NEWS

Il processo di logging e monitoring per la tutela da accessi abusivi alle banche dati

I recenti e preoccupanti casi degli accessi illeciti a banche dati, pubbliche e private, sono sintomatici dell’esigenza di tenere alta l’attenzione presso ogni organizzazione, pubblica o privata, alla tutela del proprio patrimonio informativo e alla privacy delle persone, i cui dati possono essere oggetto di data breach. Nell’ambito della più vasta questione della cybersecurity, tale fenomeno costituisce un fattore di rischio da minimizzare.

L’attualità della materia si rileva anche dalla recente Legge 90/2024Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” che, fra l’altro, ha modificato l’art. 615-ter (“Accesso abusivo ad un sistema informatico o telematico”) del Codice Penale; occorre anche rammentare che laddove si utilizzino le credenziali assegnate per svolgere attività su un database accedendo però a informazioni non pertinenti alle mansioni assegnate vi sarebbe un abuso del potere di accesso (agevolato dalla mancata segmentazione delle abilitazioni come invece richiederebbe il principio del “need to know”).

Un ruolo importante compete alle autorità a diverso titolo competenti nel definire le coordinate tecnico-normative in materia di protezione delle informazioni. In questo senso va sottolineata la recente creazione, da parte del Garante privacy, di una task force interdipartimentaleper individuare prontamente le attività da intraprendere e le maggiori garanzie a protezione delle banche dati”. E’ da ritenere che il lavoro di tale task force potrà consentire di individuare più robuste misure di protezione sia con riguardo agli accessi del personale autorizzato sia con riguardo agli amministratori di sistema e delle base dati.

In attesa di nuove indicazioni, è comunque utile soffermarsi su uno specifico processo IT: il logging e monitoring, che ogni organizzazione può (e dovrebbe) attuare per una gestione consapevole del rischio. Come dimostrano i recenti eventi, questa non deve essere considerata un’attività “una tantum” e limitata all’impiego di risorse, ma piuttosto un’attività che genera valore aggiunto, difendendo il patrimonio informativo dell’organizzazione in termini operativi, reputazionali e patrimoniali.

Premesso che, come accennato, la profilazione delle abilitazioni dovrebbe seguire le competenze assegnate a ciascun soggetto, per garantire l’integrità, la disponibilità e la riservatezza dei dati (sia personali che non), è essenziale monitorare accessi e attività sui sistemi informativi, in particolare di chi dispone utenze di massimo privilegio (come gli amministratori di sistema).

Il logging e monitoring, come vedremo, ha una funzione di sicurezza in tempo reale tramite strumenti come l’Identity and Access Management (IAM), con sistemi specifici di allerta, e funzioni ex-post, per la ricostruzione di eventi tecnici o anomali, anche a fini di forensic analysis. Tale aspetto, come suggeriscono gli eventi in questo periodo sulle prima pagine dei giornali, non sempre è adeguatamente considerato dalle funzioni di business e dalle funzioni tecniche che dovrebbero supportarle.

La centralità di questo processo risiede nell’apporto qualificante per una gestione dei sistemi informativi efficace, sicura e conforme a: 1) normative (GDPR, in primis, per quanto riguarda i dati personali), 2) previsioni contrattuali, e, in generale, 3) policy organizzative sulla governance dei dati. Non va trascurata, inoltre, la valenza preventiva della pubblicizzazione del logging e monitoring agli utenti autorizzati – sia interni che esterni – come deterrente contro accessi estemporanei, o addirittura illeciti, atteso che l’informativa sul logging e monitoring (anche ai sensi del GDPR) renderebbe possibile formulare contestazioni (in ogni caso possibili nel caso di fattispecie penali) ove emergessero nel monitoraggio comportamenti “eccentrici”.

Il processo si articola, in estrema sintesi, in vari passaggi: a) registrazione degli eventi e delle attività, che possono riguardare sia le operazioni svolte sulle risorse IT, sia l’accesso a dati e documenti; b) monitoraggio continuo dei sistemi informatici per identificare comportamenti sospetti o problematici, tramite strumenti che rilevano pattern sospetti nei file di log, attività non autorizzate o altre anomalie; c) analisi degli eventi o comportamenti anomali identificati tramite il monitoring (quanto più automatizzato possibile).

Una volta definite le policy in materia di governance delle informazioni e sicurezza IT - con la consulenza del Responsabile della Protezione dei Dati (Data Protection Officer), ove nominato -, l’implementazione di queste politiche spetta alla funzione IT, sentite anche le funzioni di business, che applicherà le politiche relative alla rilevazione, analisi e conservazione dei log.

