Oggigiorno, la pressoché totalità delle aziende – così come anche ciascuno di noi nella propria abitazione – sfrutta i vantaggi di una (o, talvolta, più di una) rete locale senza fili (WLAN) per consentire la connessione in rete dei dispositivi o l’accesso al web.
Connessioni wi-fi, i vantaggi
Per quanto, sotto un profilo qualitativo, le soluzioni cablate risultino vantaggiose e meno influenzate da caratteristiche strutturali (muri, pavimenti, porte, etc.), sono innegabili i vantaggi offerti in termini di praticità da una connessione di tipo wireless, che grazie a standard di trasmissione e router sempre più performanti, nonché al proliferare di dispositivi portatili o indossabili per i quali l’online risulta indispensabile, ha visto sempre più crescere negli anni il suo impiego e migliorare le proprie performance.
Sono molti, inoltre, i dispositivi e i comandi che in passato venivano azionati via cavo o manualmente e che invece, attualmente, possono essere avviati da remoto o risultano automatizzati in quanto connessi alla rete wireless aziendale: pensiamo, ad esempio, all’illuminazione, alle serrature, all’impianto di videosorveglianza o di riscaldamento.
I rischi di una rete basata sul wi-fi
Una rete basata su tecnologia Wi-Fi, tuttavia, comporta anche dei rischi, finendo potenzialmente per rappresentare l’anello debole dell’integrità dei dati (anche personali) che transitano sulla rete stessa, nonché della sicurezza informatica aziendale, incidendo di riflesso sulla business continuity.
Risulta, pertanto, quanto mai opportuno per l’azienda prestare attenzione a implementare idonee procedure e strumenti di cybersecurity e, prima ancora, acquisire consapevolezza riguardo al giusto approccio da adottare, oltre a svolgere attività formativa interna riguardo ai pericoli connessi al tema in parola.
Wi-fi, regole e suggerimenti di sicurezza da tenere in considerazione
Per queste ragioni, pur senza addentrarci in questa sede nel dettaglio strettamente tecnico delle varie misure, possiamo stilare un elenco – non esaustivo – di regole e suggerimenti da tenere in considerazione:
- In primo luogo, assicurarsi di mantenere costantemente aggiornato il firmware del router Wi-Fi (e di range extender e access point, laddove la grandezza dei locali aziendali ne abbia richiesto l’utilizzo, al fine di estendere lo spettro di copertura della rete wireless). Le vulnerabilità vengono infatti costantemente monitorate e risolte da parte dei produttori attraverso il rilascio di patch di sicurezza.
- Impostare la potenza del segnale confinandola all’area di interesse, evitando che possa essere visibile al di fuori della struttura aziendale permettendo un’eventuale intromissione da parte di soggetti non autorizzati.
- Non lasciare l’SSID (ossia il nome visibile della rete Wi-Fi) impostato di default (talvolta corrispondente al modello stesso del router), in quanto ciò potrebbe facilitare malintenzionati, dato che consentirebbe loro di agire sulla base delle vulnerabilità note del dispositivo. Inoltre, appare altresì opportuno disabilitare il broadcast dell’SSID, ossia evitare che il nome della rete sia individuabile dall’esterno attraverso una semplice scansione delle reti disponibili.
- Monitorare le reti Wi-Fi disponibili in prossimità dell’azienda per individuare eventuali reti “civetta”. Spesso i criminali informatici creano reti con un nome uguale o molto simile a quello dell’azienda allo scopo di indurre in errore il dipendente, che proverà ad accedervi utilizzando la password aziendale. In tal caso, i soggetti malintenzionati avranno facilmente modo di intercettare le credenziali, potendo comodamente accedere alla rete dell’azienda.
Sotto questo profilo, appare fondamentale svolgere e aggiornare costantemente l’attività formativa del personale, in modo da accrescere la loro consapevolezza in un’ottica di prevenzione del rischio.
- Al momento di installazione del router, prevedere una password di accesso robusta (ad esempio con lunghezza minima non inferiore a 8 caratteri, alfanumerica, con lettere maiuscole e minuscole, numeri e caratteri speciali) e, eventualmente, a due fattori, in modo che la sua complessità renda più difficile un accesso non autorizzato. Ulteriori preziose indicazioni, in questa prospettiva, sono quelle fornite dall’Autorità Garante privacy, disponibili al seguente link.
La password dovrà essere cambiata periodicamente o, nel caso di attacco informatico o accesso non autorizzato, immediatamente dopo il verificarsi dell’evento. Per ulteriore sicurezza, appare corretto il cambio della password anche nel caso di dimissioni o licenziamento del dipendente, al fine di non lasciare nella sua disponibilità la chiave di accesso alla rete aziendale.
- Utilizzare un firewall al fine di proteggere i dispositivi connessi alla rete, nonché prevedere un protocollo di sicurezza per evitare, anche laddove un cybercriminale dovesse riuscire ad accedere alla rete, che provochi danni importanti ai server aziendali.
