Lan Service contro il Cyber Spionaggio

Nei giorni scorsi ha avuto ampio risalto la notizia dell’accusa rivolta ai fratelli Giulio e Francesca Maria Occhionero di aver violato la posta elettronica di ben 6mila persone addirittura dal 2004 per un volume di oltre 3 milioni di mail sottratte. Come sempre anche queste nuove accuse andranno dimostrate e le responsabilità accertate, ma la cosa che interessa di più è capire come sia successo e quali sistemi siano approntabili per predisporre “adeguate” misure di sicurezza (come richiede il nuovo Regolamento europeo per la protezione dei dati personali, il GDPR in applicazione da fine maggio 2018).

Dalla ricostruzione effettuata dagli specialisti del CNAIPIC (Centro nazionale anticrimine informatico della Polizia Postale) con la collaborazione dell’FBI, sarebbe emerso che i due fratelli gestivano una rete di computer (c.d. botnet), infettati con un malware chiamato Eyepyramid, inoculato attraverso l’invio di un’email che conteneva il virus in questione il cui codice di acquisto dovrebbe rimandare proprio a Giulio Occhionero.

Cos’è un malware e come si propaga?  E’ un software malevolo usato per infettare e spiare una serie di utenti target attraverso la diffusione di allegati di messaggi di posta elettronica o falsi link che nascondono in realtà dei file eseguibili. In questo specifico caso il mezzo di diffusione è stata un messaggio e-mail, che veniva aperto dagli utenti target e che conteneva un allegato malevolo oppure un link ad un sito con contenuti malevoli. Il target dei fratelli Occhionero sarebbero stati diversi premier, moltissimi parlamentari, studi legali, imprenditori, sindacalisti, funzionari ministeriali, e perfino alti prelati, che avrebbero subito una sistematica violazione della loro corrispondenza e la sottrazione di documenti sensibili, anche di valore strategico sotto il profilo politico, economico o sociale.

Poiché è improbabile che per tutti questi anni queste strutture di primo piano pubbliche e private non disponessero di apparati e soluzioni di sicurezza recenti ed aggiornate per difendere la propria posta elettronica, allora cosa si può fare per ridurre i rischi di vedere violata la propria posta elettronica ed i propri dati personali?

Fermo restando che la sicurezza in senso assoluto non esiste, LAN Service consiglia sempre di adottare una metodologia completa per il Flusso di Protezione dei dati.

Per i documenti e file generati all’interno dell’organizzazione si consiglia di:

  • Adottare una protezione Antivirus di nuova generazione
  • Proteggere anche i dispositivi mobili con un Antivirus
  • Adottare una protezione specifica Antimalware
  • Adottare una soluzione di Patching
  • Backup frequente (es. giornaliero) con 3 copie dei dati (almeno una off-line)
  • Replicare i dati verso un sito remoto
  • Storicizzare i dati per poter ricostruire una situazione precedente
  • Effettuare un’archiviazione a lungo termine off-line


Per i documenti e file provenienti e generati dall’esterno dell’organizzazione oltre alle soluzioni precedenti si raccomandano le seguenti attività:

  • Adozione di un Firewall/UTM di nuova generazione
  • Adozione di una soluzione Antispam
  • Adozione di una soluzione di controllo dei flussi

Per tutte le organizzazioni sono fortemente consigliate inoltre anche:

  • Tecniche di cifratura e crittografia dei dati (caldeggiate dal Regolamento GDPR)
  • Corsi di formazione sulla sicurezza (anche erogabili via Web, CBT) per i dipendenti e manager
  • Gestire le Password con strumenti professionali e con una maggiore complessità e frequenza di rinnovo dell’attuale (che comunque non dovrebbe essere inferiore a 6 mesi e non dovrebbe essere inferiore a 8 caratteri)
  • Implementare una soluzione di Disaster Recovery o di Business Continuity

Dopo aver adottato queste soluzioni, non si può essere certi di essere al riparo da attacchi perpetrati da hacker super esperti o da agenzie nazionali di sicurezza, ma almeno si possono centrare i seguenti obiettivi:

  1. di aver predisposto delle soluzioni “adeguate” di sicurezza che mettono al riparo da contestazioni e sanzioni da parte dell’Autorità sulla Protezione dei dati personali e richieste di risarcimento degli utenti i cui dati siano stati violati;
  2. di aver elevato le barriere di sicurezza ad un livello tale da scoraggiare la maggior parte dei malintenzionati.  Quando gli attacchi Ransomware o di altro tipo vengono avviati si punta spesso sugli utenti che rappresentano le “prede” più semplici da catturare, perché i loro sistemi di sicurezza sono più facilmente violabili. Se si vuole attaccare un utente con difese molto strutturate occorre valutare lo sforzo ed il costo per riuscire a trovare una falla nel sistema. E spesso il gioco non vale la candela.
  3. di aver introdotto una cultura della sicurezza che può dare benefici in ogni settore di attività dell’organizzazione, come per esempio la progettazione di una soluzione applicativa sicura e rispettosa dei dati personali degli interessati sin dalla progettazione (Privacy by Default), oppure avviare una campagna marketing che non espone i dati del DB ad un accesso o manipolazione incontrollata durante la collaborazione con un’agenzia pubblicitaria.

