L’innovazione tecnologica non può prescindere da un tema di sicurezza: occorre tener presente che oltre ad un interesse diretto di chi si avvale o comunque gestisce dispositivi o soluzioni in ambito IoT, vi sono anche degli obblighi normativi con particolare riferimento al Regolamento Europeo per la protezione dei dati personali (GDPR) ed alla Direttiva NIS (Network and Information Security).
Mentre il GDPR è obbligatorio per qualsiasi titolare del trattamento di dati personali attivo a livello europeo, la NIS è destinata ad implementare l’approccio lato sicurezza per le aziende che operano nell’ambito dei servizi cosiddetti essenziali e servizi digitali. Ebbene, entrambe queste normative prevedono sia una preventiva valutazione dei rischi legati a soluzioni tecnologiche che possano dare esposizioni sul fronte degli attacchi, sia l’obbligo di notificare a specifiche entità gli estremi dell’attacco subito.
Partiamo dal tema privacy, spesso sottovalutato in ambito IoT.
Ricordiamo che il legislatore europeo prevede che il Titolare del trattamento deve porre in essere preventivamente, all’avvio del trattamento stesso, tutta una serie di adempimenti imprescindibili laddove appunto siano utilizzati i dati personali. Ricordiamo che in ambito aziendale rilevano come dati personali quei dati relativi agli utenti che accedono, ai dipendenti, ai consumatori finali ovvero qualsiasi dato facente riferimento ad una persona fisica anche se operativa in ambito aziendale.
Dicevamo, è obbligatorio per il Titolare che adotta una soluzione IoT verificare preliminarmente i rischi che potrebbero derivare dai dati personali trattati tramite questa soluzione tecnologica andando a tracciare mediante la conservazione di apposita documentazione non solo le logiche sulla base delle quali viene effettuata l’analisi del rischio stesso, ma anche gli eventuali rimedi conseguenziali ai rischi rilevati.
Questo passaggio appare fondamentale per poter valutare in caso di attacco se vi sia una responsabilità di omissione da parte del Titolare del trattamento: difatti benché non siano assolutamente prevedibili tutti gli attacchi informatici che potrebbero essere subiti, vi sono comunque delle misure di sicurezza che devono essere state oggetto di valutazione ed eventuale adozione da parte del Titolare del trattamento a seconda della tecnologia utilizzata, della tipologia di dati trattati e dei rischi connessi alle conseguenze che potrebbero derivare dal subire un attacco.
Premesso ciò, una volta subito l’attacco il Titolare dei dati trattati deve provvedere entro 72 ore decorrenti dalla conoscenza dell’attacco stesso, alla notificazione verso l’Autorità di controllo nazionale, il cosiddetto Garante per la privacy. Tale notifica oltre che a dover essere effettuata in termini temporali piuttosto ristretti deve essere accompagnata da elementi di natura tecnica, da una descrizione delle tipologie di dati oggetto di attacco e delle conseguenze che potrebbero derivare ai soggetti interessati provvedendo eventualmente anche alla notificazione verso questi ultimi, laddove l’attacco e quindi la conoscibilità dei dati da parte dei soggetti non autorizzati potrebbe generare delle vulnerabilità limitabili qualora i terzi violati ne venissero a conoscenza.
In quest’ultimo caso è ovvio che oltre ad un tema di obbligatorietà in ambito privacy vi è un’evidente esposizione sotto il profilo della brand reputation da parte dell’azienda che si veda costretta a notificare agli interessati di aver subito un breach.
Le implicazioni della Direttiva NIS (Network and Information Security)
Per quanto concerne la NIS, le aziende tenute al rispetto di questa normativa debbono seguire un “processo” simile a quello sussistente per il GPDR:
- adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi;
- prevenire e minimizzare l’impatto degli incidenti di sicurezza delle reti e dei sistemi informativi;
- notificare, senza ingiustificato ritardo, gli incidenti che hanno un impatto rilevante, sulla continuità e sulla fornitura del servizio, informandone anche l’Autorità nazionale competente NIS.
È dunque fondamentale per chi adotta o crea una soluzione IoT valutare le normative di riferimento in caso di attacco. Oltre a ciò ovviamente vi è una tematica di salvaguardia delle informazioni di natura produttiva o comunque aziendale. In questo caso oltre alle forme di tutela esercitabili da chi subisce l’attacco, occorre ricordare come possa essere obbligatorio per lo stesso comunicare alle parti anche indirettamente coinvolte (ad esempio soggetti giuridici cui le informazioni sono riferite o che comunque detengono parti del know-how destinatario dell’attacco) quanto subito, al fine di ridurre i rischi e poter contribuire ad adottare contromisure verso le conseguenze dell’attacco stesso: una omissione di comunicazione verso le parti suddette può comportare per la vittima dell’attacco una responsabilità laddove i danni subiti dalle terze parti sarebbero stati potenzialmente ridotti da un intervento coordinato. Ecco perché in caso di attacco occorre attenzionare anche l’impatto legale oltre che ovviamente, a correre ai riparti sotto il profilo tecnologico.
Articolo pubblicato su IOTtoday
L'articolo IoT: attacchi informatici e responsabilità delle “aziende vittime” proviene da Colin.