A Cybersecurity Italia Cosimo Comella, dirigente del Dipartimento tecnologie digitali e sicurezza informatica del Garante Privacy: “Occorrerebbe che i legislatori nazionali e comunitario provvedessero a disciplinare l’uso della crittografia non per limitarla ma per regolarne l’impiego in contesti in cui essa sia utile a protezione di diritti e libertà delle persone”.
Il Comune di Torino e la SIAE sono le ultime eclatanti vittime di attacchi informatici. In attesa delle conclusioni delle indagini, nei data breach, di solito, i cybercriminali non si limitano solo a cifrare i dati, ma effettuano anche l’esfiltrazione.
Se si usa la crittografia, in caso di esflitrazione, i dati non possono essere leggibili, se non si è in possesso della chiave di decifratura (che si ottiene solo dopo aver superato diversi livelli di autenticazione). La crittografia converte messaggi, e-mail, immagini, praticamente qualsiasi forma di dati in testo cifrato criptato e illeggibile da persone non autorizzate.
Lo stesso GDPR, nell’articolo 32, indica la crittografia come strumento adeguato a mitigare il rischio. E con la crittografia non viene violata la confidenzialità (riservatezza) e l’integrità dei dati. L’attacco informatico può causare l’indisponibilità dei dati, ma con il backup il problema non si pone. E chi utilizza la cifratura non è tenuto a comunicare il data breach (sventato) agli utenti interessati, come prevede il Regolamento Ue, ma solo al Garante Privacy.
Tanti i vantaggi, quindi, della crittografia dei dati come anche l’evitare la double extortion, in crescita pure in Italia. I cybercriminali chiedono due riscatti alle aziende ed enti vittime: il primo per decifrare i file criptati, il secondo, dopo aver ricevuto il primo bottino, per non diffondere i dati nel Dark Web, con l’obbligo per le aziende di pagare sanzioni privacy.
Ma allora perché Pubbliche amministrazioni, ministeri, enti, aziende e PMI non utilizzano di default la crittografia dei dati? Perché non sono obbligati a farlo. C’è un vuoto regolatorio sull’obbligo della crittografia dei dati. Non c’è ancora una norma specifica sulla cifratura delle informazioni. Manca un quadro normativo armonizzato. Come evidenzia a Cybersecurity Italia Cosimo Comella, dirigente del Dipartimento tecnologie digitali e sicurezza informatica dell’Autorità Garante per la protezione dei dati personali.
Cosimo Comella, dirigente del Garante per la protezione dei dati personali: “Occorrerebbe che i legislatori nazionali e comunitario provvedessero a disciplinare l’uso della crittografia non per limitarla ma per regolarne l’impiego in contesti in cui essa sia utile a protezione di diritti e libertà delle persone”
“Il Garante nel corso della sua attività negli ultimi venti anni ha fatto riferimento a tecniche crittografiche quali ausilio alla protezione dei dati, in diversi casi”, ci ha spiegato Comella.
“In tutte queste occasioni”, ha aggiunto, “il Garante ha utilizzato – prescrivendone l’adozione – le misure e gli accorgimenti di tipo crittografico che ha di volta in volta ritenuto utili a garantire un livello più elevato di tutela per i diritti e le libertà delle persone, e per innalzare in generale il livello di sicurezza”.
“Nel fare questo”, ha sottolineato il dirigente, “l’Autorità non si è avvalsa di previsione normative o regolamentari, ma ha fatto riferimento agli strumenti che la tecnologia offre allo stato dell’arte. Il tema della crittografia volta alla cifratura delle informazioni è infatti non trattato in generale da norme specifiche, anche se nell’ordinamento possono rinvenirsi tracce (in regolamenti tecnici o attuativi di norme di vario tipo) di riferimenti a standard crittografici”.
Si pensi per esempio al Codice dell’amministrazione digitale e alle sue previsioni in tema di firma digitale e sigilli elettronici, oppure di posta elettronica certificata e di conservazione documentale: tutti sistemi che presuppongono in modo essenziale la disponibilità di tecnologie crittografiche a chiave pubblica e a chiave simmetrica in diversi passaggi delle loro implementazioni correnti.
