cybersicurezza

Nuove linee guida per la sicurezza delle password: tutto ciò che enti e aziende devono sapere



Indirizzo copiato

Le password sono chiave d’accesso a informazioni sensibili, dati personali ed economici. Una loro inadeguata gestione comporta danni economici e perdita di fiducia da parte di clienti o utenti. Le “Linee guida funzioni crittografiche-Conservazione delle password” e le successive FAQ del Garante privacy mirano a rafforzare la sicurezza informatica e la protezione dei dati personali

Pubblicato il 14 mar 2024

Filomena Polito

Responsabile Protezione Dati in ambito sanitario – Valutatore Privacy

Michele Principi

Esperto Privacy, Valutatore Privacy certificato UNI 11697:2017



Internet,Network,Security,Concept,With,Icons,Of,Secure,Access,,Biometrics

Il Garante Privacy e l’Agenzia per la cybersicurezza nazionale hanno recentemente rilasciato delle nuove “Linee guida funzioni crittografiche  –  Conservazione  delle  password”, sottolineando l’importanza cruciale della protezione di queste chiavi d’accesso nel panorama della cybersicurezza.

Lo scorso primo marzo, quindi, il Garante ha diffuso una serie di apposite FAQ, al fine di precisare taluni contenuti delle Linee, la cui elaborazione è stata ritenuta necessaria, viste le tante notifiche di Data Breach o violazioni di dati di titolari del trattamento trasmesse al Garante ai sensi dell’art. 33 del Regolamento UE 2016/679, così da promuovere la cybersicurezza nazionale e la protezione dei dati personali.

Nonostante la frequenza con cui sentiamo parlare di violazioni di password, l’applicazione di misure efficaci per assicurare la loro sicurezza rimane infatti una sfida complessa sia per i titolari che per i responsabili del trattamento dei dati. In questo scenario, anche i produttori di software sono chiamati a svolgere un ruolo attivo nel contribuire alla difesa del patrimonio informativo, mettendo in campo strategie e strumenti adeguati.

Linee guida ACN e Garante Privacy per la conservazione delle password

Le linee guida sono state elaborate negli scorsi mesi dall’Agenzia per la cybersicurezza nazionale, d’intesa con il Garante per la protezione dei dati personali.

Le stesse sono state approvate con Decreto del Direttore Generale dell’Agenzia per la cybersicurezza nazionale, di cui al prot. n. 31593 del 13 dicembre 2023 e dall’Autorità Garante Privacy con il Provvedimento n. 594 del 7 dicembre 2023.

 Le Linee guida, disponibili  sul  sito  web  istituzionale dell’Agenzia per la cybersicurezza nazionale e sul sito istituzionale del Garante per la protezione dei dati personali, sono state pubblicate sulla Gazzetta Ufficiale-Serie Generale n.15 del 19-01-2024.

Cyber sicurezza: perché è importante la protezione delle password

L’accesso alla maggior parte dei sistemi e servizi informatici prevede il superamento di procedure di autenticazione informatica a uno o più fattori che spesso comprendono l’utilizzo di una parola chiave o password; la loro gestione è quindi un aspetto fondamentale nell’ambito della sicurezza informatica e della protezione dei dati personali, che obbliga i gestori dei sistemi e servizi ad adottare misure tecniche e organizzative efficaci per la loro archiviazione, conservazione e utilizzo.

Tra le citate notifiche di violazione di dati molte riguardano infatti, se andiamo a ben vedere, incidenti di sicurezza che hanno comportato:

  • l’esfiltrazione di credenziali di autenticazione informatica costituite da username dell’utente e password, talora persino disattivate o relative a sistemi informatici o servizi online cessati;
  • l’accesso abusivo a sistemi informatici o servizi online mediante credenziali di autenticazione comunque acquisite nell’ambito di attacchi informatici.

