Quando la manutenzione diventa una trappola per spie

A differenza dell'ambiente cloud, l'accesso remoto alle applicazioni "on premise" è molto poco regolato. Le aziende farebbero bene a colmare proprio questa lacuna. In Svizzera, gli ospedali con i dati dei pazienti o le banche con i dati dei clienti vengono in mente per primi. Alla fine, però, la questione riguarda tutte le aziende.

Esempio 1: un ospedale

Quando ci si rivolge a un medico come paziente, si presume automaticamente e giustamente che lui o lei tratterà la vostra cartella clinica come strettamente confidenziale e non la divulgherà a terzi. Nel corso della digitalizzazione, la cartella clinica non è più fisicamente appesa in uno schedario, ma è conservata digitalmente. Il medico può rivelare i vostri segreti ai suoi ausiliari. Ausiliario è chi assiste legalmente il medico nel suo lavoro. Legalmente parlando, questo processo non è una divulgazione. Di conseguenza, voi come paziente non dovete essere informati del coinvolgimento dell'assistente.

In pratica, però, un sistema informativo ospedaliero, un sistema di radiologia o un sistema di laboratorio non sono mantenuti solo dall'ospedale e i fornitori di servizi IT, eventualmente anche dall'estero, vi accedono tramite accesso remoto. Spesso - soprattutto nel database - tutte le informazioni sui pazienti sono apertamente accessibili. La domanda ora è: dove "inizia" e dove "finisce" l'ospedale? Il termine "perimetro" può essere usato per descrivere questo. Il termine si riferisce al confine esterno dell'unità organizzativa (qui: l'ospedale) che deve essere organizzata. La questione è quindi dove finisce il perimetro dell'ospedale (Fig. 1).

Il codice penale svizzero, la legge sulla protezione dei dati o la legge sulla professione medica non vietano di per sé l'uso di ausiliari. Il coinvolgimento degli ausiliari non comporta quindi la divulgazione a terzi, anche se viene dato loro accesso in chiaro alle informazioni protette. Se questo fosse portato alla sua conclusione logica, significherebbe che il medico potrebbe teoricamente estendere il cerchio degli ausiliari senza limiti.

Il punto assolutamente cruciale è il controllo. Ha bisogno di controllare il "banco di lavoro esteso". L'ospedale deve integrare tutte le persone ausiliarie come se fossero dipendenti (vincolati alle istruzioni, ecc.) e non persone esterne. Se manca il controllo, l'uso illimitato di persone ausiliarie può portare a una divulgazione vietata.

Esempio 2: una banca

In un parere legale (Utilizzo di offerte cloud da parte delle banche: sull'ammissibilità ai sensi dell'art. 47 BankA)*, è stata spiegata la questione se una banca può estendere il perimetro personale e fisico in modo tale che i dati dei clienti della banca possano essere visualizzati nel cloud o da un fornitore di servizi IT estero. La conclusione del parere legale è affermativa, perché la legge bancaria, in vigore dal 1934, è stata modificata nel 1970 per proteggere dallo "spionaggio estero". Di recente sono successe molte cose e dal 2017 anche la Svizzera trasmette regolarmente informazioni dettagliate sui conti bancari all'estero.

Anche se i dipendenti di un fornitore di servizi IT straniero non possono essere perseguiti penalmente, il parere legale presuppone che i dipendenti in questione possano essere coinvolti nella sfera di rischio della banca senza alcuna divulgazione a terzi (Fig. 2).

La banca estende così il perimetro fisico e personale nel senso che il centro dati e i dipendenti del fornitore di servizi IT non possono più essere considerati come terzi. Il punto cruciale qui è che la banca mantiene il controllo su questo attraverso misure tecniche e organizzative. Questo significa che una banca può utilizzare applicazioni nel cloud o anche permettere l'accesso remoto ai dipendenti stranieri.

Tutti gli altri settori

Altri settori come il commercio o l'industria non sono soggetti in Svizzera alla stessa ricchezza legislativa di un ospedale o di una banca. Tuttavia, i dati devono essere protetti. Non è necessario che si tratti di dati personali. Ogni azienda ha dei segreti commerciali che, se divulgati, possono causare danni all'azienda. Questo può essere un danno all'immagine dell'azienda o un futuro danno economico dovuto allo spionaggio industriale.

Questo controllo del banco di lavoro esteso può essere realizzato esattamente allo stesso modo con misure tecniche e organizzative, ma deve essere sostenuto da un insieme efficace di contratti. I dipendenti coinvolti nei processi devono essere trasformati da terzi in partecipanti attraverso i confini dell'azienda.

Quindi cosa significa controllo?

Il controllo deve essere inteso olisticamente come un processo continuo. Prima di tutto, bisogna capire la materia e poi ridurre i rischi di perdita di dati attraverso misure preventive. Raccomandiamo anche di migliorare la tracciabilità per aumentare le possibilità di misure reattive al fine di poter prendere delle sanzioni se il peggio dovesse accadere. Quando si tratta di accesso remoto da parte di fornitori di servizi informatici che possono avere un accesso privilegiato ai vostri dati, è consigliabile applicare le seguenti misure organizzative e tecniche:

• Condurre un'analisi delle esigenze di protezione su tutti i sistemi IT pertinenti
• Impostare direttive interne per l'accesso ai dati (gestione degli accessi)
• Creare concetti di autorizzazione e ruoli per i sistemi IT esposti
• Regolamentare in modo pulito la gestione degli utenti e delle autorizzazioni
• Forzare gli utenti a identificarsi sia internamente che esternamente
• Cambiare sempre le password degli account privilegiati dopo l'uso
• Registra la sessione di accessi remoti e trasferimento di dati

L'accesso remoto, anche dall'estero, ai dati critici è legalmente consentito. Tuttavia, i rischi devono essere ben controllabili. La responsabilità è dell'azienda stessa. Se, per esempio, un ospedale coinvolge terze parti nel suo ambiente IT, l'ospedale mantiene la responsabilità di proteggere i dati. Il controllo deve essere garantito in ogni momento attraverso misure tecniche, organizzative e contrattuali.