Principali considerazioni emerse dalla Tavola Rotonda: Cybersecurity, GDPR e Data Protection durante il TechMaster Challenge - Start Hub, Rebel Change!
Mar 10

Principali considerazioni emerse dalla Tavola Rotonda: Cybersecurity, GDPR e Data Protection durante il TechMaster Challenge

A cura di: Marco R. A. Bozzetti, Andrea Attilio Grilli Ultimo aggiornamento: 5/19/2024 ( Marco Rodolfo Bozzetti Andrea Attilio Grilli )

Premessa

Come osservatorio, affrontiamo tematiche innovative di grande rilevanza. Inoltre, se siete interessati, possiamo connettervi con il nostro network di esperti in IT, ICT e Digital. Ci differenziamo perchè conosciamo approfonditamente i membri del nostro network, le loro esperienze, competenze e approccio tecnologico.

Scopri di più: https://rebelchange.it/osservatorio/

Introduzione

Cybersecurity e Data Protection sono strettamente correlate: la prima garantisce il secondo. Entrambe sono essenziali per soddisfare i requisiti della normativa sulla privacy, ora normata a livello europeo dal GDPR, ma che è legge dal 1995.

Il concetto di sicurezza digitale è “relativo”: la sicurezza assoluta non esiste, ed essa deve quindi essere declinata secondo le necessità del business, del settore merceologico e delle normative/leggi in merito.

L’importanza della cybersecurity è riconosciuta anche dalle piccole e piccolissime imprese (in Italia il 95% al di sotto dei 10 dipendenti) data la forte crescita di attacchi digitali causata in primis dai collegamenti in Internet a livello universale e per ogni attività lavorativa e domestica, cui segue la crescita della criminalità informatica (che in pratica nella maggior parte dei casi risulta impunita) e la guerra informatica (o digitale, o cyber warfare), negli ultimi anni crescente per l’invasione dell’Ucraina e per la guerra in Medio Oriente.

Siamo da tempo in guerra informatica, che impatta non solo le grandi imprese e i principali enti pubblici, ma anche le piccole organizzazioni. Queste ultime non sono normalmente oggetto di attacchi “targeted”, ossia specificamente orientati a loro, ma di attacchi “di massa”, per lo più non sofisticati, ma indirizzati a un grande numero di potenziali vittime: nella massa qualche sistema informativo non sicuro lo si trova sempre. La grande diffusione ed il “successo” dei ransomware in Italia ne è un esempio.

Le motivazioni per gli attacchi digitali sono quasi sempre di tipo economico, anche quelli dovuti ad hactivism e a guerre digitali. Questo è uno dei motivi per cui è difficile distinguerli chiaramente, e l’attaccante molte volte vuole essere ed è assolutamente anonimo.

In accordo coi due facilitatori, la Tavola Rotonda si è focalizzata su tre tematiche: la compliance al GDPR, l’analisi dei rischi digitali (AR) ed il Disaster Recovery (DR). Data l’ampiezza e la complessità degli argomenti, la Tavola Rotonda (TR) si è focalizzata su alcuni specifici aspetti delle tre tematiche, nel seguito sinteticamente riportati.

Compliance al GDPRPur essendoci una normativa sulla privacy da quasi trent’anni, che ha fortemente contribuito all’adozione di misure di sicurezza in tutti i sistemi informativi, sussistono significative mancanze che in alcuni casi il Garante ha colpito con gravi sanzioni economiche.

Infatti, il GDPR prevede alte sanzioni pecuniarie, che l’Autorità Garante impone o può imporre direttamente (l’autorità giudiziaria interviene solo per eventuali parallele sanzioni penali).

La normativa sulla privacy, ora GDPR, è la prima di altre numerose normative richieste dall’Unione Europea (NIS/NIS2, DORA, CER, DSA, DMA, DGA, EHDS, Artificial Intelligence Act, etc.), che impattano sulla sicurezza digitale e che dovranno essere implementate relativamente a breve termine (nei prossimi mesi e fino al 2026).

Per alcune aziende/enti, e tra queste i fornitori “critici” di servizi essenziali per il Paese, questo impegno su più fronti risulta assai gravoso e costoso: morire di compliance?

Il bilanciamento degli interessi è un tema delicato perché le imprese pensano di poterlo utilizzare per aggirare obblighi sulla sicurezza informatica. Il bilanciamento c’è ma sui macro sistemi, non sull’ordinario.

La stessa corretta implementazione del GDPR per una piccola realtà può essere di fatto impossibile, dato che solo per le consulenze specialistiche necessarie dovrebbe spendere una forte quota del suo fatturato!

Nomina responsabile esterno e policy di cancellazione dei dati personali. La normativa è molto chiara, ma in vari casi sono emersi problemi di mal pianificazione dei back-up e degli archivi (si veda anche quanto emerso per il DR). È stata sottolineata l’importanza di avere procedure per la cancellazione dei dati personali quando non sono più necessari.

L’applicazione della stessa GDPR è in conflitto, in alcuni casi in Italia, con altre leggi e norme vigenti, e non si sa a chi rivolgersi per risolvere il problema, dato il rimpallo tra le diverse autorità/enti coinvolti.

Ampia discussione sui molti pro e pochi (uno) contro nel crittografare i dati personali (in ottica compliance GDPR) e più in generale tutti gli altri dati ritenuti confidenziali e critici.

Il “contro” è che se vengono intercettate ed usate le chiavi per decrittare, i dati criptati sono decriptati ed usati dall’attaccante. È una possibilità (rischio), ma per contrastarlo sono disponibili varie soluzioni, come l’uso di un token fisico e/o l’autenticazione forte e contemporanea di due (o più) diversi utenti.

Analisi dei rischi digitali (AR)

L’AR è stata considerata come tema per la TR in quanto:

  1. È un componente ed una fase essenziale nel processo continuo della sicurezza digitale.
  2. È richiesta da varie normative, dal GDPR al NIS2.
  3. Si è avuta una evoluzione nelle logiche e nelle metodiche dell’AR da reattiva a proattiva fino alla predittiva.

L’AR non deve essere confusa con l’analisi delle vulnerabilità, che a sua volta fa riferimento alle vulnerabilità tecniche, organizzative e personali. L’analisi della vulnerabilità è propedeutica all’AR, insieme all’assessment di tutte le risorse hardware e software del Sistema Informativo (SI), all’assessment dell’organizzazione e dei processi dell’azienda/ente, all’assessment delle procedure organizzative, in primis quelle per la sicurezza digitale (profilatura utenti, controllo accessi al SI, archivio e gestione log, problem e incident management, backup e ripristino da backup, etc.).

Nell’analisi delle vulnerabilità tecniche del SI è opportuno effettuare dei penetration test (pentest) non distruttivi.

Per i vari assessment, l’analisi di vulnerabilità e l’AR esistono vari approcci e metodiche, ed esistono sul mercato vari prodotti, sia commerciali che open source e gratuiti.

Si apre una ampia discussione sulla convenienza, o non, nell’usare codici opensource proprio in merito alla sicurezza digitale. Vari i pro ed i contro, ma il principale criterio nell’adozione di un opensource o nell’acquisto di un equivalente prodotto commerciale è che in questo ultimo caso si sa a chi rivolgersi in caso di problemi e contestazioni. Proprio per questo i principali software opensource hanno due versioni: quella “community” con funzionalità di base, gratuita, e quella “enterprise” a pagamento.

Per l’acquisizione di software open source, vengono discusse e confrontate le differenze tra aziende private e pubbliche amministrazioni. Per queste ultime sarebbe per legge obbligatorio e da anni (si vedano le normative CNIPA riprese dall’attuale AGID), ma nella maggior parte dei casi, ad esempio per l’informatica individuale, è molto più diffuso Microsoft Office, a pagamento, rispetto all’equivalente opensource Libre Office.

Anche per il sistema operativo Linux, che è opensource, aziende private ed enti pubblici preferiscono acquisirlo nelle versioni “enterprise” a pagamento per poter avere supporto negli aggiornamenti, in caso di problemi, etc.

