Il 14 luglio il Garante Privacy ha emesso un provvedimento
che permette alla società DNP Photomask Europe S.p.A. di conservare alcune
immagini videoregistrate per 90 giorni, contrariamente al Provvedimento Generale
del 8 aprile 2010 che impone un limite di 24 ore, a meno di eccezioni che
possono portare fino al limite massimo di 7 giorni.
- http://www.garanteprivacy.it/garante/doc.jsp?ID=1836335
Cos'è successo? In altre occasioni il Garante ha chiesto di limitare
il tempo di conservazione, qui addirittura permette di estenderlo fino a 13
volte il limite massimo ed eccezionale.
Un potenziale cliente (Infineon,
tedesco) della società DNP ha richiesto alla DNP di adottare delle misure di
sicurezza, tra cui la conservazione per 90 giorni delle immagini, in conformità
alle loro procedure, "conformi alla ISO/IEC 17799 e alla ISO/IEC
15408".
Per i pignoli: il Provvedimento dice che la Infineon "opera
rispettando i criteri dettati dal protocollo EAL5+ (ISO15408, ISO17799)", non
che sono certificati (anche se un prodotto della Infineon è effettivamente
certificato EAL5+)
Quindi, al punto 3 del Provvedimento, il Garante
(Relatore: Fortunato) elogia gli standard internazionali dicendo alcune cose
corrette e osservando che queste norme fissano "stringenti criteri" da prendere
per buoni. Il tutto si conclude con: "si ammette la conservazione delle immagini
per 90 giorni".
Ecco cosa c'è di sbagliato:
- il Provvedimento è del
14 luglio 2011; ormai da 6 (sei) anni, la ISO/IEC 17799 si chiama ISO/IEC 27002
(peccato veniale, ma allora sentiamoci autorizzati di citare la Legge 675 del
1996)
- le norme citate sono ISO/IEC non ISO (altro peccato veniale)
- la
ISO/IEC 27002 (o 17799) non c'entra nulla con il "protocollo EAL5+"
- nessuna
delle due norme citate fissa "stringenti criteri"; l'unico "stringente criterio"
è che (semplifico) le misure di sicurezza devono essere commisurate al rischio
analizzato dall'impresa; non si parla di "videosorveglianza", "90 giorni",
"TVCC" o altre cose del genere (ho trovato solo un "suitable intruder detection
systems")
- la ISO/IEC 27002 non fornisce "stringenti criteri" per sua natura
(è una linea guida, da adattare caso per caso)
Alla luce di tutto ciò,
provo a tradurre quello che è successo: la Infineon ha fatto le sue analisi del
rischio (secondo un metodo e con risultati non riportati dal Provvedimento) e ha
stabilito che il tempo giusto per conservare le immagini per lei e i suoi
fornitori è di 90 giorni, lo richiede alla DNP, la quale DNP lo richiede al
Garante, che dice "OK". Sintetizzo ancora: il Garante ha detto "se mi dite che
avete fatto un'analisi dei rischi (che non vorrò vedere) che vi dice di
conservare le immagini per 90 giorni, io approvo".
Non credo fosse quello
il suo intendimento. Purtroppo, avendo accettato di trattare un argomento senza
conoscerlo e senza averlo studiato, questo è il risultato.
Ma c'è un
ulteriore effetto negativo della storia: si dà alle norme ISO/IEC citate un
valore inesatto, esattamente come lo si dà alla ISO 9001. Come la ISO 9001 non
garantisce l'alta qualità dei prodotti o servizi offerti, così la 27002 e la
15408 non garantiscono l'alta sicurezza dei prodotti o servizi o dell'azienda in
assoluto. Non la faccio lunga, ma ricordo che Windows NT fu certificato EAL3, e
oggi molti sistemi operativi Windows sono certificati EAL 4+... questo
intuitivamente vi fa capire che non basta sapere "certificato", bisogna andare
un poco oltre.
E infatti, da tempo, insieme ad altri colleghi, cerco di
far capire che queste affermazioni sono false (il Garante invece ha dimostrato
di prenderle per buone, soprattutto l'ultima; sarà forse perché tutte quelle
sigle e quei numeri l'hanno confuso?):
- io sono certificato ISO -> sono
al sicuro
- il mio fornitore è ISO -> è sicuro anche secondo i miei
standard, anche se non glieli ho detti
- ricerco un fornitore ISO -> non
ho bisogno di dirgli i miei requisiti di sicurezza perché tanto lui è sicuro
-> non ho neanche bisogno di capire cosa c'è scritto sul certificato
-
compro un prodotto ISO o da un fornitore ISO -> il prodotto è sicuro
- il
mio cliente, fornitore o partner è ISO -> tutto ciò che dice è buono e
giusto
Mi limito a concludere dicendo che:
- il Garante ha
sbagliato
- se ha sbagliato qui, quante altre volte è stato superficiale nei
Provvedimenti?
- come è possibile che il Garante non conosca almeno
approssimativamente gli standard internazionali sulla sicurezza delle
informazioni?
- allora è vero che emette Provvedimenti con misure di
sicurezza da realizzare senza una base condivisa dagli specialisti della
materia!
- Il Provvedimento Generale sulla videosorveglianza del 8 aprile
2010: http://www.garanteprivacy.it/garante/doc.jsp?ID=1712680#3.4
- il sito ufficiale dei Common Criteria: http://www.commoncriteriaportal.org/
Mi fermo qui. Qualcuno mi dia i riferimenti di un avvocato in caso
riceva una querela.
Ultimi commenti