Credi di essere conforme alle disposizioni di legge ?
Sono purtroppo frequenti i casi di "adeguamenti" non conformi alle disposizioni dell'art.34 in merito alle adozioni delle misure minime di sicurezza. I professionisti certificati esperti.com in tema di sicurezza e redazione del D.p.s. incaricati ad un controllo in merito ad adeguamenti effettuati da terze parti, hanno evidenziato gravi carenze e superficialità nel trattare l'argomento. Nel seguito alcuni casi...
Autenticazione informatica e Windows nelle versioni 95/98/me
I sistemi operativi Microsoft Windows delle cosidette versioni 9x, Windows 95, 98, e Me(Millennium), non rispondono e requisiti minimi di sicurezza informatica, come previsto dal D.Lgs 196/2003 art. 34 lettera a), in quanto a livello locale le password in questi sistemi operativi non sono state previste per l'autenticazione informatica. Infatti è sufficiente confermare l'accesso senza inserire alcuna password, anche nel caso fosse stata imposta, per poter avere accesso a tutto il contenuto del PC. Nel caso quindi di postazioni PC con i sistemi operativi sopra indicati, va previsto l'aggiornamento degli stessi, ove possibile, a versioni di sistemi operativi della famiglia WINDOWS NT, ovvero vanno utilizzati sistemi di autenticazione non propri del sistema operativo ma di terze parti.
Autenticazione informatica e Windows XP home/professional
nella installazione standard di Windows XP sia nella versione Home che nella versione Professional, viene automaticamente configurato l'accesso al PC con un utente creato dal programma di installazione, è importante sottolineare che non viene chiesta durante questa fase una password da abbinare all'utente, quindi nella configurazione base il PC non è protetto dagli accessi non autorizzati. Inoltre è MOLTO IMPORTANTE precisare che pur non essendo visibile nell'utilizzo normale del PC esiste un utente predisposto automaticamente che può essere utilizzato solo in modalità provvisoria, questo utente ha la password vuota permettendo così di accedere al PC in qualsiasi momento.
Autenticazione informatica e password configurata nel BIOS.
Molto spesso, nel caso di PC con sistemi operativi Windows 9x, viene adottata questa soluzione per proteggere l'accesso al PC da parte di estranei. E' una soluzione del tutto inutile in quanto è sufficiente togliere la batteria dalla mother board del PC per qualche secondo per azzerare qualsiasi configurazione del BIOS, cancellando quindi le password eventualmente codificate.
Microsoft SQL2000, autenticazione accessi.
Microsoft SQL2000 prevede all'atto dell'installazione la possibilità di definire se devono essere usati gli account propri del sistema Windows in cui viene installato oltre a quelli eventualmente codificati in SQL SERVER oppure se l'accesso deve essere controllato solamente dagli account codificati in SQL SERVER stesso. In entrambi i casi viene configurato un utente amministratore di SQL SERVER con password vuota, salvo che non sia stato installato il service Pack 3 di SQL2000, è MOLTO IMPORTANTE che la password venga configurata in quanto risultano facilmente accessibili i dati dei database caricati in SQL SERVER qualora non venga presa questa precauzione. E' quindi opportuno in ogni casso aggiornare SQL SERVER 2000 con il service pack sopra indicato, infatti durante l'aggiornamento viene obbligatoriamente richiesta la password per l'amministratorre del server.
Autorizzazione e Windows XP
L'utente creato in automatico durante l'installazione del sistema operativo Windows XP sia nella versione Home che nella versione Professional, viene configurato come amministratore del PC, questo tipo di configurazione comporta che quando l'utente sta usando il PC, lascia aperto il PC ad attacchi esterni, quali installazione non autorizzata di spyware e/o virus informatici, riconfigurazione del registro di sistema e accesso a ogni tipo di dato presente nel PC sia propri che di altri utenti. E' importante quindi impostare il gruppo di appartenenza dei vari utenti in modo restrittivo con particolare riferimento all'installazione e/o modifica di parti del sistema operativo.
