Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'approfondimento

Log management, come gestirli alla luce del GDPR

Con il GDPR i log management diventano uno strumento imprescindibile per le aziende. Monitorare tutti i sistemi aziendali e gli utenti permette alle imprese di far fronte alle necessità di sicurezza e compliance. Ma la gestione dei log sembra essere spesso sottovalutata

08 Ago 2019
N

Alessia Nucara

Privacy Officer & Consulente Legale Privacy


Con il GDPR, le aziende che gestiscono archivi elettronici e dati personali devono apportare sostanziali modifiche al modo di rapportarsi con i log. Tuttavia, le aziende sembrano sottovalutarli. Utile dunque approfondire la tematica per fornire maggiori informazioni al riguardo.

Cosa sono i log

I log sono delle registrazioni sequenziali e cronologiche delle operazioni effettuate da un sistema informatico. Queste operazioni possono essere effettuate da un utente, oppure avvenire in modo totalmente automatizzato. Le procedure di logging sono propriamente quelle attività attraverso cui un sistema operativo o un’applicazione registrano gli eventi e li memorizzano per eventuali riutilizzi successivi: queste registrazioni sono chiamate, per l’appunto, file di log. I file di log sono documenti che contengono messaggi relativi al sistema, ai servizi e alle applicazioni in funzione.

L’importanza dei log per la privacy

Con  la “nuova privacy” la gestione dei log da parte delle aziende diventa quanto di più necessario per assicurare il rispetto della normativa a tutela dei dati personali, poiché consente di ricostruire l’attività di un sistema informatico e di individuare eventuali responsabilità in caso di errore o violazioni di legge.Il c.d. principio di accountability (2 comma, art. 5 Gdpr) introduce per la prima volta, l’obbligo, in capo al titolare del trattamento, di dimostrare il rispetto della normativa decidendo autonomamente modalità, garanzie e limiti del trattamento dei dati personali, in considerazione della realtà produttiva nella quale opera.

Questo obbliga i responsabili del trattamento dei dati ad avere dei metodi per “comprovare” che gli stessi vengano trattati nel rispetto delle normative. Da una parte, quindi, i titolari del trattamento non solo devono compiere tutte le attività necessarie per  la salvaguardia degli interessati, ma devono anche precostituirsi le prove degli adempimenti in caso di ispezioni da parte delle autorità competenti. Queste prove non possono che essere i file di log: una traccia indelebile delle operazioni svolte sui dati.

Log e cyber security

I log sono molto importanti, se non addirittura decisivi, per la sicurezza dei sistemi e per la compliance aziendale: la loro gestione consente di monitorare le attività svolte, come per esempio gli accessi al sistema effettuati in un dato lasso temporale, le transazioni che non sono andate a buon fine, eventuali anomalie hardware o software e possibili minacce malware.

Inoltre, avere a disposizione una copia remota dei file di log permette, non solo di analizzare eventuali problemi relativi a un dato sistema, ma in caso di inaccessibilità dello stesso evita la perdita dei dati. È ovvio, quindi, che le esigenze di data protection passano attraverso una corretta gestione dei log.

I vantaggi del Log management

La prevenzione della perdita dei dati è uno dei tanti vantaggi di cui si può beneficiare in virtù del log management: un’eventualità di questo tipo è più frequente di quel che si possa pensare, visto che può essere generata da un semplice guasto a livello hardware o da un malfunzionamento di un software, ed è per questo motivo che è indispensabile poter contare su una copia remota dei file di log.

In ottica Gdpr, l’obbligo di salvare i log file per poter ricostruire un’eventuale violazione di accessi ad una rete o ad un file non autorizzato è un presupposto fondamentale per le organizzazioni; e tra poco vedremo perché.

Gli errori commessi dalle aziende

Nonostante tutti i benefici sopra descritti, la gestione dei log è troppo spesso sottovalutata dalle aziende. Quando le organizzazioni decidono di usufruire di questo asset, solitamente si è già verificato un problema o concretizzato un attacco hacker. Tutte situazioni, in cui, invece, un sistema di log management offrirebbe la possibilità di far fronte alle necessità in modo semplice e rapido mettendo il titolare del trattamento dei dati, nelle condizioni di poter dimostrare un comportamento proattivo in ottica di compliance aziendale.

