Log management e normative italiane

Le normative attualmente in vigore in Italia che richiedono una compliance sulla gestione dei log sono:

Provvedimento “Amministratori di sistema” – 27 novembre 2008

All’interno del Provvedimento “Amministratori di Sistema” del 27 novembre 2008 il garante descrive esplicitamente come deve essere effettuata la raccolta dei log affinché le organizzazioni siano compliant alla normativa (link testo provvedimento).

All’interno del provvedimento nel punto “4.4 Verifica delle attività^”

“L´operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un´attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.”

Inoltre al punto “4.5 Registrazione degli accessi” si esplicita che:
“Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.

Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell´evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.”

Come risolvono il problema normativo COALA e LogBox?

Come può aiutare COALA con la compliance al Provvedimento “Amministratori di sistema”?

Il modulo Collector raccoglie i log in modo completo, integro e inalterabile attraverso alcune tecnicità:

– Gli agent effettuano dei controlli di corretta acquisizione dei log, cifrano il pacchetto inviato per proteggerlo durante il trasporto alla server farm e la cache consente di registrare i log anche in caso di problemi durante l’invio. In questo modo viene assicurata la raccolta completa, integra e inalterabile sia in fase di acquisizione che di trasporto;
– Viene effettuato l’hashing dei dati con la possibilità di integrare firma digitale e marcatura temporale;
– La retention del log è personalizzabile quindi diventa possibile sia impostare il tempo di retention desiderato e garantirne lo svecchiamento al superamento del periodo di conservazione Inoltre è possibile differenziare la retention per sorgente di log (non solo per host), impostando diversi periodi di conservazione sulla stessa infrastruttura per differenti obiettivi;
– Il controllo o verifica annuale sulle attività degli amministratori di sistema può essere gestito grazie al modulo di report che permette di configurare la creazione automatica della documentazione a partire dal contenuto dei log (1 template standard è già incluso).

Sicurezza dei dati di traffico telefonico e telematico – 17 gennaio 2008

In merito al Provvedimento “Sicurezza dei dati di traffico telefonico e telematico – 17 gennaio 2008” il Garante esplicita le misure da adottare per la gestione dei log e come l’accesso ai dati debba essere protetto (link testo provvedimento). In particolare nella sezioni 6, 7.1 e 7.6 viene esplicitato:

Nella sezione “6. Modalità di acquisizione dei dati” vengono riportati i tempi di conservazione dei dati (retention).
“Il Codice individua le modalità con le quali possono essere acquisiti i dati di traffico conservati dai fornitori prescrivendo, con riferimento al primo periodo di conservazione (i primi ventiquattro mesi e sei mesi, rispettivamente per il traffico telefonico e telematico), che la richiesta sia formulata con “decreto motivato del pubblico ministero anche su istanza del difensore dell´imputato, della persona sottoposta alle indagini, della persona offesa e delle altri parti private” (art. 132, comma 3, del Codice).”

Tuttavia viene fatto salvo il termine di 72 mesi per la repressione di tutte le tipologie di reato, previsti dall’ art. 24 della legge 167 del 20 novembre 2017.

Nella sezione “7.1. Sistemi di autenticazione” vengono identificati strumenti di strong authentication:

“Il trattamento dei dati di traffico telefonico e telematico da parte dei fornitori deve essere consentito solo agli incaricati del trattamento e unicamente sulla base del preventivo utilizzo di specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell´uso contestuale di almeno due differenti tecnologie di autenticazione, qualunque sia la modalità, locale o remota, con cui si realizzi l´accesso al sistema di elaborazione utilizzato per il trattamento, evitando che questo possa aver luogo senza che l´incaricato abbia comunque superato una fase di autenticazione informatica nei termini anzidetti.

Per i dati di traffico conservati per esclusive finalità di accertamento e repressione dei reati (cioè quelli generati da più di sei mesi, oppure la totalità dei dati trattati per queste finalità se conservati separatamente dai dati trattati per le altre finalità fin dalla loro generazione), una di tali tecnologie deve essere basata sull´elaborazione di caratteristiche biometriche dell´incaricato, in modo tale da assicurare la presenza fisica di quest´ultimo presso la postazione di lavoro utilizzata per il trattamento.

