Smart working e cyber security
Come anticipato in conclusione della prima parte pubblicata sul fascicolo di maggio, in questa seconda puntata saranno esaminate le norme giuridiche e tecniche che regolano la materia della cyber sicurezza, e che possono avere rilevanza particolare nella gestione del lavoro agile imposto dalla situazione attuale. In particolare, parleremo della norma ISO-IEC 27001.
In relazione ai comportamenti umani, e al concetto di igiene informatica, anche la normazione tecnica rappresenta uno strumento efficace a disposizione degli operatori, applicabile anche all’attività di “smart working”: in particolare, è opportuno citare la norma ISO-IEC 27001 (Information Technology – Security Techniques – Information security management systems – Requirements), che ha l’obiettivo di fornire un modello per definire e attuare, il monitoraggio, la revisione, il mantenimento e il miglioramento di un sistema di gestione della sicurezza delle informazioni (ISMS). Proprio con riferimento ai comportamenti da adottare per garantire la sicurezza informatica, la norma citata prevede le seguenti azioni: Competenza, Consapevolezza, Comunicazione.
Competenza
L’organizzazione deve:
a) Determinare le necessarie competenze per le persone che svolgono attività sotto il suo controllo e che influenzano le sue prestazioni relative alla sicurezza delle informazioni;
b) Assicurare che queste persone siano competenti sulla base di istruzione, formazione, e addestramento o esperienza appropriate;
c) Ove applicabile, intraprendere azioni per acquisire la necessaria competenza e valutare l’efficacia delle azioni intraprese;
d) Conservare appropriate informazioni documentate quale evidenza delle competenze.
Consapevolezza
Le persone che svolgono attività sotto il controllo dell’organizzazione devono essere consapevoli:
a) Della politica per la sicurezza delle informazioni;
b) Del proprio contributo all’efficacia del sistema di gestione per la sicurezza delle informazioni, inclusi i benefici derivanti dal miglioramento delle prestazioni relative alla sicurezza delle informazioni; e
c) Delle implicazioni del non essere conformi ai requisiti del sistema di gestione per la sicurezza delle informazioni
Comunicazione
L’organizzazione deve determinare la necessità per le comunicazioni interne ed esterne in relazione al sistema di gestione per la sicurezza delle informazioni, includendo:
a) Ciò su cui comunicare;
b) Quando comunicare;
c) Con chi comunicare;
d) Chi deve comunicare;
e) I processi attraverso i quali devono essere effettuate le comunicazioni”.
Come si può notare, queste azioni riguardano essenzialmente comportamenti umani, che non possono naturalmente prescindere dall’adozione e implementazione degli strumenti tecnologici necessari per agire sulle reti e sulle attrezzature informatiche, attuando i sistemi di protezione adeguati e le procedure necessarie a garantirne l’efficacia nel tempo.
Le norme facenti parte degli standard IEC 62443
Proprio a tale ultimo proposito, e sempre con riferimento alle norme tecniche emanate a livello internazionale nel settore specifico della cyber security, è d’obbligo un cenno alle norme facenti parte degli standard IEC 62443, per la sicurezza informatica dei sistemi IACS (Industrial Automation Control Systems) le quali in particolare con la 62443-3-2 forniscono con puntualità e precisione definizioni terminologiche nonché flussi di lavoro per la configurazione di un processo aziendale che sia in grado di individuare le misure volte a proteggere il sistema informatico preso in considerazione .
La norma esamina i comportamenti e gli eventi idonei e indispensabili per una compiuta disamina delle criticità informatiche di un sistema con la conseguente previsione di misure tecniche e comportamentali volte a ottenere il più elevato target di sicurezza rispetto alle ipotizzabili minacce.
All’art. 4 sono forniti termini e definizioni di tutti gli elementi considerati nella disposizione tra gli altri si individuano: contromisure alle minacce, cybersicurezza, movimentazioni di dati, Suc (System under Consideration), rete esterna collegata al SUC , processo di analisi dei rischi, rischio residuale, rischio, livello di sicurezza (target security), perimetro di sicurezza, minaccia, ambiente di minaccia, fonte della minaccia, rischio tollerabile , valutazione del rischio prima di aver considerato una contromisura (unmitigated cybersecurity risk) e molti altri aspetti che nell’ambito della presente trattazione risulterebbero eccessivamente tecnici e fuorvianti.
Una volta individuate le varie definizioni la norma stabilisce due ambiti di valutazione del processo informatico in riferimento al cosiddetto “SuC”.
Il primo ambito trattato è il flusso di lavoro per stabilire zone, condotte e valutazione del rischio; in questo contesto potrebbero essere individuati alcuni spunti per analizzare le criticità che l’attività di “smart working” potrebbe rappresentare.
