Data leakage (fuga di dati)

data_leakage_mug-r8ef84445062244f48162b93765b6be51_x7jg9_8byvr_630La fuga di dati è il trasferimento non autorizzato di informazioni, di solito verso l’esterno di un’organizzazione. Può essere intenzionale (furto di dati) o accidentale (perdita di dati).

L’approccio “tradizionale” alla sicurezza si concentra sulla protezione del perimetro:

Sicurezza IT “tradizionale” : Individuazione dei tentativi di violazione realizzati sfruttando vulnerabilità e/o compiendo azioni palesemente malevoli

Data Leakage:  Violazioni condotte mediante strumenti / comportamenti apparentemente conformi alle politiche aziendali

 

 

L’attenzione di chi si occupa di sicurezza è concentrata sugli applicativi, 1439825630562spesso restano fuori dal monitoraggio tutti i software di produttività individuale.

Questi software in molti casi possono accedere liberamente alle Basi Dati aziendali:

Data Leakage:  tutti gli accessi, anche autorizzati, devono essere analizzati per rilevare eventuali anomalie. L’utilizzo di strumenti di analisi, come SAS Enterprise Guide e altri, deve essere tracciato.

Accesso non motivato di un utente a Tabelle sensibili, estrazioni anomale per tipologia o volumi, etc.. Tutti questi segnali possono e devono essere colti per garantire la sicurezza dei dati, nel rispetto delle normative e a garanzia dell’azienda e di tutti i suoi stakeholder.

Data Leakage Monitor for SAS

Data Leakage Monitor for SAS: Monitoraggio degli accessi “sospetti”

Data Leakage Monitor for SAS: acquisisce e analizza tutti i log degli application server SAS, individuando, tramite specifici indicatori, i comportamenti anomali, che vengono notificati tramite alert. Il sistema poi consente un’analisi approfondita (fino a vedere la singola query) in modo da identificare e documentare eventuali accessi non autorizzati o non giustificati.

DLProcess

Data Leakage Monitor for SAS

L’esigenza

– “tracciamento” degli accessi ai dati aziendali;

– conservazione delle query eseguite;

– implementazione di alert volti a rilevare intrusioni o accessi anomali ai dati, tali da configurare eventuali trattamenti illeciti;

Le funzioni

– Parsing LOG SAS

– Alert

– Reportistica,

– Grafici

– Query utente

Caratteristiche principali

  • Monitoraggio degli Application Server SAS, Web APP, Client SAS Foundation
  • Compatibile con tutte le versioni SAS 9.xx
  • Istruzioni SAS Tracciate:
    • DATA STEP
    • PROC STEP
    • SQL
    • MDX
    • Log Web App (es: Visual Analytics)
  • Vengono analizzati gli accessi a tutte le tabelle SAS e Cubi Olap.
  • Analisi:
    • Statistiche settimanali sull’accesso ai dati a livello di utente / tabella
    • Generazione di alert e tracciamento dei processi per la loro risoluzione
    • Analisi del comportamento dell’utente rispetto alla sua storia e quello di un gruppo di riferimento
    • Creazione flussi con il dettaglio delle query eseguite (per alimentare altri sistemi di monitoraggio).
    • Analisi delle statistiche sull’esecuzione di ciascun passo di data/proc step

HWDES4SAS : Descrizione dell’architettura e dei processi

La normativa si riferisce spesso al tema con la definizione di “Data Breach” (violazione dei dati)

“Data Breach”: “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico nella Comunità”.

Il concetto di “data breach” non riguarda solo i dati personali e i servizi accessibili al pubblico, ma qualsiasi violazione dei dati.  “In sostanza è la trasmissione o comunicazione non autorizzata di informazioni “sensibili” ad una parte, solitamente esterna all’organizzazione vittima, che non è autorizzata a possedere o vedere l’informazione.”

Art. 4. Gestione della sicurezza e delle violazioni. L’art. 32 del Codice (come modificato dal d.lg. n. 69/2012 in attuazione di quanto previsto dall’art. 4 della direttiva 2002/58/Ce) prevede che i soggetti che operano sulle reti di comunicazione elettronica debbano garantire “che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati” (cfr. comma 1-bis) e che le misure tecniche e organizzative, che il fornitore di comunicazione elettronica deve adottare, siano adeguate al rischio esistente, garantiscano la protezione dei dati archiviati o trasmessi da una serie di eventi espressamente indicati (distruzione, perdita, alterazione, anche accidentali, archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti) e assicurino l’attuazione di una “politica di sicurezza” (cfr. comma 1-ter). Il nuovo art. 32, comma 3, infine, impone al fornitore di informare i contraenti, il Garante, l’Agcom e, ove possibile, gli utenti, dell’esistenza di “un particolare rischio di violazione della sicurezza della rete”, indicando, quando il rischio è al di fuori dell’ambito di applicazione delle suindicate misure, tutti i possibili rimedi e i relativi costi presumibili. Tali previsioni indicano chiaramente come i fornitori siano tenuti ad organizzarsi al proprio interno al fine di garantire un elevato livello di sicurezza dei dati detenuti e gestire in maniera strutturata e tramite procedure e interventi definiti a priori, le eventuali violazioni di dati personali che dovessero accadere. Come dichiarato anche dall’ENISA nelle sue recenti Raccomandazioni (disponibili all’indirizzo http://www.enisa.europa.eu/activities/identity-and-trust/risks-and-data-breaches/dbn/art4_tech),  la gestione del rischio, in primo luogo, e delle violazioni di dati personali, qualora dovessero verificarsi, non può essere affidata dai fornitori a un’attività estemporanea. Essa richiede la predisposizione di un idoneo piano, nel quale dovrà essere individuata una serie di misure tecniche e organizzative di livello commisurato al tipo di minaccia, in grado di garantire risposte tempestive, efficaci e adeguate all’entità della violazione. Quanto all’individuazione delle misure minime di sicurezza propriamente dette ossia quelle alle quali la legge riconduce sanzioni di carattere anche penale ex art. 169 del Codice si richiama l’art. 33 del Codice e le specifiche previsioni contenute nel Disciplinare tecnico in materia di misure minime di sicurezza, di cui all’Allegato B (in particolare quelle relative ai trattamenti svolti con strumenti elettronici), la cui adozione è peraltro obbligatoria per qualunque titolare del trattamento.

Nel mondo del Credito esiste una specifica normativa: il Garante 2.0

A partire dal 3 giugno 2014 devono essere tracciate le operazioni tramite le quali gli utenti della Banca visualizzano e/o modificano i Dati Bancari del cliente “persona fisica”.
Secondo quanto riportato dall’Autorità nel Provvedimento del luglio 2013, per Dati Bancari si intendono «le informazioni concernenti la situazione economica e patrimoniale del cliente, gestiti nell’ambito della conduzione delle operazioni bancarie di natura dispositiva e/o di consultazione. In tal senso, costituiscono esempi tipici di dati bancari quelli contenuti negli estratti conto, quelli relativi alle operazioni attive o passive portate a termine sui conti correnti e, in generale, le movimentazioni conseguenti ad attività connesse al rapporto contrattuale in essere con i Clienti».
Le registrazioni devono consentire di rintracciare le operazioni effettuate dall’utente e di determinare, anche a distanza di tempo, la legittimità e la liceità delle stesse sulla base di segnalazioni, di indicatori o di analisi mirate di dettaglio.
Ciascun accesso interattivo ai sistemi informativi deve generare un log composto da alcune informazioni essenziali, obbligatorie e da altre opportune integrate alle prime per rendere più fruibile e significativo l’insieme delle informazioni raccolte.

1. Profili generali. 1.1. Scopo del provvedimento. Il presente provvedimento mira a fornire prescrizioni in relazione al trattamento di dati personali della clientela effettuato dai soggetti definiti al punto 1.2. al fine di garantire il rispetto dei princìpi in materia di protezione dei dai personali ai sensi del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) in ordine ai temi della “circolazione” delle informazioni riferite ai clienti in ambito bancario e della “tracciabilità” delle operazioni bancarie effettuate dai dipendenti di istituti di credito (sia quelle che comportano movimentazione di denaro, sia quelle di sola consultazione, c.d. inquiry).

4. Il “tracciamento” delle operazioni di accesso ai dati e gli strumenti di audit.
4.1. Aspetti organizzativi emersi a seguito dell’attività istruttoria.
In relazione al profilo degli accessi informatici da parte dei dipendenti delle banche ai dati relativi alla clientela e al correlato tracciamento delle operazioni poste in essere dagli stessi, si ritiene di dover formulare alcune prescrizioni. ….

