CyberSec (S01 E01): Cybersecurity e Professionisti
L'avvento del dato digitale e la sicurezza informatica nelle professioni
Con questo Primo Episodio prende il via un vero e proprio Corso in sedici "puntate", a cadenza settimanale (ogni venerdì mattina), pensato per fornire nozioni di base di cyber-sicurezza soprattutto a utenti che sono poco avvezzi a questi temi o completamente ignari.
Anche i più esperti, ovviamente, potranno trarre buoni consigli da quanto andremo a scrivere o, nel tempo libero, potranno effettuare un sempre utile "ripasso".
Nonostante il Corso sia focalizzato sulla sicurezza dell'utente professionale in senso lato (quindi non solo, ad esempio, un avvocato, ma anche un commercialista, un consulente del lavoro, un medico o un imprenditore), parleremo di argomenti che, nella società odierna digitale e connessa, dovrebbero interessare chiunque, anche l'utente comune.
Non è pensato, lo dico subito, per essere un Corso particolarmente tecnico ma mira, di più, a veicolare alcuni concetti e approcci elementari e generici. Mi perdoneranno, allora, i più esperti se alcuni passaggi saranno volutamente semplificati, ma l'obiettivo è quello di "fissare" alcuni punti ben specifici e che siano utili nell'immediato. Troppo spesso la security, soprattutto informatica, è presentata con modalità espositive cervellotiche e contorte. Il nostro scopo è, al contrario, la semplicità. Ma senza banalizzare.
Ricordo bene come oltre vent’anni orsono, quando ero un giovane studente di dottorato a Bologna, gli studiosi più illuminati di informatica giuridica avessero già previsto un futuro in cui tutti i dati (e si poneva enfasi su quel tutti) trattati da professionisti – che fossero avvocati, dottori commercialisti, consulenti del lavoro, magistrati, notai – sarebbero ben presto diventati digitali. Tutti questi dati avrebbero fatto diventare anche il diritto stesso, prima o poi, digitale o informatico che dir si voglia.
TUTTI i dati del professionista, oggi, sono in formato digitale. Ciò comporta che anche la professione stessa sia diventata, per molti versi, digitale.
Si evidenziavano, in quelle teorie ormai risalenti nel tempo, i numerosi lati positivi di una simile, radicale riforma nella gestione e diffusione delle informazioni da parte del professionista. Si pensi, tanto per fare qualche esempio, i) alla rapidità di circolazione dei dati, ii) alla economicità delle operazioni di trattamento, iii) alle possibilità di aggiornamenti informativi in tempo reale, iv) alla replicabilità dei documenti (e, quindi, di tutte le informazioni) e v) ai sempre innovativi mezzi di comunicazione.
Il quadro che si è disegnato oggi, nella vita quotidiana del professionista, è, mi sia consentito dirlo, molto simile a quello che allora si teorizzava con previsioni che ad alcuni apparivano fantascientifiche.
La vita del professionista è connotata dall'uso costante del digitale, da una informatizzazione estrema dei documenti, da un continuo scambio d’informazioni con colleghi e clienti via e-mail, dalla scansione degli atti e dall'uso delle tecnologie più nuove (e si pensi a tablet, smartphone, app quali WhatsApp e ambienti quali Twitter e Facebook). Anche il professionista, insomma, è oggi connesso in ogni momento ("always on, always connected"), e i dati dallo stesso trattati viaggiano continuamente per percorsi che, però, non sempre sono sicuri.
Il "viaggio" dei dati del professionista può prendere percorsi che, da un punto di vista della protezione delle informazioni, non sono SICURI.
Questo mutamento del panorama, avvenuto in tempi forse troppo rapidi (nel senso che non vi è stata al contempo, in molti casi, una comprensione completa della tecnologia da parte degli utenti), ha delineato, accanto ai pregi poco sopra enumerati, alcuni problemi che, oggi, incidono direttamente sulla sicurezza del dato, e che è bene dipanare per permettere che le attività quotidiane siano il più possibile sicure.
Un primo aspetto, che agli studiosi è ormai chiaro, è come il dato digitale abbia la stessa importanza di quello cartaceo.
Dato cartaceo = dato digitale (stessa importanza, stesso "peso", stesso valore economico, stessa necessità di protezione).
