Consulenze privacy GDPR a prezzi stracciati: vale la pena?

Qualche giorno fa vengo contattato da un dirigente di un ente a cui è appena arrivata una proposta da parte di una ditta di consulenza, che si offre per consulenza GDPR. L’offerta economica sembra buona, anzi, il prezzo è davvero stracciato: 100 euro per la consulenza necessaria a preparare i documenti (nomine, informative, registri , eventuale DPIA ) e 1000 euro annui per svolgere il ruolo di DPO.

La cosa mi incuriosisce e decidiamo di contattare l’azienda, che ha sede a circa 80 km dalla sede legale dell’ente a cui era stata inviata la proposta.

Dopo la telefonata , si scopre che la consulenza per la preparazione dei documenti, consiste in una spiegazione su come preparare i documenti necessari ; operazione che spetta al cliente.

Riguardo il costo del DPO,  probabilmente si spera che durante l’anno non sia mai necessario recarsi fisicamente presso il cliente; speranza che, leggendo bene il testo del GDPR, sembra pura utopia, visto che al DPO viene chiesto di collaborare con il titolare e di aiutare l’azienda ad applicare correttamete quanto indicato nei vari documenti che riguardano la privacy.

Il Regolamento 679/2016, all’articolo 39 indica chiaramente i compiti del DPO:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b)

sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c)

fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d)

cooperare con l’autorità di controllo; e

e)

fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Non occorre una grande esperienza per capire che non ci si può aspettare molto da chi si propone di fare tutto questo per meno di 100 euro al mese, indipendentement dalle dimensioni dell’azienda/ente.

 

 

Bloccare l’ex sysadmin ficcanaso con uno script di due righe

L’episodio in questione risale a diversi anni addietro,  quando ancora l’abitudine di esporre su reti pubbliche macchine  server *nix  (ma anche macchine con altri OS ovviamente!)  senza  un firewall davanti era abbastanza diffusa, sopratutto su reti di dimensioni grandi gestite da vari sysadmin non sempre espertissimi.

Beh, in pratica sulla rete in questione (appartenente ad una struttura abbastanza grande), vi era una macchina *nix appunto, su cui  uno dei sysadmin iniziava ad avere il sospetto che venissero compiuti degli accessi non autorizzati.  Il sysadmin aveva più precisamente il sospetto che il suo predecessore (la persona che prima di lui aveva gestito quei sistemi, che in seguito aveva cambiato lavoro) ancora utilizzasse quella macchina, utilizzando il suo vecchio account.

All’epoca (correva l’anno duemila se non erro!) non c’era ancora l’ADSL in casa (o almeno non in tutte le case!) e poter avere un accesso ad un server su una linea veloce  su cui scaricare magari dati era un privilegio per pochi (avere una linea da 1Mbit all’epoca significava essere invidiati da tutti, visto che l’utente domestico era abituato a navigare con modem da 56 Kbit, oggi ovviamente con l’ ADSL queste velocità farebbero ridere)

…Il nostro sysadmin quindi, dopo aver ipotizzato che il suo predecessore avesse ancora accesso alla macchina, iniziò a controllare i log di sistema, ma si accorse ben presto che i log erano stati ripuliti (alcuni file erano proprio stati cancellati, altri modificati eliminando IP di provenienza e username relativi ai login non autorizzati); non poteva dunque avere nessuna prova che attestasse un accesso non autorizzato.

Non occorre essere esperti di network forensic per capire che utilizzando un sistema in grado di fare da bridge si sarebbe potuto con facilità ottenere una traccia su logfile degli accessi, tuttavia per una serie di motivi (tra i quali una distanza di qualche centinaio di km tra me e il server in questione e l’impossibilità di collocare sulla rete un dispositivo simile) questa soluzione risultava impraticabile, cosi’ come appariva inutile pensare di poter sfruttare i classici logserver remoti , poichè anche questa soluzione sarebbe stata difficile da implementare in quelle condizioni.

