Sicurezza dei dati

L’espressione “sicurezza nei sistemi informatici” fa riferimento alle tecniche che impediscono la violazione dei dati presenti nei computer. In Italia la materia è disciplinata dal Regolamento (UE) 2016/679 – GDPR e dal D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018. Ogni azienda deve adottare una politica di protezione dei dati aziendali e istruire i dipendenti sulle procedure di emergenza da applicare in caso di violazioni alla politica di sicurezza.
Perdere le informazioni contenute nel computer o subire profonde alterazioni delle stesse costituisce un grave danno.
Accanto alla sicurezza, un altro problema di enorme importanza per le aziende, gli istituti di ricerca e le Università è quello della riservatezza dei propri dati.

L’argomento «sicurezza dei dati» presenta numerosi aspetti di diversa complessità ma noi ci limiteremo a trattare i seguenti problemi:

• backup (copia dei dati importanti);
• protezione dei dati;
• crittografia.

In informatica, il termine backup indica un duplicato di un gruppo di dati, realizzato come copia di riserva nel caso l’originale venisse danneggiato o distrutto. È necessario dotarsi di un’unità di memorizzazione esterna, possibilmente di grande capacità, per poter salvare i dati. Tali unità possono essere cartucce magnetiche, dischi fissi aggiuntivi, unità di memorizzazione esterne oppure supporti ottici come CD e DVD. Oggi è consigliata la regola 3–2–1: almeno 3 copie totali, su 2 supporti diversi, con 1 copia off-site (anche cloud) e, se possibile, copie immutabili per contrastare il ransomware. In caso di perdita di dati è possibile recuperarli dalla copia di backup mediante un’operazione di ripristino. Esistono numerosi programmi che permettono di effettuare il backup; nelle versioni di Windows e macOS sono disponibili funzioni integrate di salvataggio e ripristino.

Normalmente si distingue fra tre tipi di backup:

• completo: i dati vengono copiati interamente e, per ripristinarli, occorre semplicemente effettuare la copia in senso inverso;
• differenziale: vengono aggiunti al backup solo i file creati o modificati dall’ultimo backup completo;
• incrementale: vengono salvati solo i file aggiunti o modificati dopo l’ultimo backup completo o differenziale.

In molti casi i dati possono essere riservati o costituire dati personali tutelati dalle norme sulla privacy e occorre pertanto proteggerli da intrusioni. In questo caso è necessario adottare apposite misure per la protezione dei dati.

Un primo livello di protezione viene adottato limitando l’accesso al computer alle sole persone riconosciute mediante un proprio «identificativo» (ID utente) e in possesso di una «parola chiave» (password). Una buona password deve essere:

• sufficientemente lunga (meglio una passphrase di più parole);
• non prevedibile (con lettere maiuscole/minuscole, numeri e simboli);
• non conservata in un documento di testo nel computer; usa un password manager;
• cambiata con frequenza e, soprattutto, abbinata a MFA (autenticazione a più fattori).

Un metodo utilizzato per creare una password è quello di scegliere una frase semplice da ricordare e, partendo da questa, costruire una sequenza di caratteri, per esempio:

quarantaquattro gatti in fila per sei col resto di due → 44gifx6crd2

Un’ulteriore protezione può essere effettuata mediante la cifratura che permette di nascondere i dati con tecniche crittografiche.

La crittografia è una vera e propria scienza che si occupa dell’elaborazione di sistemi di scrittura in codice, comprensibili solo a chi ne conosca la chiave di lettura.

La crittografia ha origini antiche. Tra le prime testimonianze si cita la consuetudine di alcuni scribi di invertire le lettere dell’alfabeto, utilizzando l’ultima lettera al posto della prima, la penultima al posto della seconda, e così via; in questo modo essi cercavano di proteggere i propri scritti. Secondo quanto riportato da alcuni storici romani, Giulio Cesare, per proteggere i propri messaggi di carattere militare, utilizzava un alfabeto in cui ogni lettera era spostata di tre posti rispetto all’alfabeto di uso comune (cifrario di Cesare).

