L’esplosione della pandemia da Covid-19 ha imposto alle aziende un improvviso e massiccio ricorso allo smart working: realtà che nel 2019, seppur con un incremento del 20% rispetto al 2018, riguardava soltanto 570.000 persone, mentre al 29 aprile 2020 i lavoratori attivi in modalità “smart” hanno raggiunto la soglia di 1.827.792 (dati del Ministero del Lavoro e delle Politiche Sociali).
Un incremento esponenziale, come quello, direttamente correlato, delle vulnerabilità nei protocolli di privacy e sicurezza aziendale.

L’AUMENTO DEGLI ATTACCHI INFORMATICI

Tuttavia, al 68% di aumento complessivo nell’utilizzo VPN (virtual private network) e al 29% delle organizzazioni che hanno iniziato ad utilizzarlo per la prima volta (fonte Darktrace) è corrisposto un +600% di mail di phishing (un ormai ben noto strumento di cd. “social engineering”, ovvero un complesso di strategie volte ad indurre in errore l’utente, portandolo a fidarsi quando non dovrebbe e mettendo a repentaglio la sicurezza dei dati in suo possesso).

Il rapporto 2020 sicurezza ict di CLUSIT – Associazione italiana per l sicurezza informatica, con riferimento al 2019, riferisce essersi verificati ben 139 attacchi cyber al mese, +7% rispetto al 2018 e +90% rispetto al 2014: il 24% con obiettivi indifferenziati; il 15% diretti contro il settore pubblico, in ambito amministrativo, militare e politico; il 12% a danno del servizio sanitario (dato destinato a crescere il prossimo anno); 46% attacchi ransomware (sequestro e criptazione di dati con inoltro nel dark web); 27% malware; 7% remote access trojan (infiltrazione nella rete aziendale attraverso un account “laterale”, più vulnerabile per acquisire credenziali di account amministratore).

È con questo complesso e preoccupante scenario, dunque, che si trovano oggi a dover fare i conti i Titolari del trattamento dei dati personali, alla luce della forte responsabilizzazione loro imposta dal Reg. UE 679/2016 (GDPR) ed espressa attraverso il principio dell’accountability.

Smart working non significa semplicemente creare un collegamento da remoto alle risorse aziendali, ma adottare un modello di lavoro completamente diverso. Innanzitutto, questo implica un processo di decentralizzazione, che ha importanti conseguenze dal punto di vista del trattamento: i dati, infatti, escono dalle “porte” dell’azienda per essere proiettati su device collocati nelle abitazioni dei collaboratori.

PREVENIRE È MEGLIO CHE CURARE

In base al principio di privacy by design, stabilito dall’art. 25 GDPR, ancora prima di poter gestire il dato (accesso da casa del lavoratore) la nuova modalità di trattamento dovrebbe essere stata progettata, ab initio, per far sì che il rischio potenziale possa essere portato al minimo (analisi dei rischi aggiornata): ovvero, bisogna agire ancor prima che il problema sorga.

Pertanto, se da una parte le necessità imposte dall’emergenza Covid-19 hanno costretto le aziende ad adattarsi improvvisamente, ora è tempo di fare un po’ di ordine.

Per ridurre il rischio che corrono i dati trattati, è opportuno, in particolare, adottare alcune contromisure coscienziose:

  1. Implementazione del registro dei trattamenti, che deve essere aggiornato rispetto a tutte le misure tecniche organizzative adottate per ciascun trattamento (è la fotografia dell’azienda);
  2. Formazione e sensibilizzazione del personale, punto di forza ma anche punto di debolezza più imprevedibile. Per questo è importante predisporre regolamenti interni per la gestione e l’utilizzo device, sia aziendali che personali, delle password, delle mail
  3. Implementazione dell’analisi dei rischi su diritti e libertà delle persone fisiche, ricordando che anche il supporto cartaceo che il lavoratore porta a casa può contenere dati personali.

