[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: Gennaio 2006 lex@sikurezza.org
Soggetto: Re: [lex] Analisi del punto 10 All. B.
Mittente: Rosario Russo
Data: Mon, 16 Jan 2006 12:38:08 +0100 (CET)
Ho letto con molta attenzione le vostre considerazioni circa la mia analisi del punto 10. Tanto per riassumere un po' l'80% (e forse più) delle vostre risposte, fanno leva sulla parola "esclusivamente". In pratica, voi interpretate così: se per accedere si usa esclusivamente una password (chiamiamola pure "componente riservata ecc..."), allora si deve fare cosi' e colà.

Senza entrare in polemica, tuttavia, non mi trovo d'accordo. Spero di riuscire ad argomentare bene i motivi del mio dubbio. Attenderò poi le vostre interessanti osservazioni.

Dunque: innanzi tutto, si parla di "componente" riservata. Ora, in italiano, per "componente" si intende la parte di qualcosa. Quindi, in questo caso la "componente riservata della credenziale per l'autenticazione" è una parte di qualcosa. E questo "qualcosa" è la "password", parte della coppia (username,password). Infatti, "password" è proprio la "componente riservata della credenziale per l'autenticazione". Altrimenti è "componente" di cosa?

Secondo: Per accedere ai dati (e agli strumenti elettronici, che in base all'art. 4 comma 3 lettera b, sono anche "i programmi per elaboratore"), ci sono poche scelte (art. 2):
- coppia username, password
- dispositivo di autenticazione in possesso esclusivo dell'incaricato (eventualmente associato ad una parola chiave)
- caratteristica biometrica dell'incaricato (eventualmente associato ad una parola chiave)


A questo punto, stando alle vostre considerazioni, sembrerebbe che il punto 10 si applichi "esclusivamente" quando è prevista la "sola" password. Ma ciò non è possibile. Non è previsto accedere ai dati solo con una password (questo non lo dico io, ma l'art. 2). Se anche fosse tecnicamente possibile (vedi, come giustamente avete fatto notare, la password per decrittare un archivio cifrato), non è il caso di applicabilità del punto 10.

Infatti, e qui è la mia terza considerazione, più avanti (nel punto 10) si legge: "In tal caso, la custodia delle copie delle *credenziali* è organizzata garantendo [...]". Ora, se fosse vero che si parla solo della "componente riservata delle credenziali", perché qui il legislatore cambia, ed usa la parola "credenziali", tout-court? Avrebbe dovuto dire "In tal caso, la custodia della copia della componente riservata"... Ma parla di "credenziali", quindi si riferisce al primo caso dell'art. 2, cioè la coppia (username, password), in toto.

Quindi, a mio parere, il legislatore, con la dicitura, ahimé infelice, "componente riservata della credenziale per l'autenticazione" intende così: "quando l'accesso ai dati è effettuato esclusivamente con la parte riservata della credenziale per l'autenticazione, cioè non nel caso di smart-card o di lettura dell'iride, ad esempio, (dove la componente riservata è facoltativa), allora si applica il punto 10". Giustamente, non sarebbe possibile archiviare un dito indice o un occhio! Ne' si può archiviare una OTP o un token o quant'altro.

E' per queste ragioni (e attendo di essere smentito) che mi sembra improbabile (nonché arbitraria) l'interpretazione di quell' "esclusivamente", anche se devo riconoscere che, così com'è scritto, quell' "esclusivamente" può dar adito ad interpretazioni variegate.

Inoltre, alcuni di voi hanno parlato di operatività dell'azienda. Effettivamente, anch'io sarei della vostra stessa opinione, ma la legge parla di "operatività e sicurezza DEI SISTEMI", quindi, se mancano tutti gli incaricati del trattamento, ad esempio, perché c'è lo sciopero generale, il titolare non può (anzi: la legge gli vieta di) aprire la busta con le credenziali per poter accedere ai dati perché deve stipulare un contratto da un milione di dollari... Sì, è vero che la legge dice che il titolare deve assicurare la "disponibilità dei dati", ma per esclusive necessità di operatività e di sicurezza *dei sistemi*, non gliene importa nulla dell'operatività del trattamento o della mission aziendale. Se il titolare si vuole tutelare da questa evenienza, (e secondo me farebbe molto bene), dovrà prevedere delle misure, la cui attuazione è a sua totale discrezione, non imposte dalla normativa. D'altra parte, se avesse adottato un altro metodo di autenticazione, ad esempio, l'impronta digitale, che cosa farebbe? Forse, maledirebbe il giorno in cui ha adottato questo metodo, piuttosto che usare la cara vecchia coppia userid+pwd.

Certo, mi rendo conto che sto interpretando "alla lettera" la legge, e da ingegnere informatico mi viene da prendere delle decisioni più pratiche. Ma "dura lex, sed lex"! Prevedendo contestazioni da parte dell'Autorità, non mi sento di dire al cliente "se tutti i tuoi dipendenti sono a casa, sei legittimato ad aprire la busta"..... Semplicemente, chiami l'amministratore di rete o quell'incaricato cui hai dato poteri di "administrator" o "root" e fai accedere lui ai dati. D'altra parte, che se ne fa il titolare delle credenziali per l'autenticazione degli incaricati, se per accedere a quei dati è sufficiente usare la figura, prevista in tutti i sistemi, dell'amministratore che quindi può accedere ai dati senza nemmeno sapere quale fosse la parola chiave riservata?

E' chiaro, a questo putno, che la figura di cui parla il punto 10, è quella da cui dipende l'operatività e la sicurezza dei sistemi. Chiamatelo come volete, administrator, root, amministratore, incaricato, incaricato con poteri di admin: sta di fatto che se lui è assente e succede un problema di sicurezza o di operatività (ad esempio, si guasta lo switch di layer 3 con le VLAN dei vari dipartimenti), e le sue credenziali non sono state scritte (e consegnate al custode) da qualche parte, il titolare non potrà garantire "la disponibilità dei dati". Se poi il titolare volesse garantire la disponibilità dei dati per altre necessità, vedi sciopero di tutti i dipendenti o influenza generale, allora prevederà altre strategie, non imposte dalla legge, ma dal buon senso. Non è il caso del punto 10.

Scusate la lunghezza di questo post, ma ho voluto argomentare con riferimenti precisi della legge. Attendo i vostri commenti!

Un saluto a tutta la lista.
Rosario Russo






[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005