Provvedimento del Garante Privacy sugli Amministratori

Garante e Amministratori: quante non-soluzioni!

2010-01-17T17:35:00.000+01:00

Ultimamente vedo offrire soluzioni che sebbene blasonate non ottemperano ai requisiti del provvedimento del Garante: né quelli dettati dalla norma (completezza, integrità, inalterabilità), né quelli dettati dal buon senso, come evitare che le registrazioni possano essere facilmente aggirate.
Non dimentichiamo che, specie quando le leggi non sono chiare, in caso di contestazioni quello che conta è la ratio legis.

La maggior parte di chi propone una soluzione cerca di rifilare, ad acquirenti resi inermi dall'imminente scadenza, prodotti realizzati in altri continenti molto prima del provvedimento del Garante, interpretando creativamente i requisiti di legge a proprio uso e consumo.
Ho visto proporre sistemi generici di raccolta log, giustificando che log raccolti sono “inalterabili” perché si salvano periodicamente su Cdrom, oppure perché i log raccolti da un software centrale o da una "scatola nera" (appliance) vengono "firmati" prima dell'archiviazione. Sono daccordo che il Cdrom è un supporto inalterabile, come lo è anche un archivio firmato, ma prima di arrivarci dentro i log possono essere manomessi in mille modi senza lasciare traccia.

Gli amministratori del Garante si sono ammutinati :)

2009-12-14T08:12:00.000+01:00

Rispetto a ieri la situazione è cambiata, eccola:

Il suggerimento è di scrivere a you@your.address, magari risponderà qualcuno degli ammutinati del ~~Bounty~~ Garante...

Oggi il sito del Garante ha qualche problema...

2009-12-13T10:55:00.007+01:00

Per il Garante potrebbe essere necessario fare appello ai propri amministratori di sistema, se non lo hanno già abbandonato alla vigilia dell'entrata in vigore del provvedimento che li riguarda :)

Scherzi a parte, gli amministratori di sistema secondo me hanno solo da guadagnarci dal recente provvedimento del Garante. Da quello che ho capito infatti, proprio grazie a questo provvedimento per gli amministratori designati non si profila la responsabilità penale per l'accesso, anche involontario, ai dati personali non di propria pertinenza. Invece per chi svolge attività di amministrazione di sistemi senza esserne designato, la responsabilità è penale, e quindi personale, ovvero non trasferibile all'azienda.

Per tornare agli acciacchi del sito del Garante, ecco www.garanteprivacy.it impietosamente immortalato come si presentava stamattina.

La solita redirezione appare prontamente (clicca sulle immagini per ingrandirle):

Poi, dopo un lungo ripensamento del server:

Le segnalazioni di errore continuano dopo il banner, per chi vi fosse morbosamente interessato ecco un paio di copie del testo integrale:

Infine, ma non sempre, dopo un ulteriore cospicuo ripensamento:

Mi ha fatto sorridere la dicitura azzurrina in basso a destra: "Sito fruibile da utenti non vedenti". Ovvio, non c'è niente da vedere... ;)

Seriamente, poco male. Sono cose che capitano a chi lavora.

"Precisazioni 5 giorni prima dell'entrata in vigore del provvedimento

2009-12-12T09:15:00.000+01:00

Fare leggi è difficile, farle che siano gradite a tutti è impossibile, ma le ultime "precisazioni" del Garante più che una legge sembrano il prossimo messaggio della caccia al tesoro :)

Garante e Amministratori: cosa vuol dire log completo, inalterabile e integro?

2009-11-30T16:43:00.001+01:00

Non per giustificare il Garante, ma in una legge che riguarda una platea così ampia è difficile se non impossibile includere definizioni che non debbano essere interpretate. Proprio per questo bisogna sempre rifarsi alla ratio legis, o almeno a un minimo di buon senso. Da quello che sento in giro sull'argomento, già solo il buon senso sarebbe un bel traguardo.

