L’App di Google ed Apple per il Contact Tracing Covid-19 venerdì 8 Maggio 2020
Posted by andy in Information Security, Internet e società, privacy, tecnologia, Uncategorized.Tags: app, Apple, concact tracing, Coronavirus, COVID-19, geolocalizzazione, Google, monopolio, privacy, privatizzazione dei dati sanitari
add a comment
Google ed Apple sono sempre in prima linea per aiutare gli utenti, rigorosamente gratis perché, come è noto, sono sono organizzazioni no-profit di beneficenza.
Ed anche con l’emergenza CoronaVirus non hanno perso tempo, e (pur essendo concorrenti) sono riuscite a mettersi d’accordo in un instante su uno standard di interoperabilità per realizzare un’app di contact tracing per tracciare i contatti da CoronaVirus.
Occorre intanto fare una precisazione: Android (Google) ed iOS (Apple) si spartiscono praticamente la totalità del mercato mondiale dei dispositivi mobili (circa i tre quarti del mercato per Android, un quarto per iOS, ed un misero 1% ad altri sistemi operativi).
E veniamo agli aspetti inerenti la privacy, tanto cari alle persone (che su FaceBook, WhatsApp, Instagram, etc. raccontano ogni istante della propria vita, cosa fanno, dove sono, i propri pensieri ed i propri gusti e le proprie preferenze).
In nessun caso le app prescelte potranno raccogliere informazioni sulla geolocalizzazione dei soggetti: ciò significa che chi gestirà i sistemi di raccolta e correlazione delle informazioni non avrà accesso a tale informazione.
È invece vero che Google ed Apple conosceranno tutti gli utenti che hanno installato l’app (per poterla installare occorre un account Google / Apple), e la loro posizione (come pensate che queste aziende possano conoscere in ogni istante lo stato del traffico di ogni strada del pianeta ed offrirvi informazioni pertinenti alla vostra posizione?).
Devo deludere coloro che pensano che la geolocalizzazione di un dispositivo si possa fare soltanto mediante il GPS: può essere fatta in vari altri modi che, se usati in combinazione, possono aumentare la precisione ottenuta con un singolo approccio; è possibile geolocalizzare un dispositivo mediante la celle telefoniche a cui si aggancia, le reti Wi-Fi a cui si connette, il suo indirizzo IP, nonché eventuali connessioni Bluetooth.
Esistono poi altri attori ‘trasversali’, che si possono inserire nel mezzo, tra l’app e Google/Apple: tanto per non fare nomi, scegliamo un produttore a caso: Xiaomi (altrettanto vale per altri produttori, in relazione alla loro aggressività commerciale).
Chi ha acquistato uno smartphone Xiaomi avrà certamente notato che ogni app preinstallata sul dispositivo chiede l’accettazione della politica per la privacy di Xiaomi (che naturalmente l’utente legge per filo e per segno fino all’ultima riga!) e di concedere a tali app un mare di autorizzazioni.
Grazie a tali autorizzazioni il vostro smartphone invierà al produttore un mare di informazioni, ed anche se qualche informazione non viene inviata oggi, potrà essere inviata dopo il prossimo aggiornamento delle app (ad esempio, quali app sono installate, quali dispositivi Bluetooth vengono incrociati, la vostra posizione, etc.).
Passiamo ad un’altra considerazione: Google ed Apple si sono affrettate provveduto a sviluppare e rendere disponibili le librerie software che servono per sviluppare le applicazioni, fornendo anche esempi di codice, per facilitare il lavoro degli sviluppatori.
La disponibilità di queste librerie implica che le applicazioni di tracciamento utilizzeranno software e servizi sviluppati da altri, su cui non vi è controllo, e addirittura, per la legge sulla protezione della proprietà di ingegno, è vietato ed è un reato effettuare il reverse engineering del codice per capire cosa effettivamente faccia …
Quindi, anche se chi sviluppa l’applicazione ed il servizio che riceverà i dati non potranno raccogliere informazioni sull’identità e sulla geolocalizzazione dell’app e dell’utente, questo non è necessariamente vero per Google ed Apple, che in ogni istante dispongono dell’identità del dispositivo e dell’utente che lo utilizza (oltre ad un mare di altre informazioni – si veda sopra).