Quella esposta poco sopra potrebbe apparire un’affermazione ingenua, o banale, o persino retorica, ma il lettore rifletta un attimo: il dato cartaceo (si pensi all’atto, al certificato, alla fattura, quando era, appunto, cartacea) presentava anche una materialità, oltre all’importanza dei contenuti. Ciò portava il titolare a garantire quasi "naturalmente", e d'istinto, una sicurezza fisica – uno schedario chiuso a chiave, una cassaforte, una porta blindata in una stanza – ai documenti cartacei che erano reputati più delicati e più a rischio.
Un avvocato, ad esempio, custodiva in un armadio blindato le videocassette dell’investigatore privato che documentavano un’infedeltà coniugale di una controparte, o i certificati medici correlati a un infortunio. Un commercialista assicurava sotto chiave i documenti contabili più spinosi, e così via.
Il professionista, nel corso dei decenni, si è abituato a garantire la sicurezza del cartaceo e di dati per così dire "materiali" o "fisici".
Oggi, in molti casi, il dato digitale, non presentando la materialità della carta, è visto come dato meno importante da proteggere quando, in realtà, i contenuti, abbiamo detto poco sopra, sono gli stessi.
Ecco, allora, che fotografie e video sono inviati senza problemi allegati a e-mail spedite in chiaro, o fatture e documenti privati sono depositati e lasciati in aree e cartelle condivise del sistema o in cloud non protetti. Ciò accade anche perché il digitale “equalizza” tutto, non fa spesso comprendere la differenza, in un’ottica di sicurezza, del tipo di dato cui ci si trova di fronte.
Il dato digitale NON è MENO IMPORTANTE di quello cartaceo, anzi!
Sono, allora, tre i punti interpretativi iniziali che il professionista dovrebbe risolvere prima anche di poter solamente parlare di sicurezza della sua attività:
i) dovrebbe individuare le categorie di dati digitali che si trova ogni giorno a trattare;
ii) dovrebbe aver ben chiara la differenza di sicurezza tra processi di trattamento della carta e di trattamento del dato digitale, e
iii) dovrebbe conoscere il quadro normativo di massima per la protezione dei dati.
Procediamo, però, con ordine.
Allontanandoci, per un attimo, dalle categorie di legge, che vedremo meglio nei prossimi Episodi, il professionista dovrebbe sempre rendersi conto, in ogni momento, che sulla sua scrivania – meglio, sul suo monitor – possono transitare quattro tipi di dati: i) dati anonimi, ii) dati personali, iii) dati cosiddetti “sensibili”, o "particolari" ai sensi del GDPR, e iv) dati per così dire “ultrasensibili”.
Il dato anonimo è quello che ci dovrebbe preoccupare meno, a patto che sia realmente anonimo, o anonimizzato con cura. Sia chiaro, però, che un dato che, se correlato ad altri, possa far risalire all’identità di una persona, non è più anonimo. Anche un dato che è anonimizzato male, ossia grazie ad altri riferimenti, magari presenti in altri documenti, possa ricondurre a un soggetto specifico, NON è anonimo. Capiamoci, quindi: il dato anonimo è innocuo, non ha impatto sui diritti e sulla privacy dei soggetti, quindi si può utilizzare liberamente e senza timore di danneggiare nessuno, MA deve essere realmente anonimo e non deve consentire di risalire all'utente neppure dopo decine e decine di passaggi interpretativi.
La categoria del dato anonimo è, in sintesi, quella che desta le minori preoccupazioni in fase di protezione e “sulla carta”, ma che è abbastanza difficile da reperire in concreto nella sua forma più “pura”. E man mano che aumentano i big data, diventa sempre più difficile recuperare un dato realmente anonimo.
Il DATO ANONIMO è poco pericoloso ma è DIFFICILISSIMO da trovare realmente anonimo e non correlabile ad altre informazioni identificative.
I dati personali sono, dal canto loro, l'opposto del dato anonimo e sono dati che, come dice il nome stesso, si riferiscono direttamente all’identità di una persona o permettono agevolmente di risalire all'identità di una persona. Da questo “tipo” di dati inizia l’obbligo di apprestare un quadro giuridico sicuro, anche digitale, e la sicurezza andrà aumentata sempre di più se i dati da "semplicemente" personali diventano sensibili/particolari, ossia idonei a svelare un lato della persona che, se fosse noto, potrebbe causare danni o pregiudizi o, addirittura, se diventano ultrasensibili, ossia riferiti ad aspetti di quel soggetto ancora più intimi (si pensi alle informazioni sul DNA). Come il lettore immaginerà, nella storia dell'essere umano i dati più sensibili sono sempre stati quelli collegati al suo stato di salute e alla sua sessualità, alla origine etnica e alle opinioni politiche e religiose.
