15 ottobre 2013 cyber risk: internal investigation e ...€¦ · le violazioni degli articoli 4 e 8...
Post on 23-May-2020
8 Views
Preview:
TRANSCRIPT
15 Ottobre 2013
Cyber Risk: Internal investigation e digital
forensics nel rispetto della normativa in vigore
Giuseppe Vaciago
Alcuni dati: un primato europeo
In Italia vi sono 38.4 milioni di utenti nella fascia 11-74 anni con accessocontinuo ad Internet, e quasi 20 milioni in grado di connettersi con unosmartphone o tablet (Fonte: Audiweb Trends, 2013). Il 44% dei pc italiani sonoattaccati da malware contro il 20% di quelli danesi (Fonte: Kaspersky Lab).
Alcuni dati: un’analisi degli attacchi
Il rapporto Clusit 2013 identifica un rapido cambiamento del t rend:iniziano ad essere colpiti tutti i settori industriali e non solo più il settoregovernativo o quello dell’industria multimediale
Alcuni dati: un’analisi degli attacchi
Aumentano gli attacchi per finalità di cybercrime rispetto agli attacchi degliattivisti. 1 attacco su 2 è non è per finalità dimostrative.
Alcuni dati: tipologie di attacchi
Attività fraudolente poste in essere da insider e outsider
Attività fraudolente poste in essere da insider e outsider
Attività di “phishing”Attività di “phishing”
Furto di dati confidenziali, furto di
dati e spionaggio industriale
Furto di dati confidenziali, furto di
dati e spionaggio industriale
Accessi non autorizzati da parte
dei lavoratori
Accessi non autorizzati da parte
dei lavoratori
Accessi non autorizzati da parte di esterni (hacking)
Accessi non autorizzati da parte di esterni (hacking)
Violazioni contrattualiViolazioni
contrattualiDiffamazione e
molestie sessualiDiffamazione e
molestie sessuali
Acquisizione e commercio di
materiale pornografico e
pedopornografico
Acquisizione e commercio di
materiale pornografico e
pedopornografico
Furto di codici di accesso e pirateria
informatica
Furto di codici di accesso e pirateria
informatica
Modifica non autorizzata di dati (virus, cavallo di
Troia, etc.)
Modifica non autorizzata di dati (virus, cavallo di
Troia, etc.)
Furto di risorse informatiche
aziendali per fini personali
Furto di risorse informatiche
aziendali per fini personali
Denial of ServicesDenial of Services
Abuso dell’utilizzo della posta
elettronica e di internet
Abuso dell’utilizzo della posta
elettronica e di internet
Violazione di policy e regolamenti
aziendali
Violazione di policy e regolamenti
aziendali
Alcuni Casi: La “banda della firma digitale”
Un imprenditore “perde” la sua azienda perché il truffatore usando la suasmart card cede a sé stesso e al suo coimputato la totalità delle quotesociali.
Ciò avviene perché il truffatore ottiene la firma digitale dell’imprenditoreincarica uno studio commercialista che facendone richiesta a suo nomenon è tenuto a portare con sé l’imprenditore al momento della consegna.
Alcuni Casi: “Social Botnet”
Da una approfondita indagine dell’FBI emerge che nel 2012 più di 11milioni di utenti di Facebook sono rimasti affetti da un particolare malwarein grado di fare un danno di circa 850 milioni di dollari .
Social Media Security and Big Data
Behavioral security
BYOD e Consumerization
Perdità del controllo dei device aziendali+
Aumento del rischio di introduzione di malware=
Aumento del rischio di perdita di dati aziendali
Lontano da occhi indiscreti…
Sicurezza fisica del device
Sicurezza fisica del device
Security by Design Privacy by DesignV. ?
Alcuni Casi: Una esemplificazione
Normativa su “protezione cibernetica”: Awareness
DPCM 24 gennaio 2014 Direttiva recante indirizzi per laprotezione cibernetica e la sicurezza informatica nazionale.
