menu di navigazione del network

Utilizzo di Tor nella PA

Vorrei sapere la vs opinione sull’utilizzo di Tor (browser) all’interno della PA. Naturalmente non per scopi illeciti ma per la normale navigazione, evitare il tracciamento, il fingerprinting e così via. Oltre che per risolvere alla fonte molti altri problemi di sicurezza.

A mio avviso, purtroppo, cozza con le misure minime Agid.
Esistono casi d’uso al riguardo?

Mi viene difficile pensare ad un dipendente di una P.A., a cui viene affidato un PC della stessa P.A., che abbia necessità di utilizzare TOR (a meno che non si appartenga alle forze dell’ordine e si stia cercando di “intrufolarsi” in “certi” contesti).

Piu’ precisamente, puoi indicare due/tre situazioni reali e concrete che giustificherebbero tale scelta?

“TOR per normale navigazione”, “tecniche antitracciamento”, “tecniche anti-fingerprinting” e addirittura “sicurezza”: non mi pare dovrebbero essere le top-priority di un dipendente P.A. che dovrebbe utilizzare la propria postazione per attività “compliant” con il suo lavoro.

Ovviamente e’ assolutamente vero anche il contrario: non è che solo perche’ sia possibile, l’IT manager di quella P.A. (ammesso che esista) debba sentirsi in dovere di “tracciare” tutto il tracciabile.

Capire dove collocare il confine fra “sicurezza/protezione” (io direi “controllo”, ma è un termine che puo’ essere facilmente travisato, specie dai non addetti ai lavori (inclusi certi funzionari dell’Ufficio del Garante)… quindi non lo uso) e “privacy” è un argomento molto delicato. Puo’ capire che qualcuno (da una parte, o dall’altra) si senta “leso” (della propria privacy, o dell’impossibilità di esercitare il controllo sulla propria infrastruttura) e quindi si attivino processi che tendono a sbilanciare il delicato equilibrio, in un verso o nell’altro.

La mia opinione, pero’, è che spesso queste azioni “tecniche” (che impattano la “privacy” o, al contrario, “il controllo”) non sono altro che l’espressione dell’incapacità manageriale di risolvere il problema con la metodologia piu’ corretta: capire qual’e’ il problema, e risolverlo in termini “organizzativi” o “disciplinari”. Buttarla sul “tecnico”, pero’, è decisamente la cosa piu’ semplice (e, spesso, la piu’ errata).

Bye,
DV

2 Mi Piace

Che fai, mi ribalti la domanda che ho già fatto io aprendo il thread?
Scherzi a parte, trovo corretto tutto quello che hai scritto e (forze dell’ordine a parte) non ho casi concreti tranne alcuni molto improbabili.

In linea teorica, tuttavia, a me piacerebbe che si partisse dal principio opposto: cioé che il dipendente medio, senza doversene preoccupare, utilizzi by default (“by design”) strumenti anonimizzanti/antitraccianti (verso l’esterno). Non tanto per tutelare la riservatezza del dipendente, ma piuttosto quella delle attività dell’amministrazione.

Purtroppo il tutto cozza con le misure minime e in particolare con alcune attività che giustamente devono poter fare gli amministratori di sistema. Con Tor probabilmente lo sbilanciamento tra riservatezza e controllo sarebbe eccessivo.

Ciao, in un mio post su Security Stack affrontavo il tema Tor nella PA e ipotizzavo la modalità “chiosco” in ambito HIPPA.

La stessa considerazione andrebbe fatta in ambito PA europea. A mio avviso il dipendente pubblico che opera su postazioni di lavoro di proprietà di un ente della PA, sottoposto ad ogni tipo di GDPR e segreto istruttorio, dovrebbe avere il pc interamente bloccato e l’accesso alla rete unicamente consentito alle risorse minime ed indispensabili per l’attività quotidiana compatibilmente con la mansione.

Trovo spesso difficile per noi informatici accettare di vedersi bloccata ogni forma di navigazione o la possibilità di installare Atom che è un editor fighissimo.

I problemi di principio di “Tor nella PA” sono due.

Punto uno: Tor è uno strumento complesso. Lo sappiamo usare correttamente in quattro qui, ed il quinto è l’operatore dei Servizi che ci deanonimizzerà con qualche tecnica nota solo a pochi. Seriamente, Tor è in grado solo di mascherare l’indirizzo IP, non di impedire all’utente di sottoporsi ad un fingerprinting. Questo post lo sto scrivendo live nella casella di testo, uno script potrebbe monitorare la velocità con cui digito e gli errori che faccio. Nel mondo tor devi disattivare (buona parte degli) script, copiare e incollare input, navigare con la tastiera ecc. Con tutto il rispetto per i dipendenti della PA e la loro ottima competenza nelle loro specializzazioni, Tor è al di fuori della loro portata. Punto.

Problema due: aver bisogno di Tor per tutelare la privacy sul workplace è un errore di progettazione. Ho detto privacy, per la sicurezza ci sono antivirus, firewall, ecc. Se mi devo preoccupare di tutelare la privacy di un utente su un computer che gli sto dando mi sto accorgendo a valle di un problema a monte. In generale il dipendente che esegue prevalentemente operatività, magari sportellista, ha bisogno solo di quei due o tre applicativi per la propria operatività giornaliera. Un pc che naviga solo su quei due o tre indirizzi Intranet è più che adatto a proteggere soprattutto i dati sensibili che egli potrebbe trattare (pensiamo a HIPPA e pensiamo alle nostre ASL con le cartelle cliniche…).
Poi chiaro che in questo scenario il dipendente pubblico che, più vicino alla parte politica della PA, ha bisogno di consultare notizie, leggi, atti, ecc. ha bisogno di più margine di navigazione. Ma magari non avrà accesso a dati personali di cittadini dal suo PC…

Personalmente mi permetto di dare un suggerimento agli amministratori IT, anzi tre:

  1. Browser pre-configurati, disabilitare cookie di terze parti per default
  2. Sempre nella pre-configurazione del browser, aggiungere un buon ad-blocker
  3. Opzionalmente, imporre la modalità Incognito (però poi gli utenti devono riautenticarsi…)

Per citare il controesempio, le FdO dovrebbero a mio avviso disporre di workstation separate, air-gapped, con in particolare accesso a Tor e a tutti gli strumenti utili alle indagini sensibili. Workstation separate, nel mondo dei puffi, non cozza con i limiti di budget. Sono convinto che ci sia sempre modo di tenere separati i dati sensibili operativi dai contesti diversi di lavoro.

Ma mi fermo qui per oggi. Che ne pensate?

1 Mi Piace