Un esempio letterario può essere tratto da Lo scarabeo d’oro, di E.A. Poe. Il protagonista, Legrand, deve interpretare il seguente testo trascritto su una pergamena:

53111305) ) 6* ;4826) 4+; 806*; 48t8960) ) 85;It ( ; : t*8t83 (88)5 *t;46(; 88*96*?; 8)M ( ;485) ;5*t2 : ** ( ; 4956*2 (5*-4) 898*; 40692 85) 😉 6t8)4tt;I(t9 ; 48081; 8 : 811 ; 48t85 ; 4)4851528806*81 ( + 9 ; 4 8; (8 8 ; 4 ( t ? 3 4 ; 4 8)4 t; 161 ; : 18 8 ; t ? ;

Si tratta delle indicazioni, scritte in un codice segreto, che portano a un tesoro nascosto. Il protagonista risolve il crittogramma contando le ricorrenze dei caratteri e ipotizzando che il simbolo 8 (ripetuto ben 33 volte) corrisponda alla lettera «e», la più frequente nella lingua inglese. L’ipotesi è avvalorata dal fatto che l’8 è sovente raddoppiato, cosa che avviene frequentemente con la lettera «e» in inglese. Legrand, proseguendo con lo stesso criterio, arriva a decifrare il testo e a trovare il tesoro. Naturalmente tutto sarebbe stato più facile se Legrand fosse stato in possesso non solo della sorgente dell’informazione, ma anche della chiave per decifrarla.

Al giorno d’oggi le tecniche crittografiche sono usate per garantire la riservatezza delle informazioni elettroniche, in modo particolare quando vengono trasmesse in rete, per esempio nei processi di autenticazione (password) o nelle transazioni economiche del commercio elettronico (numeri di carte di credito). Si distingue fra cifratura in transito (es. TLS) e a riposo (cifratura di disco/file: BitLocker, FileVault, VeraCrypt).

La privacy
Tutelare la privacy non significa soltanto proteggere la sfera privata delle persone ma anche controllare l’uso e la circolazione dei dati personali.
Il Codice della privacy (D.Lgs. 196/2003), coordinato con il D.Lgs. 101/2018, recepisce e applica in Italia il GDPR, tenendo conto delle direttive e dei provvedimenti del Garante per la protezione dei dati personali. Le norme tendono a salvaguardare il diritto alla tutela dei dati personali, anche informatici.

Dati identificativi: dati personali che permettono l’identificazione diretta (nome e cognome, codice fiscale, fotografia, ecc.).
Categorie particolari di dati (in passato “dati sensibili”): rivelano, tra l’altro, origine razziale o etnica, convinzioni religiose o filosofiche, opinioni politiche, adesione a sindacati, dati genetici/biometrici, dati relativi alla salute o alla vita sessuale. Il loro trattamento è soggetto a condizioni rafforzate ai sensi dell’art. 9 GDPR.
Dati giudiziari: informazioni su condanne penali e reati (art. 10 GDPR).

Ogni persona interessata al trattamento dei dati ha diritto a un’informativa chiara su finalità e modalità del trattamento, natura obbligatoria o facoltativa del conferimento, conseguenze del rifiuto, soggetti a cui i dati possono essere comunicati e ambito di diffusione; ha inoltre diritto a ottenere conferma dell’esistenza di dati che lo riguardano, l’indicazione dei responsabili del trattamento e, nei casi previsti, la cancellazione, la rettifica, la limitazione, la portabilità e l’opposizione (artt. 15–22 GDPR).

Cookie e tracciamento
Il 10/06/2021 il Garante ha adottato le Linee guida su cookie e altri strumenti di tracciamento. In sintesi: banner chiaro e completo, consenso esplicito per cookie di profilazione, possibilità di rifiutare con pari evidenza rispetto ad accettare, regole per gli analytics e obbligo di prova del consenso.