I fornitori di connettività e i gestori delle infrastrutture critiche di rilievo nazionaledevono comunicare al Nucleo per la Sicurezza Informatica (CISR - ComitatoInterministeriale per la Sicurezza della Repubblica, AISE - Agenzia Informazioni eSicurezza Esterna, AISI - Agenzia Informazioni e Sicurezza Interna e NISP - NucleoInterministeriale Situazione e Pianificazione) ogni significativa violazione dellasicurezza o dell'integrità dei propri sistemi informatici , utilizzando canali ditrasmissione protetti
Provvedimento Generale del Garante del 4 aprile 2013 – Obbligoper ISP e TELCO di segnalazione di Data Breach
I fornitori di servizi di comunicazione elettronica hanno l’ obbligo di segnalareal Garante Privacy ogni violazione subita e, in talune ipotesi, di avvertire,successivamente gli interessati cui i dati si riferiscono.
Alcuni dati: statistiche ABI Lab
Alcuni dati: statistiche ABI Lab
Digital e Corporate Forensics
In questo contesto, la diventa sempre più necessario ricercare all’interno deisistemi informativi della banca (corporate forensics ) e del cittadino (digitalforensics ) la prova digitale utilizzabile nel successiva fase giudiziale (penale,civile e amministrativa).
La prova digitale è qualunque informazione generata, memorizzata otrasmessa attraverso uno strumento elettronico che possa essere ammessa ingiudizio (Fonte: Digital Forensics Guide - Council of Europe - 2013).
Autentica: non deve
subire alcuna
alterazione
Autentica: non deve
subire alcuna
alterazione
Ammissibile: essere
utilizzabile in giudizio
come fonte di prova
Ammissibile: essere
utilizzabile in giudizio
come fonte di prova
Proporzionale: ossia
rispettare I diritti
fondamentali
Proporzionale: ossia
rispettare I diritti
fondamentali
“Credibile”:Facilmente
comprensibile
dall’autorità giudiziaria
“Credibile”:Facilmente
comprensibile
dall’autorità giudiziaria
Sistema di Gestione della Digital Forensics
È necessario un sistema di gestione con un approccio di tipo preventivorispetto alle esigenze di investigazione informatica, fondato su 4 presupposti:
Monitoraggio e analisi
dell’evoluzione normativa
Pianificazione periodica di
attività di assessment
Progettazione e erogazione di iniziative di
training
Formalizzazione delle procedure
in caso di incidenti IT
Digital Forensics preventiva: esempio pratico
Fonte di prova Tempi di conservazione
Luogo e modalità di conservazione
Copie di backup
Note
CCTV 72 oreRegistrazione su server dedicato
No
Tempi di conservazione compliant con Garante Privacy
Log di accessoapplicazione X
6 mesi log in e log out
Registrazione su log server “xyz”
Si – Copienotturne
registrazione su nastro
Tempi di conservazione compliant con Garante Privacy
1 mese log in utenti generici
Registrazione in locale su application server
No
Mappatura (asset inventory) delle fonti di prova di gitale
La compliance nelle investigazioni difensive
Investigazioni difensive
Investigazioni difensive
Complianceprogram
(D.lgs. 231/01)
Complianceprogram
(D.lgs. 231/01)
Linee Guida di categoria
Linee Guida di categoria
Sistema di gestione della sicurezza delle
informazioni
Sistema di gestione della sicurezza delle
informazioniISO/IEC
27037, 27041, 27042 e 27043
ISO/IEC 27037, 27041, 27042 e 27043
Codice Privacy e
Provvedimenti Garante Privacy
Codice Privacy e
Provvedimenti Garante Privacy
Internal Investigation e Digital Forensics
LA NORMATIVA IN VIGORE
I limiti legali delle investigazioni difensive
Investigazioni difensive
Artt. 113 e 114 Codice Privacy
I “controlli difensivi”
Utilizzabilità in ambito penale
Utilizzabilità in ambito civile
La digital evidence in ambito civile
Nel processo civile, il giudice fonda il proprio convincimentosulla base delle prove a fondamento dei diritti e delleeccezioni reperite e prodotte dalle parti .
