La protezione dei dati e della privacy sono pilastri fondanti per preservare la fiducia, la sicurezza e il futuro di individui e società. Ecco alcune indicazioni importanti che tutti dovrebbero conoscere, comprendere e applicare.
Autore: Redazione SecurityOpenLab
Il 28 gennaio ricorre il Data Protection Day, istituito nel 2006 dal Consiglio d’Europa per ricordare il giorno in cui venne aperta alla firma la cosiddetta “Convenzione 108”, meglio nota come la convenzione per la protezione dei dati. La Giornata della protezione dei dati viene oggi celebrata a livello mondiale in tutto il mondo, e al di fuori dell’Europa è soprannominata Giornata della privacy. Si tratta di una ricorrenza importante soprattutto in epoca attuale, per accrescere la consapevolezza sui diritti alla protezione dei dati e alla privacy.
Il Clusit ha colto l’occasione per ribadire l’importanza di investire in data protection, che come sottolinea il Presidente Gabriele Faggioli “non è solo un atto di conformità, ma una decisione per preservare la fiducia, la sicurezza e il futuro di individui e società”, perché Tutelare la privacy oggi non riguarda solo il rispetto dei diritti individuali, ma ha profonde implicazioni per la società digitale e la stabilità delle istituzioni. Faggioli ricorda infatti che le informazioni personali, come dati finanziari, informazioni mediche e dettagli identificativi, sono un obiettivo primario per gli attaccanti.
Una delle funzioni principali del Data Protection Day è accrescere la consapevolezza del pubblico, e proprio sui questo punto si concentra l’intervento di Morgan Wright, Chief Security Advisor di SentinelOne: “non sono del tutto convinto che le persone abbiano la piena comprensione delle implicazioni sulla privacy associate a tutta la tecnologia presente nella propria vita. Che si tratti di un privato, di una piccola impresa o del dipendente di una grande azienda, gli aspetti da affrontare in materia di privacy si moltiplicano a una velocità superiore alla nostra capacità di affrontarli” sottolinea il manager, ricordando poi le nuove sfide all’orizzonte, in primis quelle legate all’AI. “L'introduzione dell'AI generativa ha stravolto molti presupposti e la nostra stessa consapevolezza in tema di privacy, generando una sorta di ‘sfiducia verso la privacy’. In realtà, pochissimi, se non nessuno, a eccezione degli avvocati, leggono le clausole scritte in calce. La capacità dell'intelligenza artificiale di ottenere informazioni dai dati disponibili dà anche la falsa impressione che la privacy sia stata violata. Al contrario, l'intelligenza artificiale è diventata semplicemente più abile nel mettere in relazione tutte le informazioni”.
Il manager sottolinea inoltre come “uno dei maggiori equivoci riguardi proprio il termine ‘privacy’. È una normativa, non è una tecnologia. La semplice dichiarazione di una policy aziendale sulla privacy relativa al trattamento dei dati (ad esempio, PII) è solo una metà della questione. L'altra parte è rappresentata dalla protezione dei dati che costituiscono la premessa della privacy. Le norme sulla privacy falliscono a causa della mancata adozione di tecnologie all’avanguardia per implementare policy e proteggere adeguatamente i nostri dati. Gli appassionati di tecnologia continuano a condividere informazioni sui social media o a rispondere a una moltitudine di sondaggi, fornendo spontaneamente informazioni che diversamente dovrebbero essere protette da un'azienda”. In definitiva, “la più grande minaccia alla privacy è quella che ci si auto-infligge”.
Una riflessione sulla stessa linea d’onda è quella proposta da Tim Wade, Deputy Chief Technology Officer di Vectra AI, secondo cui “clienti e consumatori condividono più dati che mai con le organizzazioni. Questo avviene in un momento in cui le aziende stanno spostando un maggior numero di applicazioni, workload e dati in ambienti ibridi e multi-cloud, e il rilevamento e la risposta alle minacce sono diventati sempre più isolati e complessi. Tutto ciò sottolinea la responsabilità cruciale che le organizzazioni hanno nel salvaguardare le informazioni sensibili e serve a ricordare quali sfide comporta il mantenimento della privacy dei dati”.
Wade è moderatamente ottimista con le sue conclusioni: “abbiamo assistito a un costante miglioramento da parte dell’utente finale nel mantenere le proprie informazioni personali sicure e private. Gli utenti impiegano soluzioni di multi-factor authentication, utilizzano solo reti sicure o VPN e sono molto più selettivi riguardo alle informazioni che condividono con le organizzazioni, eppure gli incidenti causati da un’eccessiva esposizione continuano a verificarsi. Mentre ci sforziamo di rendere il mondo un posto più sicuro ed equo, le aziende hanno la responsabilità nei confronti dei propri clienti, partner e utenti finali di implementare le giuste pratiche per garantire la protezione della loro privacy e dei loro dati. Nel corso dell’anno appena cominciato, le aziende dovranno confrontarsi con aspettative più alte e dimostrare il proprio impegno nell’implementazione di misure complete e funzionali alla salvaguardia dei dati”.
