Cos’è successo negli Stati Uniti poche settimane fa?
La prima volta che ho sentito parlare di cosa era successo alla Equifax, ovvero il furto di dati di 143 milioni di cittadini perpetrato nei confronti di una delle più importanti agenzie di credito USA, ho subito pensato al famoso film di Steven Spielberg “Prova a prendermi” del 2003 in cui Frank Abagnale Jr. (interpretato da un bravo Leonardo DiCaprio) continua a cambiare identità e a perpetuare una serie infinita di truffe falsificando con grande talento assegni, titoli accademici e professioni fino ad essere incastrato dall’agente dell’FBI Carl Hanratty (interpretato da Tom Hanks), specialista in frode bancaria. Ed alla fine lo specialista dell’FBI “ingaggia” l’imbroglione per capire come avrebbe falsificato documenti o avrebbe agito un truffatore.
Perché ho pensato a Frank Abagnale? Perché a fine luglio 2017 quasi la metà dei cittadini americani, ma anche britannici e di altre nazionalità, hanno avuto la brutta sorpresa di essere informati che il loro Social Security Number, una sorta di Codice Fiscale con una copertura di operatività molto più estesa ed indispensabile per poter lavorare, per pagare le tasse e per ottenere dei servizi (es. rilascio di carte di credito, di mutui, di affitti, ecc.) ed altri dati fondamentali (es. estremi delle loro carte di credito), erano stati violati e potenzialmente utilizzati a loro danno da chiunque volesse truffarli!! Un regalo agli imbroglioni mondiali.
Ed allora quanti agenti dell’FBI del Servizio anti-frodi sarebbero serviti per fermarli e di quanti potenziali danni si dovesse parlare? Miliardi di dollari? E quante istituzioni finanziarie avrebbero potuto crollare in Borsa?
Ma quello che è successo nelle settimane successive è stato forse ancora più sorprendente.
Pur con le dovute cautele su quanto realmente sia avvenuto presso Equifax che forse sapremo solo dopo accurate indagini, la sensazione è che siano stati sottovalutati molti rischi (es. password deboli e facilmente violabili, gravi vulnerabilità in una o più applicazioni Web, addirittura già note da marzo 2017 e non sottoposte a patch con procedura urgente) e che, inoltre, non sia stata preparata nessuna vera contromisura per gestire, anche in termini di comunicazione, i potenziali danni d’immagine che un Data Breach avrebbe potuto comportare e che, in effetti, si sta rivelando uno dei più gravi della storia finanziaria internazionale.
Oltre al crollo del 30% in Borsa del valore del titolo Equifax, è stata anche avviata oltreoceano una class action con la richiesta di un risarcimento di 70 miliardi di dollari basata sull’accusa di grave negligenza perché l’azienda “avrebbe dovuto sapere che la mancata manutenzione e le non adeguate garanzie tecnologiche avrebbero potuto condurre a una grave violazione dei dati” e si sta accusando la società di aver speso troppo poco in cybersicurezza.
Ma allora vale la pena risparmiare le risorse sulla sicurezza anno su anno e poi dover affrontare comunque miliardi di anni da risarcire, ammesso che l’azienda non chiuda i battenti dopo aver compromesso la propria credibilità?
Quali sono le novità del GDPR e come potevano prevenire quanto è accaduto?
In estrema sintesi il Regolamento Europeo sulla Data Protection 679/2016, già in vigore dalla metà del 2016 e che sarà applicato integralmente dal 25 maggio del 2018, impone:
- Un nuovo paradigma nella gestione della Privacy e dei Dati personali (Privacy by Design e by Default)
- Il principio di Accountability: il Titolare fa ricorso a misure tecniche e organizzative adeguate per garantire che il trattamento sia conforme al Regolamento (es. cifratura dei dati, pseudonomizzazione, gestione del patching, trattamento dei supporti, controllo degli accessi e degli accessi ai sistemi ed alle applicazioni, password management, firewall di nuova generazione, backup frequenti con test di recovery, formazione permanente alla sicurezza che deve coinvolgere tutti i collaboratori, ecc.).
- L’analisi del Rischio Digitale e il PIA (Privacy Impact Assessment): se un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento effettua, prima di procedere al trattamento, una valutazione di impatto dei trattamenti previsti sulla protezione dei dati personali.
- L’introduzione della figura del DPO (Data Protection Officer), una nuova figura che deve assistere il Titolare del trattamento nell’applicazione del GDPR nel contesto specifico dell’organizzazione in cui deve operare (aziende pubbliche, aziende private con oltre 250 addetti, aziende che trattano categorie particolari di dati personali, ex dati sensibili). Non può coincidere con l’IT Manager.
- L’introduzione del Registro dei trattamenti, il registro che serve innanzi tutto a documentare dinanzi all’Autorità di controllo la conformità dell’organizzazione alle norme del Regolamento GDPR
- In caso di Data Breach, cioè di violazione della sicurezza dei dati personali, scatta l’obbligo di notifica di una violazione dei dati personali all’Autorità di Controllo entro 72 ore, senza ingiustificato ritardo (si pensi ad Equifax che ha comunicato il data breach dopo sei settimane) descrivendo la natura della violazione, il numero approssimativo di interessati coinvolti, le probabili conseguenze, le misure adottate per porre rimedio alla violazione dei dati. Sicuri che Equifax lo abbia fatto?
- Le Sanzioni sono veramente ingenti: fino a 10 milioni di Euro o per le imprese il 2% del fatturato mondiale annuo nei casi meno gravi, oppure fino a 20 milioni di Euro o per le imprese il 4% del fatturato mondiale annuo nei casi più gravi (ad es. violazioni dei principi base del Regolamento, incluse le condizioni relative al consenso, dei diritti degli interessati, di trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale, ecc.)
Conclusioni
Ma se gli hacker sono riusciti a violare Equifax, una sorta di fortino sulla carta inespugnabile, allora è veramente inutile difendersi?
No, non è così: la risposta giusta è che il costo per difendersi e per pianificare una politica della sicurezza è enormemente più basso dei danni che si possono verificare e che si dovrebbero affrontare.
Non c’è alcun metro di paragone: è un fattore 1:1000 o una a 1:100.000.
Ormai la protezione dei dati e le strategie di sicurezza devono essere affrontate in modo sistemico e permanente, coinvolgendo diversi ruoli aziendali, diversi livelli gerarchici, sfruttando le opportunità di investimento che si presentano (es. Industria 4.0) e promuovendo una cultura della sicurezza che possa permeare le diverse aree delle organizzazioni.
Occorre scegliere degli strumenti e dei partner che non vendano fumo, ma possano guidare le scelte dell’azienda lungo un percorso con precisi obiettivi per innalzare progressivamente le difese fino ad un livello che scoraggi un potenziale hacker ad indirizzare il proprio attacco verso quell’organizzazione così ben difesa, per puntare verso altri obiettivi più vulnerabili e, nel frattempo, sperare che possa essere perseguito da un agente anti-truffa, dell’FBI o della Guardia di Finanza non importa, basta che sia acciuffato.