logo accalia

 

La sicurezza informatica nello studio legale

Fonte: http://www.processociviletelematico.it/

 

Professionisti e PMI maggiormente a rischio

Le tecnologie dell’informazione e della telecomunicazione, spesso identificate con la sigla inglese ICT (Information and Comunication Tecnology), sono e saranno sempre di più uno strumento fondamentale per il professionista o l’Impresa, qualunque sia il settore in cui si opera e indipendentemente dalla dimensione dell’azienda. L’utilizzo più o meno estensivo dell’ICT richiede di pari passo che sia gestita ed amministrata la sicurezza informatica di tutta l’infrastruttura e dei dati ivi conservati.

Nell’era della dematerializzazione e dell’obbligatorietà del processo telematico, per uno studio legale di qualsivoglia dimensione è fondamentale preservare l’archivio informatico contenente le proprie pratiche ed atti, senza dimenticare l’importanza di mantenere i propri strumenti informatici pienamente operativi ed efficienti.

Professionisti e PMI, in particolare costituiscono un bersaglio molto invitante per criminali informatici e non solo. Rispetto alla realtà più grandi e strutturate, ove sono quasi sempre presenti responsabili IT e competenze specifiche, i dati informatici di professionisti e PMI spesso sono meno al sicuro e protetti, soprattutto per la scarsa consapevolezza dei rischi che si corrono e dei danni che si possono subire. E’ tuttora diffusa la falsa convinzione che le grandi aziende siano più appetibili ai pirati informatici, rispetto alle realtà più piccole e, pertanto, non ci si considera a rischio. La realtà è purtroppo diversa. Un sondaggio realizzato nel 2014 da PriceWaterHouseCoopers indica che il 60% delle PMI ha subito un attacco o una violazione della sicurezza informatica.  Lo stesso Security Breaches Survey 2014 attesta poi in 7-10 giorni i tempi medi necessari all’azienda per ritornare pienamente operativa dopo l’evento.

Il caso CryptoLocker

La crescente diffusione di CryptoLocker e delle sue varianti, anche più insidiose, individuate negli ultimi mesi, ha destato molto allarme. Il virus, infatti, ha mietuto numerose vittime, in ambito professionale e non solo. Basta fare una ricerca sul Web con le due parole cryptolocker e tribunale, per trovare numerose segnalazioni di casi di infezione che hanno colpito i sistemi informatici di diversi palazzi di giustizia in tutta Italia. Basta aprire con leggerezza l’allegato ad un messaggio email, che risulta provenire, a seconda dei casi, da corrieri per le spedizioni, società telefoniche, banche, agenzie di riscossione tributi. Il messaggio è studiato e realizzato ad arte per essere quanto più verosimile ad uno vero, così da spingere il destinatario ad aprire l’allegata fattura, cartella esattoriale o bolla di spedizione che sia. Il malware, una volta innescato con l’apertura del file allegato alla mail, comincia a crittografare i file contenuti nel computer della vittima, rendendoli inutilizzabili, prendendo di mira in particolare documenti in formato office, pdf, immagini e video. Successivamente, arriva la richiesta di pagare una somma di denaro in moneta virtuale BitCoin, per avere in cambio la chiave di decifratura per avere indietro i propri file.

Il danno subito da chi è vittima di un cryptovirus può essere ingente. Se non è stata adottata alcuna strategia di backup la perdita dei dati è irreversibile. A ciò si aggiunge l’ulteriore ed inevitabile danno economico causato dal fermo delle macchine, bloccate per tutto il tempo necessario a ripulirle dal malware e ripristinarle.

Avere tutti i PC dello studio messi fuori uso da un virus difficilmente sarà una causa sufficiente per farsi autorizzare al deposito cartaceo di un atto.