- Adottare specifiche policy aziendali che consentano di perimetrare le modalità di utilizzo della rete da parte del personale, nonché per stabilire ex ante regole per la gestione di eventuali ipotesi di violazione dei dati personali (c.d. data breach, articoli 33 e 34 GDPR[1]).
- Nel caso in cui sia stato nominato, è quanto mai necessario che il DPO (Data Protection Officer) venga messo a conoscenza della configurazione della rete e dia eventuali ipotesi di violazione della stessa, al fine di consentirgli di adempiere agli obblighi di informazione, consulenza e sorveglianza che gli vengono attribuiti dall’articolo 39 GDPR.
- Prevedere apposite nomine ex art. 28 GDPR nel caso in cui vi sia un’esternalizzazione di attività che consentano, ad esempio, al tecnico manutentore esterno, di svolgere attività di trattamento di dati personali per conto dell’azienda[2].
- Creare e isolare una seconda rete per gli ospiti[3] (ad esempio, clienti, fornitori, visitatori) distinta da quella aziendale, alla quale hanno accesso le risorse interne. In questo modo, pur consentendo al soggetto esterno la fruizione di internet, si eviterà di mettere a rischio l’intera infrastruttura informatica aziendale, dato che sarà precluso a quest’ultimo l’accesso a risorse della rete principale, quali NAS o server ad esempio.
Reti wi-fi “guest”, a cosa prestare attenzione
Riferendoci proprio alla rete Wi-Fi “guest” è utile osservare come talvolta per l’azienda, soprattutto se ci collochiamo nell’ipotesi del contesto ricettivo-alberghiero, ciò rappresenti anche un canale utile per raccogliere dati di contatto dell’utente, anche al fine di compiere una successiva attività di marketing.
In questo caso, quanto considerato ai fini dell’integrità della rete in sé, assume ulteriore valenza anche come protezione da assicurare ai dati personali raccolti. Informazioni quali il nome, il cognome o l’indirizzo mail, ad esempio, sono a tutti gli effetti “dati personali” – così come definiti ex art. 4, comma 1, punto 1) GDPR – e, come tali, l’azienda (titolare del trattamento) dovrà attuare misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato al rischio[4], consentendo così una protezione dei dati degli utenti fin dalla progettazione e per impostazione predefinita (c.d. privacy by design e by default, art. 25 GDPR).
Trattamenti dei dati personali per l’accesso alla rete ospiti
Pertanto, al di là del profilo tecnico di sicurezza fin qui esaminato, con riferimento al trattamento dei dati personali raccolti per permettere l’accesso alla rete ospiti, possiamo anche considerare come ulteriori misure quelle di:
- Rispettare i principi di cui all’art. 5 GDPR, in particolar modo avendo riguardo di ridurre il quantitativo di dati raccolti (“minimizzazione dei dati”) e di limitare le finalità (“limitazione delle finalità”).
- Rispettare gli obblighi di trasparenza e informazione, attraverso un’idonea informativa privacy che metta a conoscenza dell’utente quali tipologie di dati vengono raccolti, per quali finalità, i tempi di conservazione e tutti gli altri elementi previsti ex art. 13 GDPR. Consentire, inoltre, l’eventuale esercizio dei diritti da parte dell’interessato, riscontrando eventuali richieste nei termini di cui all’art. 12 GDPR.
- Nel caso sia interesse del titolare sfruttare le informazioni raccolte anche per attività promozionali (ad esempio tramite la mail richiesta per la registrazione alla rete), ciò potrà avvenire dietro specifico e libero consenso dell’utente (cfr. art. 7 GDPR).
- Astenersi dal compiere attività di tracciamento di prossimità attraverso tecniche di Wi-Fi location tracking, relative all’ubicazione o agli spostamenti degli utenti.
- Ricomprendere tale attività all’interno del registro delle attività di trattamento, richiesto al titolare ex art. 30, comma 1, GDPR.
Conclusioni
Appare chiaro come a fronte dei notevoli vantaggi offerti dall’accesso a una rete wireless, si pone come fondamentale per qualsiasi azienda l’obiettivo di salvaguardare le esigenze connesse alla sicurezza aziendale e alla protezione dei dati personali, soprattutto in considerazione dei sempre crescenti attacchi informatici a cui le aziende sono esposte in questo periodo, soprattutto nel nostro Paese[5].
Note
[1] Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679).
[2] Alla luce dell’ampia definizione offerta dal punto 2 del primo comma dell’art. 4 GDPR, anche la mera consultazione dei dati personali sarebbe da intendersi quale “trattamento”.
[3] La rete Wi-Fi “guest” è identica a quella aziendale principale, pur con differenti prestazioni, più ridotte, in modo da consentire la performance e la sicurezza della rete “primaria”, nonché lo svolgimento delle attività lavorative riducendo altresì il rischio di malfunzionamenti o rallentamenti.
[4] Secondo l’art. 32 GDPR, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Cfr. altresì art. 24 GDPR.
[5] Cfr. con la Relazione annuale al Parlamento 2022 circa l’attività svolta dall’Agenzia per la cybersicurezza nazionale (ACN). www.acn.gov.it/agenzia/relazione-annuale.
