ItaSec18

In questi giorni si svolge un importante evento sulla CyberSecurity, ITASEC18, organizzato da CINI e Politecnico di Milano, insieme al Sistema di informazione per la sicurezza della Repubblica e AssoLombarda, in pratica gli “stati generali” della cybersecurity italiana.

Durante i quattro giorni di lavori, è stato presentato il libro bianco  “Il Futuro della Cybersecurity in Italia” curato da Roberto Baldoni, Rocco De Nicola, Paolo Prinetto; lo scenario, non solo nazionale, per la sicurezza informatica e le linee di intervento, in sintonia con la recente evoluzione della normativa italiana e in sintonia con l’applicazione delle prossime normative europee.

Speriamo che coloro che hanno/avranno compiti istituzionali almeno lo leggano.

Alcuni temi di rilievo sul tavolo:

  • metà delle aziende italiane danneggiate da attacchi;
  • mancanza di talenti nella CyberSec (quelli che ci sono se ne vanno all’estero);
  • il data-breach della piattaforma Rousseau;
  • ethical hacking: white hat vs black hat;
  • serve un piano straordinario sulla cybersecurity;
  • le minacce del prossimo futuro: Botnet, APT e RaaS.

Alcuni interventi:

Affidare esclusivamente all’acquisto di una tecnologia in ottica difensiva la sicurezza informatica di un’azienda è l’errore cui più di frequente si assiste. In presenza di attacchi sempre più human-like limitarsi a questo comporta solo una perdita di denaro.

Uno stato sovrano deve avere controllo totale di alcune tecnologie chiave. Dunque va deciso quali debbano essere sviluppate a livello nazionale e quali invece reperite su mercato estero.

Il registro delle attività di trattamento

Il nuovo regolamento sulla protezione dei dati personali prevede che ogni titolare di trattamento che abbia oltre 250 dipendenti, debba tenere un registro delle attività di trattamento.
Ritengo che tale strumento possa costituire un valido aiuto anche per quelle realtà che ne sarebbero esonerate.
Il registro delle attività di trattamento costituisce il riferimento primario per tutte le attività di valutazione, auditing, supervisione, valutazione del rischio del titolare del trattamento e non da ultimo le attività ispettive e di controllo delle autorità incaricate.
Le moderne organizzazioni trattano molti dati personali, in diversi luoghi e con molti stumenti; inoltre intrattengono dei flussi informativi con altri titolari di trattamento.
Un registro che indichi chiaramente dove sono i dati, quali sono le finalità, come vengono trattati, da chi, quali sono i flussi, per quanto tempo verranno conservati e le misure di sicurezza applicate è uno strumento fondamentale, specialmente in caso di eventuali problemi.

Che sia realizzato con strumenti self-made (es. foglio di calcolo) oppure aquistando un applicativo ad-hoc, rimane lo strumento principale nelle mani del titolare del trattamento per capire i processi di trattamento dei dati personali, in essere presso le proprie strutture.

UPDATE: il Garante ne consiglia caldamente la redazione a tutte le realtà, anche coloro che non ne hanno l’obbligo.

Accountability nel GDPR

Il nuovo regolamento europeo 679/2016 modifica radicalmente l’approccio finora adottato, introducendo il concetto di accountability (tradotto come responsabilizzazione, ma che significa “dover rendere conto del proprio operato”).

Con la regolamentazione attuale e precedenti, l’approccio alla sicurezza era di tipo “reattivo“; si determinavano misure di sicurezza, spesso minime, e si reagiva quando esse non erano sufficienti.

L’esperienza ha dimostrato l’inadeguatezza di questo schema; adesso viene richiesto a titolari e responsabili un approccio proattivo, con comportamenti che prevengano (e/o riducano) in modo effettivo il possibile evento dannoso.

Infatti, con un parere del Gruppo di Lavoro Articolo 29, si è specificato che “il titolare del trattamento dei dati debba essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi e che debba dimostrare in modo positivo e proattivo che i trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.”

