Le aziende sono chiamate a rafforzare strutture, procedure e competenze per mettersi al riparo da attacchi che crescono di numero e complessità. Nel contempo devono adeguarsi alle nuove stringenti normative Ue in fatto di protezione dei dati.
Ecco perché è necessario un nuovo approccio, per cui vengono in aiuto più dettagliate linee guida internazionali e indicazioni da recenti studi.
Come l’ultimo rapporto dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, lo scorso 5 febbraio 2019, secondo cui anche se le imprese hanno mediamente “sufficienti” strutture organizzative, procedure e competenze, devono incrementare “le iniziative di sicurezza a tutti i livelli manageriali e organizzativi delle imprese e un maggiore coinvolgimento dei profili dedicati alla security nelle strategie di business”.
Per sostenere lo sforzo delle aziende nell’adozione di misure di sicurezza e tecnologie adeguate alle disposizioni del Regolamento UE n. 679/2016 (GDPR) con adeguate linee guida, è scesa in campo l’Agenzia Europea per la sicurezza delle reti e dell’informazione (ENISA) che il 28 gennaio ha pubblicato tre raccomandazioni, riguardanti comunicazioni elettroniche e servizi online, pseudonimizzazione dei dati e privacy by default.
Aziende e sicurezza informatica
Dal Convegno dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, è emerso come ci sia una sempre maggiore consapevolezza da parte delle aziende dei rischi derivanti da un altrettanto maggior numero e varietà di attacchi, a cui a quanto pare, nessuna impresa sembra essere effettivamente preparata.
Si evince, quindi, che le principali finalità dei cyber attacchi hanno ad oggetto truffe (phishing e business email compromise, estorsioni, intrusioni a scopo di spionaggio, interruzioni di servizi) e per gli anni a venire le aziende temono di subire attività di spionaggio, influenza e manipolazione dell’opinione pubblica, acquisizione del controllo di impianti di produzione (40%). Gli obiettivi degli attacchi sono gli account email, i social, i portali eCommerce e i siti web, senza dimenticare i device mobili e nel futuro le infrastrutture critiche come reti elettriche, idriche e di telecomunicazioni, smart home & building e veicoli connessi.
La prima causa di vulnerabilità è, però, costituita dall’errore umano: distrazioni e scarsa consapevolezza dei dipendenti, sistemi IT obsoleti o eterogenei, aggiornamenti e patch non effettuati regolarmente.
Il principio di accountability
Nell’analizzare il tema delle misure di sicurezza, si deve partire dal principio dell’accountability, previsto dall’articolo 5, comma 2 e dall’articolo 24, GDPR, per il quale il Titolare del trattamento è tenuto a strutturare e organizzare un modello di gestione dei dati conforme al GDPR, che rispetti ed assicuri la corretta applicazione del Regolamento, nonché a fornire prova di questa conformità.
L’identificazione delle misure di sicurezza più adeguate rispetto al tipo di dati raccolti e all’attività svolta avviene sulla base di diversi criteri, in coerenza con il principio di protection by default, espressione del più ampio principio di responsabilizzazione del Titolare ed oggetto di una delle Raccomandazioni ENISA.
Come illustrato dall’Agenzia Europea per la sicurezza delle reti e delle informazioni nel documento dal titolo “Recommendations on shaping technology according to GDPR provisions: Exploring the notion of data protection by default”, le impostazioni predefinite rivestono un ruolo di primaria importanza per la sicurezza e la protezione dei dati, in quanto determinanti rispetto al primo utilizzo di un sistema o di un servizio, ma potenzialmente determinanti anche rispetto agli utilizzi successivi nel lungo periodo, nel caso in cui l’interessato non le modifichi. Possibilità, quella della modifica delle impostazioni predefinite, di cui gli interessati devono essere correttamente informati.
Per questa ragione, seguendo le indicazioni contenute nell’articolo 25, comma 2, GDPR, il Titolare o il Responsabile devono mettere in atto le misure organizzative e tecniche affinché, by default, solo i dati strettamente necessari vengano raccolti.