Le riproduzioni informatiche di fatti e di cose formano pienaprova dei fatti e delle cose rappresentate, se colui contro ilquale sono prodotte non ne disconosce la conformità aifatti o alle cose medesime.
Ove disconosciute, esse conservano il valore probatorio diun semplice elemento di prova , liberamente valutabile dalgiudice.
Solo nel rito del lavoro , le prove a fondamento dei diritti edelle eccezioni devono essere cercate e prodotte dalleparti, ma il giudice ha poteri istruttori non previsti nel ritoordinario
La digital evidence in ambito penale
La prova in sede penale è valutata liberamentedall’organo giudicante e viene raggiunta a seguito delgiudizio come disciplinato dal codice di procedura penale.
La legge 48/2008 si è posta il problema della peculiaritàdelle tradizionali attività di ricerca dei mezzi di prova(ispezioni, perquisizioni, sequestri e accertamenti urgenti),in relazione alle prove digitali, prevedendo l’adozione dimisure tecniche dirette ad assicurare la conservazionedei dati originali e a impedirne l’alterazione .
I mezzi di ricerca della prova sono strumenti di indagine adisposizione del pubblico ministero e in via residualedella polizia giudiziaria , ma anche al difensoredell’indagato e della parte offesa è concessa la facoltà dicompiere indagini difensive, anche in ottica preventiva.
Art. 113 D.lgs. 196/03 e art. 4 Statuto Lavoratori
È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controlloa distanza dell'attività dei lavoratori a meno che non siano richieste da:
Esigenze organizzative Esigenze produttive
Esigenze di sicurezza
CONTROLLI LEGITTIMI O PRAETERINTENZIONALI
Previo accordo con RSA e in difetto di accordo su istanza del datore di lavoro e provvedimento dell’ispettorato del lavoro
Art. 114 D.lgs. 196/03 e art. 8 Statuto Lavoratori
È fatto divieto al datore di lavoro, ai fini dell'assunzione, come nelcorso dello svolgimento del rapporto di lavoro, di effettuare indagini,anche a mezzo di terzi su:
1. Opinioni politiche, religiose o sindacali del lavoratore.
2. Su fatti non rilevanti ai fini della valutazione dell'attitudineprofessionale del lavoratore.
Art. 171 D.lgs 196/03 e art. 38 Statuto Lavoratori
Le violazioni degli articoli 4 e 8 comportano:
Ammenda da € 154,95 a €1549,5 o arresto da 15 giorni ad unanno.
Nei casi più gravi le pene dell'arresto e dell'ammenda sonoapplicate congiuntamente.
Se il giudice ritiene l’ammenda troppo bassa ha facoltà diaumentarla fino al quintuplo.
Nei casi più gravi l'autorità giudiziaria ordina la pubblicazionedella sentenza penale di condanna
I controlli difensivi
La giurisprudenza ha introdotto con i controlli difensiviuna ulteriore ipotesi di non applicazione del divietodell’art. 4 dello Statuto dei Lavoratori:
“ devono ritenersi certamente fuori dall ’ ambito diapplicazione dell’art. 4 Statuto dei Lavoratori i controllidiretti ad accertare condotte illecite del lavoratore(c.d. controlli difensivi), quali, ad esempio, i sistemi dicontrollo dell’accesso ad aree riservate, o appunto gliapparecchi di rilevazione di telefonate ingiustificate”.
Investigazioni difensive in ambito penale
L’attività principale riconosciuta dall’art. 327-bis c.p.p., è senza dubbiol’assunzione di informazioni da soggetti che possono rendereinformazioni utili all’indagine.
Tuttavia, è prevista dall’art. 391-sexies anche la possibilità di effettuare unsopralluogo e di redigere un verbale che documenti l’attività svolta. Inquesta attività investigativa, potrebbe rientrare l’accesso a un sistemainformatico aziendale da parte di un consulente tecnico nominatodall’avvocato, finalizzato a controllare la commissione di eventuali illeciti daparte del lavoratore.
