• +39 0142 330 500
  • info@lanservice.it
Facebook Linkedin Twitter
Torna alle news

Riflessioni sul caso Equifax negli USA

Cos’è successo negli Stati Uniti poche settimane fa?

La prima volta che ho sentito parlare di cosa era successo alla Equifax, ovvero il furto di dati di 143 milioni di cittadini perpetrato nei confronti di una delle più importanti agenzie di credito USA, ho subito pensato al famoso film di Steven Spielberg “Prova a prendermi” del 2003 in cui Frank Abagnale Jr. (interpretato da un bravo Leonardo DiCaprio) continua a cambiare identità e a perpetuare una serie infinita di truffe falsificando con grande talento assegni, titoli accademici e professioni fino ad essere incastrato dall’agente dell’FBI Carl Hanratty (interpretato da Tom Hanks), specialista in frode bancaria. Ed alla fine lo specialista dell’FBI “ingaggia” l’imbroglione per capire come avrebbe falsificato documenti o avrebbe agito un truffatore. 

Perché ho pensato a Frank Abagnale? Perché a fine luglio 2017 quasi la metà dei cittadini americani, ma anche britannici e di altre nazionalità, hanno avuto la brutta sorpresa di essere informati che il loro Social Security Number, una sorta di Codice Fiscale con una copertura di operatività molto più estesa ed indispensabile per poter lavorare, per pagare le tasse e per ottenere dei servizi (es. rilascio di carte di credito, di mutui, di affitti, ecc.) ed altri dati fondamentali (es. estremi delle loro carte di credito), erano stati violati e potenzialmente utilizzati a loro danno da chiunque volesse truffarli!! Un regalo agli imbroglioni mondiali.

Ed allora quanti agenti dell’FBI del Servizio anti-frodi sarebbero serviti per fermarli e di quanti potenziali danni si dovesse parlare? Miliardi di dollari? E quante istituzioni finanziarie avrebbero potuto crollare in Borsa?

Ma quello che è successo nelle settimane successive è stato forse ancora più sorprendente.

Pur con le dovute cautele su quanto realmente sia avvenuto presso Equifax che forse sapremo solo dopo accurate indagini, la sensazione è che siano stati sottovalutati molti rischi (es. password deboli e facilmente violabili, gravi vulnerabilità in una o più applicazioni Web, addirittura già note da marzo 2017 e non sottoposte a patch con procedura urgente) e che, inoltre, non sia stata preparata nessuna vera contromisura per gestire, anche in termini di comunicazione, i potenziali danni d’immagine che un Data Breach avrebbe potuto comportare e che, in effetti, si sta rivelando uno dei più gravi della storia finanziaria internazionale.

Oltre al crollo del 30% in Borsa del valore del titolo Equifax, è stata anche avviata oltreoceano una class action con la richiesta di un risarcimento di 70 miliardi di dollari basata sull’accusa di grave negligenza perché l’azienda “avrebbe dovuto sapere che la mancata manutenzione e le non adeguate garanzie tecnologiche avrebbero potuto condurre a una grave violazione dei dati” e si sta accusando la società di aver speso troppo poco in cybersicurezza.

Ma allora vale la pena risparmiare le risorse sulla sicurezza anno su anno e poi dover affrontare comunque miliardi di anni da risarcire, ammesso che l’azienda non chiuda i battenti dopo aver compromesso la propria credibilità?

Quali sono le novità del GDPR e come potevano prevenire quanto è accaduto?

In estrema sintesi il Regolamento Europeo sulla Data Protection 679/2016, già in vigore dalla metà del 2016 e che sarà applicato integralmente dal 25 maggio del 2018, impone:

  • Un nuovo paradigma nella gestione della Privacy e dei Dati personali (Privacy by Design e by Default)
  • Il principio di Accountability: il Titolare fa ricorso a misure tecniche e organizzative adeguate per garantire che il trattamento sia conforme al Regolamento (es. cifratura dei dati, pseudonomizzazione, gestione del patching, trattamento dei supporti, controllo degli accessi e degli accessi ai sistemi ed alle applicazioni, password management, firewall di nuova generazione, backup frequenti con test di recovery, formazione permanente alla sicurezza che deve coinvolgere tutti i collaboratori, ecc.).
  • L’analisi del Rischio Digitale e il PIA (Privacy Impact Assessment): se un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento effettua, prima di procedere al trattamento, una valutazione di impatto dei trattamenti previsti sulla protezione dei dati personali.
  • L’introduzione della figura del DPO (Data Protection Officer), una nuova figura che deve assistere il Titolare del trattamento nell’applicazione del GDPR nel contesto specifico dell’organizzazione in cui deve operare (aziende pubbliche, aziende private con oltre 250 addetti, aziende che trattano categorie particolari di dati personali, ex dati sensibili). Non può coincidere con l’IT Manager.
  • L’introduzione del Registro dei trattamenti, il registro che serve innanzi tutto a documentare dinanzi all’Autorità di controllo la conformità dell’organizzazione alle norme del Regolamento GDPR
  • In caso di Data Breach, cioè di violazione della sicurezza dei dati personali, scatta l’obbligo di notifica di una violazione dei dati personali all’Autorità di Controllo entro 72 ore, senza ingiustificato ritardo (si pensi ad Equifax che ha comunicato il data breach dopo sei settimane) descrivendo la natura della violazione, il numero approssimativo di interessati coinvolti, le probabili conseguenze, le misure adottate per porre rimedio alla violazione dei dati. Sicuri che Equifax lo abbia fatto?
  • Le Sanzioni sono veramente ingenti: fino a 10 milioni di Euro o per le imprese il 2% del fatturato mondiale annuo nei casi meno gravi, oppure fino a 20 milioni di Euro o per le imprese il 4% del fatturato mondiale annuo nei casi più gravi (ad es. violazioni dei principi base del Regolamento, incluse le condizioni relative al consenso, dei diritti degli interessati, di trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale, ecc.)

