Sinergie di Scuola

Ad oggi, l’avanzamento tecnologico ha comportato un utilizzo sempre maggiore di PC e altri dispositivi, costantemente connessi ad internet, semplificando indubbiamente molti aspetti della nostra vita sociale e lavorativa. Spesso però si tendono a sottovalutare le minacce della rete e a non prestare attenzione alle norme vigenti in materia di sicurezza informatica.

Gestire e condividere documenti, progetti, dati personali e altro senza un’adeguata protezione è un po’ come uscire di casa e lasciare la porta aperta.

Vediamo insieme quali sono le regole fondamentali per una navigazione sicura.

Cos’è la sicurezza informatica

Partiamo da un punto fondamentale: nel campo tecnologico e informatico la sicurezza assoluta non esiste.

La sicurezza è un processo dinamico che evolve e si adatta a seconda delle situazioni di fronte alle quali ci si trova; bisogna dunque puntare ad uno screening costante delle criticità e degli eventuali problemi che potrebbero verificarsi.

Non è possibile annullare completamente i rischi relativi alla sicurezza del nostro sistema informatico, ma è possibile utilizzare strumenti e procedure che rendano minimi tali rischi.

Lo scopo della sicurezza informatica è garantire:

  • confidenzialità: l’accesso ai dati è riservato a chi ne ha diritto;
  • integrità: i dati non devono essere danneggiati, manipolati o perduti;
  • disponibilità: garantire che le informazioni siano sempre accessibili.

Il grado di insicurezza di un sistema è direttamente proporzionale alla sua complessità e ogni sistema è soggetto a tre diverse tipologie di vulnerabilità:

  • problemi dovuti all’hardware: errori nel funzionamento della parte fisica del sistema, problemi legati all’utilizzo di apparecchiature obsolete o non idonee;
  • problemi legati al software: programmi troppo vecchi o vulnerabili perché non sufficientemente protetti e aggiornati;
  • vulnerabilità dovute al fattore umano o wetware: la presenza dell’essere umano è l’elemento da tenere maggiormente sotto controllo nel discorso sicurezza. Il principale strumento per la difesa dei dispositivi e dei loro dati è, infatti, il buon senso dell’utente.

I maggiori pericoli

Da dove provengono i pericoli maggiori per la sicurezza dei sistemi informatici?

I software o programmi maligni, noti anche come malware, vengono diffusi principalmente tramite la rete internet (e-mail, condivisione file in reti P2P e siti web non attendibili), ma possono essere introdotti anche attraverso i dispostivi di memoria esterni, come chiavette USB (leggi anche “Come proteggere un sistema informatico e i suoi dati (IT Security)”).

L’elevata diffusione di malware è da attribuire soprattutto a chi utilizza il PC, che troppo spesso non si cura delle basilari misure di sicurezza che comunque ha a disposizione e potrebbe facilmente impostare.

La sicurezza nei sistemi informatici e telematici della scuola

Il 1° gennaio 2006 è entrato in vigore il Codice dell’Amministrazione Digitale (CAD), emanato per la prima volta con D.Lgs. 7/03/2005, n. 82, pubblicato in G.U. del 16/05/2005, n. 112; nel corso del tempo ha subito diverse integrazioni, e oggi costituisce un insieme di disposizioni relative all’uso dell’informatica come strumento privilegiato nei rapporti tra la pubblica amministrazione e i cittadini.

Al primo comma dell’art. 40, il CAD stabilisce che la Pubblica Amministrazione è tenuta a creare i suoi documenti originali non più in formato cartaceo o analogico, ma come documenti informatici e, dunque, il documento nasce in digitale e sarà in seguito gestito, trasmesso e conservato in formato digitale.

Posto che la Pubblica Amministrazione vive la sua attività in una dimensione digitale, non si può certamente pensare di ignorare le regole della sicurezza informatica.

Vediamo quali sono le norme di riferimento e quali sono le misure da implementare per proteggere i sistemi informatici nelle scuole e, in generale, nella Pubblica Amministrazione.

La normativa di riferimento

La normativa cardine è il D.Lgs. 196/2003, noto come Codice della privacy. Tale normativa stabilisce le misure di sicurezza minime e quelle idonee da adottare nell’ambito della sicurezza informatica: entrambe le misure sono obbligatorie.

