Avere la stampante non in regola con il Gdpr può costare molto caro
Stampe abbandonate e memorie connesse: a rischio la privacy
La protezione crittografica è un baluardo. Ma si deve coniugare con restrizioni fisiche e livelli di difesa simili al resto del sistema It
Dopo la scorpacciata di seminari, informative e articoli sul Gdpr che hanno preceduto l’entrata in vigore del Regolamento Generale per la Protezione dei Dati, il tema è caduto un po’ nel dimenticatoio. Ma rischi, sanzioni e norme sono ancora tutti lì , anche se moltissime aziende sembrano ancora lontane dall’essersi messe a norma. La colpa, oltre che nella scarsa sensibilità cronica sulla sicurezza dimostrata da molte realtà, è probabilmente da ricercarsi nell’estrema complessità dei processi che portano alla creazione di una sicurezza informatica di livello ragionevole.
Un esempio sotto gli occhi di tutti è quello delle stampanti da ufficio. Presi dalle informative da redigere, dagli archivi da crittografare e dai nuovi processi di business da implementare, in quanti si sono chiesti se le stampanti possano davvero rappresentare un problema? Sicuramente troppo pochi! Sabrina Clementini, Enterprise sales director Italy di Positive Technology lo conferma: «Le stampanti sono un problema reale, soprattutto in quelle realtà, anche grandi, che ancora faticano a unificare i processi di sicurezza informatica».
Le macchine odierne sono veri e propri computer che vanno gestiti con grande attenzione: «Durante un’operazione di controllo della sicurezza di una azienda che usa macchinari industriali – racconta Clementini – i nostri tecnici hanno trovato una stampante dipartimentale collegata alla rete tramite cavo, ma sulla quale avevano dimenticato di disabilitare il wi-fi. Quella è stata la porta per accedere al dispositivo e modificarne il comportamento in modo da ricevere una copia di ogni foglio stampanto o digitalizzato. Inoltre, ci ha anche permesso di andare a colpire le macchine che controllavano la produzione del reparto».
Un potenziale disastro per l’azienda, evitato solo grazie alla lungimiranza di effettuare un test delle proprie misure di sicurezza. Ma non tutti sono disposti a prendere in considerazione spese simili. Una ricerca di Idc, commissionata da Brother, mostra che oltre il 50% delle aziende italiane spende meno del 3% del proprio budget It sulla sicurezza della stampa. Una situazione che non sembra essere destinata a cambiare a breve dal momento che i due terzi degli intervistati hanno dichiarato di non aver intenzione di aumentare quel budget nei prossimi dodici mesi.
Per fortuna, esistono già tecnologie a bordo delle stampanti più recenti che possono rendere molto più sicuro il flusso delle informazioni da e verso la carta. Il primo rischio da eliminare è quello delle stampe abbandonate. Tutti i dispositivi più recenti prevedono una funzione che rilascia i fogli solo se possono esser raccolti immediatamente, impedendo che vengano rubati o sottratti per errore. Chi chiede una stampa la ottiene solo dopo aver inserito un pin sulla stampante e tecniche avanzate di pull printing prevedono addirittura un controllo sui documenti, in modo che solo personale autorizzato possa mettere su carta informazioni riservate.
Un discorso analogo vale per le scansioni di documenti cartacei. Dal momento che le multifunzione possono inviare via e-mail o Ftp i documenti all’esterno dell’azienda, si devono implementare tutta una serie di misure che evitino il furto di dati, inclusi i protocolli crittografati per le trasmissioni.
Parlando concretamente, purtroppo, l’adozione di queste pratiche è ancora scadente. Il 46% delle aziende intervistate da Idc richiede ai propri dipendenti di autenticarsi quando usano una stampante, ma di solito solo a chi lavora in reparti connessi con il trattamento di dati personali, come quello delle risorse umane o finanziario.
Una buona idea, in questi casi, è quella di implementare anche una serie di restrizioni “fisiche” sulla stampante, come l’impostare un tempo massimo oltre il quale non è più possibile ritirare una stampa, in modo da poter cancellare le informazioni sul dispositivo in tempi brevi. Bisogna, infatti, ricordare che la maggior parte delle multifunzione adesso ha a bordo un disco fisso sul quale vengono registrati i dati da mettere su carta. Di conseguenza, vanno attivate tutte le procedure di criptazione necessarie per evitare che un furto “fisico” porti alla diffusione di dati riservati.
Infine, molta attenzione va dedicata alla gestione informatica della stampante di rete in quanto va equiparata a un qualsiasi computer aziendale. Le aziende devono infatti garantire che il dispositivo di stampa non sia un punto vulnerabile, applicando lo stesso livello di sicurezza previsto per altre apparecchiature It, come laptop e tablet.