immagine-preview

Apr 27, 2018

GDPR e notifica dei data breach: tutto pronto?

Dal 25 Maggio l’obbligo di notifica di una violazione dei dati nella propria realtà non è più rimandabile.

Si avvicina la scadenza per l’adeguamento ai termini del regolamento generale sulla protezione dei dati (GDPR – General Data Protection Regulation) e nonostante le tante iniziative volte a informare e a suggerire soluzioni o modelli di approccio e best practices da adottare, molte entità pubbliche e private non sono ancora pronte.

 

Ma non mancano le occasioni di discussione in favore dell’awareness sul tema che permettono anche di guardare alla roadmap e alla preparazione della Pubblica Amministrazione  e del comparto della difesa. L’ultimo in ordine di tempo è stato il Convegno AFCEA (Armed Forces Electronic Association) l’associazione che supporta la formazione e divulgazione di temi tecnologici di interesse per le forze armate.

Lo studio: il 67% non rispetterà la scadenza

A riprova della mancanza di preparazione, si riportano i dati della ricerca NetApp sul GDPR, svolta nel mese di marzo su 1.106 dirigenti, (CIO, responsabili IT o altri responsabili coinvolti nelle decisioni di acquisto IT) appartenenti ad aziende con oltre 100 dipendenti. La scadenza del GDPR si applica a tutte le imprese che trattano dati personali di cittadini UE, innescando alti livelli di preoccupazione tra i responsabili IT fuori dalla UE. Infatti, il Sondaggio ha evidenziato come il 67% delle aziende sia preoccupato di non rispettare la scadenza per il raggiungimento della conformità.

I responsabili statunitensi sono i meno ottimisti, con oltre tre quarti, il 76%, a fronte degli intervistati europei, il 64%, che esprimono preoccupazione. E se il 51% delle aziende interpellate a livello mondiale, pensa che il regolamento potrebbe danneggiare la propria reputazione aziendale (Regno Unito al 56% Stati Uniti, 52%, Francia al 49% e Germania al 45%), il 35% delle aziende, ritiene che addirittura il GDPR potrebbe minacciare la loro stessa esistenza in caso di non conformità a causa delle sanzioni finanziarie (Stati Uniti al 40%, Regno Unito 41%, francesi al 34% e tedeschi al 26%). Infine il 40% degli intervistati si sente sicuro sul dove sono archiviati i propri dati. Gli intervistati americani sono i più consapevoli (52%), mentre in Europa la percentuale è molto più bassa (solo il 35%) – solo del 10% più alta rispetto ai risultati dell’indagine dello scorso anno.

Leggi anche: GDPR: cosa cambia per le aziende? Fine della comunicazione data driven oppure occasione per una miglior interazione?

Convegno Data breach notification

Adempimenti, misure, tecniche e metodologie per prevenire e rilevare violazioni dei dati dimostrando una opportuna e appropriata tenuta sotto controllo, sono stati gli elementi fondanti dell’evento “Data Breach Notification” organizzato dalla AFCEA.

Il Presidente AFCEA, Gen. Antonio Tangorra ha sottolineato l’importanza dell’argomento per dare una risposta a chi ancora ha tanti dubbi sul GDPR, per sollecitare le aziende ad una maggiore sensibilità verso la protezione dei dati che sono un valore assoluto. In questa occasione, ha spiegato, si è voluto focalizzare sul data breach e sugli aspetti normativi e su quelli istituzionali naturalmente con riferimento ai dati personali e sensibili che pure sono gestiti in ambito militare (ad esempio quelli sanitari n.d.r.), mentre per quelli strettamente operativi e altrettanto sensibili, che non ricadono nel perimetro del GDPR vi sono già modalità di gestione e protezione separate e appropriate.

 

Durante il convegno, si è voluto sensibilizzare ancora una volta a livello di cultura sul tema, sia per i privati che per le aziende, perché la cultura non si fa in un giorno, ma deve essere un processo continuo e perché è sempre necessario lavorare sull’uomo che dovrebbe restare al centro di ogni approccio: quello informativo e formativo è cruciale, prima di ogni intervento di carattere tecnico o tecnologico.

Che cosa cambia per la PA

Il focus sul mondo PA dall’esperienza del CERT PA e dal CERT Nazionale sono stati forniti, rispettivamente dall’ing. Mario Terranova, AGID e dalla dott.ssa Rita Forsi direttore ISCOM.

La PA resta appetibile come target per molti motivi: elevata concentrazione di dati, scarsa consapevolezza nella preparazione, una certa obsolescenza tecnologica legata alla carenza di manutenzione e una cronica inadeguatezza della design authority. Questa elevata “passibilità” dovrebbe essere combattuta con la tutela della RID (Riservatezza, Integrità e Disponibilità dei dati n.d.r.), mediante la crittografia ad esempio, che sebbene protegga i dati ha tuttavia delle conseguenze: appesantisce e riduce l’interoperabilità e le performance, introduce altri rischi come la perdita delle chiavi o la perdita irrecuperabile dei dati; per non parlare dell’avvento dei computer quantici che renderanno i sistemi attuali crittografici facilmente decrittografabili.

