Mese: Maggio 2019

Introduzione

Con l’introduzione delle linee guida per la Privacy diventate operative a partire dal 25 Maggio 2018, lo scenario della gestione dei dati personali nell’ambito dei processi informatici è notevolmente cambiato. 

Al proprietario del dato personale vengono infatti riconosciute una serie di tutele legate alle indicazioni di come i suoi dati vengano trattati e conservati da aziende terze che si trovino a gestirli.

Conseguentemente, l’intera filiera di gestione del dato personale viene impattata da una revisione sistematica che permetta di garantire una totale trasparenza ed un totale rispetto dei dati gestiti.

Nell’ambito del GDPR vengono introdotti 8 principi base nella gestione del dato personale :

• Il diritto all’informativa: l’organizzazione che gestisca dei dati personali è tenuta ad informare l’utente di quali dati stia conservando, a che fine e per quanto tempo verranno conservati.
• Il diritto all’accesso: l’organizzazione che gestisca dei dati personali è tenuta a garantire a fornire, entro un mese, una copia di tutti i dati personali in suo possesso ad un utente che ne richieda l’accesso.
• Il diritto alla rettifica: l’organizzazione che gestisca dei dati personali è tenuta a correggere entro un mese dei dati che, secondo l’indicazione dell’utente risultino incompleti, parziali o errati.
• Il diritto all’oblio: l’organizzazione che gestisca dei dati personali è tenuta a cancellarli qualora l’utente lo richieda o, comunque, ritiri il consenso al trattamento.
• Il diritto a limitare il trattamento: l’organizzazione che gestisca dei dati personali è tenuta a limitare al minimo possibile il set dei dati che raccoglie o gestisce di un determinato utente.
• Il diritto alla portabilità: l’organizzazione che gestisca dei dati personali è tenuta a rendere possibile la migrazione dei dati personali di un utente ad un’altra organizzazione nella maniera più semplice possibile.
• Il diritto all’obiezione: l’organizzazione che gestisca dei dati personali è tenuta ad interrompere ogni trattamento dei dati dell’utente che obietti la legittimità al trattamento, fino a che non dimostrerà di essere titolata a trattarli.
• Limiti alla profilazione: l’organizzazione che gestisca dei dati personali è tenuta a porre dei vincoli nei processi automatizzati di profilazione dell’utente, con specifico riferimento all’analisi incrociata dei dati di un utente ed alla definizione di ciò che potrebbe riguardarlo in maniera correlata a preferenze che abbia espresso.

Nella loro applicazione, questi 8 principi base impattano in maniera diversa su fasi diverse della gestione di un processo informatico. Taluni di essi, infatti, saranno recepiti in fase di definizione della comunicazione verso l’utente (Diritto all’informativa), taluni saranno recepiti in fase di design dei sistemi informatici software che gestiscano i dati (Diritto alla rettifica, diritto alla limitazione del trattamento, diritto alla portabilità, limiti alla profilazione), taluni saranno recepiti in fase di esercizio del sistema informatico (Diritto all’accesso, diritto all’oblio, diritto a limitare il trattamento, diritto all’obiezione).

Implementazione delle logiche di backup

Ognuno di questi aspetti cardine viene recepito in maniera più o meno complessa nell’ambito di un sistema informatico – quello di maggiore impatto, ed oggetto di questo documento – è senza dubbio l’infrastruttura volta a garantire il backup dei dati gestiti dall’applicazione. Essa infatti viene impattata in maniera diretta dal diritto all’oblio, che riguarda fondamentalmente tutte quelle strategie da adottare nel momento in cui sia necessario cancellare un determinato dato su richiesta di un utente, nonché dai normali parametri di riservatezza e confidenzialità.

Da un punto di vista dell’applicativo in esecuzione e della sua base dati, l’implementazione di funzionalità di sicurezza e di cancellazione dei dati stanno oramai diventando funzionalità de-facto, che possono apparire abbastanza semplici da implementare: per garantire il diritto all’oblio, ad esempio, sarà sufficiente cancellare il tracciato dati relativo all’utente che ne abbia richiesto la cancellazione, mentre per garantire la confidenzialità del dato (e quindi indirettamente il diritto alla limitazione al trattamento) sarà sufficiente adottare dovute precauzioni nella gestione dei privilegi di accesso all’applicazioni ed eventuali politiche di cifratura dei dati su disco nella base dati (cifratura dati a riposo).

Raramente, invece, si focalizzano le problematiche dei dati degli utenti nell’ambito dell’ecosistema di Backup. Ogni dato trattato e gestito lascia alle sue spalle una proiezione della sua presenza sia all’interno dei sistemi informatici che lo hanno gestito, sia nei sistemi di backup.

