Violazione PEC
Per chi pensa che gli attacchi cybercriminali accadano solo nei film, ecco arrivare l’ennesimo caso di violazione di domini personali e di sottrazione di dati ad entità private e pubbliche. Oltre 500mila account PEC (Posta Elettronica Certificata) sono stati oggetto di un attacco hacker nel mese di novembre 2018, con la conseguenza che persino alcuni tribunali dello Stato sono stati costretti ad interrompere le attività.
Nonostante non si sia trattato di un attacco particolarmente sofisticato, le conseguenze sono state molto gravi quindi. Oltre 3mila entità hanno subito la penetrazione del proprio account da parte di IP esteri, per un totale di oltre 500mila PEC violate, con la conseguente infiltrazione e sottrazione di dati personali.
Questo episodio, il più grave del 2018, conferma che nessuno è protetto a priori e che si deve sempre fare tutto il possibile per evitare problemi.
In questo caso gli esperti consigliano di cambiare frequentemente le password e certamente di cambiarle ora, per evitare che rimanga nell’account la password violata e che l’account stesso possa ulteriormente essere oggetto di violazione.
Industria 4.0 e Cyber Security
Pare strano che, in tempi di attacchi hacker alle PEC, non sempre esista un rapporto diretto tra sviluppo tecnologico e attenzione alla sicurezza informatica.
L’ennesima prova ci viene dalla sottovalutazione dei rischi di un fenomeno teoricamente molto positivo come l’avvento delle tecnologie connesse alla cosidetta Industria 4.0. Si tratta dell’insieme di apparati e tecniche dedicate a creare una rete di macchine non solo informatiche ma anche meccaniche in grado di parlarsi tra di loro tramite lo scambio di dati informatici.
E’ evidente come l’interconnessione di apparecchiature informatiche e lo scambio di dati comporti dei rischi qualora non ci si occupi della loro messa in sicurezza. Quali rischi in particolare ci vengono dal diffondersi delle tecnologie Industria 4.0?
Il primo rischio è connesso alla grande estensione della “superficie d’attacco” che mettiamo a disposizione degli hacker. La diffusione dell’interconnessione non può che causare infatti il moltiplicarsi di apparecchi di rete e di nodi-macchina collegati tra di loro e quindi la messa a disposizione di porte informatiche aperte verso il mondo. La mancanza di cura adeguata non può che comportare un aumento dei rischi e dei danni.
Il secondo rischio è simile al primo ma si basa sulla disponibilità delle nostre reti 4.0 come basi di appoggio per gli hacker che se ne possono servire, qualora non adeguatamente protette, per sferrare i loro attacchi verso terzi, con potenziali ricadute sia in termini di immagine che di coinvolgimenti legali.
Il terzo rischio ha sempre a che fare con l’estensione dell’uso delle reti ma concerne la componente umana. Con la diffusione della interconnessione è evidente che sempre più operatori verranno chiamati in causa nell’utilizzo delle reti stesse. Molto spesso un sistema ben protetto ma con operatori non informati può costituire una porta aperta verso attacchi esterni.
Il rimedio prioritario a tutti questi rischi è certamente la consapevolezza, a tutti i livelli e in primis a livello aziendale. Perché il piano Industry 4.0 possa portare benefici e non problemi se non addirittura danni al sistema economico del nostro paese.
GDPR in Gazzetta Ufficiale
Come noto, il GDPR è entrato in vigore il 25 Maggio scorso, ma si aspettava il decreto italiano per adeguare la normativa.
Il 4 Settembre 2018 è stato, dopo mesi di attesa, publicato sulla Gazzetta Ufficiale. Il decreto legislativo n.101 del 10 Agosto 2018 entrerà in vigore il 19 Settembre 2018.
Visualizza qui il Decreto
A questo punto, per le aziende è fondamentale adeguarsi rapidamente, e per aiutare le PMI, che ad oggi sembrano essere in ritardo, nel Decreto si chiede al Garante della Privacy di emanare delle linee guida ad hoc per loro. Nei prossimi mesi si prevedono numerosi interventi in relazione ai vari istituti previsti:
- provvedimenti di misure di garanzia,
- revisione dei codici deontologici,
- nuove regole per l’applicazione di sanzioni amministrative,
- semplificazione di adempimento degli obblighi delle PMI.
Tra le regole in arrivo se ne prevedono di specifiche nella ricerca e in ambito sanitario.
Come funziona l’Adeguamento
Il processo di adeguamento al GDPR non deve essere preso con fretta e approssimazione. E’ l’inizio di un lungo cammino durante il quale si ha la possibilità di ammirare un paesaggio sempre più gradevole.
Le diverse funzioni aziendali apprendono la disciplina della tutela del dato personale e vengono gradatamente condotte ad aumentare la sicurezza complessiva nella gestione del dato.
Il contesto legislativo ha portato infatti a mettere al centro del percorso di adeguamento la “auto-responsabilizzazione” dell’azienda, che si rende attiva nello sforzo di individuare le migliori misure comportamentali, organizzative e tecnologiche a garanzia della privacy interna ed esterna.
Il percorso stesso, dunque, deve essere svolto con la necessaria serenità e deve comprendere fasi dedicate a definire precisamente lo scenario.
L’individuazione degli attori coinvolti nell’adeguamento sarà il primo passo per poter ottenere una mappatura dei dati da sottoporre a tutela. Solo chi ha avuto bisogno di utilizzare delle banche dati saprà infatti identificarle e farne un inventario ragionato.
La realizzazione di un “funzionigramma” aziendale, o mappa organizzativa di come le diverse funzioni interagiscono con il dato, sarà quindi il punto successivo che condurrà a determinare quali trattamenti vengono svolti effettivamente in azienda e per conseguenza quale deve essere la consistenza del registro dei trattamenti stessi.
In altri termini, la realizzazione delle azioni di mitigazione del rischio verrà soltanto verso la fine del processo di adeguamento o almeno di una sua prima fase. Esattamente al contrario di quanto avveniva per assicurare la compliance con il vecchio Codice, in cui l’attività di gap analysis tecnologica e la messa a regime dei sistemi informativi avevano invece la precedenza.
Il processo di adeguamento deve per forza di cose essere guidato da un gruppo di lavoro che agisce con competenze interfunzionali e con la capacità di motivare i propri colleghi a restare attivi non solo durante la prima fase, che conduce alle azioni di mitigazione, ma anche negli infiniti periodi successivi durante i quali la compliance deve essere mantenuta e se possibile aumentata.
Il coinvolgimento di IUSTEC ha il senso di portare competenza su tutto il processo e di fornire servizi che accelerano la prima fase e consentono di gestire le fasi successive con professionalità, allo scopo di dare sostegno ad una vera politica della compliance basata in prima istanza sui benefici per il business oltre che sulle necessità di adempimento.