L’Autorità in questi casi ha aperto le specifiche istruttorie ed accertamenti ispettivi, svolti sia nei confronti dei titolari che hanno presentato la notifica che dei relativi Responsabili del trattamento per verificare l’adeguatezza delle misure tecniche e organizzative da questi adottate nell’ambito di sistemi di autenticazione

Nel corso di tali verifiche si è constatata una limitata applicazione di misure efficaci di protezione delle password conservate, derivante anche da una inadeguata individuazione e valutazione del relativo livello di rischio da parte dei Titolari e Responsabili del trattamento.

I rischi della mancata protezione delle password

Le password giocano, a tal proposito, un ruolo essenziale nel tutelare la vita delle persone nel mondo digitale e la loro mancata protezione può facilitare spesso furti di identità, causati dall’utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche.

Gli attacchi informatici sovente sfruttano infatti la cattiva abitudine degli utenti di utilizzare la stessa password per l’accesso a diversi servizi online, e quindi la compromissione delle credenziali di autenticazione di un singolo servizio potrebbe causare l’accesso non autorizzato a una pluralità di sistemi.

Studi di settore dimostrano che il furto di username e password consente ai cybercriminali di commettere numerose frodi a danno delle vittime e che i dati sottratti sono usati per accedere illecitamente:

  • per il 21,2% dei casi nei portali di e-commerce;
  • per il 35,6% in siti di intrattenimento;
  • per il 18,8% a forum e siti web di servizi a pagamento;
  • per il 1,3 % a servizi finanziari
  • per il 21,9% a social media.

I provvedimenti del Garante sulla non adeguata protezione delle password

Consultando il sito web dell’Autorità Garante si nota che questa ha adottato negli ultimi anni numerosi Provvedimenti relativi alla tematica della non adeguata protezione delle password e alle relative violazioni di dati, che hanno spinto ACN e Garante Privacy ad elaborare le Linee guida come contributo utile alla mitigazione dei rischi.

Fra gli stessi possiamo citare:

  • il Provvedimento n. 255 dell’8 giugno 2023, adottato nei confronti della “ASL 1 Avezzano Sulmona L’Aquila” e relativo ad un Data Breach che ha reso possibile la pubblicazione nel dark web di 389 Gigabyte di dati personali e di salute;
  • il Provvedimento n. 426 del 28 settembre 2023, adottato nei confronti della ASL Napoli 3 Sud e relativo alla violazione di dati causata da un attacco informatico, determinato da un malware di tipo ransomware ai sistemi informativi, nel quale si evidenzia, fra l’altro, che “..non era attivo il meccanismo di password history per impedire il riutilizzo delle password” e che “..l’accesso remoto, tramite VPN, alla rete dell’Azienda, avveniva mediante una procedura di autenticazione informatica basata solo sull’utilizzo di username e password. In relazione a tale aspetto, l’Azienda, solo a seguito dell’incidente, ha ritenuto necessario attivare una procedura con doppio fattore di autenticazione”;
  • il Provvedimento numero 88 del 10 marzo 2022, adottato nei confronti del Ministero della salute, e relativo al Data Breach causato da attacco informatico del settembre 2021, che ha consentito, tra l’altro, l’esfiltrazione di credenziali di autenticazione al sistema utilizzato ai fini dell’autenticazione e autorizzazione al “NSIS” o Nuovo Sistema Informativo Sanitario;
  • il Provvedimento n. 226 del 18 dicembre 2019, adottato nei confronti di una Società che si occupa di sviluppo, gestione e manutenzione di software utilizzati da un fornitore di servizi di una formazione politica, che ha subito una violazione di dati personali che “ha portato al furto e alla pubblicazione di informazioni riservate”;
  • il Provvedimento n. 46 del 10 febbraio 2022, adottato nei confronti dell’Istituto Nazionale di Statistica o Istat, relativo ad una violazione di dati causata da un attacco informatico che ha comportato l’esfiltrazione di alcune informazioni e il potenziale accesso non autorizzato da parte di terzi alle informazioni, fra cui credenziali di autenticazione.

I provvedimenti citati sono accomunati dall’evidenza di una generale violazione delle disposizioni di cui agli articoli 5, paragrafo 1, lettera f), 25 e 32 del Regolamento UE 2016/679, e dalla scarsa adeguatezza delle misure di sicurezza tecniche e organizzative adottate dai Titolari e dai Responsabili del trattamento relativamente ai rischi presentati dal trattamento.

