Richieste, informazioni e preventivi

Con la ripresa lavorativa (e la pubblicazione in Gazzetta Ufficiale del Decreto Legislativo 101), molte organizzazioni mi stanno contattando per informazioni, richieste e preventivi in merito al GDPR.

Dato l’elevato carico di lavoro, non potrò rispondere a tutte le chiamate telefoniche; chiedo pertanto di inviare le richieste tramite una e-mail a webreq@stefanorossi.it, indicando i riferimenti per essere ricontattati appena mi sarà possibile.

GDPR ed il FireWall perimetrale

Mi vengo a trovare presso uno studio medico per motivi extra-professionali; vengono a sapere che mi occupo di dataprotection.

Intuisco che mi vorrebbero chiedere qualcosa, immagino si tratti di GDPR; la domanda infine salta fuori: ma noi dobbiamo avere un FireWall?

Lo studio medico “ha già fatto gli adeguamenti” con l’assistenza del consulente di una associazione di categoria.

Come spesso avviene quando si “fanno gli adeguamenti al GDPR” tramite fogli e checklist, ben pochi hanno idea di quello che stanno facendo ne del perché occorra farlo.

Come da copione, la formazione non viene fatta e vengono frettolosamente indicate le cose da fare, che non vengono motivate ne ben spiegate.

Con buona pace del concetto di accountability presente nel GDPR!


Un Titolare del Trattamento che abbia dati sanitari, deve mettere in atto tutte le misure di sicurezza che ritiene necessarie affinchè i dati personali conferitigli siano sicuri (art. 32 GDPR).

Il FireWall perimetrale costituisce una delle primarie misure di sicurezza della intera LAN di qualsiasi organizzazione; rimando alla apposita pagina per altri approfondimenti.

Inoltre, una ulteriore considerazione; tutte le LAN sono oggigiorno collegate ad Internet tramite una connessione ADSL o Fibra (definita fibra ma che in effetti è una VDSL) di un fornitore di connettività. Esso fornisce un apparato (router) in comodato d’uso, che diventa il Gateway di tutta la LAN, da e verso Internet.

Il router fornito dal provider viene telegestito da remoto (dai suoi tecnici), per aggiornamenti, configurazioni e diagnostiche; in pratica, soggetti terzi hanno accesso al dispositivo più importante della vostra LAN: il Gateway.

Non solo, ma dato che il router consente l’accesso per telegestione, e che talvolta si manifestano delle vulnerabilità che rendono possibile l’accesso a malintenzionati ai vari router dei providers, e di conseguenza a tutta la rete locale, capite bene che questo rischio non può essere sottovalutato, ne (a mio avviso) accettato.

Quindi, occorre che a valle del router del fornitore sia presente un valido e ben configurato FireWall, gestito dal Titolare del Trattamento, che impedisca ad eventuali terzi estranei, qualora riescano ad accedere al router, di operare anche nella rete locale.

Ovviamente la miglior misura consiste nel sostituire il router fornito in comodato con uno proprietario e gestito dal Titolare del Trattamento; il Border FireWall è comunque sempre necessario.

Invece l’argomento dei FireWall software (quelli installati sugli elaboratori) sarà oggetto di trattazione in un separato post.

GDPR – proroga 8 mesi adempimenti

Stamani mi hanno riferito la seguente notizia: “è stata prorogata di 8 mesi la deadline degli adempimenti al GDPR”.

Si tratta di una fake-news; come sempre avviene in Italia, si prende una non-notizia e la si fa diventare una notizia, tra l’altro plasmandola a proprio “uso e consumo”; vi spiego cosa è successo.

La commissione speciale alla Camera, nella sua proposta di parere al D.Lgs. di adeguamento della nostra normativa nazionale al GDPR, ha menzionato l’opportunità di sospendere le sanzioni, per un periodo transitorio di almeno 8 mesi.

