Ingegneria sociale, criptovalute, data breach di alto livello e cambiamenti normativi sono state le grandi novità del 2018, da cui trarre spunto per progettare le nuove strategie di difesa

I 5 principi della Responsabilità Sociale di Impresa

A cura di Dan Shprung, EVP EMEA di INFINIDAT

Lo scorso anno, in questo periodo, gli esperti di settore avevano predetto che il 2018 sarebbe stato l’anno della “protezione dei dati” e così è stato. Già a metà anno avevamo assistito a un numero di violazioni di dati personali di profilo tanto elevato che – giunte all’attenzione del grande pubblico – hanno reso subito chiaro il valore delle informazioni e i rischi a cui sono esposte le aziende.

Per i cybercriminali, la situazione è nel tempo migliorata: con sole 1.000 sterline investite in criptovalute, il mercato nero offre la possibilità di allargare il perimetro digitale praticamente a qualsiasi target. Gli attacchi stanno cambiando, gli aggressori utilizzano tecniche di ingegneria sociale per approfittare della debolezza umana all’interno delle aziende, e la varietà illimitata dei data breach di alto profilo avvenuti nel 2018 ha portato un numero sempre maggiore di minacce nelle aziende di tutto il mondo. Ma non solo, lo scorso anno è emersa la necessità di rivedere l’approccio alla privacy e alla protezione dei dati.

GDPR – non si torna indietro

È impossibile parlare di protezione dei dati senza fare riferimento al GDPR: entrato in vigore il 25 maggio 2018 è senza dubbio il più grande cambiamento nella complessità della protezione dei dati in Europa, con grandi conseguenze per tutte le aziende che si occupano di dati personali di cittadini dell’Unione Europea. Considerato il migliore standard per la privacy dei dati, si prevede verrà adottato da governi di tutto il mondo mentre la protezione dei dati diventerà prioritaria nelle riunioni ai vertici.

Il 25 maggio ha rappresentato un momento significativo per la privacy ma, nonostante promozione, dibattiti e incertezze che hanno accompagnato il percorso fino all’entrata in vigore ufficiale, per fortuna non sono ancora stati riscontrati danni particolari anche se nelle settimane successive le aziende attendevano le conseguenze e le prime vittime di alto profilo.

Detto questo, nel corso di quest’anno gli eventi ad avere avuto il maggiore impatto sul modo in cui le aziende percepiscono la sicurezza e la privacy dei dati sono stati gli attacchi informatici a grandi aziende del settore IT.

Attacco al fortino

La vera svolta è stata rappresentata dai data breach subìti da Facebook e Google nei mesi di settembre e ottobre. Nonostante le due aziende fossero già note per monitorare dati e privacy degli utenti senza autorizzazione, questi attacchi vasti e inaspettati hanno avuto un impatto ancora maggiore, ed è diventato subito evidente che qualsiasi azienda potrebbe essere colpita. Anche l’organizzazione più grande, potente, influente e protetta potrebbe subire un attacco simile a seguito di una leggerezza. Tutto questo ha messo in evidenza la realtà delle minacce e la triste verità che una violazione dei dati sarà ormai inevitabile in futuro.

Cambio di paradigma

Il problema non è la possibilità, ma l’ineluttabilità di una violazione. Ciò che iniziamo a notare è un approccio differente alla definizione della protezione dei dati, ai metodi per evitare le intrusioni ed essere conformi alle normative. Prima della rivoluzione della privacy di quest’anno, le aziende erano focalizzate a potenziare la sicurezza di perimetro, firewall e rete, facendo tutto il possibile per bloccare l’accesso di hacker e la fuoriuscita di informazioni. Resta sempre una precauzione necessaria, ma come abbiamo visto i data breach avvengono in qualsiasi modalità, colpiscono tecnologie e persone e ne possono essere soggette anche le aziende più protette.

Deve quindi cambiare il paradigma, per passare dalla prevenzione di un attacco alla preparazione per il “day after”.

Carta “esci gratis di prigione”

Tornando al GDPR, in pochi potrebbero negare che non si tratti di un regolamento lungo e complesso, ma a molte aziende – che considerano impossibile la conformità – manca chiarezza sulla crittografia dei dati all’interno della normativa.

Il comma 3 dell’articolo 34 del GDPR stabilisce che, in caso di violazione dei dati personali, l’azienda non è obbligata a comunicare la violazione ai soggetti interessati se sono state applicate misure come la crittografia per rendere indecifrabili i dati violati. Se tutti i dati sono crittografati a ogni livello, saranno praticamente immuni alla definizione stessa di “data breach”, ai sensi del GDPR.

Pensando ancora una volta al day after, se un’azienda è certa di aver applicato la crittografia a tutti i dati che possiede, in qualsiasi luogo si trovino, anche in movimento, l’incubo di multe, cause legali e danni alla reputazione, svanisce.

2019, il punto di svolta

Guardando al prossimo anno, mentre ci avviciniamo sempre più alla necessità di pensare alla mitigazione dei danni di una violazione inevitabile, prevediamo sarà necessario un altro evento di alto profilo per consolidare l’importanza di questo metodo in azienda.

È molto probabile che assisteremo alla prima causa legale su larga scala che interesserà una grande azienda o istituzione, risultata non conforme al GDPR a seguito di una catastrofica violazione di dati non crittografati. Sarà l’importo della multa a spingere le aziende ad agire a livello globale per proteggere i dati dei propri utenti.

Nel 2019, la crittografia end-to-end dei dati diventerà una necessità e non più un’opzione. Tuttavia, le aziende devono iniziare a pensare in modo diverso le loro strategie di sicurezza. Solo cambiando prospettiva potranno definire piani per una protezione solida, non solo per salvaguardare i dati in movimento, ma anche per sviluppare una piattaforma di sicurezza a prova di futuro.