10 minute read
CYBERSECURITY
LE NUOVE PRIORITÀ DEL LAVORO SMART
Nella nuova quotidianità del post pandemia, le aziende hanno bisogno di ripensare al modo in cui difendono i propri dati e le proprie reti.
La trasformazione dei modelli di lavoro, con il generale ricorso allo smart working a partire dall’inizio della pandemia di covid-19, ha avuto conseguenze pesanti in termini di utilizzo di tecnologie digitali. Ma non solo: sta comportando un importante ripensamento delle priorità in termini di cybersecurity. Il lavoro da casa, spesso organizzato facendo ricorso a strumenti personali, ha richiesto un ripensamento delle misure di sicurezza, ripensamento improntato però il più possibile a garantire una buona user experience. Produttività, semplicità d’uso e sicurezza hanno dovuto andare avanti di pari passo, in modo da non sacrificare ulteriormente le condizioni di lavoro delle persone, già provate da una situazione fuori dall’ordinario. In un contesto in cui gli accessi avvenivano in gran parte da remoto e con strumenti e i dati spesso posizionati in cloud, si è potuto verificare che i vecchi paradigmi della sicurezza tradizionale non avrebbero più funzionato. Ecco quindi uno spostamento d'interesse verso ambiti come l’autenticazione multifattore, l’endpoint security, le soluzioni anti-phishing, ovviamente le
L’IGNORANZA A VOLTE È IL PRIMO RISCHIO
Mobile phishing, chi era costui? Si pone questa domanda senza saper rispondere ben il 43% dei dipendenti d’azienda, facendo la media sui 1.200 interpellati in un recente sondaggio di MobileIron, condotto in Regno Unito, Francia, Germania, Belgio, Paesi Bassi, Stati Uniti, Australia e Nuova Zelanda. Lo studio, titolato “Everywhere Enterprise", si è focalizzato sugli effetti dei lockdown sulle aziende con particolare riferimento alle modalità e agli strumenti del lavoro da remoto, ma ha anche indagato il fenomeno del phishing. Un tipo di attività cybercriminale che nel 2020 ha approfittato alla grande delle paure della gente, delle curiosità e del bisogno di informazioni sul coronavirus. Ebbene, il 72% degli intervistati ha detto che smartphone e tablet sono stati strumenti importanti per garantire la produttività durante i periodi di forzata lontananza dall’ufficio. Una significativa percentuale, il 43% appunto, non ha però saputo dire che cosa sia il mobile phishing. Preoccupante, inoltre, è un altro fatto: un terzo dei dipendenti considera la sicurezza informatica come una “bassa priorità”, nonostante il diffuso ricorso allo smart working aumenti oggettivamente il rischio di violazioni e furti di dati aziendali. V.B.
Virtual Private Network (Vpn) e soprattutto - aspetto fondamentale - la formazione delle persone. Ciò a cui assistiamo oggi è quindi un importante ripensamento delle priorità in termini di cybersecurity. L’esperienza ha fatto capire alle persone che il perimetro aziendale è sempre più liquido e allargato: le minacce possono arrivare da molteplici canali che prima non si consideravano, le persone hanno richieste sempre maggiori e, nel contempo, si
sta velocemente affermando una cultura digitale che eleva la possibilità per tutti di diventare parte di un disegno di sicurezza più ampio e unificato. Come è stato detto da più parti, l’effetto principale della pandemia è stata un’accelerazione dei processi di trasformazione digitale. Dal punto di vista della cybersecurity questo ha significato, fin dai primi giorni, rispondere a un maggior numero di attacchi e proteggere una superficie vulnerabile molto più ampia. Le aziende sono chiamate ad assicurare la resilienza in un nuovo scenario, usando una combinazione di strategie, tecnologie e processi per potenziare la propria capacità in questo campo. Una recente ricerca di Microsoft, condotta su 800 aziende in Regno Unito, Germania e Stati Uniti, ha registrato che per il 54% dei manager della security c’è stato un forte incremento del phishing in questo periodo. Alcuni sono però stati in grado di rispondere meglio di altri. Un ruolo fondamentale oggi spetta al cloud: secondo l’analisi di Microsoft, le aziende più avanti nel percorso d'adozione in generale rispondono meglio alle minacce cyber. Non vanno inoltre sottovalutati i rischi del cloud: dalle risposte delle aziende emerge che, pur in misura minore rispetto agli ambienti on-premises, anche quelli in cloud sono stati colpiti nell’ultimo periodo da attacchi cyber. I tentativi di phishing andati a segno hanno infatti visto come vittime una maggioranza di aziende “principalmente on-premise” (36% delle risposte) e in misura minore quelle “principalmente in cloud” (26%). Il tema della messa in sicurezza degli ambienti cloud sta inoltre diventando sempre più importante. Chi, invece, già in precedenza aveva creato le condizioni abilitanti e sicure per le persone in smart working, quando è iniziata l’emergenza ha potuto fruire di servizi di accesso remoto molto evoluti, sicuri e già ampiamente utilizzati in azienda. Elena Vaciago, resarch manager di The Innovation Group
