GDPR, multe e Hacker? Il pericolo è prima di tutto interno. Ecco cosa stanno sbagliando le imprese

#SiamoSicuri  vol.1 – rubrica
Intervista a Giuseppe Dezzani

Siamo sicuri? Siamo sicuri. Domanda o affermazione? Nel mezzo c’è un mondo e ci sono, soprattutto, rischi, pericoli che la trasformazione digitale sta rendendo inimmaginabili per ampiezza e profondità. Intendiamoci, i vantaggi che il digitale offre, oggi più che mai tra cloud, IOT e Intelligenza Artificiale, per esempio, sono incalcolabili ma anche le responsabilità che mette tra le nostre mani lo sono, proprio come dice Spiderman.

Il problema è che se da una parte le imprese, numeri di mercato alla mano, anche in Italia stanno accelerando verso i vantaggi di cui sopra… non lo stanno facendo con la dovuta attenzione verso le conseguenti responsabilità che simili poteri determinano…

Anche e soprattutto per questo dalla prestigiosa collaborazione con Giuseppe Dezzani, tra i massimi esperti di Digital Forensics in Italia e consulente forense delle Procure della Repubblica di quasi tutta Italia, supportando le Forze dell’Ordine nelle attività di indagine. nasce oggi la rubrica mensile #SiamoSicuri. Uno spazio editoriale, sul portale di Lan Service Group, in cui Giuseppe racconterà e discuterà, ogni mese con tutti voi delle più importanti novità, dei casi reali e dei rischi a livello di sicurezza che le imprese italiane stanno vivendo e, soprattutto correndo… Uno spazio concreto, pragmatico come concreti e pragmatici bisogna necessariamente essere di fronte alle sfide di mettere in sicurezza i dati nel cloud computing, tra i sensori IOT che ormai sono disseminati ovunque, nella nostra posta elettronica, nelle nostre piattaforma di backup. Il tutto in una situazione in cui buona parte dei danni, a livello di security aziendale, arrivano e continuano ad arrivare dal famigerato Hacker interno… ovvero dipendenti e manager poco preparati che assumono e mettono in atto comportamenti pericolosi nella gestione di dati digitali e infrastrutture IT.

Giuseppe Dezzani uno dei massimi esperti di Digital Forensics in Italia e consulente forense delle Procure della Repubblica di quasi tutta Italia

GDPR e sanzioni… what else?

Anche e soprattutto alla luce di un simile scenario abbiamo chiesto a Giuseppe di cominciare questa nostra avventura insieme proprio dal tema più caldo del momento a livello di sicurezza e gestione avveduta dei dati digitali. IL GDPR e i controlli/sanzioni partiti a pieno ritmo proprio quest’anno dopo che lo scorso 20 maggio lo stesso regolamento europeo per la gestione di privacy e dati critici è uscito dalla fase di applicazione attenuata… insomma la “ricreazione” è finita e ora è tempo di capire chi ha fatto i compiti e chi, invece no… mettendo a rischio la propria impresa. 

Giuseppe… il GDPR da pochi mesi è uscito dalla fase di applicazione attenuata… le imprese lo sanno? A che punto sono realmente?

 «Purtroppo, mi sto accorgendo che il GDPR è stato molto sottovalutato dalle aziende, l’impressione è che si parli tanto di privacy quando si teme che la propria venga violata, ma che si faccia poco a livello aziendale per cambiare la mentalità. Il GDPR voleva proprio introdurre questo cambiamento, un ragionamento su come proteggere i dati da parte degli enti collettivi, invece ho l’impressione che sia rimasto al livello di carta compilata giusto per sentirsi in pace con la coscienza, ma che non si sia veramente capito lo spirito del regolamento. Ora inizia il periodo in cui potranno avvenire i controlli e arriveranno le prime sanzioni, e come sempre si correrà ai ripari!»

Quali sono i danni più gravi che possono capitare oggi con una gestione poco attenta della trasformazione digitale e, in particolare, delle informazioni digitali?

