Con l’entrata in vigore del GDPR, la sicurezza e la gestione dei dati sono sempre più rilevanti. Un recente e spiacevole episodio accaduto nel Regno Unito deve fare riflettere sull’importanza di adeguarsi, rispettare le normative e gestire con attenzione la protezione dei dati. L’episodio a cui facciamo riferimento riguarda l’Università di Greenwich, che ha subito un grave attacco informatico che ha coinvolto circa 20.000 persone tra dipendenti e studenti.
Nel 2004, in occasione di una conferenza organizzata nel distaccamento di Informatica e Matematica dell’Università, era stato creato un mini sito dedicato all’evento, che raccoglieva differenti informazioni relative a staff e studenti. A chiusura della conferenza, i dati raccolti non sono stati cancellati e il sito non è stato chiuso, ma soprattutto non è più stato gestito né protetto.
Tre anni dopo l’evento, alcuni cybercriminali sono riusciti a sfruttare una vulnerabilità presente nel dominio del mini sito per accedere a diverse aree del server web. I dati contenuti, tra cui nomi, indirizzi e numeri di telefono sono stati compromessi. Tra l’altro, le informazioni di circa 3.500 degli utenti coinvolti includevano dettagli sensibili relativi a malattie, difficoltà di apprendimento e “circostanze attenuanti”, esponendo così dati realmente personali in modo pubblico. L’Università è quindi stata sanzionata per non aver provveduto al rispetto completo della protezione.
Gli autori delle minacce informatiche sempre più sofisticate sono all’opera per sfruttare ogni più piccola distrazione e disattenzione delle persone, per approfittare della loro buona fede. Probabilmente chi aveva implementato il sito non ha pensato poi alla sua chiusura, sottovalutando i potenziali rischi che si sono poi trasformati in realtà.
Si tratta di un incidente che fa riflettere su quanto sia fondamentale dotarsi delle più adeguate soluzioni di sicurezza, per salvaguardare l’integrità dei dati che si possiedono e raccolgono e mettere in atto strategie di gestione efficaci, per essere sempre aggiornati sulla situazione dell’infrastruttura IT, eventuali vulnerabilità e rischi ed essere pronti a rispondere in modo tempestivo ai tentativi di attacchi.
Anche e soprattutto in ottica GDPR, una protezione e una corretta gestione dei dati devono essere considerate elementi fondamentali di ogni progetto, web e non solo, in ottica “GDPR BY DESIGN”. Una mancata osservanza di questi principi non è solamente censurabile, ma espone l’organizzazione a rischi finanziari, anche importanti. E diventa vitale affidarsi a uno specialista della sicurezza, non solo per quanto riguarda l’aspetto tecnologico, ma anche quello della gestione, maggiormente legato al business e di conseguenza strategico per natura.
Maurizio Tondi, CTO Axitea
