La sicurezza informatica nello studio legale

di Luca Frabboni
Esperto in informatica giuridica e giudiziaria Maat Srl

Professionisti e PMI maggiormente a rischio

Le tecnologie dell’informazione e della telecomunicazione, spesso identificate con la sigla inglese ICT (Information and Comunication Tecnology), sono e saranno sempre di più uno strumento fondamentale per il professionista o l’Impresa, qualunque sia il settore in cui si opera e indipendentemente dalla dimensione dell’azienda. L’utilizzo più o meno estensivo dell’ICT richiede di pari passo che sia gestita ed amministrata la sicurezza informatica di tutta l’infrastruttura e dei dati ivi conservati.

Nell’era della dematerializzazione e dell’obbligatorietà del processo telematico, per uno studio legale di qualsivoglia dimensione è fondamentale preservare l’archivio informatico contenente le proprie pratiche ed atti, senza dimenticare l’importanza di mantenere i propri strumenti informatici pienamente operativi ed efficienti.

Professionisti e PMI, in particolare costituiscono un bersaglio molto invitante per criminali informatici e non solo. Rispetto alla realtà più grandi e strutturate, ove sono quasi sempre presenti responsabili IT e competenze specifiche, i dati informatici di professionisti e PMI spesso sono meno al sicuro e protetti, soprattutto per la scarsa consapevolezza dei rischi che si corrono e dei danni che si possono subire. E’ tuttora diffusa la falsa convinzione che le grandi aziende siano più appetibili ai pirati informatici, rispetto alle realtà più piccole e, pertanto, non ci si considera a rischio. La realtà è purtroppo diversa. Un sondaggio realizzato nel 2014 da PriceWaterHouseCoopers indica che il 60% delle PMI ha subito un attacco o una violazione della sicurezza informatica.  Lo stesso Security Breaches Survey 2014 attesta poi in 7-10 giorni i tempi medi necessari all’azienda per ritornare pienamente operativa dopo l’evento.

Il caso CryptoLocker

La crescente diffusione di CryptoLocker e delle sue varianti, anche più insidiose, individuate negli ultimi mesi, ha destato molto allarme. Il virus, infatti, ha mietuto numerose vittime, in ambito professionale e non solo. Basta fare una ricerca sul Web con le due parole cryptolocker e tribunale, per trovare numerose segnalazioni di casi di infezione che hanno colpito i sistemi informatici di diversi palazzi di giustizia in tutta Italia. Basta aprire con leggerezza l’allegato ad un messaggio email, che risulta provenire, a seconda dei casi, da corrieri per le spedizioni, società telefoniche, banche, agenzie di riscossione tributi. Il messaggio è studiato e realizzato ad arte per essere quanto più verosimile ad uno vero, così da spingere il destinatario ad aprire l’allegata fattura, cartella esattoriale o bolla di spedizione che sia. Il malware, una volta innescato con l’apertura del file allegato alla mail, comincia a crittografare i file contenuti nel computer della vittima, rendendoli inutilizzabili, prendendo di mira in particolare documenti in formato office, pdf, immagini e video. Successivamente, arriva la richiesta di pagare una somma di denaro in moneta virtuale BitCoin, per avere in cambio la chiave di decifratura per avere indietro i propri file.

Il danno subito da chi è vittima di un cryptovirus può essere ingente. Se non è stata adottata alcuna strategia di backup la perdita dei dati è irreversibile. A ciò si aggiunge l’ulteriore ed inevitabile danno economico causato dal fermo delle macchine, bloccate per tutto il tempo necessario a ripulirle dal malware e ripristinarle.

Avere tutti i PC dello studio messi fuori uso da un virus difficilmente sarà una causa sufficiente per farsi autorizzare al deposito cartaceo di un atto.

Da dove partire

Le misure minime di sicurezza previste dall’allegato b) del Codice della Privacy (D.Lgs 196/2003 e successive modifiche), adottate e diffuse in larga misura in quasi tutte gli studi legali sulla spinta del vincolo normativo, possono costituire una base ed un punto di partenza per lo sviluppo di policy e misure di sicurezza più efficaci a garantire la disponibilità e l’inviolabilità della propria infrastruttura tecnologica.

Il Codice della Privacy, prevede infatti all’art. 34, che il trattamento di dati personali, effettuato con strumenti elettronici, é consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico, contenuto nell’allegato B), una serie di misure minime di sicurezza. Tali misure sono volte, tra l’altro, a ridurre al minimo i rischi di una perdita o distruzione, anche accidentale, dei dati ed un accesso non autorizzato agli stessi. Tra le più importanti è bene menzionare:

–          la presenza di un sistema di autenticazione informatica: solo gli utenti dotati di credenziali (login e password) possono effettuare l’accesso alle risorse aziendali;

–          le credenziali di autenticazione devono rispettare una serie di requisiti per quanto riguarda la loro lunghezza e complessità;

–          la presenza di un sistema di autorizzazione, in modo che gli utenti accedano unicamente alle risorse specifiche in relazione alle proprie mansione ed attività;

–          la presenza di software (antivirus e firewall), da aggiornare almeno semestralmente, per proteggere i dati da rischio di intrusione e da danni provocati da virus e similari (art. 615 quinquies c.p.);

–          l’aggiornamento periodico dei software per prevenire le vulnerabilità (patch) con cadenza annuale o semestrale, in caso di trattamento di dati sensibili;

–          il salvataggio dei dati (backup) con cadenza almeno settimanale.

