22.10.2019 - in News

GDPR, multe e Hacker? Il pericolo č prima di tutto interno. Ecco cosa stanno sbagliando le imprese

Pubblicato in

#SiamoSicuri  vol.1 - rubrica
Intervista a Giuseppe Dezzani

Siamo sicuri? Siamo sicuri. Domanda o affermazione? Nel mezzo c’è un mondo e ci sono, soprattutto, rischi, pericoli che la trasformazione digitale sta rendendo inimmaginabili per ampiezza e profondità. Intendiamoci, i vantaggi che il digitale offre, oggi più che mai tra cloud, IOT e Intelligenza Artificiale, per esempio, sono incalcolabili ma anche le responsabilità che mette tra le nostre mani lo sono, proprio come dice Spiderman.

Il problema è che se da una parte le imprese, numeri di mercato alla mano, anche in Italia stanno accelerando verso i vantaggi di cui sopra… non lo stanno facendo con la dovuta attenzione verso le conseguenti responsabilità che simili poteri determinano…

Anche e soprattutto per questo dalla prestigiosa collaborazione con Giuseppe Dezzani, tra i massimi esperti di Digital Forensics in Italia e consulente forense delle Procure della Repubblica di quasi tutta Italia, supportando le Forze dell’Ordine nelle attività di indagine. nasce oggi la rubrica mensile #SiamoSicuri. Uno spazio editoriale, sul portale di Lan Service Group, in cui Giuseppe racconterà e discuterà, ogni mese con tutti voi delle più importanti novità, dei casi reali e dei rischi a livello di sicurezza che le imprese italiane stanno vivendo e, soprattutto correndo… Uno spazio concreto, pragmatico come concreti e pragmatici bisogna necessariamente essere di fronte alle sfide di mettere in sicurezza i dati nel cloud computing, tra i sensori IOT che ormai sono disseminati ovunque, nella nostra posta elettronica, nelle nostre piattaforma di backup. Il tutto in una situazione in cui buona parte dei danni, a livello di security aziendale, arrivano e continuano ad arrivare dal famigerato Hacker interno… ovvero dipendenti e manager poco preparati che assumono e mettono in atto comportamenti pericolosi nella gestione di dati digitali e infrastrutture IT.

 

Giuseppe Dezzani esperti di Digital Forensics in Italia e consulente forense delle Procure della Repubblica di quasi tutta Italia

 

GDPR e sanzioni… what else?

Anche e soprattutto alla luce di un simile scenario abbiamo chiesto a Giuseppe di cominciare questa nostra avventura insieme proprio dal tema più caldo del momento a livello di sicurezza e gestione avveduta dei dati digitali. IL GDPR e i controlli/sanzioni partiti a pieno ritmo proprio quest’anno dopo che lo scorso 20 maggio lo stesso regolamento europeo per la gestione di privacy e dati critici è uscito dalla fase di applicazione attenuata… insomma la “ricreazione” è finita e ora è tempo di capire chi ha fatto i compiti e chi, invece no… mettendo a rischio la propria impresa. 

 

Giuseppe… il GDPR da pochi mesi è uscito dalla fase di applicazione attenuata… le imprese lo sanno? A che punto sono realmente?

 «Purtroppo, mi sto accorgendo che il GDPR è stato molto sottovalutato dalle aziende, l’impressione è che si parli tanto di privacy quando si teme che la propria venga violata, ma che si faccia poco a livello aziendale per cambiare la mentalità. Il GDPR voleva proprio introdurre questo cambiamento, un ragionamento su come proteggere i dati da parte degli enti collettivi, invece ho l’impressione che sia rimasto al livello di carta compilata giusto per sentirsi in pace con la coscienza, ma che non si sia veramente capito lo spirito del regolamento. Ora inizia il periodo in cui potranno avvenire i controlli e arriveranno le prime sanzioni, e come sempre si correrà ai ripari!»

 

Quali sono i danni più gravi che possono capitare oggi con una gestione poco attenta della trasformazione digitale e, in particolare, delle informazioni digitali?

 «In questo momento noto che il maggior numero di incidenti informatici, da cui deriva una dispersione di dati, è causato senza dubbio da problemi di infedeltà aziendale. Dipendenti che si dimettono per andare in altre aziende e che copiano i dati. Questa condotta può avere risvolti legati al già citato GDPR, in quanto il dato non viene trattato secondo gli scopi per cui è stato acquisito. Ma può sfociare anche in problematiche ben più gravi di natura civile e penale. Su questo aspetto della protezione dei dati le aziende sono particolarmente impreparate, si pensa sempre che il nemico sia “esterno” mentre invece è sempre più spesso “interno”. Pensate che le società americane stanno introducendo la figura dello “Human Firewall” (Con questa terminologia si intende uno o più umani, per differenziarsi dai sistemi hardware) che viene opportunamente educato, istruito e formato al fine di riconoscere gli attacchi che sfruttano, prima ancora che le falle tecnologiche di un sistema informatico, la persona e le sue lacune in ambito di security. L’obiettivo è poter evitare di cadere nelle trappole dei malintenzionati o prevenire condotte interne alla rete  (e non compromettere il proprio perimetro aziendale).

 

Che cosa sbagliano le imprese, oggi, nella gestione dei dati critici e cosa rischiano?

 «Sottovalutano i problemi di sicurezza e limitano gli investimenti. Spesso non si tratta di investimenti rilevanti dal punto di vista economico, ma investimenti in termini organizzativi. Purtroppo, c’è anche molta impreparazione dal punto di vista tecnico, basta vedere quanti danni sono derivati dai ransomware, per il solo fatto di non avere un backup efficiente! Si tratta della cartina tornasole della disorganizzazione aziendale. Nelle aziende si eseguono spesso allarmi/esercitazioni antincendio e la gente sa come correre al punto di raccolta e mettersi in salvo, ma non vengono eseguite simulazioni di disastro informatico. Mi sembra di essere tornato negli anni ’90 quando si iniziava a diffondere l’idea di introdurre un firewall… Ora è senza dubbio necessario fare un nuovo salto di qualità, ma più di tipo organizzativo. I rischi sono le sanzioni, che sono molto elevate con il GDPR, ma sono anche i danni diretti o indiretti sui sistemi, che in alcuni casi possono essere ben peggiori come impatto».

 

Giuseppe ma come e cosa cercano oggi gli hacker nelle imprese?

 «Dati e dimostrazione di inefficienza. Basta vedere la famosa piattaforma Rousseau, non erano ancora iniziate le consultazioni che in rete erano già state divulgate le vulnerabilità che un gruppo di hacker aveva individuato. Ritengo sempre più necessario distinguere hacker da cracker, dobbiamo differenziare i “tecnici” che vogliono semplicemente dimostrare le inefficienze dei sistemi, solo a scopo etico e dimostrativo, da quelli che hanno effettiva intenzione di danneggiare o rubare le informazioni per riutilizzarle a danno dell’istituzione stessa da cui li hanno acquisiti fraudolentemente. Comunque sono i dati la ricchezza del futuro, lo hanno ampiamente dimostrato i social network ed i motori di ricerca».