In particolare, l’art. 31 del Codice (Obbligo di sicurezza e misure idonee) stabilisce che i dati personali oggetto di trattamento siano custoditi e controllati in modo da ridurne al minimo i rischi di distruzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, mediante l’adozione di misure di sicurezza idonee e preventive, ovvero, che queste misure siano applicate nell’immediatezza e siano le migliori possibili in relazione al progresso tecnico raggiunto in quel determinato momento.

La mancata adozione di misure idonee espone ad una responsabilità civile (art. 15 del Codice).

Il successivo art. 33 definisce le misure minime, cioè quelle misure volte ad assicurare un livello minimo di protezione dei dati personali.

Esistono quindi delle operazioni minime finalizzate alla sicurezza informatica che non possono assolutamente essere tralasciate.

L’inosservanza delle misure minime espone, infatti, ad una sanzione penale (art. 169 del Codice).

Le misure minime sono richiamate dall’art. 34 e sono poi esplicitate meglio dall’allegato B del Codice.

Di sicurezza informatica non ci parla però soltanto il Codice della privacy, che comunque viene richiamato anche dalle norme successive. Altri articoli da tenere presente nell’ambito della sicurezza informatica sono:

  • Art. 50-bis del Codice dell’Amministrazione Digitale (CAD): questo articolo prevede che le Pubbliche Amministrazioni debbano dotarsi di un piano di continuità operativa, che consenta di evitare una situazione critica o disastrosa per il sistema informatico fissando gli obiettivi e i principi da perseguire e descrivendo le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni, e il piano di disaster recovery che, nel caso dovesse verificarsi un incidente, specifichi cosa fare per ripristinare il sistema. Quindi misure preventive e successive al verificarsi dell’evento dannoso.
  • Art. 51 del Codice dell’Amministrazione Digitale (CAD): sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni.
  • Art. 12 del D.P.C.M. 12/03/2014: sicurezza del sistema di conservazione. Nelle pubbliche amministrazioni, il responsabile della conservazione, di concerto con il responsabile della sicurezza e, nel caso delle pubbliche amministrazioni centrali, anche con il responsabile dell’ufficio, di cui all’art. 17 del Codice, provvede a predisporre, nell’ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione, nel rispetto delle misure di sicurezza previste dagli artt. da 31 a 36 (le misure minime e idonee descritte in precedenza) del D.Lgs. 196/2003 e dal disciplinare tecnico di cui all’allegato B del medesimo decreto, nonché, in coerenza con quanto previsto dagli artt. 50-bis e 51 del Codice e dalle relative linee guida emanate dall’Agenzia per l’Italia Digitale.

Le misure minime

Vediamo quali sono queste misure minime, partendo dal concetto di autenticazione informatica.

All’interno della scuola possono essere presenti dei sistemi informatici, accedendo ai quali è possibile entrare in contatto con dati personali di alunni, personale e altri soggetti.

Questi sistemi devono essere protetti, come misura minima, da un sistema di autenticazione informatica.

Il trattamento di dati personali con strumenti elettronici è consentito soltanto agli incaricati dotati di credenziali di autenticazione.

L’allegato B del Codice della privacy stabilisce tre tipologie di credenziali di autenticazione necessarie per l’accesso al sistema informatico:

  1. in base a quello che si è: una caratteristica biometrica dell’incaricato, ad esempio la lettura delle impronte digitali;
  2. in base a quello che si ha: tesserino identificativo, badge, chiavetta hardware ecc.;
  3. in base a quello che si conosce: username e password, PIN ecc.

Nel caso di utilizzo di password, l’allegato B ci dice come deve essere composta tale password e ogni quanto tempo è necessario cambiarla.

La parola chiave (password) deve essere composta da almeno otto caratteri o, se lo strumento elettronico utilizzato prevede l’utilizzo di un numero di cifre inferiore ad 8, bisogna usare il numero massimo di cifre consentito.

La password non può contenere riferimenti agevolmente riconducibili all’incaricato (nome del figlio, data di nascita, ecc.), deve essere modificata dall’incaricato al primo utilizzo e, successivamente, almeno ogni sei mesi.

