Protezione dei dati & GDPR

immagine GDPR (General Data Protection Regulation)

Molti di noi maggio 2018 lo ricorderanno come il mese del GDPR (General Data Protection Regulation), il Regolamento Ue 2016/679.

Non volendo entrare nel merito della quasi totalità dei 99 articoli e 190 pagine che lo compongono, c’è un punto che richiama la mia attenzione: è l’art. 32 sulla sicurezza del trattamento.

L’art. 32, senza fornire uno schema esatto di quali accorgimenti attuare per proteggere i dati, invita ad adottare misure minime per la sicurezza. Dovremmo essere tutti d’accordo che le misure minime non possono essere certo considerate l’archiviazione dei dati nell’hard disk del computer posizionato sotto la scrivania, ne tantomeno nel nas sopra il mobiletto o nella chiavetta usb lasciata nel cassetto. Questa, a mio avviso, si chiama incoscienza!

Fulminei come le aquile sarete sicuramente arrivati a domandarvi: e nei vari cloud tipo Drive, DropBox, ICloud, ecc. ecc.? Un’altra domanda così e inizio a raccontarvi la favola di Pinocchio e il paese dei balocchi.

immagine raffigurante pinocchio e il paese dei balocchi

C’è da fare molta attenzione al peso delle future scelte, perché la sanzione più “leggera” (10 milioni o 2% del fatturato) viene inflitta per la trasgressione di principi come la privacy by design (mancata protezione dei dati fin dalla progettazione) o la carenza di misure adatte a garantire un buon standard di sicurezza. A proposito: se ti va di avere qualche dritta, leggi il uno dei nostri articoli per proteggere la privacy pubblicati qui.

La vogliamo rischiare? Oppure possiamo fare un patto: ve ne faccio risparmiare 2, e a me date gli altri 8 milioni di euri… e io vi assisto gratuitamente per i prossimi 20 anni portandovi anche il caffé in ufficio tutte le mattine. Affare fatto?

Protezione fisica dei dati

Il Regolamento Ue 2016/679, e precisamente l’art. 32 cita “le misure di sicurezza devono garantire un livello di sicurezza adeguato al rischio“. Bello, fantastico, ma tutto estremamente soggettivo!

Chi mi conosce bene sa che il mondo delle telecomunicazioni e della sicurezza sono la mia passione sin da quando ero ragazzino, e visto che hanno pensato bene di lasciare alla nostra discrezione la modalità di protezione, io i dati li intendo protetti quando sono chiusi, insieme al server, al nas o alla chiavetta usb, in una camera blindata dotata di un buon sistema elettronico di sicurezza e monitorato h24 con telecamere collegate all’istituto di vigilanza.

Assurdo? Affatto!

Noi di Punto di Riferimento i dati li abbiamo sempre protetti così… anche se non proprio in maniera così estrema! Sin dal primo giorno li abbiamo gelosamente custoditi nella nostra modestissima server farm, posta in una località top secret e interamente affogata nel sottosuolo… un po’ come la caverna di Batman. Stiamo pensando alla cascata all’ingresso, ma ho la sensazione che l’Assemblea dei Soci non approverebbe la spesa.

Ai nostri server ci teniamo, e anche ai nostri dati e alla nostra posta elettronica. Custodiamo con cura i backup e tutta la nostra storia, schemi elettrici di apparecchiature, progetti e archivi fotografici.

A volte, però, si ritiene non sia necessario arrivare a tanto e, in qualche caso, si può anche optare per un tradizionale armadio tecnico, tenuto alla giusta umidità e temperatura, e protetto da un buon sistema di sicurezza.

Per favore, non chiamarlo antifurto! L’antifurto è solo un simpatico gadget che si può acquistare nel negozio di elettrodomestici sotto casa o dall’installatore generico. Dietro un sistema di sicurezza, invece, ci sono professionisti che periodicamente investono risorse aggiornandosi sulle nuove tecniche di effrazione e si formano per attuare quelle difese, spesso non solo attive (elettroniche) ma anche passive (blindature), affinché la protezione installata sia veramente efficace.

immagine raffigurante il classico armadio server

E qui concludo la mia analisi sulla protezione fisica dei vari dispositivi di archiviazione e ne inizio un’altra decisamente più spinosa: la protezione dagli attacchi via internet e la superficialità diffusa all’installazione di programmi e app su pc, smartphone e tablet.

Protezione virtuale

classica Immagine raffigurante hacker informatico

Mentre per quanto riguarda la protezione fisica dei nostri dati, una soluzione più o meno sufficiente la si trova sempre, non posso dire altrettanto per la prevenzione dei tentativi di furto perpetrati tramite la rete, intranet o internet che sia.

Io parto dal presupposto che si può sempre far di meglio, e certamente uno dei primi passi da compiere è quello di dotarsi di un buon firewall, ben configurato, mantenuto aggiornato, e capace di avvertire il personale addetto alla vigilanza dell’eventuale tentativo di accesso. Già questo mi rassicura, perché obiettivamente ci vuole comunque del tempo per portare a termine un attacco, e i controllori dovrebbero avere tutto il tempo per intervenire attuando le dovute contromosse.

Sistemi di protezione molto più evoluti, invece, fan si che gli attacchi vengano respinti già dopo pochi tentativi di accesso anomali, e anche qualora non dovesse esserci l’intervento umano e i tentativi di accesso dovessero trasformarsi in violazioni, appositi dispositivi andrebbero a scollegare fisicamente dall’intera rete le apparecchiature contenenti i dati, proteggendoli. Ma questi sono sistemi adatti a situazioni ad alto rischio e nella stragrande maggioranza dei casi non sono necessari.

E ora veniamo alla parte più spinosa: l’errore e la superficialità umana.

Prestare molta più attenzione ai nostri dati è un’accortezza che spetta a ciascuno di noi e rispetto alla quale il regolamento Ue può funzionare solo da innesco. Evitare, per esempio, di “barattare i nostri dati” per una app che non ci dà garanzie sul modo in cui verranno utilizzati, è un già un buon inizio. Meglio ancora sarebbe non installarla proprio; spesso è presente l’alternativa web e spesso funziona altrettanto bene.

Chi si ricorda com’è stata conquistata Troia? Vi evito il racconto completo, ma per chi è curioso qui trova tutto.

immagine raffigurante la città di troia

Io mi limito a un brevissimo riassunto: troia è stata conquistata con un astuto stratagemma ideato da Ulisse, il quale consisteva nel far entrare un grandissimo cavallo di legno all’interno di una fortezza. Appena dentro, dalla pancia cava del cavallo, uscirono i soldati e conquistarono la città di Troia. Fine della storia.

Sono passati secoli, ma lo stratagemma è ancora attuale e usatissimo. Oggi, con una scusa più o meno banale, per posta elettronica, tramite un link mentre si naviga allegramente sui siti, o tramite i programmi e app installati su computer, smartphone e tablet, è possibile perpetrare un attacco simile a quello di Troia, ma non in una città, non in una fortezza, ma bensì all’interno della nostra rete di computer.

Dall’interno è tutto più facile, quasi un gioco da ragazzi, e una volta che il programma maligno si è installato da qualche parte, può tranquillamente accedere a tutti i vostri dati, esattamente gli stessi che utilizzate abitualmente; può addirittura inviarli a terzi e senza che voi vi accorgiate di alcunché.

E gli antivirus? Attenzione: qui vale lo stesso discorso fatto inizialmente per i cloud e faccio finta di non aver sentito. Tu seguimi nell’ultima parte della mia analisi… ti svelo il segreto per proteggerti seriamente.

Come proteggersi

Promesso, ne cito solo alcune e ti risparmio l’intero repertorio:

“Se conosci il nemico e te stesso, la tua vittoria è sicura. Se conosci te stesso ma non il nemico, le tue probabilità di vincere e perdere sono uguali. Se non conosci il nemico e nemmeno te stesso, soccomberai in ogni battaglia.”

“L’attacco migliore è quello che non fa capire dove difendersi. La difesa migliore è quella che non fa capire dove attaccare.”

“L’invincibilità sta nella difesa. La vulnerabilità sta nell’attacco. Se ti difendi sei più forte. Se attacchi sei più debole.”

“Cerca di anticipare i piani del nemico, e individua i suoi punti forti e deboli: potrai decidere quale strategia usare per avere successo, e quale no.”

Il concetto mi pare chiaro, e quindi? Come proteggiamo efficacemente questi benedetti dati? Personalmente non vedo altra soluzione che chiedere aiuto ai tecnici esperti e competenti che trovi nella nostra Associazione.

E se condividi Statuto e linee guida, associandoti potrai avere molti vantaggi.

Flavio Camerlino (Presidente & Direttore Tecnico di Punto di Riferimento)

Lascia un commento

Questo sito utilizza cookies indispensabili per il suo funzionamento. Cliccando Accetta, autorizzi l'uso di tutti i cookies.
Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy
G-LK5HEWWQ7Q