Christopher Budd, Director Threat Research di Sophos, ribadisce alcuni importanti aspetti relativi alla gestione e alla tutela dei propri dati sensibili online:
Il "potere del no" significa ricordare che il modo migliore per proteggere i propri dati e informazioni sensibili è quello di non fornirli in partenza. Solo perché un sito richiede la data di nascita, ad esempio, non significa che ne abbia bisogno o che ne abbia diritto. Se un sito o un servizio non possiede i vostri dati, non può perderli o divulgarli accidentalmente. Anche se questo può sembrare ovvio, è importante e tutti noi possiamo tenerlo a mente, sempre.
Sul fronte password, invece, Budd sottolinea che, sebbene spesso si ritenga un fastidio e una perdita di tempo l’impostazione e utilizzo di password adeguate, restano uno strumento fondamentale per la sicurezza dei propri dati personali. Ancora oggi vediamo grandi realtà subire le conseguenze di una cattiva gestione delle password da parte loro o degli utenti aziendali. L'uso di password diverse per ogni sito o account (o almeno per ogni sito importante) è ancora uno degli aspetti fondamentali per tutelare i propri dati. Oltre all'utilizzo di password univoche, l'uso di un'applicazione di autenticazione multifattoriale come Google Authenticator o Microsoft Authenticator è un elemento significativo per rendere ancora più sicuri gli account più importanti.
Oltre a questi accorgimenti, Budd ricorda di non cliccare su link provenienti da fonti non verificate, di mantenere aggiornate tutte le app e i dispositivi, di utilizzare software di sicurezza e di considerare sospette tutte le comunicazioni non richieste (e-mail, telefonate) sono accorgimenti che contribuiscono a migliorare la sicurezza. Tenere a mente i due punti enunciati rappresenta già un ottimo presupposto per proteggersi dai pericoli del mondo online”.
Fabio Buccigrossi, Country Manager di ESET Italia, presta maggiore attenzione all’aspetto tecnico e sottolinea che il software di sicurezza solitamente garantisce un livello adeguato di protezione dei dati raccolti all’interno dei dispositivi in uso, attraverso la scansione di tutti i programmi e i file, o di una parte di essi, che vengono scaricati nel dispositivo con l’obiettivo di determinare se sono innocui o se rappresentano una minaccia, e l’analisi dei programmi e dei file già presenti sul dispositivo, alla ricerca di eventuali attività sospette.
Eseguendo queste operazioni anche contemporaneamente, il software di sicurezza si interfaccia con l’ambiente cloud del vendor per effettuare un’analisi più approfondita; così facendo, potrebbe sembrare un'invasione della privacy dell’utente. Immaginate di avere una guardia del corpo che vi stia accanto in ogni azione che fate e in ogni conversazione che intrattenete. Tutto ciò suona come un’intrusione poco desiderabile. Ma è così che alcuni potrebbero percepire il software di sicurezza.
In realtà non è proprio così. Immaginate un esercito di guardie del corpo intorno a voi, che si assicurano che nulla di dannoso vi tocchi. Hanno esperienza e confrontano tutto ciò che accade con situazioni che già conoscono. Ora, queste body guard proteggono anche altre persone, quindi devono tener conto di ciò che hanno già sperimentato. Ed è qui la differenza. Non condividono questi dati con nessuno, tranne che con la società di sicurezza per cui lavorano, ovvero il vendor di riferimento. Gli unici dati raccolti e condivisi con l'azienda hanno lo scopo di aumentare la protezione e migliorare le soluzioni di sicurezza per tutti gli utenti.
Il vendor di security, al contempo, non tiene traccia dei dati personali presenti sui dispositivi analizzati ma il suo obiettivo principale è quello di raccogliere informazioni relativamente ai diversi tipi di minacce che rileva, per poter apprendere e proteggere meglio gli utenti nel loro insieme. Non è interessato ai file personali. L'unico e solo scopo di qualsiasi raccolta di dati è quello di rafforzare la sicurezza. E questo è ciò che sta facendo anche ESET.
Viviamo in un'epoca in cui le persone - giustamente - sono sempre più preoccupate di chi ha accesso alle loro informazioni personali e a come queste vengono utilizzate. Lo stesso vale per i software di sicurezza e per la loro condivisione dei dati, necessaria affinché il software sia in grado di proteggere adeguatamente l'utente. Tuttavia, questo non significa che gli utenti cedano tutte le informazioni personali al vendor senza consenso.
Come ogni azienda di software, i vendor di sicurezza devono rispettare le normative locali e internazionali. ESET (in quanto azienda con sede nell'UE) è stata una delle prime aziende di sicurezza informatica a ricevere il marchio dall'European Cyber Security Organization (ECSO). Il marchio riconosce le capacità e l'impegno di un'azienda nel proteggere i cittadini, le imprese e gli enti governativi dalle minacce informatiche. Inoltre, sottolinea la qualità e i valori dei vendor di sicurezza. ESET non condivide i dati con terze parti e preferisce elaborarli all’interno dell'Unione Europea (UE). Poiché una parte della ricerca e dello sviluppo in tema di cybersicurezza di ESET si svolge nell'UE, l'azienda soddisfa anche i requisiti del Regolamento Generale sulla Protezione dei Dati (GDPR), nonché le normative locali sulla privacy.