software gestionale

Cyber: Rousseau e l’importanza di un approccio strutturato alla sicurezza informatica

Si è scritto tanto all’indomani dell’attacco alla piattaforma Rousseau del 6 settembre scorso ad opera di “r0gue_0”. L’ennesimo attacco cyber, infatti, analizzato anche alla luce dell’altro “raid” condotto contro il  sito del patronato Cisl, ha rivelato l’inefficacia di adeguate misure di protezione dei dati personali degli utenti del web.  

Eppure il regolamento 2016/679 UE (GDPR) ha avuto un lungo periodo di incubazione e, malgrado ciò, raggiunto la sua piena efficacia dallo scorso 25 maggio sostenuto dalla recente pubblicazione del Decreto legislativo 101 del 04 settembre 2018, che armonizza la normativa nazionale (D.lgs 196/2003) al Regolamento. Ma, ancora una volta, commentiamo la violazione dell’identità degli utenti che operano nello spazio virtuale.

Nel caso della piattaforma Rousseau risulta per di più che il Garante della Privacy, già nel dicembre 2017, aveva rilevato diverse criticità, prescrivendo, tra l’altro, l’adozione di adeguate misure di sicurezza.

Malgrado ciò, r0gue_0,  mostra pubblicamente di avere acquisito i privilegi dell’amministratore del database della piattaforma per poi condividere l’indice delle tabelle che ne costituiscono la struttura, delle quali solo alcuni contenuti sono stati resi pubblici.

La circostanza rievoca che, in occasione dello scorso attacco alla piattaforma ed in tempi non sospetti, il White Hat  Evariste Galois aveva invano cercato di segnalare alcune vulnerabilità, ed apre il dibattito ad un tema delicato ma sempre più attuale su cui il Legislatore potrebbe auspicabilmente ritenere di intervenire. Si tratta del cosidetto hacking back, ovvero della reazione alle azioni criminali perpetrate nel cyberspazio attraverso le medesime tecniche messe in campo dai white hat (hacker buoni) che della denuncia dei bugs di reti e sistemi fanno la loro missione.

Il dibattito è ancora aperto e non mancherà certo di fornire interessanti spunti di riflessione. 

Intanto, la portata del data breach della piattaforma Rousseau e la sua eventuale incidenza, in termini di elevato rischio per i diritti e le libertà delle persone fisiche, potrebbe anche determinare l’obbligo per il titolare del trattamento della notifica agli interessati ai sensi dell’art. 34 del GDPR.  

Nelle more degli accertamenti del Garante, non si può non constatare che, ancora una volta, alla continua evoluzione delle tecniche di attacco si dovrebbe rispondere con la messa in campo di misure di sicurezza adeguate, il cui grado di efficacia deve essere periodicamente e continuamente testato, come chiaramente afferma l’art. 32 del GDPR. 

A ciò andrebbe aggiunta una costante formazione delle persone che trattano dati personali, per la più elevata diffusione del livello di consapevolezza della minaccia cyber con particolare riferimento agli attacchi di social engineering (phishing).

La sicurezza informatica richiede (e rende quanto mai opportuno) un approccio strutturato che metta in campo una strategia chiara e preordinata al management del rischio, opportunamente valutato in relazione al livello di classificazione degli information assets e quindi al loro livello di criticità e sensitività.

Non si può prescindere inoltre dalla corretta valutazione dei potenziali impatti del rischio valutato e dal precipuo scopo di condurre il rischio residuo, opportunamente mitigato, entro un livello che possa ritenersi accettabile o comunque tollerabile.

Attraverso, dunque, la strutturata costruzione di un framework di information security governance e la messa in campo di effettivi strumenti di assessment, monitoraggio e controllo, nonché di incident management e resilienza operativa, si potranno raggiungere apprezzabili livelli di accountability, che si tradurranno, a regime, in maggiore sicurezza e protezione dei dati personali che affluiscono nei database delle applicazioni web.

Davide Maniscalco

Avvocato Cassazionista, con formazione giuridico-aziendale, ha consolidato la propria esperienza professionale prevalentemente nel settore dei carburanti e delle energie. Ha assunto ruoli di alta direzione in Gruppi societari del settore wholesale and retail trading, logistic, transport & management. Ha maturato una significativa esperienza in diritto commerciale e societario, nonché nella contrattualistica di impresa, occupandosi in azienda della gestione del capitale umano e delle relazioni sindacali. E’ Of Counsel dello Studio Viola di Palermo con cui collabora nell’ambito dell’innovativo BID Department per lo sviluppo del commercio internazionale delle imprese, negli uffici di rappresentanza di Milano e New York. Nel corso dell’esperienza professionale ha approfondito il rapporto tra diritto e tecnologie della società dell’informazione ed ha poi rivolto particolare attenzione alle materie della information security, acquisendo competenze trasversali in informatica giuridica, governance digitale, cybersecurity e business resilience. Certified functional continuity professional (CFCP) DRII e crisis manager. Referente territoriale e Docente della Geeks Academy, scuola di alta formazione specialistica e network della formazione in cybersecurity, digital forensics e data analysis. Professionista della Privacy iscritto negli elenchi dei professionisti dell’Associazione Anorc Professioni*, per la quale è Referente Territoriale. Professionista della Digitalizzazione documentale e della Privacy, con master di primo livello conseguito presso l’Università UniTelma Sapienza di Roma. Membro del Team D&L Net dello Studio Legale Lisi**, a cui aderisce come specialista della Privacy. Membro del consiglio direttivo dell’Associazione Confcommercio Professioni Palermo, che aderisce alla Confcommercio di Palermo. Business Coach e Licensed NLP Master Practitioner iscritto nell’elenco tenuto dall’Associazione Assocoaching I° livello Disaster Manager – Assodima ______________________ ____________________________ * ANORC Professioni è un’associazione professionale, indipendente e senza scopo di lucro, iscritta nell'elenco del MISE, che rappresenta i Professionisti della digitalizzazione e i Professionisti della privacy. **Il D&L Net è un Network professionale che in modo multidisciplinare vuole garantire ai Professionisti che aderiscono una crescita sia in termini di competenze, che di attività, nelle materie del diritto dell’informatica e della protezione dei dati personali. Per tali motivi i Professionisti accettano di riconoscersi in questo Network, di mettere a disposizione con spirito collaborativo e proattivo la propria professionalità e di impegnarsi a sviluppare la rete professionale secondo una serie di diritti e doveri condivisi nel Codice che accettano di osservare.

Articoli suggeriti