Applicare la normativa privacy richiede un’attenzione crescente alla cyber security. La sicurezza informatica rientra infatti tra quelle misure che il GDPR (Regolamento Europeo 2016/679) e il D.lgs 101/2018 prevedono per garantire la sicurezza dei dati.
L’approccio basato sul rischio su cui é fondata la normativa prevede l’applicazione di procedure e misure tecniche adeguate a indentificare e contrastare tutti i rischi connessi al trattamento dei dati. I rischi cyber, in costante crescita ed evoluzione, rientrano a pieno titolo tra quelle minacce che il responsabile del trattamento è chiamato a prevenire.
Privacy, data protection e cyber security convergono sempre di più in un approccio alla normativa dove la tecnologia ha un ruolo determinante.
Cyber security e GDPR Privacy
Il GDPR applica il principio di Responsabilità (Accountability). Il titolare del trattamento è quindi chiamato ad adottare tutte le misure tecniche e organizzative adeguate al rischio specifico dimostrando di aver adempiuto a questo obbligo in modo proattivo, cioè prima che si verifichi un evento critico. Il contrasto effettivo ed efficace delle minacce alla sicurezza dei dati è dunque una responsabilità definita dalla normativa, superando il semplice adeguamento formale agli adempimenti previsti.
Il GDPR, oltre a sollecitare azioni concrete, prevede anche l’onere di dimostrare il come venga esercitata questa responsabilità nei confronti di chi cede i propri dati. In caso di violazioni occorre pertanto dimostrare di aver fatto tutto il possibile per evitarlo.
In questa chiave di lettura la cybersecurity può essere vista come uno strumento fondamentale a tutela dei dati di imprese, professionisti e organizzazioni. Carenze nella sicurezza informatica, che possono essere tecniche ma anche comportamentali, dimostrano pertanto di non aver contrastato adeguatamente il rischio implicito al trattamento dei dati. Una responsabilità, considerando come i dati e i processi siano sempre più digitali, che non può essere elusa né rimandata.
La crescita delle minacce informatiche
Sarebbe fuorviante ritenere che la cyber security sia un tema all’ordine del giorno soltanto nelle multinazionali o nelle grandi organizzazioni. Se è vero che le violazioni subite dai colossi internazionali suscitano scalpore e ottengono molta visibilità sui media, è anche vero che il cyber crime mira anche a PMI e Studi professionali, realtà molto più vulnerabili dal punto di vista della cyber security. Le statistiche dimostrano come gli attacchi informatici colpiscano indistintamente e in modo diffuso, segnando una crescita preoccupante agevolata dal ricorso esteso alle tecnologie digitali nel recente periodo di emergenza pandemica.
Il Rapporto CLUSIT 2021 sulla sicurezza ICT indica come il 2020 abbia registrato il record negativo di attacchi informatici. A livello globale l’incremento degli attacchi cyber ha segnato + 12%, con una crescita degli episodi gravi (dal 2017 gli attacchi gravi sono cresciuti del 66%).
In generale, non si riscontrano episodi lievi tra i casi rilevati: il 56% hanno avuto un impatto alto e critico, il 44% una gravità media. Questo si traduce in considerevoli danni economici, stimati nell’ultimo anno in 945 miliardi di dollari (nel 2018 la stima si aggirava sui 600 miliardi di dollari). Basti considerare che alle aziende un singolo data breach costa in media 4,24 milioni di dollari, secondo quanto riportato dallo studio promosso da IBM e condotto da Ponemon Institute.
Nel 2020 gli attacchi cyber più frequenti sono stati quelli portati attraverso Malware (42%), in particolare i Ransomware che bloccano l’accesso a tutti o ad alcuni contenuti dei dispositivi chiedendo un riscatto da pagare generalmente in criptovaluta per riappropriarsene.
A questo proposito, va considerato come l’81% degli attaccanti rientrino nella categoria del cybercrime, mentre hacktivism (violazione dei sistemi informatici per scopi politici, sociali o religiosi) spionaggio e cyber warfare risultino molto più rari.
Privacy e cyber security: proteggere il proprio business
La piena applicazione della normativa privacy richiede un approccio che superi il mero adeguamento a un obbligo di legge. Come abbiamo visto, proteggere i dati di clienti, fornitori e dipendenti è responsabilità del titolare del trattamento. Tuttavia, è anche l’occasione per mettere in sicurezza la propria organizzazione.
La crescita delle minacce dovute allo scambio di informazioni via Web o tra i diversi dispositivi, infatti, pone la sfida di proteggere il proprio business da blocchi dell’operatività, dalla sottrazione di dati sensibili e da eventuali danni reputazionali.
Tra i fattori che hanno innalzato i rischi, proprio la recente diffusione dello smart working ha aperto la strada a molti degli attacchi subiti da imprese e professionisti. La mancanza di tecnologie adeguate non è però il solo punto debole dei sistemi informatici. Anzi, è la scarsa consapevolezza nei dipendenti e nei collaboratori dei rischi cyber ad essere la vulnerabilità più sfruttata.
Difficilmente i cyber criminali hackerano un sistema informatico o lo attaccano in modo frontale. Il fattore “umano” (errori e distrazioni) è quasi sempre la leva principale, ricorrendo spesso a credenziali di accesso deboli oppure sottratte in vario modo, ad esempio attraverso il phishing.
La formazione del personale è dunque un presidio fondamentale, ed è qualcosa che va oltre un corso fine a sé stesso. Occorre sviluppare e diffondere una cultura della privacy e della cyber security che sappia individuare i rischi e attuare comportamenti preventivi, accompagnandosi alle dovute misure tecniche e organizzative per rendere l’intero sistema solido e sicuro.
