NORMATIVA E TECNICA - ARTICOLO

Rottamare in sicurezza

Rottamare in sicurezza inserito il: 29.06.2009
di Roberta Leprotti
tratto da 'Infoimpianti'

In parallelo ad una sempre più quotidiana e consistente familiarità con i nuovi mezzi è arrivata da Washington la notizia che ha messo in allarme tutti i navigatori del Web e che riguarda i computer che vengono lasciati “dormienti”, cioè accesi, ma non in funzione.

Alcuni ricercatori dell’Università di Princeton hanno dimostrato come sia facile violare i sistemi di sicurezza entrando senza password in alcuni computer e accedendo ai dati criptati. È, quindi, evidente che, usando le stesse tecniche dei ricercatori, anche gli hacker potrebbero appropriarsi dei dati immagazzinati nella “memoria volatile” del Pc e, di conseguenza, violare la privacy dell’ignaro utente. L’aspetto che dobbiamo tenere in massima evidenza è che tutto ciò può accadere anche quando il pc è spento perché, quando viene riacceso, mantiene la visibilità dei dati e chiunque può accedervi.

Tutti ricordiamo i titoli dei mass media che, nel 1998, raccontavano la storia dei due ragazzi californiani che, in una notte e provvisti solo di un modem, riuscirono ad entrare nei sistemi informatici di enti governativi e militari americani dimostrando che la sicurezza dei dati è esposta ad attacchi fraudolenti in maniera esponenziale.
L’uso intensivo di internet ha poi evidenziato il virus di rete (“worm”) con un limitatissimo tempo di diffusione: nel 2001 il “worm CodeRed” infettò 500mila computer in sole 12 ore, mentre nel 2003 “Slammer” infettò 80mila computer in 10 minuti raddoppiando il numero di computer infettati ogni 8 secondi.

Oltre le intrusioni e i sabotaggi, oggi preoccupa la manomissione e il furto di dati personali: clonazione delle carte di credito, appropriazione di codici di accesso e password in internet per accedere a conti correnti o a dati riservati ecc. Il furto di identità in rete ha un nome preciso “phishing” che, modificando l'inglese fishing (to fish, pescare), associa la pratica fraudolenta ad un vera “pesca”, in cui ingenui utenti abboccano all’amo di mascalzoni nascosti dietro la rete.
Ogni tecnologia ha, per altro, i suoi lati deboli e questo è il lato oscuro del mondo digitale. Tuttavia, se i criminali si attrezzano per delinquere, anche gli utenti si attrezzano per non subire attacchi fraudolenti ed utilizzano solide difese tecnologiche ed organizzative.

Privacy e sicurezza dei dati
Il problema ha, oggi, un riscontro efficace anche a livello normativo tanto che, recentemente, il Garante per la protezione dei dati personali ha fornito una serie di indicazioni per rimuovere i propri dati dai vecchi computer e dai supporti di memorizzazione.
A chiunque, probabilmente, sarà capitato di dover smaltire, presso un centro di raccolta autorizzato, un computer rotto oppure troppo vecchio, così come un qualsiasi supporto di memorizzazione dati (come cd-rom, dvd o cassette di back-up di dati) senza, magari, pensare che questa “spazzatura elettronica” potrebbe essere recuperata da qualche malintenzionato alla ricerca di qualche dato personale da poter sfruttare e rivendere.
Tutti ricordiamo la notizia di quest’estate quando per soli 44 euro un manager inglese ha acquistato su eBay i dati bancari di oltre un milione di persone. Tutto era iniziato quando un dipendente della Graphic Data, azienda che archivia i dati dei clienti di importanti organizzazioni bancarie, aveva messo all’asta virtuale un computer il cui disco rigido conteneva i dati personali di più di un milione di clienti di American Express, della Banca Reale di Scozia e della sua controllata Natwest, tra cui numeri di conto corrente, firme, numeri di cellulare.

