Router Firewall e conformit al GDPRGDPR: Conformità di Router e Firewall

Il Regolamento generale sulla protezione dei dati (GDPR) costituisce l’insieme delle nuove normative europee che sono entrate in vigore da maggio 2018 in materia di sicurezza dei dati e delle informazioni. Le normative riguardano il modo in cui vengono gestiti e protetti i dati personali (elettronici o di altro tipo) e riguardano, nello specifico l’archiviazione, condivisione, utilizzo, autorizzazione, divulgazione e cancellazione.

L’interesse sull’argomento e le relative discussioni sono piuttosto elevate. Un intero settore è sorto nel fornire consulenza su GDPR e offrire audit di conformità sulle operazioni aziendali.

In questo breve articolo ci soffermeremo un attimo sulla sicurezza dei dispositivi Router e Firewall e la relativa conformità ai disposti previsti dal GDPR. Per prima cosa occorre constatare che non si possa essere assolutamente certi di essere a a prova di hacker. Questo è un dato di fatto che però non fa altro che accentuare l’attenzione sulle misure da porre in essere al fine di garantire la sicurezza nell’ambito del networking e degli apparati terminali router/firewall. In particolare il GDPR prevede l’obbligo di mettere in atto tutte le policy necessarie al fine di ridurre i rischi e cambiare la cultura aziendale per essere più consapevoli e assumersi maggiori responsabilità.

Lo schema “Cyber Essentials”

In quanto tale, rispetto a PCI DSS (vedi più avanti), che impone requisiti tecnici molto specifici, GDPR è meno specifico  e si limita a richiedere controlli e infrastrutture adeguate per la vostra attività specifica. Lo schema “Cyber ​​Essentials“, che è uno schema governativo adottato da molte delle società di test / audit, comprende 5 aree principali (ricordate che questi non sono prescizioni esplicite del GDPR):

  • Protezione della connessione Internet attraverso router / firewall
  • Proteggi di tutti i dispositivi e dei software utilizzati in ambito aziendale (PC, tablet, telefoni)
  • Controllo dell’accesso ai vostri dati e servizi di rete quali computer e server
  • Protezione da virus e altri malware (prodotti hardware o software)
  • Aggiornamento costante dei dispositivi e del software quali ad es. i sistemi operativi o il firmware degli apparati
  • La certificazione secondo lo schema cyber essentials che può fornire ai clienti la certezza di essere a conoscenza delle proprie responsabilità e di agire di conseguenza. La certificazione tuttavia non annulla le responsabilità relative al GDPR, né garantisce che l’utente rimanga conforme .
  • Se si elaborano dati nel cloud, è necessario assicurarsi che i fornitori di servizi cloud mantengano la conformità appropriata.

Router Firewall e Conformità al GDPR

L’ambito di applicazione del GDPR è molto esteso e non è possibile fornire indicazioni specifiche sulla conformità senza conoscere esattamente la realtà aziendale. Nonostante ciò, una buona parte delle disposizioni si applica alle apparecchiature IT e router / firewall. Oltre a considerare le 5 aree sopra esposte, è necessario disporre di processi per garantire che tutte le prescrizioni siano regolarmente garantite. In particolare è necessario utilizzare tutte le funzionalità di sicurezza fornite dalle apparecchiature IT, in particolare con il controllo degli accessi e utilizzando i metodi di protezione più efficaci garantiti dall’hardware e dal software.

E’ importante osservare che il semplice possesso di un firewall non garantisce in alcun modo la conformità ai disposti del GDPR. La sicurezza e le prescrizioni previste dal GDPR possono esssere attuate unicamente se il sistema è correttamente configurato per impedire gli accessi indesiderati, proteggere le connessioni in ingresso e filtrare, eventualmente anche le connessioni in uscita a mezzo filtri di ispezione applicati su diversi layer. Ultima prescrizione, non meno importante, riguarda l’aggiornamento e il monitoraggio costante degli apparati.

La semplice conformità progettuale di un firewall ai disposti del GDPR, dichiarata dal produttore non è dunque sufficiente a garantire il rispetto della normativa. I produttori si limitano a garantire la specifiche progettuali dello stesso al fine di garantire la privacy. Un firewall non opportunamente configurato è assolutamente inutile al fine di garantire la privacy e la necessaria sicurezza. Il Ruolo di un installatore specializzato in sicurezza è quello di effettuare la configurazione più opportuna considerando la realtà e le esigenze aziendali. Altrettanto importante è documentare scrupolosamente tutte le procedure di sicurezza messe in atto attraverso l’analisi preventiva e la successiva programmazione dei sistemi.

L’impegno da parte dei produttori

Tutti i principali produttori di apparati firewall per impiego business si impegna a rispettare i requisiti del GDPR, compresa la sicurezza e la gestione dei dati personali, i requisiti di segnalazione delle violazioni, la correzione degli errori, i diritti di cancellazione, i requisiti di qualità e il diritto di richiedere i dati tu come soggetto dei dati. Eventuali richieste formali dovrebbero essere rivolte direttamente agli stessi.

Alcuni Consigli

Di seguito elenchiamo alcune disposizioni che andrebbero sempre messe in atto e documentate:

  • Ogni dispositivo nella rete locale deve essere protetto da un firewall configurato correttamente
  • Deve essere utilizzata una password amministrativa complessa a protezione delle console di amministrazione degli apparati.
  • Impedire l’accesso all’interfaccia amministrativa da Internet, a meno che non vi sia un’esigenza aziendale chiara e documentata e l’interfaccia sia protetta da una whitelist di indirizzi IP o 2FA (autenticazione a due fattori).
  • Bloccare le connessioni in ingresso non autenticate per impostazione predefinita (firewall stateful)
  • Limitare, ove possibile, attraverso filtri ACL, le porte pubbliche esposte direttamente.
  • Garantire che le regole del firewall in entrata siano approvate e documentate da un individuo autorizzato; le esigenze aziendali devono essere incluse nella documentazione.
  • Rimuovere o disabilitare le regole del firewall permissive immediatamente, quando non sono più necessarie.
  • Rimuovere e disabilitare gli account utente o amministratore non necessari o i profili /utenti VPN quando non sono più necessari.
  • Utilizzare cifrature complesse, certificati e metodi sicuri per instaurare sessioni VPN.
  • Installare aggiornamenti firmware “critici” o “ad alta priorità” entro 14 giorni.

Certificazione PCI DSS

PCI / DSS sono le normative esistenti, ma in continua evoluzione, richieste dal settore delle carte di credito per proteggere i dati e l’elaborazione delle carte di credito / debito. I requisiti in tale ambito riguardano il modo in cui vengono gestite le carte dei clienti, ma anche la modalità con cui i sistemi IT si collegano al mondo esterno. Questa parte è direttamente rilevante per i router / firewall a banda larga . A prescindere dal Router/Firewall, qualunque apparato può essere impostati per essere pienamente compatibili con PCI ma possono anche essere configurati in modi che non lo siano (ad esempio impostando una VPN con una cifratura debole) quindi non è possibile affermare che un prodotto specifico (di qualsiasi fornitore) “sia conforme” o “certificato” a prescindere dalla configurazione impiegata.