L’idea poi che il memorizzare le informazioni soltanto localmente sul dispositivo dell’utente serva a garantire la privacy, in realtà serve soltanto a non rendere disponibile centralmente ai governi l’informazione, mentre Google ed Apple (almeno per i propri ecosistemi) già la possiedono, grazie al fatto che grazie alla geolocalizzazione ed alle reti di contatti già possedute possono sapere chi è stato vicino a chi (non stupitevi: già anni fa FaceBook inferiva conoscenze tra persone grazie al ripetersi di situazioni in cui due o più persone con account FB si trovassero nel medesimo luogo nello stesso momento …).
Se poi il sistema centrale che raccoglie le informazioni delle app è il loro, e non uno predisposto ad hoc da ogni governo, ci si rende conto che Google ed Apple disporranno (come società private) di una mappa mondiale dei possibili contagi mentre i singoli governi potranno accedere probabilmente soltanto ad un sottoinsieme di tali informazioni.
E questo potrebbe spiegare la fretta con cui questi due colossi, pur essendo concorrenti, si sono messi d’accordo: sapere chi è potenzialmente infetto (o lo è stato) e chi è potenzialmente interessato a vaccini e farmaci per la cura dell’infezione rappresenta un mercato praticamente infinito per le case farmaceutiche.
Utilizzi ancora peggiori di queste informazioni possono includere l’ostracizzazione di persone risultate positive, la discriminazione nell’accesso ad aziende o territori, o anche nella selezione del personale da parte delle aziende.
Inoltre, mentre gli Stati si impongono dei termini per la conservazione di queste informazioni, chi potrà mai andare a controllare se Google ed Apple le distruggeranno veramente, e quando?
Ed in conclusione, visto che queste considerazioni le può fare qualsiasi cittadino, ritengo che il problema meriti un serio approfondimento da parte del Garante per la Privacy, tenendo conto che è in ballo una questione di trattamento di dati personali e sanitari.
Qualche riferimento:
Il GDPR e gli struzzi mercoledì 10 ottobre 2018
Posted by andy in Information Security, privacy.add a comment
Qualche tempo fa mi sono permesso di disturbare il DPO di un’importante università italiana (ed in verità anche il suo Rettore …), la quale utilizza come sistema di posta elettronica di ateneo i servizi di GMail di Google (denominati G Suite).
Ero interessato a sapere quali garanzie avesse l’università rispetto alla profilazione degli utenti (studenti, docenti e personale del campus).
Dopo alcuni giorni ho ricevuto una puntuale risposta, in cui venivo informato che sul tema era stata interpellata la stessa Google, la quale ha fornito tutte le garanzie del caso.
Oltre a riportarmi per completezza i termini del servizio, il DPO ha sintetizzato con una frase l’esito della ricognizione: “I servizi di G Suite (…) non raccolgono o usano informazioni per fini di marketing o per creare profili pubblicitari.”
Volendo leggere con un po’ di attenzione tale frase, ci rendiamo immediatamente conto quindi che essa non esclude quindi che Google faccia profilazione degli utenti (cosa ovviamente certa, visto che è il suo core business), ma che lo scopo della profilazione non è il marketing.
Nei termini di servizio sono riportate accuratamente le procedure in essere per l’autenticazione e l’autorizzazione degli utenti per l’accesso ai dati dei clienti; non si fa invece riferimento ai controlli di accesso destinati a procedure informatizzate.
Confidando naturalmente nella buona fede di Google, si osserva tuttavia che il servizio G Suite non è oggetto di certificazione ISO27001 (non è infatti incluso nello scope di certificazione).
Si osserva invece che in tale scope è incluso Google+, che si è recentemente appurato aver consentito ad applicazioni di terze parti di accedere ai dati di 500.000 utenti, a causa ad un bug,
Non sono inoltre ovviamente disponibili i rapporti di audit delle società di certificazione che assicurano la compliance dei servizi di Google rispetto alle norme di sicurezza di riferimento, per cui il ‘contractor’ non ha modo di sapere quale sia il reale grado di protezione dei dati dei propri utenti.
