Un certo livello di automazione nelle policy aziendali è possibile per affrontare le ultime sfide di security e di compliance normativa (vedi Gdpr).
La sfida
Questa situazione continuamente cangiante richiede infatti che le organizzazioni siano costantemente vigilanti per assicurare che la loro postura di sicurezza rimanga adeguata attraverso l’aggiornamento delle difese. A complicare ulteriormente la situazione, le organizzazioni sono tenute ad adottare particolari meccanismi di protezione per alcune classi di dati al fine di essere conformi a particolari leggi, regolamentazioni o direttive a livello locale, nazionale o europeo come la Eu Data Protection Directive o la più recente General Data Protection Regulation (GDPR). Queste ultime rappresentano una classe molto importante di vincoli legali tesi a garantire i diritti e le libertà fondamentali dei cittadini in tema di privacy.
Si pone dunque il problema di integrare le soluzioni di sicurezza con quelle per la conformità al fine di proteggere i dati e garantire la privacy degli utenti mentre si raggiungono gli obiettivi fondamentali per la sicurezza come, ad esempio, riservatezza ed integrità. Per rendere tale integrazione possibile è cruciale sviluppare metodologie e tecniche per la specifica e l’analisi automatica della sicurezza e la conformità legale con un impianto uniforme in modo da cogliere tutte le occasioni in cui meccanismi di sicurezza possano giovare alla conformità e, viceversa, i vincoli legali diventino un’occasione per migliorare la postura di sicurezza di un’organizzazione.
L’automazione per gestire la complessità dei sistemi
Per la formazione di questo circolo virtuoso, l’automazione è essenziale per gestire la grande complessità dei sistemi nonché identificare le soluzioni più adatte a minimizzare sia i rischi di sicurezza per l’organizzazione che quelli di violare diritti e libertà degli utenti.
Vi sono tre desiderata principali che le tecniche automatiche a supporto dell’integrazione tra privacy e sicurezza devono soddisfare:
- essere applicabili all’inizio del processo di progettazione e sviluppo dei sistemi al fine di facilitare l’integrazione di meccanismi di sicurezza allo stato dell’arte nonché le Privacy Enhancing Technology (PET) come raccomandato dagli approcci Security- e Privacy-by-design;
- documentare eventuali assunzioni aggiuntive o semplificazioni tese a risolvere le ambiguità del linguaggio naturale utilizzate nella scrittura dei vincoli legali al fine di dare loro una semantica precisa, così da permettere l’applicazione di tecniche automatiche per l’analisi della sicurezza e la verifica della conformità legale;
- presentare agli architetti dei sistemi informatici spiegazioni dettagliate circa le cause di eventuali violazioni di sicurezza e/o conformità (ad esempio fornendo scenarii di funzionamento che portano il sistema in una configurazione insicura o non conforme) in modo tale che questi siano in grado di capire dove intervenire per risolvere la violazione.
Il primo implica che le tecniche per l’analisi di sicurezza e conformità integrino i linguaggi di specifica più comunemente usati per la definizione dell’architettura e del flusso delle informazioni dei sistemi informatici (come ad esempio i Message Sequence Chart). Il secondo richiede che i modelli ed i documenti che descrivono le assunzioni aggiuntive riguardanti i testi legali da cui i primi derivano, siano il risultato di un approccio interdisciplinare che coinvolge esperti delle Scienze dell’Informazione e delle discipline Giuridico-Sociali.
Questo promuove, da una parte, una comprensione profonda di come (e fino a che punto) i vincoli legali possono essere soddisfatti da meccanismi puramente tecnologici e, dall’altra, facilita l’interpretazione dei risultati derivati dall’applicazione delle tecniche di analisi automatica per la sicurezza e la conformità. Inoltre, se i modelli ed i documenti che tengono traccia delle assunzioni sono resi pubblici, la comunità scientifica può commentare e criticare le scelte fatte, suggerendo miglioramenti o variazioni per rendere i risultati dell’analisi più aderenti all’interpretazione corrente della dottrina giuridica e delle best practice di sicurezza. Infine, il terzo desiderata vuole semplificare l’attività di allineamento del progetto di un sistema agli obiettivi di sicurezza ed a quelli di conformità, nonché permettere di esplorare soluzioni alternative di progetto senza la necessità di costruire un prototipo funzionante del sistema.
Attività di ricerca e trasferimento tecnologico
L’Unità di Ricerca “Security & Trust” della Fondazione Bruno Kessler ha iniziato un progetto di ricerca per lo sviluppo di tecniche automatiche per l’analisi integrata di sicurezza e di conformità legale che soddisfano i tre desiderata sopra indicati. Il progetto si articola in tre attività fondamentali:
- sviluppo di un impianto dichiarativo per specificare sistemi, meccanismi ed obiettivi di sicurezza nonché vincoli legali che si basa sulla logica simbolica che è stata definita il calcolo fondante delle Scienze dell’Informazione;
- definizione di una metodologia interdisciplinare per derivare specifiche formali da testi legali espressi in linguaggio naturale che combina le conoscenze della dottrina giuridica con quelle tecniche alla base dei meccanismi di sicurezza e di privacy;
- progettazione e sviluppo di tecniche automatiche per l’analisi di sicurezza e di conformità basate su tecniche di ragionamento automatico che sono nate in seno all’Intelligenza Artificiale.
Oltre a soddisfare i desiderata indicati sopra, le tecniche sviluppate permettono di semplificare grandemente il processo di istanziazione dei vincoli legali al sistema che si progetta grazie all’individuazione di un insieme contenuto di nozioni di base senza la necessità di considerare il testo legale nel suo complesso.
La metodologia e le tecniche sviluppate nelle tre attività di progetto sono state applicate alla Data Protection Directive Europea, che è attualmente in vigore. I risultati sono stati pubblicati in articoli scientifici e resi disponibili in rete. Più di recente, si stanno adattando le tecniche sviluppate alla General Data Protection Regulation (GDPR), entrato in vigore il 25 maggio scorso, nel contesto di una collaborazione con la Provincia Autonoma di Trento (in particolare l’Umse privacy) il cui obiettivo è di garantire la conformità dei trattamenti dei dati personali dei cittadini trentini (circa 2.400) rispetto al GDPR.
In questa collaborazione, oltre a validare le tecniche sviluppate su svariati scenari reali, si sta definendo anche la metodologia per effettuare il Data Protection Impact Assessment (DPIA) dei trattamenti delle varie organizzazioni che afferiscono alla Provincia Autonoma di Trento. Si ritiene che l’integrazione delle tecniche sviluppate fino ad ora possa giocare un ruolo importante per lo svolgimento del DPIA e più in generale nel dimostrare la conformità dei trattamenti erogati dalla Provincia rispetto al GDPR.
