GDPR e cifratura: incomprensioni e consigli

Indice

Da qualche tempo mi capita di confrontarmi con colleghi e amici sulle tematiche della cifratura e del GDPR. Si tratta di un argomento complesso che spesso ingenera fraintendimenti se non pericoli per la gestione e la conservazione dei dati. Affrontiamo insieme il tema in modo chiaro e risolutivo.

Cosa dice il GDPR e che cosa è la cifratura

In nessuna parte del GDPR (link al documento)vi è l’obbligo all’adozione della cifratura. Questo deve esser chiaro. In merito a questa misura di sicurezza il Regolamento dice, tra le varie cose:

Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura.

Paragrafo 83 – Considerazioni iniziali

La cifratura quindi non è una scelta obbligata ma caldamente raccomandata per la limitazione dei rischi. Tuttavia l’adozione del GDPR ha comportato una distorsione in senso “estremo” del principio della cifratura e questo è qualcosa di oltremodo pericoloso. Potremmo definire la cifratura come una misura di protezione “perimetrale” dei dati e per capire questo concetto vi invito a riflettere con me su una situazione.

All’interno dell’impresa X, i dati sono correttamente accessibili solo a gruppi di lavoro designati. Una notte i ladri entrano e rubano gli hard disk del server, li collegano ad un’unità esterna e li leggono estrapolando i dati.

La cifratura, per l’appunto, evita che i dati siano leggibili quando il computer è spento o quando essi vengono acceduti in modo improprio. Per questo il Garante si preoccupa di suggerirla e lo fa nel modo giusto: come misura aggiuntiva e non sostitutiva rispetto alle altre misure protettive (credenziali, privilegi, registri, etc…).

Come funziona la cifratura in modo semplice

Non vi parlerò di matematica, né di algoritmi. Parliamo di come funziona la cifratura e lo facciamo in modo molto semplice e quasi banale. Esistono due tipologie di cifrature:

  1. La cifratura “fisica”: significa che l’intero disco rigido del server viene cifrato. All’accensione esso viene decifrato attraverso l’inserimento di una password centralizzata e quando il sistema viene spento la cifratura si riattiva.
  2. La cifratura “logica”: significa che ad essere cifrato è solo un file, un gruppo di file o una o più cartelle ma non tutto il disco. Quindi alla fine questi file e cartelle che saranno cifrati dovranno essere contenuti all’interno di un archivio cifrato.

Il problema della non corretta adozione della cifratura

La cifratura logica è quella più comunemente adottata dopo la pubblicazione del GDPR ma spesso si ignorano alcuni aspetti essenziali di tale tipologia.

  • Per prima cosa è importante sottolineare che prima ancora di essere inseriti in un archivio cifrato, i file possono esser stati memorizzati “in chiaro” sull’hard disk. Questo significa che con una procedura di recupero file memorizzati, è possibile recuperare la versione non cifrata del file, vanificando lo scopo principe della cifratura.
  • In secondo luogo l’adozione di questa tipologia ha causato un proliferarsi di archivi cifrati per ciascun gruppo di lavoro. Mi è capitato di vedere studi legali con una foresta di archivi cifrati gestiti individualmente da legali, praticanti, etc…
  • Da qui anche l’esigenza, difficile da realizzare, di una gestione centralizzata delle chiavi di cifratura con conseguente rischio di smarrimento/sabotaggio e quanto altro.

L’eccessiva cautela ha creato più problemi che altro. Ma allora quando si usa la cifratura “fisica” e quando la “logica”?

GDPR-Rappresentazione della cifratura

La cifratura fisica è perfetta contro il furto e l’attività quotidiana. Il server, costantemente acceso, permette una lavorazione normale dei file da parte dei dipendenti. Ogni interruzione di corrente, voluta o no, permette ai dati di tornare ad essere blindati. Pertanto le organizzazioni dovrebbero orientarsi verso questa tipologia di cifratura.

