Prima di definire quali sono le relazioni che intercorrono tra privacy e sicurezza informatica e la loro eventuale intercambiabilità è necessario dapprima darne una definizione concettuale.
La privacy secondo la definizione data da Samuel Warren e Louis Brandeis nel 1890 sulle pagine della Harvard Law Review veniva intesa come il diritto di essere lasciati da soli (the right to be left alone). Affrontare lo studio della privacy significa, dunque, incontrare ambiguità semantiche e contraddizioni. La privacy è un valore di per sé positivo per alcuni ma un concetto eticamente neutrale (e dunque conduttivo sia al bene che al male) per altri. La privacy, inoltre, può significare qualcosa di diverso persino per la stessa persona in diverse situazioni o momenti della propria vita. Le aspettative su che cosa possa essere considerato privato mutano con fattori come la cultura, l’età, o l’esperienza individuale. Il concetto di privacy, inoltre, cambia nel tempo con il progredire di costumi sociali, cultura, e tecnologia, perché con essi cambiano anche i confini tra pubblico e privato. Oggi le nostre aspettative sul ruolo e l’uso di tecnologie di ripresa e monitorizzazione in pubblico sono diverse: siamo quasi indifferenti alla presenza di macchine fotografiche per le strade o telecamere a circuito chiuso nei negozi. Alcuni accettano di avere telecamere televisive dentro le proprie case, e decidono di vivere la propria vita costantemente sotto gli occhi di un pubblico anonimo. Eppure, gli sviluppi tecnologici continuano a cambiare le carte in gioco: microscopiche macchine fotografiche e video camere inserite dentro telefoni cellulari possono dare seconda giovinezza alla protesta di Warren e Brandeis, stimolando la richiesta di risposte normative in Italia e altrove. La privacy, dunque, è un concetto dalle molteplici, mutabili, ed a volte contraddittorie interpretazioni, che rimandano alla continua dinamica di negoziazione tra pubblico e privato. La rivacy e’ un concetto complesso e sfaccettato. Presenta e collega gli aspetti tecnologici, economici, legali, e di politica pubblica. In anni recenti, il diminuito costo di memorizzazione e manipolazione di informazioni digitali ha spinto organizzazioni private e governi a catturare quantità crescenti di dati individuali di consumatori ed imprese. Al tempo stesso, la ricerca di efficienza ha portato imprese e consumatori a rivelare ad altre parti sempre piu’ dati su se stessi. In questi scambi di dati e servizi sono emersi trade-off privati e sociali in cui teoria economica, legge, e tecnologia sono strettamente legate.
Per sicurezza informatica secondo wikipedia si intende”quella branca dell’informatica che si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati. I principali aspetti di protezione del dato sono la confidenzialità, l’integrità e la disponibilità.
Confidentiality (riservatezza, privacy)
A prima vista è semplice da definire, ma si pone le seguenti domande: chi determina chi può accedere a cosa? qual è la granularità dell’accesso?è possibile accedere ai dati esterni al contesto? un’entità autorizzata può divulgare dati ad altre entità? (eventualmente attraverso un covered/hiddenchannel)
Integrity(integrità)
Ancora più difficile da definire e ad esempio:
preciso, accurato, non modificato, modificato in modo accettabile, modificato da processi autorizzati, coerente, etc.
Availability(disponibilità)
E’ relativa sia ai dati che ai servizi(processi che operano sui dati), ancora una volta, è difficile da definire formalmente in quanto il dato/servizio è presente in forma utilizzabile ed una richiesta viene completata in forma accettabile Ma tale definizione dataci da wikipedia non si applica al contesto ambientale in cui andiamo ad operare. Per cui la definizione di sicurezza informatica è la seguente:
la sicurezza informatica è quando un sistema si comporta come noi ci aspettiamo.