Tali modalità di autenticazione devono essere applicate anche a tutti gli addetti tecnici (amministratori di sistema, di rete, di data base) che possano accedere ai dati di traffico custoditi nelle banche dati del fornitore.”

Infine nella sezione “7.6. Altre misure” vengono indicate le caratteristiche che deve avere la raccolta dei log:

“Devono essere adottate soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento. Il controllo deve essere efficace e dettagliato anche per i trattamenti condotti sui singoli elementi di informazione presenti sui diversi database utilizzati.

Tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall´uso interattivo dei sistemi, sia quando sono svolte tramite l´azione automatica di programmi informatici.

I sistemi di audit log devono garantire la completezza, l´immodificabilità e l´autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi devono essere adottati, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure informatiche per attestare la loro integrità, basate sull´utilizzo di tecnologie crittografiche.

Le misure di cui al presente paragrafo sono adottate nel rispetto dei princìpi in materia di controllo dei lavoratori sull´uso di strumenti elettronici, con particolare riguardo all´informativa agli interessati (cfr. Provv. 1° marzo 2007, doc. web n. 1387522).”

Come COALA e LogBox coadiuvano la compliance al provvedimento “Sicurezza dei dati di traffico telefonico e telematico”

Anche in questo caso COALA riesce ad aiutare nell’adempimento normativo. Nel caso del provvedimento “Sicurezza dei dati di traffico telefonico e telematico” valgono le stesse motivazioni elencate nella sezione del “Provvedimento Amministratori di Sistema”. Le tecnicità proteggono il log dall’acquisizione, durante il trasporto e fino alla destinazione in server farm e la retention differenziabile per sorgente di log consente di acquisire i log per entrambi i periodi di retention di 6 e 24 mesi.

Oltre a questo però è richiesta una forma di strong authentication. Il collector di COALA prevede, per questo motivo, una modalità di autenticazione tramite token USB, anche di tipo biometrico.

Regolamento EU 2016/679 (GDPR)

Il GDPR impone un principio fondamentale: l’accountability. Ossia la responsabilizzazione per chi effettua un trattamento dei dati personali di dover dimostrare che, in caso di sospette violazioni, siano state compiute tutte le azioni di tutela possibili. Per questo motivo le organizzazioni che vogliono essere compliant al GDPR, sono costrette a rivedere il loro modo di rapportarsi anche con la gestione dei log.

In quest’ottica di accountability infatti (art. 5, par. 2 del GDPR) l’adozione di uno strumento di log management rappresenta uno strumento utile a dimostrare l’impegno del titolare nella tutela dei propri archivi e sistemi informatici. Proprio perché il principio stesso spinge alla rendicontazione delle attività, i titolari del trattamento devono dotarsi di strumenti di questo tipo per poter dimostrare in caso di violazioni, di aver fatto il possibile per proteggere i dati.

Come COALA e LogBox possono aiutare con la compliance al GDPR?

Il modulo di analisi real time e il modulo allarmi possano aiutare ad essere proattivi nella protezione del dato e sopratutto nel dimostrare la compliance all’art 5 relativo all’accountability:

– Il modulo di allarmi infatti consente di impostare degli allarmi sul contenuto dei log che una volta attivati comunicano al personale potenziali minacce, che possono così essere prevenute o combattute;
– Anche dove non ci sono allarmi la possibilità di poter analizzare i log in real time consente di poter tenere monitorati gli accessi contribuendo proattivamente alla protezione del dato e alla responsabilizzazione richiesta dal GDPR.

Misure minime AgID

All’interno delle misure minime AgID sono presenti diverse tabelle che identificano per vari argomenti quali sono i controlli (o le migliorie) da effettuare.

In particolare all’interno della sezione “uso appropriato dei privilegi di amministratore: Regole, processi e strumenti atti ad assicurare il corretto utilizzo delle utenze privilegiate e dei diritti amministrativi” si fa esplicito riferimento alla tracciabilità dei log per gli accessi falliti degli amministratori di sistema, alla generazione di alert, al monitoraggio delle anomalie di comportamento sulle utenze degli ADS e alla tracciabilità delle modifiche alle utenze degli amministratori di sistema.

Come COALA e LogBox possono aiutare con la compliance alle misure minime AgID?

All’interno delle misure minime AgID le regole relative al log management si rifanno principalmente ai provvedimenti e ai regolamenti già descritti in questo articolo.