L’attacco WannaCry ha reso ancora più eclatante quanto la cybersecurity sia cruciale e critica per la stabilità globale. Non a caso proprio in questi giorni l’Unione Europea ha mostrato di voler accelerare sulla strategia comune riguardo la sicurezza cibernetica che necessita di una revisione in tempi ancora più rapidi del previsto.
Dimitris Avramopoulos, Commissario responsabile per la Migrazione, gli affari interni e la cittadinanza, ha dichiarato:
“Il valore delle nostre informazioni sulla sicurezza viene massimizzato quando i nostri sistemi dialogano tra loro. La complessità e la frammentazione dei sistemi attuali ci rende vulnerabili. Le informazioni utilizzabili non sono sempre a disposizione dei funzionari delle autorità di contrasto che ne hanno bisogno. Oggi [16 maggio, ndr.] presentiamo una visione chiara su come intervenire per rimediare a questo problema e per collegare i punti ed eliminare le zone d’ombra al fine di aumentare la sicurezza dei nostri cittadini in tutta l’UE”.
Un problema che tutti i paesi dell’Unione devono avvertire come proprio e che non risparmia di certo l’Italia. Nell’ultimo rapporto Clusit sulla sicurezza ICT per l’anno appena trascorso, si evidenzia come gli attacchi ai nostri sistemi informatici siano in costante crescita. Secondo questo recente studio gli attacchi con finalità di cybercrime sono aumentati del 9,8% rispetto all’anno precedente. Stando ai risultati di questo rapporto, gli attacchi che sfruttano tecniche di Phishing/Social Engineering sono cresciuti del 1166% e anche quelli compiuti con tecniche di malware sono aumentati del 116% e tra questi reintrano anche i ransomware. Inoltre, dal rapporto, emerge che il 32% degli attacchi viene sferrato con tecniche sconosciute, in aumento del 45% rispetto all’anno passato.
Sempre dallo stesso rapporto emerge che i settori economici maggiormente colpiti da questi attacchi sono:
- Sanità (+102%);
- GDO – Grande Distribuzione Organizzata (+70%);
- Banking /Finance (+64%).
Anche gli attacchi infrastrutture critiche sono aumentati del 15% rispetto allo scorso anno.
Il rischio di vedere violata la nostra privacy, nonché il know-how di un’azienda, è dunque molto concreto. In questo contesto di insicurezza è necessario che le aziende effettuino degli interventi per garantire una maggiore protezione dei nostri dati.
Quali sono le priorità della cybersecurity?
Dai risultati del rapporto è possibile evincere alcune tematiche in materia di cybersecurity che necessitano di un intervento prioritario. Questi interventi avranno ad oggetto non solo i sistemi informatici, ma anche l’organizzazione aziendale, così da poter diminuire il rischio di un attacco informatico. Le aree che necessitano di un intervento prioritario sono:
- Misure di sicurezza. Innanzitutto per il ridurre il rischio di un attacco informatico è necessario migliorare le misure di sicurezza che proteggono i sistemi informatici. L’adozione di misure più efficaci possono aiutare a contrastare gli attacchi informatici Queste misure devono essere costantemente aggiornate perché come si evince dal rapporto il 32% degli attacchi avviene con tecniche sconosciute. Soprattutto devono essere calibrate rispetto all’azienda che intende adottarle, infatti devono tenere conto della struttura della stessa e del suo core business.
- Procedure organizzative. Sempre in un’ottica di riduzione del rischio di attacco informatico è importante che l’azienda adotti delle procedure organizzative. In particolar modo queste procedure devono prevedere delle istruzioni che indichino ai singoli operatori come devono svolgere determinate attività, in modo da evitare dei comportamenti scorretti che possano mettere in serio pericolo i dati. Oltre all’introduzione di queste procedure organizzative è importante introdurre delle procedure di Audit sia su sistemi informatici che sulle procedure organizzative, in modo da poterne verificare l’efficacia e l’adeguatezza rispetto agli obiettivi da raggiungere in termini di sicurezza.