Il primo concetto fondamentale relativo alla sicurezza informatica (o meglio le politiche di sicurezza) dipende dal focus della nostra azienda. La sicurezza informatica si compone a sua volta delle seguenti tipologie; 1) riservatezza (di un dato dobbiamo garantire che sia utilizzato dalle persone autorizzate cioè dobbiamo anche verificare che non ci sia un accesso non autorizzato), 2) integrità (dobbiamo garantire la cancellazione, alterazione, conservazione del dato), 3) disponibilità del dato e servizio (oggi non è possibile accedere ad es. ad un dato di un Commodore 64 o di un Vic 20 per cui dobbiamo anche garantire la protezione dei servizi), 4) consistenza (cioè di verificare che vi siano degli strumenti che ci consentano di capire se quello che noi ci aspettiamo avvenga realmente, ad es. supponiamo di avere un software di contabilità, questo deve trasmettere alcuni dati al Ministero delle Finanze per pagare degli oneri, nel momento in cui accediamo dato e lo manipoliamo perdiamo un controllo di consistenza in quanto non sappiamo se quanto abbiamo prodotto, i formati siano realmente ciò che ci aspettiamo), 5) controllo (avere la possibilità di regolare l’accesso al sistema dei dati, avere la possibilità di limitare l’accesso e di partizionare gli utenti per gruppi, funzionalità, etc.), 6) verifica (controllo nel senso di sorvegliare le operazioni che vengono effettuate fare cioè audit). Tutte queste caratteristiche si applicano all’informatica. Tutti gli aspetti della sicurezza sono importanti ma anche le policy (politiche) sono importanti in quanto bisogna decidere quali di questi sei elementi sono importanti per la nostra azienda e con quali proprietà si applicano. Quindi le politiche di sicurezza dipendano dal focus della nostra azienda. In ambiente militare ad esempio dove vi stanno i fascicoli personali di determinati individui la riservatezza, cioè limitare l’accesso dei fascicoli ha una priorità fondamentale rispetto a tutto il resto. Quando ci danno una coppia di credenziali noi utilizziamo la riservatezza nell’accesso (la cd profilatura dell’utente).
Inoltre sicurezza è anche sinonimo di conoscenza in quanto nessun sistema sconosciuto può essere considerato sicuro. Essa rappresenta ad esempio un atto di fiducia nei confronti di una comunità verso un’azienda. L’educazione degli utenti è una forma di conoscenza fondamentale (es. la percezione dell’importanza del tema sicurezza, pratiche comunemente diffuse ma altamente insicure, resistenza ideologiche o per semplice abitudine ecc.). Questo principio della sicurezza informatica può essere assimilato ad un principio della crittografia che è molto noto:La sicurezza di un crittosistema non deve dipendere dalla segretezza dell’algoritmo usato, ma solo dalla segretezza della chiave(Kerckhoffs. La criptographie militaire, 1883). Infine la sicurezza non deve essere confusa con la protezione in quanto sono due termini piuttosto differenti, infatti la sicurezza viene intesa come il problema generale, che coinvolge non solo il sistema informatico, ma anche aspetti amministrativi, legali, politici e finanziari e rappresenta la misura della fiducia sul mantenimento della integrità dei dati di un sistema informatico. La protezione è invece l’insieme dei
meccanismi utilizzati in un sistema di calcolo per il controllo di accesso alle risorse Passiamo ora ad esaminare le relazioni che intercorrono e l’eventuale intercambiabilità. Le persone confondono spesso security con privacy. Per esempio quando siamo in presenza di un collegamento web mediante il protocollo https con il venditore nell’ambito di una transazione di e-commerce, ciò ci dovrebbe dare una garanzia in termini di privacy, in realtà il collegamento https è soltanto questione di sicurezza dei dati nel passaggio dalla postazione client alla postazione server che è quella del venditore. Nell’area della privacy è molto complicato prendere la decisione giusta. Facciamo ora un altro esempio relativo al risultato che si ottiene utilizzando di un soggetto lo zip code (cap), il sesso, Come può una persona che non conosce questi risultati prevedere che questi dati possano essere utilizzati da altri per fini non autorizzati e leciti? Anche se ci fosse informazione completa, comunque c’è un problema di usare questa informazione per prendere la decisione giusta. Quando ad es. effettuiamo un acquisto su Amazon non iniziamo a prendere in considerazione tutte le possibili alternative. Iniziamo a prendere in considerazioni solo situazioni in cui venga violata la nostra privacy e sicurezza, in caso contrario continuiamo ad acquistare su Amazon e da società simili. Quello che diciamo è che noi non prendiamo decisioni in base solo alla nostre informazioni e nell’area della privacy la situazione può essere molto molto complicata.
I concetti di privacy e sicurezza in realtà possono e dovrebbero andare insieme. Per diverse ragioni: alcune di politica pubblica (la protezione della privacy è un cardine di una società libera, ed una società libera tende ad essere più solida, e dunque sicura, di una società totalitaria); altre di carattere più tecnico. Prendendo in considerazione quest’ultime ad esempio è possibile proteggere la privacy individuale ed allo stesso tempo migliorare la sicurezza con diverse tecnologie crittografiche che sono state sviluppate negli ultimi anni. Passaporti con dati biometrici, per esempio, se accompagnati da tecnologie crittografiche specializzate, possono rendere il passaporto più difficile da falsificare, ma possono anche proteggerne i dati personali rendendoli non visibili, intercettabili, o duplicabili da soggetti non autorizzati.
a cura del Dottor Antonio Guzzo
Responsabile CED – Sistemi Informativi del Comune di Praia a Mare
Scrivi un commento
Accedi per poter inserire un commento