“Ma non sono solo i comportamenti comunicativi che possono sfruttare la crittografia”, ha osservato ancora Cosimo Comella, “poiché la stessa tecnologia è utilizzata ed è alla base del commercio elettronico e di tutte le interazioni in rete basate su protocolli web sicuri, come TLS ed SSL che utilizziamo ormai inconsapevolmente quando ci colleghiamo al nostro conto di home banking”.
“Occorrerebbe”, ha concluso il dirigente del Garante, “che i legislatori nazionali e comunitario provvedessero a disciplinare l’uso della crittografia non per limitarla, ma per facilitarne l’impiego, nonostante palesi diffidenze per i paventati usi a fini illeciti, in contesti in cui essa sia utile a protezione di diritti e libertà delle persone. Gli esempi di utilizzo positivo sono numerosissimi, anche nell’ambito pubblico, ma, eccetto che in settori dotati di una disciplina speciale, l’uso della crittografia è lasciato a ciascuna amministrazione senza imposizione di standard e di buone prassi che invece sarebbero necessari per un uso armonizzato delle tecnologie, al pari di quanto realizzato per la firma digitale con le PKI qualificate”.
In attesa di un quadro normativo armonizzato, sulla cifratura occorre dipanarsi su 3 livelli
Per cui, in attesa di un quadro normativo armonizzato, oggi sulla cifratura occorre dipanarsi su 3 livelli, ecco quali:
- La crittografia è requisito solo per ottenere alcuni standard internazionale. La tecnica crittografica dei dati costituisce un requisito solo di alcuni standard internazionali di certificazioni (sistema di gestione dei documenti, sicurezza delle informazioni ISO 27001, o nei servizi cloud ISO 27017 e le linee guida ISO 27018). Per le società che vogliono aderire, volontariamente, a queste certificazioni la crittografia dei dati è un requisito necessario sia in fase statica sia in fase dinamica (transmission).
- È una misura tecnico-organizzativa. La crittografia è una misura tecnico-organizzativa idonea sul piano regolatorio. Il legislatore europeo, ai sensi dell’articolo 32 del GDPR, prevede che il titolare del trattamento e il responsabile del trattamento mettano in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, la pseudonimizzazione e la cifratura dei dati personali.
Il Regolamento Ue non disciplina la crittografia, ma la indica come una misura idonea alla protezione dei dati sia in ambiente “statico” – come lo storage in cloud – sia in ambiente “dinamico” – quando si invia con un’email, via cloud, un allegato cifrato non è leggibile. Se l’email finisce in altre mani non c’è data breach, perché l’allegato ha una cifratura. - È indispensabile per la firma digitale o elettronica di un documento informatico. La crittografia è strumento tecnico su cui si basano i certificati di firma digitale per l’inoppugnabilità del documento informatico ai sensi del GDPR ed eIDAS.
L’Italia sia da apripista con una normativa nazionale per aggiungere, in modo obbligatorio, un ulteriore livello di protezione con la crittografia dei dati
L’Ue sta lavorando alla definizione del quadro normativo armonizzato sulla crittografia dei dati. Prevedere l’adozione di sistemi di crittografia dei dati, così come descritto ampiamente nei documenti del Consiglio dell’Unione europea, è una condizione necessaria per aggiungere un nuovo livello di sicurezza.
“La crittografia è uno strumento necessario per tutelare i diritti fondamentali e la sicurezza digitale dei governi, dell’industria e della società”, è scritto nella risoluzione del Consiglio.
Ma, se si dovesse scegliere la strada del Regolamento europeo, chissà quando sarà pronto e poi attuabile dagli Stati membri a causa dei lunghi tempi canonici di negoziazione tra le Istituzioni europee. Invece, se l’Ue dovesse optare per la direttiva prima di 4 anni non ci sarebbe un provvedimento di recepimento in Italia. Per cui il nostro Paese può fare, adesso, da apripista con una normativa nazionale per aggiungere, in modo obbligatorio, un ulteriore livello di protezione con la crittografia dei dati. In modo esteso a tutte le Pa ed aziende, e non solo ai soggetti pubblici e privati inseriti nel perimetro di sicurezza nazionale cibernetica. In questo modo, per esempio, la maggioranza delle PMI sarebbe in grado di mettere più al sicuro i dati e non essere più, come spesso avviene, l’anello debole della supply chain.
Davide Maniscalco (Legal e Privacy Officer): “Manca un quadro normativo armonizzato che disciplina la crittografia come misura tecnica-organizzativa idonea alla protezione dei dati personali ovvero come requisito tecnico di inoppugnabilità della firma elettronica di un documento informatico”
“Lo sviluppo delle tecnologie, la loro diffusione e la scoperta di nuovi campi cui destinarle, hanno portato i Governi a predisporre delle regole che possano prevenire un loro eventuale uso distorto.
La crittografia, per la sua caratteristica intrinseca e la destinazione tipicamente ‘dual use’ della tecnica, è certamente ritenuta una opportunità e, al tempo stesso, una potenziale criticità per la sicurezza nazionale ed internazionale degli Stati sovrani”, ha osservato a Cybersecurity Italia, Davide Maniscalco – Legal e Privacy Officer.
“È chiaro, tuttavia”, ha aggiunto, “che l’aumento incessante delle interconnessioni eterogenee di dispositivi nell’ecosistema digitale ha determinato nuove e pressanti esigenze di sicurezza delle informazioni nel mercato unico digitale a cui soccorrono le tecniche di crittografia nell’ambito di diversi requisiti normativi e regolatori, comunque preordinati ad assicurare nell’ambito della sicurezza informatica, la cosiddetta CIA, ossia, confidentiality, integrity ed availability di un documento/informazione”.
“In tale direzione”, ha concluso Maniscalco, “si sono sviluppate nel tempo le diverse fonti rappresentate da Convenzioni multilaterali di diritto internazionale piuttosto che da packages normativi europei, oltre agli standards di riferimento internazionali che, tuttavia, non consentono ad oggi di disporre di un quadro normativo armonizzato che disciplina la crittografia come misura tecnica-organizzativa idonea alla protezione dei dati personali ovvero come requisito tecnico di inoppugnabilità della firma elettronica di un documento informatico”.
Maurizio Sapora (Cybersecurity e Compliance Expert): “La soluzione nella crittografia omomorfica”
“L’encryption dei dati critici trasparente alle applicazioni anche durante le fasi di elaborazione è un sensibile passo in avanti rispetto alla sola tradizionale cifratura dei dati archiviati o in fase di trasmissione”, ci ha detto Maurizio Sapora, Cybersecurity e Compliance Expert di una software house.
“Un passo in avanti”, ha aggiunto, “di cui si sentiva il bisogno, sia in seguito all’introduzione del regolamento UE sulla privacy GDPR, sia a fronte dei sempre più frequenti attacchi ransomware, che non hanno più il solo scopo di rendere inutilizzabili i dati e chiedere un riscatto, ma anche quello di esfiltrare i dati sensibili e/o critici per il business, per poi rivenderli nel Dark Web”.
“Siamo convinti”, ha concluso Maurizio Sapora, “che la soluzione di crittografia omomorfica possa essere di grande aiuto ai nostri clienti, sia a quelli che sono chiamati a gestire grandi moli di dati personali soggetti alla normativa GDPR, come le Pubbliche Amministrazioni centrali e locali o le aziende operanti nel campo della Healthcare, sia a quelli del comparto industriale e manifatturiero che hanno necessità di proteggere i dati relativi ai processi di ricerca e sviluppo. Garantire l’operatività sui dati pur mantenendone la cifratura anche in fase elaborativa previene il rischio che gli utenti, ma anche gli amministratori di sistema possano, consapevolmente o inconsapevolmente, metterne a repentaglio la riservatezza. E a nostro parere questo è un fattore di fondamentale importanza”.