Il ruolo delle password nella sicurezza informatica

A tal proposito la password costituisce allo stesso momento sia:

  • un dato personale riferibile all’utente che l’ha impostata e la utilizza per l’accesso a un sistema informatico o un servizio online;
  • una misura di sicurezza, quale elemento noto solo all’utente su cui si basano le procedure di autenticazione informatica per l’accesso alla maggior parte dei sistemi informatici e dei servizi online e, quindi, ai dati personali ivi trattati.

La conservazione delle password nell’ambito di sistemi di autenticazione informatica, o di altri sistemi, può, come noto, comportare un alto rischio per i diritti e le libertà delle persone fisiche in caso di loro acquisizione o divulgazione non autorizzata, dando luogo a possibili furti o usurpazione d’identità, vista l’abitudine degli utenti di utilizzare la stessa password o una simile per l’accesso a più sistemi informatici o servizi online.

Implicazioni delle Linee guida per titolari e responsabili del trattamento

Le Linee Guida devono essere applicate anche nel caso in cui Titolare o Responsabile abbiano adottato:

  • una procedura di autenticazione a più fattori o “strong authentication”, basata sul contestuale uso di una password e di uno o più elementi appartenenti alle categorie del possesso o dell’inerenza, compresi i dati biometrici,la cronologia delle password o “password history”, dato che gli utenti possono utilizzare, anche in un momento successivo, la stessa password, o una molto simile per accedere allo stesso sistema informatico o servizio online o ad altri.

Le stesse, che forniscono raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, in modo da evitare che possano venire violate e finire nelle mani di cybercriminali, per essere poi messe online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi le credenziali di autenticazione (username e password), devono essere osservate da una nutrita serie di soggetti, come i gestori dell’identità digitale SPID o CieID, i gestori dei Servizi PEC, ed i gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, pubbliche amministrazioni, tutti i soggetti che accedono a banche dati di particolare rilevanza o dimensioni, ed utenti che abitualmente trattano dati giudiziari o appartenenti alle categorie particolari di cui all’articolo 9 del Regolamento UE 2016/679, come ad esempio i professionisti sanitari, gli avvocati, i magistrati.

A chi si applicano le linee guida: i chiarimenti nelle FAQ del Garante

Con le FAQ è stato precisato inoltre che queste, ad amplissimo raggio, si applicano persino anche a:

  • prestatori di servizi fiduciari a norma del regolamento (UE) n. 910/2014;
  • soggetti, pubblici e privati, che erogano servizi di conservazione dei documenti informatici a favore di terzi o servizi di fatturazione elettronica;
  • Presidenza del consiglio dei ministri, Ministeri e Agenzie fiscali;
  • Enti e istituti di ricerca pubblici di rilievo nazionale; Enti pubblici non economici di rilievo nazionale; -Autorità amministrative indipendenti e Forze di Polizia;
  • Comuni con popolazione di almeno diecimila abitanti, Regioni, Province e Città metropolitane;
  • Federazioni nazionali, Ordini, Collegi e Consigli professionali;
  • Camere di commercio, industria, artigianato e agricoltura;
  • Università e Istituti di istruzione universitaria;
  • strutture sanitarie pubbliche e private;
  • società e aziende che forniscono servizi ICT o che svolgono attività di commercio elettronico;
  • concessionari di servizi pubblici quali ad esempio il trasporto pubblico locale, la raccolta dei rifiuti, la gestione dei servizi idrici o energetici, l’accertamento e riscossione dei tributi locali, ecc.;
  • fornitori di servizi di comunicazione elettronica accessibili al pubblico;
  • istituti di credito, società finanziarie, imprese assicurative, società di informazioni creditizie o commerciali;
  • partiti, movimenti politici, sindacati, CAF e patronati;
  • imprese di somministrazione di lavoro e ricerca del personale;
  • società che offrono servizi di prenotazione di strutture ricettive o servizi di biglietteria per trasporti, eventi teatrali, sportivi, ricreativi, d’intrattenimento o servizi di streaming.