Dopo l’entrata in vigore del Reg. UE 679/2016 il Garante per la Privacy, seppur senza nessun esplicito riferimento al termine “log”, ha comportato importanti modifiche al modo di rapportarsi con i log file: se prima erano una necessità per soli amministratori di sistema, ed in certi casi già un obbligo, con il GDPR diventano uno strumento necessario e a cui le aziende non possono rinunciare.Il Regolamento richiede, infatti, che resti traccia delle operazioni effettuate sui dati affinché, in casi di controllo, sia possibile dimostrare che si sono compiute tutte le azioni di tutela. In questo senso salvare i log file è molto utile.

Quando alcuni anni fa venne emanato il “Provvedimento degli ADS” (27 novembre 2008, pubblicato sulla G.U. n. 300 del 24 dicembre 2008) non ebbe un grande consenso in quanto giudicato poco utile. La richiesta basilare del provvedimento chiedeva di tracciare i login, i logout ed i tentavi di login da parte dei soli ADS su tutti i sistemi informatici. Con il Gdpr, l’utilità del predetto Provvedimento non può più essere sottovalutata e anzi, è quanto di più fondamentale per adempiere a quanto richiesto dalla normativa in materia di trattamento dei dati personali.

Ricordiamo, che non essendoci stato nessun intervento diretto in materia di amministratori di sistema, si può ritenere che i previgenti obblighi previsti dalla normativa precedente al Regolamento continuino a sussistere. Il Gdpr, infatti, non interviene sui provvedimenti del Garante, esso afferma solo che vanno cancellate le norme e le regolamentazioni degli ordinamenti nazionali incompatibili con le disposizioni del regolamento. Nel “Provvedimento degli ADS”, l’amministratore di sistema (ADS), viene definito dal Garante quale “figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”.

È evidente, quindi, che in considerazione del ruolo particolare rivestito sul piano operativo, l’ADS durante l’espletamento dei suoi incarichi ha un impatto e delle responsabilità considerevoli sui dati aziendali, fra cui rientrano anche i dati personali. Il GDPR, pur non facendo espresso riferimento alla figura dell’amministratore di sistema nel processo di trattazione e custodia dei dati, richiama implicitamente tale figura in alcune norme (art. 32 GDPR), per le sue specifiche competenze tecniche, laddove al Titolare del trattamento e/o all’eventuale responsabile nominato, spetta il compito di mettere in atto misure tecniche ed organizzative atte a garantire un livello di sicurezza adeguato al rischio.

Pertanto, alla luce del Gdpr, si può ritenere che i previgenti obblighi previsti dalla normativa precedente al Regolamento continuino a sussistere. Per tale motivo, le aziende che non vorranno incorrere in problemi di compliance, saranno costrette a rivedere il loro modo di rapportarsi con i log file e i log management, strumenti necessari per tenere traccia delle operazioni effettuate sui dati affinché, in casi di controllo, sia possibile dimostrare che si sono compiute tutte le azioni di tutela.

Caratteristiche di un log file

Il titolare del trattamento che voglia utilizzare i log file come misure di sicurezza idonee a dimostrare un corretto comportamento in sede legale, dovrà assicurarsi, non solo la traccia delle operazioni riguardanti i dati, ma anche che i log file posseggano specifiche caratteristiche, fra cui:

  • Completezza, ovvero riguardare sia il tipo di operazione inerente i dati (compreso l’accesso e la consultazione), sia i soggetti che compiono detta operazione;
  • inalterabilità e quindi immodificabilità;
  • verificabilità, devono poter consentire il controllo del corretto utilizzo dei dati.

Ovviamente è necessario anche che i Log tengano traccia dell’orario in cui la determinata operazione è stata eseguita. Secondo quanto previsto dal Garante della Privacy, infatti, non è sufficiente la sola traccia delle operazioni riguardanti i dati, ma è necessario che i log siano in possesso delle caratteristiche anzidette.

