Il GDPR “Regolamento Generale sulla Protezione dei Dati” è Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, in vigore dal 25 maggio 2018,, è stato emanato per adeguare le previgenti normative in materia di tutela delle persone fisiche all’interno dell’Unione Europea, con riguardo al trattamento dei dati personali, indipendentemente dal luogo in cui gli stessi vengono trattati, nonché alla libera circolazione di tali dati , senza distinzione degli strumenti utilizzati per raccogliere le predette informazioni.
GDPR: Conformità pfSense e OPNsense
- Chi riguarda il GDPR e cosa comporta?
- Obiettivo di questa guida
- Principali novità introdotte dal GDPR
- Impostazioni su pfSense /OPNsense.
Il GDPR abroga la direttiva 95/46/CE “Tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” e affianca il D. Lgs. 196/2003 “Codice della Privacy” che raccoglie la maggior parte delle disposizioni in materia di privacy e di trattamento dei dati personali.
Nei casi di incompatibilità tra la normativa nazionale e quella europea sarà necessario provvedere agli adeguamenti previsti dal GDPR; laddove sia possibile la coesistenza tra le predette norme il “Codice della Privacy“ continuerà ad essere applicabile andando a definire misure non vincolate dal GDPR ancorché più rigorose e limitanti.
Chi riguarda il GDPR e cosa comporta?
I GDPR obbliga le aziende di qualsiasi dimensione ad adottare un nuovo insieme di processi, metodologie e politiche, con specifica deroga in merito alla conservazione delle registrazioni per le realtà al di sotto dei 250 dipendenti, volte a fornire alle persone fisiche garanzie in merito alla protezione dei dati personali unitamente a maggiori tutele e controlli sulle modalità con cui tali dati vengono trattati, archiviati e protetti.
Quanto sopra comporterà come conseguenze, improcrastinabili adeguamenti dei sistemi coinvolti e adibiti sia alla gestione che alla protezione dei dati personali, quali pfSense® CE/OPNsense, in modo da comprovare il rigoroso adempimento alle ultime prescrizioni normative, tutelando quindi l’operato aziendale e conseguentemente le figure coinvolte, dal datore di lavoro al vertice della specifica realtà, sino al diretto responsabile del trattamento dei dati personali, figura quest’ultima che si rivela di fondamentale importanza alla luce degli effetti prodotti dal GDPR.
Obiettivo di questa guida
La presente guida, da intendersi a titolo esemplificativo e non esaustivo, non potendo per ovvie ragioni trattare la specificità della singola realtà aziendale, che naturalmente necessita di una analisi di secondo livello personalizzata e approfondita, ha lo scopo di guidare il lettore introducendo gli aspetti cardinali del GDPR, alla luce delle implementazioni attuabili per i sistemi pfSense/OPNsense che, ad oggi, sono stati sviluppati per fornire strumenti di primaria importanza, in modo da consentire all’organizzazione che li adotta, di rispettare gli adempimenti imposti dal legislatore ed operare, a pieno titolo, secondo le nuove disposizioni del GDPR.
Come nel prosieguo esplicitato con maggior dettaglio, il GDPR richiederà specifiche configurazioni definite dai dettami normativi e di necessaria implementazione a seguito di attenta valutazione.
È poco significativo domandarsi se prodotti quali pfSense® CE, OPNSense o analoghi risultino compatibili con il GDPR dato che, in realtà, la discriminante principale risulta la tipologia di installazione effettuata, o da effettuarsi, per verificare che sia quella più idonea ed indicata per l’attività dell’organizzazione.
Il GDPR non esplicita le misure da adottare in modo specifico per giungere a garantire la protezione dei dati personali ma fornisce delle indicazioni di carattere generale che, una volta attuate, concorreranno al fine promosso dal normatore. Risulta quindi necessario valutare, per il singolo caso, i requisiti minimi atti a garantire il livello di protezione perseguibile sulla base della tecnologia applicabile e dei costi di attuazione proporzionati a tale fine.