Protection by default
Sono quattro i caratteri necessari affinché la raccolta ed elaborazione dati venga limitata, rendendo un’impostazione di default user-friendly e sia rispettosa della disciplina sulla protezione dei dati personali:
- Minimizzare la quantità di dati raccolti, optando per quelli che rendano meno immediata l’identificazione dell’interessato
- Minimizzare l’utilizzo e l’estensione del trattamento il base alle finalità specifiche, ad esempio evitando la conservazione dei dati quando non necessaria
- Minimizzare la durata del periodo di conservazione
- Minimizzare l’accesso ai dati personali, sia dal punto di vista di dove questi sono conservati, sia rispetto ai diritti di accesso in capo a terzi.
Protection by Design
Il principio di protection by default si accompagna a quello contenuto nel primo comma dell’articolo 25, GDPR, il principio di protection by design, ovverosia l’obbligo in capo al Titolare di rispettare le disposizioni contenute nel regolamento attraverso la protezione dei dati fin dalla prima fase di configurazione del trattamento, che preveda l’uso minimo e indispensabile dei dati dell’interessato. Tutto ciò deve precedere l’inizio del trattamento vero e proprio, che viene progettato tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento” (articolo 25, comma 1, GDPR), unitamente ai possibili rischi.
Valutazione dei rischi e scelta delle misure di sicurezza
Proprio la valutazione dei rischi per la sicurezza del trattamento è il secondo criterio, su cui effettuare la scelta delle misure di sicurezza più adeguate. Le tipologie di rischio di cui tenere conto, così come indicate all’articolo 32, comma 2, GDPR, sono quelle derivanti dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzato dall’accesso, in modo accidentale o illegale, a dati personali; nel momento in cui una misura di sicurezza è in grado di prevenire e contrastare efficacemente questi eventi, allora verrà ritenuta adeguata. Importanza deve essere attribuita anche ai parametri della probabilità e della gravità del rischio per i diritti e le libertà dell’interessato, come suggerisce il Considerando 76, GDPR.
In materia si è pronunciata ENISA con la pubblicazione di “Reinforcing trust and security in the area of electronic communications and online services”, contenente linee guida per le piccole e medie industrie circa la corretta valutazione del rischio e la successiva scelta delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza, in base al tipo di rischio emerso.
Viene infatti indicato un approccio pratico alla valutazione attraverso cinque passaggi, precisando in ogni caso come il Titolare del trattamento, indipendentemente dal risultato finale di questa analisi, rimanga comunque libero di apportare le modifiche necessarie sulla base delle caratteristiche specifiche del proprio servizio:
- Definizione del contesto e delle operazioni di trattamento dati effettuate, sia rispetto alle tipologie di dati raccolti, sia rispetto all’uso che ne viene fatto
- Una valutazione del potenziale impatto sui diritti e libertà degli interessati nell’eventualità di incidenti o violazioni della sicurezza, in base alle specificità del trattamento effettuato
- Definizione delle minacce e valutazione della loro probabilità, dove per minaccia si intende qualsiasi circostanza o evento in grado di pregiudicare la sicurezza dei dati personali
- Dopo aver considerato l’impatto del trattamento sui dati dell’interessato e la probabilità di minacce, la valutazione vera e propria del rischio può aver luogo
- Infine, il Titolare procede alla selezione delle misure di sicurezza, organizzative e tecniche, appropriate in base al rischio emerso
In aggiunta alla valutazione del rischio, l’articolo 32, GDPR indica anche altri elementi da tenere in considerazione affinché le misure progettate assicurino un adeguato livello di sicurezza, ovverosia lo stato dell’arte (il grado di avanzamento tecnologico), i costi, la natura, l’oggetto, il contesto e le finalità del trattamento. Ciò che è importante evidenziare è come la valutazione sia rimessa al Titolare e al Responsabile, seguendo il principio dell’accountability, in rapporto alla specificità del trattamento; non essendo, come noto, più previste misure minime predefinite, il bilanciamento fra i vari criteri viene effettuato caso per caso, il che implica un adeguamento delle misure all’evolversi delle tecnologie disponibili.
La lista contenuta all’articolo 32, GDPR è aperta e non esaustiva (“che comprendono, tra le altre”), lasciando libertà di manovra nell’adottare ulteriori, o diverse, modalità, garanzie e limiti al trattamento dei dati. La stessa Raccomandazione ENISA suggerisce l’adozione di alcune specifiche misure di natura tecnica, elencando, fra le altre, misure preventive quali la previsione di autorizzazioni all’accesso dei dati, o il monitoraggio degli accessi.
