la gestione degli endpoint e le relative misure di sicurezza tecniche ed organizzative da applicare

Con la presente si intende portare alla vostra attenzione un recentissimo episodio di furto commesso presso lo studio dei Dirigenti Medici della UOC di Medicina Interna del P.O. di Pescara (nella notte tra il 4 e il 5 aprile), con danneggiamenti ad arredi, documentazione clinica ed apparecchiature informatiche, furto di materiale vario, compreso un PC da tavolo contenente dati sanitari sensibili, tastiera e monitor.

La gestione dei dispositivi Hardware e Software da parte dei dipendenti pone una serie di problemi legati alla sicurezza dei dati in essi archiviati e richiede, pertanto, al titolare del trattamento di predisporre una serie di misure di sicurezza tecniche ed organizzative relative alla gestione delle postazioni di lavoro informatiche (c.d. endpoint) distribuite all’interno dell’Ente/Azienda ed in uso da parte del personale ad esse preposto.

Come noto, gli endpoint sono dispositivi fisici che si connettono e scambiano informazioni con una rete di computer. Per quanto di interesse in questa sede, alcuni esempi di endpoint sono: dispositivi mobili, computer, desktop, macchine virtuali, dispositivi incorporati e server.

La sicurezza (o protezione) degli endpoint permette di proteggere gli stessi da soggetti malintenzionati.

 I criminali informatici prendono di mira gli endpoint perché sono dei punti di accesso ai dati aziendali e, per natura, vulnerabili agli attacchi. Si trovano all’esterno della sicurezza della rete e dipendono dalle misure di protezione applicate dagli utenti, il che lascia inevitabilmente spazio all’errore umano. 

La sicurezza degli endpoint è fondamentale sia in ottica “dato-centrica” che in riferimento al potenziale danno di immagine e/o economico, a carico del Titolare del trattamento.

La sicurezza degli endpoint sfrutta una serie di processi, servizi e soluzioni per proteggere gli stessi dalle minacce informatiche. I primi strumenti di sicurezza degli endpoint sono stati i software antimalware e antivirus tradizionali progettati per impedire ai criminali di danneggiare dispositivi, reti e servizi. La sicurezza degli endpoint si è evoluta fino a includere soluzioni complete e basate sul cloud più avanzato, che consentono di rilevare e analizzare le minacce, oltre a rispondere agli attacchi e gestire app, dispositivi e utenti.

Tra i rischi che possono colpire gli endpoint, si annoverano i seguenti:

1. Phishing, un tipo di attacco di ingegneria sociale che manipola le vittime spingendole a condividere informazioni sensibili.
2. Ransomware, malware che trattiene le informazioni delle vittime fino al pagamento di un riscatto.
3. Perdita di dispositivi, una delle principali cause di violazioni dei dati per le organizzazioni. I dispositivi persi e rubati possono comportare, come loro conseguenza, anche sanzioni costose.
4. Patch obsolete, che espongono le vulnerabilità nei sistemi, consentendo agli utenti malintenzionati di sfruttare i sistemi e rubare i dati.
5. Adware, o malvertising, che usa gli annunci online per diffondere malware e compromettere i sistemi.
6. Download inconsapevoli, i download automatizzati di software in un dispositivo senza che l’utente ne sia a conoscenza.

Per farvi fronte in maniera proattiva, lEnte/Azienda deve predisporre il ricorso a misure di sicurezza tecnica ed organizzative in grado di ridurne la possibilità di verificarsi dei rischi, sui diritti e sulle libertà delle persone i cui dati vengono trattati, una volta che gli stessi si siano avverati.

Gli ambiti di intervento che si suggerisce al Titolare del trattamento dei dati personali di prendere in considerazione sono i seguenti:

1. Attività di formazione, in merito a sicurezza e conformità, nei confronti dei dipendenti.

2. Monitoraggio dei dispositivi: occorre calendarizzare un monitoraggio di tutti i dispositivi connessi alla rete aziendale, provvedendo, altresì, ad aggiornare l’inventario, avendo cura di tracciare le eventuali successive assegnazioni degli stessi.

3. Adozione di una politica di patch management degli endpoint (sistemi e software), con relativo tracciamento degli interventi.

