Cancellazione Sicura

Cancellazione Sicura grazie all’introduzione del GDPR (General Data Protection Regulation, regolamento generale sulla protezione dei dati) maggio 2016, ha portato alla ribalta le strategie di distruzione dei dati e l’obbligo della cancellazione sicura.

Grazie alle multe potenzialmente punitive per la mancanza di conformità e per la responsabilità ora in capo al team dei leader senior, lo storage dei dati è ora fermamente in cima alle priorità per molte organizzazioni.

Tuttavia, conoscere il problema e intraprendere delle azioni pragmatiche per affrontarlo sono chiaramente due cose diverse.

Il problema è che le organizzazioni non sempre sanno dove si trovano i loro dati, così rispondere alle richieste di accesso per soggetto (subject access requests, SAR) in relazione alle informazioni personali è destinato a diventare un processo complesso e dispendioso in termini di tempo e denaro.

Ai sensi dell’Articolo 17 del GDPR, le organizzazioni devono essere in grado di dimostrare di utilizzare processi di cancellzione sicura dei dati in maniera permanente.

Una volta intrapresa la verifica iniziale dei dati (la maggior parte delle organizzazioni dovrebbe essere a buon punto nel completamento di questo processo in preparazione al GDPR) la fase successiva consiste nell’eliminare i dati personali che non sono più rilevanti, che non sono più utilizzati per uno scopo specifico o che si riferiscono a minori di anni 16.

Cancellare sicura dei dati

In ogni caso, eliminare semplicemente i dati o riformattare i supporti magnetici (inclusi hard disk e nastri) non sarà sufficiente per garantire che non siano presenti dati personali inesatti in qualche parte dell’attività.

Se i dati vengono eliminati da qualsiasi tipo di supporto, in molti casi possono essere recuperati, anche quando l’hardware è danneggiato da acqua o fuoco.

Fortunatamente, sono disponibili molte soluzioni software che ripuliscono completamente i dispositivi in modo che essi possono essere riutilizzati, rivenduti o riciclati in modo sicuro.

Esistono anche soluzioni che assicurano la cancellazione sicura, sia in maniera permanente solo file specifici e mirati. Esistono ovviamente anche soluzioni di cancellazione più definitive, come il degaussing, che smagnetizza i nastri magnetici e rende il dispositivo completamente illeggibile (e inutilizzabile), il processo è chiamato cancellazione sicura.

I dischi virtuali dovrebbero anche essere considerati come parte di qualsiasi processo di eliminazione dei dati. I fornitori di servizi di terze parti in particolare utilizzano l’infrastruttura virtualizzata per ripartire lo spazio storage su più clienti, al fine di ottenere delle economie di scala.

Molti fornitori si trovano quindi a dover affrontare il problema di eliminare in maniera sicura determinate aree dell’infrastruttura di storage virtuale lasciando il resto intatto, per esempio in caso di scadenza per un cliente del contratto dei servizi gestiti.

I rischi delle unità fisiche

Un’altra importante fonte di rischio sono le unità fisiche, che tendono a essere riciclate e riutilizzate dalle organizzazioni che cercano di contenere i costi dello storage.

Se non si utilizzano gli strumenti e i software adeguati per la cancellazione dei dati, le organizzazioni non possono avere la certezza che siano stati rimossi i dati sensibili prima che il dispositivo venga reimplementato o rispedito al produttore.

In una ricerca condotta su 64 dischi acquistati online da diversi paesi, tra cui Stati Uniti, Germania, Francia, Italia, regione Asia-Pacifico, Polonia e Regno Unito, una azienda leader nel settore ha rilevato che 30 dischi contenevano ancora tracce di dati personali.

Uno dei dischi, in particolare, ha fatto scattare un allarme. Apparteneva a una società che si avvaleva di un service provider per cancellare e rivendere vecchi dischi.

Nonostante questo, il disco conteneva un’elevata quantità di informazioni altamente sensibili, tra cui nomi utente, indirizzi di abitazioni, numeri di telefono e dettagli delle carte di credito.

Conteneva un elenco di dipendenti di circa 100 nomi che includeva informazioni relative a esperienza lavorativa, titoli professionali, numeri di telefono, conoscenza delle lingue, periodi di ferie e 1 MB di rubrica offline.

Quasi un terzo (21 dischi) conteneva foto personali, documenti privati, e-mail, video, audio o musica. Su otto dischi sono state trovate informazioni relative ad account utente, compresi dati di accesso come nomi e cognomi, dettagli di contatto, indirizzi e-mail, nomi e password di account online.

Su circa 9 dischi sono stati recuperati dei dati commerciali, tra cui nomi di società, buste paga, numeri di carte di credito, informazioni sui conti correnti bancari, dettagli di investimento e dichiarazioni dei redditi.

Il problema si estende al mondo business, dato che gli accessi agli account aziendali degli utenti vengono effettuati dai dispositivi mobili personali. Nel corso di questa indagine, abbiamo rilevato che sei dischi contenevano dati di business critichi come file CAD, PDF, JPG e password.

Abbiamo inoltre trovato configurazioni complete di store online, file di configurazione e video di training per POS nella nostra valutazione di questi sei dischi. Altri cinque includevano ulteriori dati relativi al lavoro: fatture e ordini di acquisto, la maggior parte dei quali riportava informazioni personali sensibili.

Gli utenti non conoscono i rischi

In un sondaggio precedente condotto su 2.000 consumatori del Regno Unito, abbiamo scoperto che molti utenti non sono consapevoli dei rischi derivanti dal mancato backup dei dati o da uno scorretto riciclo dei propri dispositivi.

Quasi 1 su 10 (11%) ha ammesso di non essere sicuro che i dati fossero stati cancellati in maniera permanente nel momento di riutilizzare o gettare via vecchi cellulari, tablet o computer.

Solo il 32% ha affermato di effettuare regolarmente il backup dei dati sui propri dispositivi elettronici, mentre il restante 68% rischia la perdita di informazioni personali o lascia i dati sui propri dispositivi che possono essere persi, danneggiati, rivenduti o smaltiti.

Indagini forensi

Nel mondo si è verificata una proliferazione di gadget, dagli smartphone agli iPad fino ai digital assistant con comando vocale, televisori e frigoriferi in grado di registrare e trasmettere dati.

I sensori industriali e le telecamere CCTV contribuiscono a produrre dati così estesi e complessi che è necessario un nuovo approccio per archiviarli, proteggerli e cancellarli su richiesta dei singoli.

Gli esperti di informatica forense possono utilizzare i dati per costruire o fare a pezzi una causa. Un esempio di tale possibilità si è registrato quando la pubblica accusa ha scoperto che i dati Fitbit di una donna assassinata non combaciavano con l’alibi del marito.

In base alle posizioni registrate dal Fitbit e dal controllo dell’attività, gli investigatori hanno potuto compilare una cronologia degli spostamenti che ha dimostrato che la donna non era nel luogo indicato dal marito al momento dell’omicidio. Richard Dabate è ora fuori su cauzione, in attesa del processo per aver ucciso la moglie.

Questo caso serve a dimostrare che un esperto di informatica forense caparbio sarà in grado di recuperare i dati da quasi tutti i dispositivi, indipendentemente dallo stato in cui si trovano.

I numerosi studi che abbiamo condotto nel corso degli anni sui dispositivi persi o riciclati mostrano spesso una mancanza di attenzione, che espone gli individui e le organizzazioni per cui lavorano a un elevato livello di rischio.

L’effetto GDPR

Con l’entrata in vigore della nuova legislazione GDPR, le società, sia del settore pubblico che di quello privato, dovranno dimostrare che i dati sono stati cancellati in maniera sicura, in linea con le nuove linee guida, e documentare di essere completamente affidabili per il monitoraggio, la revisione e l’accesso alle relative procedure di trattamento.

Dovranno mostrare disponibilità a ridurre al minimo l’elaborazione e la conservazione non necessaria dei dati, oltre a implementare misure di protezione per tutte le attività correlate ai dati stessi.

Molte organizzazioni stanno già considerando il GDPR come un motivo per applicare le best practice alle proprie strategie di data storage.

Implementare una politica di cancellazione end-to-end comporta parecchi vantaggi di business, non derivanti semplicemente dall’attenzione che viene ora dedicata alla legislazione rivista in ambito europeo.

Costi – il data storage, sia fisico che virtuale, è costoso. Essere in grado di cancellare i dati in maniera sicura consente alle società di riciclare e riutilizzare i supporti di archiviazione senza il timore di mettere inavvertitamente i dati sensibili nelle mani di altri.

Sicurezza – La differenza tra eliminazione e cancellazione è spesso fraintesa e talvolta si pensa che siano la stessa cosa. È importante per le società comprendere che se i dati vengono eliminati, essi possono essere recuperati. Al contrario, se sono adeguatamente cancellati, saranno irrecuperabili.

Restare aggiornati – L’attenzione sulla conservazione e la cancellazione dei dati non è una novità (PCI DSS, ISO 270001), ma dato che il mondo diventa sempre più dipendente dai dati, è comprensibile che si avverta l’esigenza di regolamenti maggiormente focalizzati e applicati a livello mondiale.

Il GDPR regolerà anche importanti aspetti come la globalizzazione o sviluppi tecnologici popolari, come Facebook, Twitter, Google+ e altre piattaforme di social media. La nuova legislazione comprenderà tutte le nuove modalità di comunicazione dell’era digitale e le relative informazioni che vengono generate dalla nostra interazione con questa tecnologia.

In base alla nostra esperienza, sembra che i professionisti nella protezione dei dati siano in generale ben informati in relazione alla nuova legislazione GDPR.

La sfida per loro è quella di colmare il divario tra i requisiti teorici e le attività pratiche di implementazione, oltre a gestire l’impatto che tutto ciò avrà sulle aziende per cui lavorano. Ciò include la capacità di cancellare i dati in maniera sicura e con un processo verificabile.

Al contrario, ci sono ancora parecchie organizzazioni che non hanno assegnato le attività associate alla protezione dei dati all’interno del proprio business, che si tratti di un singolo addetto alla protezione dei dati o un team. Per queste società, il tempo sta scadendo.

Cosa sta facendo la tua organizzazione per smaltire i dati in maniera adeguata e perché? Credi di essere preparato per il GDPR?

Cancellare i dati in modo certo e definitivo al momento della dismissione del device o della sostituzione dell’unità di memoria è un obbligo ripetutamente indicato dal GDPR:


Art. 4 del GDPR 2016/679

Nella definizione di “trattamento” sono incluse la cancellazione o la distruzione dei dati.


Art. 5 del GDPR 2016/679

Si specifica che i dati devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.


Art. 17 del GDPR 2016/679

Si obbliga ad avvalersi di sistemi di rimozione certificata per rimuoverli in modo permanente nel rispetto della loro Privacy (diritto all’oblio).

PSD2, cosa cambia?

PSD2, porta diverse novità nella gestione dei pagamenti e del denaro.

In un mondo sempre più complesso, consumatori e aziende sono alla ricerca di servizi finanziari che possano aiutarli a perseguire i propri obiettivi.
La rivoluzione del settore dei servizi finanziari è appena cominciata: l’open banking consente ai provider di trasformare il modo in cui persone e imprese gestiscono il denaro.
I clienti potranno avere offerte personalizzate e costi inferiori, mentre i sistemi bancari dovranno abbracciare il concetto di apertura e digitalizzazione.
Non solo, saranno notevolmente rafforzate le misure di sicurezza. Questo grazie a nuovi standard di autenticazione per limitare il rischio frodi.

PSD2, vantaggi e tecnologia

Con la PSD2 (Payment Services Directive 2), l’Unione Europea si è espressa sul tema dei pagamenti elettronici con una direttiva specifica, che va ad impattare in modo importante sull’attività delle banche convenzionali.
All’atto pratico, con la PSD2 si vuole favorire la concorrenza sul mercato dei pagamenti e dare maggiore apertura alle informazioni dei conti correnti bancari.
In questo contesto, i soggetti di riferimento sono molti, con riferimento particolare ai fornitori dei servizi di pagamento. Sono dunque coinvolte le banche, le assicurazioni, le Telco e le società Fintech, sino ai cosiddetti TPP (Third Party Providers). Un aspetto importante riguarda la richiesta implicita nella direttiva: le banche dovranno concedere ai TPP un accesso sicuro ai conti dei clienti e alle informazioni sui pagamenti, allo scopo di concretizzare un mercato europeo dei pagamenti più efficiente.

PSD2 stravolge i canoni consueti di questo settore e apre a una grande varietà di player non tradizionali, generando grandi opportunità per tutte le parti in gioco.  Questo perché spalanca le porte del mercato dei pagamenti anche a parti terze, che offrono servizi basati sull’accesso alle informazioni del conto di pagamento e propongono servizi alternativi, fino ad oggi inesistenti.

Clienti, banche, operatori terzi

I dati che saranno trasmessi tra banche e soggetti terzi riguardano principalmente informazioni essenziali, legate ai prodotti bancari e agli istituti di credito. Ma c’è di più, con PSD2 le transazioni effettuate saranno registrate dalla banca e, successivamente, condivise anche a terze parti. Così si realizza l’open banking, attraverso API dedicate che consentono a nuovi soggetti di entrare nel mercato finanziario. Essi potranno dunque creare nuovi prodotti e servizi smart, ritagliati sulle esigenze dei clienti.

La sicurezza, tutti i giorni

Il regolamento pone particolare attenzione su aspetti quali i requisiti dell’autenticazione forte del cliente. Sussistono poi esenzioni dall’applicazione dell’autenticazione forte sulla base del livello del rischio connesso al servizio prestato, dell’importo e/o della frequenza dell’operazione, del canale di pagamento.
Sono definiti anche i requisiti di riservatezza e integrità delle credenziali di sicurezza personalizzate.
La normativa sancisce anche i requisiti di standard aperti di comunicazione comuni e sicuri. Questo, ai fini dell’identificazione, dell’autenticazione, della notifica e della trasmissione di informazioni, nonché dell’attuazione delle misure di sicurezza, tra i diversi prestatori di servizi di pagamento coinvolti.

Per i clienti, tutto questo si traduce in una maggiore attenzione richiesta, almeno in principio. Il dialogo con il player della catena è fondamentale, così come assicurarsi che la propria banca abbia già predisposto servizi e soluzioni per evitare interruzioni di pagamento o blocchi delle transazioni tramite carta.

E-commerce: maggiore sicurezza nelle transazioni online

Per chi gestisce uno shop online, la normativa garantisce maggiore sicurezza nelle compravendite online e un e-commerce a norma. I consumatori possono effettuare pagamenti, o accedere alle proprie informazioni bancarie, senza doversi preoccupare di possibili frodi o violazioni della privacy.
Una delle grandi novità è l’introduzione della SCA (Strong Customer Authentication). Si tratta di un meccanismo che prevede l’identificazione in due passaggi per chi esegue un acquisto online.
Ad oggi, chi effettua un acquisto o un pagamento online, può semplicemente usare la carta di credito e il relativo numero di sicurezza. Con l’effettiva entrata in vigore della norma, gli acquirenti di prodotti o servizi, dovranno comprovare la propria identità. Per farlo occorreranno due fattori di autenticazione distinti: PIN o password, oppure tramite smartphone precedentemente registrato o una carta della banca dotata di numero di sicurezza. Sussistono, inoltre, altri meccanismi di riconoscimento, come l’identificazione tramite impronta digitale, riconoscimento facciale o vocale.

Per quanto riguarda gli shop online, la SCA prevede un aggiornamento delle procedure di pagamento e l’inclusione di un secondo fattore di autenticazione.
Per una corretta gestione del sito di e-commerce sarà necessario effettuare alcuni adeguamenti. Determinate piattaforme potrebbero richiedere l’implementazione di elementi sul check-out dello shop online. Parliamo di componenti che dovranno necessariamente essere aggiornati per far sì che l’e-commerce rispetti in pieno la norma.

Se si utilizzano architetture open-source (Magento, PrestaShop, WooCommerce), con i relativi plugin per integrare i metodi di pagamento, potrebbe essere sufficiente aggiornare questi elementi all’ultima versione disponibile.
Ciascuno di questi passaggi dovrebbe essere portato a termine da personale debitamente formato e preparato. È dunque consigliabile l’intervento del servizio tecnico, in molti casi offerto direttamente dal provider.

3D Secure 2: un’ulteriore autenticazione contro rischi e truffe

La nuova normativa introduce un ulteriore sistema di autenticazione, denominato 3DS 2.0. Si tratta di uno strumento che permettere di migliorare notevolmente la sicurezza delle transazioni online contro rischi e truffe.
3DS 2.0 è una nuova versione di 3D Secure. Essa semplifica l’autenticazione e facilita i pagamenti online. Rispetto alla variante 3DS, fino ad oggi largamente impiegata, il sistema prevede che l’autenticazione della transazione sia eseguita all’interno dell’App o del modulo di pagamento dell’e-commerce, evitando reindirizzamenti.
Così facendo, la transazione può passare attraverso un flusso di autenticazione semplificato e più veloce.
Non solo, l’attuale 3DS non consente al cliente di pagare utilizzando portafogli virtuali (e-wallet e mobile wallet). La nuova release abilita invece questo genere di risorse, al fianco delle canoniche carte di credito.

3DS 2.0 trasmette alla banca del titolare della carta dati importanti, come l’indirizzo di spedizione, l’ID del dispositivo del cliente e la cronologia delle precedenti transazioni. Conseguentemente, la banca può valutare il livello di rischio, abilitando o meno la transazione.
Si può dunque affermare che 3DS 2.0 ottimizzerà la user experience, diminuirà l’abbandono del carrello e renderà l’autenticazione più dinamica e sicura.

La MBLI S.a.s. di Marchese Daniele Rosario, è partner di player attivi in UE, Aruba Enterprise è Qualified Trust Service Provider nella OBE Directory con CA Actalis e Aruba PEC, per la fornitura di QWAC e QSealC service.

Banche, finance e il settore assicurativo adottano già oggi gli strumenti sicuri Actalis e Aruba PEC, per stare al passo con l’evoluzione tecnologica e normativa.

PSD2, vantaggi e tecnologia

Con la PSD2 (Payment Services Directive 2), l’Unione Europea si è espressa sul tema dei pagamenti elettronici con una direttiva specifica, che va ad impattare in modo importante sull’attività delle banche convenzionali.
All’atto pratico, con la PSD2 si vuole favorire la concorrenza sul mercato dei pagamenti e dare maggiore apertura alle informazioni dei conti correnti bancari.
In questo contesto, i soggetti di riferimento sono molti, con riferimento particolare ai fornitori dei servizi di pagamento. Sono dunque coinvolte le banche, le assicurazioni, le Telco e le società Fintech, sino ai cosiddetti TPP (Third Party Providers). Un aspetto importante riguarda la richiesta implicita nella direttiva: le banche dovranno concedere ai TPP un accesso sicuro ai conti dei clienti e alle informazioni sui pagamenti, allo scopo di concretizzare un mercato europeo dei pagamenti più efficiente.

PSD2 stravolge i canoni consueti di questo settore e apre a una grande varietà di player non tradizionali, generando grandi opportunità per tutte le parti in gioco.  Questo perché spalanca le porte del mercato dei pagamenti anche a parti terze, che offrono servizi basati sull’accesso alle informazioni del conto di pagamento e propongono servizi alternativi, fino ad oggi inesistenti.

Clienti, banche, operatori terzi

I dati che saranno trasmessi tra banche e soggetti terzi riguardano principalmente informazioni essenziali, legate ai prodotti bancari e agli istituti di credito. Ma c’è di più, con PSD2 le transazioni effettuate saranno registrate dalla banca e, successivamente, condivise anche a terze parti. Così si realizza l’open banking, attraverso API dedicate che consentono a nuovi soggetti di entrare nel mercato finanziario. Essi potranno dunque creare nuovi prodotti e servizi smart, ritagliati sulle esigenze dei clienti.

La sicurezza, tutti i giorni

Il regolamento pone particolare attenzione su aspetti quali i requisiti dell’autenticazione forte del cliente. Sussistono poi esenzioni dall’applicazione dell’autenticazione forte sulla base del livello del rischio connesso al servizio prestato, dell’importo e/o della frequenza dell’operazione, del canale di pagamento.
Sono definiti anche i requisiti di riservatezza e integrità delle credenziali di sicurezza personalizzate.
La normativa sancisce anche i requisiti di standard aperti di comunicazione comuni e sicuri. Questo, ai fini dell’identificazione, dell’autenticazione, della notifica e della trasmissione di informazioni, nonché dell’attuazione delle misure di sicurezza, tra i diversi prestatori di servizi di pagamento coinvolti.

Per i clienti, tutto questo si traduce in una maggiore attenzione richiesta, almeno in principio. Il dialogo con il player della catena è fondamentale, così come assicurarsi che la propria banca abbia già predisposto servizi e soluzioni per evitare interruzioni di pagamento o blocchi delle transazioni tramite carta.

E-commerce: maggiore sicurezza nelle transazioni online

Per chi gestisce uno shop online, la normativa garantisce maggiore sicurezza nelle compravendite online e un e-commerce a norma. I consumatori possono effettuare pagamenti, o accedere alle proprie informazioni bancarie, senza doversi preoccupare di possibili frodi o violazioni della privacy.
Una delle grandi novità è l’introduzione della SCA (Strong Customer Authentication). Si tratta di un meccanismo che prevede l’identificazione in due passaggi per chi esegue un acquisto online.
Ad oggi, chi effettua un acquisto o un pagamento online, può semplicemente usare la carta di credito e il relativo numero di sicurezza. Con l’effettiva entrata in vigore della norma, gli acquirenti di prodotti o servizi, dovranno comprovare la propria identità. Per farlo occorreranno due fattori di autenticazione distinti: PIN o password, oppure tramite smartphone precedentemente registrato o una carta della banca dotata di numero di sicurezza. Sussistono, inoltre, altri meccanismi di riconoscimento, come l’identificazione tramite impronta digitale, riconoscimento facciale o vocale.

Per quanto riguarda gli shop online, la SCA prevede un aggiornamento delle procedure di pagamento e l’inclusione di un secondo fattore di autenticazione.
Per una corretta gestione del sito di e-commerce sarà necessario effettuare alcuni adeguamenti. Determinate piattaforme potrebbero richiedere l’implementazione di elementi sul check-out dello shop online. Parliamo di componenti che dovranno necessariamente essere aggiornati per far sì che l’e-commerce rispetti in pieno la norma.

Se si utilizzano architetture open-source (Magento, PrestaShop, WooCommerce), con i relativi plugin per integrare i metodi di pagamento, potrebbe essere sufficiente aggiornare questi elementi all’ultima versione disponibile.
Ciascuno di questi passaggi dovrebbe essere portato a termine da personale debitamente formato e preparato. È dunque consigliabile l’intervento del servizio tecnico, in molti casi offerto direttamente dal provider.

3D Secure 2: un’ulteriore autenticazione contro rischi e truffe

La nuova normativa introduce un ulteriore sistema di autenticazione, denominato 3DS 2.0. Si tratta di uno strumento che permettere di migliorare notevolmente la sicurezza delle transazioni online contro rischi e truffe.
3DS 2.0 è una nuova versione di 3D Secure. Essa semplifica l’autenticazione e facilita i pagamenti online. Rispetto alla variante 3DS, fino ad oggi largamente impiegata, il sistema prevede che l’autenticazione della transazione sia eseguita all’interno dell’App o del modulo di pagamento dell’e-commerce, evitando reindirizzamenti.
Così facendo, la transazione può passare attraverso un flusso di autenticazione semplificato e più veloce.
Non solo, l’attuale 3DS non consente al cliente di pagare utilizzando portafogli virtuali (e-wallet e mobile wallet). La nuova release abilita invece questo genere di risorse, al fianco delle canoniche carte di credito.

3DS 2.0 trasmette alla banca del titolare della carta dati importanti, come l’indirizzo di spedizione, l’ID del dispositivo del cliente e la cronologia delle precedenti transazioni. Conseguentemente, la banca può valutare il livello di rischio, abilitando o meno la transazione.
Si può dunque affermare che 3DS 2.0 ottimizzerà la user experience, diminuirà l’abbandono del carrello e renderà l’autenticazione più dinamica e sicura.

Banche, finance e il settore assicurativo adottano già oggi gli strumenti sicuri Actalis e Aruba PEC, per stare al passo con l’evoluzione tecnologica e normativa.

VPN, cos’è e come funziona

Le Virtual Private Network (VPN) rappresentano un modo per estendere l’accessibilità delle reti aziendali anche a utenti remoti e altri siti dell’impresa in modo il più possibile sicuro, flessibile ed economico. Possono essere oggi implementate in diverse modalità per venire incontro alle specifiche esigenze degli utenti.

Quasi tutte le aziende che hanno una rete informatica interna, con computer, server e sistemi di archiviazione dei dati, hanno anche anche dipendenti o collaboratori che si trovano a lavorare (stabilmente o temporaneamente) in mobilità o da casa. Molte hanno anche sedi distaccate, più piccole di quella centrale, quali uffici periferici, punti vendita, magazzini o stabilimenti. Da anni esiste la tecnologia VPN (Virtual Private Network) per risolvere queste problematiche. Vediamo di cosa si tratta.

Cos’è una VPN e a cosa serve

Il significato di VPN è Virtual private network ed essa consente alle aziende di ampliare praticamente senza limiti geografici la propria rete privata centrale, creando una “rete virtuale privata”, che permette a utenti e siti periferici (branch) di connettersi al “major network” aziendale attraverso reti IP geografiche noleggiate da provider di telecomunicazioni, basate sul protocollo Mpls (Multiprotocol Label Swithcing), o reti pubbliche e condivise come Internet e le piattaforme cloud.

Grazie alle VPN Mpls o quelle over Internet, gli utenti remoti o i siti esterni di un’azienda possono collegarsi, da qualsiasi parte del mondo, in qualunque momento e con i dispositivi più disparati, alla LAN (Local area network) delle proprie sedi aziendale, in modo sicuro e il più possibile economico. Nell’ambito di queste connessioni, i client possono stabilire comunicazioni con un singolo computer o con tecnologie condivise con altri utenti quali un server applicativo, un database, un NAS (Network Attached Storage), stampanti e così via.

Cosa significa tunneling?

Alla base del funzionamento di una Virtual Private Network vi è la creazione di un tunnel (ovviamente virtuale) all’interno del quale due o più partecipanti a una sessione virtual private network possono scambiarsi dati al riparo da occhi indiscreti. Per la creazione di questo canale privato, pur utilizzando un’infrastruttura condivisa, è necessario un protocollo di tunneling. Di queste tecnologie oggi ne esistono di diverse, ma tutte hanno in comune alcuni aspetti.

Ecco come funziona una VPN

Innanzitutto nel data center dell’azienda, o nel suo private cloud (nel caso si abbia optato per questa soluzione) deve essere installato un server VPN, chiamato anche Virtual private network Hub o Central Hub, su cui sono gestiti tutti e tre i livelli del framework di sicurezza di una Virtual Private Network:

  • un sistema di autenticazione degli utenti,
  • un layer per la gestione dei metodi di cifratura dei dati scambiati fra i vari nodi della rete,
  • un firewall che controlla gli accessi alle diverse porte delle reti.

Il VPN Hub deve essere anche connesso a un router e a uno o più switch che permettono l’assegnazione di indirizzi IP pubblici (statici o dinamici) a tutti i partecipanti della VPN (dati che devono necessariamente essere presenti negli header dei pacchetti incapsulati nei tunnel).

Quindi, tutti i dispositivi che gli utenti intendono utilizzare devono essere dotati di un client VPN, che può anche essere:

  • un’applet nativa del sistema operativo del dispositivo;
  • un software o un estensione per il browser scaricabile dal sito del gestore di servizi VPN;
  • un agente software fornito insieme a un hardware che supporti la creazione di queste reti (router, firewall, NAS, etc);
  • un programma sviluppato da un vendor di sicurezza.

Tipi di VPN per topologia

Virtual Private Network è un modo di utilizzare le reti condivise e pubbliche globali per ampliare in modo controllato e protetto i confini di un major network aziendale privato, ma non significa un unico tipo di tecnologia e di implementazione.

Da un punto di vista delle topologie di VPN possiamo identificarne due tipi, spesso compresenti nella stessa azienda:

  • le VPN remote access, è la tipologia più semplice e comune e prevede esclusivamente la possibilità che alcuni utenti possano connettersi da remoto al major network dell’azienda.
  • le VPN site-to-site permettono di creare tunnel, attraverso reti pubbliche e condivise, fra siti aziendali diversi.

Questo tipo di VPN, dal punto di vista topologico, utilizza solitamente il modello hub-and-spokes. Il nome deriva dall’analogia con la ruota di una bicicletta. In questo caso l’hub (mozzo) è il major network aziendale, presso il quale si trova il server VPN. Gli spoke (raggi) sono le reti geografiche (MPLS o Internet) utilizzate per connettere al major network le sedi remote. Anche presso quest’ultime possono essere implementate soluzioni di Virtual Private Network che permettono l’accesso ai loro server da parte di utenti remoti o ulteriori branch che – a cascata – possono anche essere reinstradati verso il major network della sede centrale.

Tipologie di soluzioni per sicurezza, amministrazione e flessibilità

Oltre alle differenze topologie, esistono fra le Virtual Private Network anche diversità in funzione del livello di security e non solo. In particolare le VPN si suddividono in tre principali categorie: Trusted VPN, Secure VPN e Hybrid VPN.

Trusted VPN

Le Trusted VPN sono reti private virtuali in cui non è previsto un tunneling crittografato. Tradizionalmente appartengono a questa categoria le Virtual Private LAN create all’interno di un’azienda. I Virtual Private LAN Services si basano sul sul livello 2 (data link) del modello OSI e permettono di creare reti virtuali che condividono lo stesso network fisico ma i cui rispettivi host non possono sconfinare da una rete all’altra.

Come abbiamo già segnalato, le VPN non necessariamente utilizzano Internet come rete geografica: possono utilizzare anche le WAN MPLS. Questi fornitori sono in grado di offrire percorsi alle reti virtuali predefiniti, controllati, protetti e con una qualità del servizio (quality of service) garantite. Nel loro armamentario, quindi, ci sono le tecnologie utilizzate dal Trusted VPN.

Secure VPN

Il vantaggio principale delle Secure VPN è che i tunnel VPN sono creati utilizzando protocolli di cifratura e sicurezza quali IPsec, TSL/SSL, PPTP (Point to Point Tunneling Protocol) o SSH. Tali protocolli sono utilizzati da entrambi i nodi di una VPN. Di conseguenza, se un hacker riuscisse a intercettare i pacchetti di un traffico di rete, vi troverebbe dentro solo dati illeggibili. A differenza di una Trusted VPN, una Secure VPN consente di utilizzare Internet in modo estremamente flessibile: quello che conta è solo avere a disposizione delle connessioni, anche Wi-Fi pubbliche.

Hybrid VPN

Oggi sta emergendo il modello Hybrid VPN, che consente di coniugare i vantaggi delle Trusted VPN (come il controllo dei percorsi) e delle Secure VPN (la crittografia dei contenuti e dei tunnel). Molte Trusted VPN si stanno aggiornando con l’aggiunta di funzionalità Secure Virtual private network come security overlay sulle tecnologie già utilizzate.

VPN e sicurezza informatica

Sono molti i vantaggi delle VPN in termini di sicurezza. Innanzitutto, l’autenticazione degli utenti, che oggi può non avvenire solo con l’utilizzo di username e password, ma anche con smartcard, riconoscimento biometrico e altri metodi ancora.

Quindi la privacy dei dati. I principali protocolli utilizzati per creare VPN utilizzano algoritmi e protocolli crittografici molto robusti. E questo vale tanto per prodotti open source quali OpenVPN e SoftEther VPN, quanto per le tecnologie non a sorgente libero come SSTP, introdotto da Microsoft nel 2007, che sfrutta la tecnologia SSL 3.0, e IKEv2 , sviluppato da Microsoft e Cisco, che punta invece sulla tecnologia IPsec.

Dal punto di vista della sicurezza, va segnalato che il protocollo di tunneling MPPE è ormai da considerarsi obsoleto. Vi è poi il protocollo L2TP, che funziona a livello 2, non include un sistema di crittografia specifico, ma permette di creare tunnel che possono trasportare comunicazioni cifrate con diversi protocolli. Una sua evoluzione è L2TP/IPsec, in cui IPsec viene utilizzato per l’autenticazione. Un aspetto di security che va considerato, nel caso un’azienda optasse per servizi in cloud, è se il provider raccoglie o no informazioni sull’utilizzo dei servizi virtual private network, e che uso ne fa.

Come scegliere una Virtual Private Network

La scelta della soluzione giusta non può non richiedere un’attenta valutazione dei pro e dei contro dei diversi tipi di VPN, dei protocolli di sicurezza utilizzati e del fornitore della tecnologia o dei servizi gestiti.

Per creare Virtual private network con i metodi tradizionali, utilizzando i software più diffusi (e spesso nativi) e poco hardware, non si spende molto: l’importante è avere risorse competenti. Sul mercato ci sono anche ottimi fornitori di VPN as a service, utilizzati anche da molti utenti consumer, che offrono tariffe competitive che partono da pochi dollari al mese per utente, con molti gigabyte a disposizione e la possibilità di utilizzare più dispositivi contemporaneamente. Di certo salgono se si desidera implementare, on-premises o in cloud, soluzioni scalabili, affidabili, con funzionalità di amministrazione e sicurezza avanzate come la central client administration e il security policy enforcement.

Inoltre, va tenuto presente l’emergere delle VPN layer 3. Sempre più aziende desiderano connettere un numero crescente di siti e di relative LAN, al major network e fra di loro, in modalità virtual private network. Questo comporta un esplosione di indirizzi IP da gestire, moltissimi dei quali inevitabilmente identici. Diventa necessario quindi affrontare la situazione a livello di internetworiking, e quindi di livello 3 del modello OSI (network). I provider di servizi MPLS, grazie all’esperienza nella connettività site-to-site, sono avvantaggiati nel fornire soluzioni layer 3, che se sfruttano le proprie infrastrutture, sono chiamate MPLS Layer 3 VPN. Ma in molti casi anche le L2 sono e resteranno sufficienti.

Alcuni criteri per scegliere le VPN migliori

Per scegliere le VPN migliori è necessario basarsi sulle proprie reali esigenze, valutare le funzioni opzionali disponibili, tenendo presente che una buona opzione deve essere caratterizzata da riservatezza, sicurezza e dalla capacità di proteggere le informazioni. Può essere necessario rivolgersi a soluzioni premium.

Tra le funzioni da valutare la possibilità di fruire del servizio di split tunneling per accedere in modo trasparente a più domini di sicurezza; la garanzia che eventuali errori DNS siano risolti; la disponibilità del servizio kill switch che permette di mantenere sempre aperta la connessione virtual private network anche nel caso di interruzione di Internet.

Breve riepilogo dei protocolli utilizzati da virtual private network sicure

Ecco qui di seguito i protocolli più conosciuti che implementano una virtual private network sicura, esse solitamente utilizzano protocolli crittografici, anche se non sempre.

  • IPsec (IP security), comunemente usate su IPv4 (parte obbligatoria dell’IPv6);
  • PPTP (point-to-point tunneling protocol) di Microsoft;
  • SSL/TLS, utilizzate sia per il tunneling dell’intera rete sia per assicurarsi che sia essenzialmente un web proxy;
  • VPN Quarantine: la macchina del cliente terminale della VPN potrebbe essere una fonte di attacco, cosa che non dipende dal progetto della VPN;
  • MPVPN (Multi Path Virtual Private Network), è il trademark registrato da Ragula System Development Company.

Alcune reti VPN sicure non usano algoritmi di cifratura, in quanto partono dal presupposto che un singolo soggetto fidato possa gestire l’intera rete condivisa e che quindi l’impossibilità di accedere al traffico globale della rete renda i singoli canali sicuri, dato che il gestore della rete fornisce ad ogni soggetto solamente la sua VPN. I protocolli che si basano su questa filosofia sono per esempio:

  • L2F (layer 2 Forwarding), sviluppato da Cisco;
  • L2TP (Layer 2 Tunneling Protocol), sviluppato da Microsoft e Cisco;
  • L2TPv3 (layer 2 Tunneling Protocol version 3);
  • Multi Protocol Label Switching (MPLS), spesso usato per costruire una Trusted VPN.

Coronavirus, phishing e malware

Sul fatto che il Coronavirus abbia messo in allerta l’intero pianeta non vi è più alcun dubbio, così come sul fatto che molti malintenzionati puntino a far leva sullo stato d’animo delle persone, mettendo in atto speculazioni incentrate sul contagio da coronavirus, come avvenuto nei giorni scorsi per la vendita di Amuchina e mascherine protettive da viso, e come sta accadendo in queste ore con il diffondersi di nuove minacce informatiche che sfruttano la fame di informazioni inerenti l’argomento.

In Rete, infatti, cominciano a “fioccare” operazioni di phishing e malware a tema Covid-19. A lanciare l’allarme è stata Reason Labs, azienda che si occupa di sicurezza online e antivirus, mediante un apposito report recentemente diffuso.

Per quel che concerne le campagne phishing, il riferimento è in primo luogo alle aziende. Giungono direttamente nelle caselle di posta elettronica, sotto forma di email tramite cui viene chiesto di effettuare il prima possibile un pagamento per completare l’ordine di materiale sanitario, nella speranza che qualche dipendente più sprovveduto ceda.

Riguardo la questione malware, sono stati messi in piedi siti Internet ad hoc che mostrano aggiornamenti relativi al contagio, con tanto di mappa al seguito (la cui versione ufficiale è quella disponibile sulla piattaforma ArcGIS, basata sui numeri dell’Organizzazione Mondiale della Sanità), e che propongono il download di un file eseguibile per soli computer Windows, il quale viene spacciato come strumento che dovrebbe permettere agli utenti di rimanere al corrente sull’andamento dell’ormai conclamata pandemia ma che, invece, ha come obiettivo quello di sottrarre informazioni sensibili, quali dati di login, dati relativi a carte di credito e conti bancari e altri dettagli strettamente riservati.

I malware che, in tal modo, vanno ad “insediarsi” sul computer degli internauti, non sono però cosa nuova. Si tratterebbe, infatti, di virus già noti, come nel caso di AZORult che è in circolazione dal 2016, usati in passato per compiere altri attacchi miranti al furto di password, credenziali bancarie e via discorrendo, al fine di di rivendere il tutto a terzi mediante il deep Web.

Continuando a parlare di minacce informatiche a tematica Covid-19, una ricerca pubblicata a inizio mese dalla società di sicurezza Check Point ha evidenziato come i domini registrati con nomi o URL con riferimento al virus hanno il 50% di probabilità in più di diffondere codice maligno.

Tenendo conto della situazione, se in genere è bene mantenere gli occhi aperti e prestare la massima attenzione alle insidie che Internet può riservare, in questo particolare e concitato periodo occorre essere ancora più prudenti del solito e scegliere di affidarsi in via esclusiva alle fonti ufficiali per restare informati disponibili sul Web (e non solo) in merito all’evolversi della patologia.

In particolare, Check Point mette in guardia da mail di questo tipo

Inkedcorona-2_LI

L’e-mail contiene un file di documento dannoso, denominato f ###########.doc (# = cifra) e con l’oggetto dell’e-mail “Coronavirus: Informazioni importanti su precauzioni” e l’e-mail è firmata da un medico dell’Organizzazione mondiale della sanità (OMS) con sede in Italia. Tuttavia – dicono a Check Point, “abbiamo effettuato una ricerca online e non è stato possibile trovare un medico di nome Penelope Marchetti presso l’OMS o Organizzazione Mondiale della Sanità (OMS). Inoltre, gli indirizzi email dei mittenti non provengono da domini ufficiali OMS o OMS e la maggior parte di essi non era affatto italiana”.

Ecco uno scatto dal file doc dannoso:

Check Point

Fare clic su “abilita modifica” e “abilita contenuto” porterà al download di Ostap Trojan-Downloader, un downloader di Trickbot, un malware.

Ransomware FTCODE, PEC a rischio hacking.

Una pericolosa variante del ransomware FTCODE sta colpendo le caselle di posta certificata (PEC) di aziende e pubbliche amministrazioni italiane. Ecco tutti i dettagli tecnici per riconoscerlo e i consigli pratici per difendersi e prevenire un possibile attacco.

Una variante del ransomware FTCODE sta prendendo di mira le caselle di posta elettronica certificata (PEC) italiane: il malware viene veicolato mediante una massiccia campagna di malspam proveniente da altre caselle di posta elettronica (per lo più PEC) precedentemente compromesse.

Già lo scorso 2 ottobre, il ransomware FTCODE aveva iniziato a diffondersi mediante una finta PEC inviata dall’indirizzo di posta certificata del “responsabile settore lavori pubblici del comune di Cassano allo ionio” e diretta soprattutto a comuni e pubbliche amministrazioni.

In questa vecchia campagna di diffusione del malware, l’e-mail faceva riferimento ad una fattura scaduta e in allegato aveva un archivio compresso in formato ZIP contenente a sua volta un documento in formato DOC dotato di macro malevola.

Nel momento in cui l’ignaro utente estraeva e apriva il file DOC, abilitando contestualmente le funzionalità macro, non faceva altro che attivare il malware JasperLoader nascosto nel file WindowsIndexingService.js che in passato è stato utilizzato dai criminal hacker per mantenere attivo e aggiornato il malware GootKit e che ora serve loro per scaricare il file PowerShell leggermente offuscato utile per installare il ransomware FTCODE.

FTCODE: i dettagli della nuova variante del ransomware

Gli analisti del CERT-PA (il Computer Emergency Response Team della Pubblica Amministrazione) hanno ora identificato la nuova variante del ransomware FTCODE che continua ad essere una seria minaccia per le caselle PEC italiane.

La nuova versione di FTCODE ha numerose parti di codice in comune con la precedente variante, in particolare per quel che riguarda la funzione usata dal malware per garantirsi la persistenza nel sistema target, quella per la comunicazione con il server di comando e controllo (C&C), quella per l’esecuzione di comandi PowerShell sulla macchina e quella per la cifratura del contenuto dei file.

Molto simile anche il codice necessario a gestire il ciclo per l’enumerazione dei file da cifrare. Così come riportato dal bollettino di sicurezza del CERT-PA, in questa nuova variante del ransomware FTCODE i criminal hacker hanno aggiunto alcune “migliorie”:

  • il file di lock usato per garantire una singola istanza del malware è considerato non valido dopo 30 minuti: questo evita possibili “vaccinazioni” o deadlock;
  • FTCODE crea ora un GUID univoco per macchina in un file di lavoro (ma sembra generarlo ad ogni avvio e quindi potrebbe trattarsi di un bug);
  • i file vengono ora rinominati con un’estensione casuale (i primi 6 caratteri di un GUID) e non più con .ftcode;
  • la password è generata tramite Get-Random e non tramite Membership.GeneratePassword: è composta da 50 caratteri alfanumerici e viene sempre inviata in chiaro al C&C;
  • la pagina HTML con le istruzioni per pagare il riscatto è codificata in base64 anziché essere in chiaro;
  • le cartelle Windows, Temp, Recycle, Intel, OEM, Program Files e ProgramData non vengono cifrate;
  • in caso di errore durante la cifratura di un file, o durante l’enumerazione di questi, l’errore viene inviato al server C&C.

Il CERT-PA ha diffuso anche gli IoC del ransomware FTCODE, cioè gli indici di compromissione che possono tornare utili ai responsabili della sicurezza IT aziendale per individuare il codice malevolo del malware:

SHA256

  • 5e0844e082ffc41784a9cbdf34225793a167c8c3f23aa7937fd442e6eaa19e2a
  • 07c226d6e4ab84a586b1a09f09896223412de927513fda6bf13b031dc497e686

SHA1

  • 46090a00ad5e755b0abef6be931086daef9c5651
  • 4cb525212460fedae4820a7cfc39e47db48c4c7b

MD5

  • e299d13f093b20559b62c8b22482bde3
  • be611918fabc12048aeba6e55f6559d7

URL

  • http://ceco.jasonrsheldon.com/
  • http://ceco.myheritageins.com/?need=streetm&vid=vbs4&4643
  • http://ceco.myheritageins.com/?need=aegzfej&vid=vbs4&
  • http://kati.katieebecker.com/?need=aegzfej&vid=vbs4&
  • http://bill.billfergerson.com

DOMINI

  • cdn.unitycareers.com
  • cdn.secure357.com

I consigli per difendersi

Come abbiamo visto, le tecniche usate dai criminal hacker per ingannare le loro potenziali vittime e indurle ad aprire gli allegati infetti (diffusi, nel caso del ransomware FTCODE, mediante l’invio di PEC già compromesse) sono sempre ben studiate e adattate di volta in volta alle realtà pubbliche o private che si vogliono colpire. È quindi molto facile cadere nella loro trappola.

Per prevenire un possibile attacco, è sufficiente seguire alcune semplici regole di sicurezza informatica.

Innanzitutto, è importante che le aziende strutturino un team di esperti che salvaguardi la sicurezza del perimetro cyber dell’organizzazione. Il malspam è una minaccia ormai molto diffusa e la mail è oggi il veicolo di infezione predominante. I criminal hacker sfruttano la leggerezza e la distrazione degli utenti nell’aprire e-mail e i suoi allegati.

Per contrastare il fenomeno è utile anche dotarsi di idonei strumenti di protezione della rete informatica, per rilevamento e analisi del traffico, mantenendoli sempre aggiornati.

E’ importante utilizzare dei sistemi di backup che all’occorrenza siano in grado di salvare e ripristinare i fale in maniera veloce ed affidabile, la soluzione attualmente che consigliamo è l’acquisto di un QNAP.

Allo stesso tempo è bene attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla formazione non solo dei dipendenti ma anche di tutti gli “utenti aziendali” e quindi anche clienti e fornitori esterni.

Valgono poi i consigli pratici sempre validi per difendersi dal malspam: prestare sempre la massima cautela quando si ricevono e-mail normali o di PEC di provenienza sospetta o da mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.

Risparmiare con Fritz

Risparmiare la corrente con FRITZ! – opzioni per la casa intelligente

I prodotti FRITZ! non facilitano solo l’uso di Internet e la telefonia bensì ti aiutano anche a ridurre le spese: con la prese intelligenti FRITZ!DECT 200 e FRITZ!DECT 210 puoi integrare i dispositivi elettrici nella rete domestica e venire informato in qualsiasi momento del relativo consumo anche mediante un’analisi significativa e un bilancio di emissioni di CO2.

FRITZ!DECT 200 – molto di più di una presa

Una connessione DECT sicura ti permette di integrare la presa intelligente nella tua rete domestica. Il consumo dei dispositivi ad essa collegati si legge comodamente nell’interfaccia del FRITZ!Box o si può far inviare ai dispositivi mobili tramite e-mail del servizio Push. Grazie a ciò, puoi eseguire misurazioni precise a casa e farti mostrare il consumo, in kilowattora e euro, per ogni ora, giorno, mese o anno.

Powerline con funzione Smart Home

Approfitta di questi vantaggi per risparmiare con il FRITZ!Powerline 546E: questo adattatore non si limita a trasmettere il segnale LAN attraverso la linea elettrica, bensì è dotato anche di una presa con funzione Smart Home. Collega via cavo il tuo nuovo televisore alla rete domestica tramite l’adattatore Powerline e controllane il consumo con la presa. Fai diventare intelligente la tua casa!

Configurazione facilissima

Sia il FRITZ!Powerline 546E sia il FRITZ!DECT 200 sono configurati e pronti all’uso in un attimo. Per creare la connessione basta premere un tasto. Integra altri dispositivi nella tua rete domestica e approfitta delle opzioni che ti offre la tecnologia Smart Home.

Semplice commutazione automatica

Nella modalità automatica il FRITZ!DECT 200 offre molteplici opzioni: imposta un piano orario e il tuo FRITZ!DECT gestirà l’accensione e lo spegnimento dei dispositivi come evento unico oppure ogni giorno, nei giorni feriali, con cadenza regolare o casuale. È anche possibile sincronizzare la commutazione tramite il calendario di Google. La funzione Astro, infine, permette di attivare e disattivare l’alimentazione all’alba e al tramonto.

Misurazione dei consumi

Il FRITZ!DECT 200 non è solo un sistema di commutazione, ma anche di misurazione del consumo energetico dei dispositivi. L’intensità è indicata in watt e la tensione in volt. Le misurazioni si possono effettuare su base oraria, giornaliera, mensile e annuale, sia in kWh che in euro, elaborando anche un bilancio di emissioni di CO2.

Risparmiare non è stato mai così facile ed efficace

FRITZBox 7530

L’introduzione ideale al profilo 35b

Con il FRITZBox 7530 disponi di primo accesso ideale alla rete domestica veloce con il profilo 35b. Oltre al modem ADSL/VDSL e a un router wireless riuniti in un solo dispositivo, il FRITZ!Box 7530 dispone anche di un centralino telefonico DECT integrato, di Ethernet a Gigabit, di una porta USB e del media server.

WiFi Mesh con FRITZ!

Per consentire l’accesso continuo a video, musica e foto nella rete domestica, fino all’angolino più remoto di ogni stanza, il FRITZ!Box 7530 si affida alla WiFi Mesh. I dispositivi FRITZ! distribuiti nella casa sono operativi in un’unica rete, si scambiano i dati tra loro e ottimizzano le prestazioni di tutti i dispositivi nella rete wireless. 

Con la rete mesh si può godere molto semplicemente della massima velocità nella navigazione, nella visualizzazione di video o nel gaming. Adesso, sono i programmi mozzafiato in HD e la tua musica favorita ad aspettare te, e non al contrario!

Scoprite di più sulla WiFi Mesh

Massima sicurezza con il FRITZ!Box

Con il FRITZ!Box di AVM, vai sul sicuro! Le sue caratteristiche di sicurezza proteggono la tua comunicazione. Viene testato e migliorato continuamente. Grazie agli aggiornamenti gratuiti sei sempre al sicuro.

Centralino per connessioni basate su IP

Il FRITZBox 7530 contiene un centralino per le moderne connessioni basate su IP. Puoi collegare via DECT fino a sei telefoni cordless. C’è posto anche per il telefono analogico o il fax. Sono inoltre disponibili diverse segreterie telefoniche, rubriche online e numerose funzioni comfort.

FRITZ!OS

Svariate possibilità di connessione

Il FRITZBox 7530 è disponibile direttamente per la connessione al profilo 35b. Offre inoltre wireless AC veloce e wireless N in modalità duale. Sul router stesso si trovano inoltre quattro porte LAN Gigabit e una porta USB. Tramite queste porte puoi non solo integrare tutti i tuoi terminali nella rete senza fatica, ma anche integrare la tua stampante e predisporre una memoria USB. Potrai così vedere film, immagini e ascoltare musica quando e dove desideri.

FRITZ!OS: un concentrato di funzione

FRITZ!OS, il sistema operativo del FRITZ!Box, mette regolarmente a tua disposizione nuove funzioni. Grazie alle FRITZ!App puoi accedere ai tuoi dati con lo smartphone anche quando sei fuori casa, telefonare nella rete domestica o controllare la tua smart home. Oltre ai dispositivi Smart Home FRITZ!, il FRITZBox 7530 supporta anche dispositivi di terzi con la tecnologia DECT-ULE/HAN-FUN. E ricorda: tutti gli aggiornamenti e tutte le app per i prodotti FRITZ! sono gratuiti.

Online navigare sicuri

Online navigare in sicurezza? Ecco come fare con i browser più sicuri.

La Techwarn, per i nostri lettori ha messo a disposizione questo interessante articolo.

Tutti noi accediamo ad internet almeno una volta al giorno. E non ci rendiamo nemmeno conto di quanti dati lasciamo in giro sul web, non solo attraverso messaggi, mail e social, ma anche semplicemente con la navigazione e l’apertura di siti web.

Lo strumento conosciuto a tutti e che usiamo maggiormente per navigare online è il browser, un software che ci permette di impostare un motore di ricerca, cercare direttamente siti web e salvare i preferiti, tra le varie cose.

Come ben sappiamo però non tutti i browser sono uguali e non tutti ci garantiscono gli stessi servizi e le stesse caratteristiche. Se i più usati sono sicuramente Chrome di Google, Safari per i sistemi iOS e Mozilla Firefox, esistono altri browser che ci permettono di navigare online in completa sicurezza e migliorando di molto la nostra privacy.

Certo, da una parte abbiamo la certezza che tutto sia compatibile, di poter avere le migliori estensioni e di poter sincronizzare diversi dispositivi, dall’altra abbiamo la possibilità di migliorare la nostra sicurezza online.

Nonostante i continui miglioramenti da parte dei browser più famosi, c’è ancora molto da fare in questo ambito, ecco perché esistono delle alternative valide e a costo zero. Andiamo dunque a vedere quali sono browser alternativi e più sicuri.

TOR

Sicuramente uno dei browser più attenti alla privacy e alla sicurezza dell’utente. Questo software infatti garantisce una crittografia totale della rete mentre navighiamo, inoltre protegge i nostri dati personali e ci rende anonimi anche mentre comunichiamo.

È disponibile in download gratuito per Windows, Mac e anche Linux e si tratta di un’applicazione open source.

OPERA
Opera è sicuramente più conosciuto di Tor e in molti casi si trova anche già preinstallato su alcuni dispositivi, soprattutto PC (mentre nei dispositivi mobili è presente la versione mini). Con questo browser, oltre ad essere molto veloce, avrete a disposizione un blocco annunci, il blocco del tracciamento della posizione, l’anonimato e una VPN integrata. Che cos’è una VPN? È un tunnel virtuale ultra sicuro in cui connettervi e tenere lontano possibili infiltrazioni di virus e malware vari.

EPIC BROWSER

Invece questo browser, al contrario di Opera, è dedicato interamente ai sistemi iOS, dunque ai Mac. Anche in questo caso, il browser non salva i dati della cronologia, non ha perdite DNS; non consente i coolie di terze parti e tutti i dati vengono eliminati immediatamente al momento della chiusura del browser.

Questi browser sono tutti completamente gratuiti e – come molti altri browser non famosi quanto la triade Chrome, Safari e Firefox – consentono all’utente di proteggersi da alcune insidie del web a cui siamo esposti molto facilmente ogni volta che ci colleghiamo ad internet.

Articolo di Stefania Grosso di Techwarn

https, chrome chiede i siti sicuri

HTTPS entro 22 luglio 2018?, perché passare?

protocollo https

Iperius Remote

Iperius Remote, un Desktop remoto semplice, veloce, completo.

La MBLI S.a.s. di Marchese Daniele Rosario, dopo attente valutazioni ha deciso di utilizzare Iperius Remote un software leggero e versatile per collegamento remoto a qualsiasi computer o server Windows. Nessuna installazione o configurazione di firewall richiesta, trasferimento file, sessioni multiple, accesso automatico non presidiato, presentazioni e condivisione schermo. Una utility di controllo remoto semplicissima da usare, sicura, affidabile e ad un costo imbattibile.

Continua a Leggere→

KB4074588

KB4074588, Mouse e tastiera non funzionano più!.

Come risolvere il bug dell’update KB4074588

Microsoft ha recentemente rilasciato un update per Windows 10, codice KB4074588, che sta causando diversi preblemi agli utenti per non parlare dei system admin ed a tutto lo staff IT.

Al momento in cui si redige il presente articolo troviamo già tra i nostri clienti già 11 PC aggiornati che hanno il problema: qualsiasi periferica USB smette di funzionare, beh, cosa non da poco, infatti basti pensare che tastiera e mouse oggi sono esclusivamente USB ed è abbastanza difficile trovare adattatori ed anche trovandoli, ormai moltissimi PC e/o Laptop, ne sono privi.

Risultato: non si può più accedere alla macchina, almeno che non si riesca ad eseguire un punto di ripristino che riporti il sistema a prima dell’aggiornamento, che comunque non è procedura facile se non è possibile ne digitare al PC ne muove un mouse perchè non vengono più visti dal sistema. 

Non è chiaro cosa faccia scaturire il problema, ma l’aggiornamento KB4074588, nei sistemi affetti, compromette le porte USB impedendo a mouse e tastiera di funzionare.

L’utente viene lasciato senza la possibilità di interagire col proprio PC, in nessun modo.

Come risolvere questo gran casino?, questa è qualche soluzione:

Riprendere il controllo della macchina

Se il PC/server ha le porte PS/2, usatele per controllare la macchina. In caso contrario, una soluzione percorribile è l’accesso remoto con un remote desktop software come Supremo – se presente – o attraverso Remote Desktop (RDP).

Se persino questa strada non fosse disponibile, potete forzare la Safe Mode (mouse e tastiera funzionano in safe) causando diversi hard-shutdown del sistema. Sconsigliamo vivamente questo metodo in quanto è pericoloso e può compromettere definitivamente il sistema operativo.

Risolvere il problema

Eseguite il comando appwiz.cpl:

KB4074588 bug - appwizcpl command

Disinstallate l’aggiornamento KB4074588:

KB4074588 bug - uninstall update

Aprite le impostazioni di Windows e selezionate Update & Security:

KB4074588 bug - control panel

Cliccate su Advanced options:

KB4074588 bug - windows updates

Attivate Pause Updates:

KB4074588 bug - pause updates

Ora potete riavviare la macchina e riprendere ad utilizzare mouse e tastiera. L’opzione Pause Updates impedirà a Windows di aggiornarsi per qualche settimana, dando tempo a Microsoft di risolvere il problema.

Non esitate a contattarci per ulteriori ragguagli.

3CX il centralino Cloud

 
Centralino telefonico IP - 3CX Management Console3CX è una suite completa di funzionalità di telecomunicazioni unificiata (Unified Communication) che non necessità di downloads addizionali o acquisto di moduli aggiuntivi.
 
La videoconferenza WebRTC integrata su browser open-standard o via app per iOS/Android consente di incontrarsi ovunque vi troviate. L’impulso alla produttività garantito da funzionalità come la Presence, la chat aziendale, la lavagna condivisa, screensharing ed altro ancora, consentono al personale di collaborare meglio e lavorare con più efficienza.
 
3CX trasforma la gestione del centralino in una passeggiata. La gestione ordinaria è ridotta praticamente a zero, grazie all’automazione dei compiti quotidiani e la possibilità di controllare gli eventi critici da un unico pannello di controllo. Gli aggiornamenti del centralino e gli ultimi firmware supportati sono scaricati automaticamente e attivabili in pochi click del mouse. La configurazione Plug&Play del telefoni IP e dei SIP
Trunk garantisce una semplice attivazione e scalabilità. L’eliminazione di noiosi compiti gestionali fa risparmiare tempo all’Amministratore di sistema e la sua nuova console, moderna intuitiva e user-friendly, rende la configurazione facile e indolore.
 
Sicuro, semplice, direttoAbbiamo integrato i protocolli di sicurezza più avanzati, proteggendo le vostre telecomunicazioni contro ogni tipo di attacco. Il centralino offre funzionalità di sicurezza facili da attivare e da gestire, come il blacklisting di indirizzi IP, la crittazione SRTP, il rilevamento automatico di attacchi SIP, l’approvvigionamento dei telefoni via HTTPS, connettività SSL ed un rating A+ da SSL Labs.
Tutto questo in combinazione con un webservera prova di bomba per consentirvi di dormire sonni tranquilli.
 
I softphones per Windows e Mac e le app per iOS e Android lavorano in abbinamento al Web Client per garantirvi una imbattibile connettività e mobilità. Gli utenti possono fare e ricevere chiamate, vedere lo stato di Presence dei colleghi, programmare videoconferenze, partecipare a web meetings, trasferire chiamate e molto altro dal palmo della loro mano. L’integrazione della tecnologia PUSH significa la garanzia di non perdere più nessuna chiamata e di risparmiare batteria.
 
L’integrazione con le altre piattaforme aziendali è più facile che mai; connetti 3CX con i CRM più diffusi come Salesforce, Google Contacts, Office 365 e altri ancora. Il personale risparmierà tempo e aumenterà la produttività, grazie più semplice gestione e reportistica delle chiamate. Oltre a questo, l’extension per Chrome 3CX ClicktoCall consente agli utenti di digitare i numeri direttamente dalle pagine web o dal sistema CRM semplicemente cliccando sul numero evidenziato.
 
Chiedo oggi stesso di potere usufruire della Prova 3CX .
 
Taglia i costi, aumenta i profitti e abbatti le barriere della sede, inizia a pensare e lavorare in maniera globale, risparmia sulla bolletta ed elimina i costi sulle chiamate interne collegando le diverse sedi aziendali e consentendo ai collaboratori esterni di usare il proprio interno ovunque essi siano.
 
In aggiunta, essendo un software, 3CX consente di installare il centralino su un hardware già presente in azienda, senza l’obbligo di acquisto di costose appliance proprietarie. Infine, i costi di trasferta non sono più un problema: gli utenti potranno partecipare a videoconferenze con un click del mouse invece di doversi recare sul posto.

GDPR (Privacy, 679/2016)

http://nethive.it/wp-content/uploads/2017/11/regolamento-GDPR.pngGDPR, l’Italia, insieme al resto delle nazioni europee, dovrà prepararsi ad un nuovo cambiamento rilevante relativo al trattamento dei dati personali ed alla loro protezione. Questa volta è l’Unione Europea a dettare un nuovo approccio che farà registrare, senza distinzioni, un forte impatto su legislazioni, aziende, cittadini, authority di tutto il continente europeo.
Il nuovo regolamento europeo entrerà in vigore nel 2018 e coinvolgerà tutti coloro che producono, conservano o cancellano dati, promuovendo, addirittura, la creazione di nuove figure professionali specifiche.
Tutti abbiamo appreso del recente provvedimento del garante per la protezione dei dati personali relativo alla necessità di implementare una serie e informazioni e/o comunicazioni relativamente alla presenza di cookie all’interno di portali e siti web (argomento ben noto a tutti i web designer o web agency che si occupano di realizzazione si siti web). 
L’ultimo intervento dell’UE, assolutamente indispensabile nell’era digitale e del web, ha invece come obiettivo la previsione di una regolamentazione comune tra i vari Stati ai quali verrà concesso un periodo di almeno due anni per cercare di coordinare le normative esistenti con il nuovo assetto giuridico di riferimento.

Il Regolamento dell’Unione Europea sulla protezione dei dati (GDPR, 679/2016), è stato approvato nel dicembre 2016 e porterà significativi cambiamenti nel corso di 2/3 anni. Il testo presenta, infatti, alcune novità molto interessanti per il nostro quadro giuridico.

Nell’era di Internet occorreva una regolamentzione dei dati che circolano sui cloud, delle banche dati delle forze dell’ordine intercomunicanti tra loro e dei social network, nasce la GDPR, si era manifestata da tempo l’esigenza di prevedere una regolamentazione che fosse comune tra i vari Paesi, soprattutto, in caso di scambio di dati oltre le frontiere.

Al contempo, tuttavia, alcuni interpreti hanno messo in evidenza la forse eccessiva libertà che il Regolamento lascia agli Stati di integrare e dettagliare il quadro giuridico con il rischio di perdere l’attenzione verso l’uniformità sovranazionale.

L’attenzione del legislatore europeo ha reso necessario l’introduzione della nuova GDPR, rivolta ai privati, alle aziende e al settore pubblico, e mira a garantire un ambiente dei dati sicuro. Riassumendo, le novità che hanno più attirato gli operatori del settore sono le seguenti:

  • il diritto all’oblio;
  • la portabilità dei dati;
  • l’analisi del rischio e la valutazione dell’impatto sulla privacy;
  • l’informativa più dettagliata con maggiori tutele per l’interessato (nonché, obblighi per i controller);
  • la cosiddetta privacy by design;
  • la nascita del Data Protection Officer.

Il regolamento generale sulla protezione dei dati (GDPR) mira sia a rafforzare il livello della loro protezione per le persone fisiche i cui dati personali sono oggetto di trattamento, sia a migliorare le opportunità per le imprese nel mercato unico digitale attraverso la riduzione di oneri amministrativi.

Il rafforzamento dei diritti di protezione offrirà, sicuramente, un maggiore controllo sui dati personali. Si avranno, infatti, norme più specifiche che consentiranno ai responsabili del trattamento di trattare i dati attraverso l’obbligo di consenso delle persone interessate ed una migliore informazione su quanto accade ai dati personali una volta condivisi. Inoltre, se un giovane di meno di 16 anni desidererà utilizzare servizi in linea, il prestatore dovrà verificare il consenso dei genitori.

Per quanto riguarda le imprese, il regolamento prevede un insieme unico di regole valido in tutta l’UE al fine di evitare situazioni in cui norme nazionali possano ostacolare lo scambio di dati transfrontaliero.
Si creeranno, in questo modo, condizioni di concorrenza leale e le imprese saranno incoraggiate a trarre beneficio dal mercato unico digitale.

Aumenteranno le responsabilità, inoltre, dei responsabili del trattamento dei dati. Le autorità pubbliche e le imprese dovranno designare un responsabile della protezione dei dati incaricato di garantire il rispetto delle norme. Il regolamento, inoltre, mira a proteggere i dati personali trattati ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, inclusa la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.

Lo scorso 29 gennaio, durante il convegno organizzato da Europrivacy a Milano, si è discusso circa l’importanza del pianificare la GDPR per essere pronti entro i 24 mesi. Sei grandi campi come risk management, privacy by design, la nuova figura del DPO, data breach, servizi IT e profilazione contro anonimizzazione, si incrociano con le sfide organizzative, di budget, tecnologiche e legislative che si dovranno vincere per stare al passo.

Un punto particolaremente interessante è quello che impone, alle realtà che controllanti, obblighi sia di analisi del rischio e di previsione sull’impatto che certi tipi di trattamenti possono avere sulla privacy, sia di creazione di nuove figure professionali quali, ad esempio, il Data Protection Officer che si dovrà occupare di valutare la situazione della privacy e delle misure di sicurezza sia nel pubblico sia nel privato.

Notevole anche l’attenzione posta sulla privacy by design, ovvero, sulla valutazione del livello di privacy di un prodotto o di un servizio già al momento della sua creazione o attivazione così da radicare il principio di protezione dei dati personali nel prodotto o servizio stesso.
Le misure di privacy by design imposte dalla direttiva europea sono impegnative e chi non si adeguerà a tale regolamento e violerà il trattamento dei dati personali dei cittadini rischia multe parecchio “salate”.

Dal 2018, dunque, i cittadini potranno affidarsi alle autorità nazionali per il cosiddetto ‘data breache‘, ovvero, la notificazione delle violazioni. Quello che possiamo affermare sin d’ora è che tutte le novità apportate dal nuovo regolamento europeo avranno, senza alcun dubbio, effetti pratici su tutti i sistemi informatici dal momento che tutti i soggetti che trattano dati personali, piattaforme web comprese, dovranno occuparsi di minimizzare tali trattamenti garantendo, in modo prioritario ed in misura ancora maggiore di quanto fatto sinora, trasparenza, compatibilità e sicurezza

Qui alcuni link utili:

Gazzetta Ufficiale Legge L119

Regolamento EU GDPR 2016/679 Italiano

Il GDPR in Italiano 2016-679UE testo integrale – CyberLaws

Slide Powerpoint nuovo regolamento GDPR L119

Petya o WannaCry

© ANSA Petya, decodificato il ransomware, si leggeva solo il 13 Aprile dello scorso anno (2016)

Uno sviluppatore pubblica il necessario per ripulire i PC infetti dal malware e rendere i dischi fissi criptati di nuovo accessibili. Il cyber-crimine, almeno in questo caso, non paga. In attesa di varianti future a prova di decodifica

Roma – Analizzando il “sequestro” crittografico del disco fisso operato da Petya, un ricercatore noto come leostone è riuscito a crackare il codice del malware e a permettere agli utenti infetti di riprendere il controllo dei dischi fissi.

Petya è una nuova genìa di ransomware progettata per criptare il disco fisso a partire dal Master Boot Record, una procedura che rende in sostanza inaccessibili i dati e complica vieppiù i tentativi di disinfezione (o anche di studio del codice) da parte di utenti e analisti.

A quanto ha scoperto leostone, però, il payload di codifica del ransomware non è perfetto, anzi tutt’altro: estraendo 512 byte di verifica dal settore 55 e 8 byte dal settore 54 del disco infetto (entrambe codificati in Base64), gli utenti possono generare la chiave di decodifica necessaria a sbloccare i dati all’avvio del malware tramite un apposito sito Web.L’estrazione dei byte necessari alla decodifica è facilitata dalla disponibilità di un tool da far girare con il disco infetto collegato a un PC terzo, e il risultato finale della procedura consiste nello sblocco del drive senza dover pagare i Bitcoin di riscatto richiesti dai cyber-criminali.

Gli autori di Petya non sono stati sufficientemente abili da inibire la decodifica, suggerisce leostone, anche se le cose potrebbero cambiare piuttosto in fretta: i pessimisti si aspettano la distribuzione di una nuova variante del ransomware capace di neutralizzare i punti deboli del codice sfruttati dallo sviluppatore.

 

Continua a Leggere→

Guida alla riservatezza dei dati

http://www.pmi.it/wp-content/uploads/2011/11/Sicurezza-Mobile-150x150.pngSicurezza e Riservatezza dei dati

I dati personali oggetto di trattamento devono essere custoditi in azienda in modo da ridurre al minimo i rischi di illecito accesso, distruzione o perdita attraverso idonee misure di sicurezza, ossia tutti gli accorgimenti tecnici e organizzativi messi in pratica per garantirne protezione, privacy e riservatezza.

Se il Responsabile del trattamento sceglie di utilizzare dispositivi elettronici o programmi informatici per la gestione dei dati deve prevederne l’accesso controllato tramite livelli di autorizzazione e garantire che non si attuino in azienda trattamenti contrari alle norme di legge o diversi da quelli per i quali i dati sono stati raccolti.

Nello specifico il Responsabile dovrà adottare specifici criteri e procedure dettate dall’articolo 33 del Codice Privacy, come ad esempio l’utilizzo di uno username identificativo e password per accedere ai dati, l’utilizzo di software antivirus e per il backup periodico dei dati.

Misure di sicurezza utili ad assicurare la riservatezza

Il trattamento dei dati personali con strumenti elettronici è consentito solo se sono adottate specifiche misure minime fra le quali si individuano:

  • autenticazione informatica;
  • adozione di procedure di gestione delle credenziali di autenticazione;
  • utilizzazione di un sistema di autorizzazione;
  • protezione degli strumenti elettronici e dei dati rispetto al trattamento illecito dei dati stessi e ad accessi non consentiti;
  • adozione di procedure per la custodia di copie di sicurezza;
  • adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Per i dati sensibili e giudiziari sono previste ulteriori misure in aggiunta a quanto già accennato come il Documento Programmatico per la Sicurezza.

L’articolo 34 del Codice della Privacy prevede espressamente che vengano adottate procedure per la realizzazione e la custodia di copie di sicurezza e il ripristino della disponibilità dei dati e dei sistemi. In pratica il Responsabile del trattamento, tramite l’amministratore del sistema informativo, dovrà provvedere a realizzare e custodire copie di backup ossia copie di sicurezza dei dati e delle informazioni contenute su strumenti elettronici, assicurandone la massima riservatezza.

Solitamente le informazioni riservate vengono archiviate su dispositivi esterni cioè non incorporati nell’unità centrale e consentono di trasferire da un computer all’altro grosse quantità di informazioni. Fra questi si possono individuare gli hard disk removibili.

La causa di perdita di dati e informazioni può dipendere da:

  • eventi distruttivi, naturali o artificiali;
  • guasti ai sistemi;
  • malfunzionamenti o degrado dei componenti elettronici;
  • incuria o disattenzione.

Il rischio di perdita o furto di dati, comunque, è anche rappresentato da:

  • comportamenti sleali e fraudolenti;
  • virus informatici; (al momento in crescità)
  • furto di strumenti contenenti dati.

In effetti, quando capita uno dei suddetti eventi, il backup può limitare la perdita del patrimonio di informazioni memorizzate. In tal caso occorre adottare tempestivamente ogni possibile procedura di ripristino dei dati.

Le misure minime di sicurezza obbligatorie previste dalla normativa sono:

  • attivazione di una procedura di backup settimanale;
  • predisposizione di una procedura di disaster recovery ossia di ripristino dei dati in caso di danneggiamento o perdita;
  • installazione di software antivirus e di sistemi firewall;
  • adeguamento della struttura aziendale alle normative in materia di prevenzione e sicurezza.

Se si utilizza un server per la memorizzazione dei dati è necessario che sia collegato ad un gruppo di continuità che consenta di escludere la perdita di dati a causa di sbalzi di tensione o interruzione della corrente elettrica.

I dati inseriti nei backup devono essere custoditi e protetti da accessi indesiderati mediante procedure che inibiscano la lettura dei dati in essi contenuti, magari utilizzando un’applicazione crittografica.

Firma digitale

La firma digitale consente di scambiare documenti informatici aventi validità legale poiché permette la verifica dell’identità del mittente, rende impossibile al mittente disconoscere un documento da lui firmato, rende impossibile al destinatario modificare un documento firmato da qualcun altro.

Possono dotarsi di firma digitale le persone fisiche rivolgendosi ai certificatori accreditati che garantiscono l’identità dei soggetti che utilizzano la firma digitale. I certificatori accreditati sono soggetti pubblici o privati che emettono certificati qualificati conformi alla Direttiva Europea 1999/93/CE e alla normativa nazionale in materia. L’elenco dei certificatori accreditati è disponibile nel sito di DigitPA, l’Ente Nazionale per la digitalizzazione della Pubblica Amministrazione. La verifica della firma può essere effettuata tramite diversi software resi disponibili gratuitamente.

La firma digitale è, in pratica, un sistema a chiavi crittografiche asimmetriche che viene creato mediante un dispositivo con elevate caratteristiche di sicurezza che, in genere, è una smart card. Dal punto di vista tecnico la firma digitale è una sequenza di byte in grado di associare in modo univoco un documento elettronico alla persona che l’ha generato garantendone provenienza, autenticità e integrità.

Sicurezza e riservatezza dei sistemi

Il Codice Privacy prevede concrete disposizioni in merito al trattamento dei dati tramite strumenti informatici. Nello specifico, l’allegato B del Codice contiene il Disciplinare Tecnico ossia una serie di modalità tecniche necessarie ad adottare concretamente le misure minime per la sicurezza dei sistemi. Tali misure dovranno essere adottate dal titolare, dal responsabile o dall’incaricato.

La normativa prevede che il trattamento dei dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autorizzazione per i quali siano, comunque, previsti specifici profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. Periodicamente, e comunque con cadenza annuale, occorre verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

I dati personali devono essere protetti anche dal rischio di intrusione esterna e dall’azione di programmi in grado di violare la privacy. Per questo dovranno essere predisposti idonei strumenti elettronici che siano in grado di prevenire la vulnerabilità dei sistemi e correggano eventuali difetti, quali antivirus, antispyware e firewall, da aggiornare con cadenza almeno semestrale.

Almeno una volta l’anno occorre provvedere all’aggiornamento dei sistemi in modo da correggere gli errori. Questa operazione potrà essere facilmente compiuta anche tramite il download da Internet di patch o di service pack ossia di nuove versioni dei sistemi operativi e dei vari programmi applicativi.

Gestione password

I soggetti autorizzati ad accedere ai sistemi possono farlo se dotati di credenziali di autenticazione che consistono in un codice associato all’incaricato e una parola chiave riservata e segreta, conosciuta solamente dall’incaricato ovvero con l’utilizzo di smart card individuali. Il codice associato all’incaricato ossia lo user-id o user-name, una volta utilizzato, non può essere assegnato ad altri soggetti, neppure in tempi diversi.

Gli incaricati dovranno essere sensibilizzati ad adottare le necessarie cautele per assicurare la segretezza della parola chiave nonché la diligente custodia dei dispositivi in uso esclusivo dell’incaricato e a non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento (i sistemi, a tal fine, permettono di predisporre uno screen saver con richiesta di password).

La parola chiave deve essere composta da almeno otto caratteri ovvero, nel caso in cui lo strumento elettronico non lo permetta, in un numero di caratteri pari al massimo consentito dal sistema. Non deve contenere riferimenti riconducibili all’incaricato e deve essere modificata dall’incaricato stesso al primo utilizzo dello strumento elettronico e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili la parola chiave deve essere modificata ogni tre mesi.

Le credenziali di autenticazione non utilizzate dopo sei mesi dovranno essere disattivate.

Sicurezza archivi cartacei

Particolare importanza rivestono gli archivi cartacei soprattutto nei casi in cui, al loro interno, sono contenuti dai sensibili relativi ai dipendenti, informazioni concernenti procedimenti disciplinari, dati giudiziari relativi a partecipazioni a gare o informazioni connesse alle transazioni commerciali come ad esempio fatture o contratti.

Ai responsabili del trattamento dovranno essere impartite specifiche istruzioni per iscritto che prevedano la custodia di atti e documenti. L’accesso agli archivi contenenti dati sensibili o giudiziari può essere consentito anche dopo l’orario di chiusura ma deve essere controllato. E’ necessario, pertanto, adottare policy finalizzate alla gestione dei dati cartacei contenuti negli archivi. In tal caso è necessario che venga eseguito il controllo degli accessi dei lavoratori, preventivamente autorizzati, nei locali in cui sono custodite tali banche dati. Questa operazione può essere eseguita tramite l’installazione di un lettore badge che consenta il riconoscimento del soggetto autorizzato e ne permetta l’accesso.

Comunicazioni telefoniche e la riservatezza

L’art. 123 del Codice Privacy ha fissato a sei mesi il limite temporale per la conservazione dei dati di traffico telefonico per finalità di fatturazione, pagamenti in caso di interconnessione e di commercializzazione di servizi. E’ prevista, inoltre, la conservazione dei dati di traffico telefonico relativi ai servizi offerti per tutti i fornitori di servizi di comunicazione al fine di accertare e reprimere i reati.

Il fornitore sul quale incombe l’obbligo di conservare i dati di traffico ai sensi dell’articolo 132 del Codice è quello che mette a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione. Con il termine “servizi di comunicazione elettronica” devono intendersi quelli consistenti nella trasmissione di segnali su reti di comunicazioni elettroniche.

L’obbligo di conservazione riguarda i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, nonché i dati inerenti al traffico telematico, esclusi comunque i contenuti delle comunicazioni. In particolare, sono oggetto di conservazione i dati che i fornitori sottopongono a trattamento per la trasmissione della comunicazione o per la relativa fatturazione.

Allo scadere dei termini previsti dalle disposizioni vigenti i dati di traffico sono resi non disponibili per le elaborazioni dei sistemi informativi e le relative consultazioni. Dovranno essere cancellate o rese anonime anche le informazioni contenute in data base e nei supporti per la realizzazione di copie di sicurezza (backup e disaster recovery).