Ergonomia
L’ergonomia (dal greco érgos = lavoro e nómos = controllo) è la disciplina che persegue la progettazione di prodotti, ambienti e servizi adatti alle necessità dell’utente, migliorando sicurezza, salute, comfort, benessere e prestazione umana. In Italia i requisiti minimi per le attrezzature con videoterminale sono indicati dal D.Lgs. 81/2008 (Titolo VII e Allegato XXXIV): posizione e stabilità dello schermo, dimensione e leggibilità dei caratteri, ergonomia della postazione (sedia e piano regolabili), illuminazione e pause.

È bene tenere presenti alcune norme ed evitare comportamenti non corretti che, a lungo andare, potrebbero compromettere la salute dell’utilizzatore del computer, e che possono riguardare:

• disturbi della vista con sindrome da fatica visiva, mal di testa o emicranie;
• disturbi a carico dell’apparato muscolare e scheletrico.

Tali disturbi hanno come cause principali:

• cattive condizioni di illuminazione;
• sforzo ottico prolungato;
• eventuali difetti della vista già preesistenti;
• postura statica e rigida (collo, spalle, colonna vertebrale, schiena);
• movimenti ripetitivi (braccia e mani).

Virus

Una grande minaccia alla sicurezza dei dati è costituita dal malware (codice maligno). Il virus è una sua sottoclasse: un programma in grado di infettare altri file e replicarsi all’insaputa dell’utente. I virus possono essere più o meno dannosi per il sistema infettato, ma comportano comunque spreco di risorse (CPU, RAM, spazio su disco). Possono risiedere nei programmi (.exe, .dll, .com) o nelle macro dei file Office.

Un malware:

• si diffonde tramite supporti esterni, rete e Internet;
• può annidarsi all’interno di altri programmi (trojan);
• si attiva al verificarsi di determinati eventi (esecuzione, apertura file, data prefissata).

1. I virus non possono danneggiare l’hardware ma soltanto il software; talvolta possono modificare impostazioni dei dischi rendendoli di fatto inutilizzabili.
2. Il termine più corretto per indicare tutte le minacce è malware; i virus ne sono un tipo specifico.

Il primo vero virus per IBM PC risale al 1986, si chiamava Brain ed era inizialmente poco dannoso: si replicava infettando il settore di avvio dei floppy. In Italia, uno dei primi virus noti faceva apparire sullo schermo una pallina rimbalzante e fu denominato Ping pong. Oggi il numero di varianti è elevatissimo e molte minacce sono orientate al furto di dati o all’estorsione (ransomware).

Tra le principali tipologie si riscontrano:

• cavalli di Troia (trojan): programmi apparentemente utili che, una volta avviati, eseguono azioni malevole; non si auto-replicano;
• worm: si diffondono autonomamente sfruttando la rete;
• ransomware: cifrano i dati e chiedono un riscatto;
• spyware/adware: raccolgono informazioni e mostrano pubblicità invasiva;
• keylogger, rootkit, botnet;
• macro: macroistruzioni malevole in documenti Office;
• polimorfici e stealth: mutano o si nascondono per eludere i controlli; criptati: codice cifrato con routine di decifratura.

Per evitare il contagio occorre: non usare software pirata, non aprire allegati sospetti, prestare attenzione ai siti non attendibili, disabilitare macro in documenti sconosciuti, aggiornare sistema e applicazioni.

Per difendersi si ricorre a antivirus e a strumenti di sicurezza integrati (protezione in tempo reale, scansione su richiesta, filtraggio web/email, protezione ransomware) mantenendo le definizioni e i motori sempre aggiornati.

