Il blackout di Google: il parere degli esperti.
Lunedì mattina ci siamo improvvisamente ritrovati nella realtà di una trentina anni fa, quando il mondo era essenzialmente analogico. Inutilizzabili per tutta la mattinata i servizi e-mail e di videoconferenza.
Il che in piena pandemia, con la FAD nelle scuole di tutto il pianeta e il lavoro agile a pieno regime, ha creato enormi problemi. Se gli effetti in Borsa non sono stati particolarmente negativi, il che desta perplessità sulla stessa finalità dell’ipotetico attacco hacker su scala globale, il “black out”, ha, sul piano emotivo, toccato corde che hanno a che fare con la sfera personale perché ha mostrato quanto l’attuale società digitale sia vulnerabile. E di conseguenza, quanto lo sia ogni singolo individuo. Abbiamo chiesto ad alcuni riconosciuti esperti di trattamento dei dati personali e di cyber security, come Alessandro Marano Responsabile Studio Ore9 – Consulenza e Formazione privacy (www.ore9.com - www.areaprivacy.com) e il Dott. Roberto Mignemi, amministratore delegato di Cybertech (cybertech.eu), società del Gruppo Engineering (Eng.it), il loro punto di vista sull’accaduto.
Buongiorno dott. Marano, lunedì scorso, Google e i siti di diversi enti governativi americani sono stati presi d’assalto dagli hacker, come è spiegabile una cosa del genere?
La sicurezza della protezione al 100% dei nostri dati online non esiste. Ogni dato che inserisco online potrebbe essere violato: perso, diffuso, manipolato ecc..Il grado di sicurezza offerto dai “big” come Google rappresenta un livello elevato come standard di sicurezza ma non è mai sicuro al 100%.
Ancora non è chiaro se si sia trattato di attacco o di malfunzionamento da sovraccarico, come da prima risposta di Google. In entrambi i casi la situazione per gli utenti è preoccupante.
Sembra più plausibile che si sia trattato di un attacco hacker per una serie di elementi: ad esempio perché, in caso di malfunzionamento, Google avrebbe avuto la possibilità di attivare delle procedure per avvisare, almeno, i suoi utenti circa un possibile disservizio; ma questo non è accaduto.
Lei è riconosciuto come un esperto di protezione dei dati personali, cosa si può ancora fare per una maggiore sicurezza dei dati personali degli utenti, specie dei grandi operatori digitali e quali possono essere le conseguenze in termini economici e di sicurezza anche personale quando si verificano queste incursioni?
I nostri dati personali ci rappresentano, siamo noi, la nostra vita. Senza di essi non potremmo ricevere dei soldi in banca o ritirarli, non potremmo essere curati e così via. La sicurezza dei nostri dati online si può migliorare agendo su due livelli contemporaneamente:
la scelta del servizio/operatore digitale più affidabile
la conoscenza delle informazioni necessarie per effettuare la scelta
Per la scelta del servizio è fondamentale verificare il rispetto delle misure adeguate di sicurezza, come prevede la normativa sulla protezione dei dati personali. Sono sempre informazioni scritte, pubbliche: diffidate dai fornitori che non vi garantiscono trasparenza e facilità di accesso a tali informazioni.
Se, però, non si è in grado di valutare gli elementi forniti dall’operatore suggerisco sempre di rivolgersi a un esperto oppure, almeno, alle informazioni reperibili online da associazioni, gruppi e singoli professionisti dedicati all’ambito della protezione dei dati.
Diverse sono le conseguenze negative derivanti da una violazione dei nostri dati: dal furto di identità per frodi commerciali al furto in appartamento con la conoscenza dei nostri spostamenti.
Una maggiore sicurezza per i nostri dati è realizzabile seguendo due semplici regole:
non affidarsi mai a un singolo fornitore per molteplici servizi (mail, video, archiviazione documenti, chat ecc..): avendo più fornitori riduco il rischio di avere un problema su tutti i servizi allo stesso momento;
creare delle copie di backup anche in locale (cioè non online), anche su hard disk esterni o chiavette usb; in tal modo una parte o tutti i dati, anche in caso di attacco hacker, sarà nella nostra disponibilità. Attenzione, però, a proteggere adeguatamente questi dispositivi di memoria.
Si può risalire ad un hacker e come?
Gli hacker sono esseri umani e, come tutti, possono sbagliare.
Di solito, purtroppo, non sbagliano: adottano misure di “mascheramento” che impediscono, di fatto, la loro individuazione.
Questo per gli hacker “esperti”; quando sentite di un hacker che è stato individuato allora ci potrebbero essere due spiegazioni: a) non era esperto b) voleva farsi individuare, magari per essere assunto da qualche azienda di sicurezza informatica (è capitato diverse volte).
Quali problematiche si è trovato a risolvere e da esperto come valuta il livello di sicurezza delle nostre aziende?
Lavoro dal 2006 nel campo della protezione dei dati. Per il livello di sicurezza dei dati personali nelle aziende posso dire che ho evidenziato, nel tempo, due aree critiche ricorrenti:
poca formazione e, quindi, poca conoscenza dei problemi presenti e potenziali;
scarsa attenzione ai livelli di sicurezza dei fornitori.
La formazione dovrebbe essere periodica e verificata. Tutti i soggetti che trattano i dati in azienda devono conoscere le regole base del trattamento. Per “verificata” intendo dire testata, con simulazioni e test; bisogna essere certi che i soggetti formati sappiano cosa fare in caso di necessità.
Il livello di sicurezza dei fornitori, invece, resta fermo alle vecchie regole del Codice privacy (d. lgs. 196/2003), che prevedeva una serie di verifiche per lo più formali.
Oggi per la sicurezza, con il Regolamento UE 2016/679 (il “GDPR”), ogni titolare del trattamento deve verificare a livello sostanziale le misure di sicurezza dei propri fornitori. Il titolare è responsabilizzato nelle scelte che attua in azienda, siano esse scelte interne che rivolte a soggetti esterni.
Questo perché, quando “sposto” dei dati dalla mia azienda verso un fornitore che non ha misure reali di sicurezza, creo un pericolo per i miei dati, per la loro violazione.
Il controllo delle misure di sicurezza di ogni fornitore (da Google a tutti gli altri) dovrà essere documentato e aggiornato periodicamente.
Il problema di Google una cosa buona l’ha prodotta: ha creato il dibattito sul problema della protezione dei dati. Speriamo che porti le aziende a una maggiore attenzione e prevenzione.
Non tutti gli utenti ne sono al corrente ma il titolare di una pagina FB ne è a tutti gli effetti responsabile, cosa deve avere il titolare per essere a norma privacy?
Le prime cose sono: Informativa privacy, Moduli o form di richiesta a norma, il registro dei trattamenti del titolare, l'analisi e la gestione delle misure di sicurezza organizzative e tecnologiche, analisi dei rischi e l'archiviazione dei dati a norma; deve avere evidenze circa la validazione del suo modello organizzativo privacy, avere i backup e le Nomine e autorizzazioni.
Secondo quanto stabilito dalla Corte europea (sentenza 210/16) e dalle linee guida dell'EDPB, il titolare di una pagina Facebook è in molti casi contitolare dei trattamenti, come dice anche FB a questa pagina: https://it-it.facebook.com/legal/terms/page_controller_addendum
Interessante e con ogni probabilità concretamente utile, se non risolutiva al cento per cento, la proposta “politica” avanzata da Roberto Mignemi
Dottor Mignemi, una spinta decisa e decisiva all’attenzione alla riservatezza potrebbe essere il vostro security bonus, può darci qualche dettaglio in più?
Certamente, è un incentivo alle aziende perchè investano nella sicurezza. Sostanzialmente poggia sul credito d’imposta come per l’edilizia. Contribuirebbe ad innalzare significativamente il livello di sicurezza del Paese. Sotto una certa soglia e dimensioni d’impresa, la sicurezza non è ancora oggi percepita come un fattore abilitante e strategico per la digitalizzazione, ma piuttosto come costo aggiuntivo, invece è fondamentale prevedere un accesso diretto alle risorse messe in campo dal Recovery Fund».
Che opinione s’è fatto dell’evento che ha paralizzato internet?
È strano e mette indubbiamente paura. Google, Amazon, Microsoft e gli altri colossi digitali, hanno servizi di sicurezza alti. Il sistema è andato già per quarantacinque minuti. Non è ancora certo che si tratti di un attacco hacker, tuttavia non c’è nulla di più delicato del sistema d’accesso che è un collo di bottiglia. Se si blocca il sistema di autenticazione, si ferma tutto.
Come ci si difende?
Non esiste un sistema inviolabile. Inoltre chi attacca è sempre in vantaggio su chi si difende. La soluzione risiede nell’ arrivare a dei sistemi di predizione.
La vostra attività è leader nell’ambito della sicurezza informatica…
Cybertech è un system integrator specializzato in soluzioni e servizi chiavi in mano. Sviluppiamo sistemi di monitoraggio che controllano e mettono in sicurezza in caso di attacco. Disponiamo di hacker bianchi che utilizziamo per testare il grado d’inviolabilità dei nostri clienti.
Lo stesso concetto di riservatezza non è illusorio, considerando che i nostri dati fluttuano costantemente in rete?
In un certo senso, sì. Carte di credito, profili social, il cellulare, le nostre esistenze sono consegnate a strumenti che possono attrarre. Con l’attuale potenza tecnologica è possibile, in linea teorica rubare l’identità di un individuo.