Da dove partire

Le misure minime di sicurezza previste dall’allegato b) del Codice della Privacy (D.Lgs 196/2003 e successive modifiche), adottate e diffuse in larga misura in quasi tutte gli studi legali sulla spinta del vincolo normativo, possono costituire una base ed un punto di partenza per lo sviluppo di policy e misure di sicurezza più efficaci a garantire la disponibilità e l’inviolabilità della propria infrastruttura tecnologica.

Il Codice della Privacy, prevede infatti all’art. 34, che il trattamento di dati personali, effettuato con strumenti elettronici, é consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico, contenuto nell’allegato B), una serie di misure minime di sicurezza. Tali misure sono volte, tra l’altro, a ridurre al minimo i rischi di una perdita o distruzione, anche accidentale, dei dati ed un accesso non autorizzato agli stessi. Tra le più importanti è bene menzionare:

-          la presenza di un sistema di autenticazione informatica: solo gli utenti dotati di credenziali (login e password) possono effettuare l’accesso alle risorse aziendali;

-          le credenziali di autenticazione devono rispettare una serie di requisiti per quanto riguarda la loro lunghezza e complessità;

-          la presenza di un sistema di autorizzazione, in modo che gli utenti accedano unicamente alle risorse specifiche in relazione alle proprie mansione ed attività;

-          la presenza di software (antivirus e firewall), da aggiornare almeno semestralmente, per proteggere i dati da rischio di intrusione e da danni provocati da virus e similari (art. 615 quinquies c.p.);

-          l’aggiornamento periodico dei software per prevenire le vulnerabilità (patch) con cadenza annuale o semestrale, in caso di trattamento di dati sensibili;

-          il salvataggio dei dati (backup) con cadenza almeno settimanale.

Tuttavia, l’adozione delle misure di sicurezza è spesso compromessa da una non corretta implementazione ed applicazione concreta delle stesse. Qualche esempio esplicativo è d’obbligo. Viene adottato un sistema di autenticazione ed autorizzazione degli utenti, ma le password non rispettano i principi base di sicurezza (es. 8 caratteri alfanumerici, non riconducibili al titolare etc). È impostato un backup periodico dei dati, ma non viene fatto su tutti i computer e la cadenza con cui viene effettuato è eccessivamente lunga (nella migliore delle ipotesi, una volta al mese o quando ci si ricorda). È installato un programma antivirus sulle postazioni, ma non viene mantenuto aggiornato.

Oltre le misure minime di sicurezza, una visione a 360 gradi

Come già detto, le misure minime di sicurezza sono un punto di partenza. Non sono sicuramente sufficienti a garantire una protezione adeguata ai rischi presenti nella moderna società dell’informazione, sempre online e connessa. Basti pensare che le prescrizioni tecniche dell’allegato B, sopra menzionate, indicano come tempistica minima per l’aggiornamento di antivirus e firewall a protezione di sistemi ben 6 mesi, un’eternità in termini informatici.

Inoltre, l’approccio al problema non deve più limitarsi alla verifica della sicurezza dei computer (fissi e portatili) e dei server, ma deve comprendere anche dispositivi quali smartphone e tablet, spesso ignorati. In particolare, l’utilizzo di smartphone e tablet personali per l’accesso telematico alle risorse dello studio (es. gestionali, documenti su server), può costituire un ulteriore rischio di sicurezza. L’uso contemporaneo dello stesso strumento per accedere a siti personali, non legati al lavoro, l’installazione di applicazioni che potrebbero non essere sicure, può costituire infatti un pericoloso cavallo di troia, capace di compromettere l’intera infrastruttura informatica dello studio.

Lo smart working, o lavoro a distanza, per molti professionisti è già una realtà quotidiana ed esistono diverse soluzioni che consentono, a chi lavora da remoto, di avere accesso alle risorse dello studio come se si operasse direttamente in sede. La comunicazione tra postazione remota e server, a meno di non utilizzare connessioni private dedicate, dai costi non alla portata di tutti, avviene in genere con la comune rete internet. Imprescindibile, quindi, una grande attenzione alla sicurezza informatica, sia della postazione remota, che del canale di comunicazione, utilizzando ad esempio l’autenticazione forte (smartcard) e le reti private virtuali (VPN).