Tuttavia, l’adozione delle misure di sicurezza è spesso compromessa da una non corretta implementazione ed applicazione concreta delle stesse. Qualche esempio esplicativo è d’obbligo. Viene adottato un sistema di autenticazione ed autorizzazione degli utenti, ma le password non rispettano i principi base di sicurezza (es. 8 caratteri alfanumerici, non riconducibili al titolare etc). È impostato un backup periodico dei dati, ma non viene fatto su tutti i computer e la cadenza con cui viene effettuato è eccessivamente lunga (nella migliore delle ipotesi, una volta al mese o quando ci si ricorda). È installato un programma antivirus sulle postazioni, ma non viene mantenuto aggiornato.

Oltre le misure minime di sicurezza, una visione a 360 gradi

Come già detto, le misure minime di sicurezza sono un punto di partenza. Non sono sicuramente sufficienti a garantire una protezione adeguata ai rischi presenti nella moderna società dell’informazione, sempre online e connessa. Basti pensare che le prescrizioni tecniche dell’allegato B, sopra menzionate, indicano come tempistica minima per l’aggiornamento di antivirus e firewall a protezione di sistemi ben 6 mesi, un’eternità in termini informatici.

Inoltre, l’approccio al problema non deve più limitarsi alla verifica della sicurezza dei computer (fissi e portatili) e dei server, ma deve comprendere anche dispositivi quali smartphone e tablet, spesso ignorati. In particolare, l’utilizzo di smartphone e tablet personali per l’accesso telematico alle risorse dello studio (es. gestionali, documenti su server), può costituire un ulteriore rischio di sicurezza. L’uso contemporaneo dello stesso strumento per accedere a siti personali, non legati al lavoro, l’installazione di applicazioni che potrebbero non essere sicure, può costituire infatti un pericoloso cavallo di troia, capace di compromettere l’intera infrastruttura informatica dello studio.

Lo smart working, o lavoro a distanza, per molti professionisti è già una realtà quotidiana ed esistono diverse soluzioni che consentono, a chi lavora da remoto, di avere accesso alle risorse dello studio come se si operasse direttamente in sede. La comunicazione tra postazione remota e server, a meno di non utilizzare connessioni private dedicate, dai costi non alla portata di tutti, avviene in genere con la comune rete internet. Imprescindibile, quindi, una grande attenzione alla sicurezza informatica, sia della postazione remota, che del canale di comunicazione, utilizzando ad esempio l’autenticazione forte (smartcard) e le reti private virtuali (VPN).

Un pensiero finale al Cloud ed alla sicurezza dei dati nella nuvola. Quando ci si affida ad un servizio di Cloud, si dà essenzialmente in outsourcing la gestione dei propri dati professionali, affidando ad un soggetto terzo tutte le problematiche tecniche e di sicurezza. I vantaggi sono diversi: la possibilità di accedere facilmente in mobilità ai propri dati, la flessibilità delle soluzioni, scalabili in base alle esigenze ed alle necessità, e per finire i costi, sicuramente più ridotti rispetto alle tradizionali soluzioni informatiche.  Ma non ci sono rose senza spine. Se la gestione degli utenti che hanno accesso ai dati sulla nuvola resta in capo al cliente, non bisogna dimenticare che l’accesso a tutti i dati, a meno che non siano cifrati, è sempre possibile anche al personale del fornitore del servizio. La localizzazione fisica dei server, di proprietà del fornitore che eroga il servizio cloud, è in genere sconosciuta al cliente e potrebbe sembrare irrilevante. Non è così. Dalla posizione fisica degli stessi server, che potrebbero essere ovunque nel mondo, si stabilisce poi quale normativa nazionale è applicata in materia di privacy e sicurezza dei dati. Infine, non meno importante, è la conoscenza delle pratiche e delle procedure di disaster recovery adottate dal fornitore per far fronte a possibili perdite di dati o violazioni della sicurezza.

La più importante difesa resta, in ogni caso, la consapevolezza e la conoscenza dei rischi che si possono correre nelle quotidiane attività online. La formazione degli utenti è la prima linea difesa, prima ancora delle soluzioni tecnologiche adottate nello studio legale. Qualunque protezione, anche la più avanzata, perde di efficacia, se non accompagnata da regole e policy di uso degli strumenti, seguite con cognizione e non solo perché si è obbligati a farlo.