I dati, un patrimonio aziendale da mettere al sicuro
Un'azienda oggi resta competitiva se è capace di avere un“piano d'azione” che garantisca un livello di protezione tale da creare uno scudo sui propri apparati informatici
di P. Di Stefano
L’Associazione italiana per la Sicurezza Informatica (Clusit) nel suo Rapporto 2018 ha dichiarato che il 2017 si è caratterizzato come “l'anno del trionfo del Malware”, con un aumento degli attacchi informatici del 240% (1.127 gli attacchi “gravi” registrati a livello mondiale). La Banca d'Italia nel suo dossier ha evidenziato che ben il 30,3% delle aziende italiane ha subito un attacco informatico (al Sud Italia, il 24,4% ne ha subito almeno uno), con danni complessivi che ammontano a circa 9 miliardi di euro, inclusi i costi di ripristino. Molto spesso gli attacchi sono del tipo cd. ransomware: un virus (solitamente contenuto nel rinvio ad un sito web o nell'allegato di una e-mail) che si “impossessa” dei pc aziendali e ne blocca il funzionamento, sino a quando non viene pagato il riscatto dall'azienda, il che non garantisce quasi mai l'effettivo “sblocco” dei computer. Oggi le polizze assicurative contro il cosiddetto rischio informatico possono di certo rappresentare utili strumenti per farvi fronte, ma va precisato che esse coprono il rischio residuo, vale a dire quello che non è possibile contenere pur adottando adeguate misure di sicurezza. Ciò presuppone che l'azienda interessata abbia adottato un “piano d'azione” per garantire un livello di sicurezza informatica tale da creare uno scudo sui propri apparati informatici. Gli attacchi informatici non sono soltanto finalizzati a “danneggiare” la rete aziendale per estorcere danaro; nella maggior parte dei casi il controvalore dell'attacco sono i dati stessi che vengono sottratti alle aziende per essere “rivenduti” al miglior offerente. Dati aziendali (diritti di proprietà intellettuale, informazioni riservate, dati finanziari), ma anche e soprattutto dati personali (accesso ai database contenenti dati sensibili). Il Reg. UE 2016/679, ovverosia il nuovo Regolamento Europeo della Privacy, in breve - GDPR -, la cui applicazione è ormai alle porte (25 maggio 2018), pone al centro la tutela dei dati personali, che non può dirsi pienamente efficace se anche la sicurezza di quei dati non risulta adeguata. Nell'ottica del GDPR, in generale, nel valutare il livello di adeguatezza delle misure tecnico-organizzative occorre considerare i rischi che un determinato trattamento dei dati personali presenta in termini di: 1) distruzione; 2) perdita; 3) modifica; 4) divulgazione non autorizzata; 5) accesso, in modo accidentale o illegale “a dati personali trasmessi, conservati o comunque trattati” (art. 32, co. II, Reg. UE 2016/679). Questi casi integrano ipotesi di violazione dei dati personali - si parla di cd. data breach - per la cui gestione il GDPR richiede si rispetti una
procedura rigorosa sia nei tempi, che nelle modalità, per evitare o contenere i danni derivanti agli interessati (quali, furto d'identità, danno alla reputazione, compromissione della riservatezza di informazioni sensibili et similia). Il Titolare ha 72 ore a disposizione, dal momento in cui ne viene a conoscenza, per notificare all'Autorità di controllo (il Garante per la Protezione dei Dati Personali) la violazione di dati personali che, si badi bene, egli stesso ha ritenuto essere, in termini probabilistici, rischiosa per i diritti e le libertà degli interessati. In caso contrario, l'obbligo di notifica non scatta e non v'è sanzione pecuniaria (prevista in misura sino a 10 milioni di euro, o per le imprese, fino al 2% del fatturato globale annuo dell'esercizio precedente, se superiore). Anche nei casi in cui il Titolare non è tenuto alla notifica, egli dovrà in ogni caso documentare le violazioni, indicando le relative circostanze, gli effetti e le contromisure adottate per rimediarvi. Tra le misure di sicurezza indicate a titolo esemplificativo come adeguate dal Reg. UE ritroviamo, oltre alla cd. pseudonomizzazione( che permette di ridurre la correlabilità di un insieme di dati all'identità originaria di una persona interessata) e alla cifratura (che permette di inviare un messaggio/documento/informazione ad un destinatario senza che altri possano leggerlo), l'adozione di procedure di backup, le quali permettono la copia di sicurezza dei dati riducendo in maniera notevole il rischio di danneggiamento/distruzione delle informazioni memorizzate, nonché di procedure di cd. disaster recovery, che permettono di ottenere il ripristino tempestivo della disponibilità dei dati (in caso di dati sensibili o giudiziari il termine è di 7 giorni). Si tratta di procedure che vanno documentate e periodicamente testate nella loro efficacia, almeno una volta all'anno. Rispetto al Codice Privacy, che indica i requisiti minimi di cui un sistema di sicurezza deve dotarsi per definirsi “a norma” (cd. All. B D.Lgs. 2003/196), il GDPR pone a carico del Titolare del trattamento l'individuazione delle misure di sicurezza e la valutazione dell'adeguatezza delle stesse rispetto al tipo di rischio connesso al trattamento dei dati dallo stesso effettuato, rischio che egli è tenuto ad analizzare, valutare e gestire con procedure documentate. Ricordiamo, però, che la maggior parte degli attacchi informatici derivano da un errore umano o da condotte di dipendenti non adeguatamente formati sui rischi, anche cd. cyber. Il Titolare ha pertanto l'obbligo della formazione in materia di protezione dei dati personali per tutte le figure presenti nell'organizzazione, sia dipendenti che collaboratori, formazione la cui centralità è evidenziata proprio nell'art. 32, al parag. 4, del GDPR ove è previsto che: « il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri » . Le aziende devono individuare un percorso formativo, con prove finali e sessioni di aggiornamento. In mancanza, anche qui scatta la medesima sanzione pecuniaria prevista per l'omessa notifica dei cd. data breach. Non si tratta solo di adempimenti burocratici e obblighi legali: come dichiarato pochi giorni fa dal Garante Privacy, Antonello Soro, « (..) La capacità di protezione è un sinonimo di buona impresa, di competitività e buona reputazione. Un'impresa che non sa proteggere il proprio patrimonio informativo tendenzialmente si troverà emarginata dal mercato perché da una parte sarà vulnerabile ad attacchi informatici e furti di identità, dall'altra avendo indebolito le garanzie offerte su questo terreno ai clienti, sarà meno competitiva .