Un pensiero finale al Cloud ed alla sicurezza dei dati nella nuvola. Quando ci si affida ad un servizio di Cloud, si dà essenzialmente in outsourcing la gestione dei propri dati professionali, affidando ad un soggetto terzo tutte le problematiche tecniche e di sicurezza. I vantaggi sono diversi: la possibilità di accedere facilmente in mobilità ai propri dati, la flessibilità delle soluzioni, scalabili in base alle esigenze ed alle necessità, e per finire i costi, sicuramente più ridotti rispetto alle tradizionali soluzioni informatiche.  Ma non ci sono rose senza spine. Se la gestione degli utenti che hanno accesso ai dati sulla nuvola resta in capo al cliente, non bisogna dimenticare che l’accesso a tutti i dati, a meno che non siano cifrati, è sempre possibile anche al personale del fornitore del servizio. La localizzazione fisica dei server, di proprietà del fornitore che eroga il servizio cloud, è in genere sconosciuta al cliente e potrebbe sembrare irrilevante. Non è così. Dalla posizione fisica degli stessi server, che potrebbero essere ovunque nel mondo, si stabilisce poi quale normativa nazionale è applicata in materia di privacy e sicurezza dei dati. Infine, non meno importante, è la conoscenza delle pratiche e delle procedure di disaster recovery adottate dal fornitore per far fronte a possibili perdite di dati o violazioni della sicurezza.

La più importante difesa resta, in ogni caso, la consapevolezza e la conoscenza dei rischi che si possono correre nelle quotidiane attività online. La formazione degli utenti è la prima linea difesa, prima ancora delle soluzioni tecnologiche adottate nello studio legale. Qualunque protezione, anche la più avanzata, perde di efficacia, se non accompagnata da regole e policy di uso degli strumenti, seguite con cognizione e non solo perché si è obbligati a farlo.

 

di Luca Frabboni
Esperto in informatica giuridica e giudiziaria Maat Srl

©Accalia2016

NOTA! Questo sito utilizza i cookie e tecnologie simili.

Se non si modificano le impostazioni del browser, l'utente accetta. Per saperne di piu'