Il GDPR, invece, richiede in maniera molto formale che ogni istanza dei dati dell’utente che chieda la cancellazione debba essere rimossa; è, quindi, assolutamente necessario prendere in considerazione anche delle strategie volte alla rimozione dalla stessa dai sistemi di backup.

Su Internet è possibile trovare della bibliografia  sul tema nel quale viene suggerito di adottare delle strategie volte a pianificare delle politiche di backup tramite le quali i dati di ogni utente siano collocati in un archivio a se stante – da cancellare quindi integralmente su richiesta dell’utente. Per quanto apparentemente risolutivo della problematica generale, questo approccio risulta decisamente di difficile applicazione in uno scenario applicativo che debba gestire dati di migliaia di utenti, sparsi in una base dati organizzata per gestire dei dati specifici di un determinato dominio applicativo.

Sarebbe altresì possibile progettare dei sistemi di backup che, invece di esportare la base dati in maniera diretta, la trasformino in un’estrazione aggregata dedicata, ma questo creerebbe degli enormi effort operativi nel mantenere la procedura di backup allineata con l’evoluzione della base dati, nonché un enorme incremento delle tempistiche di ripristino della base dati a fronte di un’anomalia hardware o applicativa (in altre parole, invece che limitarsi a ripristinare la base dati bisognerebbe avviare delle complesse procedure di re-importazione dei dati stessi) .

Tolta la possibilità di gestire in maniera automatizzata questa operazione, è necessario ridisegnare le procedure di backup affinché soddisfino i requisiti del GDPR.

In ambito SCHEMA31 stiamo pertanto adottando le seguenti linee guida:

Riduzione delle tempistiche di permanenza dei backup

Nel precedente approccio alla gestione dei Backup si era usata una filosofia secondo cui la situazione migliore possibile fosse quella di far perdurare il dato “più a lungo possibile” nel sistema di Backup.

Le così-dette policy di retention del sistema di backup erano pertanto disegnate per “riempire” totalmente il sistema di backup con la maggiore profondità storica possibile. All’esaurimento dello spazio nel sistema di backup, i nuovi backup avrebbero sovrascritto i più vecchi generando uno svecchiamento dei dati conservati. Nei casi degli applicativi con basi dati più contenute, questo poteva portare con semplicità ad una profondità storica di 5, 6, fino anche 10 anni di backup.

Questa scelta, “garantista” nei confronti della parte tecnologica, però risulta stridere fortemente con il diritto all’oblio (dato che una cancellazione nella base dati poteva far perdurare il dato nei backup anche per dieci anni), con il diritto alla limitazione del trattamento (dato che anche una riduzione del set dei dati trattati poteva richiedere decine di anni ad essere applicata), e con il diritto all’informativa (dato che non essendo pianificata in maniera preventiva una politica temporale di backup essa era di difficile formalizzazione nell’informativa all’utente).

A valle del ridisegno delle politiche di Backup in ottica GDPR si è deciso di modificare le policy di retention del sistema di backup affinché nessun dato storico venga conservato per più di due mesi dalla data in cui viene estratto dalla base dati.

Definire in maniera rigorosa questa metrica permette di comunicare questo dato in maniera chiara all’utenza (nel rispetto quindi del diritto all’informativa) e permette di garantire che a fronte di un utente che richieda una rettifica dei propri dati o la cancellazione dei propri dati, essa possa essere effettuata in maniera deterministica sia sulla base dati (in tempo reale) sia sulla base storica dei dati sulla piattaforma di backup (entro un massimo di due mesi).

Cifratura delle informazioni all’interno del sistema di backup

Un altro aspetto focale emerso durante la revisione delle politiche di Backup in un’ottica di rispetto delle linee guida del GDPR è relativo agli ulteriori step che è necessario adottare per garantire la tutela delle informazioni trattate dell’utenza, nell’ottica di limitare più possibile il trattamento delle stesse da parte sia di persone autorizzate che di persone non autorizzate che si trovino involontariamente a gestire i dati.

Detto altrimenti, la necessità – anche ai fini del rispetto delle norme ISO27001 e derivati – di definire il perimetro di confidenzialità di trattamento dei dati rende improvvisamente il sistema di backup il punto nevralgico della sicurezza all’interno dell’infrastruttura informatica: da una parte un utente malintenzionato non ha la necessità di superare gli elevati sbarramenti di sicurezza di un sistema disegnato per trattare dati riservati, quando può accedere ad una copia della base dati su un sistema con parametri di sicurezza inferiore (e solitamente aperto a molteplici sistemi diversi) quale il sistema di backup. D’altra parte qualsiasi operatore del sistema di Backup risulta involontariamente esposto a tutte le responsabilità di confidenzialità dei dati contenuti all’interno delle basi dati, spesso senza esserne neanche conscio.

