Facebook, passwords in chiaro

Giunge notizia che Facebook abbia mantenuto, per anni, milioni di password dei suoi utenti in chiaro, alla portata dei suoi dipendenti.

Nel post ci illustrano come sia importante, per Facebook, la sicurezza dei propri utenti, come essi debbano cambiare spesso la propria password, e bla bla bla.

Purtroppo la memorizzazione delle password in chiaro è una pratica difficile a morire; da essa scaturiscono enormi problemi di sicurezza a danno degli utenti, specialmente quando le stesse credenziali consentono (come avviene con Facebook) di autenticarsi ad innumerevoli servizi esterni.

Per non parlare di coloro che utilizzano sempre la stessa password.

Verifiche di Restore

Abbiamo messo in atto una fantastica procedura di backup, che salva i dati in due locazioni diverse ed inoltre nel cloud, per maggiore sicurezza.

Siamo assolutamente certi che qualunque cosa accada potremo superarla brillantemente.

Poi, un giorno, viene un consulente dataprotection e ci domanda se abbiamo mai effettuato delle simulazioni di ripristino dei sistemi, ipotizzando che i sistemi “live” siano morti e che ci siano rimasti solo i backup.

Il poveretto viene squadrato con un sorrisetto; la richiesta qualificata come eccessiva e non giustificata, e quindi nessuno si “prende la briga” di provare ad effettuare un restore (ma neanche verificare l’integrità degli archivi costituenti i vari backups).

Poi, un brutto giorno, accade quanto ipotizzato dal consulente ed assolutamente certificato dal MTBF – una semplice rottura di un hard disk, funzionante da 8 anni – e tutte le certezze vengono meno (insieme ai dati); i backups sono inservibili in quanto nessuno, in otto anni, si era mai accorto che la procedura creava degli archivi corrotti.

Un esempio di cosa può succedere, accaduto nel mese di gennaio 2019.

Continuiamo a pensare che le procedure di controllo sono tempo perso.

Il nuovo principio della “sicurezza” nel GDPR

Tra le innumerevoli disamine, valutazioni, interpretazioni e trattazioni sul Regolamento UE, ben pochi hanno “realizzato” uno dei nuovi cardini sui quale esso si basa.

La sicurezza è adesso divenuta un principio.

Art. 5 - Principi applicabili al trattamento di dati personali

1. I dati personali sono:
...
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Lo ripeto: “adeguata sicurezzamisure tecniche ed organizzative adeguate“; non c’è più sordo di chi non vuol sentire!

GDPR e le misure minime di sicurezza

Domande ricorrenti: esistono sempre le misure minime di sicurezza? Quali sono? Dobbiamo adottarle o no?

Le famigerate misure minime di sicurezza erano allegate al D.Lgs. 196/03 (allegato B); il D.Lgs. 101/2018 le ha abrogate (art. 27, comma 1, lett. d).

Per 14 anni sono state oggetto di critica (troppo oppure troppo poco), ridicolizzate dagli estremisti, snobbate dagli asceti, sottovalutate dai qualunquisti.

Posso tranquillamente affermare che, ad oggi, molte organizzazioni non hanno neanche adottato tutte le (abrogate) misure minime di sicurezza introdotte nel 2004. Non ci credete? Ne cito una, forse tra le più disattese:

25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura per provvederne alla esecuzione, riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.

IL GDPR assegna oggi al Titolare (l’azienda) l’onere di definire le più appropriate misure di sicurezza (non quelle minime) e l’onere di dimostrare che esse sono appropriate (ed adottate, oltre che verificate periodicamente).

Quindi le misure minime del D.Lgs. 196/03 sono la base di partenza, ma non sono sicuramente le misure appropriate da adottare, almeno nelle realtà diverse dalle piccolissime.

Il nuovo approccio del GDPR richiede quindi alle aziende responsabilizzazione, adozione di misure e stumenti di sicurezza ed il loro avvallo; siamo passati (a mio modesto parere) da un approccio di tipo “civil law” (con il tutore che prescrive) a quello “common law” (con le aziende che in piena autonomia decidono, adottano e sono successivamente in grado di dimostrare “il valore” delle loro scelte).