È buona norma effettuare controlli periodici del computer e aggiornare costantemente il proprio antivirus attraverso Internet, dal momento che la quantità di minacce in circolazione cresce rapidamente, in modo particolare quelle veicolate via posta elettronica.

Se il computer dispone di un collegamento continuo a Internet, un’ulteriore minaccia è costituita dalla possibilità di accesso al computer attraverso la rete da parte di utenti non autorizzati. In quest’ultimo caso è necessario disporre di un firewall e, per una protezione completa, combinare firewall, antivirus e buone pratiche (aggiornamenti, MFA, backup 3–2–1).

Il termine hacker è spesso usato dai media come sinonimo di pirata informatico. In realtà, nel contesto professionale, si distinguono figure diverse: ethical hacker/pentester (che testa la sicurezza con autorizzazione), attacker o criminal hacker (che viola i sistemi), cyber warrior (che opera per conto di stati/organizzazioni), lamer (imitatore senza competenze specifiche).

Spyware
Uno spyware è un programma che raccoglie informazioni sull’attività on-line di un utente (siti visitati, acquisti, preferenze) senza consenso, trasmettendole a un’organizzazione che le utilizzerà per trarne profitto (es. pubblicità mirata). A differenza dei virus, non si trasmette autonomamente: di norma viene installato dall’utente, talvolta occultato in software gratuiti poco affidabili, e costituisce una minaccia soprattutto per la privacy.

Diritto d’autore e aspetti giuridici
Quando si acquista un libro, l’acquirente entra in pieno possesso dell’oggetto e può leggerlo, sottolinearlo, ricopiarlo su un quaderno, regalarlo a un amico. Nel software è diverso: quando si acquista un programma, questo è concesso in licenza, non venduto come un libro.
La licenza è un contratto che specifica come si può usare il programma. Di norma è consentita l’installazione e l’uso su un singolo computer e una copia di sicurezza per uso personale. La copia e la distribuzione a terzi senza autorizzazione violano la legge sul diritto d’autore e la licenza d’uso.

Esistono anche programmi distribuiti liberamente e gratuitamente:

DEMOWARE Versioni dimostrative con funzionalità ridotte, utili a provare il prodotto prima dell’acquisto.

FREEWARE Applicazioni completamente gratuite che si possono usare, copiare e ridistribuire; restano comunque di proprietà dell’autore.

SHAREWARE Utilizzabili per un periodo di prova; scaduto il termine, occorre pagare la registrazione o disinstallare. Il principio è “prima prova e poi compra”.

SOFTWARE LIBERO Software distribuito con licenze che ne consentono l’uso, lo studio, la modifica e la ridistribuzione (es. GPL). “Libero” non significa necessariamente “gratuito”.

L’unico software non protetto da diritto d’autore è quello public domain, che può essere utilizzato senza limitazioni.
Gli autori di programmi sono tutelati dalla stessa legge che protegge le opere letterarie (copyright): il diritto morale (paternità dell’opera) e il diritto di sfruttamento economico.

Si stanno diffondendo le licenze Creative Commons, che permettono agli autori di riservare alcuni diritti e concederne altri al pubblico tramite combinazioni standardizzate (BY, SA, NC, ND). Le licenze sono strutturate in due parti: le libertà concesse e le condizioni d’uso dell’opera stessa.

Legislazione sulla protezione dei dati
Il diritto alla privacy per i cittadini dell’Unione Europea è definito dal GDPR. In Italia, il quadro è completato dal Codice in materia di protezione dei dati personali (D.Lgs. 196/2003) coordinato con il D.Lgs. 101/2018, che individua, tra l’altro, le misure minime e le basi giuridiche del trattamento (consenso, contratto, obbligo legale, legittimo interesse, ecc.). Tali norme garantiscono che il trattamento dei dati personali (qualsiasi informazione relativa a persona fisica identificata o identificabile) avvenga nel rispetto dei diritti e delle libertà fondamentali, con particolare riguardo alla riservatezza e all’identità personale.