È importante rilevare che, ai sensi dell’art. 391-decies, qualora l’attività siaqualificabile come accertamento tecnico non ripetibile ex art. 360 c.p.p., ildifensore ha il dovere di darne avviso, senza ritardo, al pubb licoministero . La dottrina si è interrogata molte volte sulla ripetibilità o menodell’analisi forense di un sistema informatico .
La società Marsh S.p.A. attraverso la società di investigazionetedesca Kroll Ontrack GMBH effettuava un controllo sulla postaelettronica del lavoratore senza alcun avviso. Il dipendente ricorreal Garante della Privacy e la società si difende sostenendo che:
1. Era specificato nel Manuale sulla privacy l’esclusione per finipersonali dell’utilizzo della e-mail aziendale2. Era stato espletato in forza “sia dalla legislazione americanache impone alle aziende accertamenti di tal specie in relazione apresunti illeciti penali commessi dal top management (SarbanesOxley Act–Sox), sia dalla legislazione italiana, che prevedesanzioni per le imprese che non vigilino sull'osservanza di modelliorganizzativi volti a prevenire la commissione di specifici reati daparte degli stessi vertici aziendali (d.lg. n. 231/2001)””””
Garante Privacy: Caso “Marsh”
Il Garante accoglie il ricorso del dipendente in quanto il principiodi correttezza comporta l'obbligo, in capo al titolare deltrattamento, di indicare chiaramente agli interessati lecaratteristiche essenziali del trattamento e l'eventualità checontrolli da parte del datore di lavoro possano riguardare glistrumenti di comunicazione elettronica, ivi compreso l'account diposta (Caso Copland in UK).
Nel caso di specie, tale principio impone di renderepreventivamente e chiaramente noto agli interessati se, in chemisura e con quali modalità vengono effettuati controlli ai sensidelle linee guida del Garante della Privacy del 1/3/2007 .
In sostanza, il Garante impedisce ogni ulteriore utilizzo dei dati,salva la loro conservazione per la tutela di diritti in sedegiudiziaria nei limiti di cui all'art. 160, comma 6 del Codic e.
Garante Privacy: Caso “Marsh”
La società Telepost licenzia un dipendente che aveva all’interno delsuo notebook aziendale file contenenti materiale pornografico.L’azienda accede all’hard disk in sua assenza e con l’ausilio di unconsulente tecnico terzo, dopo aver inviato solo il giorno prima lanormativa per l'utilizzo dei servizi informatici.
Il Garante accoglie il ricorso sostenendo che la società ha esperito ilcontrollo informatico in assenza di una previa idonea informativaall'interessato relativa al:
• trattamento dei dati personali (art. 13 del Codice)
• modalità da seguire per gli stessi (presenza dell'interessato, dirappresentanti sindacali, di personale all'uopo incaricato)
Garante Privacy: Caso “Telepost”
Linee Guida Garante Privacy su posta elettronica e internet
I datori di lavoro privati e pubblici devono indicarechiaramente le modalità di uso degli strumenti elettronicimessi a disposizione e se e in che misura e con quali modalitàvengono effettuati controlli
Divieti (es. file-sharing o downloading di mp3 e
software illegale)
Posta privata: come (webmail o client?) e
quando ?
Memorizzazione di dati (es. log file): quali e per quanto
tempo ?
Controlli del datore di lavoro: specifici con indicazione dei
tempi
I datori di lavoro devono adottare e pubblicare un disciplinareinterno e adottare misure di tipo organizzativo affinché:
� si proceda ad un’attenta valutazione dell’impatto sui diritti deilavoratori;
� si individuino preventivamente i lavoratori cui è consentitol’utilizzo di internet e della posta elettronica;
� si individui quale ubicazione è riservata alle postazioni di lavoroper ridurre il rischio di impieghi abusivi.
Linee Guida Garante Privacy su posta elettronica e internet
È vietato il trattamento di dati personali da parte dei datori di lavoromediante software e hardware che mirano al controllo a distanza deilavoratori attraverso:
� la lettura sistematica dei messaggi di posta elettronica;
� memorizzazione riproduzione delle pagine web visionate dallavoratore;
� la lettura e la registrazione dei caratteri inseriti tramite la tastiera;
� l’analisi occulta dei computer portatili affidati al lavoratore.
Linee Guida Garante Privacy su posta elettronica e internet
In ogni caso tutti i trattamenti devono rispettare i principi di:
PERTINENZA
Divieto di un'ingiustificatainterferenza sui diritti e sulle libertàfondamentali di lavoratori
NECESSITÀ
Elenco di siti attendibili Filtri inseriti su black list (download Anonimizzazione dei log fileRetention limitate file
CORRETTEZZA
Le caratteristiche essenziali deitrattamenti devono essere resenote ai lavoratori
NON INVASIVITÀ
Monitoraggio effettuato solo su soggetti a rischio ed effettuato nel rispetto del principio della segretezza della corrispondenza
Linee Guida Garante Privacy su posta elettronica e internet
Giurisprudenza penale su art. 616 c.p.
“Non incorre nel reato di cui all’art. 616 c.p. il datore di lavoro chelegge le e-mail aziendali dei propri dipendenti se esiste unregolamento dettato dall’ impresa che impone la comunicazionedella password del PC” (Cass. Pen., Sez. V, 11/12/2007, n. 47096)
“ L ’ indirizzo aziendale, proprio perché tale, può essere nelladisponibilità di accesso e lettura da parte di persone diversedall ’ utilizzatore consuetudinario a prescindere dalla identità odiversità di qualifica o funzione” (Tribunale di Milano, 10/5/2002)
“Il dipendente che utilizza la casella di posta elettronica aziendale siespone al rischio che anche altri della medesima azienda possanolecitamente accedere alla casella in suo uso previa acquisizionedella relativa " password” (Tribunale Torino, 15 settembre 2006)
Giurisprudenza civile su controlli difensivi
“Non sono utilizzabili a fini disciplinari i dati acquisiti mediante programmiinformatici che consentono il monitoraggio della posta elettronica e degliaccessi Internet dei dipendenti, sul presupposto che gli stessi consentono aldatore di lavoro di controllare a distanza ed in via continuativa l'attivitàlavorativa durante la prestazione, e di accertare se la stessa sia svolta intermini di diligenza e corretto adempimento” (Cassazione civile sez. lav.,23/2/2010, n. 4375)
“Non sono utilizzabili i programmi informatici che consentono il monitoraggiodella posta elettronica e degli accessi ad Internet violano, da un lato, l'art. 8st. lav., posto che il monitoraggio e la conservazione per un certo lasso ditempo dei dati acquisiti può concretare trattamenti dei dati sensibili checonsentono al datore di lavoro di acquisire indicazioni sulle "opinionipolitiche, religiose o sindacali" del singolo dipendente"; dall'altro, l'art. 4 dellostesso statuto, ove non sia attivata la procedura prevista per l'installazionedelle apparecchiature necessarie per soddisfare esigenze aziendali (C. App.Milano, 30/09/2005)
Conclusioni
Quadro normativo e giurisprudenziale caotico : dall’art. 4 StatutoLavoratori alle Linee Guida del Garante Privacy del 1 marzo 2007, daiProvvedimenti del Garante Privacy alle decisioni della Corte diCassazione civile e penale.
Il D.lgs. 231/01 rischia di essere in contrasto con quanto st abilito dalGarante Privacy rendendo difficile la redazione del modello diorganizzazione gestione e controllo.
La digital forensics , riveste e rivestirà sempre di più un ruolo difondamentale importanza per garantire la corretta cristallizzazione dellaprova digitale che dovrà essere successivamente prodotta in giudizio.
giuseppe.vaciago@replegal.ithttp://it.linkedin.com/in/vaciago
https://twitter.com/giuseppevaciago
Grazie per l’attenzione
top related