Re: R: responsabilita' aziendale per sistema informatico non protetto

At 22.26 12/11/2002, you wrote:
>Salve,
>         per essere precisi tutto quanto elencato è valido solo e soltanto 
> se su
>quel server sono presenti dati personali e/o sensibili.
>Se invece il server in questione non raccoglie dati personali non può essere
>sottoposto alla L.675/96 e quindi la ditta non può essere accusata di
>mancata adozione di misure di sicurezza.
>Ad esempio un server che contenga solo dati statistici, non è sottoposto,
>per definizione, alla L 675/96.
>
>In quest'ultimo caso è solo chi ha violato il server che è colpevole di
>intrusione in un sistema informatico.

ne sei sicuro? a me torna per averlo visto succedere ( ed in questo caso si 
tratta piu' di giurisprudenza che di legge) che se tu non hai preso quel 
minimo di misure di sicurezza imputabili al "buonsenso del buon padre di 
famiglia" , quantificabile quantomeno nella installazione di un buon 
firewall, TU non puoi chiedere danni a chi ti danneggia con una intrusione, 
e quel che e' peggio e che se ti usano come rimbalzo per attaccare qualcun 
altro TU puoi venire considerato responsabile dell'attacco medesimo. dovrei 
andarmi a cercare i riferimenti di legge, ma per darti un'idea era talmente 
tanto quella la piega presa da un caso che avevo seguito che i responsabili 
della azienda "ponte" preferirono patteggiare fuori dal tribunale.... e non 
si e' mai accennato a "dati sensibili".

just my two cents
Pietro Suffritti



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List