800 561720
In una recente ordinanza di ingiunzione l’Autorità Garante per la protezione dei dati personali ha sanzionato un’azienda per l’utilizzo di un protocollo di comunicazione in chiaro (“HTTP”), non crittografato e non sicuro. Il provvedimento rappresenta un ottimo spunto per approfondire il tema della sicurezza sui siti: tassello chiave per la conformità al GDPR, nonché elemento essenziale per prevenire attacchi cyber, fra cui i c.d. “Man-in-the-Middle attacks” (MitM).
Lo scorso 6 ottobre, l’Autorità Garante ha pubblicato l’ordinanza di ingiunzione dei confronti della società Servizio Idrico Integrato S.c.p.a. Come spesso accade, l’istruttoria è partita da un reclamo di un interessato, il quale lamentava la carenza, sul sito web dell’azienda, di un sistema di cifratura dei dati (certificato SSL) che garantisse la sicurezza delle informazioni trattate attraverso l’area riservata agli utenti del servizio. In particolare, questa sezione del portale web includeva informazioni quali “nome, cognome o ragione sociale, codice fiscale o partita I.V.A., recapito e-mail e telefonico, prospetti di fatturazione, oltre all’identificativo utente”, appartenenti a circa 13.000 utenti iscritti.
Nelle memorie difensive la società ha rappresentato come, sino a quel momento, non si fosse mai verificata alcuna violazione dei dati stessi, né alcun tentativo illecito di accesso alle informazioni dei clienti. Inoltre, l’azienda aveva determinato la migrazione verso il protocollo “HTTPS” ben prima della comunicazione del Garante (“indice dell’azione di allineamento che l’azienda intendeva realizzare”).
Rilevati questi elementi, l’Autorità ha comunque deciso di comminare una sanzione pecuniaria, pari a 15.000 euro, per violazione di importanti principi sanciti dal Regolamento, fra cui quello di “integrità e riservatezza” dei dati trattati e quello di “protezione dei dati fin dalla progettazione”.
Perché il protocollo HTTP non basta? Un po’ di storia
In diverse occasioni l’Autorità ha affermato che “l’interazione di un utente con un sito web ai fini della trasmissione di dati personali debba essere protetta con protocolli crittografici SSL (Secure Socket Layer)”, in modo da minimizzare i rischi di furto di identità, sempre presenti nell’interazione web con normali protocolli HTTP in chiaro. Ma per quale ragione HTTP non basta?
Il web è nato come semplice HTTP (“Hypertext Transfer Protocol”) alla fine dagli anni '80. Tale protocollo rappresenta il sistema alla base della trasmissione di dati e informazioni su internet: il client (browser) effettua una chiamata al server (sito web) che, a sua volta, gli restituisce una risposta. Il problema della sicurezza nacque a metà degli anni ’90, con la nascita dei primi e-commerce. Attraverso il protocollo venivano scambiati dati in chiaro, client e server comunicavano senza alcuna protezione e ciò esponeva a vulnerabilità i dati in transito, in particolare quelli relativi alle carte di credito di chi si approcciava ai primi acquisti online.
Netscape Communications, società nota per aver realizzato il primo browser grafico nel World Wide Web (Netscape Navigator), realizzò, nel 1994, il certificato SSL (“Secure Sockets Layer”) che consentiva di cifrare e proteggere i dati che transitavano sul web durante la navigazione. In seguito a diverse versioni di SSL, nacque il TLS (“Transport Level Security”), versione più avanzata, sicura e moderna dell'SSL. HTTP venne quindi eseguito su SSL, dando origine al protocollo di comunicazione denominato HTTP over SSL (o TLS), anche chiamato “HTTPS” (“Hypertext Transfer Protocol Secure”).
Inizialmente, quindi, l’HTTPS era pensato unicamente per proteggere gli acquisti online. Netscape faceva pagare un server in grado di gestire transazioni sicure quasi cinque volte il costo di un server normale.
Fino al 2004 l'HTTPS veniva descritto come un sistema per la sicurezza dei siti delle banche online, il trading azionario e la vendita al dettaglio. Agli utenti veniva generalmente insegnato che dovevano aspettarsi di vedere https:// per la propria banca o per l'acquisto di prodotti, ma non per la maggior parte degli altri siti. Solo in seguito allo sviluppo di piattaforme web ad accesso riservato e all’affermazione dell’idea di dati come “il nuovo petrolio” dell’era digitale, iniziarono a diffondersi siti “comuni” protetti.
In epoca più recente, nel 2018 Google ha annunciato che il suo browser Chrome avrebbe contrassegnato i siti HTTP come “non sicuri”, mossa volta ad incoraggiare i proprietari di siti web a implementare l'HTTPS, nel tentativo di rendere il World Wide Web più sicuro.
L’insicurezza dell’HTTP: gli attacchi MitM
Come detto, attraverso il protocollo HTTP vengono scambiati dati in chiaro, senza la protezione della cifratura data dall’utilizzo di certificati SSL o TLS. L’utilizzo di tecniche crittografiche, allo stato dell’arte, è la contromisura principale per proteggere gli utenti dall’accesso ai dati da parte di un soggetto terzo non autorizzato, c.d. “Man-in-the-Middle” (MitM). Gli attacchi MitM rappresentano la principale minaccia per la navigazione sul web. I cybercriminali possono intercettare i dati presso gli endpoint, oppure dirottare il traffico verso i propri server.
- In primo luogo, quindi, è essenziale assicurarsi che vengano utilizzati la crittografia e i certificati appropriati ogni volta che è possibile.
- L’organizzazione dovrebbe applicare politiche di sicurezza restrittive sul sistema operativo e sulla navigazione, anche attraverso l’uso di sistemi firewall e proxy.
- Infine, a prescindere da quanto siano restrittive le politiche, gran parte della responsabilità ricade sempre sugli utenti. Pertanto, educare gli stessi ad un uso sicuro della rete e a riconoscere i segnali degli attacchi MitM, è il modo più efficace per evitarli.
Il criterio CIA / RID
Tornando al provvedimento sopra citato, il Garante, al termine dell’istruttoria, ha richiamato alcuni dei principi fondamentali che devono guidare ogni trattamento. Fra questi, in particolare, l’articolo 5 par. 1 lett. f), congiuntamente all’art. 32, costituisce il riferimento al fine di garantire un'adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Sulla base di tale principio, l’organizzazione deve essere in grado di garantire che il trattamento avvenga rispettando la triade “CIA” (Confidentiality, Integrity and Availability, tradotto: Riservatezza, Integrità e Disponibilità). Tali criteri devono essere ricercati in ogni soluzione di sicurezza, tenendo conto anche delle implicazioni introdotte dalle vulnerabilità e dai rischi.
- In prima battuta, quindi, un meccanismo di sicurezza deve offrire confidenzialità, ovvero garantire che i dati e le risorse siano preservati da un possibile utilizzo o accesso da parte di soggetti non autorizzati. La confidenzialità deve caratterizzare tutte le fasi di vita del dato, dalla sua raccolta alla sua trasmissione / transito lungo una rete di connessione.
- Il secondo dei criteri CIA riguarda l’integrità, ovvero la capacità di mantenere la veridicità dei dati e delle risorse e garantire che non siano in alcun modo modificate o cancellate, se non ad opera di soggetti autorizzati. All’atto pratico, integrità può avere diversi significati: può indicare la necessità di prevenire modifiche non autorizzate ad informazioni, ma anche garantire che le stesse siano univocamente identificabili e verificabili in tutti i contesti in cui vengono utilizzate (fra cui il web).
- Infine, il concetto di disponibilità si riferisce alla possibilità, per i soggetti autorizzati, di accedere ai dati e alle risorse di cui hanno bisogno per un tempo stabilito ed in modo ininterrotto.
I tre criteri in esame sono strettamente correlati fra loro ed il disegno di un sistema di gestione della sicurezza informatica, necessita che vengano tenuti in considerazione in modo unitario.
Data protection by design
Il concetto di “data protection by design” introdotto per la prima volta dall’articolo 25 del Regolamento europeo in materia di protezione dei dati personali, suggella definitivamente il passaggio da una visione delle misure di sicurezza da adottare legata alla mera compliance, ad una preventiva gestione del rischio e della sua mitigazione, tramite il controllo dell’intero ciclo di vita dell’informazione.
I progetti e le azioni messe in campo, possono essere di svariato tipo e devono orientarsi ad anticipare le possibili minacce o a mitigarne gli effetti negativi. Oggi, infatti, accanto alla capacità di prevenire e contrastare gli attacchi, è sempre più richiesto il saperli predire, per riuscire a rispondere in maniera tempestiva ed efficace. In tale contesto si inserisce la figura del DPO, la cui conoscenza dei processi, delle minacce e delle tecniche di prevenzione, deve contribuire all’implementazione della strategia aziendale di sicurezza, da concordare con il top management aziendale. L’attività del responsabile della protezione dei dati non deve però limitarsi a questa prima fase di progettazione della c.d. EISP (“Enterprise Information Security Policy”): il piano necessita di essere revisionato continuamente, in modo da far sì che si adatti alle nuove minacce e alle nuove aree di intervento, anche in relazione a nuovi trattamenti, in particolare se aventi carattere innovativo.
Per restare costantemente aggiornato rispetto alle minacce più recenti e alle relative misure di mitigazione; nonché per fornire consulenza, supportando la progettazione di strategie aziendali di sicurezza, ti consigliamo di iscriverti alla newsletter dell’Associazione.
Diventare membro, inoltre, ti consente di acquisire ulteriori benefici e di avere una community a sostegno con cui confrontarti, anche su temi non aventi carattere strettamente giuridico.
