Gestire privacy e sicurezza a compartimenti stagni è un errore: ecco perché dovrebbero sempre andare di pari passo.
Il 28 gennaio 2022 si celebra per il 15mo anno il Data Protection Day, una giornata internazionale istituita dal Consiglio d'Europa nel 2006, che ha lo scopo di sensibilizzare e promuovere l’importanza della privacy e della protezione dei dati. Più che trattare delle precauzioni per la messa in sicurezza dei dati, a livello personale o aziendale, riteniamo opportuno sottolineare un concetto che spesso passa in secondo piano: quasi sempre si trattano privacy e security come argomenti separati. In realtà la protezione della privacy non può più esistere senza la security, soprattutto nel contesto sociale odierno.
Nel 2006, quando fu istituita la ricorrenza, la situazione era profondamente differente da quella odierna sia per l’uso che le persone, le aziende e le istituzioni facevano dei dati, sia per le attività criminali che ne mettevano a rischio la privacy. In 15 anni la tecnologia e il digitale hanno permeato man mano la vita di tutti i cittadini, cambiando profondamente il modo di comunicare, di produrre, di offrire e fruire di servizi. Anche prima che la crisi pandemica sconvolgesse il “normale” corso delle cose in tutto il mondo, aziende e cittadini avevano già affidato al digitale una buona parte della propria quotidianità.
Con quella che è stata definita “nuova normalità”, tutto ormai passa per i dati. L'interazione con le istituzioni, i rapporti commerciali, i rapporti interpersonali, la sanità, eccetera, tutto è affidato al digitale. La quantità di dati che muove le attività di ogni genere e tipo è esplosa, e interrompere tale flusso di dati equivale a bloccare servizi critici. Per comprenderlo basti vedere le conseguenze degli attacchi ransomware contro la Regione Lazio, le ATS colpite in più parti d'Italia, sui Comuni italiani, gli ospedali e i servizi sanitari nazionali esteri.
È in questo contesto che il valore del dato si è impennato senza interruzione di continuità, fino a diventare il nuovo petrolio. Oggi ci si può arricchire di più rubando dati che svaligiando una banca, sempre che tali dati siano critici. Ecco perché i criminali motivati finanziariamente hanno aumentato il numero degli attacchi e affinato le tecniche di aggressione affinché le loro azioni diventassero sempre più efficaci.
Quali sono, quindi i dati critici? Quelli sanitari e finanziari delle persone, ma anche quelli da cui dipende un servizio critico, erogato da enti pubblici o privati. Per esempio, i database da cui dipende la campagna vaccinale in tempo di COVID, quelli di un negozio di ecommerce, o di un'azienda che movimenta merci.
Per non parlare delle credenziali, che equivalgono alla chiave fisica per entrare nelle aziende e comprometterne gli asset per bloccare la produttività. C'è un mercato nero per tutto questo, sul dark web, che macina milioni di dollari l'anno, e che dev'essere continuamente alimentato per fare che l'offerta soddisfi la domanda, come in un qualsiasi mercato legale. È questa dinamica a moltiplicare il furto di dati, che nel solo 2021 ha portato all'esposizione di almeno 40.417.167.937 record, contro i 22 miliardi di record esposti nel 2020 – il dato è ampiamente sottostimato.
I governi hanno cercato di bloccare questa emorragia di informazioni con normative che obbligano ad alzare le difese per chi ha la responsabilità della custodia e della gestione dei dati. Il GDPR dei risultati tangibili li ha ottenuti, e soprattutto ha chiarito che la sicurezza e la conformità alla privacy sono legate a doppio filo.
Chi gestisce i dati deve sviluppare sia soluzioni secured by design che privacy by design fin dalla progettazione, e adottare soluzioni calibrate sul rischio. Quest'ultimo, inoltre, dev'essere rivalutato periodicamente in funzione anche dall'adozione di nuovi processi e tecnologie. Un esempio su tutti, il passaggio dal lavoro in ufficio al lavoro ibrido o allo smart working ha determinato un aumento del rischio che richiede una revisione delle procedure di security, per garantire un'adeguata protezione dei dati.
Nel momento in cui i dati possono essere raccolti tramite l'interfaccia web utente, memorizzati in una cache locale, trasmessi a un database e accessibili da un'applicazione cloud, è imperativo rivedere l'intero ciclo di vita dei dati stessi, a partire dal processo DevSecOps di creazione del software, per arrivare a un controllo sicuro per l'accesso ai dati. Questo significa proteggere l'intera superficie di attacco, e le aziende responsabili dei dati dovrebbero farlo.