4. Adozione di una strategia di sicurezza Zero Trust. Partendo dall’assunto che nessuna rete aziendale possa definirsi sicura, in quanto non esiste un perimetro di rete affidabile, occorre fare ricorso ad una serie di misure di sicurezza, fra le quali: la segmentazione della rete ed i controlli di accesso rigorosi.  Va quindi garantito ai dipendenti l’accesso alle risorse necessarie, nel rispetto delle politiche di accesso alle stesse.

5. Crittografia degli endpoint; gli ambiti di intervento devono prevedere, ove possibile, un ricorso alla cifratura at rest, in use ed in transit.

6. Utilizzo di password complesse. (rif. punto 1)

In caso di mancata attivazione da parte del titolare del trattamento, i rischi cui lo stesso può andare incontro sono quelli derivanti dalla:

a) distruzione,

b) perdita,

c) modifica,

d) divulgazione non autorizzata,

e) accesso, in modo accidentale o illegale, ai dati personali. (art. 32.1 del GDPR[1])

Il realizzarsi di uno i più dei rischi sopra richiamati è soggetta a sanzione amministrativa pecuniaria fino a 10 milioni di euro. (art. 83.4, del GDPR[2])

Pertanto, qualora non si sia già intervenuto, si rende necessario adottare, nell’immediato, un piano di rimedi, con step predefiniti, per la cui definizione le competenti funzioni aziendali possono avvalersi, ad es., delle Linee Guida per la sicurezza ICT delle Pubbliche Amministrazioni del 21 settembre 2017.[3]

Linee Guida per la sicurezza ICT delle Pubbliche Amministrazioni del 21 settembre 2017. Misure minime di sicurezza ICT per le pubbliche amministrazioni

Le misure minime di sicurezza ICT emanate dall’AgID, sono un riferimento pratico per valutare e migliorare il livello di sicurezza informatica delle amministrazioni, al fine di contrastare le minacce informatiche più frequenti.

In cosa consistono le misure di sicurezza

Le misure consistono in controlli di natura tecnologica, organizzativa e procedurale e utili alle Amministrazioni per valutare il proprio livello di sicurezza informatica.

A seconda della complessità del sistema informativo a cui si riferiscono e della realtà organizzativa dell’Amministrazione, le misure minime possono essere implementate in modo graduale seguendo tre livelli di attuazione.

1. Minimo: è quello al quale ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme.
2. Standard: è il livello, superiore al livello minimo, che ogni amministrazione deve considerare come base di riferimento in termini di sicurezza e rappresenta la maggior parte delle realtà della PA italiana.
3. Alto: deve essere adottato dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma anche visto come obiettivo di miglioramento da parte di tutte le altre organizzazioni.

Obiettivi delle misure minime

Le misure minime sono un importante supporto metodologico, oltre che un mezzo attraverso il quale le Amministrazioni, soprattutto quelle più piccole e che hanno meno possibilità di avvalersi di professionalità specifiche, possono verificare autonomamente la propria situazione e avviare un percorso di monitoraggio e miglioramento. Le misure minime:

• forniscono un riferimento operativo direttamente utilizzabile (checklist),
• stabiliscono una base comune di misure tecniche ed organizzative irrinunciabili;
• forniscono uno strumento utile a verificare lo stato di protezione contro le minacce informatiche e poter tracciare un percorso di miglioramento;
• responsabilizzano le Amministrazioni sulla necessità di migliorare e mantenere adeguato il proprio livello di protezione cibernetica.

Responsabilità della PA

L’adeguamento alle misure minime è a cura del responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie, come indicato nel CAD (art. 17 ) o, in sua assenza, del dirigente designato. Il dirigente responsabile dell’attuazione deve compilare e firmare digitalmente il “Modulo di implementazione” allegato alla Circolare 18 aprile 2017, n. 2/2017.

---

[1] Articolo 32 Sicurezza del trattamento (C83)

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

[2] Articolo 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie. (C148, C150-C152)
(omissis)
4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4;

[3] Link: https://www.agid.gov.it/it/sicurezza/misure-minime-sicurezza-ict