Raee e sicurezza dei dati
Se finora avevamo creduto che per cambiare un computer vecchio bastasse smaltirlo secondo le norme ora, dopo i recenti interventi del Garante, scopriamo che la questione non è così semplice né da sottovalutare. Non basta, infatti, comperare un nuovo apparecchio e procedere all’operazione di trasferimento di tutti i dati da quello vecchio: la memoria del vecchio computer contiene tutti i nostri dati e dobbiamo premurarci di porre in essere tutte le misure necessarie affinché nessuno possa estrarre informazioni rimaste in memoria e, così facendo, possa entrare in possesso dei nostri dati.
Il Garante ci avverte che i nostri dati personali (nomi, indirizzi email, rubriche telefoniche, foto, ma anche numeri di conto bancario o dati sanitari) possono restare nella memoria delle apparecchiature elettriche ed elettroniche che decidiamo di mandare in pensione e, di conseguenza, siamo esposti ad un rischio di manipolazione da parte di terzi se non addirittura di furto di identità.

 L’attenzione è focalizzata soprattutto sui computer nonostante lo stesso rischio interessi i dati contenuti nelle memorie dei cellulari, nei cd-rom e nei dvd, oggi sempre più utilizzati per l’archiviazione e la conservazione di dati, spesso non solo nostri ma anche relativi ad altre persone.
Nonostante la crisi faccia registrare una flessione pesante nella vendita dei computer (-11% nel 2008), Gartner (società di consulting e di ricerca statunitense che si occupa del settore delle tecnologie) afferma che i personal computer attualmente in uso nel mondo hanno superato il miliardo di unità e che, prevedendo un ciclo di sostituzione di 3 5milioni di unità nei prossimi anni, si deve fare i conti anche con il problema della spazzatura hi-tech. Infatti, i computer rottamati, perlopiù con poco o senza alcun riguardo per la tossicità dei componenti, stanno diventando un problema di primo piano nei mercati emergenti.

Le procedure indicate dal Garante della Privacy
Partendo da queste considerazioni il Garante della Protezione dei dati personali ha recentemente emanato un provvedimento (Gazzetta Ufficiale 9 dicembre 2008 n. 287).
Il provvedimento è intitolato “Rifiuti di apparecchiature elettriche ed elettroniche (Raee) e misure di sicurezza dei dati personali” ed ha come obiettivo principale quello di richiamare l’attenzione di tutti coloro che dismettono apparecchiature elettroniche perché quando si decide di non utilizzare più un apparecchio è necessario “adottare idonei accorgimenti e misure, anche con l’ausilio di terzi tecnicamente qualificati, volti a prevenire accessi non consentiti ai dati personali memorizzati”.
Le novità interessano tutti, non solo i privati cittadini, ma anche le imprese e le aziende pubbliche. Insomma, la dismissione del nostro “usato”.

Ecco, quindi, che chiunque decida di dismettere il proprio “usato” dovrà, prima di consegnarlo ai punti di raccolta per lo smaltimento, provvedere a tutte quelle operazioni che renderanno certa la cancellazione definitiva di tutti i dati personali memorizzati e che metteranno al riparo se stessi e gli altri (familiari, amici, fornitori, clienti, dipendenti, collaboratori) da eventuali rischi conseguenti dalla manipolazione dei dati.
In buona sostanza, il Garante della Privacy ci fornisce una guida che, seguita, ci aiuta nelle procedure per rispettare in maniera precisa e compiuta le norme in vigore per la sicurezza e la protezione dei dati personali (decreto legislativo 196/2003 “Codice in materia di protezione dei dati personali”). Sono, infatti, sempre più frequenti i casi in cui si segnala il ritrovamento di dati personali all’interno di apparecchi elettronici, non solo nei casi in cui sono ceduti ad un rivenditore per la dismissione o la rivendita, ma anche quando sono consegnati per riparazioni o sostituzione di componenti.
Le disposizioni contenute nel provvedimento possono essere adottate sia nel momento preliminare della memorizzazione dei dati sia in quello successivo della loro distruzione e sono le seguenti.