Nel prosieguo del presente articolo si effettueranno riferimenti a specifiche caratteristiche hardware e di funzionalità dei sistemi pfSense/OPNsense. Per agevolare la lettura, la comprensione e portare tangibili benefici al lettore si consiglia di approfondire le seguenti tematiche, grazie ai due collegamenti sotto riportati:
- Guida al dimensionamento hardware: https://blog.miniserver.it/dimensionare-hardware-pfsense/
- Strumento interattivo per il dimensionamento e scelta delle caratteristiche degli apparati
Principali novità introdotte dal GDPR
Prima di analizzare in dettaglio in che modo configurare i sistemi pfSense® CE / OPNsense con i relativi parametri occorre definire quali sono gli adempimenti/requisiti introdotti dai singoli articoli contenuti nel GDPR.
I principali ai fini della presente guida, che riguardano prevalentemente le configurazioni di pfSense® CE / OPNsense risultano:
1. Articolo 4
La “violazione dei dati personali” è definita quale“ violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.”
2. Articolo 32: Sicurezza del trattamento
Questo articolo del GDPR risulta uno dei più significativi per l’installazione e la gestione di un sistema basato su pfSense® CE e OPNsense in quanto riporta concetti quali progettare e/o scegliere il device più appropriato per lo scopo.
“1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali; 4.5.2016 L 119/51 Gazzetta ufficiale dell’Unione europea IT
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.”
3 Articolo 33: Notifica di una violazione dei dati personali all’autorità di controllo.
“In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
Le organizzazioni, dovranno quindi prevedere specifiche procedure di controllo costante e successiva segnalazione alle autorità di supervisione nazionale qualora venissero riscontrate violazioni dei dati personali quali ad esempio accessi non autorizzati.
4. Articolo 34: Comunicazione di una violazione dei dati personali all’interessato.
“Nel caso in cui la violazione dei dati personali possa comportare un rischio elevato per i diritti e le libertà delle persone, il controllore dovrà comunicare tale violazione al proprietario dei dati senza indebito ritardo”
Proseguendo la lettura si evince che la comunicazione dovrà essere fatta solo in alcuni casi:
La comunicazione al proprietario dei dati, come indicato nel paragrafo 1, non è vincolante qualora fosse rispettata almeno una delle seguenti condizioni:
a) il titolare del trattamento ha implementato appropriate misure di protezione tecniche e organizzative e queste misure sono state applicate ai dati personali oggetto della violazione. Si fa particolare riferimento a quelle tecnologie che rendono i dati personali illeggibili per qualsiasi persona non autorizzata ad accedervi, come ad esempio la crittografia;
b) il controllore ha adottato successive misure tali da assicurare che l’elevato rischio per i diritti e le libertà delle persone, come indicato nel paragrafo 1, non si possa concretizzare;
c) comporta uno sforzo sproporzionato. In questo caso ci sarà una comunicazione pubblica o di natura simile in grado di informare le persone interessate in maniera altrettanto efficace.
5. Implementazione di un sistema di audit
In alcuni casi, anche se non espressamente indicato sulla normativa, dovremo consentire la tranciabilità delle operazioni effettuate a carico dei dati personali ossia gli accessi volti all’inserimento, alla consultazione, alla rettifica o alla cancellazione dei predetti dati.
L’audit non viene chiesto in modo diretto, ma è necessario per poter accertare a quale titolo e con quale scopo vengano effettuati accessi ai dati personali.
Ovviamente il sistema di auditing su un router/firewall pfSense/OPNsense è strettamente necessario solo se, in qualche modo, esso rappresenta un punto di accesso ai dati personali come per collegamenti in VPN al sistema informatico aziendale o nel caso in cui il firewall è posto a protezione di un applicativo in cloud che ospita dati personali.
Qualora si dovesse applicare la procedura di notifica come da Articolo 33 o Articolo 34, i log potrebbero essere un utile documentazione a corredo della segnalazione da inviare all’autorità di controllo.