Il Garante ha chiesto le registrazioni degli accessi degli amministratori ai dati personali, niente di piu'. Questo significa che:

Se su un sistema non ci sono dati personali, non sono richieste le registrazioni degli accessi. Va notato che i dati personali si annidano ovunque, come nella cache del browser che può contenere dati personali, ad esempio relativi a scelte religiose, politiche, sessuali ;)
Il Garante ha chiesto registrazioni degli accessi, non log completi. Anche il buon senso suggerisce che serve l'informazione elementare, non una caterva di dati grezzi. La documentazione Windows dice che un accesso con credenziali di dominio genera alcune decine di registrazioni nei log di sistema, e anche salvandoli integralmente la completezza è beffata visto che nessuno di questi riporta i privilegi, amministrativi o meno, con cui è avvenuto l'accesso.

Le registrazioni, e non i dati grezzi, devono essere complete, inalterabili, integre, conservate per almeno 6 mesi.

Completezza:

Il buon senso suggerisce che non deve essere possibile far sparire registrazioni, o almeno deve rimanere traccia della sparizione. Se metto una password in busta chiusa sulla scrivania chiunque può aprirla, ma rimane traccia dell'illecito.
Quindi le registrazioni secondo me devono essere numerate progressivamente, con accorgimenti per cui è possibile verificare se ne manca qualcuna, altrimenti manca la completezza. Secondo me potrebbe essere sufficiente che i computer all'avvio registrino un evento che include la numerazione di partenza (es. computer+data+ora+progressivo), e che questa venga incrementata ed indicata in ogni evento successivo.
La completezza si può soddisfare solo assieme all'inalterabilità.

Inalterabilità:

Il primo accorgimento da adottare è che le registrazioni siano immediatamente raccolte e conservate in computer diversi da quelli che le generano, altrimenti è fin troppo facile far sparire le tracce del delitto simulando un malfunzionamento del disco fisso.
Raccolgliere le registrazioni altrove non basta. L'unico modo per ottenere l'inalterabilità secondo me è "firmare" gli eventi il prima possibile, appena "nascono". Firmarli dopo che sono anche solo transitati in rete è già troppo tardi, qualcuno potrebbe modificarli prima che arrivino al punto di raccolta. Gli strumenti per farlo non mancano, e per usarli non serve nemmeno essere amministratori, ma basta leggere le riviste di hacking in edicola!

Integrità. Sinceramente non ho ben chiaro cosa si richieda ancora, se già sono soddisfatte completezza e inalterabilità come descritto sopra. Il Garante parla di "possibilità di verifica della loro integrità". Io interpreto quindi come possibilità di verifica delle caratteristche definite sopra, completezza e inalterabilità.

Conservazione, facciamo ancora appello al buon senso:

Per la conservazione centralizzata non ci sono grossi problemi di spazio se si conservano le informazioni essenziali, la cosa cambia se si conservano i dati grezzi. Anche solo per la memorizzazione temporanea sui client in attesa della raccolta, potrebbe essere necessario riconfigurare lo spazio allocato e le modalità di utilizzo degli Event Log periferici.
Durante i 6 mesi di conservazione il computer che li ospita deve essere a sua volta amministrato. E' ovvio quindi che anche un amministratore, che è e deve rimanere onnipotente, in questo periodo non deve poter alterare le registrazioni. Forse è a questo che si riferisce l'inalterabilità, ma se completezza e integrità sono soddisfatte come citato, e l'accesso al computer (ridondato) che conserva le registrazioni è opportunamente limitato e controllato, non dovrebbe essere un problema.
Salvare i log su CDROM? I dati su un CDROM sono inalterabili, ma se non sono numerati e firmati alla fonte prima di arrivare al masterizzatore può essere successo di tutto ;)
Ovviamente gli eventi vanno trasferiti al più presto e conservati su computer diversi da quelli che li generano.

Eccomi

2009-11-30T16:28:00.000+01:00

Ho creato questo blog per esprimere quello che non ho modo di esternare nelle occasioni ufficiali.

Sono pensieri liberi di un consulente travolto da un insolito destino nella soluzione del Provvedimento del Garante della Privacy sugli Amministratori di sistema, sperando che le mie considerazioni possano essere utili ad altri.
Bruno

P.S.: Per il momento la mia identità rimane segretissima ;) non vorrei trovarmi l'FBI in casa con il mitra spianato alle 4 di mattina, ma ho comunque l'intenzione di rispondere a commenti ed email.