Garante e Amministratori di Sistema: le criticità

di Andrea Buti (www.tglex.com) - No all'outsourcing? Come verificare l'integrità dei file di log? Cosa comporta nominare un Amministratore senza valutarne le caratteristiche? Le questioni che restano insolute

Roma - Al seminario dello scorso 24 aprile svoltosi presso l'Università La Sapienza dal titolo "Massima trasparenza sull'operato degli amministratori di sistema", sono state definite così definite quelle questioni rimaste prive di una chiara risposta, suscitate dal recente provvedimento del 27 novembre.

Tra i partecipanti ricorreva soprattutto il quesito relativo all'indicazione (punti 4.2. e 4.3 del provvedimento) del nominativo degli A.D.S. "stranieri" ed alla loro designazione personale. La domanda, che ha cominciato ad aleggiare durante il coffee break, è stata ufficialmente riproposta anche nel question time, ma non ha ricevuto una puntuale risposta dal rappresentate del Garante che aveva illustrato la prima relazione. Lo stesso ha infatti riconosciuto, appunto, che si trattava di una "criticità". In pratica non è per niente chiaro come potrebbe il titolare ottenere o imporre la collaborazione ai propri partner stranieri al fine di ricevere l'elenco di tutti gli amministratori di sistema che mettono le mani sui dati. Se si considera, poi, che la figura dell'A.D.S. pare essere incarnata anche dall'amministratore della base di dati (e dunque non solo da un sysadmin o sysop), la problematica è tutt'altro che di facile risoluzione. A meno che non si voglia considerare (come è stato esplicitamente rilevato) che il provvedimento del Garante non imponga - di fatto (!) - di rivolgersi solo ad amministratori di sistema italiani o che comunque siano soggetti alla legge italiana... Un bel problema per tutti quei titolari che hanno optato per servizi in outsourcing, gestiti da soggetti collocati al di fuori dei confini del territorio nazionale.

Anche la questione dei file di log è parsa questione "critica": da un lato, infatti, si è sostenuto che si tratterebbe "solo" dei dati di accesso che verrebbero comunque registrati in automatico da un qualunque sistema operativo (quali, come, quando?), mentre dall'altro, il testo del provvedimento sembra sufficientemente ampio da potervi includere la registrazione di eventi (shutdown anomali, modifica delle password etc..). Ma il problema più evidente è quello relativo alla loro completezza ed integrità: in mancanza di soluzioni ad hoc, come si può dimostrare che in effetti i dati di log sono quelli effettivi? Insomma, se la copia viene fatta dopo che qualche riga di log è "sparita", è chiaro che la cosa serve a poco.
È stato più volte ribadito che il provvedimento in questione era solo un "atto di indirizzo" e quindi tutto sommato privo di un efficacia precettiva su questioni specifiche e tecniche, ma, alla fine, rischia di non essere né carne...né pesce.. Con riguardo ai file di log avrebbe avuto un senso, ad esempio, suggerire (visto che la funzione del provvedimento non sembra essere quella di obbligare all'utilizzo di soluzioni preconfezionate) l'adozione si sistemi che consentano il riversamento automatico dei dati con un timing piuttosto ristretto, ed in archivi crittografati non accessibili all'A.D.S. stesso, considerato che il provvedimento si riferisce esplicitamente a "completezza, inalterabilità e possibilità di verifica della loro integrità".

Un'ultima notazione: il provvedimento è rivolto ai titolari (e/o responsabili) e non agli amministratori che, invece, ne subiranno solo gli effetti. Certo che la nomina di un A.D.S. dovrebbe essere tutt'altro che una formalità. Ove, infatti, si proceda a nominare un A.D.S. un po' troppo "alla leggera" (ossia senza valutare "le caratteristiche di esperienza, capacità e affidabilità del soggetto designato"), si vanificherebbe il tutto, con conseguenze affatto gradevoli, considerato il richiamo esplicito (seppure tra parentesi) alla due diligence e ad eventuali responsabilità penali di cui all'art. 169 del codice.