L’AR, così come l’analisi delle vulnerabilità, deve/dovrebbe focalizzarsi sui temi più critici per l’azienda/ente, altrimenti rischia di entrare in un loop infinito di troppi dettagli.

Crescente la criticità della supply chain informatica, soprattutto tra fornitori software e di servizi di hosting (che includono i servizi in cloud).

Per effettuare una corretta AR, è opportuno considerare i principali Rapporti sui rischi e gli attacchi digitali, tra i quali:

  • A livello europeo i Rapporti di ENISA, l’Agenzia Europea sulla cybersecurity, in particolare:ENISA Threat Landscape (ETL) 2023Foresight Cybersecurity Threats for 2030 – UPDATE
  • A livello italiano:i Rapporti annuali di ACN, l’Agenzia italiana sulla cybersecurityi Rapporti annuali OAD, Osservatorio Attacchi Digitali in Italia, di AIPSIa breve sarà pubblicato il Rapporto OAD 2024, gratuito.

Alla TR viene introdotto il concetto di AR predittiva e viene fatto riferimento a MITRE ATT&CK, strumento fondamentale nell’analisi dei rischi e nell’identificazione delle minacce alla cybersecurity.

I dati aperti e l’analisi dei dati aperti in ambito cybersecurity offrono opportunità e vantaggi, e con l’analisi predittiva, attraverso algoritmi e machine learning, è possibile fare previsioni sulle minacce più probabili e sugli attacchi in arrivo, e questo potrà anche impattare sulle decisioni aziendali.

Disaster Recovery (DR)

Il Disaster Recovery è il set di misure che un’azienda/ente attua per ripristinare la continuità operativa del proprio business dopo un evento che ne ha determinato un’interruzione (un “disastro”), e deve quindi comprendere un insieme di procedure in grado di garantire che i sistemi informativi e i dati aziendali possano essere ripristinati.

Nel DR è fondamentale considerare la Business Impact Analysis (BIA), che è finalizzata a valutare le conseguenze economiche di un’eventuale interruzione di servizio.

È stato quindi confermato l’importante rapporto tra DR e GDPR: la compliance al GDPR implica il dovere di pianificare e attuare un DR, proprio per garantire che i dati possano essere ripristinati in caso di disastro.

In tema di DR si sottolinea l’importanza di una corretta gestione dei backup: è cruciale che ogni azienda/ente adotti un piano di backup.

La gestione dei backup deve prevedere una molteplicità di aspetti:

  1. Tipologia di backup: completo, incrementale, differenziale, etc.
  2. Frequenza di backup: deve essere dimensionata rispetto all’effettivo “costo” del ripristino.
  3. Archiviazione del backup: il backup deve essere memorizzato in diverse località fisiche (disaster recovery locale e disaster recovery remoto).
  4. Testing del ripristino: è essenziale testare il ripristino dei dati ed effettuare simulazioni periodiche per verificare l’efficacia delle procedure di ripristino.

Sono stati portati ad esempio eventi “disastrosi” realmente accaduti. Una corretta gestione della sicurezza informatica e della continuità operativa deve prevedere che anche i fornitori di servizi di hosting, o i fornitori di servizi di cloud, debbano garantire il ripristino dei dati.

Una serie di attacchi ransomware ha dimostrato come le aziende non siano in grado di ripristinare i dati, e la responsabilità per questa incapacità potrebbe comportare anche sanzioni economiche da parte dell’Autorità Garante.

Conclusioni e raccomandazioni

A chiusura della Tavola Rotonda sono emerse alcune raccomandazioni che possono sintetizzare il dibattito:

  1. Investire nell’educazione e nella formazione del personale in tema di cybersecurity.
  2. Predisporre un piano di AR e di DR personalizzato per la propria azienda/ente.
  3. Monitorare costantemente le normative e le linee guida sulla cybersecurity, GDPR, e norme correlate.
  4. Collaborare con esperti del settore per un’implementazione efficace delle misure di sicurezza.
  5. Creare un piano di comunicazione interno ed esterno efficace in caso di attacco informatico.
  6. Adottare misure proattive per migliorare la resilienza digitale e proteggere i dati aziendali.

Leave a reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Translate »