La cybersecurity affronta nuove sfide, la protezione dei dati è più cruciale che mai: i suggerimenti degli esperti.
Autore: Redazione SecurityOpenLab
Oggi, 28 gennaio 2025, si celebra il Data Privacy Day, ossia la Giornata europea della protezione dei dati personali istituita dal Consiglio d'Europa con l’obiettivo di sensibilizzare istituzioni pubbliche e private, enti e comuni cittadini sul tema della privacy dei dati, della loro conservazione ed elaborazione.
Le giornate celebrative sono l’occasione per portare all’attenzione del grande pubblico, soprattutto extra settore, questioni che in genere restano in secondo piano. Alla luce del panorama attuale, la ricorrenza di oggi merita una forte attenzione perché il contesto della protezione dei dati sta vivendo un momento di estrema criticità.
Come molti hanno sottolineato nel tempo, i dati sono il nuovo petrolio, il bottino più ghiotto per i criminali informatici di ogni provenienza e motivazione: il cybercrime si arricchisce vendendo dati sottratti illegalmente. A tale proposito Carla Roncato, Vice President of Identity presso WatchGuard, sottolinea che “nel deep e dark web si stima siano presenti circa 40 miliardi di record contenenti informazioni personali identificabili. Un recente report evidenzia che il rischio legato alle credenziali può arrivare fino all’80% a causa del riutilizzo delle password, con il 96% di questi record che contengono gli indirizzi email dei dipendenti. Il prezzo per queste credenziali nel mercato clandestino è irrisorio rispetto alle richieste di riscatto: bastano $3.000 per ottenere l’accesso all’intera rete aziendale”.
Gli attori sponsorizzati da stati nazionali fanno dello spionaggio cyber una delle proprie attività core. I dati vengono usati per creare deepfake, diffondere disinformazione, compromettere l’identità delle persone, perpetrare truffe e molto altro.
Del resto, il quadro geopolitico attuale è segnato da tensioni internazionali che - come visto per esempio in occasione del conflitto ucraino e in Medio Oriente - si riflettono anche nel cyberspazio, con attacchi mirati alle infrastrutture critiche, operazioni di spionaggio industriale e campagne di disinformazione condotte attraverso strumenti digitali avanzati. La protezione dei dati personali, quindi, non si può più ridurre a un'esigenza legata alla compliance normativa: di fatto è diventata una questione di sicurezza nazionale ed economica.
Inoltre, l’adozione crescente della GenAI da parte degli attaccanti sta aumentando la criticità delle minacce, con malware avanzati che permettono di automatizzare e personalizzare gli attacchi su larga scala. A questo si somma l’aumentata superficie d’attacco dovuta da una parte alla digitalizzazione, che espone tutti i cittadini al rischio cyber, dall’altra alla diffusione del cloud, sempre più centrale nelle strategie IT delle aziende, che complica ulteriormente la protezione dei dati sensibili.
Riportiamo di seguito i contributi di alcuni esperti del settore che hanno sottolineato ciascuno una sfaccettatura differente dell’approccio alla protezione dei dati.
Carla Roncato evidenzia alcuni consigli chiave: “quando le identità degli utenti sono gestite in modo efficace, le organizzazioni possono ridurre la probabilità di attacchi basati sulle credenziali e di furti d’identità. Implementando controlli di accesso ben configurati, come gestori di password, autenticazione multi-fattore, single sign-on web e policy Zero Trust basate sul rischio, le aziende possono ridurre al minimo l’esposizione alle minacce. Inoltre, la segmentazione della rete basata sull’identità consente alle organizzazioni di separare i dati sensibili e controllare l’accesso in base ai ruoli degli utenti”.
Richard Cassidy, Field CISO di Rubrik, si concentra invece sull’AI: “Per tenere il passo con la rapida evoluzione e proliferazione dell'AI, le aziende devono avere una comprensione completa e costante del proprio patrimonio di dati, sapendo dove risiedono i dati sensibili e assicurandosi che abbiano la corretta postura di sicurezza. Devono inoltre dare ai clienti la tranquillità che i loro dati siano al sicuro, indipendentemente da dove si trovino, mentre sfruttano il pieno potenziale dell'AI. Un modo fondamentale per garantirsi la compliance è quello di incorporare la privacy dei dati già a livello di progettazione di ogni operazione di processo che creano. Le aziende dovranno inoltre assicurarsi di collaborare strettamente con tutti i principali stakeholder, compresi i team legali e di compliance. La privacy non è responsabilità solo del team che si occupa di sicurezza, ma di ogni singolo reparto dell'intera azienda”.
Zebra Technologies fornisce una interessante analisi per i settori verticali in cui opera, tra cui logistica, retail e healthcare. Sul fronte della logistica Andre Luecht, Global Strategy Lead, Transport and Logistics, mette l’accento sulla sicurezza delle supply chain e sulla necessità di “misure e politiche di sicurezza che devono proteggere i dati archiviati nei sistemi ERP e CRM centrali, nelle le filiali locali, e quelli gestiti dagli operatori in prima linea impegnati nelle consegne a domicilio e nei locker”.
Sul fronte dell’healthcare Kassaundra McKnight-Young, Healthcare Chief Nursing Informatics Officer and Industry Principal, sottolinea che “È giunto il momento per tutti i leader del settore sanitario di investire in dispositivi mobile sicuri e di livello enterprise in grado di garantire la velocità e la comodità di cui medici e infermieri hanno bisogno per acquisire, accedere e condividere i dati dei pazienti, salvaguardando al contempo i dati dei pazienti grazie a dispositivi sicuri gestiti dai team IT. Il costo di ignorare questo rischio è troppo alto”.
Per il retail interviene infine Matthew Guiste, Global Retail Strategy Director, che ammonisce: “i retailer hanno compiuto passi importanti nella costruzione della fiducia dei clienti, ma esistono margini di miglioramento per rafforzare ulteriormente questa fiducia", che è fondamentale in quanto “Che si tratti di programmi di fedeltà dei consumatori, casse automatiche, pagamenti contactless o consegne a domicilio di generi alimentari, sia i retailer che gli acquirenti riconoscono l'importanza di condividere i dati in modo controllato e sicuro. Questo non solo è alla base di esperienze di acquisto di qualità, ma contribuisce anche a costruire fiducia. Gli acquirenti cercano un’esperienza efficiente, la disponibilità dei loro articoli preferiti sugli scaffali e la comodità di metodi di pagamento e di checkout personalizzati”. È per questo che i retailer devono continuare a investire in strumenti sicuri che garantiscano ai clienti tranquillità e rafforzino la fiducia nel loro marchio.