Misure tecniche preventive
Il Garante ci invita a proteggere in maniera adeguata i file usando una password di cifratura, oppure memorizzando i dati su hard disk o su altri supporti magnetici attraverso l’utilizzo di specifici sistemi di cifratura automatica al momento della scrittura.

Misure tecniche di cancellazione sicura
È possibile ottenere una cancellazione sicura delle informazioni su disco fisso o su altri supporti magnetici attraverso l’utilizzo di programmi informatici di “riscrittura”. Il metodo è semplice: una volta che l’utente ha eliminato dei file dall’unità disco con i normali strumenti previsti dai sistemi operativi, ad esempio trascinandoli nel “cestino” oppure utilizzando i comandi di cancellazione, il programma di “riscrittura” provvede in automatico ad utilizzare ripetutamente le aree vuote del disco (riscrivendoci sopra). Possono anche essere utilizzati sistemi di formattazione a basso livello degli hard disk o di “demagnetizzazione”, in grado di garantire la cancellazione rapida delle informazioni.

Smaltimento di rifiuti elettrici ed elettronici
Per la distruzione degli hard disk e di supporti magnetici non riscrivibili, come cd-rom e dvd, il Garante consiglia l’utilizzo di sistemi di punzonatura oppure di deformazione meccanica. Efficace anche la demagnetizzazione ad alta intensità oppure una vera e propria distruzione fisica.

Gli accorgimenti da adottare in caso di reimpiego e di riciclaggio
In caso di reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche, le misure adottate devono consentire l’effettiva cancellazione dei dati o garantire la loro non intelligibilità. Gli accorgimenti adottati possono essere anche preventivi e possono prevedere:
- la cifratura di singoli file o gruppi di file, di volta in volta protetti con parole-chiave riservate, note al solo utente proprietario dei dati che può procedere alla successiva decifratura. Questa modalità richiede l’applicazione della procedura di cifratura ogni volta che si deve proteggere un dato o una porzione di dati (file o collezioni di file). Naturalmente è necessario che l’utente conservi in maniera sicura la traccia delle parole-chiave utilizzate.
- la memorizzazione dei dati sui dischi rigidi (hard disk) dei personal computer o su altro genere di supporto magnetico od ottico (cd-rom, dvd-r) in forma automaticamente cifrata al momento della loro scrittura, attraverso l’uso di parole-chiave riservate e conosciute solo dall’utente.

Le procedure di cancellazione
- La cancellazione sicura delle informazioni si ottiene attraverso l’utilizzo di programmi informatici (quali wiping program o file shredder) che provvedono alla riscrittura nelle zone vuote: una volta che l’utente ha eliminato dei file (da un’unità disco o da analoghi supporti di memorizzazione) con i normali strumenti previsti dai diversi sistemi operativi, il programma provvede a scrivere ripetutamente nelle aree vuote del disco (precedentemente occupate dalle informazioni eliminate) sequenze casuali di cifre “binarie” (zero e uno) in modo da ridurre al minimo le probabilità di recupero di informazioni anche attraverso l’utilizzo di strumenti elettronici di analisi e recupero di dati;
- la formattazione “a basso livello” dei dispositivi di tipo hard disk (se possibile) attenendosi alle istruzioni fornite dal produttore del dispositivo e tenendo conto delle possibili conseguenze tecniche, non ultima una possibile sua successiva impossibilità di riutilizzo;
- la demagnetizzazione dei dispositivi di memoria basati su supporti magnetici o magneto-ottici (dischi rigidi, floppy-disk, nastri magnetici su bobine aperte o in cassette), in grado di garantire la cancellazione rapida delle informazioni anche su dispositivi non più funzionanti ai quali potrebbero non essere applicabili le procedure di cancellazione software.