Lan Service srl

Sede Legale e operativa

Via G. Brodolini, 80 . 15033 Casale M.to (AL)
Tel. +39 0142 330 500 . Fax +39 0142 330 600
P.Iva e C.F. 01562820066
Iscr. Reg. Imp. AL-01562820066 . Cap. Soc. € 80.645,00

POLITICA PER LA PROTEZIONE DEI DATI

In coerenza con la Missione e i Valori aziendali ed in linea con la propria politica, Lan Service Group, nelle sue attività pone in evidenza alcuni principi, in materia di protezione dei dati personali, ai quali le sue strategie e i suoi obiettivi devono far riferimento:

  • Impegno alla protezione dei dati personali di ogni individuo (Protezione);
  • Garanzia del rispetto della sfera personale e della vita privata di ogni persona (Riservatezza);
  • Rispetto dell’identità e della personalità, della dignità di ogni persona (Individualità e Dignità);
  • Rispetto delle libertà fondamentali garantite dalla Costituzione (Tutela). Questi principi, conformandosi alla normativa vigente, sono declinati in modo che i dati personali siano:
  • raccolti e trattati solo per finalità determinate, esplicite e legittime;
  • utilizzati limitatamente e in maniera proporzionale alle finalità per le quali sono trattati;
  • raccolti e trattati solo se attinenti al raggiungimento delle finalità esplicitate;
  • trattati con modalità e strumenti proporzionali alle finalità da raggiungere;
  • sempre verificati, una volta raccolti e trattati, per garantirne la loro correttezza e affidabilità;
  • una volta raccolti e trattati siano periodicamente aggiornati;
  • conservati per un periodo di tempo limitato al raggiungimento delle finalità dichiarate;
  • sempre raccolti e trattati ponendo in essere adeguate misure tecniche ed organizzative di al fine di salvaguardare la loro integrità e riservatezza;
  • trattati per finalità diverse da quelle dichiarate quando si sono raccolti oppure violando quanto previsto dalla disciplina in materia di protezione dei dati personali.

 

OBIETTIVI

Miglioramento continuo della Tutela dei dati personali mediante:

  • l’adozione di un adeguato sistema documentale integrato (procedure, istruzioni operative, modelli documentali standard);
  • l’identificazione di delegati dotati di adeguati requisiti e poteri per garantire il corretto funzionamento del sistema di gestione privacy;
  • la definizione di un modello organizzativo adeguato al presidio del trattamento dei dati personali inerenti ad ogni processo di trattamento;
  • l’adozione di pareri di conformità normativa nella definizione, integrazione, modifica e/o revisione di processi aziendali che prevedano un trattamento di dati personali;
  • l’adozione di misure di sicurezza idonee a prevenire e ridurre al minimo i rischi inerenti il trattamento di dati personali;
  • l’adozione delle migliori tecniche disponibili ed economicamente sostenibili per limitare i danni in caso di incidenti o eventi negativi in materia di trattamento di dati personali;
  • l’adozione di opportuni criteri e modalità di ripristino dei dati in caso di danneggiamento e perdita accidentale. Coinvolgimento degli stakeholder e protezione dei dati personali con azioni mirate a:
  • sensibilizzare dipendenti, fornitori, allievi e famiglie su obiettivi e impegni assunti in materia di protezione dei dati personali;
  • motivare e coinvolgere il personale dipendente affinché vengano raggiunti gli obiettivi prefissati e sviluppato, ad ogni livello, il senso di responsabilità verso la tutela dei dati personali e la sicurezza delle informazioni;
  • formare informare ad un lecito e corretto trattamento dei dati personali e sicurezza delle informazioni;
  • promuovere il dialogo e il confronto con tutti i portatori d’interesse (P.A., Autorità , clienti, fornitori, Associazioni, lavoratori, ecc.), tenendo conto delle loro istanze, in materia di trattamento di dati personali, in coerenza con gli strumenti di partecipazione e comunicazione adottati da Lan Service Group .

 

Aggiornata al 18.12.2019

Gestione Cookies

Questo documento spiega “cosa sono i cookie” e come vengono usati si siti web di LANSERVICE S.r.l., ACKTEL S.r.l. e E-EVOLUTION S.r.l. (contitolari del trattamento).

Cosa sono i cookie?

Un “cookie” è un file di testo che il sito invia al computer o altro dispositivo connesso a internet per identificare in modo univoco il browser dell´utente o per salvare informazioni o configurazioni nel browser.

Usate cookie su questo sito?

Sì, vengono usati cookie per migliorare il sito e fornire servizi e funzionalità ai suoi utilizzatori.

è possibile limitare o disabilitare l´uso dei cookie tramite il browser web; tuttavia, senza alcuni cookie o tutte le funzionalità del sito potrebbero essere inutilizzabili.

 

Che tipo di cookie sono presenti su questo sito?

Cookie strettamente necessari

Questi cookie sono essenziali per portare a termine attività richieste dall´utente. Per esempio, per memorizzare informazioni fornite dall´utente mentre naviga nel sito o per gestire lo stato di “login” durante la visita.

Cookie funzionali

Questi cookie permettono al sito di memorizzare scelte effettuate dall´utente, successivamente riutilizzabili. Per esempio permettono al sito di memorizzare le impostazioni di ricerca, l´autenticazione e altre funzioni personalizzate.

Cookie di Google Analytics

Questi cookie permettono di raccogliere dati relativi all´uso del sito, come i contenuti visitati e le funzionalità utilizzate, con l´obbiettivo di migliorare le performance e il layout del sito. Questi cookie possono essere inviati dal fornitore dello strumento di Analytics, ma sono utilizzati solo per scopi legati al sito.

Cookie pubblicitari e di terze parti

Questi cookie memorizzano informazioni legate all´uso del sito per fornire informazioni personalizzate a scopo promozionale, sia all´interno che all´esterno del sito. Tali cookie sono disabilitabili dall´apposito banner o dalla sezione apposti del proprio browser .