L’unica cosa certa che avevamo potuto constatare, con un portscan era il fatto che questo tizio si era creato una sua backdoor aprendo una porta sul server ed entrando con i permessi di root.; per cui alla fine ci venne un’idea semplice ma efficace per beccare il simpaticone con le mani nel sacco (o meglio,per impedire che potesse cancellare i log): dato che mettere le mani sul server per creare qualche script complesso, bastava fare un piccolo script di due righe che, lanciato ad intervalli di tempo molto ristretti, si accertava della presenza dell’utente in questione  collegato da dispositivi diversi  dalla consolle e in caso positivo spegnesse il server (rendendo quindi impossibile la modifica dei log senza accedere fisicamente alla macchina)

Ovviamente dopo un paio di giorni, lo script aveva fatto il suo lavoro, spegnendo il server durante un accesso non autorizzato del vecchio sysadmin; che dovette quindi spiegare le ragioni della sua condotta.

quando il peggiore virus è il tuo collega dell’ IT

Mi è capitato, in questi anni, facendo consulenza in enti ed aziende, di avere a che fare con altri consulenti e colleghi IT e debbo ammettere che, affianco a persone molto preparate e sempre disponibili ho potuto notare anche ambienti di lavoro in cui  mettersi i bastoni tra le ruote, tra colleghi dello stesso ufficio, era l’attivita quotidiana preferita.

E allora vieni a sapere che c’e’ quel dipendente che parla male di te (e ingenuamente lo fa davanti ai propri colleghi senza capire che forse gli altri non la pensano come te), trovi quello che non sapendo come intralciare il tuo lavoro (perchè giustamente tu hai impostato una password senza dirgliela, viste le leggi in materia di privacy) passa le giornate cercare di capire come boicottare il tuo lavoro,ma anche con il massimo dell’impegno, l’unica cosa che riesce a inventarsi è scollegare qualche cavo oppure cercare di dare lo stesso IP del tuo server a qualche altra macchina (fingendo di non aver letto bene la tabella con elencati gli ip liberi).

In questo contesto di invidia generale devo quasi dire che sono stato quasi contento quando un collega (in buona fede!) mise mano ad Active directory (e chi ha lavorato con questo strumento conosce bene quanto sia delicato!) rinominando il nome del server e controller di dominio ..perchè non gli piaceva quel nome (e visto che c’era ha anche ben pensato di creare un’ unità organizzativa dove mettere tutti gli utenti!)

Decisamente peggio fece un dipendente di una ditta in cui implementai un sistema di virtualizzazione qualche tempo fa: aveva tenuto spento il controller secondario per oltre tre mesi (non chiedetemi per quale motivo!) e al riavvio potete immaginare cosa sia potuto succedere (l’attuale persona che gestisce l’IT sta ancora cercando di risolvere il problema!)

Insomma, il vero problema non sempre sono gli utonti, ma a volte anche chi fa il tuo lavoro.

un coraggioso grido di denuncia:”S. scopa in sala server”

In tanti anni di consulenza ho visto sale server utilizzate per gli scopi più assurdi (a volte l’uso come sale server era quasi secondario!), in alcuni casi vi ho trovato mobili d’ufficio smontati ed accatastati in un angolo, qualche volta ho visto dipendenti che utilizzavano la sala server per tenere al fresco bibite e pasticcini per un rinfresco tra colleghi (e pensare che lo avevo suggerito io, per scherzare!), io stesso ammetto, in una torrida estate di qualche anno fa, di aver traslocato la mia scrivania dentro la sala server per stare al fresco e tenere al fresco la bottiglia d’acqua; ma sicuramente immaginare una sala server come un luogo dove amoreggiare è una cosa che non avevo mai pensato (anche perche’ di solito nelle sale server c’è un impianto di videosorveglianza)

Proprio per questo motivo anni fa, rimaso sconcertato vedendo scritta (con lo spray) su un muro del corridoio la scritta “S. scopa in sala server” . Si trattava di un corridoio di una struttura pubblica e quindi immagino che non sia stato mai trovato un colpevole (visto il via vai di persone), tuttavia sul momento ingenuamente pensai che fosse un invito al personaggio in questione a pulire in sala server perchè magari qualche dirigente maniaco della pulizia la ritenesse sporca.

Poi un dipendente della struttura mi spiegò che si vociferava di alcune tresche (storiacce!) appunto tra il famigerato S. e una sua collega.

Certo pero’ che utilizzare la sala server in questo modo non è il massimo, considerando la temperatura che dovrebbe essere attorno ai 18-20 gradi ! 🙂

Quando il wc trabocca, la sala server si allaga

Parlando con altri consulenti IT o impiegati dei CED vi sarà sicuramente capitato di sentire le storie più assurde: un amico una volta mi raccontò di aver lavorato in una sala server (un sottoscala!) non protetto da UPS, dove i server più volte al giorno dovevano essere riavviati perche’ andava via la luce ogni volta che i muratori accendevano la mola.

La stessa persona, quando andai in visita nella sua azienda e feci notare che i server erano impolverati, mi spiego’ che quando avevano messo in piedi la sala server, c’erano ancora gli operai che stavano lavorando con il cartongesso …e quindi la polvere era finita persino nel lettore CD dei server (che infatti aveva problemi a leggere i CD !)

Ma la cosa piu’ incredibile è stato, parlando con alcuni amici informatici, scoprire che le sale server si allagano con una frequenza tale..che neppure a farlo apposta.

Ricordo una volta un armadio di rete in un’azienda, che era stato montato nei pressi della zona di giunzione tra due capannoni; ogni volta che pioveva, a causa di alcuni problemi nell’isolamento del tetto, si poteva vedere una vera e propria cascata d’acqua che scendeva dal sottotetto , colando sulla colonna affianco all’armadio di rete (in cui ci sono apparati di rete collegati alla tensione a 220V, ricordiamolo) e allagando l’intera area uffici.

Il caso più eclatante è stato vedere una sala server allagata (pochi centimetri d’acqua sul pavimento..per fortuna i server erano ben rialzati da terra) a causa di un WC nelle immediate vicinanze.

Nell’area del CED infatti, la sala server era stata realizzata accanto ad un bagno e probabilmente il pavimento aveva una lieve pendenza; fatto sta che ogni volta che c’erano problemi con le fogne, il water traboccava (per ovvi potivi idraulici!); sfortuna volle che tutto cio’ avvenne durante un periodo di assenza degli uomini del CED, per cui solo al ritorno dalle ferie i malcapitati entrati nell’ufficio scoprirono (anche dall’odore non troppo gradevole) che parte del locale e la sala server erano allagati.

Se anche nelle sale server delle vostre aziende sono successe cose simili.. commentate!

storie, storielle e storiacce dalla sala server

La goccia che ha fatto traboccare il vaso è stato scoprire che una ditta esterna che cura l’assistenza sul database aziendale non aveva inserito la password per un utente:l’amministratore.

La cosa, che già di per se è un reato, chiaramente agli occhi di un non addetto ai lavori potrebbe sembrare una semplice dimenticanza; per un informatico, un errore simile significa esporre l’azienda a perdite di dati e/o furto d’informazioni (scegliete voi quale è piu’ grave tra le due cose).

Parlando, tempo addietro, di questa vicenda con degli amici, anche loro impegnati nella consulenza informatica (e che, come il sottoscritto ne vedono  e ne sentono  di tutti i colori) è nata l’idea di creare in questo blog un angolo dedicato alle “perle” o meglio alle storie (reali), storielle e storiacce che accadono in aziende ed enti dove abbiamo avuto modo di lavorare.

Chi volesse contribuire segnalando diverbi con gli utenti (utonti?) del proprio sistema informatico o disavventure varie puo’ commentare i vari articoli !