software gestionale

Cyber: Rousseau e l’importanza di un approccio strutturato alla sicurezza informatica

Si è scritto tanto all’indomani dell’attacco alla piattaforma Rousseau del 6 settembre scorso ad opera di “r0gue_0”. L’ennesimo attacco cyber, infatti, analizzato anche alla luce dell’altro “raid” condotto contro il  sito del patronato Cisl, ha rivelato l’inefficacia di adeguate misure di protezione dei dati personali degli utenti del web.  

Eppure il regolamento 2016/679 UE (GDPR) ha avuto un lungo periodo di incubazione e, malgrado ciò, raggiunto la sua piena efficacia dallo scorso 25 maggio sostenuto dalla recente pubblicazione del Decreto legislativo 101 del 04 settembre 2018, che armonizza la normativa nazionale (D.lgs 196/2003) al Regolamento. Ma, ancora una volta, commentiamo la violazione dell’identità degli utenti che operano nello spazio virtuale.

Nel caso della piattaforma Rousseau risulta per di più che il Garante della Privacy, già nel dicembre 2017, aveva rilevato diverse criticità, prescrivendo, tra l’altro, l’adozione di adeguate misure di sicurezza.

Malgrado ciò, r0gue_0,  mostra pubblicamente di avere acquisito i privilegi dell’amministratore del database della piattaforma per poi condividere l’indice delle tabelle che ne costituiscono la struttura, delle quali solo alcuni contenuti sono stati resi pubblici.

La circostanza rievoca che, in occasione dello scorso attacco alla piattaforma ed in tempi non sospetti, il White Hat  Evariste Galois aveva invano cercato di segnalare alcune vulnerabilità, ed apre il dibattito ad un tema delicato ma sempre più attuale su cui il Legislatore potrebbe auspicabilmente ritenere di intervenire. Si tratta del cosidetto hacking back, ovvero della reazione alle azioni criminali perpetrate nel cyberspazio attraverso le medesime tecniche messe in campo dai white hat (hacker buoni) che della denuncia dei bugs di reti e sistemi fanno la loro missione.

Il dibattito è ancora aperto e non mancherà certo di fornire interessanti spunti di riflessione. 

Intanto, la portata del data breach della piattaforma Rousseau e la sua eventuale incidenza, in termini di elevato rischio per i diritti e le libertà delle persone fisiche, potrebbe anche determinare l’obbligo per il titolare del trattamento della notifica agli interessati ai sensi dell’art. 34 del GDPR.  

Nelle more degli accertamenti del Garante, non si può non constatare che, ancora una volta, alla continua evoluzione delle tecniche di attacco si dovrebbe rispondere con la messa in campo di misure di sicurezza adeguate, il cui grado di efficacia deve essere periodicamente e continuamente testato, come chiaramente afferma l’art. 32 del GDPR. 

A ciò andrebbe aggiunta una costante formazione delle persone che trattano dati personali, per la più elevata diffusione del livello di consapevolezza della minaccia cyber con particolare riferimento agli attacchi di social engineering (phishing).

La sicurezza informatica richiede (e rende quanto mai opportuno) un approccio strutturato che metta in campo una strategia chiara e preordinata al management del rischio, opportunamente valutato in relazione al livello di classificazione degli information assets e quindi al loro livello di criticità e sensitività.

Non si può prescindere inoltre dalla corretta valutazione dei potenziali impatti del rischio valutato e dal precipuo scopo di condurre il rischio residuo, opportunamente mitigato, entro un livello che possa ritenersi accettabile o comunque tollerabile.

Attraverso, dunque, la strutturata costruzione di un framework di information security governance e la messa in campo di effettivi strumenti di assessment, monitoraggio e controllo, nonché di incident management e resilienza operativa, si potranno raggiungere apprezzabili livelli di accountability, che si tradurranno, a regime, in maggiore sicurezza e protezione dei dati personali che affluiscono nei database delle applicazioni web.

Davide Maniscalco

Avvocato dal 2005 con formazione giuridico-aziendale, e' prevalentemente radicato nel settore dei carburanti e delle energie. Ha assunto ruoli di alta direzione in Gruppi societari del settore wholesale and retail trading, logistic, trasnport & management partecipando a rilevanti operazioni di finanza straordinaria. Ha maturato una significativa esperienza in diritto commerciale e societario, nonché nella contrattualistica di impresa, occupandosi in azienda della gestione del capitale umano e delle relazioni sindacali. Appassionato del rapporto tra diritto e tecnologie della società dell’informazione ha rivolto particolare attenzione alle materie della information security, informatica giuridica, Cybersecurity e security management. E' certified functional continuity professional DRI -international e crisis manager esperto in business resilience. Professionista della Privacy certificato da Anorc Professioni ed esperto in governance digitale, membro dell'AIIC, BCmanager, ISACA ed AIPSA.

Articoli suggeriti