Quest'ultimo riferimento è preoccupante: visto che tale articolo prevede il reato di omissione di misure di sicurezza minime, verrebbe da pensare che l'omissione o non corretta nomina degli A.D.S. (e le falle dell'organizzazione relativa...) sia una misura minima. Ciò non è scritto, invece da nessuna parte: né nell'allegato "B" né altre norme impongono infatti la nomina di A.D.S. come misura minima, ergo, il richiamo alla responsabilità penale lascia piuttosto perplessi. Anche perché in materia penale vige il principio di tassatività: il potenziale reo deve conoscere la norma a cui dovrebbe uniformare il suo comportamento, ma se la norma non c'è, come fa?
Discorso diverso per la responsabilità civile; in questo caso gli errori nella nomina di A.D.S. e connessi, potrebbero davvero essere forieri di responsabilità (danni e quant'altro).
Ma allora si tratterebbe di una misura "idonea" (per cui non c'è penale) e non di una misura "minima"...
Chissà che non intervenga qualche modifica, prima della definitiva entrata in vigore..?

Avv. Andrea Buti
www.tglex.com

I precedenti interventi di A.B. su PI sono reperibili a questo indirizzo
23 Commenti alla Notizia Garante e Amministratori di Sistema: le criticità
Ordina
  • Vorrei precisare che il provvedimento in esame non è nè una misura minima (con responsabilità penali in caso di omissione) nè una misura idonea (con responsabilità civilistiche in caso di omissione), bensì è una misura c.d. "necessaria" (art. 154, comma 1, lett. c) sanzionabile ai sensi dell'art 162 comma 2 ter
    non+autenticato
  • ... un'altra mazzata alla competitività !
    Ma quando capiranno che questi garanti NON solo sono inutili, ma assolutamente dannosi per collettività, aziende e persino per l'effetto serra. I trilioni di tonnellate di carta che, solo in Italia, sono necessarie per adempiere alle stupidissime ed inutili norme sulla privacy costituiscono un costo pesantissimo per le imprese che sono costrette a far firmare ai Clienti decine e decine di pagine anche solo epr aprire un conto corrente !
    E poi perché queste cose accadono solo in Italia... perché NON c'è una norma simile sugli Amministratori di Sistema in Francia o Germania ?
    Spero ora sia chiaro a tutti perchè in quanto a burocrazia le classifiche internaziali vedono l'Italia salire sampre più in alto, mentre in quanto a libertà economica caliamo sempre più in basso !
    Adesso veramente è giunta l'ora di finirla con queste caz.... altrimenti i Cittadini cominceranno ad inc...... sul serio !
    non+autenticato
  • il grosso problema qui e' che questi provvedimenti sembrano pensati per grosse organizzazioni, mentre la maggior parte della realta' industriale o di servizi italiana e' composta da microditte sotto i 15 dipendenti, magari con 2 computer dove un paio di persone fanno tutto il lavoro di ufficio.
    per questo tipo di realta' tutte queste normative costituiscono un peso non indifferente.
    non+autenticato
  • a) Il "Garante" è un ente di facciata, fatto per illudere che si tuteli la "privacy". In realtà chi vuole violare i dati personali lo fa con comodità.

    b) Il "Garante" è un'istituzione Italiana e quindi in fatto di competenza... devo aggiungere altro?

    c) Il "Garante" deve giustificare il suo bilancio, quindi ogni tanto "fa qualcosa".

    d) I provvedimenti del "Garante", fateci caso, rendono arbitrariamente perseguibili praticamente tutti, perchè sono fumosi e spesso inapplicabili fino in fondo.
    non+autenticato
  • Quoto tutto, vorrei aggiungerne molte altre, ma sembra solo che il garante ogni tanto parli solo per giustificarsi lo stipendio (e complicare la vita agli altri, facendo spendere pure valange di danaro in consulenze esterne senza arrivare a nulla.
    non+autenticato
  • quoto tutti e 2 e aggiungo che sarebbe il caso di smetterla con qsto stupido allarmismo su privacy, trattamento dati, ecc
    non+autenticato
  • grandissimo, il punto C e' quello che preferisco e quello che reputo più plausibile di tuttiSorride
  • - Scritto da: Jack
    > c) Il "Garante" deve giustificare il suo
    > bilancio, quindi ogni tanto "fa
    > qualcosa".

    Amen. La Verità. Andrebbe scolpita nel basalto ad imperitura memoria.

    > d) I provvedimenti del "Garante", fateci caso,
    > rendono arbitrariamente perseguibili praticamente
    > tutti, perchè sono fumosi e spesso inapplicabili
    > fino in
    > fondo.

    come ogni legge dello Stato. ad esempio, visto che è periodo, fatevi un giro sul sito dell'agenzia delle entrate. l'agenzia emana migliaia di circolari perché quando si tratta di applicare una legge nessuno sa mai come interpretarla, tanto è fumosa.
    ogni norma si accompagna ad almeno un paio di circolari che spiegano (dopo che è entrata in vigore e magari qualcuno ci è rimasto fregato) come l'agenzia in realtà la interpreta... tutto ciò è pazzesco.
    non+autenticato
  • hehehe hai fatto centro.

    Se il potere di turno vuole che certe regole siano rispettate, non mette su strutture parallele come authorities e garanti che devono 1. decollare (soldi strutture) 2. decidere (leggi ad hoc) 3. obbedire (controllo politico dei dirigenti)

    Invece, semplicemente, il potere mette su una legge e fa pressioni sulle forze dell'ordine perche' tra le miriadi di leggi e leggine sia fatta rispettare piuttosto quella.

    Come esempio, v. leggi su bollino siae.
    non+autenticato
  • - Scritto da: Jack
    > a) Il "Garante" è un ente di facciata, fatto per
    > illudere che si tuteli la "privacy". In realtà
    > chi vuole violare i dati personali lo fa con
    > comodità.
    >
    > b) Il "Garante" è un'istituzione Italiana e
    > quindi in fatto di competenza... devo aggiungere
    > altro?
    >
    > c) Il "Garante" deve giustificare il suo
    > bilancio, quindi ogni tanto "fa
    > qualcosa".
    >
    > d) I provvedimenti del "Garante", fateci caso,
    > rendono arbitrariamente perseguibili praticamente
    > tutti, perchè sono fumosi e spesso inapplicabili
    > fino in
    > fondo.
    Frasi fatte. Mi spiace, ma tagli i panni agli altri perché, come molti in questo settore, non ne vuoi sapere di comportamenti trasparenti e di tutela. Sono anni che si sminuisce il tema della tutela della privacy, perché troppi interessi economici vogliono mani libere per ogni abuso possibile.

    Che l'istituto del Garante sia stato costruito monco, nei poteri e nei fondi economici, è già indice del volere affossare ogni azione a tutela del cittadino.

    Invece si stracciano le vesti gli amministratori che se ne guardano bene dal dover rispondere di continue "sbirciate" tra dati, stampe in spool ed e-mail. Gente che installa quello che gli pare, inclusi P2P ad uso personale che sfruttano la banda internet aziendale, che si sentono Hacker perché leggono le buste paga dei colleghi e se le commentano alla macchinetta del caffè.

    Oppure i dirigenti che gridano alla riduzione dei costi, e per pagare meno le licenze fanno condividere una stessa login da più dipendenti, invalidando la possibilità di assegnare una "identità elettronica" a chi ha operato su di un sistema. Gli stessi che si affrettano a pretendere dai loro schiavi personali (pardon, "collaboratori") le password di rete e posta elettronica, per poter "leggere e controllare" i loro sistemi quando vogliono, ed incidentalmente approfittarne per fare a nome d'altri operazioni in "conflitto di interessi" tipo scrivere pratiche d'ordine e - a nome d'altri - autorizzarsele.

    Certo, il garante non ha sempre buoni consulenti, ma insistere che concetti come il Piano di Sicurezza dei sistemi, la valutazione di rischio, le misure preventive e di protezione, le procedure di backup e di disaster recovery, siano "inapplicabili e costosi" vuol dire vivere in coppa al Vesuvio pronti a imprecare alla Natura Assassina che un giorno ci spazzerà via la casa.

    Provate a rispettare la sostanza e lo spirito, non impuntandosi sulla "lettera", della Sicurezza dei sistemi e vedrete che uscirete vivi da qualsiasi indagine.
    Si può fare, e c'è chi lo fa tutti i giorni senza venire a strillare contro il Garante.
    Ah, non sto vantando il mio ruolo, che io non sono amministratore da anni, ma ho avuto il piacere professionale di lavorare con amministratori competenti e preparati, che facevano anni fa quanto il decreto (allora) 675 provava a descrivere 13 anni fa.
    non+autenticato
  • tecnicamente per fare quel che si chiede serve utilizzare tutti sistemi dotati di mandatory access control; il che aumenta la complessita' di configurazione e gestione di diversi ordini di grandezza, con conseguente lievitamento enorme dei costi; chi paga?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)