Negli ultimi anni, anche se in realtà dovremmo dire decenni, tutti noi abbiamo familiarizzato con gli strumenti di autenticazione a più fattori per accedere, ad esempio, ai servizi di home banking. Non ci spaventa, anzi, ci tranquillizza vedere i nostri risparmi (pochi o tanti che siano) protetti a nel modo giusto. Sappiamo che questo meccanismo non rappresenta una tranquillità assoluta, ma confidiamo nel fatto che violare misure di sicurezza di tale livello non è alla portata di tutti e di conseguenza i rischi sono molto ridotti, quasi pari a zero.
Il valore dei dati
Tuttavia i soldi non sono l’unico elemento ad avere un grande valore. La mancata protezione dei nostri dati personali, ad esempio, quando non protetti, rappresenta realmente un rischio per i nostri diritti e per le nostre libertà e allo stesso tempo rappresenta una grande fonte di guadagno per i criminali informatici, o in generale per chi può farne un uso non corretto, interessato, fraudolento. Per questo, senza le opportune misure di protezione, siamo vulnerabili ed esposti inconsapevolmente a rischi che non sono del tutto facili da immaginare.
Il mercato clandestino dei dati è purtroppo una realtà, tra l’altro molto dinamica, in continua evoluzione ed espansione. D’altro canto le normative del settore (in primis il GDPR), che fino a qualche anno fa costituivano un virtuosismo delle legislazioni degli stati più attenti ai diritti inviolabili delle persone (si vedano per l’Italia la Legge n. 675 del 1996 o il più recente D.Lgs. 196/2003 del 2003), ora sono più evolute proprio per rispondere alla necessità di tutela delle persone e del loro benessere in una società così digitalizzata.
Le norme tuttavia sono solo una sorta di libretto di istruzioni per titolari e interessati, ovvero descrivono e stabiliscono i principi e gli obblighi da rispettare) per maneggiare e trattare i dati personali in modo appropriato.
Le normative sulla protezione e la pericolosità del trattamento dati
Proprio perché maneggiare i dati è un’attività pericolosa, il GDPR sottolinea l’importanza del principio di accountability di un’organizzazione, ovvero la capacità di saper documentare e comprovare l’adeguatezza delle proprie scelte, specie a seguito di incidenti che possano compromettere la riservatezza dei dati.
A dirla tutta nel nostro paese, che rappresenta una realtà molto evoluta in questi termini, era già così anche ai tempi del D.Lgs 196/2003, in cui l’articolo 15 recitava appunto che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”. Guarda caso l’articolo 2050 richiama proprio le Responsabilità per l’esercizio di attività pericolose: “chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”.
Questo aspetto, prima dell’avvento del GDPR era più occulto anche se la normativa era piuttosto chiara sul tema.
In estrema sintesi possiamo dire che se da un lato l’esperienza dimostra che un data breach può capitare anche ad un’organizzazione adeguata e conforme alle regole o addirittura ad un’organizzazione virtuosa sul tema, dall’altro in situazioni del genere una cosa estremamente importante per un titolare è dimostrare di aver fatto il massimo nelle sue disponibilità per garantire la protezione dei dati rispettando tutti principi e gli obblighi del GDPR.
La sicurezza IT
Per quanto detto, una protezione totale è pressoché impossibile rispetto ai rischi di perdita della confidenzialità, ma il titolare deve dimostrare di aver messo in campo le misure di sicurezza più adeguate.
Per farlo il primo step è quello di valutare i rischi ed effettivamente sembra difficile che da un’analisi di questo genere possa non scaturire la necessità di attivare meccanismi di autenticazione forte, almeno per tutti gli accessi privilegiati, come quelli di un amministratore e per gli accessi da remoto, tra cui ad esempio quelli tramite VPN (Virtual Private Network). Basti pensare alla moltiplicazione del rischio che deriva dalla combinazione della possibilità di accesso privilegiato da remoto e un furto d’identità che permette entrambe di realizzare operazioni indiscriminate su dati, sistemi e infrastrutture IT. Ma in realtà anche il furto di credenziali non privilegiate può arrecare danni a un’organizzazione perché una breccia consente agli intrusi di insediarsi all’interno di una rete e scalare i privilegi. È per questo motivo che l’approccio all’adozione di una contromisura come questa deve essere globale, principio che vale per tutte le contromisure di sicurezza.
Tuttavia nel recente passato abbiamo letto di incidenti di sicurezza informatica che, a detta degli articoli di giornale, si sarebbero potuti evitare con l’autenticazione a più fattori.