Il parere della commissione speciale alla Camera non è vincolante.

Quindi, qualora venisse adottato il parere della commissione nel decreto, si parlerebbe di sospendere le sanzioni, e non di sospendere gli adeguamenti.

Ripeto, per coloro che amano “rimestare nel torbido”: il GDPR è in vigore, gli adempimenti debbono essere fatti, le sanzioni sono applicabili.

Affinché il Regolamento UE 679/2016 sia completamente a regime, manca solo il decreto di “armonizzazione” del Governo Italiano, previsto entro il 23 Agosto; questo non autorizza nessuno a credere (o meglio a far credere) che, oggi, le sanzioni del GDPR siano sospese, o ancora peggio che il Regolamento non sia in vigore.

IPsent

IPsent (acronimo formato da IP + SENTINEL) è una appliance progettata e realizzata allo scopo di garantire la sicurezza delle reti IP locali e conseguentemente dei dispositivi ad esse collegati.

Si tratta di una delle primarie misure di sicurezza richieste all’art. 32 del nuovo Regolamento UE 679/2016.

In primo luogo, dispone di avanzate funzioni di reporting; ciò consente di visualizzare, graficamente ed in tempo reale, il traffico di rete, compreso i sistemi che stanno utilizzando banda.

 

Realizza inoltre visualizzazioni dettagliate, le quali consentono, agli amministratori di sistema, di avere visione sulle specifiche connessioni attuate, la tipologia ed il traffico intercorso.

 

Dispone di tutte le caratteristiche di un FireWall di ultima generazione, comprese le funzioni MultiWan, Traffic Shaper,  Content Filtering, Intrusion Detection ed Intrusion Prevention.

 

Le appliance sono realizzate con componenti opensource collaudati, utilizzando hardware adatto ad ottenere le prestazioni necessarie alla specifica infrastruttura di rete locale; sono disponibili soluzioni adatte a piccoli studi ed uffici sino ad arrivare a soluzioni ad alto traffico e/o sistemi High-Availability.

IPsent può essere installato con nulle o minime modifiche alla infrastruttura LAN esistente.

I costi sono molto accessibili ed inferiori rispetto agli equivalenti dispositivi dei produttori più blasonati.

Gestione della violazione di dati personali

Come sappiamo, il GDPR introduce specifici obblighi, per tutti i Titolari del Trattamento di Dati Personali, inerenti una eventuale violazione dei dati personali (definita anche data breach).

Cosa è una violazione dei dati personali?
Per «violazione dei dati personali» si intende ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Essa può interessare trattamenti di dati personali effettuati con supporti cartacei oppure con strumenti informatici; ovviamente tale secondo aspetto presenta un maggiore indice di probabilità. Si tenga inoltre conto che non dobbiamo pensare a SE, ma a QUANDO esso avverrà, ed essere pronti a gestirlo.

All’art. 33 del GDPR è prescritto di “comunicare alla Autorità di Controllo, entro 72 ore dal momento che se ne è avuta conoscenza, la violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Art. 34 “Qualora la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.

Voglio sottolineare che, qualora il data breach accada presso un Responsabile del Trattamento esterno (es. lo studio commerciale o il centro paghe), esso deve immediatamente informare i Titolari dei Trattamenti interessati, in quanto spetta ad essi mettere in atto le misure dapprima indicate.

Qualora un data breach interessi sistemi informativi, segnalo come sia importante gestirlo con l’ausilio di persone estremamente esperte e competenti; infatti quasi sempre tali eventi sono correlati ad attività penalmente rilevanti (es. artt. 615 ter, quater e quinquies, codice penale).

Occorre quindi intervenire non solo per chiudere la breccia, ma (prima) anche con le opportune attività di informatica forense.

Quindi consiglio alle organizzazioni di definire un dettagliato piano di gestione del data breach, per evitare di doverlo fare (magari in preda al panico) nelle poche ore a disposizione.