Amministratore di sistema, i buchi neri

di Valentina Frediani - Il provvedimento del Garante sembra lasciare in sospesi alcuni nodi critici, quali l'outsourcing, le qualifiche, il logging delle operazioni dell'admin. E l'applicazione è alle porte

Roma - Si è chiusa qualche giorno fa la consultazione pubblica indetta dall'Autorità Garante in materia di protezione dati personali trattati con sistemi informatici. In realtà la consultazione pubblica sarebbe stata opportuna prima dell'emanazione del provvedimento avente forza normativa, ma soprattutto sarà da verificare cosa succederà ora, in prossimità della scadenza dell'obbligo di adeguamento normativo. Anche io come legale, avendo "masticato" il provvedimento tutti i santi giorni negli ultimi due mesi, ho prodotto delle osservazioni, qualcuna forse provocatoria, stimolata dagli informatici con cui lavoro, nettamente critici sul provvedimento, taluna indubbiamente e legalmente sensata (me lo dico da sola perché ci credo!).

Riscorrendo il provvedimento mi sono così resa conto che fondamentalmente ci sono dei "buchi neri": non viene assolutamente affrontata la questione relativa all'ipotesi di amministratore di sistema all'estero (garantisco, molto diffusa tra le aziende italiane!) né quella ancor più diffusa relativa all'outsourcing. Nel provvedimento si parla in questo ultimo caso di obbligo di richiedere la lista identificativa dei soggetti che possono accedere in qualità di amministratori di sistema in occasione del rapporto di outsourcing, ma che se ne fa un'azienda di una lista identificativa se non seguono tutti gli altri obblighi relativamente alla loggatura? Loggo i miei amministratori di sistema interni e di quelli esterni tengo un elenco nominativo? Forse mi sfugge qualcosa. Senza considerare che sarebbe anche opportuno che il testo di legge distinguesse la disciplina in relazione ad outsourcing esterno rispetto all'outsourcing interno... situazioni giuridicamente e tecnicamente molto diverse tra loro.

Dove vogliamo poi mettere la questione relativa alla descrizione dell'evento? Negli ultimi giorni in realtà sono venuta a conoscenza di un prodotto (israeliano) che consente loggatura e descrizione degli accessi dell'amministratore di sistema senza alcun problema, come del resto di prodotti ed implementazioni ne sono usciti diversi (Microsoft stessa ha implementato i propri sistemi) ma sarebbe opportuno che l'Autorità chiarisse il concetto di descrizione. Nell'ultimo mese ne ho sentite di tutti i colori, anche di enti che terranno un registro cartaceo della descrizione degli eventi. Ritorno al passato nell'era dell'informatizzazione?!
Inoltre il provvedimento ignora un aspetto prettamente legale non indifferente: loggare gli amministratori di sistema significa fare un controllo a distanza del lavoratore... glielo vogliamo dire alle aziende ed agli enti di gestire i dati nel rispetto della privacy e dei diritti dei lavoratori? Glielo vogliamo dire che sarebbe opportuno incrementare l'informativa al dipendente amministratore di sistema e che l'accesso e la conservazione dei log non deve avere come scopo quello del controllo a distanza del lavoratore? Garanzie per tutti ma non per gli amministratori di sistema?

Il provvedimento include poi, tra gli amministratori di sistema, gli amministratori di base dati. Sono da considerarsi tali coloro che gestiscono in locale una banca dati, già nominati peraltro incaricati al trattamento? L'ipotesi è assai diffusa, ma se confermata la suddetta interpretazione - da molti sostenuta a spada tratta - verrebbe annullata la ratio del provvedimento laddove richiede di porre attenzione a figure speciali (se nomino il 50% degli operatori - in una azienda o un ente - amministratori di sistema, cade sostanzialmente la particolarità del provvedimento... senza considerare che dovranno essere tutti loggati con una massificazione di dati ingestibile e rischio alto di inapplicazione della normativa).

Inoltre il testo mi impone di individuare gli amministratori di sistema tenendo conto dell'esperienza, capacità ed affidabilità, e che tali figure siano in grado di fornirmi idonee garanzie sotto il profilo della sicurezza. Di fatto l'amministratore di basi di dati spesso è solo un incaricato che si attiene alle misure di sicurezza imposte dal titolare, quindi ha un profilo "tecnicamente" basso, non qualificato come generalmente in informatica è l'amministratore di sistema vero e proprio. Si osserva pertanto che gioverebbe un inquadramento maggiore della figura dell'amministratore di sistema, più orientato sotto il profilo informatico, dovendo osservare che il soggetto meno controllabile è quello più esperto ad eludere il controllo, e quindi in ambiente informatico non certo il singolo operatore ma l'administrator vero e proprio.