Dato che la tassonomia dei log è ampia e i log generati dall’interazione con i sistemi informativi crescono in modo esponenziale (fino a diventare “big data” sull’uso delle risorse e delle informazioni digitali), la definizione di una policy dovrebbe includere:

- gli eventi per cui registrare i log, in funzione della criticità del sistema e di eventuali requisiti aziendali o legali;
- i tempi di conservazione dei file di log;
- la minimizzazione dei dati personali inclusi nei log (in ottemperanza alle normative sulla privacy e all’art. 4 della Legge 300/1970);
- l’articolazione del monitoraggio (a campione, con impostazione di alert anche in tempo reale, al crescere degli accessi per utente, in orari atipici, per routine automatizzate, ad hoc, ecc.), la frequenza e il reporting;
- le modalità di protezione, custodia e accesso ai file di log, per evitarne la manipolazione e/o la perdita accidentale e garantirne la validità giuridica. A tal proposito, si rammenta che il Codice dell’amministrazione digitale (Dlgs. 82/2005) prevede (oltre alla modifica dell’art. 2712 del Codice Civile per rendere le riproduzioni informatiche “piena prova dei fatti rappresentati, se non disconosciuti da chi contro cui sono prodotti”) che il documento informatico possa essere liberamente valutato a fini probatori in giudizio “in relazione alle caratteristiche di sicurezza, integrità e immodificabilità.”

In alcuni casi esistono normative specifiche che forniscono indicazioni in merito, come le disposizioni del Garante Privacy sugli amministratori di sistema (risalente al 2008/9 e suscettibile di eventuale ammodernamento). In altri casi, la determinazione spetta alle organizzazioni e rientra nella loro accountability. Un primo riferimento in materia è costituito dallo standard internazionale ISO 27001, che definisce i requisiti per un sistema di gestione della sicurezza delle informazioni, fornendo indicazioni sul logging e monitoring, e dal correlato ISO 27002, che si focalizza sui controlli.

La complessità del logging emerge già solo considerando una possibile tassonomia dei log: di sistema, di sicurezza, di applicazione, di accesso, di rete e di servizi cloud.

È comunque possibile definire log personalizzati per registrare eventi specifici in base alle esigenze dell’utente o dell’organizzazione, come quelli per monitorare attività di business specifiche o database specifici.

Considerata la mole di log generata dai sistemi, è utile avvalersi di strumenti quali:

- l’IAM, che consente di verificare l’identità di un utente e autorizzarne l’accesso alle risorse richieste, rilevando attività di accesso sospette e segnalando incidenti da verificare;
- il SIEM (Security Information and Event Management), per il monitoraggio e la gestione automatizzata degli eventi all’interno della rete e sui vari sistemi di sicurezza, fornendo correlazione e aggregazione tra essi. I log sono una fonte di informazioni centrale per un SIEM.

Un aspetto importante del logging e monitoring riguarda il rispetto dei principi in materia di trattamento dei dati personali. Diverse sono le questioni da considerare: a) poiché i log tracciano attività svolte anche da persone sui sistemi informativi, devono essere gestiti nel rispetto delle normative sulla privacy e dell’art. 4 della Legge 300/1970 (e degli artt. 113 e 114 del Codice Privacy) per evitare che siano usati come “mezzo di controllo” dell’operato del lavoratore; b) occorre provvedere agli adempimenti richiesti dalle norme in materia di trattamento di dati personali (dall’informativa al riporto nel Registro dei Trattamenti del processo in parola, eventualmente come componente di processi più ampi come la sicurezza IT; c) garantire la disponibilità, integrità e riservatezza dei dati di log, a tutela sia dei dati personali che del proprio patrimonio informativo; d) provvedere affinché i log siano inalterabili e adeguatamente protetti nell’interesse anche dei soggetti loggati (anche eventi patologici inerenti ai file di log possono originare data breach o comunque impattare sugli interessati, si pensi a log afferenti a segnalazioni di whistleblowing); e) definire un periodo di conservazione congruo e coerente con le finalità, eliminando i log “scaduti”, nelle modalità idonee a seconda del supporto utilizzato (solo logico o anche fisico).

In conclusione, in attesa di nuove direttive, IT security manager e privacy manager dovrebbero porsi la questione se effettuare un assessment su questa tematica anche avvalendosi, all’occorrenza, della consulenza dei DPO.

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Prev Responsabili del trattamento di dati, la scelta deve ricadere solo su soggetti che garantiscano misure di sicurezza adeguate per il rispetto del GDPR
Next Meta, sanzione da oltre 25 milioni di dollari per la privacy policy di WhatsApp

App di incontri e rischi sulla privacy

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy