Cyberwar, guerra in Ucraina, attacchi telematici a imprese e infrastrutture del nostro Paese. Come e cosa sta succedendo? Quanto bisogna preoccuparsi e cosa fare subito per mettersi al sicuro? Quali veri rischi, anche legali, stiamo correndo a livello di compliance e GDPR? Tutto, e di più, nella prima puntata di #LegallyIT la rubrica speciale costruita da SergenteLorusso in collaborazione con Tech Data e Colin & Partners.
Uno spazio, mensile, che d’ora in avanti svilupperà una serie di guide pratiche su come e cosa fare per gestire in maniera efficace e sicura i propri dati, il proprio spazio digitale evitando guai con i cybercriminali e con la compliance.
Uno spazio fortemente voluto dal distributore a valore e dal suo partner sulle tematiche legal & Compliance e di diritto informatico.
Un ecosistema ad elevato valore aggiunto dal quale, da tempo, è nata una straordinaria offerta di servizi a supporto di system integrator, service provider che accompagnano le imprese in questa delicata accelerazione digitale.
Una accelerazione che, grazie al supporto di Tech Data e Colin & Partners ha ora anche tutta la sicurezza di avere a disposizione competenze, documenti, procedure in totale allineamento con normative chiave come il GDPR.
Il nuovo regolamento europeo per la gestione di privacy e data sensibili introdotto nel nostro Paese nel maggio 2018 e che, ancora oggi, fatica a trovare una diffusione efficace. Un ritardo che sta scatenando problemi e ripercussioni pericolose come il boom di multe che ha investito l’Europa e il nostro Paese nel 2021, si parla di oltre 1,1 miliardi di euro di sanzioni.
Un tema chiave, quello della compliance e della corretta gestione dei dati critici proprio nel momento in cui tutti, nessuno escluso, corriamo verso cloud computing ed esternalizzazione di servizi, soluzioni, dati e piattaforme ICT.
Il tutto nel mezzo di una tempesta di cyberattacchi senza precedenza per intensità e impatto, una vera e propria cyberwar.
Cyberwar, crisi Ucraina e attacchi telematici, come comportarsi?
La prima puntata di questo prezioso spazio di confronto è dedicata, come anticipato ad un tema di strettissima attualità, la cyberwar scatenatasi a seguito dell’invasione dell’Ucraina da parte della Russia e tutti i rischi conseguenti per imprese, partner e infrastrutture critiche del nostro Paese.
La sicurezza informatica, specialmente dopo l’avvio del conflitto russo-ucraino, è diventata una delle priorità dell’agenza politica e mediatica. Le preoccupazioni sull’avvio di una possibile cyberwar, con tanto di ingerenze russe sui dati sensibili delle nostre aziende ed enti pubblici, ha portato anche a una grande ondata di emotività.
Che va un po’ ridimensionata, come evidenziato da Valentina Frediani, fondatrice di Colin & Partners, consulente legale e informatico ed esperta di diritto applicato all’ambito tecnologico. “Siamo in un momento caotico. La recente raccomandazione dell’agenzia nazionale per la sicurezza sul caso Russia ha creato non pochi fraintendimenti, visto che molte aziende ed enti pubblici hanno virato verso l’addio di determinati brand, ma non è assolutamente quello che dice la raccomandazione. Che probabilmente non è stata gestita in maniera idonea, c’è stato un grande allarmismo. Noi abbiamo cercato però di spiegare che si tratta di una raccomandazione che dice in maniera molto chiara di fare una valutazione dei rischi. Quest’ultima la si deve fare sulla base degli strumenti, del collegamento con la Federazione russa e di quali rischi stiamo parlando, nonché di quello che può emergere dal punto di vista degli eventuali attacchi. Detto ciò, non ci deve essere nessuna corsa all’eliminazione. In un momento di crisi come questo, in cui si parla anche di cyberwar, è chiaro che occorre fare delle valutazioni di questo tipo”.
Il tema della mappatura
Insomma, nonostante questa situazione non certa facile da gestire, non occorre andare nel panico. Anche la voce sulla necessità immediata di arrivare a una completa mappatura dei dati va contestualizzata: “Il regolamento per la protezione dei dati personali prevede di andare a mappare tutto quello che è il parco fornitori e subfornitori. Dal punto di vista della gestione della problematica, insomma, la mappatura doveva esserci già sia da parte delle aziende che delle pubbliche amministrazioni. Invece tendiamo a fare le corse sulla scia dell’emotività, quando si tratta di un aspetto che andava predisposto a suo tempo, con il rischio adesso di creare dei problemi di natura economica e legale. Ora cosa succede? Quelle strutture che avevano preso sul serio il regolamento europeo quella mappatura se la trovano già fatta. Questo significa che hanno fatto valutazione dei rischi in linea con quello che dice il regolamento, che pure è mal sopportato da molte aziende”.
Secondo l’esperta è falso anche che le nuove normative richiedano alle aziende di riportare tutti i dati all’intero del perimetro aziendale, suggerendo quasi un ritorno al passato. In realtà nel GDPR e nei regolamenti sulla sicurezza non si richiede una cosa di questo tipo, nella consapevolezza che ormai i servizi sono molto variegati. Però le organizzazioni devono capire con chi hanno a che fare. “Forse il problema più grande è proprio questo: non c’è la formazione imprenditoriale necessaria per fare delle valutazioni con una visione complessiva; vengono affrontate le scelte prima sul fronte economico, raramente su quello giuridico e mediamente su quello prestazionale.
Poca attenzione agli aspetti giuridici
Il rischio, ovviamente, è di incorrere nei meccanismi sanzionatori del GDPR: un’azienda che non ha controllo dei propri dati rischia una multa che va dal 2 al 4% del fatturato globale annuo e sino a 20 milioni di euro di sanzioni “Sono rimasta colpita dall’ultima ispezione dell’autorità di controllo che si è concentrata sulla verifica della conformità degli applicativi rispetto a un flusso di dati specifico. Questo dimostra che c’è una logica a monte: quanto gli applicativi rispondono non soltanto agli obblighi di legge, ma alla tutela delle informazioni? Da questo punto di vista ci sono ancora tanti passaggi da compiere: negli enti pubblici si tende a reagire in maniera molto scomposta e isolata, mentre nell’ambito privato si presta attenzione soltanto alle funzionalità e si perdono di vista tutta una serie di requisiti che possono dare anche una sicurezza lato giuridico nel tempo. E questi nodi ora stanno venendo al pettine”.
I perché del record di multe italiano
Non è casuale, d’altronde, che l’Italia abbia visto lo scorso anno un record di multe comminate proprio sul tema GDPR: “Nonostante l’Autorità per la privacy sia estremamente presente, le cose stanno così perché si è fatta la grande corsa nel 2018 all’adeguamento, nell’ottica del “facciamo queste due carte”. Dunque, non si è puntato alla sostanza, come chiede il GDPR, ma alla parte documentale, svuotata di collegamento e visione. Il paradosso è che se fino al 2018 la parte dolente delle aziende era la sicurezza dei sistemi, a decorrere dal GDPR la carenza reale ha riguardato la parte organizzativa: a predisporre i documenti sono capaci tutti, far funzionare la macchina, l’elemento umano è molto più complesso. Quindi c’è stata una valutazione erronea della portata normativa: ci si è concentrati sui documenti, perdendo quegli aspetti legatialla valutazione dei rischi; non a caso vediamo un aumento esponenziale dei breach, perché non c’è preparazione da parte dei dipendenti. I controlli hanno perciò trovato situazioni non conformi al principio di accountability, in una logica di protezione dei dati”, conclude Frediani.