Per quanto riguarda poi i tempi di conservazione dei log, vengono imposti minimo 6 mesi. E come massimo? Forse un anno, considerato che annualmente il titolare deve fare la verifica delle competenze e capacità dell'amministratore? Può darsi, ma si brancola nel buio nell'applicare un testo che dovrebbe prestarsi a dare maggiori "istruzioni" ai destinatari dell'applicazione.
Il provvedimento di per sé ed idealmente ha una logica, ma lo sviluppo del testo normativo non può prescindere dagli aspetti tecnico-informatici ed applicativi. Altrimenti rischia di venir accantonata l'applicazione... Vedo un lungo lavoro per l'Autorità Garante, ma confidiamo in maggiori spiegazioni e più applicabilità del provvedimento!

Avv. Valentina Frediani
www.consulentelegaleinformatico.it
www.consulentelegaleprivacy.it
33 Commenti alla Notizia Amministratore di sistema, i buchi neri
Ordina
  • E COME PER L'INFLUENZA E' ARRIVATO IL PANICO PER LA NOMINA DELL'ADS.E' SEMPRE UN LABIRINTO DI INTERPRETAZIONI. MA ALL'ATTO PRATICO NELLE PICCOLE REALTA', ACCERTATO CHE PER QUALCHE CAVILLO NON RIENTRANO NELLE SEMPLIFICAZIONI DEL GARANTE, DOVE NON CI SONO ALL'INTERNO FIGURE TALI DA ESSRE CONSIDERATE "AMMINISTRATORE DI SISTEMA", CHE DOVREBBERO AVERE CONOSCENZE INFORMATICHE, MANUTENTORI DI INPIANTI ELETTRONICI (COMPUTER), TALI AZIENDE A CHI SI RIVOLGONO PER LA NOMINA DI AMMINISTRAZIONE DI SISTEMA? E' CHIARO ALL'ESTERNO E A COLORO CHE HANNO MANUTENZIONE HARDWARE E SOFTWARE. E SONO TALI FIGURE CHE HANNO SEMPRE LIBERAMENTE ACCESSO A DATI (PERCHE' DEVONO RIPRISTINARE SISTEMI OPERATIVI E QUINDI SALVARE PER POI RIPRISTINARE ECC. ECC). ORA QUESE FIGURE, PER PRENDERSI LA RESPONSABILITA' DI EFFETTUARE E CONSERVARE CREDENZIALI COPIE ECC., CHE FRA L'ALTRO DEVONO AVERE AMPIO RAGGIO DI AZIONE (ACQUISTI DI SISTEMI DI PROTEZIONE, SOSTUITUZIONE DI ELABORATORI OBSOLETI ECC.)CHE ONORARIO RICHIEDERANNO? IERI 10 DICEMBRE IL GARANTE HA EMANATO DELLE PRECISAZIONI CHE NON FANNO ALTRO CHE METTERE ULTERIORI DUBBI.
    non+autenticato
  • Salve a tutti,
    non so se può interessare, ma io sto attuando il provvedimento con una soluzione "realizzata in casa" a costo zero che si basa su rsyslog e snare for windows.
    La documentazione è qui:
    http://blog.maurizio.proietti.name/2009/10/29/prov.../
    Spero possa esservi utile e spero possiate contribuire a migliorarla.
    Saluti
    M.
    non+autenticato
  • Noi stiamo implementando Snare Server e devo dire che e' fatto proprio bene.

    Ciao a tutti.
    Simone
    non+autenticato
  • Il Garante ha fatto della teoria ...
    I propositi sono buoni, ma la generalità della cosa ha reso di fatto inutile ai fini pratici la nuova norma.

    L'auditing sull'accesso ai dati sensibili (di fatto, è di questo che si parla) si può fare in vari modi, e soprattutto con vari livelli di profondità.

    Le esigenze di una Telecom, di un ISP e di un'azienda che fabbrica bulloni sono completamente differenti.

