GDPR e aziende, ecco perché la privacy è così importante

gdpr
gdpr

Il GDPR ha rimesso le persone al centro, restituendo il pieno controllo ai cittadini Europei sulla privacy dei propri dati personali. Ha anche rafforzato e reso più omogenee le norme e le modalità di trattamento dei dati personali all’interno dell’Unione Europea.

La normativa applica in tutte le ipotesi in cui sia presente un trattamento di dati personali. Ecco perché tutte le aziende sono chiamate ad adeguarsi e rispettare il GDPR indipendentemente dalle loro dimensioni.

GDPR, la privacy in azienda

L’entrata in vigore del GDPR ha reso ancora fondamentale per le aziende salvaguardare la protezione dei dati dei loro clienti in ogni momento. è informandoli puntualmente su come vengono utilizzati e condivisi.

La filosofia cardine del nuovo GDPR è l’accountability (o responsabilizzazione) per tutte le fasi del trattamento; ciò comporta l’adozione di strumenti e soluzioni atte a garantire non solo la protezione dei dati, ma anche il controllo, la verifica e l’analisi delle procedure.

Altri due principi introdotti dal GDPR sono:

  • privacy by design: qualunque attività e processo aziendale vanno concepiti e realizzati pensando a come garantire la riservatezza e la protezione dei dati personali, individuando a monte eventuali rischi privacy;
  • privacy by default: le aziende devono trattare i dati personali solo nella misura necessaria per le finalità previste e per il tempo strettamente necessario a questi fini.

Non esistono standard fissi e unici per qualsiasi impresa, attività o processo aziendale; la tutela dei dati personali va pensata ad hoc, considerando le specificità aziendali.

Gdpr e privacy: Cosa devono fare le aziende

Ogni azienda deve investire in tecnologia e attuazione di comportamenti idonei. Questo per avere la certezza di aver messo in sicurezza i dati, le applicazioni, i sistemi, le reti e gli utenti.

Il primo passo è quello di capire i dati personali in possesso. È necessario diventare consapevole del tipo d’informazione che detiene, raccoglie e processa, di dove conserva questi dati, chi ne ha accesso e come vengono protetti.

In seguito, si deve passare all’analisi dei rischi. Si individuano quali minacce corrono i dati che sono trattati dall’azienda, come si possono proteggere e quali pericoli corre l’interessato in caso di non adeguata protezione.

Per aziende che trattano una grande quantità di dati o per realtà che trattano dati particolari, si deve adottare il Privacy impact assessment o Valutazione Rischio d’impatto. Lo scopo è di stabilire in anticipo quali rischi ci possono essere nel trattamento dei dati nel particolare business specifico e quali misure sono messe in campo per ridurre al minimo i rischi.

Solo a conclusione di quest’analisi si possono determinare le responsabilità in qualità di titolare o responsabile dei dati. Inoltre si avrà un quadro sulla natura dei dati e sulla categoria degli interessati.

Professionisti come Assitech.Net possono indicare, in base al grado di rischio, quali sono le misure di sicurezza necessarie per farvi fronte ed essere in compliance con il GDPR in caso di controlli.

La figura del DPO

Le aziende di grandi dimensioni sono inoltre chiamate a nominare il DPO (Data Protection Officer). Si tratta di un soggetto incaricato di assicurare una gestione corretta dei dati personali nelle imprese. Il DPO è una sorta di garante interno alla struttura del titolare o del responsabile del trattamento. Potrà essere interno (per esempio un dipendente) o esterno (un professionista o una società di consulenza).

In realtà anche una piccola azienda dovrebbe individuare la figura che si occupi della privacy e di tutti gli adeguamenti.

Per assicurare la conformità al GDPR sono quindi imprescindibili alcuni passi. Quello che un’impresa non dovrebbe fare è cercare soluzioni improvvisate senza il supporto di una consulenza preparata. Questa sarà poi in grado di creare un piano d’azione personalizzato.

Rendi compliance la tua azienda, contattaci a info@assitech.net

Attacchi Remote Desktop: +280% nel 2020 in Italia

attacchi-remote-desktop
attacchi-remote-desktop

L’elevato numero di dipendenti in smart working ha favorito la nascita di nuove vulnerabilità che i criminali informatici hanno prontamente sfruttato con un elevato numero di attacchi verso i remote desktop.

Come nota Kaspersky, il volume del traffico aziendale è cresciuto. Gli utenti, per svolgere il proprio lavoro e scambiare dati con i colleghi, si sono affidati a servizi di terze parti o a reti Wi-Fi potenzialmente non sicure.

Attacchi Remote Desktop: accessi al protocollo RDP

Un’altra sfida per i team di sicurezza informatica è stata, indubbiamente, il numero elevato di persone costrette ad utilizzare strumenti per l’accesso da remoto.

Uno dei protocolli più popolari a livello applicativo per l’accesso alle workstation o ai server Windows è il protocollo proprietario di Microsoft, RDP.

Durante il primo lockdown, il numero dei computer configurati in modo non corretto e messi a disposizione dei dipendenti per lavorare da remoto è cresciuto in modo esponenziale. Di conseguenza sono aumentati anche gli attacchi informatici a loro rivolti.

La tipologia di attacchi riscontrati nella maggior parte dei casi era di tipo brute force. Si tratta di attacchi che cercano di individuare le credenziali di accesso ad un account. Provano infatti quante più combinazioni di caratteri possibili fino a trovare quella corretta. Questi attacchi mirano a ricavare lo username e la password per accedere ai protocolli RDP e quindi ad ottenere l’accesso da remoto al computer violato

A partire dall’inizio di marzo di quest’anno, in Italia il numero di rilevamenti Bruteforce.Generic.RDP individuati è salito vertiginosamente. Complessivamente, tra gennaio e novembre 2020 sono stati rilevati quasi 174 miliardi di attacchi ai server Remote Desktop Protocol.

Attenzione alle false applicazioni di messaggistica e videoconferenza

Oltre agli attacchi ai server RDP, i criminali informatici hanno preso di mira anche gli strumenti di comunicazione online sfruttati ampiamente dai dipendenti durante lo smart working.

Kaspersky ha rilevato 1,66 milioni di file dannosi in tutto il mondo che sono stati diffusi attraverso false applicazioni di messaggistica e videoconferenze molto popolari e tipicamente utilizzate per il lavoro. Una volta installati, questi file caricavano principalmente adware, ovvero programmi che inondano i dispositivi delle vittime con pubblicità indesiderata con l’obiettivo di raccogliere i loro dati personali.

È stato rilevato anche un altro gruppo di file camuffati da applicazioni aziendali, i Downloaders, ovvero applicazioni che non possono essere dannose, ma che sono in grado di consentire il download di altre applicazioni, dai Trojan agli strumenti di accesso remoto.

Alcune utili raccomandazioni da Kaspersky

Tenuto conto che lo smart working è destinato a durare ancora a lungo, Kaspersky raccomanda alle aziende di:

  • Abilitare l’accesso alla rete attraverso una VPN aziendale e, se possibile, abilitare l’autenticazione multi-fattore per rimanere protetti dagli attacchi rivolti ai server RDP
  • Utilizzare una soluzione di sicurezza aziendale dotata di una protezione dalle minacce rivolte alla rete
  • Assicurarsi che i propri dipendenti abbiano tutto ciò di cui hanno bisogno per lavorare in sicurezza da casa e sappiano chi contattare in caso di problemi informatici o di cybersecurity
  • Programmare una formazione di base in materia di sicurezza informatica per i propri dipendenti
  • Aggiornare regolarmente dispositivi, software, applicazioni e servizi
  • Assicurarsi di avere accesso alle più recenti informazioni sulla threat intelligence in grado di rafforzare soluzione di protezione aziendale
  • Oltre agli endpoint fisici, è importante proteggere i workload nel cloud e l’infrastruttura desktop virtuale.

Le regole che i dipendenti dovrebbero assolutamente seguire

È importante che anche i dipendenti osservino alcune regole durante il lavoro da remoto per rimanere protetti:

  • Assicurarsi che il proprio router supporti la trasmissione Wi-Fi a più dispositivi contemporaneamente, anche nel momento in cui più persone sono online e il traffico è intenso (come avviene quando si utilizzano strumenti di videoconferenza)
  • Impostare password complesse per il router e la rete Wi-Fi che includano una combinazione di lettere minuscole e maiuscole, numeri e punteggiatura
  • Se possibile, lavorare solo su dispositivi forniti dall’azienda. L’inserimento di informazioni aziendali su dispositivi personali potrebbe portare a potenziali problemi di sicurezza e privacy
  • Non condividere i dettagli del proprio account aziendale con nessun altro, anche se in qualche occasione potrebbe sembrare una buona idea per velocizzare il lavoro
  • Per proteggere i dispositivi personali, utilizzare una soluzione di sicurezza affidabile.

È possibile leggere il report completo a questo link.

Vuoi evitare che la tua azienda sia coinvolta in queste spiacevoli situazioni? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Attacchi hacker con furto dati: perché sta capitando a tante aziende e come difendersi

attacchi-hacker

Anche Campari Group è stata recentemente colpita da un attacco ransomware con la tecnica del doppio riscatto: due terabyte di dati trafugati e la minaccia di pubblicarli se l’azienda non pagherà 15 milioni di dollari.

Con il riscatto i criminali – il gruppo Ragnar Locker – darebbero anche un decryptor e consigli di sicurezza. Lo stesso gruppo, con tecnica simile, ha colpito Capcom la scorsa settimana, con minaccia di pubblicazione o vendita all’asta dei dati, tra cui documenti fiscali, proprietà intellettuali, dati personali di clienti e dipendenti, inclusi quelli di identità e documenti con accordi e contratti aziendali.

L’attacco è stato tempestivamente notificato alle autorità competenti per la protezione dei dati, alla Polizia Postale italiana e all’FBI.

Ad avere comunicato l’avvenuto è Bleeping Computer.

Ecco perché c’è un boom di attacchi hacker e quali regole deve seguire un’azienda per difendersi.