Di seguito si fa cenno ad alcuni punti delle norme rilevanti in tal senso: punto 5.2.2. Identificazione del perimetro e dei punti di acceso del sistema informatico considerato; punto 5.4.4 ZCR Separazione delle aree relative alla sicurezza; punto 5.4.5 Separazione dei dispositivi temporaneamente connessi; punto 5.4.6 Separazione dei dispositivi wireless; punto 5.4.7 Separazione dei dispositivi collegati tramite reti esterne.
Il secondo riguarda il flusso di lavoro indicato sempre dalla IEC (PRV) 62443-3-2, che si occupa della valutazione del “cybersecurity risk” nella sua accezione più ampia : identificazione delle minacce , identificazione dei punti di vulnerabilità (lo smart working sicuramente rileva), determinazioni delle probabilità assolute di rischio, determinazione del livello di sicurezza, determinazione del rischio tollerabile e di quello residuale e loro comparazione , descrizione del sistema informatico e molti altri aspetti di carattere prettamente tecnico finalizzati a determinare i target del livello di sicurezza, le matrici di rischio nonché applicare i risultati della valutazione per stabilire il livello di sicurezza raggiunto.
La rilevanza giuridica
Le norme tecniche ora richiamate possono essere considerate gli strumenti normativi di carattere prevalentemente tecnico (ancorché coinvolgenti condotte umane) attraverso i quali gli operatori possono gestire la sicurezza informatica dei processi lavorativi, produttivi o di prestazioni di servizi (anche di carattere professionale): occorre però chiedersi se la non ottemperanza a tali criteri possa assumere rilevanza sotto il profilo giuridico?
In altri termini, vi è un obbligo giuridico di applicare le norme tecniche in materia di cyber security? E, ancora, il mancato rispetto delle norme tecniche finalizzate a contrastare potenziali violazioni della cyber security, può generare responsabilità?
Per rispondere a queste domande occorre fare alcune considerazioni: la prima riguarda il fatto che le norme tecniche adottate per loro stessa definizione, su base volontaria, possono assumere rilevanza giuridica solo nel caso in cui siano recepite da norme giuridiche nazionali oppure nel caso in cui siano state espressamente inserite nel regolamento contrattuale che disciplina un rapporto tra due soggetti oppure se esse esprimano lo “stato dell’arte” in un dato momento storico in relazione a una determinata problematica tecnica.
Pertanto, fatto salvo il caso di recepimento in norme giuridiche, le norme tecniche acquistano efficacia vincolante nel caso in cui le parti di un contratto le abbiano inserite nel regolamento negoziale, per cui esse divengono elemento caratterizzante e sostanziale della prestazione o comunque nel caso esse vengano prese in considerazione al fine di valutare la illiceità di una condotta e il rispetto dei parametri da esse indicati possano assumere rilevanza in termini di valutazione della diligenza del soggetto tenuto a rispettarle.
Da qui la possibilità che il mancato rispetto delle norme tecniche in materia di cyber security siano fonte di responsabilità di carattere contrattuale o extracontrattuale, con riferimento cioè, in tale ultimo caso, alle norme generali in materia di illecito civile (Art. 2043 Cod. Civ.).
La seconda considerazione riguarda le norme giuridiche che possono essere fonti di obblighi e responsabilità con riferimento agli aspetti della sicurezza informatica e/o alla mancata protezione dei dati. Oltre al Cyber Security Act più sopra richiamato, un’altra norma giuridica rilevante è quella dettata dalla Direttiva (UE) 2016/1148 (cosiddetta Direttiva NIS), intesa a definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi, che è stata recepita in Italia con D.Lgs. 18/5/2018 n. 65: il decreto è rivolto agli Operatori di Servizi Essenziali (OSE, che sono soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, in quello bancario, dei mercati finanziari, della fornitura acqua potabile e delle infrastrutture digitali,) e ai Fornitori di Servizi Digitali (FSD che sono le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, che abbiano stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale).
Come si nota, la Direttiva NIS riguarda settori particolari, ed è finalizzata a sollecitare gli stati europei a una gestione organica della sicurezza informatica in specifici ambiti produttivi o di forniture di servizi essenziali, e impone un approccio globale in materia di sicurezza informatica, basato sul coordinamento e sullo scambio di informazioni fra gli operatori; essa prevede inoltre l’adozione di norme che individuino i soggetti, i loro obblighi e le loro responsabilità in caso di violazione delle disposizioni.
La Direttiva NIS, seppure significativa nelle sue finalità, può non avere un’immediata rilevanza per le problematiche oggetto della presente trattazione: quanto ha certamente rilevanza immediata anche in materia di “smart working” sono le conseguenze che possono derivare in caso di violazione della cyber security o in caso di mancato rispetto di norme specifiche sul trattamento dei dati.