Ho quindi lasciato al DPO di immaginare quali tipi di profilazione possa fare Google sugli allievi e sul personale di Ateneo, soprattutto se l’utente di G Suite possiede un profilo Google anche al di fuori dell’Università (rendendoli quindi riconciliabili tra loro).
Senza contare le informazioni che vengono veicolate attraverso G Suite su progetti di ricerca, anche riservati e potenzialmente destinati a possibili pubblicazioni e brevetti …
Tenendo conto che i Big Data e la Data Intelligence sono discipline strategiche per il business di oggi e di domani, risulta fondamentale per tutte le aziende ed organizzazioni chiedersi quanto il ‘tutto gratis’ sia veramente un’opportunità, o se sia invece un grande rischio …
Spettacolare! Ecco il diritto all’oblio (alla -1)! venerdì 30 Maggio 2014
Posted by andy in privacy.Tags: compliance, diritto all'oblio, Google, normativa sulla Privacy
add a comment
Leggo la notizia dell’apertura di Google al diritto all’oblio.
Ovviamente non poteva rifiutare un trattamento delle informazioni degli utenti conforme alla normativa europea, pena l’essere sfrattata dai territori dell’unione.
Gli aspetti che hanno dello sensazionale direi che sono due:
- Google rimuoverà i collegamenti indesiderati (occorre quindi elencarli tutti), ma non parla di rimuovere i contenuti;
- per rimuovere tali collegamenti, Google si farà dare una serie di informazioni che ancora non possiede:
- le proprie generalità reali (così potrà associare gli account, anche non identificativi, a delle identità reali);
- una copia CHIARA E LEGGIBILE del documento di identità (così lo potrà associare alla nostra identità in Rete, ormai non più pseudonima);
- nel caso si agisca per conto di un terzo, verrà stabilita una relazione di autorità legale tra richiedente e titolare delle pagine da rimuovere;
- per ogni URL, dovrà essere fornita una chiara motivazione, di fatto aggiungendo un livello semantico al contenuto;
NOTA: il documento d’identità verrà rimosso dopo un mese dopo la chiusura della pratica, << a meno dei casi previsti dalla legge>>
Qui il modulo di richiesta: https://support.google.com/legal/contact/lr_eudpa?product=websearch
Perché è importante la pervasiva raccolta di informazioni giovedì 24 ottobre 2013
Posted by andy in Information Security, privacy.Tags: Airbus, Boeing, NSA, pervasività della raccolta informativa, spionaggio
add a comment
Lo scandalo Datagate ha svelato fino a che punto sia giunta la pervasività della raccolta delle informazioni svolta dalla NSA (e presumibilmente anche da parte di molte altre agenzie pubbliche e private).
Spesso mi sento chiedere a che titolo qualcuno potrebbe voler intercettare le comunicazioni anche del più ‘insignificante’ dei cittadini: che interesse potrebbero avere gli americani (o chiunque altro) a sapere con chi parlo, a chi scrivo, dove vado …?
Il problema nella raccolta delle informazioni è che il loro valore è tanto maggiore quanto è più completa.
Le reti di relazioni, le sequenze degli eventi e delle comunicazioni (senza contare i loro contenuti) sono fondamentali.
Faccio un paio di esempi banali, tanto per dare un’idea.
Se Paperino telefona a Pippo (entrambe persone integerrime), e questi parlano di fare un regalo al Commissario Basettoni, non si evidenzia niente degno di nota.
Ma se la mia raccolta di informazioni mi porta ad intercettare anche le telefonate tra Pippo e Gambadilegno (noto o potenziale terrorista), allora l’interpretazione che si può dare ai discorsi tra i primi due cambia molto, così come la valutazione sulla loro integrità.
Altro esempio: intercetto tutte le e-mail tra due persone, ma non le telefonate (è un esempio: potrebbe trattarsi di ‘pizzini’).
Il Commissario Basettoni scrive a Topolino una mail in cui afferma di non avere intenzione di mettere Gambadilegno in prigione (o di non voler muovere guerra contro Paperopoli).