Altro aspetto non secondario che potrebbe emergere dalla conservazione dei log è la possibilità che essi rappresentino loro stessi dei dati personali. Userid, indirizzi ip, ecc. possono lasciare tracce in grado di correlare dati a persone fisiche. Dovranno essere quindi effettuale apposite valutazioni al fine di rendere compliant anche questa parte.
Anche in questo caso pfSense/OPNsense forniscono gli strumenti che ci permettono di progettare un sistema idoneo alle esigenze dell’organizzazione e ci dà così la possibilità di:
- Ospitare i log all’interno del sistema stesso.
- Ridirigere i log su un sistema esterno.
- Installazione pacchetti appositi per la gestione avanzata dei log come syslog-ng che può anche fornire archiviazione sicura e crittografata dei log.
Qualora si scegliesse la soluzione di mantenere i log all’interno del sistema sarà anche possibile acquistare una delle nostre soluzioni con disco crittografato.
Impostazioni su pfSense /OPNsense.
Per escludere a priori nella quasi totalità delle casistiche di dover inviare la succitata comunicazione all’autorità o all’interessato (di cui al punto 4.4) e scongiurare le sanzioni previste (di cui all’art. 83), verranno adeguatamente configurati i device pfSense/OPNsense.
1. Progettare o adeguare un sistema in base all’Articolo 32.
Come descritto nel punto 4.2, l’articolo 32 è uno dei più importanti per la progettazione di un sistema firewall/router e per questo motivo merita particolare attenzione.
Nel caso in cui il nostro firewall pfSense/OPNsense sarà destinato a proteggere un sistema che gestisce anche dati personali, sarà necessario verificare la puntuale attuazione di tutte le misure tecniche perseguibili sulla base della tecnologia applicabile e dei costi di attuazione.
Esaminando in maggior dettaglio il predetto articolo si nota che il legislatore non entra nel merito di specificare quali imposizioni tecniche nel dettaglio applicare ma sancisce bensì gli aspetti nodali da considerare nella valutazione ossia:
- lo stato dell’arte;
- i costi di attuazione;
- il contesto e le finalità del trattamento;
- il rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Una volta operate queste valutazioni e solo a seguito delle stesse sarà possibile “mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Le misure tecniche che ci consiglia di adottare sono le seguenti:
a) la pseudonimizzazione e cifratura di cui parleremo nelle pagine successive.
b)c) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
Termini quali disponibilità e resilienza, il concetto di “capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati” indicano la volontà del legislatore di favorire l’utilizzo di tecnologie come la ridondanza hardware dei componenti, l’alta affidabilità tra appliance e ridondanza della connettività per garantire che i sistemi possano fornire sempre l’accesso ai dati.
Come si effettua una valutazione oggettiva per stabilire se un’organizzazione necessita di un sistema completamente ridondato oppure è sufficiente avere un sistema semplice?
Per esempio, se l’inaccessibilità dei dati comportasse un rischio per l’individuo, per la sua libertà o per la sua salute allora in ottemperanza alla normativa dovrei almeno proporre tutte le soluzioni tecnologiche atte a garanzia del servizio. Non solo vi è la necessità di garantire la sicurezza dei dati personali, utilizzando quindi cifratura di carattere avanzato e pseudonimizzazione come pocanzi accennato ma è altresì necessario consentire al soggetto individuato dai dati raccolti di poter accedere agli stessi, modificarli ed esercitare gli ulteriori diritti previsti dal GDPR. Risulta quindi necessaria l’attuazione di:
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Anche in questo caso dal punto di vista tecnico, il legislatore si astiene dal definire chiaramente i metodi per soddisfare le prescrizioni, lasciando alle organizzazioni l’onere della valutazione di quali siano le misure tecniche che garantiscano la sicurezza del trattamento.
È chiaro a tutti gli esperti di IT e ICT che quanto oggi è considerato sicuro (o più correttamente “sembra sicuro”) e in piena efficienza, domani potrebbe non esserlo.