Dal primo punto di vista, la debolezza del sistema informatico in caso di attacco informatico che abbia sfruttato il sistema e la connessione di “lavoro agile”, può arrecare pregiudizio alla rete aziendale, alla integrità dei suoi dati, al suo funzionamento anche in relazione alla gestione dei processi produttivi (causando, ad esempio, un fermo produttivo), per cui l’impresa si troverebbe o a vedere, anche solo parzialmente, paralizzata la sua attività o a subire la sottrazione di dati o segreti industriali di importanza anche molto rilevante.
Le disposizioni normative sulla protezione dei dati personali
Da un altro punto di vista, l’azienda potrebbe incorrere in una condotta non conforme alle disposizioni di legge in materia di privacy (GDPR), con il rischio di subire azioni di responsabilità da parte dei titolari dei dati perduti o indebitamente o non adeguatamente trattati, con gravi conseguenze dal punto di vista economico. Nello specifico, in tema di cybersicurezza nell’ambito dello smart working, assumono particolare rilevanza le disposizioni normative sulla protezione dei dati personali concernenti la sicurezza del trattamento (ad es. Art. 32 del GDPR) nonché gli standard internazionali ISO e IEC; accanto alle predette norme, il datore di lavoro/titolare del trattamento dovrà organizzare l’attività dei lavoratori svolta in modalità “smart” osservando altresì la disciplina in materia di controllo a distanza dei lavoratori di cui all’Art. 4 dello Statuto dei Lavoratori, richiamato dall’art. 114 del D.Lgs.196/2003 (Codice Privacy), i provvedimenti dell’Autorità Garante per la protezione dei dati personali nonché le Linee guida adottate dai Garanti Europei. In ottemperanza alle “best practices” in uso nel settore sarebbe inoltre auspicabile che venisse istituita una Policy aziendale sull’utilizzo degli strumenti IT, che comprenda dettagliate istruzioni ai dipendenti e collaboratori delle società anche sull’attuazione dello smart working.
Come si è detto all’inizio, la diffusione del lavoro agile ha determinato un incremento di cyber attacchi, tra quelli più recenti giova segnalare quello diretto alla piattaforma di videoconferenze “Zoom”. Nello specifico, durante l’attacco, denominato “zoom boombing” durato non più di dieci minuti, gli hackers hanno rilevato alcune vulnerabilità del sistema tali da consentire agli stessi di penetrare il software e di avere il libero accesso ai dati personali e password degli utenti, nonché di inserirsi nelle videoconferenze in corso. Il data breach rilevato ha avuto un ulteriore risvolto negativo, giacché i dati trafugati sono stati trasmessi a noti social networks. In seguito all’accaduto è emerso un duplice problema: da un lato, la mancanza di una protezione adeguata dei dati personali e della privacy, dall’altro, l’insufficienza delle misure di cyber sicurezza impiegate. Il CEO della piattaforma, Eric S. Yuan, si è scusato pubblicamente promettendo di sistemare le deficienze del sistema e di incrementare la tutela della sicurezza.
Inoltre, non può non considerarsi la rilevanza della cyber security con riferimento dell’estensione della responsabilità prevista dal D.Lgs 231/2001 ai reati informatici: tale estensione deriva da una norma fondamentale rappresentata dalla L. 18/11/2019 n. 133 (cosiddetta “Legge Cybersecurity”), che ha convertito in legge, con modifiche, il D. L. 21/9/2019 n. 105 (cosiddetto “Decreto Cybersecurity”), recante “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica”: con tale norma è stato istituito il cosiddetto “perimetro di sicurezza nazionale cibernetica” (PSNC), con lo scopo di garantire un adeguato livello di sicurezza delle reti, dei sistemi informatici, e dei servizi informatici di interesse collettivo.
La materia della cyber security ha avuto e sta avendo una diffusione sempre più ampia, e la pandemia di Covid – 19 ha reso rapidamente evidente numerose criticità del sistema, anche per quanto riguarda le attività lavorative svolte in “smart working”: l’apparato normativo esistente, seppure sia in una fase di notevole ampliamento e dal punto di vista tecnico che giuridico necessita di maggiore efficacia preventiva, in modo da consentire , attraverso l’implementazione degli strumenti normativi , tecnici e giuridici, l’indicazione di linee di condotta più precise e protettive sia per gli operatori, aziende e dipendenti, sia per coloro che generalmente utilizzano reti informatiche per lo svolgimento delle loro attività lavorative e non ultime le persone che a qualunque titolo, confidano nella sicurezza informatica dei sistemi per la gestione dei propri dati e delle proprie informazioni.
QUALIFICA AUTORI
Avv. Giogio Caramori, Studio Legale de Capoa e Associati, Bologna, g.caramori@clex.it
Avv. Cristiano Cimadom, Studio Legale Associato Cimadom – Pasquazzi, Parma, c.cimadom@studiolegalecmp.it
Avv. Olga Manservigi Kichitskaia, Studio Legale de Capoa e Associati, Bologna, avv.olgamanservigik@gmail.com