Gli accorgimenti da adottare in caso di smaltimento
In caso di smaltimento di rifiuti elettrici ed elettronici, l’effettiva cancellazione dei dati personali dai supporti contenuti nelle apparecchiature elettriche ed elettroniche può anche essere la diretta conseguenza dell’applicazione delle procedure imposte dalla normativa vigente. Potrebbe, infatti, risultare che adottando queste procedure si ottenga la distruzione dei supporti di memorizzazione, ad esempio con sistemi di punzonatura o deformazione meccanica o con distruzione fisica (usata per i supporti ottici come i cd-rom e i dvd) o demagnetizzazione ad alta intensità.

Il provvedimento e le imprese
Con questo recente provvedimento, inoltre, il Garante per la Protezione dei dati ha fornito a tutta una platea di utilizzatori (piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili) alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato. Una semplificazione nelle procedure da adottare è stata indicata anche per chi tratta dati senza l’impiego di sistemi informatici.
In coerenza con il provvedimento sulle misure minime di sicurezza, il Garante ha adottato anche misure che semplificano il modello utilizzato per effettuare le notificazioni, cioè le dichiarazioni da produrre all’Autorità quando si avvia un trattamento di particolari tipi di dati (genetici, biometrici, procreazione assistita ecc.).
Il provvedimento sulle misure di sicurezza è immediatamente applicabile senza necessità di istanze o comunicazioni al Garante, mentre quello sulla notificazione sarà operativo entro 60 giorni dalla pubblicazione in Gazzetta e non comporterà l’obbligo di una nuova notifica o modificare le notificazioni a carico di chi lo abbia già fatto.
L’obiettivo dell’Autorità garante per la protezione dei dati è quello di mantenere un adeguato livello per le misure minime di sicurezza tenendo, tuttavia, in massima attenzione le caratteristiche delle nostre imprese, soprattutto quelle di piccole dimensioni. In quest’ottica il Garante ha tenuto in debito conto le esigenze prospettate dalle imprese e sta procedendo a una progressiva semplificazione, a un alleggerimento delle procedure e a un maggiore contenimento dei costi.
In base al provvedimento del Garante, le categorie interessate:
- possono impartire agli incaricati le istruzioni in materia di misure minime anche a voce;
- possono utilizzare, per l’accesso ai sistemi informatici, un qualsiasi sistema di autenticazione basato su username e password;
- lo username deve essere disattivato quando viene meno il diritto di accesso ai dati (per esempio quando non si opera più all’interno dell’organizzazione);
- in caso di assenze prolungate o di impedimenti del dipendente si possono mettere in atto procedure o modalità che consentano comunque l’operatività e la sicurezza del sistema (per esempio attraverso l’invio automatico delle email ad un altro recapito accessibile);
- i programmi di sicurezza (antivirus) devono essere aggiornati almeno una volta l’anno e si devono effettuare back-up dei dati almeno una volta al mese.

Nel sito www.garanteprivacy.it si può scaricare un documento con le istruzioni per favorire quanto più possibile una cancellazione sicura dei dati.
Per concludere, seguendo queste nuove indicazioni saremo in grado di cancellare in maniera definitiva i dati memorizzati e, così facendo, eviteremo che qualcuno possa estrarre informazioni rimaste in memoria.


Normativa e Tecnica

0 commenti - 1829 visite - inserito  l'anno scorso

© RIPRODUZIONE RISERVATA

COMMENTI (0)

Per inserire dei contenuti devi esserti registrato
username
password

Login

Registrati


DOMANDE (24)

Minihold

posizione caldaia murale

01.06.2010

Normativa e Tecnica

  (0 risposte - 374 visite) inserita da  

Minihold

   2 mesi fa
max

Dlgs 152/06 richiesta misura emissioni polveri per impianto termico

07.05.2010

Normativa e Tecnica

  (0 risposte - 583 visite) inserita da  

max

   3 mesi fa
nilogi

norma UNI 8364

30.04.2010

Normativa e Tecnica

  (0 risposte - 648 visite) inserita da  

nilogi

   4 mesi fa
nilogi

Allegato F

28.04.2010

Normativa e Tecnica

  (0 risposte - 503 visite) inserita da  

nilogi

   4 mesi fa

tutte le domande