I dati personali, particolari e ultrasensibili necessitano di una protezione che aumenta man mano che si "sale" perchè sono, nella nostra tradizione storica, particolarmente idonei a discriminare le persone in società.
Se il professionista ha chiara, sin da subito, questa categorizzazione, può raggiungere un obiettivo essenziale per la sicurezza dei dati: l’analisi del rischio in tempo reale, ossia in ogni momento può essere consapevole, conoscendo il tipo e il “peso” di un dato, del rischio che potrebbe conseguire alla sua diffusione. In altri termini, è in grado di capire se il dato che sta trattando è ad alto, medio o basso rischio in caso di sua "fuga" o esposizione.
Per "analisi del rischio" intendiamo, in questa sede, la capacità di prevedere i peggiori accadimenti che possano capitare ai dati, e programmare le relative contromisure.
Vediamo qualche esempio pratico: se il professionista si trova sul computer, per dire, un certificato medico che testimonia la malattia infettiva di un soggetto, deve subito allertarsi e pensare a modalità di conservazione o di trasmissione che siano adatte per un dato così delicato. Non dovrebbe mai trasmetterlo, ad esempio, in un messaggio di posta elettronica in chiaro, ma eventualmente lo cifrerà con un codice, o userà un sistema di posta sicura. Non lo terrà, poi, "appoggiato" e visibile sul desktop di un computer condiviso con altri, ma lo separerà da altri tipi di dati meno importanti, lo cifrerà e archivierà in una cartella più protetta. In sintesi: ogni tipo di dato richiede un approccio digitale ad hoc anche in un’ottica di sicurezza.
La sicurezza del dato cartaceo si risolve(va), come è ben noto, installando armadi blindati, porte chiuse, archivi riservati, casseforti a combinazione e con la gestione accurata degli accessi ai locali. Si noti che questo approccio alla sicurezza è ancora molto attuale, dal momento che la digitalizzazione diffusa ha avuto come effetto collaterale (e paradossale) l’aumento del cartaceo, per cui in tutti gli uffici ci sono ancora grandi quantitativi di carta.
Bisognerebbe, però, replicare un’organizzazione simile anche con riferimento ai dati contenuti nei computer, nei tablet, nei telefoni e nei server che ospitano informazioni digitali. Il PIN complesso dovrebbe, allora, diventare l’equivalente di una chiave, il sistema di cifratura dovrebbe costituire una stanza blindata, la password sul telefono dovrebbe essere un sistema sicuro per impedirne l’accesso, e così via. Purtroppo, nell’esperienza comune, i “locali” elettronici nei quali gestiamo i dati digitali sono più aperti e scoperti di quelli fisici (si pensi al caso sempre più comune di copie di backup in chiaro dei dati abbandonate negli armadi o sulle scrivanie).
Il dato digitale dovrebbe essere protetto proprio come eravamo (siamo) abituati a proteggere il dato cartaceo.
Terzo punto, ultimo ma non ultimo, è avere sempre chiaro che quella della protezione dei dati non è una scienza che dovrebbe interessare solo i tecnici, ma è anche la spina dorsale di un quadro normativo molto complesso che, pian piano, andremo ad esplorare. Vedremo, lezione dopo lezione, che sicurezza e diritto, tecnica e norme, si fonderanno sempre più tra loro creando un quadro a dir poco affascinante.
Non sempre, a onor del vero, le regole del diritto sono compatibili con le migliori regole tecniche, e non sempre, lo ammetto, brillano per chiarezza ma, come primo passo fondamentale, una lettura accurata del Regolamento Europeo per la Protezione dei Dati e delle decisioni che, in oltre vent’anni di regolamentazione della data protection in Italia, sono state prese dal Garante per la Protezione dei Dati Personali, possono aiutare a risolvere molti dubbi circa l’approccio corretto.
La sicurezza tecnica deve, comunque, conciliarsi con il quadro giuridico, anche se sovente i due quadri non sono molto "compatibili".