- Formazione e sensibilizzazione. Molto spesso gli attacchi informatici hanno esito positivo perché possono contare sull’errore umano. Da qui nasce l’esigenza di formare e sensibilizzare le persone sul tema della sicurezza e sui rischi connessi a comportamenti scorretti, dai quali possono derivare dei gravi danni alla privacy della persona nonché al patrimonio intellettuale di un’azienda.
Il Nuovo Regolamento Europeo sulla Protezione dei Dati (GDPR) può venirci in aiuto?
Tutti gli interventi sopra richiamati possono essere messi in campo all’introduzione del nuovo Regolamento Europeo sulla Protezione dei Dati (GDPR – General Data Protection Regulation).
Le aziende possono sfruttare l’adeguamento alla GDPR per migliorare la propria cybersecurity e mettere al sicuro la privacy degli interessati, infatti questo nuovo regolamento prevede degli interventi in tema di sicurezza, formazione e procedure.
Per quanto concerne la cybersecurity, la GDPR stabilisce che le misure di sicurezza devono essere adottate sulla base di una valutazione dei rischi e che queste devono assicurare un adeguato livello di protezione. Per stabilirle occorre tenere conto della natura, dell’oggetto, del contesto, delle finalità del trattamento e dello stato dell’arte nonché il rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. La GDPR, come abbiamo appena visto, lascia un certo margine di scelta all’azienda sulle misure da adottare, tuttavia ne introduce alcune specifiche come l’anonimizzazione, la cifratura e la pseudonimizzazione, nonché l’adozione di misure sia tecniche che organizzative per “ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico” (art.32 GDPR).
Collegate alle misure di sicurezza, viste pocanzi, il Regolamento prevede l’introduzione di procedure per “testare verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (art. 32 GDPR). Oltre a questa procedura di verifica, è necessario introdurre, all’interno dell’azienda, una procedura di notifica del data breach, in modo da poter notificare all’Autorità Garante e agli interessati – nei casi in cui è obbligatorio – la violazione subita nei modi e nei tempi previsti dalla normativa. Questa risulta essere fondamentale soprattutto nel caso in cui i dati vengano trattati dai fornitori, i quali devono essere vincolati, in caso di violazione dei dati, ad informare immediatamente l’azienda, in modo che quest’ultima abbia il tempo sufficiente per notificare il data breach all’Autorità Garante.
L’art.29 GDPR prescrive di formare ed istruire tutti quei soggetti che materialmente andranno a trattare i dati, in quanto la formazione in tema di privacy risulta essere un importante presidio per la cybersecurity aziendale e non solo. Infatti, secondo quanto prescritto dal summenzionato articolo, tutti quei soggetti che andranno a compiere le operazioni di trattamento del dato dovranno essere formati sulla modalità e le attività da porre in essere, nonché dovranno essere informati sui tutti quei comportamenti che possano aiutare a prevenire eventuali violazioni, in modo da ridurre il rischio di perdita o distruzione, anche accidentale del dato. Pertanto, la formazione e la sensibilizzazione sul tema della privacy e sui rischi connessi alla sua violazione risultano essere dei mezzi fondamentali per proteggere al meglio i nostri dati.
In conclusione possiamo dire che grazie all’introduzione del nuovo Regolamento Europeo sulla Protezione dei Dati sarà possibile intervenire sulle misure di sicurezza e sulle procedure organizzative. Inoltre, sarà possibile effettuare un’importante opera di sensibilizzazione sulle tematiche della privacy, così da informare tutte le persone sui quei comportamenti che possono aggravare il rischio di data breach e fornire dei consigli e suggerimenti utili per evitarli.
L'articolo Cybersecurity: gli interventi prioritari per proteggere al meglio i nostri dati sembra essere il primo su Colin.