LE TRUFFE EMAIL CAVALCANO L’ONDA DEL COVID-19
ll phishing non va mai in vacanza, figuriamoci se lo ha fatto nell’estate del covid-19 e dell’incremento dello smart working. Approfittando del maggior numero di utenti connessi alla posta elettronica per lavorare da remoto, i criminali informatici sono andati ancor più volentieri a caccia di credenziali e dati da rubare, come testimoniato dall’ultimo report trimestrale di Check Point. Sulla base degli alert raccolti dalla rete globale del vendor (che confluiscono nel database ThreatCloud), gli scorsi luglio, agosto e settembre c’è stato da parte delle campagne di phishing un tentativo più accentuato d'intercettare i dati di chi ha lavorato da remoto. Per riuscirci, i criminali hanno sfruttato ancora di più il marchio Microsoft. Nella classifica dei nomi più abusati per creare falsi domini di posta elettronica e messaggi ingannevoli, infatti, la società di Redmond è al primo posto, figurando nel 19% delle email di phishing rilevate da Check Point nel trimestre. Seguono, nell’ordine, Dhl (9%), Google (9%), PayPal (6%), Netflix (6%), Facebook (5%, Apple (5%), Whatsapp (5%), Amazon (4%) e Instagram (4%). “Il cambiamento improvviso ha lasciato molte aziende e lavoratori a distanza impreparati a gestire gli ultimi attacchi informatici”, sottolinea Omer Dembinsky, manager of data threat intelligence di Check Point. “Gli hacker, percependo grandi opportunità, stanno imitando il marchio più conosciuto per il lavoro. Mi aspetto che le imitazioni di Microsoft continuino anche quest'anno". V.B.
SICUREZZA IT E PRIVACY, INDIETRO NON SI TORNA
Reti aziendali frammentate, app di videoconferenza: i trend del futuro secondo gli analisti di Gartner.
Siamo in un mondo nuovo, che ci piaccia o no. Le recrudescenze del coronavirus confermano che il cambiamento in direzione dello smart working non potrà essere un fuoco di paglia. Il lavoro a distanza di massa ha naturalmente concreti impatti sulla sicurezza informatica, perché aumenta il numero delle risorse IT (dati, applicazioni, carichi di lavoro) che le aziende devono proteggere al di fuori del perimetro dell’on-premise. “La pandemia di covid-19 ha accelerato un processo multidecennale di capovolgimento delle aziende”, ha scritto l’analista Brian Burke, research vice president di Gartner. “Abbiamo passato un punto di non ritorno: la maggior parte degli asset digitali si trovano oggi al di fuori dei tradizionali perimetri di sicurezza fisici e logici”. Per poter gestire questa configurazione si dovranno adottare sistemi di sicurezza basati su architetture scalabili, flessibili e affidabili: un approccio che Gartner chiama “cybersecurity mesh”, cioè a rete, e che a suo dire diventerà il modo più semplice per garantire un accesso sicuro ad applicazioni basate su cloud e distribuite su una moltitudine di dispositivi. Controllare uno per uno quei dispositivi, infatti, risulterebbe impossibile, dunque la via più praticabile è quella di gestire l’identità degli utenti su una moltitudine di punti di accesso. In sostanza, il famigerato “perimetro” non sarà più fatto di firewall o di dispositivi client bensì di persone. Entro il 2025, scommettono gli analisti, l’approccio “mesh” supporterà oltre la metà delle richieste di controllo dell’accesso a risorse IT. Un altro percorso avviato irreversibilmente è quello delle applicazioni di videoconferenza, come Microsoft Teams, Skype, Cisco Webex e Zoom, che nelle settimane di stretto lockdown sono state l’ancora di sopravvivenza dell’operatività di molte aziende. Dopo l’exploit primaverile questi strumenti hanno mantenuto un buon livello di utilizzo e, intuibilmente, continueranno a rivelarsi preziosi anche nei prossimi mesi. Sarà però importante potenziare le difese di tali app sia limitando il rischio di attacchi informatici sia potenziando la privacy. Due i talloni d’Achille di Zoom, sicurezza e privacy: colpita da numerosi hackeraggi lo scorso aprile, l’applicazione in autunno è stata aggiornata introducendo la crittografia end-to-end
(cioè estesa sull'intera catena di trasmissione dei dati, da utente a utente). Attacchi hacker a parte, una minaccia alla riservatezza delle videochat è rappresentata dalle aziende stesse: per Gartner, entro il 2020 ben il 75% delle conversazioni di lavoro sarà registrato e analizzato per scopi vari. Oltre alla videoconferenza, anche le piattaforme di cloud sharing e le applicazioni a controllo vocale potranno fornire alle aziende grandi quantità di materiale da analizzare. “Le analisi delle conversazioni che avvengono sul luogo di lavoro”, scrive Gartner, “verranno usate dalle aziende non solo per aiutarsi a essere in regola con leggi e regolamenti in vigore, ma anche per prevedere future performance e comportamenti. Al crescere dell’uso di queste tecnologie di sorveglianza digitali, sarà critico adottare considerazioni etiche e azioni che mettano la privacy in prima linea”.