Tuttavia gli aveva preventivamente telefonato avvisandolo di interpretare al contrario ogni sua affermazione via e-mail.
Come vedi soltanto se hai un quadro completo delle relazioni e delle comunicazioni puoi comprendere veramente ciò che sta accadendo.
Per non parlare poi del furto della proprietà intellettuale, delle informazioni commerciali strategiche, dello spionaggio industriale (vi ricorda nulla la vicenda Boing vs. Airbus …?).
Intercettazioni: e ancora ci stupiamo? giovedì 24 ottobre 2013
Posted by andy in Information Security, Internet e società, privacy.Tags: British Telecom, Echelon, NSA, scandalo intercerttazioni, Servizi Segreti, Snowden, Telecom
add a comment
Datagate: anche il governo italiano è spiato.
È da anni che sappiamo di Echelon.
Il nostro stato (leggi DigitPA, ex CNIPA), invece che lavarsi i panni sporchi in casa (leggi: Telecom), appalta tutto fuori, e casualmente a chi? a BT (British Telecom), che è pappa e ciccia con gli USA nei programmi di spionaggio.
In particolare oltre che ad assegnargli l’appalto nazionale per la RUPA (Rete Unitaria della Pubblica Amministrazione, ora SPC – Sistema Pubblico di Connettività e Cooperazione) gli abbiamo appaltato anche quella internazionale (RIPA – Rete Internazionale della Pubblica Amministrazione).
E ci stupiamo ancora che all’estero qualcuno controlli le nostre comunicazioni …?
Il Crowdsourcing ed il giornalismo investigativo di massa giovedì 24 novembre 2011
Posted by andy in Internet e società, privacy.Tags: "Investigate Your MP's Expenses", BlackOutGate, crowdsourcing, giornalismo investigativo, insabbiamento, ostacolamento delle indagini, The Guardian, traparenza
add a comment
Sono rimasto stupefatto dalla fantasia di un giornale (il Guardian inglese) e dall’ennesima manifestazione delle incredibili opportunità della Rete.
Mi riferisco in particolare alla notizia che ho appreso qui, in merito ad un’indagine giornalistica portata avanti con e grazie al supporto della Rete.
Il tema è semplice: vi erano sospetti che alcuni parlamentari si facessero più o meno regolarmente rimborsare spese non lecite.
Il problema è che quando sono state chieste, per trasparenza, le evidenze delle spese sostenute, il governo ha reso si disponibili circa mezzo milione di documenti, tra ricevute e non, ma in forma digitalizzata invece che sintetica (immagini invece che testo), e quindi praticamente non analizzabile attraverso strumenti informatici; l’approccio del Governo è stato denominato ‘BlackoutGate’ proprio per le enormi proporzioni del tentativo di insabbiamento dell’indagine.’
L’obiettivo era evidentemente quello di far desistere chiunque dall’analisi dei contenuti, vista l’immane quantità di lavoro necessaria.
La mirabile idea del Guardian è stata quella di utilizzare la Rete ed i suoi cittadini per affrontare in modo massivo l’analisi dei documenti; ha quindi fatto ricorso a quello che viene definito come ‘crowdsourcing’, ovverosia outsourcing di massa, pubblicando online il gioco ‘Investigate Your MP’s Expenses‘, il cui obiettivo è di analizzare e catalogare tutti i documenti forniti dal Governo e segnalare tutti quelli potenzialmente anomali ed illeciti.
L’obiettivo del gioco è quello di apparire e salire nella classifica dei ‘top segnalatori’ di spese non giustificate.
Il gioco è stato definito come il primo progetto al mondo di giornalismo investigativo massively multiplayer.
Ad oggi, circa la metà dei documenti è stata analizzata da circa 30.000 persone, e di risultati sulle anomalie vengono pubblicati ed aggiornati on-line.
Grazie all’indagine, già una trentina di parlamentari ha già rassegnato le dimissioni o ha annunciato di ritirarsi a fine legislatura, ed alcuni procedimenti giudiziari sono già stati avviati dalla magistratura per i reati già accertati.
Ulteriore aspetto, particolarmente interessante dato il periodo di crisi, è il recupero del maltolto da parte della pubblica amministrazione, per un importo già accertato ad oggi di oltre un milione di sterline.
La morale? È semplice: Internet = trasparenza.
Nessuno strumento nella storia dell’uomo ha dato così tanto potere ai cittadini di controllare i propri amministratori.
La ‘potenza di calcolo’ dei cittadini in Rete è superiore a qualsiasi tentativo di ostacolamento, senza contare le grandi opportunità per la diffusione di documenti ed informazioni che si vorrebbero tenere gelosamente segrete (leggi: WikiLeaks).
Contenuti Internet ‘a due velocità’ lunedì 21 novembre 2011
Posted by andy in Internet e società, privacy.Tags: logging, privacy, profilazione, Tracking Compliance and Scope Specification, Tracking Preference Expression, W3C Tracking Protection Working Group
add a comment
Il W3C (il consorzio che stabilisce gli standard del World Wide Web) ha pubblicato la prima bozza di un nuovo framework per la gestione della privacy degli utenti. Anche per l’ENISA (European Network and Information Security Agency) l’eccessivo logging online fa male alla vita delle persone.
la moderna pratica di logging ubiquo dei siti e servizi web in un vero e proprio incubo da “tracciamento di vita” online.
La crescente sensibilità ed attenzione alla privacy, soprattutto in Europa, sta portando i produttori di browser ed il W3C alla definizione delle modalità per gestire la Tracking Preference Expression, ovverosia un set di standard mediante i quali esprimere le proprie preferenze in merito alle pratiche di tracciamento da parte dei siti, e la Tracking Compliance and Scope Specification per la definizione di preferenze “Do Not Track” e le relative pratiche che i siti web dovranno (o almeno dovrebbero) adottare per rispettarle.
Di fatto, il mercato sta catalizzando degli anticorpi per proteggersi da un’eccessiva contaminazione da ‘loggers’.
D’altra parte il mercato ed i produttori, utenti e servizi on-line hanno sempre vissuto di una crescente simbiosi: l’uno non ha scopo senza l’altro.
Occorre anche aggiungere che ormai la quasi totalità dei servizi online vengono fruiti gratuitamente (limitando l’accezione al solo pagamento in valuta); ovviamente i miliardi di dollari che occorrono per sostenere lo sviluppo ed i costi delle infrastrutture che supportano tali servizi provengono dai profitti derivanti dal possesso, analisi e vendita dell’unico vero bene raccolto e gestito: l’informazione sugli utenti e sulle loro preferenze ed abitudini.
Qualsiasi pratica volta quindi a limitare la raccolta di informazioni sugli utenti porterà quindi a limitare i profitti, e quindi i budget a supporto dello sviluppo dei servizi e del mantenimento delle necessarie infrastrutture.
Ma difficilmente il mercato accetterà facilmente tagli ai propri profitti, e quindi tenderà a muoversi in modo da contrastare la potenziale riduzione dei dati che potranno essere raccolti.
Come motivare gli utenti ad acconsentire la propria profilazione?
Personalmente mi immagino una possibile evoluzione simile a quella ipotizzata per la ‘Internet a due velocità‘, ovverosia la pratica di privilegiare il traffico destinato verso siti paganti e penalizzare quello verso siti comuni (non paganti), con tutte le implicazioni del caso, tra cui le notevoli possibilità per lo sviluppo di pratiche di concorrenza sleale tra provider, a tutto di scapito dell’utente.
Mutuando quindi il concetto, vaticino una Internet con contenuti a due velocità, inteso ovviamente non nel senso della banda garantita, ma della quantità di informazione e di servizi accessibili.
In pratica succederà che chi espone i contenuti lo farà in modo condizionato: più ti lasci tracciare, più contenuti ti consento di consultare.
Tutto sommato qualcosa di analogo è già stato fatto in passato con la pubblicità, e penso che verrà ripreso a causa di tutti i filtri utilizzati nei browser: contenuti in cambio di pubblicità.