    E cosa è che fa la differenza? Il rischio.
    Riuscire ad accedere ai database di una Telecom o dellla Sanità, o del Ministero della Giustizia, comporta rischi incredibilmente più elevati che riuscire ad accedere al database dei dipendenti dell'impresa a conduzione familiare che produce bulloni nel garage sottocasa.

    In aggiunta, la protezione dei dati ha un costo, in particolare in materia di competenze.

    Ciò che avrebbe dovuto fare il Garante è di stabilire una griglia, in cui tenere conto della quantità e della qualità dei dati gestiti.

    La qualità è ovviamente un fattore fondamentale: i dati giudiziari o sanitari, piuttosto che quelli finanziari, comportano intrinsecamente più rischi che i puri dati anagrafici.

    Altro fattore fondamentale è la quantità: una cosa è gestire un database dei 5 o 10 nominativi dei dipendenti dell'azienda, un'altra è gestire database che contengono milioni di anagrafiche, e magari per ciascuna anche il tracciato telefonico e l'identificazione delle celle che hanno servito le telefonate.

    In sintesi, il Garante avrebbe potuto stabilire dei requisiti minimi in termini di:
    - certificazioni di sicurezza dell'azienda, e dei suoi eventuali subfornitori;
    - professionalità degli amministratori (certificazioni personali, etc.)
    - integerrimità del personale responsabile;
    - quantità e dettaglio dei log di auditing, in relazione ai dati gestiti;
    - elenco minimo delle informazioni da auditare;
    - modalità e durata della conservazione dei log (personalmente, li farei criptare con la chiave pubblica di un certificato della Magistratura);

    Forse c'è anche altro, ma l'elenco di cui sopra serve già a dare un'idea di cosa intendo significare.


    Faccio invece una digressione sulla criptazione dei supporti su cui vengono conservati i log.
    Nel caso la cosa non fosse chiara a tutti, la disposizione del Garante, così com'è, mi risulta essere sostanzialmente inutile.
    Oltre al fatto che in generale i log possono essere 'epurati' prima di essere trasferiti su un supporto non riscrivibile (a meno di soluzioni non banali), essi possono essere modificati anche dopo: è sufficiente scaricare il contenuto del supporto, modificare il contenuto dei log, e ri-masterizzare il tutto su un nuovo supporto, da sostituire all'originale.

    In sostanza, i log devono come minimo essere accompagnati da una marca temporale certa, che ne garantisca l'immutabilità.
    Visto poi che tali log sono necessari, di fatto, soltanto in caso di indagini della Magistratura, se questi fossero criptati con la chiave pubblica di un certificato della stessa, tali log non potrebbero essere aperti se non in caso di indagine.

    In questo modo si preserva la privacy di tutti (anche degli amministratori di sistema), non si fa telecontrollo, ed i log stessi non possono divenire interessanti per compiere un furto (per fare un esempio, ad un malintenzionato i log della Telecom di turno possono raccontare molte cose sull'architettura dei sistemi e dei servizi).
  • Innanzitutto diciamo subito una cosa:Valentina, stavi meglio con i capelli lunghi!Sorride

    Ma seriamente, il problema e' piu' esteso di quanto si pensi.
    Spesso e volentieri chi ha pc sparsi in tutta Italia si DEVE fidare di un certo numero di tecnici che vanno sul territorio ed operano,spesso e volentieri, con password amministrative.
    Il bello e' che sempre piu'spesso e volentieri, questi tecnici sono ragazzini con poca esperienza e pagati ancora meno, l'uso che fanno delle password e' impredicibile.
    I software installati hanno parametri da immettere, test da effettuare, tute cose che con account mirati A VOLTE possono difettare in qualche loro parte.
    quindi, per risolvere senza dispendio di tempi e quindi di costi aggiunti , si punta sul TAGLIAMO LA TESTA AL TORO,e vai di password amministrativa.
    Avete mai avuto Microsoft in casa?La prima cosa che ti chiede e' la password di ITROOT...tanto per non sbagliare.
    Decine di consulenti che operano a basso livello su tutta l'infrastruttura e viaggiano con password di dominio mettendo in produzione persino cose mai realmente testate.
    E le password viaggiano...
    Ben venga quindi un software , non aggirabile o craccabile, che possa monitorare gli interventi dei sistemisti,esterni o interni che siano,per evitare guai.
    Ovvio e' che tutto questo debba essere normato PER BENINO...e da gente competente.
    Ma questa speranza pare vana, visto chi legifera ultimamente su cose cosi' sensibili...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 17 discussioni)