Il nuovo principio della “sicurezza” nel GDPR

Tra le innumerevoli disamine, valutazioni, interpretazioni e trattazioni sul Regolamento UE, ben pochi hanno “realizzato” uno dei nuovi cardini sui quale esso si basa.

La sicurezza è adesso divenuta un principio.

Art. 5 - Principi applicabili al trattamento di dati personali

1. I dati personali sono:
...
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Lo ripeto: “adeguata sicurezzamisure tecniche ed organizzative adeguate“; non c’è più sordo di chi non vuol sentire!

Chip clandestino, spionaggio planetario

Sembra originare dalla Cina il più incredibile caso di cyber-spionaggio della storia.

Secondo un articolo di  Bloomberg, qualcuno ha inserito un chip microscopico nelle motherboard di SuperMicro, una azienda americana che produce sistemi server High Tech.

Si ritiene che questi micro-chips, installati nelle mainboard durante la produzione in Cina, contengano del codice “backdoor” che comprometta il dispositivo, sovrapponendosi al sistema operativo.

Le indagini, condotte sin dal 2015 ed ancora in corso, sarebbero scaturite da una verifica di sicurezza su sistemi server di Amazon; non sono stati divulgati dettagli dalle Autorità.

I big del settore apparentemente coinvolti smentiscono categoricamente; nel frattempo i titoli delle aziende cinesi produttrici di componenti I.T. vanno a picco nelle borse mondiali.

Come sempre, quando si guarda prevalentemente ai costi, la sicurezza viene sempre in ultimo piano; occorre garantire la sicurezza della intera filiera produttiva dei prodotti I.T.

Forse SuperMicro (se supererà il ChipGate) tornerà a produrre in USA?

La sicurezza informatica riguarda tutti gli aspetti di un sistema; adesso l’opinione pubblica ha scoperto che anche l’hardware può essere compromesso in fabbrica.

Lo ripeto da tempo: tutte le componenti debbono essere oggetto di analisi di sicurezza; qualcuno sa esattamente cosa faccia il BIOS (adesso uefi, in pratica un sistema operativo a se stante) dei moderni PC?

350 mila PaceMakers vulnerabili

Da pochi giorni è stata resa pubblica la notizia di gravi vulnerabilità presenti nel firmware di alcune tipologie di “pacemakers” (le dizioni corrette sono ICDs e CRT-Ds).

Sono state scoperte oltre ottomila vulnerabilità conosciute , il che rende bene l’idea di come sia stata verificata la sicurezza del firmware di questi  dispositivi medicali.

Quando la insicurezza diventa lo standard, e la sopravvivenza delle persone viene messa a rischio, occorre fare uno stop per interrogarsi; come vogliamo procedere, in futuro?
Compriamo un portafortuna e speriamo che capiti sempre a qualcun altro?

Firewall

FireWall, il componente più determinante per la sicurezza I.T.C.

Il termine “firewall” in origine si riferiva a un muro destinato a confinare un incendio all’interno di un edificio; la definizione fu applicata, alla fine degli anni ’80 alla tecnologia di rete che consentiva di  “confinare” una rete locale collegata ad Internet, quando si evidenziarono problematiche afferenti alla sicurezza.

Un FireWall serve a regolare il traffico della rete locale proveniente da e diretto ad Internet; il suo scopo principale è quello di garantire sicurezza ai sistemi collocati dietro al suo perimetro.

Sulla base di regole impostate (policy o ACL) esso, agendo sui pacchetti IP, consente o nega la comunicazione tra le due parti che la richiedono (es. il client locale verso il server remoto); di norma vengono consentite solo le connessioni impostate dalle policy e negato tutto il resto (configurazione deny all).

Successivamente, con la diffusione di ulteriori tipologie di attacco, che veicolavano traffico illecito su connessioni consentite, furono sviluppati FireWall che valutano i pacchetti IP in transito e “capiscono” a quale protocollo o applicazione essi facciano capo; in tale modo è possibile bloccare (o consentire) un determinato tipo di traffico (es. il traffico generato dalle applicazioni p2p) indipendentemente dalle porte utilizzate e dalle regole statiche assentite.

I FireWalls di ultimissima generazione dispongono di ulteriori ed importantissime funzioni di sicurezza, quali Logging & Reporting, AntiMalware e IDS – Intrusion Detection System e/o IPS Intrusion Prevention System.

In ottica GDPR (art. 32 – sicurezza del trattamento) l’installazione e la gestione di un FireWall di terza generazione è assolutamente necessario; la sua installazione non esonera dalle altre misure di prevenzione e sicurezza, come talvolta erroneamente affermato.

Inoltre, per poter prevenire e notificare un eventuale Data Breach qualora eventualmente accada (art. 33 – notifica di una violazione di dati personali all’autorità di controllo) occorre che il FireWall disponga di funzioni IDS, meglio ancora se IPS (Prevention).

Da anni sviluppo e realizzo ApplianceIPsent – che consentono tutto quanto sopra a costi accessibili anche alle piccole realtà.

Ancora truffe informatiche

Ecco una altra notizia che conferma la necessità del nuovo GDPR (e l’applicazione delle misure di sicurezza).
Evidenzio una parte della notizia (tralasciando il linguaggio poco tecnico):

... a quanto sembra, le credenziali per entrare nel suo computer e poi nella sua posta elettronica, tra l'altro, non sono state "prese" attraverso un virus inviato via email, ma dopo essere riusciti ad "intrufolarsi" nella rete Wifi del suo negozio di autovetture ed aver inserito sul PC un trojan per manipolare il programma email e cambiare gli Iban ...

Trattasi di caso esemplare, riguardante un grave Data Breach, causato dalla mancanza dei corretti livelli di sicurezza (della rete wifi ma anche del PC compromesso).

Comunque, le banche debbono fare di più per garantire la sicurezza dei loro correntisti, e quindi dell’intero sistema bancario; talvolta occorrono solo volontà di fare e qualche risorsa.

Percezione della sicurezza informatica

Non esiste nulla di peggio che la devastante percezione della sicurezza, specialmente quando l’azienda è lontanissima da un livello accettabile (la sicurezza informatica assoluta non esiste, specialmente in questo periodo nel quale sono vulnerabili anche i processori).

La scorsa settimana ho udito con le mie orecchie un consulente affermare: “qualora si  installi un FireWall a protezione della LAN, non occorre aggiornare il software di sistema ne installare alcun antivirus sugli elaboratori”.

Si iniziano anche a vedere valutazioni di Risk Assessments, GAP analysis e D.P.I.A. (alcune prodotte ove non serviva) dalle quali si evince che chi le ha predisposte non ha le idee ben chiare su quali siano i rischi che incombono sui trattementi di dati personali (specialmente per gli assets digitali), ne ovviamente le adeguate contromisure da adottare.