Do ut des, insomma: se vuoi contenuti a valore aggiunto, quali giochi, musica, film, notizie, etc. dovrai accettare che i tuoi contenuti vengano tracciati, e possibilmente non filtrare la pubblicità che cercano di propinarti.
Provvedimento del Garante sugli amministratori di sistema: troppa teoria e nessuna pratica martedì 9 giugno 2009
Posted by andy in Internet e società, Miglioramento, privacy.Tags: provvedimento del Garante 27/11/2008
add a comment
Ho letto molti commenti sul tema.
Mi sono stupito della consultazione del Garante dopo aver fatto la legge, ma … ben venga; il tema è spinoso e prima lo si sviscera e meglio è.
Il problema che permane però, a parer mio, e che nessuno credo abbia ancora affrontato, è quello della correlazione tra l’impatto dell’attuazione del provvedimento sulle aziende rispetto alle capacità ed ai benefici.
I requisiti posti dal Garante non sono ‘scalabili’: sono un ‘tutto o niente’, e il niente è male per la legge.
Con ‘niente’ non intendo lo stare a guardare e girare i pollici: intendo invece adottare misure e spendere soldi per ottenere qualcosa che, di fatto, non risolve il problema.
Manca una prospettiva, e manca la definizione degli obiettivi.
Provo ora a sintetizzare un po’ dei problemi che si sono incontrati, per poi passare ad una proposta costruttiva.
I principali problemi che il provvedimento solleva sono:
1. L’amministratore di sistema viene caricato di responsabilità anche penali;
2. L’amministratore di sistema, nella maggior parte dei casi, non ha le competenze per affrontare il problema in modo risolutivo;
3. L’amministratore di sistema, in generale, non viene pagato per le responsabilità che ci si aspetta egli si assuma;
4. L’amministratore di sistema, in generale, non ha potere decisionale né di spesa per quanto riguarda l’implementazione delle soluzioni che ritiene necessarie;
5. Le aziende sono realtà che possono essere Telecom, banche, il Ministero della Giustizia, ma anche imprese a conduzione familiare, che hanno da proteggere soltanto i dati di qualche collaboratore.
Il punto 5. ha due implicazioni fondamentali:
a. l’azienda può gestire dati estremamente sensibili (medici, giudiziari, etc.), indipendentemente da quanti ne tratta;
b. l’azienda può gestire dati non molto sensibili, o anche soltanto riservati, ma in quantità enormi.
Con quanto sopra ho, credo, evidenziato il fatto che il provvedimento del Garante è sproporzionato (verso l’alto o verso il basso) rispetto alla realtà; anzi, proprio non ha correlazioni rispetto ai fattori in gioco.
E vengo ora alla parte propositiva.
A parer mio occorre:
1. creare un collegamento tra responsabilità, competenze e retribuzione degli Amministratori di Sistema;
ovverosia: dato il livello di responsabilità richiesta, deve essere corrispondentemente richiesto un adeguato livello di certificazione della persona (e perché no? anche di irreprensibilità), ed in cambio deve essere stabilito un compenso minimo adeguato ai requisiti di cui sopra;
2. stabilito il tipo di trattamento di dati necessario all’azienda, stabilire quale siano i requisiti minimi in termini di professionalità e numero di persone necessarie;
ovverosia: il tipo di trattamento dei dati deve essere correlato alla loro sensibilità / importanza, ed alla loro quantità; in relazione a ciò devono essere stabilite delle risorse minime necessarie per assicurare la protezione dei dati e la correttezza dell’utilizzo delle infrastrutture (rammento che le aziende hanno serie sanzioni per la responsabilità amministrativa).
Tutto ciò, per legge.
Ovvio che la legge risulta troppo ‘lasca’ nel rapporto responsabilità / retribuzioni, nessuno farà più l’amministratore e le aziende si troveranno inadempienti nei confronti della legge.
L’aspetto delle certificazioni è facilmente risolto: ve ne sono di ogni tipo, sia personali che aziendali.
C’è anche da dire, infine, che il Garante potrebbe assumere un atteggiamento più costruttivo, coinvolgendo il CNIPA nella definizione di strumenti e regole operative minime tali da garantire il rispetto della legge.