 «In questo momento noto che il maggior numero di incidenti informatici, da cui deriva una dispersione di dati, è causato senza dubbio da problemi di infedeltà aziendale. Dipendenti che si dimettono per andare in altre aziende e che copiano i dati. Questa condotta può avere risvolti legati al già citato GDPR, in quanto il dato non viene trattato secondo gli scopi per cui è stato acquisito. Ma può sfociare anche in problematiche ben più gravi di natura civile e penale. Su questo aspetto della protezione dei dati le aziende sono particolarmente impreparate, si pensa sempre che il nemico sia “esterno” mentre invece è sempre più spesso “interno”. Pensate che le società americane stanno introducendo la figura dello “Human Firewall” (Con questa terminologia si intende uno o più umani, per differenziarsi dai sistemi hardware) che viene opportunamente educato, istruito e formato al fine di riconoscere gli attacchi che sfruttano, prima ancora che le falle tecnologiche di un sistema informatico, la persona e le sue lacune in ambito di security. L’obiettivo è poter evitare di cadere nelle trappole dei malintenzionati o prevenire condotte interne alla rete  (e non compromettere il proprio perimetro aziendale).

Che cosa sbagliano le imprese, oggi, nella gestione dei dati critici e cosa rischiano?

 «Sottovalutano i problemi di sicurezza e limitano gli investimenti. Spesso non si tratta di investimenti rilevanti dal punto di vista economico, ma investimenti in termini organizzativi. Purtroppo, c’è anche molta impreparazione dal punto di vista tecnico, basta vedere quanti danni sono derivati dai ransomware, per il solo fatto di non avere un backup efficiente! Si tratta della cartina tornasole della disorganizzazione aziendale. Nelle aziende si eseguono spesso allarmi/esercitazioni antincendio e la gente sa come correre al punto di raccolta e mettersi in salvo, ma non vengono eseguite simulazioni di disastro informatico. Mi sembra di essere tornato negli anni ’90 quando si iniziava a diffondere l’idea di introdurre un firewall… Ora è senza dubbio necessario fare un nuovo salto di qualità, ma più di tipo organizzativo. I rischi sono le sanzioni, che sono molto elevate con il GDPR, ma sono anche i danni diretti o indiretti sui sistemi, che in alcuni casi possono essere ben peggiori come impatto».

Giuseppe ma come e cosa cercano oggi gli hacker nelle imprese?

 «Dati e dimostrazione di inefficienza. Basta vedere la famosa piattaforma Rousseau, non erano ancora iniziate le consultazioni che in rete erano già state divulgate le vulnerabilità che un gruppo di hacker aveva individuato. Ritengo sempre più necessario distinguere hacker da cracker, dobbiamo differenziare i “tecnici” che vogliono semplicemente dimostrare le inefficienze dei sistemi, solo a scopo etico e dimostrativo, da quelli che hanno effettiva intenzione di danneggiare o rubare le informazioni per riutilizzarle a danno dell’istituzione stessa da cui li hanno acquisiti fraudolentemente. Comunque sono i dati la ricchezza del futuro, lo hanno ampiamente dimostrato i social network ed i motori di ricerca».

Lan Service srl

Sede Legale e operativa

Via G. Brodolini, 80 . 15033 Casale M.to (AL)
Tel. +39 0142 330 500 . Fax +39 0142 330 600
P.Iva e C.F. 01562820066
Iscr. Reg. Imp. AL-01562820066 . Cap. Soc. € 80.645,00

POLITICA PER LA PROTEZIONE DEI DATI

In coerenza con la Missione e i Valori aziendali ed in linea con la propria politica, Lan Service Group, nelle sue attività pone in evidenza alcuni principi, in materia di protezione dei dati personali, ai quali le sue strategie e i suoi obiettivi devono far riferimento:

  • Impegno alla protezione dei dati personali di ogni individuo (Protezione);
  • Garanzia del rispetto della sfera personale e della vita privata di ogni persona (Riservatezza);
  • Rispetto dell’identità e della personalità, della dignità di ogni persona (Individualità e Dignità);
  • Rispetto delle libertà fondamentali garantite dalla Costituzione (Tutela). Questi principi, conformandosi alla normativa vigente, sono declinati in modo che i dati personali siano:
  • raccolti e trattati solo per finalità determinate, esplicite e legittime;
  • utilizzati limitatamente e in maniera proporzionale alle finalità per le quali sono trattati;
  • raccolti e trattati solo se attinenti al raggiungimento delle finalità esplicitate;
  • trattati con modalità e strumenti proporzionali alle finalità da raggiungere;
  • sempre verificati, una volta raccolti e trattati, per garantirne la loro correttezza e affidabilità;
  • una volta raccolti e trattati siano periodicamente aggiornati;
  • conservati per un periodo di tempo limitato al raggiungimento delle finalità dichiarate;
  • sempre raccolti e trattati ponendo in essere adeguate misure tecniche ed organizzative di al fine di salvaguardare la loro integrità e riservatezza;
  • trattati per finalità diverse da quelle dichiarate quando si sono raccolti oppure violando quanto previsto dalla disciplina in materia di protezione dei dati personali.