In caso di trattamento di dati sensibili e di dati giudiziari la password deve essere modificata almeno ogni tre mesi.

Oltre alle password vietate vi sono anche quelle sconsigliate: quelle, cioè, costituite da parole contenute in un vocabolario, poiché esistono particolari software in grado di scovare questo tipo di password.

Quando allo stesso sistema informatico accedono diversi soggetti e tali soggetti devono poter prendere visione di documenti diversi all’interno dello stesso sistema, è necessario attivare un sistema di autorizzazione che consenta di differenziare i privilegi di accesso a uno o più documenti da parte di soggetti diversi.

L’autorizzazione consente, dunque, di differenziare i privilegi di accesso allo stesso sistema informatico da parte di più soggetti, sulla base di un “profilo di autorizzazione” che consente di individuare quali dati possono essere visualizzati e/o trattati da un soggetto autorizzato all’accesso.

Altre misure da adottare

Dati personali e sistemi informatici devono essere protetti dall’azione di programmi potenzialmente dannosi, quali, ad esempio, virus, trojan, worm ecc., mediante l’attivazione di idonei strumenti elettronici (antivirus) da aggiornare con cadenza almeno semestrale (misura minima).

In realtà un software antivirus, affinché non perda la sua efficacia, deve essere aggiornato regolarmente: giornalmente o almeno, settimanalmente (misura idonea).

Non sono soltanto i software antivirus a dover essere aggiornati regolarmente, ma anche il Sistema Operativo e tutto il software contenuto nel sistema informatico (Microsoft Office, programmi gestionali ecc.).

Gli aggiornamenti periodici dei programmi applicativi e del sistema operativo, volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti devono essere effettuati almeno annualmente (misura minima).

In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale (misura minima).

Un’altra misura di protezione da adottare assolutamente è il sistema di backup e deve essere eseguito almeno una volta alla settimana (misura minima).

Il backup è un’operazione che permette di conservare una copia dei dati, in modo da prevenire inaspettati blocchi del sistema o dannosissime perdite dei dati stessi.

L’aggiornamento settimanale, tuttavia, potrebbe non bastare ed è sempre consigliabile il backup quotidiano dei dati (misura idonea).

Altre misure minime sono previste nel caso in cui il sistema informatico contenga dati sensibili e giudiziari:

  • Installazione di sistemi di protezione dagli accessi abusivi (Instrusion Detection System e Intrusion Prevention System);
  • Istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili. Le chiavette USB, ad esempio, sono una grandissima fonte di rischio per quanto riguarda la sicurezza informatica.
  • Adozione di sistemi di wiping sui supporti di memoria (chiavette, hard disk...) non più utilizzati. Il wiping è una tecnica di rimozione definitiva dei dati, che impedisce il recupero di dati cancellati da un supporto di memoria.
  • Utilizzo di sistemi di data recovery che permettano il ripristino dei dati perduti, nel giro di 7 giorni.

Rischi legati alla presenza dell’elemento umano (wetware)

Possiamo avere il sistema informatico più sicuro del mondo, ma se su quel sistema opera un soggetto che non ha nessuna cognizione delle basilari tecniche di sicurezza e protezione dei dati, quel sistema diventerà vulnerabilissimo.

Molti attaccanti conoscono queste debolezze e le sfruttano. Questo tipo di attacco basato sulla debolezza dell’elemento umano è noto come attacco di ingegneria sociale.

Vediamo un esempio di attacco di ingegneria sociale basato sulla curiosità dell’elemento umano: in un esperimento sociale del 2006, sono state volutamente dimenticate in una azienda 20 chiavette USB contenenti un trojan (software che una volta installato su un sistema, consente all’attaccante di accedere agevolmente a quel sistema informatico). Delle 20 chiavette, 15 sono state trovate da dipendenti sprovveduti e inserite nel sistema che è stato così violato.

Quindi, attenzione anche a comportamenti eccessivamente incauti!

Leggi altri contenuti su:

© 2024 HomoFaber Edizioni Srl - Tutti i diritti riservati. Sono vietate la copia e la riproduzione senza autorizzazione scritta. Sono ammesse brevi citazioni ed estratti indicando espressamente la fonte (Sinergie di Scuola) e il link alla home page del sito.