La cifratura logica è perfetta per trasferire i dati personali da un soggetto autorizzato ad un altro. Il GDPR prevede il trasferimento dei dati personali sia verso paesi interni all’UE che esterni (articoli 44 e seguenti). Poiché i dati lasciano la zona protetta del server, essi devono essere protetti contro eventuali furti o accessi non autorizzati. In questo caso l’archivio cifrato è la soluzione idonea, tenendo presente che esistono soluzioni a pagamento e gratuite in grado di offrire standard di sicurezza molto elevati.

La cifratura non è l’unico sistema

Il motivo per il quale il Garante non ha imposto la cifratura è che non è l’unico modo per la protezione/condivisione dei dati. Spieghiamo questo concetto chiave basandolo sul detto “se Maometto non va dalla montagna, la montagna va da Maometto”. Molti sistemi permettono di condividere i dati creando un “varco temporaneo e protetto” all’interno del server. Si tratta di un link che permette al destinatario di scaricare file e cartelle e che ha tempo di accesso limitato e, molto spesso, password di verifica. Questo aspetto di “neutralità tecnologica” è quindi fondamentale e il Regolamento intende evidenziarlo molto chiaramente.

Al fine di evitare l’insorgere di gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate.

Paragrafo 15 – Considerazioni iniziali

Mantenere la neutralità tecnologica è fondamentale per un corretta sicurezza dei dati e per evitare anche fenomeni di lock-in verso specifiche tecnologie.

La gestione delle chiavi di cifratura

Un’altra tematica su cui si è fatta molta confusione ha riguardato le chiavi di cifratura: chi le possiede?

Che si tratti di cifratura “fisica” o “logica”, è necessario adottare una password per aprire gli archivi e renderli leggibili (in gergo tecnico si dice “montare1 un archivio cifrato”). La password, come abbiamo detto più volte anche all’interno di questo sito, deve essere forte:

  • Almeno 15 caratteri di tipo, alfabetico, numerico, simbolico;
  • Senza ripetizioni;
  • Non deve essere una parola di senso compiuto;
  • Deve contenere maiuscole e minuscole.

Ma chi gestisce le chiavi? Chiunque sia delegato a farlo: può essere l’Amministratore di Sistema che, per comodità, riesce a montare il disco al riavvio del server in caso di cifratura “fisica”. Potrebbe anche essere un soggetto nominato a tenere le password per conto dell’azienda. Tuttavia è fondamentale evitare:

  • Il proliferare incontrollato delle chiavi di cifratura;
  • La creazione di un processo lavorativo che peggiori la condizione attuale;

È altresì opportuno ricordare che la procedura di cifratura rallenta le prestazioni di scrittura e lettura su disco, motivo per il quale se ne sconsiglia l’attivazione in modo molto analitico. Molti NAS, ad esempio, permettono di applicare un ibrido tra la cifratura fisica e quella logica, andando a cifrare solo alcune cartelle principali come se fossero archivi logici ma con un meccanismo da cifratura fisica.

Conclusioni

Nelle more della corretta applicazione della cifratura ricordate sempre che la cifratura:

  • è una misura aggiuntiva (non strettamente necessaria) alle altre obbligatorie;
  • dovrebbe essere considerata in questo caso una misura di sicurezza perimetrale che impedisce l’accesso ai dati quando il sistema è spento;
  • rallenta le prestazioni di sistema ma mette in sicurezza i dati contro i furti.

Sulla base di questi principi fatevi solo una semplice domanda: domani un ladro ruba il disco del vostro server, se lo porta a casa e lo connette ad un lettore esterno per carpirne i contenuti, aggirando le password di accesso al sistema operativo. La domanda è: quanto è possibile questo scenario? Perchè qualora il rischio fosse anche solo “moderato”, dovreste valutare l’adozione della cifratura e della relativa tipologia.

In conclusione valutate se e come adottare la cifratura, evitando di perseguire strade folli basate su decine e decine di archivi: effettuate invece un lavoro più pulito, immediato e trasparente per gli utenti.

Riferimenti utili

1. Montare un’unità cifrata significa rendere accessibili i file. Smontare un’unità cifrata significa richiudere l’archivio e renderlo inaccessibile. In inglese “Mount” e “Unmount”