Il punto d) tratta proprio questo aspetto che sta diventando sempre di più strategico per la sicurezza delle organizzazioni di ogni dimensione. Le possibili soluzioni sono ovviamente numerose e, partendo dall’implementare sui sistemi pfSense/OPNsense di pacchetti che inviano tramite mail i report dello stato del sistema, passando per l’analisi della sicurezza eseguita da sistemi esterni che simulano dei veri e propri attacchi informatici per fornire un report sulla sicurezza del sistema, si giunge fino all’implementazione di soluzioni di monitoraggio esterno utilizzando pacchetti aggiuntivi come Zabbix che pfSense e OPNSense integrano al loro interno.
Si resta ovviamente a completa disposizione per approfondire nello specifico tutte le possibilità offerte dai sistemi pfSense e OPNSense.
Altro aspetto importante che riguarda i fornitori di servizi IT ed il titolare del trattamento sono i contratti di assistenza che, stipulati con organizzazioni che hanno competenze tecniche a riguardo, hanno lo scopo di tutelare il responsabile del trattamento qualora venissero registrate delle violazioni. A questo proposito, si segnala il considerando (81) del “Regolamento Generale sulla Protezione dei Dati” che sancisce quanto nelle precedenti righe riportato.
Si tratta quindi di fornire l’assistenza necessaria all’organizzazione per definire:
- quale apparato acquistare;
- quale tecnologie deve essere implementata nel dispositivo di cui al punto precedente per garantirne il soddisfacimento del GDPR;
- come configurare il device per la realtà specifica;
- quali sono le procedure più indicate per testare e verificare la sicurezza del sistema;
- quali dati devono essere tracciati per verificare che l’accesso ai dati personali venga eseguito unicamente dai soggetti titolati ed autorizzati.
Ovviamente non può esistere una soluzione univoca e generalizzata che risponda a tutte le prescrizioni trattate nel presente articolo. Quanto certamente verrà fornito al cliente, a seconda che ci si trovi nei panni di un consulente IT o di un responsabile del trattamento dei dati, è l’opportuna documentazione necessaria a comprovare, secondo i criteri esposti in precedenza, il soddisfacimento dei requisiti sanciti dal GDPR in base alle scelte operate e alle soluzioni tecnologiche opportunamente fornite e implementate.
2. Considerando il punto 81 (necessità di ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti)
“Il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento.”
“L’esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento.”
pfSense/OPNsense, tramite soluzioni appositamente studiate per il cliente, unitamente a verifiche continuative sulla sicurezza dei sistemi installati con particolare riferimento ai dati personali, consentiranno di comprovare, tramite documentazione periodicamente aggiornata, il pieno adempimento agli obblighi sanciti dal GDPR e che saranno oggetto del contratto in essere tra il responsabile del trattamento al titolare del trattamento.
3. Dati contenuti nel filesystem del firewall/router.
Si può procedere ad analizzare quale dato personale potrebbe essere presente in un sistema tipo pfSense/OPNsense.
Data la definizione di “dato personale” all’articolo 4:
“«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”
si possono affrontare le differenti casistiche di cui, la prima ad esempio, potrebbe essere il nome assegnato ad un utente e/o al certificato digitale VPN di un eventuale road warrior. In questo caso il GDPR consiglia di usare la pseudonimizzazione suggerita anche nell’Articolo 25 e dall’Articolo 32 paragrafo a.
Sempre dall’articolo 4:
“pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;”
Un tema di primaria importanza riguarda la configurazione di un Captive Portal realizzato con pfSense/OPNsense. In un sistema configurato per svolgere anche questo compito la questione si complica in quanto i dati personali degli utenti potrebbero risiedere sul sistema.
Questo è l’unico caso, ad oggi ragionevolmente ipotizzabile, in cui in un sistema come pfSense® CE/OPNsense potranno essere presenti dati personali degli utenti. L’azione principale da intraprendere è quella di ricorrere ancora una volta alla pseudonimizzazione in modo che, qualora vi fosse una violazione, l’aggressore non possa correlare i dati di cui è entrato in possesso alla persona fisica a cui tali dati appartengono.
