Cybersecurity e protezione: è urgente organizzarsi per difendersi!

Non credo ci sia mai stato un periodo con così tanta copertura mediatica sulla Cybersecurity  e sulle minacce e gli attacchi contro i dati e le informazioni e questo è stato causato dal susseguirsi solo negli ultimi mesi di una serie di fatti gravi che devono indurci a riflettere sull’importanza della protezione dei dati.

L’attacco con Wannacry, le molteplici violazioni di dati che hanno messo a rischio la privacy di milioni di utenti nei settori più disparati (finanziario, social, delle comunicazioni, ecc) e da ultimo in ordine temporale, lo scandalo Facebook-Cambridge Analytica.

Quest’ultimo caso in particolare è stato ripreso dalle testate di tutto il mondo e anche il responsabile della Service Line Security di NTT DATA Dolman Aradori – è stato recentemente invitato a Sky TG24 per commentare cause e conseguenze dello scandalo. Nell’intervista è emerso come alla base di quanto accaduto non vi sia un attacco o un incidente tecnico, ma la rottura della fiducia tra azienda e utilizzatori, che hanno visto le informazioni condivise con la piattaforma di cui si fidavano, venire diffuse e utilizzate in modo improprio.

Recentemente sono stata in trasferta negli Stati Uniti con un cliente per portare alle società controllate della sua azienda proprio questo messaggio: il pericolo non è solo negli attacchi di malintenzionati, ma anche nell’uso che può essere fatto di informazioni lecitamente condivise; non si tratta più di proteggere la continuità e disponibilità del servizio, la logica si sposta sulla protezione delle informazioni, che sono il bene più prezioso per le aziende e per gli utenti.

Ma perchè si parla tanto di protezione dei dati e cybersecurity? Gli impatti sono molteplici,  economici basti pensare alle perdite in borsa del titolo di Facebook a seguito di Cambridge Analytica, ma anche ai possibili riscatti richiesti per restituire informazioni sottratte da un ransomware, infine quelli reputazionali. Le aziende devono mettere in conto che quando subiscono un attacco informatico o non proteggono adeguatamente i propri dati e quelli dei propri clienti, vengono percepite come dirette responsabili dell’accaduto e la fiducia dell’utente viene meno.

Esistono poi una serie di conseguenze indirette, basti pensare al nuovo Regolamento europeo per la protezione dei dati – GDPR – che stabilisce sanzioni per chi non fornisce adeguata protezione ai dati personali di cittadini europei arrivano fino a 20 milioni di euro o al 4% del fatturato annuo globale. A questo si aggiungono le possibili class action intentate dagli utenti, dalle associazioni di consumatori o altre vittime e, infine, le modifiche in termini di regolamentazioni che hanno ricadute sul business e impatti economici per la necessità di adeguarvisi.

Cosa vedo cambiare nelle aziende? Innanzitutto le strategie di comunicazione, saper gestire i tempi di risposta e il contenuto di quanto si dichiara verso l’esterno è diventata la principale necessità di un’azienda che si trovi a subire un attacco che impatta i dati soprattutto quelli personali; non bispgna aspettare molto tempo per rendere pubblico il problema, sia perché si rischia di incorrere nel rischio di arrivare dopo che la notizia è già stata data da altri, sia perché le norme sono sempre più stringenti in termini di dichiarazione dell’accaduto in tempi brevi agli organi di vigilanza e, nel caso dei dati personali, all’interessato.

Infine, il contenuto della comunicazione va ponderato attentamente perché mentre in caso di calamità naturali i danneggiati sono le vittime della calamità e quindi non ci sono danni alla reputazione, nel caso di attacchi informatici si viene percepiti come colpevoli di non aver fatto abbastanza per la protezione dei dati e diventa importante lanciare messaggi precisi su come si intende riparare per rimediare ed evitare possibili ulteriori problemi in futuro.

Sono sicura che l’introduzione del GDPR rappresenterà un incremento nel livello di protezione dei dati in circolazione sulle reti europee perché introduce regole molto chiare su informative e consenso al trattamento dei dati e norme rigorose per i casi di violazione offendo una risposta importante alle problematiche legate all’enorme mole di dati che attraversano la rete.

maria sorlini Written by: