Linee guida sugli utilizzi impropri delle banche dati

I recenti casi di dossieraggio alimentato da accessi abusivi di dipendenti infedeli e da parte di fornitori a sistemi informatici di alcune banche, ministeri ed enti pubblici hanno richiamato l’attenzione dell’Agenzia che ha emanato delle specifiche linee guida in materia per prevenire e limitare i casi di utilizzo improprio delle banche dati.

Le sopra citate linee guida costituiscono un documento di riferimento per contrastare il rischio di accessi abusivi, sia da parte di insider (insider threats) sia da minacce esterne.

Il documento è di interesse in quanto illustra in termini semplici e fruibili anche da parte di soggetti non addetti ai lavori le misure di sicurezza da implementare e adottare al fine di prevenire e mitigare rischi legati all’uso improprio dei dati e alla sicurezza delle infrastrutture digitali con gravi danni e ripercussioni sulla reputazione delle imprese e delle amministrazioni pubbliche coinvolte

Il documento si inserisce nella cornice della Strategia nazionale di sicurezza cibernetica, che è finalizzata a rafforzare la resilienza dello spazio digitale italiano attraverso misure tecniche, organizzative e procedurali indirizzate, in primo luogo, ai soggetti pubblici e privati inclusi nel Perimetro nazionale di sicurezza cibernetica.

Le linee guida rappresentano uno strumento prezioso per le imprese e le pubbliche amministrazioni in quanto accompagna le organizzazioni verso un approccio strutturato che riesce a conciliare aspetti normativi, procedurali, tecnici, tecnologici e di risorse sia economiche sia in termini di personale in coerenza con la visione multirischio della direttiva Nis2.

Il documento ha il pregio di specificare che cosa si intenda per utilizzo improprio di banche dati, fattispecie che si presenta in questi tre casi: l'utilizzo delle credenziali di accesso legittimamente detenute dall'operatore risulti strumentale al perseguimento di scopi estranei alle necessità funzionali di accesso, quale che sia l'intenzionalità dell'operatore, ivi incluso l’accesso a informazioni che esulano dalla necessità di conoscere ai fini dello svolgimento delle mansioni per le quali tali credenziali sono state assegnate; l’utilizzo delle credenziali di accesso legittimamente detenute è in violazione delle politiche sul loro utilizzo definite dal fornitore del servizio; in tutti i casi di utilizzo illegittimo delle credenziali di accesso da parte di altro operatore (o altri operatori) diverso da quello legittimato, in qualsivoglia modo ne abbia ottenuto la disponibilità e per qualsivoglia scopo (che sia estraneo alle necessità funzionali di accesso).

ACN dopo una preliminare analisi di contesto e delle criticità emerse, esamina il contesto normativo attuale in materia di cybersecurity (europeo e nazionale) e illustra le possibili azioni di contrasto con un prezioso approfondimento verticale sui seguenti ambiti strategici: il controllo degli accessi, l’applicazione di principi e buone pratiche di sviluppo sicuro dei sistemi e delle applicazioni, la gestione del ciclo di vita dei sistemi e delle applicazioni, la gestione dei rischi e sicurezza della catena di approvvigionamento e si concentra anche sul monitoraggio e audit e sulla formazione del personale.

Per ciascun ambito di intervento sono indicate specifiche misure di sicurezza.

Il documento è accompagnato da un utile allegato contenente le misure di sicurezza da adottare con un approccio pragmatico.

Le sopra citate misure di sicurezza contenute nell’allegato sono state opportunamente selezionate dal catalogo di misure di cui al citato allegato B al DPCM 81/2021 sul perimetro cibernetico nazionale e al cd. Regolamento Cloud (Decreto Direttoriale n. 21007 del 27 giugno 2024), a loro volta derivate dal Framework Nazionale per la Cybersecurity e la Data Protection.

Le misure di sicurezza e raccomandazioni indicate da Acn nelle linee guida devono, quindi, essere intese come elementi cui porre particolare attenzione al fine di indirizzare le specifiche criticità riscontrate per il contesto in esame e non possono essere ritenute esaustive di tutte le attività da porre in essere per proteggere i sistemi da tutti i tipi di minacce cui possono essere esposti.

Occorre specificare che l’adozione delle misure di sicurezza e delle raccomandazioni contenute nelle linee guida non esenta, tuttavia, dall’implementazione delle restanti misure previste dal DPCM 81/2021, dal Regolamento Cloud e dalla normativa NIS2, ove queste ultime discipline siano applicabili.

Le linee guida evidenziano come la formazione del personale e in particolare degli utenti con privilegi (come, ad esempio, gli Amministratori di sistema (amministratori dei sistemi operativi, amministratori di database, utenti con privilegi sulle banche dati, utenti in grado di creare/cancellare e profilare altri utenti) sia una pre-condizione essenziale e necessaria per garantire resilienza, privacy, correttezza ed affidabilità dei sistemi e delle applicazioni.

Secondo Acn devono essere previsti corsi di formazione per tutti gli utenti – compresi gli utenti con privilegi e deve essere predisposto un registro che indichi i contenuti della formazione ricevuta dagli utenti. Occorre inoltre definire le modalità per la verifica dell’acquisizione dei contenuti stessi.

Risulta importante che tutto il personale sia sensibilizzato sul tema della cybersicurezza e sulla consapevolezza dei rischi informatici, nonché sull’adozione delle migliori pratiche di igiene informatica che devono sempre essere applicate sul posto di lavoro.

Le persone devono essere formate su come sviluppare, mantenere e proteggere banche dati e devono essere sensibilizzate sull’importanza di prevenire divulgazione di informazioni e violazioni della riservatezza delle informazioni.

ACN sottolinea nel documento come l’adozione di processi e strumenti per monitoraggio e l’auditing sia un elemento imprescindibile per la difesa e il contrasto delle minacce alla sicurezza dei sistemi e delle applicazioni.

Il monitoraggio della rete informatica deve essere effettuato per rilevare potenziali eventi di cybersecurity personale, connessioni, dispositivi o software non autorizzati e per rilevare personale, connessioni, dispositivi o software non autorizzati.

ACN richiede di definire bene i ruoli e le responsabilità per i processi di monitoraggio al fine di garantire l'accountability.

Sotto il profilo del monitoraggio sono indicate alcune specifiche raccomandazioni quali: adottare strumenti per la sicurezza e il monitoraggio dei flussi di rete (firewall, IPS, IDS), al fine di mitigare il rischio di intrusioni; adottare strumenti per la sicurezza e il 

monitoraggio dei dispositivi di accesso ai sistemi, anche al fine di mitigare il rischio di furto di sessione presso i sistemi e le banche dati in uso; prevedere uno strumento automatico per l’aggiornamento degli inventari e l’utilizzo di un sistema di ticketing per il tracciamento delle attività previste nell’ambito della gestione degli asset censiti (ad esempio, richieste di approvazione, attribuzione delle responsabilità agli utenti coinvolti), impiegare un sistema centralizzato dei log che ne possa garantire, anche attraverso il backup dei log raccolti, l’integrità e la disponibilità, prevedere l’impiego di un SIEM (Security information and event management) per rilevare eventi connessi a potenziali minacce, sia accidentali che intenzionali.

ACN si concentra sulla catena degli approvvigionamenti e richiede che i fornitori e i partner terzi di sistemi informatici, componenti e servizi siano identificati, prioritizzati e valutati utilizzando un processo di valutazione del rischio inerente la catena di approvvigionamento cyber

I contratti con i fornitori e i partner terzi devono essere utilizzati per realizzare appropriate misure progettate per rispettare gli obiettivi del programma di cybersecurity dell'organizzazione e del Piano di Gestione del Rischio della catena di approvvigionamento cyber.

I fornitori e partner terzi devono essere regolarmente valutati utilizzando audit, verifiche, o altre forme di valutazione per confermare il rispetto degli obblighi contrattuali.

Le sopra citate linee guida sono molto utili in considerazione del fatto che ACN esercita, in materia, funzioni concrete di supporto e vigilanza per garantire la conformità alle normative e il miglioramento della sicurezza complessiva nell’ottica di aumentare sia la sicurezza sia la competitività delle nostre imprese.

Fonte: (Diritto e Giustizia)