Il 15 Dicembre scorso era l’ultimo giorno disponibile per configurare tutti i sistemi server o client esistenti in Italia gestiti dagli amministratori di sistema in base alle nuove disposizioni richieste dal Garante per la protezione dei dati personali: http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499.
Ovviamente si parla di sistemi che contengono dati personali e/o sensibili e le novità consistono nell’accertarsi che ogni amministratore sia dotato di un proprio account personale, che vengano registrati gli accessi e mantenuti i log per un periodo congruo, non inferiore ai sei mesi, e che ci sia qualcuno preposto ad una verifica delle attività degli amministratori almeno una volta all’anno.
Questa scadenza era stata posticipata già due volte in precedenza a causa delle continue lamentele, segnalazioni e richieste di spiegazioni da parte della “categoria”.
Questo invece è stato il comunicato stampa uscito il 10 Dicembre scorso, ovvero 5 giorni prima della scadenza: http://www.garanteprivacy.it/garante/doc.jsp?ID=1676654.
Riporto la frase per me cruciale: “Per quanto concerne, infine, gli aspetti tecnici del provvedimento (in particolare, la conservazione dei log degli accessi effettuati dagli amministratori di sistema), il Garante ricorda come l’adeguamento possa avvenire anche con soluzioni a basso costo, validamente proposte e disponibili in rete (per esempio basate su software gratuito, anche con licenze di tipo open source), che possono costituire valide alternative all’impiego di prodotti commerciali o di apparati più sofisticati.”.
Perché ho riportato questa frase? Perché per me rappresenta chiaramente il fatto che chi ha scritto questo comunicato stampa, 5 giorni prima della scadenza, non ha assolutamente idea di che cosa stia parlando.
Per capire perché dico una cosa del genere va anche riportata una frase del provvedimento stesso che riguarda i log: “Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.”.
Ebbene chi ha scritto questa riga non ha chiaro in termini tecnici che cosa significhi completezza, inalterabilità e soprattutto integrità.
Badate bene che non sto disquisendo sul significato giuridico dei termini, che magari ha un suo ben determinato significato ma solo sul significato tecnico.
Un dato, che sia un file, una partizione o un disco, per definirsi in quel modo deve poter essere messo in un luogo sicuro, lontano da tutti, con tanto di indice, hash o firma digitale, che ne dichiari l’inalterabilità successiva, ovvero una integrità assoluta rispetto ad un originale.
Ma esistono soluzioni open source che facciano tutto questo?
Come mai Novell, una delle poche ahimè grandi aziende rimaste che lavora con software open source, ha creato un prodotto apposito che va da diverse migliaia di euro a decine di migliaia di euro (a seconda della mole di dati da registrare in un breve lasso di tempo)?
Lo fa perché pur utilizzando software open source si fa pagare una costosa licenza non tanto per il meccanismo di raccolta dei log (creare un server di log centralizzato multi piattaforma non è un problema a parte pochissimi casi) o per la creazione di report, ma soprattutto perché ha al suo interno un sistema di integrità di questi log.
Ora non voglio entrare nei dettagli ne fare pubblicità a Novell ed ai suoi prodotti ma il punto è che non c’è nel mondo open source qualcosa di pronto, da usare così com’è (e anche sui prodotti commerciali non ci sono molte scelte al momento).
Questo perché, se si vuole tenere traccia di cosa faccia un amministratore di sistema, senza che egli stesso possa cancellare alcune o tutte le sue tracce, non è banale implementare un sistema che tenga sotto controllo chi lo ha installato e configurato da zero e che ne decreta ogni singolo funzionamento.
La soluzione più rapida ed economica è quella di avere più livelli di controllo: ad esempio il titolare potrebbe gestire il log server centralizzato non dandone accesso agli amministratori di sistema. Questa soluzione presuppone una realtà abbastanza complessa e grande da avere un punto centralizzato di gestione dei log e che il titolare sia in grado di fare questo lavoro. Nella maggioranza dei casi non è così, e poi rimane poi il solito problema: chi controlla il controllore? Cioè fino a che punto della piramide risaliamo prima di dire “ok, di lui ci fidiamo”? Chi ci dice che un titolare di un’azienda che tratta dati personali sia lontano da qualsiasi dubbio o controllo?
Credo che tutto lo staff del Garante per la protezione dei dati personali avessero le migliori intenzioni nel dare visibilità a persone che fanno un lavoro complicato e con talvolta grosse responsabilità e nel cercare di regolamentare questo lavoro, dando anche trasparenza all’esterno ovvero agli utenti/clienti avendo per legge la possibilità di controllare eventuali abusi, però il testo del provvedimento, integrato anche con le FAQ, non mi sembra lo stato dell’arte; anzi al di fuori di medie e grosse realtà si sono creati problemi non indifferenti soprattutto in un anno di grossa crisi economica.
Forse sarebbe stato meglio prima cercare di capire quali soluzioni tecniche reali il mercato potesse offrire per implementare certe soluzioni e con che costi. Il problema è che i sistemi operativi più diffusi non vengono creati in paesi dove sono in vigore norme così rigorose anche come quelle sulla privacy.