 

È necessaria anche una appropriata gestione dei privilegi amministrativi (modalità di accesso privilegiato degli amministratori di sistema alle risorse informatiche n.d.r.), perché non possano essere sottratti garantendo via libera agli attaccanti. In questo caso le misure dovrebbero essere di tipo organizzativo, procedurale e in ultima battuta tecnologico per evitare errori involontari colposi ma anche quelli volontari e dolosi. È consigliata anche una stratificazione del sistema informativo con organizzazione a sottoreti e livelli di protezione crescenti per ogni strato, autenticazioni diverse per ogni livello e il controllo dei flussi fra livelli. Naturalmente alla base della tutela della RID ci deve essere una politica efficace di back up, con opportuni e periodici controlli della integrità delle copie e delle modalità e possibilità per il ripristino.

Fra gli spunti di riflessione su elementi ancora irrisolti, che occupano il confronto degli addetti ai lavori, con un continuo stato di aggiornamento si trovano: il problema dell’IP (Internet Protocol n.d.r.) considerato un dato sensibile e da trattare in modo sicuro, che conduce al problema per l’ICANN (Internet Corporation for Assigned Names and Numbers, ente di gestione internazionale per la rete Internet) in relazione alla questione di trasparenza del servizio WHOIS oggi liberamente consultabile “in chiaro” (il WHOIS è un protocollo di rete che permette di individuare il provider internet di un determinato indirizzo IP o uno specifico DNS, mediante l’interrogazione (query) di appositi database server da parte di un client n.d.r.). Infine, deve essere definita la costituzione di uno CSIRT italiano (Computer Security Incident Response Team, entità formata da squadre capaci di rispondere in caso di incidenti informatici n.d.r.) come recepimento della direttiva NIS, capace di collaborare con gli altri CSIRT europei che si stanno formando.

Il focus sulla difesa

In ambito Forza Armata ed in particolare per il VI reparto dello Stato Maggiore Difesa, ufficio Sicurezza dei sistemi, è intervenuto il Ten. Col. Mario De Stefano, che ha illustrato le evoluzioni per il supporto tecnologico nella sicurezza informatica dando anche cenni sul CIOC (Il Comando Interforze per le Operazioni Cibernetiche n.d.r.). L’amministrazione Difesa (AD) considera prioritaria l’aderenza alle misure minime di sicurezza emesse dall’AGID e a quelle di protezione dei dati secondo il GDPR perché oltre alla conformità, la protezione dei dati è una esigenza operativa. Di fronte alla minaccia opportunistica o mirata, sono necessarie difese crescenti. Ovvero mentre nel primo caso, la minaccia è criminale ma senza target specifico e la difesa può basarsi su azioni di aggiornamento di sistemi, sulla protezione, e sulla formazione, nel caso della minaccia mirata, essendo più insidiosa e difficilmente preventivabile, si richiede una aggiunta rispetto ai mezzi precedenti: risorse, esperienze e tecnologie avanzate, come la threat analysis, e il machine learning ed una formazione mirata associata ad una cultura specifica di intelligence. In sostanza è necessario il passaggio da una gestione degli eventi cyber (intesi come incidenti di sicurezza n.d.r.) ad una prevenzione degli eventi cyber.

Negli anni l’evoluzione della minaccia è passata da attività di gioco, effettuato da individui curiosi, a mezzo per avere fama e visibilità per tecnici e hacker, progredendo verso motivazioni di guadagno da parte della criminalità organizzata, arrivando a strumento di potere utilizzato da attori statuali.

I 4 pillar da tenere in considerazione

Per questi motivi, in ambito difesa, si lavora alla sicurezza ICT secondo il programma Cyberdefence Capability (CDC 2) per aumentare le competenze della difesa ripartire su 4 pillar: protezione endpoint, protezione perimetrale, Sicurezza applicativa, e governance della sicurezza (declinata mediante procedure, competenze e responsabilità).

In tema di responsabilità, il riassetto organizzativo che ha interessato il comparto difesa ha ridefinito i perimetri di intervento, e se il Comando C4 mantiene la responsabilità della Cyberdefence, mediante il SOC (Security Operation Center) e il NOC (Network Operation Center), il nuovo comando CIOC si occuperà di Computer Network Operation e di funzioni di CERT (Computer Emergency Respond Team). In particolare, nell’ultima organizzazione approvata dal CaSMD, il CIOC opererà come CERT facendo confluire al suo interno i CERT delle tre forze armate.

Il polo di formazione Cyber a Chiavari

In questa articolazione per la difesa, la formazione e l’addestramento sono cruciali tanto che è stato avviato il nuovo polo di formazione Cyber a Chiavari, ma sono in corso anche le opportune revisioni delle procedure per aggiornarle alla nuova organizzazione con un ordine di priorità che inizia dalla sicurezza, tocca le funzionalità e in ultimo considera i costi, in modo diametralmente inverso a quanto considerato prioritario fino a qualche tempo fa.

Si punta infine alla certificazione della filiera per i prodotti a servizio della difesa attendendo la piena implementazione dell’approccio “secure by design”. In particolare, la modalità di certificazione è al momento un problema aperto per la valutazione della migliore modalità da adottare, considerando che anche per le tecnologie straniere, dovranno essere effettuate prove di validità e di sicurezza.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter