Web Security: analisi di un CMS basato su Wordpress

2. LA SICUREZZA DELLE INFORMAZIONI

Questo capitolo ha lo scopo di illustrare il ruolo sicurezza informatica nel trattamento dei dati dal

momento che ormai tutto viene trattato con gli strumenti digitali. Fornisce inoltre una panoramica del

GDPR, e dei suoi campi di azione, che si estende a tutti coloro che raccolgono dati.

2.1 La triade CIA

Il concetto di sicurezza delle informazioni, riguarda tutte quelle misure poste in essere al fine di

salvaguardare e proteggere la mole dei dati personali e aziendali da utenti non autorizzati[ CITATION

Wil19 \l 1040 ]. Questo è un requisito fondamentale per ogni azienda anche di piccole dimensioni che

abbia a che fare con le tecnologie che possono essere fonte di archiviazione di dati.

Il National Institute of Standards and Technology degli Stati Uniti (NIST) definisce la sicurezza

informatica come: “La protezione delle informazioni e dei sistemi informativi da accesso, uso,

divulgazione, interruzione, modifica o distruzione non autorizzati al fine di garantire riservatezza,

integrità e disponibilità”[ CITATION www224 \l 1040 ].

Il concetto di confidenzialità, integrità e disponibilità dei dati è conosciuto meglio con l'acronimo CIA.

 Confidenzialità

La confidenzialità può essere compromessa dalla perdita o la violazione di qualsiasi apparecchio o

applicazione contenente dati sensibili, quindi l'accesso a questi dati in forma non autorizzata.

I metodi più utilizzati per salvaguardare la confidenzialità sono la crittografia, la verifica di identità

attraverso username e password oppure attraverso la biometria (impronte digitali, riconoscimento del

volto o della voce).

 Integrità

Per integrità si intende la garanzia che i nostri dati non subiscano modifiche o cancellazioni anche

indesiderate. Per evitare la perdita di integrità i sistemi operativi viene implementato un meccanismo

basato sui permessi, al fine di evitare modifiche o ripristinare i dati in caso di errori.

 Disponibilità

Per disponibilità si intende la garanzia di accesso ai dati al momento del bisogno. Molto spesso

problemi alla disponibilità insorgono in caso di errori, malfunzionamenti al sistema operativo, sulla

rete o anche per attacchi hacker o eventi naturali. 6

Per ovviare a questi problemi è importante avere pronto e aggiornato il disaster recovery e il piano di

continuità aziendale. I dispositivi di sicurezza come i firewall invece possono proteggere da attacchi

7

definiti DoS (Denial of service) , importante anche avere aggiornati i sistemi operativi e fare delle

copie di backup in locale ed in remoto.

6 Piano per ripristinare l’accesso e la funzionalità dell’infrastruttura.

7 Il tipo di attacco impedisce agli utenti di accedere alla rete e/o alle sue risorse[ CITATION Lam21 \l 1040 ]. 18

La sicurezza delle applicazioni web è nel nostro paese ancora sottovalutata e sono pochi gli

investimenti e scarsa la formazione del personale.

Figura 2.1 - Figura Triade CIA [ CITATION med221 \l 1040 ]

2.2 IL GDPR

Il GDPR (General Data Protection Regolation) è il regolamento generale sulla protezione dei dati, è un

regolamento della Commissione europea con attenzione al trattamento dei dati personali delle persone

fisiche, che è operativo già dal 25 maggio 2018. Esso introduce misure adeguate e adempimenti al fine

di evitare il rischio di violazione di questi ultimi.

Il regime si applica a tutti i trattamenti di dati riguardanti l’UE e i suoi cittadini. Sono obbligati ad

attenersi al regolamento anche entità fuori dalla C.E., ma che hanno dati residenti nei territori degli

stati membri della C.E. Tra questi ultimi dati rientrano anche servizi di terze parti correlati al cloud,

che sono spesso trascurati o gestiti male.

Il regolamento non riguarda la gestione di dati personali per attività di sicurezza nazionale o di ordine

pubblico[ CITATION htt22 \l 1040 ].

Lo scopo è proteggere la privacy dei cittadini UE, diritto fondamentale stabilito anche nella Carta dei

diritti fondamentali della UE.

Il GDPR si basa sul suo predecessore la direttiva 95/46/CE, e lo abroga in quanto è un regolamento e

non una direttiva, per tanto non ha avuto la necessità di nessuna applicazione legislativa da parte degli

stati membri.

Il regolamento è un’evoluzione del vecchio codice della privacy italiano D. Lgs.196/2023, con alcune

rilevanti innovazioni una delle quali è che vengono definiti ruoli chiave e le responsabilità.

Il titolare del trattamento

Colui che ha la facoltà di trattare i dati personali degli altri e ne decide la modalità, è il principale

responsabile nelle decisioni da intraprendere e ha l’onere di assicurarsi che il rispetto dei princìpi

venga applicato correttamente.

IL titolare, decide autonomamente quali dati trattare e fa una minuziosa valutazione al fine di adottare

tutte quelle misure che possano ridurre la percentuale di rischio e garantire i diritti degli interessati, per

19

tale motivo ai sensi dell’art.24 il regolamento impone che: Il titolare del trattamento deve mettere in

atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il

trattamento è effettuato conformemente al regolamento. Dette misure sono riesaminate e aggiornate

qualora si rendesse necessario [ CITATION htt221 \l 1040 ].

Riferendoci alla figura del titolare, possiamo identificarlo in una persona fisica o giuridica, un’autorità

pubblica o privata, oppure qualsiasi altro organismo che ha rapporti con l’interessato, ne determina la

modalità in cui verranno trattate le sue informazioni personali.

Il responsabile del trattamento

Viene designato dal titolare del trattamento dei dati ed agisce per suo conto assistendolo con misure

tecniche e organizzative. Ha rapporti organizzativi con il titolare e non con l’interessato.

Il Responsabile della protezione dei dati (responsabile dell’ufficio Data Protection Officer, DPO)

Viene introdotta questa nuova figura professionale il DPO [ CITATION San19 \l 1040 ]. Il DPO è un

professionista con conoscenze specialistiche sulla protezione dei dati. Esso supporta il titolare nel

prendere le decisioni, va a collaborare anche con il responsabile e l’incaricato, ma agisce in autonomia

dal momento che sarà lui nel caso, ad implementare un’analisi dei rischi. Il DPO dovrà essere

obbligatoriamente presente ai sensi dell’ Art.37.all’interno di tutte le aziende pubbliche e delle aziende

private nelle quali sia richiesto un monitoraggio regolare e sistematico dei dati delle persone fisiche, su

larga scala[ CITATION htt221 \l 1040 ].

L’obiettivo è garantire che il dato personale non subisca alcun incidente.

Ogni stato membro dovrà istituire un'autorità per sovrintendere i reclami, le indagini e sanzionare le

infrazioni sul trattamento dei dati personali. Una commissione europea per la protezione dei dati

(EDPB, European Data Protection Board) coordinerà le autorità sovrintendenti degli stati

membri[ CITATION MPe19 \l 1040 ]. 8

Il GDPR introduce l’obbligo di notificazione del Data Breach, (la violazione sui dati) ,entro

settantadue ore dalla scoperta, con obbligo di comunicazione anche agli interessati dove c’è un rischio

elevato per i diritti e le libertà fondamentali[ CITATION MPe19 \l 1040 ].

Le violazioni dei principi base per il trattamento (comprese le condizioni per il consenso) comportano

9

sanzioni amministrative elevate pesantissime , fino a 10.000.000 euro, per le ipotesi di violazione

degli obblighi ricadenti sul titolare, e fino 20.000.000 euro (o, per gli enti privati, fino al 4% del

fatturato mondiale annuo dell’ esercizio precedente, se superiore)[ CITATION htt221 \l 1040 ]

[ CITATION MPe19 \l 1040 ].

8 Regolamento UE 2016/679 art.4 par.12

9 Regolamento UE 2016/679 art.83 20

10

Il GDPR delinea sei principi per proteggere i dati e richiede al titolare di rispettarli e di dimostrarne

l’applicazione e l’efficacia.

Principio di liceità, correttezza e trasparenza

I dati personali vanno trattati in modo lecito, coloro che sono in possesso dei dati devono agire con

corrette e trasparenti intenzioni, per questo l’interessato va informato di ciò che il GDPR gli offre

come garanzia. Va rilasciata un’informativa sulla privacy, che spiega in maniera semplice e completa

la finalità e le relative informazioni su come accedere ai dati.

Principio di limitazione delle finalità del trattamento

I dati trattati devono essere necessari a uno scopo, e vanno tenuti solo per questa finalità, quando viene

meno la necessità vanno eliminati.

Principio di minimizzazione

I dati devono essere raccolti non in eccedenza rispetto alle finalità Regolamento

Principio di precisione

I dati vanno rettificati, cancellati qualora non fossero più attendibili.

Limitazione della conservazione

Quando viene meno la necessità di trattare i dati vanno eliminati

Principio di integrità e riservatezza

L’insieme di tutte le misure che vanno a garantire la sicurezza, le misure sono si limitano solo al lato

tecnico.

L’ interessato

L’interessato al trattamento è la persona fisica, alla quale appartengono i dati, e può essere identificata

attraverso identificatori come il nome, le caratteristiche fisiche, economiche, genetiche, culturali e tutti

gli indicatori che la rendono identificabile anche indirettamente. Il GDPR riconosce una serie di diritti

finalizzati a garantire una maggiore trasparenza tra le parti e dunque di permettere a quest’ultimo di

avere un controllo sulle informazioni che lo riguardano cosi come il diritto di ricevere una corretta

informativa su come vengono trattate. Diritti dell’interessato disciplinati dal GDPR sono:

Diritto all’ accesso

10 Regolamento UE 2016/679 art.5 par.2 21

L’interessato ha il diritto di accesso ai dati che lo riguardano. Deve avere la conferma che ci sia in

corso un trattamento di dati, e qualora faccia richiesta di accesso il responsabile lo deve consentire,

dando riscontri e risposte entro un mese.

Diritto all’ aggiornamento

L’ interessato può chiedere di rettificare o far completare i suoi dati personali.

Diritto all’oblio

Su richiesta l’interessato ha il diritto, in alcuni casi, che venga effettuata la cancellazione dei dati che

lo riguardano.

Diritto alla limitazione e opposizione del trattamento

L’ interessato può opporsi o chiedere la limitazione dei dati che lo riguardano a scopo preventivo, nel

caso in cui il trattamento sia illecito o se i dati sono necessari all’ interessato.

Diritto alla portabilità

Consente all’ interessato di spostare trasferire o utilizzare i dati in possesso del titolare anche ad u