• “tracciamento” degli accessi ai dati bancari dei clienti;

• tempi di conservazione dei relativi file di log;

• implementazione di alert volti a rilevare intrusioni o accessi anomali ai dati bancari, tali da configurare eventuali trattamenti illeciti;

4.2. Il “tracciamento” degli accessi ai sistemi e i tempi di conservazione dei relativi file di log.

4.2.1. Tracciamento delle operazioni.
Al fine di assicurare il controllo delle attività svolte sui dati dei clienti e dei potenziali clienti da ciascun incaricato del trattamento (quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento che è tenuto a svolgere) devono essere adottate idonee soluzioni informatiche. Oltre alle misure minime di sicurezza, già prescritte dall’art. 34 del Codice nel caso di trattamento di dati personali effettuato con strumenti elettronici (con particolare riguardo alla necessità di “protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti […]” di cui alla lett. e) del citato art. 34), è necessario implementare misure idonee (art. 31 del Codice) che permettano un efficace e dettagliato controllo anche in ordine ai trattamenti condotti sui singoli elementi di informazione presenti nei diversi database utilizzati.

Tali soluzioni comprendono la registrazione dettagliata, in un apposito log, delle informazioni riferite alle operazioni bancarie effettuate sui dati bancari, quando consistono o derivano dall’uso interattivo dei sistemi operato dagli incaricati, sempre che non si tratti di consultazioni di dati in forma aggregata non riconducibili al singolo cliente.

In particolare, i file di log devono tracciare per ogni operazione di accesso ai dati bancari effettuata da un incaricato, almeno le seguenti informazioni:

• il codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso;

• la data e l’ora di esecuzione;

• il codice della postazione di lavoro utilizzata;

• il codice del cliente interessato dall’operazione di accesso ai dati bancari da parte dell’incaricato;

• la tipologia di rapporto contrattuale del cliente a cui si riferisce l’operazione effettuata (es. numero del conto corrente, fido/mutuo, deposito titoli).

Le misure di cui al presente paragrafo sono adottate nel rispetto della vigente disciplina in materia di controllo a distanza dei lavoratori (art. 4, l. 20 maggio 1970, n. 300), tenendo altresì conto dei princìpi affermati dal Garante in tema di informativa agli interessati nelle linee guida sull’utilizzo della posta elettronica e di internet (Provv. 1° marzo 2007, doc. web n. 1387522).

4.2.2. Conservazione dei log di tracciamento delle operazioni.
Il periodo di conservazione dei file di log che tracciano gli accessi varia in base alla tipologia di log memorizzato; inoltre, fatta eccezione per quelli che tracciano gli accessi degli amministratori di sistema (per i quali è previsto un periodo minimo di conservazione di 6 mesi; v. punto 4.5 del Provv. 27 novembre 2008, doc. web n. 1577499), per gli altri log non sono normativamente prescritti tempi di conservazione. Anche le risultanze istruttorie hanno confermato che i log sono conservati per un periodo variabile (in tal senso è anche la documentazione prodotta dall’ABI, che rileva come i log di accesso ai sistemi informativi siano conservati mediamente per 12 mesi, mentre i log file delle transazioni bancarie sono conservati per un periodo non inferiore a 10 anni).

Tuttavia, alla luce dell’esperienza maturata in sede ispettiva, si ritiene congruo stabilire che i log di tracciamento delle operazioni di inquiry siano conservati per un periodo non inferiore a 24 mesi dalla data di registrazione dell’operazione. Ciò in quanto un periodo di tempo inferiore non consentirebbe agli interessati di venire a conoscenza dell’avvenuto accesso ai propri dati personali e delle motivazioni che lo hanno determinato.

4.3. L’implementazione di alert volti a rilevare intrusioni o accessi anomali e abusivi ai sistemi informativi.

4.3.1. Implementazione di alert.

Deve essere prefigurata da parte delle banche l’attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni di inquiry eseguite dagli incaricati del trattamento.

Anche a tal fine, negli strumenti di business intelligence utilizzati dalle banche per monitorare gli accessi alle banche dati contenenti dati bancari devono confluire i log relativi a tutti gli applicativi utilizzati per gli accessi da parte degli incaricati del trattamento.