Quindi non più misure minime di sicurezza, ma l’introduzione e l’applicazione di un sistema di misure (giuridiche, organizzative, di sicurezza, …) definite dal titolare come adeguate e rispondenti alle norme del nuovo codice di protezione.

Senza dimenticare la responsabilizzazione e la formazione dei responsabili e degli incaricati al trattamento dei dati personali.

La nuova figura del DPO nel GDPR

Mancano pochi mesi alla entrata in vigore della nuova regolamentazione europea in materia di protezione dei dati personali.
Una delle novità introdotte dal codice è la figura del Data Protection Officer (D.P.O.) oppure Responsabile Protezione Dati (R.P.D.); tale ruolo sarà obbligatorio nelle maggioranza delle organizzazioni pubbliche.
Molti non hanno ben chiaro quali siano le caratteristiche di tale figura;  sicuramente dovrà avere competenze multidisciplinari, relative a conoscenza giuridiche, dei processi informativi, amministrativi e gestionali della propria organizzazione, ma anche concetti di sicurezza informatica e dei rischi derivanti.
Alcuni credono che il superamento di un processo di certificazione abiliti allo svolgimento del ruolo.
Purtroppo per loro, il Garante per la Protezione dei Dati personali italiano ha ribadito come, allo stato attuale, non esista alcun schema di certificazione che abiliti al ruolo di D.P.O.
Come indicato dal nuovo codice:
“il responsabile della protezione dei dati è designato in funzione delle qualità professionali,in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39” (Compiti del responsabile della protezione dei dati).
Il D.P.O. è un soggetto con un ruolo misto di consulenza e controllo: deve verificare l’applicazione del G.D.P.R., supportare, informare e consigliare la sua organizzazione, fungere da punto di contatto per le Autorità di controllo e gli interessati; in taluni contesti complessi, il ruolo di D.P.O. potrà essere ricoperto da un pool di persone che assommano tutte le competenze necessarie al ruolo.
La nomina del DPO non solleva le organizzazioni dalle proprie responsabilità; infatti, si tratta di una figura di controllo priva di responsabilità esecutive, che esprime solo pareri, ma le decisioni finali e le conseguenti responsabilità sono assunte dal Titolare del Trattamento dei Dati Personali. Come precisato dal Gruppo dei Garanti europei, il Responsabile della protezione dei dati non risponde personalmente in caso di inosservanza del GDPR: “Data protection compliance is a corporate responsibility of the data controller, not of DPO”.

Supporti di memoria e dati personali

Non tutti sanno che, quando si dismettono strumenti o supporti informatici che contengono (o abbiano contenuto) dati personali, occorre dapprima effettuare le opportune procedure per rendere irreversibilmente non recuperabili i dati precedentemente contenuti.

Sappiate che la normale formattazione non è una opportuna procedura.

Talvolta acquisto qualche notebook usato su eBay e dovreste vedere quello che trovo dentro (ovviamente i dati vengono immediatamente cancellati).

Pensate alla situazione che si verrebbe a creare quando viene dismesso un server che contiene dati personali senza attuare le opportune misure; un incidente del genere (che io definisco Information Security Incident) nel nuovo GDPR si definisce “Data Breach”.

E cosa si deve fare, dal 25 maggio prossimo, in caso di data breach?

 

Web CryptoMining

Nella follia della corsa alle crypto-monete, si evidenzia una nuova trovata dei soliti ignoti: i web crypto-miners.

Si tratta di un codice javascript che viene fatto caricare (all’insaputa dell’utente) da una pagina web di alcuni siti “particolari” solitamente molto frequentati.

Appena la pagina viene scaricata, il codice viene eseguito dal browser e parte uno (o più) task che ricercano hash di cryptomonete a beneficio del gestore del sito.
Il PC viene quindi “forzosamente arruolato” e gran parte della sua potenza di calcolo viene dirottata per altrui scopi e benefici.

A mio avviso, un codice che arbitrariamente e senza comunicazione viene caricato su di una pagina web per scopi nascosti, è assimilabile a malware.

Ovviamente è possibile evitare di far eseguire il predetto codice, e sono disponibili diversi sistemi e strumenti; contattatemi per le misure tecniche.