A quasi due anni dalla sua introduzione, il GDPR è ancora al centro di molte discussioni. Governance, storage a sicurezza dei dati continuano a essere gestiti in modo non adeguato dalle aziende europee, che pagano multe salate per ogni eventuale violazione. Le autorità hanno il potere di imporre un’ammenda che può raggiungere il valore più alto tra 20 milioni di euro o il 4% del fatturato globale annuo. Ciò significa che una singola violazione può causare gravi danni finanziari. Il rapporto Federprivacy ha rivelato che le authority per la privacy europee nel 2019 hanno comminato 410 milioni di sanzioni, con l’Italia al primo posto per numero, ma non per importo. L’attenzione dei media si è concentrata in gran parte sulle sanzioni comminate ad aziende private come Google, che ha ricevuto una multa di 50 milioni di euro nel gennaio 2019, e Marriott, con 110 milioni di euro per una violazione del 2018. Ma il settore pubblico è da sempre un bersaglio degli hacker. In base ai dati Federprivacy, nel 2019 il 48% delle ingiunzioni del Garante della privacy è stato a carico di enti della PA, in particolare scuole ed enti locali, mentre il 52% a carico di privati.
Si tratta di organizzazioni che dovrebbero essere tra le più affidabili, mentre purtroppo le statistiche che le riguardano sono molto preoccupanti. Le violazioni dei dati nel settore pubblico derivano da numerose fonti e la maggior parte delle sanzioni possono essere attribuite al massiccio aumento degli attacchi informatici di successo degli ultimi anni. In Italia, le università occupano la posizione più bassa, tra gli uffici pubblici, sul fronte della sicurezza informatica, con 50 istituti su 71 che dichiarano di aver subìto un attacco hacker. A seguire le Regioni, i ministeri, gli ospedali e le città metropolitane.
Tenendo in considerazione tutti questi elementi, quali sono i costi reali che derivano da un livello troppo basso di sicurezza e governance dei dati nel settore pubblico? È ora di rinfrescare la memoria delle istituzioni?
Molto più di una semplice multa
Multe e difficoltà concrete causate da un attacco informatico, come il dover ricorrere a funzionalità o risorse offline, non sono gli unici effetti collaterali da prevedere. Un attacco IT riuscito, come qualsiasi infezione, si traduce in una marea di sintomi che possono colpire un’azienda in modo smisurato, sia nel settore privato che in quello pubblico.
Le ripercussioni finanziare rappresentano la preoccupazione principale, non solo per la sanzione, ma anche per il risarcimento che dovrà essere accordato agli utenti coinvolti nella violazione e per le spese di analisi dell’incidente di sicurezza. Le attività di auditing IT possono essere molto dispendiose, e a volte è necessario coinvolgere terze parti per risolvere la situazione.
Anche riconquistare la fiducia di utenti e parti coinvolte non è semplice, quando una violazione diventa un fatto di cronaca. Dopo tutto, se i dati vengono divulgati e persi da chi in teoria ne dovrebbe fare tesoro, come la pubblica amministrazione, i cittadini non potranno accettarlo con leggerezza, e la loro fiducia nelle istituzioni ne risentirebbe. Se le minacce IT non sono monitorate e la sicurezza e la gestione dei dati non vengono riconosciute come priorità, le multe di massa per il GDPR resteranno l’ultima delle preoccupazioni del settore pubblico.
È ora di aggiungere una nuova ed efficace misura di sicurezza
Oggi, è fondamentale dotarsi di misure di sicurezza IT più efficaci, ma può essere difficile capire da dove iniziare. Di norma, qualsiasi strategia di protezione proattiva dovrebbe sempre iniziare con l’identificazione e l’adozione di adeguate misure di salvaguardia delle risorse aziendali più critiche. Gli enti governativi, ad esempio, hanno accesso a enormi quantità di informazioni di identificazione personale che richiedono quindi una protezione rigorosa.
Gli aggressori si muovono sempre più velocemente rispetto alle tecnologie difensive e inevitabilmente troveranno il modo di aggirarle e di infiltrarsi nei sistemi aziendali per accedere a dati preziosi.
Per questo è importante implementare tecnologie di Privileged Access Management (PAM), in grado di controllare in modo proattivo gli accessi e i privilegi amministrativi associati a persone o macchine e limitarli solo ai dati necessari. In caso di data breach, un’azienda è in grado di identificare e isolare in modo automatico le aree colpite all’interno della rete, assicurando l’accesso ai dati situati in altri luoghi sicuri.
La compromissione delle credenziali privilegiate è un’attività utilizzata praticamente in tutti gli attacchi mirati, per cui la gestione proattiva di credenziali e privilegi, diventa essenziale per proteggere il settore pubblico.
A cura di John Hurst, Public Sector Sales Director, CyberArk