Inoltre, l’art. 32 GDPR, richiede che tutte le misure di sicurezza, tecniche, organizzative, logistiche, siano allo stato dell’arte.

L’obiettivo principale è quello di scongiurare il data breach, che si sostanzia nell’indisponibilità, distruzione, perdita, modifica o rivelazione (perdita di riservatezza) del dato personale. In tali circostanze, infatti, spesso non è più possibile recuperare i dati, che spesso, anzi, vengono anche sottratti. E questo rischio aumenta non poco anche a livello di supporti fisici, ove lo smart worker, speso sprovvisto di porta blindata o sistema antifurto, (misure solitamente presenti nei locali aziendali) subisca il furto del device che utilizza per lavoro.

Giova ricordare che la perdita del dato aziendale spesso significa anche perdita di know how e blocco della produzione, oltreché esposizione al rischio di sanzioni da parte del Garante per la Protezione dei Dati Personali e ad azioni di risarcimento da parte dell’interessato. Anche per questo l’adeguamento privacy della propria azienda va colto come un’opportunità: è un’occasione per mappare tutti processi e, soprattutto, per mettere in sicurezza gli asset strategici.

QUALI MISURE DI SICUREZZA IMPLEMENTARE?

In primis occorre avere sempre presente dove si trovano i dati (sul pc del lavoratore, in azienda, sul cloud): saperlo è fondamentale per proteggerli e altrettanto vale per le copie se, correttamente, sono previste politiche di backup.

La crittografia viene subito dopo, essendo uno dei pochi suggerimenti diretti del GDPR per la tutela della sicurezza. Infatti, anche se i dati cifrati venissero carpiti o sottratti, grazie alla crittografia sarebbero inutilizzabili in assenza della chiave per decriptarli (meglio se asimmetrica!)

Comunque, ed inoltre, occorre istituire anche processi di cancellazione sicuri dei dati (ai termini previsti): non basta cancellare l’hard disk o metter il computer in cantina, occorre affidarsi a professionisti per lo smaltimento e la distruzione.

Fondamentale è poi il controllo degli accessi: sapere chi fa che cosa e quando permette di mettersi ai ripari anche nel caso in cui venissero poste in essere condotte illecite da parte di dipendenti o collaboratori! L’utilizzo indiscriminato dei privilegi (bisognerebbe sempre sapere cosa si è assegnato ai propri utenti) porta ad aumentare di molto i livelli di rischio. Anche in ossequio al principio di minimizzazione del dato, occorrerebbe dare la possibilità di fare solo quanto è necessario ai propri collaboratori. A ciò è direttamente collegata anche una corretta regolamentazione dell’uso delle credenziali: username e password ogni quanto vengono cambiati, sono sicuri, esiste qualcuno che conosce quelli di tutti?

Nel caso in cui tutti avessero le stesse password non si potrebbe risalire facilmente a chi ha fatto che cosa, per questo è altrettanto importante il log management, ovvero un registro di tutte le operazioni svolte, in modo da poter svolgere verifiche a ritroso.

Per questo vengono in aiuto anche sistemi di intrusion prevent, utili per monitorare costantemente il sistema e intervenire tempestivamente. Magari una o più azioni non vogliono dire niente ma se correlate danno delle spie di allarme: il dipendente può scaricare l’elenco clienti? Sì. Può scaricarlo dal suo pc? Sì. Ma se questa attività venisse fatta sistematicamente di notte o nei weekend, potrebbe essere un segnale che qualcosa non va. Spesso le informazioni prese singolarmente non evidenziano un’attività malevola in corso, ma se correlate possono offrire le opportune spie di alert.

LA RESPONSABILIZZAZIONE DEL DIPENDENTE

In relazione agli smart workers, ancor più rispetto a chi si trova presso i locali dell’azienda, rivestono grandissima importanza le policy, ovvero codici disciplinari in siano riportate indicazioni scritte e chiare: cosa fare quando si utilizzano dati al di fuori dell’azienda, si possono copiare sul pc o su chiavetta personale? Non è per forza sbagliato, ma deve essere regolamentato e non lasciato alla libera interpretazione del lavoratore.

Di seguito i punti chiave per la sicurezza affidati al lavoratore:

  • Sicurezza degli end point (pc, tablet, notebook, smartphone): aggiornare sempre il sistema operativo e l’antivirus (attenzione a quelli gratuiti!), soprattutto in caso di Byod (Bring Your Own Device), ovvero di utilizzo di dispositivi personali per scopi aziendali;
  • Utilizzo di connessioni sicure: le VPN creano un canale sicuro di collegamento tra il dispositivo di casa e la rete aziendale, instaurando un sistema di controllo con duplice inserimento di credenziali (per rendere il tutto più sicuro è buona norma criptare anche il flusso di dati, così da renderlo inintelligibile a chi riuscire a “bucare” il canale);
  • Corretto utilizzo dei device: non devono essere usati per scopi personali o famigliari, ove forniti dall’azienda, (attenzione ai figli minori, alle piattaforme di gioco online, ecc.: gli utenti che prestano poca attenzione alla sicurezza aumento esponenzialmente il rischio!)
  • Controllo sulle reti domestiche (smart tv, telefono, computer): se una minaccia si nasconde nella rete domestica può girare liberamente e penetrare anche in quella aziendale (island hooping).
  • Corretto utilizzo della mail aziendale: uso ben distinto e separato da quello di una casella mail personale.

Riassumendo, al lavoratore spetta vigilare sulla sicurezza degli end-point, sul corretto utilizzo della mail aziendale, sulla protezione dati, sull’utilizzo esclusivo dei device e attraverso connessioni sicure.

GLI ADEMPIMENTI IN CAPO ALL’AZIENDA

Cosa spetta invece all’azienda?

  • Monitoraggio dispositivi: è bene che siano di proprietà aziendale così da implementare misure di sicurezza adeguate direttamente e uniformemente su tutti i device, tra le quali la modalità di accesso da remoto sicura, realizzabile attraverso l’installazione di un concentratore di vpn, cioè un sistema che possa gestire una o più connessioni da remoto in azienda, e computer pacth sempre aggiornati all’ultima versione del sistema operativo (patch management: Windows Xp è ancora tra i sistemi operativi più utilizzati al mondo e per questo viene ancora messo in crisi da attacchi di malware ormai noti e datati);
  • Installazione di sistemi antivirus e antispam su tutta la rete aziendale, da tenere sempre aggiornati (i prodotti professionali hanno aggiornamenti continui nell’ordine dei minuti);
  • Backup offline: è fondamentale, perché i backup online possono essere vittima degli stessi attacchi subiti dalla rete (v. crypto-loker), pertanto, chiedere anche ai fornitori di prodotti service in cloud se vi sia la possibilità di eseguire un backup che venga gestito offline;
  • Stabilire e mettere in pratica adeguate procedure per la gestione degli incidenti: come rispondere è fondamentale, il rischio zero non esiste, eppure poche aziende ne hanno adottate e pochissime le mettono in pratica!

COSA FARE?

Arrivati a questo punto, quali sono i primi passi da fare per raggiungere un risultato efficace?
Senz’altro un’analisi per individuare i rischi e mettere in atto nuove strategie di protezione.
Consulenti privacy offre un’analisi di primo livello su un indirizzo Ip e un set di 5 indirizzi mail, per verificare se gli account sono stati oggetto di un furto di credenziali (dark web), il che permetterebbe all’azienda di poter adottare le dovute contromisure.

Richiedi lo STRESS TEST PRIVACY con focus sullo smart working per verificare il mantenimento della compliance al GDPR della tua azienda e avere contezza dell’attuale livello di sicurezza: evita di farti trovare impreparato!