Qualora la situazione lo richiedesse, sarà anche possibile acquistare un firewall router con disco crittografato al proprio interno.
4. Quali dati transitano in un firewall/router?
Essendo un firewall o un router pfSense/OPNsense un sistema che per definizione unisce due o più segmenti di rete, è importante dirigere l’attenzione sul tipo di dato che potrebbe transitare tra due o più segmenti.
È ovvio che potrebbero transitare informazioni di varia natura, come per esempio dati personali, dati biometrici, dati genetici, ecc… tutti oggetto del GDPR. Si deve quindi porre in sicurezza questo tipo di informazioni nel modo più efficiente possibile e perseguibile sulla base della tecnologia applicabile e dei costi di attuazione.
Come descritto nel punto 4, all’interno del GDPR sono presenti numerosi riferimenti alla crittografia dei dati utili per fornire una ulteriore e importante linea guida da adottare per le configurazioni dei nostri appliance.
Occorre pensare che per mettere in sicurezza un sistema, qualsiasi collegamento dovrebbe avvenire mediante protocollo crittografato.
Ne è un esempio incentivare l’uso delle VPN a discapito delle porte RDP aperte dall’esterno che prima dell’entrata in vigore del GDPR rappresentavano già un abominio in merito alla sicurezza informatica e da oggi non saranno più in linea con le nuove prescrizioni.
Analogo ragionamento può essere applicato a tutti i protocolli come, solo per citare alcuni dei più blasonati, http, ftp, pop3, imap, smtp, ecc… che, si ricorda, hanno una loro versione “sicura” e quindi crittografata.
Fortunatamente, a livello internazionale, verranno nel breve periodo abbandonati quei servizi non basati sulla crittografia: ad esempio Google non riterrà più affidabili i siti che non implementano il protocollo https e di conseguenza il problema dovrà obbligatoriamente essere affrontato a livello globale.
5. Accesso al sistema:
Pur non essendo fornite dal GDPR esplicite indicazioni, l’organizzazione, dopo opportuna valutazione, potrebbe riscontrare la necessità di regolare e/o limitare l’accesso e le attività di amministratori e utenti su device pfSense/OPNsense.
È pratica comune tra gli IT utilizzare l’accesso admin senza discriminare l’individuo che accede al sistema. pfSense/OPNsense offrono la features adeguate per la limitazione alle informazioni sul pannello di amministrazione potendo definire differenti utenti con vari permessi di accesso.
Si avrà quindi la possibilità di definire quali utenti accedono alle informazioni e di che natura saranno le stesse per integrare un sistema di auditing delle operazioni.
6. Uso degli IDS
Sia pfSense che OPNsense integrano al loro interno degli strumenti che possono aiutare il personale IT a capire se c’è stata una violazione. Si tratta degli IDS o Intrusion Detection System.
Nel nostro specifico caso, un IDS è uno strumento software o pacchetto installabile all’interno del nostro sistema pfSense/OPNsense utilizzato per identificare accessi non autorizzati ai computer, server o alle reti locali.
Nello specifico pfSense adotta SNORT come sistema IDS e Suricata, mentre su OPNsense integra al suo interno Suricata
7. Multe e sanzioni
Conseguenze penali e multe fino a 20 Milioni di Euro o il 4% del fatturato aziendale.
8. Conclusioni.
Il GDPR non rappresenta solamente un passo avanti per l’Europa nella tutela dei dati personali e dei diritti della persona fisica a cui appartengono, ma richiede uno sforzo piuttosto ingente in merito alla sicurezza di ogni organizzazione al fine di concorrere ad un miglioramento generalizzato di tutta la rete.
Come analizzato quindi la norma non impone delle precise prescrizione di carattere tecnico, tuttavia lo scopo del legislatore è quello di fissare i principi secondo cui agire e a cui ogni organizzazione deve attenersi per raggiungere la soluzione più idonea allo specifico caso.
Si può quindi, in conclusione, affermare che le features offerte da pfSense e OPNsense sono in grado di adempire compiutamente al GDPR in vigore dal 25 maggio 2018.