Mancata registrazione dei log: le conseguenze

Stabilito l’obbligo di tenuta dei Log alla luce della normativa vigente,  è opportuno chiedersi quali possono essere le possibili conseguenze in caso di mancata ottemperanza. Se nel trattare dei dati personali non si rispetta il GDPR, il titolare o il responsabile del trattamento, sono tenuti a risarcire i danni patrimoniali e non patrimoniali subiti dall’interessato se non dimostrano che l’evento dannoso non gli è in alcun modo imputabile.

Questa norma, definita dall’articolo 82 del GDPR, vuol dire per entrambi, riuscire a dimostrare di aver adottato tutte le misure di sicurezza adeguate rispetto al rischio insito nel trattamento e volte a prevenire il danno causato. Il risarcimento per danno causato da violazione della privacy, è l’articolo che ha fatto più scalpore nella riforma GDPR, perché se è vero che anche prima c’erano degli obblighi, ora le conseguenze hanno un impatto economico non  indifferente.

L’unico modo per l’azienda di proteggersi è dimostrare quanto implementato e abbiamo visto come avere una registrazione dei log file, consente di scagionarsi in due modi opposti ma entrambi legati ai file di log. Innanzitutto, se la violazione riguarda proprio la mancata o errata conservazione dei Log, risulta impossibile dimostrare la non imputabilità dell’evento dannoso al titolare. Se invece la violazione interessa un altro aspetto del GDPR, è possibile ipotizzare che i Log possano essere la giusta escamotage per comprovare la propria estraneità dall’evento dannoso, questo anche in caso di comportamento illecito del dipendente.

Responsabilità civile e penale

Per quanto riguarda le sanzioni amministrative in caso di violazioni del regolamento, sono due gli articoli dedicati. L’articolo 58 del GDPR stabilisce che l’autorità di controllo ha sia il potere di imporre una limitazione anche definitiva al trattamento in violazione fino al totale divieto di trattamento, sia il potere di infliggere una sanzione amministrativa pecuniaria. L’articolo 83 stabilisce poi, i criteri per determinare l’importo di detta sanzione fissando quale tetto massimo la somma di 20.000.000 di euro o del 4% del fatturato mondiale totale annuo dell’esercizio precedente, nel caso si tratti di imprese. In definitiva l’Autorità Garante può sia vietare a un soggetto di trattare i dati personali, di fatto limitandone di molto l’operato, sia infliggere sanzioni di importo particolarmente elevato.

Una violazione al GDPR, però, può determinare anche responsabilità penali. Il già vigente Codice Privacy prevede delle sanzioni penali agli articoli 167 (trattamento illecito dei dati), 168 (falsità nelle dichiarazioni al Garante e 169 (inosservanza dei provvedimenti del Garante). Di questi reati risponderà indubbiamente l’autore materiale, si pensi al dipendente incaricato del trattamento, ma ciò non esclude che la responsabilità penale potrebbe estendersi anche al titolare del trattamento.

Conclusione

Per essere a norma con il GDPR, un’azienda deve compiere essenzialmente tre operazioni:

  • Registrare file di log in maniera conforme al GDPR; per fare ciò è necessario un software che, opportunamente collegato ad una rete aziendale, si occupi di registrare tutte le operazioni e di salvarle appunto in file di log.
  • Conservare i file di log per un periodo di 60 giorni e garantire che questa conservazione rimanga inalterata, ad esempio attraverso un backup. Questo perché, in caso di una violazione che vada a manomettere i sistemi aziendali, dovremo assicurarci che i log file siano reperibili in un luogo terzo, esterno alla rete aziendale.
  • Ogni file di log deve essere marcato temporalmente; deve cioè riportare una firma digitale che ne attesti la non alterazione dopo una certa data.

È importante ricordare, quindi, come dotarsi di sistemi adeguati di registrazione dei log file è per le aziende fondamentale, non solo per essere a norma con il GDPR, ma anche per tenere sotto controllo tutti i sistemi aziendali e gli utenti in maniera efficace.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5