Conclusioni

Ma se gli hacker sono riusciti a violare Equifax, una sorta di fortino sulla carta inespugnabile, allora è veramente inutile difendersi?

No, non è così: la risposta giusta è che il costo per difendersi e per pianificare una politica della sicurezza è enormemente più basso dei danni che si possono verificare e che si dovrebbero affrontare.
Non c’è alcun metro di paragone: è un fattore 1:1000 o una a 1:100.000.

Ormai la protezione dei dati e le strategie di sicurezza devono essere affrontate in modo sistemico e permanente, coinvolgendo diversi ruoli aziendali, diversi livelli gerarchici, sfruttando le opportunità di investimento che si presentano (es. Industria 4.0) e promuovendo una cultura della sicurezza che possa permeare le diverse aree delle organizzazioni.

Occorre scegliere degli strumenti e dei partner che non vendano fumo, ma possano guidare le scelte dell’azienda lungo un percorso con precisi obiettivi per innalzare progressivamente le difese fino ad un livello che scoraggi un potenziale hacker ad indirizzare il proprio attacco verso quell’organizzazione così ben difesa, per puntare verso altri obiettivi più vulnerabili e, nel frattempo, sperare che possa essere perseguito da un agente anti-truffa, dell’FBI o della Guardia di Finanza non importa, basta che sia acciuffato.

LSlogo30
  • CASALE MONFERRATO

Via G. Brodolini, 80
(Zona Industriale)
Tel. +39 0142 330 500

  • MILANO

Via Caldera, 21 – Caldera Park
Tel. +39 02 334 310 58

  • LUGANO

Via S. Balestra, 18
Tel. +41 91 21 04 634

ls-logo.png
  • CASALE MONFERRATO

Via G. Brodolini, 80
(Zona Industriale)
Tel. +39 0142 330 500

  • MILANO

Via Caldera, 21 – Caldera Park
Tel. +39 02 334 310 58

  • LUGANO

Via S. Balestra, 18
Tel. +41 91 21 04 634

ls-logo.png
  • CASALE MONFERRATO

Via G. Brodolini, 80
(Zona Industriale)
Tel. +39 0142 330 500

  • MILANO

Via Caldera, 21 – Caldera Park
Tel. +39 02 334 310 58

  • LUGANO

Via S. Balestra, 18
Tel. +41 91 21 04 634

Facebook Linkedin Twitter

Certificazione ISO 9001:2015
"Progettazione, realizzazione di infrastrutture"

LAN Service Group | Company profileResponsabile protezione dati personali | Credits
Dati fiscali

|

Privacy Policy

|

Cookie Policy

Lan Service srl

Sede Legale e operativa

Via G. Brodolini, 80 . 15033 Casale M.to (AL)
Tel. +39 0142 330 500 . Fax +39 0142 330 600
P.Iva e C.F. 01562820066
Iscr. Reg. Imp. AL-01562820066 . Cap. Soc. € 80.645,00

POLITICA PER LA PROTEZIONE DEI DATI

In coerenza con la Missione e i Valori aziendali ed in linea con la propria politica, Lan Service Group, nelle sue attività pone in evidenza alcuni principi, in materia di protezione dei dati personali, ai quali le sue strategie e i suoi obiettivi devono far riferimento:

