Come mettere in sicurezza il dato sensibile? È la domanda al centro dell’articolo che segue a cura di Domenico Raguseo, Head of CyberSecurity Exprivia Italtel e Docente presso l’Università degli Studi di Bari. Raguseo fa un’analisi della situazione attuale, degli eventi di cybercrime in relazione al COVID-19, ma anche di quelli che con il COVID-19 nulla hanno a che fare e che sono altrettanto, e forse in prospettiva ancora più, rilevanti.
Buona lettura!
la Redazione
Dopo tante previsioni, è arrivato il momento di cominciare a consuntivare i dati sul cybercrime, con riferimento a quanto accaduto nei primi mesi dell’anno in Italia.
L’Osservatorio del gruppo Exprivia|Italtel ha rilevato un aumento significativo di attacchi, incidenti e segnalazioni di violazioni della privacy. Si passa dalle 6 rilevazioni di gennaio alle 29 di marzo. Se confrontiamo anche i dati di aprile, l’aumento è quasi non confrontabile percentualmente, avendo rilevato ben 51 attacchi nel corso del mese. Ovviamente facciamo riferimento ad informazioni su fonti aperte, che rappresentano una vista parziale ma utile per comprendere come si sta evolvendo la situazione nel corso del tempo.
Tali rilevazioni sembrano confermare le previsioni che gli specialisti hanno fatto ad inizio della pandemia. Infatti la pandemia ha accelerato il processo di trasformazione digitale in atto nelle aziende e ha fatto sì che pratiche come lo smartworking (incluse lezioni remote, conferenze remote…) venissero velocemente adottate. In un contesto così particolare, la velocità ha giocato un ruolo primario. Quanto più velocemente le pratiche sono state adottate, tanto meno si è perso in efficienza e produttività.
Questa accelerazione ha indebolito le aziende dal punto di vista della sicurezza informatica. Sono infatti aumentate le aree di esposizione agli attacchi e in aggiunta, nella fretta dell’implementazione, si è preferito rimandare l’introduzione di controlli di sicurezza avanzati, preferendo una protezione parziale ma immediata.
Si tratta di una situazione ideale per un attaccante. A questo scenario va aggiunta anche la estrema sensibilità della popolazione al tema COVID-19, una sensibilità che abbassa le difese della popolazione, esponendola a potenziali campagne di phishing a tema COVID-19 .
Effettivamente attacchi, incidenti e violazioni della privacy a tema COVID-19 rappresentano circa il 40% del totale rilevato. Le piattaforme per didattica remota e videoconferenze cloud sono state attaccate, così come piattaforme cloud in genere, anche se non sempre l’attacco ha prodotto incidenti documentati. Le campagne di phishing fanno da padrone, ma non mancano unicum (ma non tanto, visto che sono due) ad indicare che le bande di criminali non solo non mancano di fantasia, ma sono anche dotate di strutture in grado di fare reconnaisance sofisticata e studio delle proprie vittime. Si va dal finto antivirus che in realtà è il malware Blacknet, in grado tra l’altro di rubare informazioni personali, al CoronaLocker, un malware che impedisce alla vittima di interagire con il sistema ripetendo in maniera ossessiva la parola “coronavirus”.
L’analisi di quanto successo, però, sarebbe fin troppo semplice fino a questo punto.
Vanno infatti analizzati anche gli eventi che con il COVID-19 nulla hanno a che fare e che sono altrettanto, e forse in prospettiva ancora più, rilevanti. Mi riferisco al numero di violazioni segnalate dal garante della privacy. Se in tutto il 2019 le violazioni segnalate sono state solo 3, nei primi 3 mesi del 2020 si passa a 9 per multe che sommate raggiungono un totale di 39.402.000 Euro. Le violazioni riportate vanno da “insufficient legal basis for data processing” a “insufficient technical and organizational measures to ensure information security”.
Ritengo che “Insufficient legal basis for data processing” se non giustificabili, possano essere compatibili con una normativa che va a regolamentare aspetti in passato spesso deregolamentati, o meglio aspetti sui quali l’approccio tecnologico aveva avuto la predominanza, rispetto a quelli relativi alla privacy .
Ad esempio:
1. un’opportuna gestione del dato, qualora trasferito da un’azienda all’altra
2. come utilizzare riprese di una persona
3. avere la necessità di dimostrare, che il contratto stipulato con un cliente è la conseguenza della volontà del cliente di firmare il contratto stesso
4. assicurarsi che il trattamento dei dati personali dell’interessato avvenga basandosi su una base giuridica, che ne consenta la liceità
5. assicurarsi che prima di pubblicare i dati personali di un’entità, si applichino metodologie che vadano a verificare che questi vengano rilasciati realmente da quest'ultima, e non da un’entità sotto mentite spoglie
6. verificare che il trattamento venga terminato, qualora non si abbia più la possibilità di mantenere i dati all'interno dei propri sistemi
7. assicurarsi che l'utilizzo di dati fortemente sensibili (dati biometrici, etnici, opinione politica) venga effettuato solo nelle situazioni in cui risulta strettamente necessario
8. verificare che, in accordo con il principio di data minimization, i dati particolarmente sensibili (dati biometrici, etnici, opinione politica) possano essere trattati, solo se si è in alcune situazioni specifiche, documentate nella normativa (art. 9 del GDPR).
Fa riflettere invece: “insufficient technical and organizational measures to ensure information security”. Infatti abbiamo già discusso di quanto le organizzazioni abbiamo dovuto accelerare il processo di trasformazione verso lo smartworking e di quanto, aver allargato il perimetro, possa rappresentare un rischio per le aziende ed una forte motivazione per gli attaccanti, senza dimenticare che la protezione delle informazioni, dal punto di vista tecnico e organizzativo, sia ancora ad una fase iniziale. Certo, qualche multa non è un dato statisticamente rilevante, ma può dare delle indicazioni su quali miglioramenti tecnici ed organizzativi implementare.
Ancora oggi non è inusuale trovare aziende che si considerano sicure per aver implementato controlli di sicurezza preventivi, senza considerare che un attaccante ha tutto il tempo per poter studiare la vittima e superare i controlli implementati. Ecco perché è fondamentale studiare ed implementare controlli focalizzati sulla rilevazione di eventi potenzialmente collegati ad attacchi.
Oramai tutti sappiamo che i dati, se sensibili, vanno protetti adeguatamente. Meno intuitivo è, però, capire e mettere in atto tutte quelle attività necessarie a comprendere quali siano i dati sensibili da proteggere. Ricercare e classificare i dati, dovunque essi siano distribuiti, è importante tanto quanto controllare e proteggere il dato.
Concludo. Proteggere e mettere in sicurezza il dato sensibile è un processo continuo, che inizia con il comprendere le problematiche relative al dato e prosegue accompagnandolo per tutto il suo ciclo di vita.
di Domenico Raguseo, Head of CyberSecurity Exprivia Italtel
e Docente presso l’Università degli Studi di Bari