Pseudonimizzazione: obbligatorietà della misura?
Fra le misure menzionate compare anche la pseudonimizzazione, tema della Raccomandazione ENISA “Recommendations on shaping technology according to GDPR provisions: An overview on data pseudonymisation”, che si prefigge lo scopo di illustrarne caratteristiche e benefici, assieme ad alcune tecniche utilizzabili per la pseudonimizzazione dei dati.
In termini generali, si tratta del processo grazie al quale è possibile dissociare l’identità dell’interessato dai suoi dati personali raccolti ed elaborati, in modo da nascondere l’identità del soggetto a meno che non vengano utilizzate informazioni aggiuntive, a condizione che queste siano conservate separatamente e sia garantita l’impossibilità di ricondurre tali dati ad una persona fisica. Ciò avviene attraverso la sostituzione di personal identifiers, informazioni facilmente attribuibili ad un soggetto interessato, con pseudonyms, valori e codici generati casualmente. Si tratta di una misura incentivata dal GDPR anche in materia di protection by design e by default (articolo 25 GDPR), in quanto permette di nascondere l’identità degli interessati a terzi nel contesto di operazioni di trattamento dati, così aumentando la protezione della sicurezza, da un lato e facilitando il Titolare nel raggiungimento degli obiettivi e delle previsioni contenute nel GDPR, dall’altro.
Come evidenziato da ENISA, la psedonimizzazione non è una misura obbligatoria, ma la sua adozione avviene al termine di un processo di bilanciamento fra i costi, la natura, l’oggetto, il contesto e le finalità del trattamento, nonché dei rischi che questo comporta. Allo stesso modo la pseudonimizzazione può ottenersi grazie a diverse tecniche, delle quali la Raccomandazione suggerisce un elenco sottolineando al contempo come il GDPR richieda che, avvenuta la pseudonimizzazione, non sia più possibile attribuire i dati ad un soggetto identificabile senza l’utilizzo di ulteriori informazioni.
Avendo sostituito il criterio delle misure minime con quello di responsabilizzazione, come esplicitato anche da ENISA, il GDPR prevede che le misure di sicurezza siano idonee rispetto ai rischi affrontati e allo stato dell’arte, il che significa che queste possano, e debbano, essere aggiornate in base all’evoluzione tecnologica e alle specificità del trattamento operato.
L’adesione ai codici di condotta e a schemi di certificazione rappresentano un elemento che consente di dimostrare la conformità ai requisiti di sicurezza richiesti dal GDPR. Di fatto, tali strumenti permetterebbero di attestare la corretta attuazione dei principi di protezione dei dati in materia di misure di sicurezza, così come previsto dall’articolo 32, comma 3.
Le azioni da intraprendere per incrementare il livello di sicurezza
Secondo quanto emerge da un recente studio condotto da Accenture (“Securing the Digital Economy: Reinventing the Internet for Trust” ), a livello mondiale si stima che i costi addizionali e i mancati ricavi delle aziende nel corso dei prossimi cinque anni dovuti ad attacchi cyber possano superare i 5 miliardi di dollari, alla luce della eccessiva “lentezza” con cui le aziende si avviano alla introduzione di misure di sicurezza adeguate in grado di proteggere i propri asset strategici.
Il Report evidenzia la necessità di portare avanti delle azioni inderogabili da parte del Management sotto il profilo della tecnologia, della business architecture e della corporate and data governance. Sempre più aziende iniziano ad adottare tecnologie emergenti più rapidamente rispetto alla velocità con cui affrontano i relativi problemi di cyber security. Peraltro, è sempre più difficile proteggere la propria organizzazione dalle vulnerabilità delle parti terze e la protezione dei dati dei clienti.
Tre le azioni suggerite per migliorare la sicurezza digitale:
- Governance: aumentare la collaborazione con altre aziende, responsabili di governo e autorità di regolamentazione per definire un modello di prevenzione dai cyber-attacchi;
- Business Architecture: connettere e proteggere le aziende tramite un modello basato sulla fiducia digitale
- Tecnologia: adottare nuove tecnologie, e gestire la sicurezza dell’IoT, assicurandosi che la sicurezza dei software e le funzioni di aggiornamento siano integrate nei dispositivi mobili e IoT sin dalla loro progettazione.