  • Impegno alla protezione dei dati personali di ogni individuo (Protezione);
  • Garanzia del rispetto della sfera personale e della vita privata di ogni persona (Riservatezza);
  • Rispetto dell’identità e della personalità, della dignità di ogni persona (Individualità e Dignità);
  • Rispetto delle libertà fondamentali garantite dalla Costituzione (Tutela). Questi principi, conformandosi alla normativa vigente, sono declinati in modo che i dati personali siano:
  • raccolti e trattati solo per finalità determinate, esplicite e legittime;
  • utilizzati limitatamente e in maniera proporzionale alle finalità per le quali sono trattati;
  • raccolti e trattati solo se attinenti al raggiungimento delle finalità esplicitate;
  • trattati con modalità e strumenti proporzionali alle finalità da raggiungere;
  • sempre verificati, una volta raccolti e trattati, per garantirne la loro correttezza e affidabilità;
  • una volta raccolti e trattati siano periodicamente aggiornati;
  • conservati per un periodo di tempo limitato al raggiungimento delle finalità dichiarate;
  • sempre raccolti e trattati ponendo in essere adeguate misure tecniche ed organizzative di al fine di salvaguardare la loro integrità e riservatezza;
  • trattati per finalità diverse da quelle dichiarate quando si sono raccolti oppure violando quanto previsto dalla disciplina in materia di protezione dei dati personali.

 

OBIETTIVI

Miglioramento continuo della Tutela dei dati personali mediante:

  • l’adozione di un adeguato sistema documentale integrato (procedure, istruzioni operative, modelli documentali standard);
  • l’identificazione di delegati dotati di adeguati requisiti e poteri per garantire il corretto funzionamento del sistema di gestione privacy;
  • la definizione di un modello organizzativo adeguato al presidio del trattamento dei dati personali inerenti ad ogni processo di trattamento;
  • l’adozione di pareri di conformità normativa nella definizione, integrazione, modifica e/o revisione di processi aziendali che prevedano un trattamento di dati personali;
  • l’adozione di misure di sicurezza idonee a prevenire e ridurre al minimo i rischi inerenti il trattamento di dati personali;
  • l’adozione delle migliori tecniche disponibili ed economicamente sostenibili per limitare i danni in caso di incidenti o eventi negativi in materia di trattamento di dati personali;
  • l’adozione di opportuni criteri e modalità di ripristino dei dati in caso di danneggiamento e perdita accidentale. Coinvolgimento degli stakeholder e protezione dei dati personali con azioni mirate a:
  • sensibilizzare dipendenti, fornitori, allievi e famiglie su obiettivi e impegni assunti in materia di protezione dei dati personali;
  • motivare e coinvolgere il personale dipendente affinché vengano raggiunti gli obiettivi prefissati e sviluppato, ad ogni livello, il senso di responsabilità verso la tutela dei dati personali e la sicurezza delle informazioni;
  • formare informare ad un lecito e corretto trattamento dei dati personali e sicurezza delle informazioni;
  • promuovere il dialogo e il confronto con tutti i portatori d’interesse (P.A., Autorità , clienti, fornitori, Associazioni, lavoratori, ecc.), tenendo conto delle loro istanze, in materia di trattamento di dati personali, in coerenza con gli strumenti di partecipazione e comunicazione adottati da Lan Service Group .

 

Aggiornata al 18.12.2019

Gestione Cookies

Questo documento spiega “cosa sono i cookie” e come vengono usati si siti web di LANSERVICE S.r.l., ACKTEL S.r.l. e E-EVOLUTION S.r.l. (contitolari del trattamento).

Cosa sono i cookie?

Un “cookie” è un file di testo che il sito invia al computer o altro dispositivo connesso a internet per identificare in modo univoco il browser dell´utente o per salvare informazioni o configurazioni nel browser.

Usate cookie su questo sito?

Sì, vengono usati cookie per migliorare il sito e fornire servizi e funzionalità ai suoi utilizzatori.

è possibile limitare o disabilitare l´uso dei cookie tramite il browser web; tuttavia, senza alcuni cookie o tutte le funzionalità del sito potrebbero essere inutilizzabili.

 

Che tipo di cookie sono presenti su questo sito?

Cookie strettamente necessari

Questi cookie sono essenziali per portare a termine attività richieste dall´utente. Per esempio, per memorizzare informazioni fornite dall´utente mentre naviga nel sito o per gestire lo stato di “login” durante la visita.

Cookie funzionali

Questi cookie permettono al sito di memorizzare scelte effettuate dall´utente, successivamente riutilizzabili. Per esempio permettono al sito di memorizzare le impostazioni di ricerca, l´autenticazione e altre funzioni personalizzate.

Cookie di Google Analytics

Questi cookie permettono di raccogliere dati relativi all´uso del sito, come i contenuti visitati e le funzionalità utilizzate, con l´obbiettivo di migliorare le performance e il layout del sito. Questi cookie possono essere inviati dal fornitore dello strumento di Analytics, ma sono utilizzati solo per scopi legati al sito.

Cookie pubblicitari e di terze parti

Questi cookie memorizzano informazioni legate all´uso del sito per fornire informazioni personalizzate a scopo promozionale, sia all´interno che all´esterno del sito. Tali cookie sono disabilitabili dall´apposito banner o dalla sezione apposti del proprio browser .