Il rispetto del GDPR è il presupposto per l’adozione di un piano di sicurezza informatica. Anzi, il legame tra GDPR e cybersecurity, sebbene non evidente ai più, è tale che il 26 gennaio 2022 le due autorità nazionali, Garante privacy e Agenzia per la cybersecurity nazionale, hanno sottoscritto un protocollo di intesa[1] che include, tra le altre cose, anche il monitoraggio congiunto dei data breach, con il Garante che “provvederà a informare l’Agenzia delle notizie di data breach rilevanti ai fini della cybersicurezza del Paese e, in particolare, della sicurezza nello spazio cibernetico.”
Il tema, quindi, diventa trasversale e simbiotico tra varie autorità nazionali: “La sigla del protocollo d’intenti rappresenta un momento molto importante per la tutela dei dati personali e della stessa cybersecurity nel nostro Paese. Si attua, così, una previsione particolarmente lungimirante della disciplina istitutiva dell’Agenzia, laddove delinea nella cooperazione con il Garante uno dei punti qualificanti della strategia di tutela della cybersicurezza”, ha commentato il Presidente del Garante Pasquale Stanzione.
Tre anni di GDPR: cosa abbiamo imparato e cosa ci aspetta per il prossimo futuro
Il Gdpr e la sicurezza informatica
Senza una normativa unica che obblighi tutti a porre al centro dei loro processi decisionali la sicurezza informatica, siamo sempre in una situazione frammentata. Come un castello medievale, dove le mura e il fossato fossero amministrati da autorità diverse.
Eppure, se analizziamo con attenzione, un privato quanto un pubblico, trattano dati e questi sono sia personali che non. Ma non sono separabili in un sistema informatico. Anche se dovessi avere server dove distribuisco i dati secondo la distinzione “personali e anonimizzati”, questi sono sempre dentro una rete aziendale (anche pubblica). Le difese perimetrali come endpoint sarebbero sempre le stesse e non potrebbero essere inferiori alla adeguatezza necessaria per proteggere i dati.
Una normativa principale, che guida tutti i processi decisionali di pianificazione della sicurezza informatica esiste, quindi, e forse molti lo hanno capito, anche solo come effetto delle misure che bisogna adottare per proteggere i dati.
Due sono i riferimenti che bisognerebbe prendere in considerazione. Prima di tutto l’art.5 del GDPR, e quindi il principio di accountability, di responsabilizzazione. L’imprenditore o il dirigente della PA, se sono responsabili della protezione dei dati personali, di fatto sono responsabili di tutto il sistema di protezione dei dati, personali e non, perché non sono scindibili e non avrebbe senso scindere i due temi dalla sicurezza informatica.
Il tutto come sappiamo si integra con l’art.32 del GDPR.
“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (…)”.
L’art.32 è uno dei più importanti e fondamentali articoli del GDPR, perché impone al titolare del trattamento dei dati di adottare misure di sicurezza e questo impatta su tutto il sistema informativo. Anche i dati anonimizzati ne giovano, anche i dati “non personali”, spesso parte del know-how aziendale. Non è possibile proteggere una parte del valore di una organizzazione e lasciare non protetto il resto. Inoltre, la stessa determinazione dell’art.32 imponendo misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio sta sintetizzando in poche righe alcuni dei cardini della Sicurezza Informatica.
Questo implica che una normativa unica per tutti, pubblico e privato, un insieme di regole di alto profilo che impongono di adottare misure di sicurezza Informatica ci sono e sono contenute nel GDPR.
Questo impone a sua volta, sempre coerentemente con le disposizioni del GDPR, il rispetto degli standard, l’uso di certificazioni, e tutta una serie di modalità di lavoro che hanno come conseguenza finale la messa in sicurezza del sistema informatico e informativo.
Sicurezza informatica, una situazione ingarbugliata
La percezione che spesso si ha è che la sicurezza informatica sia una buzzword: non si fa altro che parlarne e spesso sembra che ci sia chiarezza e una strada tracciata, ma in realtà manca unitarietà tra infrastrutture e leggi. Mentre, infatti, esiste una infrastruttura di competenze tecniche ormai consolidata e accessibile a tutte le aziende e gli enti pubblici, la normativa che dovrebbe supportare o obbligare, quando serve, ad adottare corrette strategie di sicurezza informatica è ancora frammentaria e non sempre coerente. Soprattutto se si distingue tra privato e pubblico.
Lo stato dell’arte nel settore privato
Nel primo caso probabilmente c’è un’aspettativa che l’interesse a fare business spinga gli imprenditori a dotarsi delle corrette misure di sicurezza per proteggere le proprie attività. Il frequente approccio che il libero mercato possa risolvere con la selezione naturale i problemi causati da chi non pone attenzione a problematiche critiche, non si è rilevato vincente.
In realtà il costante bombardamento di attacchi con esito positivo fa sospettare una generale sottovalutazione del problema e una scarsa consapevolezza della necessità di dotarsi di adeguate misure di sicurezza per proteggere la propria capacità produttiva e operatività sul mercato.
Ma il caso OVH[2] è un chiaro segnale della totale disattenzione al tema e il fallimento dell’approccio della selezione naturale.
La situazione nella Pubblica amministrazione
Non abbiamo una situazione migliore neanche nella Pubblica Amministrazione, dove AgID sta svolgendo da anni un lavoro eccellente su tutti i fronti che toccano la Sicurezza Informatica: dalla formazione, al monitoraggio delle misure di sicurezza, dei data center fino alle linee guida per produzione di software sicuri.
Dal 31 dicembre 2017, data entro la quale le PA dovevano adottare le misure di sicurezza, è difficile immaginare che le PA abbiano gestito il tema e siano in linea con le linee guida di AgID.
Nel caso della PA dobbiamo quindi sottolineare che esisterebbe una normativa puntuale, dall’art.51 del CAD in poi, che viene spesso disattesa. Sempre il recente caso di OVH, che ospitava dati pubblici in barba alle indicazioni sempre di AgID e anche della buona pianificazione della sicurezza informatica, è la cartina al tornasole.
Il nodo delle certificazioni
Tutto questo appare come una jungla dove si mescolano anche certificazioni delle aziende produttrici dei sistemi di sicurezza, certificazioni ISO 27001 e seguenti, fino alla recente ISO/IEC TS 27110:2021 Information technology, cybersecurity and privacy protection — Cybersecurity framework development guidelines, che dovrebbe fornire le istruzioni per la protezione dei dati personali in contesto digitale.
Conclusioni
Non rimane da sottolineare che se si adottano metodi, processi, strumenti e cultura della sicurezza informatica per proteggere i dati personali, si protegge l’intero patrimonio e la produttività dell’azienda o dell’ente pubblico. La sinergia che si sta costruendo tra autorità nazionale rappresenta a livello macro quello che dovrebbe succedere a livello micro nelle aziende o nelle PA.
Note
- Il comunicato del Garante Privacy: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9739921 ↑
- Sull’incendio che fermato le attività di un data center di OVH si può leggere l’articolo https://www.cybersecurity360.it/soluzioni-aziendali/ovh-down-unutile-lezione-su-come-contrastare-gli-attacchi-ddos/ ↑