Valentina Bernocco
PER I DATI, IL VIAGGIO EUROPA-USA DIVENTA PIÙ DIFFICILE
La Corte di giustizia dell'Unione Europea si è pronunciata lo scorso 16 luglio in merito al regime di trasferimento dei dati tra l'Unione europea e gli Stati Uniti, invalidando la decisione di adeguatezza del Privacy Shield adottata nel 2016 dalla Commissione Europea in seguito alla decadenza dell'accordo Safe Harbor. Suddetta sentenza cambia notevolmente il panorama giuridico inerente il trasferimento dei dati negli Usa. La Corte ha ritenuto che i requisiti del diritto interno degli Stati Uniti comportino limitazioni alla protezione dei dati personali che non consentano di ritenere i requisiti giuridici sussistenti in tale Paese equivalenti a quelli previsti in Europa. Difatti la Corte ritiene non in linea con la legislazione europea la possibilità per le autorità pubbliche degli Stati Uniti di accedere per fini connessi alla sicurezza nazionale ai dati personali trasferiti dall'Ue, peraltro non riconoscendo agli interessati l’esercizio dei diritti in sede giudiziaria contro le autorità statunitensi. Alla luce di tale grado di ingerenza nei diritti fondamentali delle persone i cui dati sono trasferiti verso il suddetto Paese terzo, la Corte ha dichiarato invalida la decisione sull'adeguatezza dello scudo per la privacy sino a oggi sussistente (il Privacy Shield). La sentenza produce effetti di abnorme portata in particolare sui trattamenti oggetto di trasferimento alla data della pronuncia. Difatti, annullando la decisione relativa allo scudo per la privacy senza preservarne gli effetti, la Corte rende illegittimo qualsiasi trasferimen-
Valentina Frediani
to negli Usa con effetto immediato, salvo onerare il titolare del trattamento ad analizzare caso per caso le garanzie di trasferimento. Diviene dunque illegale ogni trasferimento basato sul Privacy Shield a prescindere da trasferimenti all’interno dello stesso gruppo (avendo applicato le cosiddette Binding Corporate Rules) o con soggetti terzi. Eseguita l’analisi caso per caso (considerando tipologie di dati, misure di sicurezza adottate, misure organizzative sussistenti, eccetera) laddove si possa garantire che la normativa statunitense non interferisce con l'adeguato livello di protezione dovuto si potrà procedere con il trasferimento, altrimenti lo si dovrà interrompere immediatamente. Ricordiamo che un’alternativa è il trasferimento subordinato al consenso dell'interessato, che dev'essere esplicito (riferito espressamente al particolare trasferimento o trasferimenti) e informato (ovvero con idonea comunicazione circa i possibili rischi del trasferimento). Per i trasferimenti necessari all'esecuzione di un contratto tra l'interessato e il titolare del trattamento, occorre tenere presente che il trasferimento di dati personali è consentito solo se oggettivamente necessario all'esecuzione del contratto. Infine, rispetto ai rapporti con soggetti pubblici, i trasferimenti possono avvenire non tanto per la qualifica del soggetto pubblico stesso ma solo laddove ricorrano motivi di interesse pubblico. Insomma, la situazione si fa particolarmente complessa. Allo stato attuale il Comitato europeo per la protezione dei dati sta analizzando la sentenza della Corte per stabilire quali misure supplementari (giuridiche, tecniche od organizzative) possano considerarsi valide per effettuare il trasferimento. Ricordiamo che, qualora ci si avvalga di un Responsabile esterno che per lo svolgimento dell’attività trasferisca negli Usa dati di cui siamo titolari, dovremo intervenire contrattualmente per validare la legittimità analizzato il caso di specie, dovendo altrimenti risolvere il contratto per il venir meno dei presupposti giuridici di legittimità. I titolari del trattamento dovranno dunque predisporre il blocco del trasferimento dei dati negli Usa, salvo una delle ipotesi succitate. Attendiamo di comprendere quali indicazioni emergeranno dalla Commissione. Un'attesa che può avere costi organizzativi molto alti per le imprese italiane o, in alternativa, costringere le stesse ad accollarsi dei rischi non calcolati al momento del trasferimento dei dati. Un cambio della situazione giuridica in corsa piuttosto “dannoso”. Valentina Frediani, founder e Ceo di Colin & Partners
