Il processo di digitalizzazione e globalizzazione della nostra economia si basa sempre più su controllo e trattamento dei dati personali. Se da un lato questo aspetto apre la porta a nuove opportunità di business, è altrettanto vero che l’importanza della protezione dei dati personali sta diventando un argomento al centro del dibattito pubblico, nonché una fonte di preoccupazione per gli addetti ai lavori. Il General Data Protection Regulation (GDPR) dell’Unione Europea intende dare una risposta a tutto ciò. Riconoscendo il valore di questi dati, il regolamento prevede un costo per la loro raccolta, archiviazione e utilizzo, demandando alle aziende la responsabilità della loro protezione con l’obbligo di restituirne controllo e titolarità ai privati. Con requisiti severi, obblighi e notevoli penalità in caso di inadempienze, sia gli sforzi legati alla compliance che i rischi in caso di mancata conformità aumenteranno notevolmente una volta che il GDPR sarà entrato in vigore. Le conseguenze a livello aziendale saranno numerose e riguarderanno il workflow del trattamento dei dati, la struttura organizzativa, i processi di business e, ovviamente, le tecnologie di sicurezza IT.
Diritti degli individui
Il GDPR definisce i diritti degli individui in relazione alla protezione dei dati. La prima sfida legata alla conformità al regolamento è quindi data dal controllo, e ove necessario dalle opportune modifiche, delle modalità con cui l’azienda raccoglie, archivia e tratta le informazioni personali nel rispetto di questi diritti. Solo il semplice fatto che un’azienda possa localizzare con precisione tutte le istanze dei dati personali di un individuo sull’intera infrastruttura rappresenta già gran parte di questa sfida.
Responsabilità e governance
L’azienda deve poi essere in grado di dimostrare la conformità mediante appropriate misure di governance, che devono includere documentazione dettagliata, logging e valutazione continua dei rischi. Esiste poi un’aspettativa di “protezione dei dati già in fase di progetto e di default”, nel senso che la sicurezza per quanto possibile, dovrebbe essere considerata parte integrante di tutti i sistemi sin dal principio – già in fase di progettazione – piuttosto che essere aggiunta in modo retroattivo. Poiché vengono scoperte di continuo nuove vulnerabilità, le tecnologie di sicurezza e le pratiche di protezione dei dati che vengono attualmente considerate conformi, potrebbero necessitare di un aggiornamento per esserlo anche in futuro. A tal fine, le aziende avranno bisogno di meccanismi ben oliati per far sì che i loro sforzi riescano a stare al passo con gli sviluppi tecnologici e le nuove minacce.
Violazioni dei dati in crescita, informazioni personali a rischio
Nel panorama aziendale di oggi, le violazioni dei dati sono diventate una vera e propria piaga sociale, interessando le imprese di ogni dimensione. A livello globale, i danni causati dai crimini informatici sono destinati a raddoppiare entro il 2021, per un totale di 6 biliardi di dollari.1
Gli autori di questi attacchi, in genere, mirano a sottrarre dati personali in massa quali nomi, date di nascita, dati clinici o finanziari, con l’obiettivo di trarne profitto. Quando una rete risulta infetta, il malware può cercare informazioni riservate oppure registrare i tasti digitati dagli utenti sulla tastiera per accedere ai dati desiderati. Tutto ciò si traduce in un ambiente in cui le violazioni dei dati diventano sempre più comuni: il report “2017 Cost of Data Breach Study” curato da Ponemon Institute stima una probabilità del 27,7% da parte delle aziende di tutto il mondo di subire una violazione materiale dei dati nei prossimi due anni. In particolare, l’organizzazione definisce la violazione “materiale” come un evento in cui vengono persi o sottratti 1.000 o più record contenenti informazioni personali.
Per le aziende oggetto di attacchi, le violazioni possono implicare conseguenze estremamente nefaste. Ponemon stima il costo medio di una violazione dei dati pari a3,62 milioni di dollari o 141 dollari per ogni record perso o sottratto.2 Le aziende che subiscono furti di dati importanti possono andare incontro ad azioni legali, con la prospettiva di essere tenute a risarcire i danni causati con cifre nell’ordine di milioni di dollari.3
Inoltre, i danni a lungo termine alla reputazione del brand aziendale possono rivelarsi ancora più pesanti.
Sicurezza di rete: le sfide
Stare al passo con il panorama delle minacce in evoluzione rappresenta quindi una sfida anche senza la specifica richiesta del GDPR che sostanzialmente impone alle aziende di dotarsi di difese allo “Stato dell’arte”. Le enormi entrate del cyber-crime, per non parlare del suo potenziale in termini di terrorismo sovvenzionato dagli stati, garantiscono un livello tale di risorse e di innovazione che risulta difficilmente raggiungibile da una singola azienda o addirittura da un governo nazionale. Parte del problema deriva dal modo in cui la sicurezza informatica si è evoluta, con la scoperta di nuovi vettori di attacco che ha fatto sì che sorgesse l’esigenza di aggiungere di continuo ulteriori soluzioni di sicurezza a quelle esistenti. Sebbene ognuna di queste sia in grado di svolgere il compito richiesto, lo fa tendenzialmente in modo isolato, con un’interazione pressoché pari a zero con il resto dell’infrastruttura. Questo aspetto non solo è difficile da gestire, ma può facilmente portare a lacune e mancanza di coordinamento nella risposta a nuove minacce – soprattutto in un ambiente multi-vendor.
Una soluzione realmente allo “stato dell’arte” non solo deve essere in grado di avere la meglio sulle sfide sopra descritte, ma anche sapersi adattare ai cambiamenti tecnologici e alla continua evoluzione del panorama delle minacce.
Notificare le violazioni entro 72 ore
La problematica principale legata alla richiesta di notifica di un breach come imposto dal GDPR è rappresentata dall’individuazione sia del momento in cui questo si è verificato, che degli asset messi potenzialmente a rischio. Nel 2016, il tempo medio trascorso prima che le aziende si rendessero conto dell’esistenza di un breach è stato di quasi cinque mesi. Anche se la finestra di notifica di 72 ore prevista dal GDPR comincia dal momento della rilevazione – e non da quello dell’intrusione – è lo stesso fondamentale riuscire a ridurre i tempi di detection, poiché l’impatto finanziario di una violazione è strettamente correlato a quanto tempo l’hacker ha a disposizione per agire indisturbato nella rete.
Dal momento che è chiaramente impossibile rilevare l’irrilevabile, i responsabili della sicurezza IT dovrebbero esserne consci e prepararsi per l’inevitabile intrusione occasionale, cercando di ridurre al minimo tale tipologia di evento e accelerarne l’individuazione affidandosi a tutti i mezzi possibili e, anche nel caso non si fosse incontrato uno specifico profilo di attacco in precedenza, ciò non dovrebbe costituire un problema in fase di osservazione. Con la giusta combinazione di analisi del traffico distribuito e threat intelligence, unitamente a tecnologie quali la sandboxing, gli attacchi in precedenza invisibili possono ancora essere bloccati. La sfida per queste tecniche di rilevazione avanzata è quella di riuscire a distinguere i segnali che contano davvero da tutto il resto.
Conclusioni
Sebbene la conformità al GDPR non possa essere ottenuta solo attraverso la tecnologia, l’offerta di una sicurezza di rete “allo stato dell’arte” rappresenta chiaramente un primo passo indispensabile. Per ridurre l’esposizione alle conseguenze potenzialmente devastanti di un grave data breach, è quindi necessario ridurre al minimo sia il numero di intrusioni sulla rete che il tempo necessario per rilevarle.
A tal fine è fondamentale affidarsi a un nuovo approccio alla security, che preveda che tutte le componenti chiave dell’infrastruttura di sicurezza siano intrecciate in un tessuto (fabric) senza soluzione di continuità. Una sicurezza “fatta ad arte”.