Dovrebbe in sostanza venire incontro a tutte quelle mini e micro-aziende che non hanno né budget né competenze, per consentire anche ad esse di mettersi in regola senza doversi ipotecare la casa.
L’aspetto tecnologico di come realizzare un sistema economico che soddisfi i requisiti del Garante, li svilupperò in un altro post.
Gli obblighi per gli Amministratori di Sistema: una proposta concreta dopo tanta teoria giovedì 4 giugno 2009
Posted by andy in Internet e società, privacy, tecnologia.Tags: amministratori di sistema, Garante per la Privacy, obblighi, provvedimento del Garante 27/11/2008, requisiti
add a comment
Riprendo il discorso sul tema del provvedimento del Garante 27/11/2008 sulle Misure e accorgimenti relativamente alle attribuzioni delle funzioni di amministratore di sistema.
Il Garante ha fatto della teoria; si è quindi reso conto di avere creato un mostro che non sa gestire, ed ha fatto ricorso alla consultazione pubblica (che avrebbe dovuto essere stata fatta prima, e non dopo), da cui speriamo si arrivi a qualcosa di concreto e di realistico.
I propositi sono buoni, ma la generalità della cosa ha reso di fatto inutile ai fini pratici la nuova norma.
L’auditing sull’accesso ai dati sensibili (di fatto, è di questo che si parla) si può fare in vari modi, e soprattutto con vari livelli di profondità.
Le esigenze di una Telecom, di un ISP e di un’azienda che fabbrica bulloni sono completamente differenti.
E cosa è che fa la differenza? Il rischio.
Riuscire ad accedere ai database di una Telecom o dellla Sanità, o del Ministero della Giustizia, comporta rischi incredibilmente più elevati che riuscire ad accedere al database dei dipendenti dell’impresa a conduzione familiare che produce bulloni nel garage sottocasa.
In aggiunta, la protezione dei dati ha un costo, in particolare in materia di competenze.
Ciò che avrebbe dovuto fare il Garante è di stabilire una griglia, in cui tenere conto della quantità e della qualità dei dati gestiti.
La qualità è ovviamente un fattore fondamentale: i dati giudiziari o sanitari, piuttosto che quelli finanziari, comportano intrinsecamente più rischi che i puri dati anagrafici.
Altro fattore fondamentale è la quantità: una cosa è gestire un database dei 5 o 10 nominativi dei dipendenti dell’azienda, un’altra è gestire database che contengono milioni di anagrafiche, e magari per ciascuna anche il tracciato telefonico e l’identificazione delle celle che hanno servito le telefonate.
In sintesi, il Garante avrebbe potuto stabilire dei requisiti minimi in termini di:
– certificazioni di sicurezza dell’azienda, e dei suoi eventuali subfornitori;
– professionalità degli amministratori (certificazioni personali, etc.)
– integerrimità del personale responsabile;
– quantità e dettaglio dei log di auditing, in relazione ai dati gestiti;
– elenco minimo delle informazioni da auditare;
– modalità e durata della conservazione dei log (personalmente, li farei criptare con la chiave pubblica di un certificato della Magistratura);
Forse c’è anche altro, ma l’elenco di cui sopra serve già a dare un’idea di cosa intendo significare.
Faccio invece una digressione sulla criptazione dei supporti su cui vengono conservati i log.
Nel caso la cosa non fosse chiara a tutti, la disposizione del Garante, così com’è, mi risulta essere sostanzialmente inutile.
Oltre al fatto che in generale i log possono essere ‘epurati’ prima di essere trasferiti su un supporto non riscrivibile (a meno di soluzioni non banali), essi possono essere modificati anche dopo: è sufficiente scaricare il contenuto del supporto, modificare il contenuto dei log, e ri-masterizzare il tutto su un nuovo supporto, da sostituire all’originale.
In sostanza, i log devono come minimo essere accompagnati da una marca temporale certa, che ne garantisca l’immutabilità.
