Tech Enforcement Le misure per sviluppare comunicazioni sicure all’interno delle Smart Cities Giuseppe Alve... 16 August 2023 Device Notizie correlate Enforcement Esg Legal I giusti ruoli privacy per governare la complessità di una Smart City Tech Legal Video La protezione dei dati nelle smart city: a cosa serve la valutazione d’impatto e come farla Legal Video P.A. e algoritmi nella Smart City Le P.A. e le imprese che operano congiuntamente all’interno delle Smart Cities basano la loro operatività su flussi continui di comunicazioni interne ed esterne. Come è possibile garantire la sicurezza di queste comunicazioni? L’adozione di un sistema di gestione per la sicurezza delle informazioni Un elevato livello di sicurezza delle comunicazioni interne ed esterne delle organizzazioni può certamente essere ottenuto adottando un sistema di gestione per la sicurezza delle informazioni. Invero, un tale sistema mantiene in sicurezza non solo le comunicazioni ma anche la raccolta, l’elaborazione e la conservazione delle informazioni necessarie al raggiungimento degli obiettivi di business. Quindi, pubbliche amministrazioni ed imprese, di ogni tipo e dimensione, possono progettare i loro sistemi informativi e la loro gestione applicando i requisiti ed i controlli previsti dalla norma tecnica UNI CEI EN ISO/IEC 27001:2022, potendo così, peraltro, anche ottenere la relativa certificazione. Questo notissimo e fondamentale standard: adotta una visione olistica e coordinata dei rischi relativi alla sicurezza delle informazioni; prevede la definizione e l’implementazione di un insieme adeguato di misure. Si tratta in particolare di politiche, regole, processi, procedure, strutture organizzative e funzioni software e hardware, strumentali a garantire un elevato livello di sicurezza delle comunicazioni delle organizzazioni interne ed esterne. Cosa fare se non è possibile adottare un sistema di gestione per la sicurezza delle informazioni L’adozione di un sistema di gestione come quello previsto dalla ISO/IEC 27001 è però molto oneroso, sotto il profilo economico ed organizzativo. Le organizzazioni che non sono nelle condizioni di adottare un tale sistema di gestione possono, comunque, definire una politica specifica per le comunicazioni interne ed esterne. Questa politica potrebbe essere predisposta anche “piluccando”, dalla stessa ISO/IEC 27001, alcune specifiche misure organizzative e tecniche. È la tecnica nota con l’espressione “cherry picking” (cogli dall’albero le ciliegie migliori). Una tale politica specifica può contribuire a mantenere ragionevolmente sicure e protette da minacce le informazioni oggetto delle comunicazioni. Le misure cardine che potrebbero essere poste all’interno della politica specifica riguardano la componente umana, la classificazione ed etichettatura delle informazioni e l’uso della crittografia. La componente umana È risaputo che in un sistema di sicurezza l’anello debole è la componente umana. Per questo motivo, tutto il personale che lavora per la pubblica amministrazione o per l’impresa (i.e. i dipendenti e le parti interessate) deve essere sempre adeguatamente istruito e formato per ottenere piena consapevolezza delle proprie responsabilità in materia di sicurezza delle informazioni e dei mezzi con cui tali responsabilità vengono assolte. In particolare, per la sicurezza delle comunicazioni, tutto il personale deve avere piena consapevolezza della rilevanza dei dati personali e delle informazioni critiche per il business. Queste sono quelle informazioni la cui perdita di riservatezza, integrità e disponibilità potrebbe impattare o condizionare la realizzazione della mission organizzativa. La rilevanza dei dati personali e la “criticità” delle informazioni può essere evidenziata con un’adeguata classificazione ed etichettatura (Controlli 5.12 e 5.13 della ISO/IEC 27001). Classificazione ed etichettatura delle informazioni Le informazioni che costituiscono dati personali e quelle, la cui violazione potrebbe determinare un impatto significativo o grave sulle attività operative o sugli obiettivi di business dovrebbero essere adeguatamente classificate ed etichettate. In particolare: la classificazione è una categoria che va attribuita alle informazioni. L’attribuzione deve avvenire secondo uno schema allineato alla politica specifica. Ciò, affinchè tutti abbiano una comprensione comune dei requisiti di protezione e, nello svolgimento delle loro mansioni, applichino la protezione adeguata; l’etichettatura (attraverso metadati, etichette fisiche, timbri etc.) è funzionale a riconoscere le informazioni classificate. Oltre a garantire la riservatezza dell’oggetto delle comunicazioni, è necessario implementare anche strumenti e canali di comunicazione sicuri. Per questa finalità risulta adeguato l’uso della crittografia. L’uso della crittografia per canali di comunicazione protetti La crittografia costituisce un fattore di sicurezza: delle comunicazioni telefoniche, dei messaggi istantanei attraverso apposite app delle e-mail. Le comunicazioni telefoniche e i messaggi istantanei Le comunicazioni telefoniche e i messaggi istantanei possono essere scambiati in modo ragionevolmente sicuro, se viene utilizzata la “crittografia asimmetrica End-to-End”. I messaggi vengono crittografati dal mittente e decifrati solo dal destinatario previsto e lungo il percorso non si trovano mai in forma non crittografata. Invero, per i messaggi istantanei bisogna fare attenzione. Questi, infatti, anche se vengono scambiati utilizzando la crittografia “End to End” (E2E), possono avere problemi di sicurezza connessi ai backup che qualche volta non sono protetti da crittografia. I protocolli di crittografia e-mail La crittografia asimmetrica è molto utile anche per crittografare le e-mail. I 2 più famosi protocolli di crittografia e-mail sono: PGP/MIME (Pretty Good Privacy/Multipurpose Internet Mail Extensions = Una privacy piuttosto buona/Estensioni email per Internet Multifinalità) che utilizza un modello di autorità decentralizzata ed è flessibile e di facile utilizzo; S/MIME (Secure/Multipurpose Internet Mail Extensions = Estensioni email per Internet Multifinalità/sicuro che utilizza invece un’autorità di certificazione centralizzata. Conclusioni Evidentemente, poiché la sicurezza assoluta non può esistere, le misure indicate possono contribuire a disegnare un livello di sicurezza adeguato ai rischi connessi con le comunicazioni interne ed esterne tra i Players di una Smart City. Ad integrazione, ulteriori misure tecniche ed organizzative possono essere estrapolate dagli standard di settore. Bisogna però aver ben chiaro che qualunque adempimento posto in essere per rendere sicure le comunicazioni lascerà sempre un margine di incertezza. Una cosa sola è certa, come diceva Paul Watzlawick, della Scuola di Palo Alto: NON SI PUO’ NON COMUNICARE.
Tech Legal Video La protezione dei dati nelle smart city: a cosa serve la valutazione d’impatto e come farla
PRO