Per aggirare questo problema si è deciso di definire delle logiche di cifratura delle basi dati esportate prima del loro invio verso il sistema di backup.

Specificamente, vi è da garantire una serie di aspetti fondamentali:

• Il rispetto dei migliori RTO (Recovery Time Objective)  – pertanto la procedura di ripristino di un backup deve essere mantenuta più “fruibile” possibile.
• Il rispetto della confidenzialità dei dati – pertanto la procedura di backup deve impedire il ripristino del backup da parte di un utente non designato all’operazione.
• Il rispetto dell’isolamento dei dati in chiaro dagli operatori del sistema di backup – pertanto la procedura di Backup non deve prevedere chiavi di decifrazione all’interno del sistema di Backup.

Per garantire il rispetto di questi fattori si è optato per effettuare una cifratura a chiave asimmetrica (chiave RSA da 2Kb con cifratura AES-256) della base dati esportata prima che essa venga inviata al sistema centrale di gestione di backup .

Specificamente l’esportazione della base dati provvederà a cifrare il backup stesso tramite una duplice chiave pubblica:

• La chiave pubblica del Server che sta effettuando il backup – di modo da garantire che in qualsiasi momento il Server che sta effettuando il backup sia in grado di ripristinare il proprio backup. Questo tipo di vincolo non introduce ulteriori falle ai principi di confidenzialità del dato, in quanto il codice che si occupa di effettuare il Backup ha già accesso alla base dati – conseguentemente qualsiasi violazione del Server da parte di un utente malintenzionato renderebbe accessibile la base dati nella sua interezza e non solo il suo stesso Backup. Al contempo questa scelta permette di garantire il miglior RTO possibile in quando un operatore correttamente abilitato all’accesso al Server potrà sempre effettuare il ripristino dello stesso (tramite l’accesso al backup con la chiave privata del Server stesso) qualora questo sia necessario. Parallelamente un operatore che abbia già accesso al Server, si può già considerare informato e conscio dei principi di confidenzialità dei dati che il Server stesso contiene.
• La chiave pubblica del Responsabile della Privacy dell’azienda – di modo da garantire che a fronte di un evento disastroso che corrompa in maniera irreversibile il Server, il backup dei suoi dati sia comunque accessibile su una piattaforma terza (piattaforma sostitutiva del Server o piattaforma esterna) fornendo tutte le adeguate garanzie di continuità del business. Questo tipo di vincolo non introduce ulteriori falle ai principi di confidenzialità del dato, dato che l’unico a poter accedere ai dati stessi è il Responsabile della Privacy tramite la sua chiave privata – quindi persona già titolata a farlo. Al contempo permette di garantire degli RTO adeguati semplicemente coinvolgendo il Responsabile della Privacy nella fase di ripristino dei dati stessi, anche a fronte di attività di personale operativo sistemistico non necessariamente designato per operare sulla base dati in questione (ad esempio operatori della nuova infrastruttura) e che quindi potrebbero non essere coscienti dei livelli di confidenzialità necessari nel trattamento dei dati in questione (a differenza del Responsabile della Privacy che a questo punto è necessariamente coinvolto).

Il sistema di backup centralizzato a questo punto si limiterà a copiare i file cifrati all’interno del sistema di Storage storicizzato senza possibilità da parte degli operatori del sistema di Backup o di terzi malintenzionati che vi abbiano accesso, di leggere alcun dato contenuto al suo interno.

Riferimenti

• IT Governance – The GDPR: Consumer rights for your personal data [ https://www.itgovernance.eu/blog/en/the-gdpr-consumer-rights-for-your-personal-data ] 
• IT Governance – The GDPR: How the right to be forgotten affects backups [ https://www.itgovernance.eu/blog/en/the-gdpr-how-the-right-to-be-forgotten-affects-backups ]
• Acronis – Backups and the GDPR “right to be forgotten”: Recommendations [ https://www.acronis.com/en-us/blog/posts/backups-and-gdpr-right-be-forgotten-recommendations ]
• The glorious uncertainty: Backup world is having a GDPR moment [ https://www.theregister.co.uk/2018/05/31/backup_gdpr_analysis/ ]
• Wikipedia – Recovery Time Objective [ https://it.wikipedia.org/wiki/Recovery_Time_Objective ]
• OpenSSL command line recipe for multi-public key file encryption. Any single private key paired to one of the public keys can decrypt the file. [ https://gist.github.com/kennwhite/9918739 ]