Attacco del doppio riscatto, i danni per le aziende colpite

Riassumendo, un’azienda colpita da attacchi hacker come crittazione, furto e minaccia di pubblicazione subisce molteplici danni.

  • Perdita di dati e indisponibilità temporanea di servizi a causa della crittografia. Prima, quando i criminali si limitavano a crittografare i dati sulle macchine delle vittime, c’erano solo questi danni.
  • La pubblicazione comporta perdita di: proprietà intellettuali (nelle mani di possibili concorrenti), immagine e reputazione (quindi perdita di clienti e valore in borsa); rischi di sanzioni privacy milionarie ai sensi del Gdpr.

Dato che i danni possibili aumentano, stanno crescendo anche i riscatti, che sono a loro volta milionari. Ma come risulta da un rapporto Coveware, non è detto che i criminali cancellino i dati dopo il pagamento e quindi il ricatto può continuare.

Se i dati riguardano inoltre le infrastrutture critiche di un Paese, dall’attacco derivano anche considerazioni di sicurezza nazionale.

Non solo Campari, boom di attacchi hacker simili nel 2020

Nel 2020, con un crescendo da settembre, abbiamo avuto simili attacchi hacker a Enel, a Geox, uno al gruppo Carraro, a Luxottica e ora appunto Campari, tanto per citare solo grandi aziende italiane.

Questo è avvenuto principalmente a causa del covid-19, che ha un grosso ruolo nella crescita degli attacchi di questo tipo, perché lo smart working amplia la superficie di attacco e rende più difficile controllare la sicurezza del perimetro.

Il fenomeno riguarda tutto il mondo, come registrato nello speciale pandemia che il Clusit presentare a novembre con il loro nuovo rapporto. Per l’Italia, Exprivia calcola invece che nel secondo trimestre del 2020 i crimini informatici sono aumentati di oltre il 250% rispetto ai primi tre mesi dell’anno (171 rispetto a 47).

Perché il doppio attacco è di moda

Ma perché adesso i criminali solo soliti non limitarsi più a crittografare i dati ma a rubarli? Ovvio che conviene di più a loro ma allora ci si può chiedere perché non ci hanno pensato prima. Prima non avevano bisogno di sottrarre i dati; era più semplice crittografarli con un malware direttamente sulle macchine senza fare download e storage in cloud degli stessi. Ma poi le aziende hanno imparato a fare back up, per recuperare i dati senza pagare, e così, per dare un nuovo incentivo al pagamento i criminali stanno anche minacciando la pubblicazione.

In generale gli attaccanti stanno facendo evolvere e specializzare le proprie tecniche.

Che fare contro i nuovi ransomware degli attacchi hacker

Se è evidente che questa forma di attacco è potenzialmente più dannosa del tradizionale ransomware, meno evidente è la ricaduta in termini di azioni che le aziende devono porre in essere per prevenire questi attacchi.

Nel caso di ransomware tradizionale, infatti, gli esperti hanno sempre consigliato il ricorso a buone pratiche di backup e sistemi di disaster recovery aggiornati allo stato dell’arte, così da rendere inefficace la violazione ed evitare di scendere a patti con i criminali. Questa modalità di azione è indirizzata a misure di natura reattiva, volte a mitigare un incidente già avvenuto, riducendo drasticamente (ma non eliminando del tutto) i possibili impatti.

In caso di estrazione di dati, il baricentro dell’azione di cybersecurity dell’azienda deve spostarsi di nuovo sul rafforzamento della capacità di prevenzione ed in particolare in due direzioni:

  • capacità di prevenzione delle infezioni da malware, che deve basarsi sempre più su strumenti in grado di identificare i “comportamenti anomali” del software che opera sui nostri sistemi (i.e. lanciare ad esempio un allarma se un software cifra dei dati, o accede a moltissimi documenti, o invia grandi quantità di dati all’esterno dell’organizzazione). Si tratta quindi di strumenti di analisi da installare su endpoint, server e nei nodi critici della rete, basato non più solo sul rinascimento di pattern di infezioni note, ma su tecniche di machine learning;
  • protezione intrinseca dei dati: negli ultimi mesi abbiamo compreso come la semplice password non sia più sufficiente a proteggere l’identità digitale delle persone, e che l’autenticazione a due fattori è, di fatto, la nuova “misura minima”. Allo stesso modo, dobbiamo considerare che i dati, se in chiaro sui sistemi, sono da ritenere vulnerabili. La cifratura deve diventare il modo “normale” di gestire le informazioni digitali, e quando parliamo di cifratura si intende non tanto quella dei dischi, ma la cifratura applicativa, quella che rende il dato inutilizzabile anche in caso di furto dei dati dal database, o dai file dal nostro computer o terminale mobile. Abbiamo anche un motivo in più per farlo: se i dati sono cifrati, e le persone a cui tali dati si riferiscono non corrono pertanto dei rischi dall’attacco informatico, l’organizzazione non è tenuta a segnalare agli interessati l’incidente informatico (in tal caso il data breach ai sensi del GDPR), assicurando quindi una maggiore tutela della reputazione rispetto al mercato di riferimento.

Vuoi evitare che la tua azienda sia coinvolta in queste spiacevoli situazioni? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.