Privacy e sicurezza cyber: cinque punti per la protezione

I dati diffusi giorni scorsi dal Clusit, l’Associazione Italiana per la Sicurezza Informatica, parlano chiaro: l’ascesa dei crimini informatici non conosce soste, né a livello quantitativo, né per quanto riguarda gravità e intensità degli attacchi, sempre più perpetrati verso “bersagli multipli indifferenziati” (+253% nel primo semestre del 2017, rispetto agli ultimi sei mesi del 2016). Condotti da un’unica forza criminale, questa tipologia di attacchi cyber ha obiettivi vari e indistinti, secondo una vera e propria “logica industriale”.

Ovvero, non sono più solo le organizzazioni, le banche o le grandi aziende con centinaia o migliaia di dipendenti, business complessi, grande mole di informazioni e conti in banca consistenti ad entrare nel mirino dei cybercriminali.  Come evidenziano gli esperti, qualsiasi organizzazione, indipendentemente da dimensione o attività, “è a rischio concreto di subire un attacco informatico di entità significativa entro i prossimi 12 mesi“.  Prede appetibili della criminalità informatica sono infatti già diventate le piccole aziende, gli studi professionali, fino anche ai privati cittadini.

 

La normativa sulla sicurezza informatica in Italia: Nis e GDPR in arrivo

In Italia, è in vigore il decreto DPCM 17 febbraio 2017, che recepisce la direttiva europea Nis (Network and Information Security) come primo passo verso una strategia europea in materia di sicurezza informatica e stabilisce forti interazioni con l’Agenzia per l’Italia Digitale (AgID) del Dipartimento della funzione pubblica, il Ministero dello sviluppo economico, il Ministero dell’interno, il Ministero della difesa e il Ministero dell’economia e finanze.

Partendo dal dato di fatto che le reti e i sistemi informativi abbiano un ruolo imprescindibile nella attuale società, e dalla necessità che questi stessi siano sicuri e regolamentati per una serie di attività economiche e sociali, l’Unione Europea ha emanato il Nuovo Regolamento in materia di protezione dei dati – GDPR (General Data Protection Regulation – Regolamento Europeo 2016/679), di cui abbiamo già parlato dalle pagine di questo stesso blog, che si va ad integrare con coerenza con molti aspetti della sicurezza informatica. Il confine tra privacy e sicurezza dei dati è infatti estremamente permeabile; il nuovo Regolamento mette in rilievo, tra l’altro, la figura fondamentale del responsabile per la protezione dei datiDPO, Data Protection Officer – che con l’entrata in vigore della normativa nel maggio 2018 sarà obbligatoria nelle aziende pubbliche, nelle imprese private che operano in alcuni settori specifici (per esempio, energia o trasporti) e, comunque, costituisce una “buona prassi” per qualunque organizzazione.

Il GDPR intende inoltre mettere ordine nella mole di dati “non strutturati” di cui noi tutti siamo custodi, per lo più inconsapevoli (e spesso anche distratti): email, immagini e pagine web, video, documenti di testo e fogli di calcolo.  Fino agli accessi e ai contenuti individuali alle piattaforme social, perennemente tracciabili su internet, che rappresentano una vera fonte di informazioni sulle nostre abitudini, frequentazioni  e perfino spostamenti, e per questo sono in grado di acquisire un preciso valore di mercato.

 

La protezione dei dati e delle informazioni

Ma come è possibile proteggersi e proteggere i dati aziendali dagli attacchi informatici?

I nostri esperti hanno individuato cinque punti chiave, fondamentali per il professionista così come per il privato cittadino che voglia tenere al sicuro il proprio patrimonio di dati personali.

  • Consapevolezza: quali dati custodisco e dove. Sembra banale, ma quanti di noi salvano in un unico posto sicuro tutte le password per accedere a servizi – magari transazionali – sul web? Il consiglio è sempre quello di tenerne traccia in file criptati o – più tradizionalmente – su fogli cartacei, custoditi ovviamente in appositi archivi a prova di curiosi.
  • A chi sto fornendo i miei dati e per quale motivo. La maggior parte delle truffe che provengono dal web sono costruite per “adescare” letteralmente le vittime. Diversi studi in ambito psico-sociologico dimostrano che sul web – e soprattutto sui social network – tendiamo a fidarci molto di più di tutto ciò che non conosciamo, come se esercitassimo il controllo assoluto delle relazioni tramite lo schermo di un computer, di un tablet o di uno smartphone. Chi non ha mai ricevuto un’email con richiesta di aiutare persone in difficoltà, spesso in paesi stranieri, enti, associazioni? O, ancora, di fornire i propri dati per accedere a un concorso, a un servizio (non richiesto), o – più esplicitamente – la password dell’home banking? I criminali del web riescono con molta semplicità ad essere piuttosto credibili come fornitori di servizi bancari, postali o di organizzazioni private (esemplari, alla soglia delle festività natalizie del 2015, gli attacchi a migliaia di utenti tramite email apparentemente provenienti da parte di spedizionieri internazionali). L’invito è quindi a chiedersi sempre perché un ente, un’organizzazione ci stia chiedendo dei dati di cui dovrebbe già essere in possesso, e a quale scopo. Così come non daremmo retta allo sconosciuto che ci fermasse per la strada richiedendo i nostri dati personali, è opportuno che ci riflettiamo prima di procedere sul web. Dove non tutto è ciò che sembra. Una massima che vale nella vita “reale”, ma ancora di più oggi in quella “virtuale”.
  • Siamo tutti sotto attacco: siamo coscienti che se un criminale informatico ha intenzione di violare il nostro computer riuscirà a farlo. Possiamo tuttavia limitare i danni, proteggendoci con la tecnologia a disposizione, ovvero antivirus aggiornati e back up dei nostri dati, possibilmente custoditi su diversi hard disk.
  • La creatività è sempre la scelta giusta: attenzione alle password, che devono essere sempre diverse, per ogni servizio, e periodicamente modificate. E’ consigliabile, inoltre, che siano originali, poco intuibili (da evitare i nomi dei figli, del proprio animale domestico, le date di nascita…). Più complesse sono, meglio è, insomma. Tenendo presente che, per non complicarci ulteriormente la vita, dovrebbero anche essere facili da ricordare. Allora potremmo scegliere una poesia che abbiamo imparato a memoria da piccoli, o il ritornello di quella canzone che ci è rimasta nel cuore…
  • Non tutto ciò che riteniamo “inviolabile” lo è. Anche se è un paradigma con cui ancora non abbiamo famigliarità, l’Internet delle cose (IoT, Internet of Things), è già realtà, e scenari che potrebbero sembrarci fantascienza oggi, in realtà sono già molto concreti. Ogni apparecchio collegato a Internet e, quindi, in grado di dialogare con il nostro cellulare – dalla smart TV, agli apparecchi di domotica residenziale (videocamere installate contro il rischio di furti, impianti di riscaldamento e aria condizionata, monitoraggio dei consumi, automazione di luci e tapparelle, etc…) può rappresentare una comoda via d’accesso ai nostri dati.

Avete domande su privacy e sicurezza in studio o azienda? Gli esperti Alavie sono a disposizione, contattateci!