Ad oggi, oltre l’85% delle verifiche effettuate dalla Guardia di Finanza in merito di trattamento dei dati si conclude con un’ammenda. Malgrado l’opinione diffusa, non basta disporre di un DPS aggiornato per fornire risposte adeguate, soprattutto quando i dati a cui ci si riferisce sono gestiti attraverso strumenti informatici che supportano gli adempimenti burocratici ed amministrativi a carico dell’azienda.
Che ci sia una certa arretratezza culturale in gran parte delle Pmi italiane in fatto di tecnologia e IT è risaputo. I problemi finanziari ed economici, conseguenza dell ‘ attuale crisi, hanno ulteriormente aggravato la situazione.
È un problema che investe un po’ tutti i settori produttivi. Esistono però ambiti in cui questa arretratezza, o trascuratezza, può avere conseguenze il cui costo va ben al di là della semplice conseguenza legale, andando ad impattare sugli aspetti penali in termini di responsabilità ed economico-produttivi in termini di interruzione delle attività.
Le norme vigenti (DLgs 196/2003) impongono che i file di log (i diari di sistema) comprovanti gli accessi degli Amministratori di sistema siano raccolti e conservati per almeno 6 mesi in formato immodificabile. I requisiti si articolano in: mantenimento dei dati di accesso ai sistemi; conservazione dei dati relativi ad un periodo non inferiore ai sei mesi; garanzia di non modificabilità dei dati.
Mentre i primi due aspetti sono facilmente realizzabili con le funzionalità presenti in ogni sistema operativo, il terzo non è disponibile e nemmeno così ovvio come si può pensare: normalmente i file di log sono normali file di testo, accessibili con qualsiasi editor e quindi facilmente alterabili. Normalmente riportano i dati relativi a eventi che si verificano sui sistemi e indicano la data, l’evento e chi lo ha causato. Questo per ogni computer presente in azienda.
I dati non possono semplicemente essere criptati dal momento che chi gestisce il sistema deve essere in grado di ricostruirne la storia per effettuare le analisi del caso, ad esempio in caso di malfunzionamento del sistema. Qualcuno ci ha pensato e da alcuni mesi lo propone con successo sul mercato.
Una società del comprensorio della Brianza, la Antares srl ha brevettato e reso disponibile un prodotto che interviene proprio in questo ambito. La Black Box risponde infatti ai requisiti richiesti dalla normativa.
La Black Box è costituita da hardware sigillato e software proprietario (il protocollo Antares brevettato).
L’hardware è costituito da un PC che oltre alle consuete caratteristiche dispone di un supporto di memorizzazione (hard disk) da 1.5 Tera per garantire la retention (conservazione) dei dati per il periodo previsto. Il sistema provvede ad effettuare una copia dei dati cifrandoli con chiave asimmetrica RSA da 2048 che garantisce l’inaccessibilità dei dati.
Solo l’autorità giudiziaria può accedere ai dati così conservati, per i quali è certificato che non sono stati modificati.
Ma quello dei log dei sistemi non è il solo aspetto che questo prodotto affronta con successo: di fatto qualsiasi dato che possa essere registrato può essere gestito con questo prodotto. Proviamo a fare un esempio di utilizzo che illustra questo ulteriore vantaggio.
Molte aziende utilizzano, per la propria sicurezza interna, delle videocamere che riprendono gli accessi agli ambienti. Si pensi ad esempio ad un negozio, ad un passo carraio e si potrebbero illustrare altri casi. Attualmente, per non incorrere in sanzioni da parte degli organi competenti, praticamente tutti gli utilizzatori di sistemi di sicurezza eliminano in modo automatico i dati nell’arco delle 24 ore. Questo tuttavia può contrastare con i bisogni dell’azienda in caso ad esempio di effrazione che venga rilevata a distanza superiore all’intervallo di mantenimento dei dati, come nel caso non infrequente di un fine settimana lungo (ferragosto, I maggio, Natale, etc.).
L’inviolabilità dei dati registrati invece garantisce la possibilità di conservare i dati anche per lunghi periodi senza violare il diritto alla riservatezza.
Concludendo, si può affermare che il prodotto Black Box consente di rispettare le norme di legge con un costo veramente ridotto (a conti fatti inferiore alla spesa dell ‘ ammenda comminata dagli organi preposti).