Visto poi che tali log sono necessari, di fatto, soltanto in caso di indagini della Magistratura, se questi fossero criptati con la chiave pubblica di un certificato della stessa, tali log non potrebbero essere aperti se non in caso di indagine.
In questo modo si preserva la privacy di tutti (anche degli amministratori di sistema), non si fa telecontrollo, ed i log stessi non possono divenire interessanti per compiere un furto (per fare un esempio, ad un malintenzionato i log della Telecom di turno possono raccontare molte cose sull’architettura dei sistemi e dei servizi).
Il monopolio della PEC lunedì 25 Maggio 2009
Posted by andy in Internet e società, privacy.Tags: monopolio, PEC, posta elettronica certificata, privatizzazione
1 comment so far
La notizia non passerà inosservata né, a parer mio, passerà mai una legge così pazzesca.
Ma vediamo meglio cosa si può nascondere nello schema di Decreto del Presidente del Consiglio dei Ministri con il quale verranno disciplinati termini e modalità attraverso i quali i cittadini italiani potranno accedere alla casella di PEC (Posta Elettronica Certificata) che così ‘generosamente’ gli verrà donata.
L’approccio ipotizzato cosa porterà?
- regalerà un nuovo monopolio legalizzato ad un privato: chiunque vinca la gara, terrà in pugno i cittadini e le loro comunicazioni;
- accesso monopolistico a tutti i servizi a valore aggiunto;
- possibilità di fatto di controllare le comunicazioni di tutti i cittadini;
- irrigidimento su una posizione tecnologica unicamente italiana, impedendo l’interoperabilità con il resto del mondo;
- trasferimento del concetto di ‘ricevuta di ritorno’ in ‘ricevuta di consegna’: la PEC non sostituisce la raccomandata A/R in quanto quest’ultima attesta che la missiva è stata recapitata nelle mani del destinatario (attesta che è stata ricevuta); la PEC può soltanto attestare che il messaggio è stato infilato nella buca delle lettere del destinatario; se questi è in ferie o in ospedale, potrebbe non accedere (leggere) la missiva per rlungo tempo, ma lo stato farebbe decorrere i termini legali della consegna da tale momento;
- diritto ad un privato di limitare la capacità di comunicazione dei cittadini (limitazione della quantità di traffico); esisterà una limitazione sulla quantità di traffico? O il fornitore accetterà di gestire ed archiviare una quantità arbitrariamente grande di corrispondenza? Io potrei trovarmi a dover inviare ogni giorno contratti con decine o centinaia di MB di allegati, che dovrebbero rimanere immagazzinati, come minimo, per 30 mesi; e se lo facessero tutti? O ci sarà la fregatura di stato, per cui lo stato ci regala una casella da 1 MB, e tutto il resto lo si paga a parte? O peggio ancora tutto il resto lo pagherà, senza che noi lo sappiamo, lo stato, sempre con i nostri soldi;
- diritto ad un privato di distruggere le comunicazioni personali oltre i termini minimi di conservazione della corrispondenza garantiti per legge (per la PEC, 30 mesi, se ricordo bene, termine tra l’altro insignificante rispetto ai tempi della Giustizia e della prescrizione);
- impossibilità di utilizzare nomi di caselle facilmente associabili al proprietario: quanti Mario Rossi ci sono? Si sarà costretti a ripiegare sul codice fiscale; vi immaginate voi quanto sia semplice dare l’indirizzo della propria PEC a qualcuno?
- penalizzerà la qualità del servizio, in quanto fissato il prezzo offerto, il fornitore cercherà di risparmiare al massimo sulla Qualità per massimizzare il proprio utile;
- impossibilità di fatto di trasferire il servizio ad altri allo scadere della concessione: come sarà possibile trasferire la quantità di informazioni immagazzinate nei server del fornitore? E poi, sarà realmente possibile distruggerne gli originali? E tutti i servizi a valore aggiunto associati alla casella di posta, a chi andranno? Seguiranno la casella, o rimarranno in carico al gestore originario?
Pur essendo in un paese tipicamente atipico, penso che alla lunga la PEC andrà a morire, e che soprattutto una proposta di legge come questa finirà per forza di cose nel cestino.
Andy's Weblog 