Spid come strumento di innalzamento della sicurezza
A favorire la protezione, Spid (così come anche la CIE, anche se attualmente molto meno utilizzata) è stata un’importante iniezione di sicurezza perché tutti i principali service provider l’hanno adottato nella versione livello 2, ovvero con l’autenticazione a 2 fattori. Dal punto di vista del “marketing” non sempre l’aspetto di protezione è stato enfatizzato. Si è preferito rappresentare che Spid fosse la modalità unica per consentire tutti gli accessi ai servizi delle PA da parte dei cittadini, ma dobbiamo dire che anche l’effetto sulla sicurezza dei dati è stato piuttosto rilevante, per non dire eccellente.
Detto questo, se è importante l’autenticazione forte degli utenti, dei cittadini, per accedere ad una singola posizione (la propria), figuriamoci quanto possa essere importante per accedere da parte degli operatori, dei dipendenti di una PA a un’intera banca dati di posizioni, piena di dati personali e anche in molti casi dati particolari.
Lo stato dell’arte degli strumenti di autenticazione forte
È passato molto tempo da quando si è iniziato a parlare dei fattori di autenticazione, discutendo sulle possibilità che si potevano mettere in campo rispetto a “una cosa che conosci”, ovvero generalmente la classica password, “una cosa che hai”, come un token fisico e “una cosa che sei”, come il fingerprint o altre caratteristiche biometriche.
I sistemi di autenticazione forte sono nati e si sono evoluti, divenendo di uso comune e non rappresentando ormai una complessità tecnologica. Spesso le piattaforme dispongono di un meccanismo di Multi-factor Authentication (MFA) nativo, mentre al contempo esistono soluzioni enterprise integrabili con ogni tipo di piattaforma per standardizzare gli accessi di un’organizzazione e garantire politiche adeguate e proporzionate.
Il lavoro fatto in INAIL
In INAIL, a partire da tutte queste considerazioni, ci è sembrato indispensabile procedere in questa direzione, tanto che l’autenticazione forte è stata adottata a tappeto permettendo agli utenti di scegliere tra più meccanismi possibili: quello proprietario interno ma anche SPID, CIE, CNS, prevedendo di aggiungerne nel tempo altri di pari robustezza e, possibilmente, di migliore esperienza per l’utente.
In una grande organizzazione, come la nostra, certamente non sono trascurabili gli impatti organizzativi e un progetto del genere deve tenere conto anche di questa dimensione. Per gli utenti interni, ad esempio, almeno inizialmente l’MFA può rappresentare un fastidio e qualche secondo in più necessario per accedere, ma lo sforzo è sicuramente ripagato dall’innalzamento generale della sicurezza della sicurezza. Per questo l’iniziativa deve essere necessariamente accompagnata da campagne di formazione e informazione per rendere consapevoli le persone del cambiamento in atto e per diffondere una cultura della sicurezza capace di contribuire al raggiungimento degli obiettivi.
Conclusioni
La PA è un’emanazione dello stato e come tale deve farsi garante dei diritti delle persone, come quello inviolabile della protezione dei dati.
Di conseguenza, quando ci si approccia a qualsiasi iniziava tecnologica e a qualsiasi analisi del rischio associata a tale iniziativa, alcune domande devono senza dubbio essere poste:
- siamo sicuri che senza autenticazione forte per l’accesso stiamo rispettando i principi e obblighi del GDPR per la protezione dei dati personali o dei dati particolari, magari di carattere sanitario, che stiamo trattando come titolari del trattamento?
- e comunque, l’accountability è garantita?
- la gestione dei rischi e delle minacce è adeguata, stiamo mettendo in campo le misure di sicurezza corrette?
- un contesto in cui lo smart working è sempre più preponderante si può fare a meno di meccanismi di autenticazione forte?
Dal punto di vista normativo, assistiamo alla pubblicazione di provvedimenti, di leggi e di framework in tema di sicurezza che rendono obbligatori controlli senz’altro utili, ma non sempre facilmente associabili ad un immediato ritorno di innalzamento del livello di sicurezza, o quantomeno non paragonabile a quello che deriverebbe dall’introduzione di autenticazione forte.
In questo senso, forse, alcune altre domande possono offrire uno spunto di riflessione:
- non potrebbe essere esplicitata l’autenticazione a più fattori tra gli obblighi di sicurezza di una PA? Sia relativamente agli utenti esterni, ma anche per gli utenti interni che generalmente accedono ad una quantità più rilevante di dati, non propri tra l’altro;
- Non potrebbero essere emanati provvedimenti per l’introduzione di autenticazione forte per tutti i ruoli privilegiati come gli amministratori di sistema?