In modo estremamente sintetico le Linee Guida:

  • raccomandano l’utilizzo di robuste funzioni crittografiche, fornendo indicazioni e raccomandazioni sulle funzioni ritenute attualmente più sicure.;
  • introducono il concetto di password hashing, presentando nel dettaglio gli algoritmi più comuni utilizzati e focalizzando l’attenzione sui possibili attacchi a cui gli archivi di password possono essere soggetti.
  • forniscono le indicazioni su quali sono gli algoritmi raccomandati e sui rispettivi parametri, riportati nell’apposita Tabella 1, dove sono anche elencati i parametri minimi consigliati per i diversi algoritmi.

Al contempo nelle stesse i produttori di prodotti, servizi e applicazioni sono invitati a tener conto delle indicazioni riportate nelle Linee guida nelle fasi di progettazione e sviluppo, al fine di consentire a titolari e responsabili del trattamento di utilizzare sistemi e tecnologie che integrino i principî di protezione dei dati.

Infine, con le Linee guida viene rappresentato a Titolari e Responsabili anche che le credenziali non possono essere conservate per un tempo superiore a quello necessario a consentire la verifica dell’identità degli utenti per l’accesso a sistemi informatici o servizi online o, se del caso, a garantirne la sicurezza.

Una diversa prassi, infatti, presenterebbe rischi per i diritti e le libertà delle persone fisiche anche in considerazione del progresso tecnologico che, con il passare del tempo, può rendere obsolete le misure tecniche adottate o comprometterne l’efficacia.

Pertanto al fine di assicurare il rispetto di quanto indicato nell’articolo 25 del Regolamento UE 2016/679 viene raccomandato a Titolari e Responsabili del trattamento, anche per dare seguito ai principi di integrità, riservatezza e di limitazione della conservazione, che le password siano tempestivamente cancellate, anche in modo automatico, nel caso di:

  • cessazione o dismissione dei sistemi informatici o servizi online a cui le credenziali di autenticazione consentivano l’accesso;
  • disattivazione o revoca delle credenziali di autenticazione degli utenti che non hanno più necessità di accedervi o che non hanno più i requisiti che ne hanno determinato l’abilitazione.

Come possono i produttori di software contribuire alla sicurezza delle password

Per concludere, la doverosa applicazione delle Linee guida comporta senza dubbio un impegno dei produttori e utilizzatori di sistemi e servizi informatici, il cui rispetto assicura, in attuazione del principio di protezione dei dati fin dalla progettazione e per impostazione predefinita, la conformità al principio di integrità e riservatezza e l’adempimento degli obblighi previsti dagli articoli 5, 25 e 32 del Regolamento, ma che comporta indubbi vantaggi al Titolare del trattamento.

Qualora i soggetti obbligati non diano seguito alle relative disposizioni comunque devono essere in grado, in ossequio al principio di responsabilizzazione, di comprovare che le diverse misure adottate per proteggere le password garantiscano comunque un livello di sicurezza adeguato al rischio.

Con le FAQ il Garante Privacy a tal proposito ha precisato che nel caso in cui si registri un data breach, e qualora la violazione abbia coinvolto solo dati meramente personali, questa, che deve essere comunque adeguatamente documentata sul Registro dei Data Breach, potrebbe non presentare rischi elevati per i diritti e le libertà degli interessati.

Di conseguenza questo potrebbe rendere, nel caso di specie, non necessario notificare la violazione al Garante e la comunicazione agli interessati coinvolti ai sensi degli articoli 33 e 34 del Regolamento Ue 2016/679, così come indicato dalle “Linee guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali” adottate dal Comitato europeo per la protezione dei dati il 14 dicembre 2021.

Ciò in quanto l’applicazione delle indicazioni del Provvedimento n. 594 del 7 dicembre 2023 consente al Titolare e ai Responsabili del trattamento di mitigare in buona parte i rischi per gli interessati relativi ai Data Breach che possa aver interessato le password.

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3