 

OBIETTIVI

Miglioramento continuo della Tutela dei dati personali mediante:

  • l’adozione di un adeguato sistema documentale integrato (procedure, istruzioni operative, modelli documentali standard);
  • l’identificazione di delegati dotati di adeguati requisiti e poteri per garantire il corretto funzionamento del sistema di gestione privacy;
  • la definizione di un modello organizzativo adeguato al presidio del trattamento dei dati personali inerenti ad ogni processo di trattamento;
  • l’adozione di pareri di conformità normativa nella definizione, integrazione, modifica e/o revisione di processi aziendali che prevedano un trattamento di dati personali;
  • l’adozione di misure di sicurezza idonee a prevenire e ridurre al minimo i rischi inerenti il trattamento di dati personali;
  • l’adozione delle migliori tecniche disponibili ed economicamente sostenibili per limitare i danni in caso di incidenti o eventi negativi in materia di trattamento di dati personali;
  • l’adozione di opportuni criteri e modalità di ripristino dei dati in caso di danneggiamento e perdita accidentale. Coinvolgimento degli stakeholder e protezione dei dati personali con azioni mirate a:
  • sensibilizzare dipendenti, fornitori, allievi e famiglie su obiettivi e impegni assunti in materia di protezione dei dati personali;
  • motivare e coinvolgere il personale dipendente affinché vengano raggiunti gli obiettivi prefissati e sviluppato, ad ogni livello, il senso di responsabilità verso la tutela dei dati personali e la sicurezza delle informazioni;
  • formare informare ad un lecito e corretto trattamento dei dati personali e sicurezza delle informazioni;
  • promuovere il dialogo e il confronto con tutti i portatori d’interesse (P.A., Autorità , clienti, fornitori, Associazioni, lavoratori, ecc.), tenendo conto delle loro istanze, in materia di trattamento di dati personali, in coerenza con gli strumenti di partecipazione e comunicazione adottati da Lan Service Group .

 

Aggiornata al 18.12.2019

Gestione Cookies

Questo documento spiega “cosa sono i cookie” e come vengono usati si siti web di LANSERVICE S.r.l., ACKTEL S.r.l. e E-EVOLUTION S.r.l. (contitolari del trattamento).

Cosa sono i cookie?

Un “cookie” è un file di testo che il sito invia al computer o altro dispositivo connesso a internet per identificare in modo univoco il browser dell´utente o per salvare informazioni o configurazioni nel browser.

Usate cookie su questo sito?

Sì, vengono usati cookie per migliorare il sito e fornire servizi e funzionalità ai suoi utilizzatori.

è possibile limitare o disabilitare l´uso dei cookie tramite il browser web; tuttavia, senza alcuni cookie o tutte le funzionalità del sito potrebbero essere inutilizzabili.

 

Che tipo di cookie sono presenti su questo sito?

Cookie strettamente necessari

Questi cookie sono essenziali per portare a termine attività richieste dall´utente. Per esempio, per memorizzare informazioni fornite dall´utente mentre naviga nel sito o per gestire lo stato di “login” durante la visita.

Cookie funzionali

Questi cookie permettono al sito di memorizzare scelte effettuate dall´utente, successivamente riutilizzabili. Per esempio permettono al sito di memorizzare le impostazioni di ricerca, l´autenticazione e altre funzioni personalizzate.

Cookie di Google Analytics

Questi cookie permettono di raccogliere dati relativi all´uso del sito, come i contenuti visitati e le funzionalità utilizzate, con l´obbiettivo di migliorare le performance e il layout del sito. Questi cookie possono essere inviati dal fornitore dello strumento di Analytics, ma sono utilizzati solo per scopi legati al sito.

Cookie pubblicitari e di terze parti

Questi cookie memorizzano informazioni legate all´uso del sito per fornire informazioni personalizzate a scopo promozionale, sia all´interno che all´esterno del sito. Tali cookie sono disabilitabili dall´apposito banner o dalla sezione apposti del proprio browser .