Approvo

Informativa estesa sull’uso dei cookie nel sito
Con il presente documento, ai sensi degli artt. 13 e 122 del D. Lgs. 196/2003 (“codice privacy”), in base a
quanto previsto dal Provvedimento generale del Garante privacy dell’8 maggio 2014 si forniscono agli
utenti del sito alcune informazioni relative ai cookie utilizzati.
Che cosa sono i cookie
I cookies sono files che tengono conto delle preferenze dell’utente internet e vengono memorizzati nel
browser utilizzato (Internet Explorer, Mozilla Firefox, Google Chrome, ecc.) per migliorare l’esperienza di
navigazione e personalizzare contenuti in base alle preferenze dell’utente stesso.
Navigando su questo sito potrete ricevere nel vostro terminale anche cookie di “terze parti” poiché sul
sito web sono presenti elementi come che risiedono su server diversi da quello sul quale si trova la
pagina richiesta.
I cookie sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e
memorizzazione di informazioni specifiche riguardanti gli utenti che accedono al server per migliorare
l'esperienza di navigazione e renderla il più personalizzata possibile.
Cookie utilizzati nel sito
Questo sito utilizza solo cookie tecnici, rispetto ai quali, ai sensi dell’art. 122 del codice privacy e del
Provvedimento del Garante dell’8 maggio 2014, non è richiesto alcun consenso da parte
dell’interessato.
Il sito utilizza
• cookie tecnici necessari alla navigazione da parte dell’utente, necessari per il corretto
funzionamento di alcune aree del sito. In assenza di tali cookie, il sito o alcune porzioni di esso
potrebbero non funzionare correttamente. Pertanto, vengono sempre utilizzati,
indipendentemente dalle preferenze dall’utente.
• cookie tecnici funzionali, che agevolano la navigazione dell’utente
• il cookie tecnico che, fino alla sua scadenza, non mostra il banner con l’informativa breve
all’utente che ha già visitato il sito e accettato il cookie.
Tutti i cookie sopra elencati possono essere utilizzati senza chiedere il consenso dell’utente, poiché
sono strettamente necessari per la fornitura del servizio.
Cookie di terze parti utilizzati nel sito
Attraverso questo sono installati alcuni cookie di terze parti, anche profilanti, che si attivano cliccando
“accetto” sul banner o proseguendo la navigazione nel sito. Riportiamo il dettaglio dei singoli cookie di
terze parti ed i link attraverso i quali l’utente può ricevere maggiori informazioni e richiederne la
disattivazione.
Google Analytics
Il Sito utilizza Google Analytics, un servizio di analisi web fornito da Google Inc. che utilizza dei cookie
che vengono depositati sul computer dell’utente per consentire analisi statistiche in forma aggregata
sull’utilizzo del sito. I Dati generati da Google Analytics sono conservati da Google così come indicato
nella Informativa reperibile qui
Per consultare l’informativa privacy della società Google Inc., titolare autonomo del trattamento dei dati
relativi al servizio Google Analytics cliccare qui
Attraverso questo link Google rende disponibile il componente aggiuntivo del browser per ladisattivazione di Google Analytics.
Social network
I Social buttons sono pulsanti presenti sul sito consentono agli utenti che stanno navigando di
interagire con un “click” direttamente con i social network.
Sono utilizzati da questo sito come link che rinviano agli account del titolare o del navigatore sul social
network individuato. Tramite l’utilizzo di tali pulsanti non sono pertanto installati su questo sito cookie
di terze parti. Si riportano i link ove l’utente può prendere visione dell’informativa privacy relativa alla
gestione dei dati da parte dei Social cui i pulsanti rinviano.
Twitter Policy Link - Facebook Policy Link - Google+ Policy Link
Web Fonts
Google Fonts è un servizio di Google Inc. che permette di inglobare e visualizzare stili di carattere
personalizzati. Può raccogliere nei cookies dati di utilizzo.
Google Policy Link
YouTube e Vimeo
YouTube (gestito da Google Inc.) e Vimeo sono servizi dedicati alla visualizzazione di contenuti video
con la possibilità di integrare i filmati all’interno delle pagine del proprio sito. Entrambi raccolgono nei
cookies dati di utilizzo.
YouTube Policy Link - Vimeo Policy Link
Modalità del trattamento
Il trattamento viene effettuato con strumenti automatizzati e non viene effettuata alcuna diffusione o
comunicazione.
Conferimento dei dati
Fatta eccezione per i cookie tecnici strettamente necessari alla normale navigazione, il conferimento dei
dati è rimesso alla volontà dell’interessato che decida di navigare sul sito dopo aver preso visione
dell’informativa breve contenuta nell’apposito banner e di usufruire dei servizi che comportano
l’installazione di cookie.
Disabilitazione dei cookie
Fermo restando quanto sopra indicato in ordine ai cookie strettamente necessari alla navigazione,
l’utente può eliminare gli altri cookie direttamente tramite il proprio browser. Ciascun browser
presenta procedure diverse per la gestione delle impostazioni. L’utente può ottenere istruzioni
specifiche attraverso i link sottostanti.
Microsoft Internet Explorer - Google Chrome - Mozilla Firefox - Apple Safari - Opera
La disattivazione dei cookie di terze parti è inoltre possibile attraverso le modalità rese disponibili
direttamente dalla società terza titolare per detto trattamento, come indicato ai link riportati nel
paragrafo “Cookie di terze parti utilizzati nel sito”.
Diritti dell’interessato
L’interessato potrà far valere in ogni momento, rivolgendosi al titolare del trattamento tramite l’invio di
una mail i diritti di cui all’art. 7 del D.Lgs. 30 giugno 2003 n. 196.