (Cass. pen. 3065/1999)
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Frode informatica (art. 640 ter c.p.) - Modalità operative
Le modalità operative della condotta in esame possono essere differenti interventi criminosi:
•intervento sui dati inseriti nel computer. I dati potrebbero essere manipolati dal soggetto attivo (alterazione o immissione abusiva). In questo caso esiste concorso di reato con l’art. 491bis (delitto di falso informatico);•intervento sul programma operativo del sistema.Il <<software>> viene alterato affinché il computer (o il sistema) operi in modo differente da come è stata progettata al fine di compiere illeciti (frodi);•intervento sulle informazioni, ovvero sulla correlazioni fra i dati contenuti in un elaboratore o in un sistema.
La detenzione delle password, che consente l'accesso al sistema informatico senza manometterlo, non determinano "il diritto" di modificare i dati presenti (es. la posizione contributiva dei contribuenti effettuando degli sgravi non dovuti e non giustificati dalle evidenze in possesso dell'Agenzia delle Entrate) (Cass. Pen. n° 13475 del 22.03.2013)
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter)
Chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. (Art. 635 BIS)Se utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. (Art. 635 TER)Si prevede come aggravante se il fatto è commesso con abuso della qualità di operatore del sistema.
Il delitto di danneggiamento tutela il diritto all’integrità delle cose mobili e immobili altrui, nella struttura o nella loro utilizzabilità, dalle aggressioni che ne determinano la distruzione, la dispersione, il deterioramento o l’inservibilità.Nell’intento di reprimere la violenza informatica sono state, altresì, introdotte quattro peculiari fattispecie criminose che puniscono le condotte di danneggiamento lesive di informazioni, dati e programmi informatici, nonché di sistemi informatici o telematici.
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
GiurisprudenzaSussiste il reato di danneggiamento informatico anche quando i file cancellati possono essere recuperati.La locuzione 'cancellazione' deve essere interpretata - dice la Cassazione - nella accezione informatica e non semantica del termine, ossia come la "rimozione da un certo ambiente di determinati dati, in via provvisoria attraverso il loro spostamento nell'apposito cestino o in via 'definitiva' mediante il successivo svuotamento dello stesso".Del tutto irrilevante, ai fini della sussistenza del reato, il fatto che i files cancellati possano essere recuperati ex post attraverso una specifica procedura tecnico-informatica.Cass., Sez. V, 18 novembre 2011
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali
Grazie per l’attenzione
Pasquale Lopriore Responsabile del Sistema di protezione dei
dati personali