mercoledì 4 ottobre 2017

Data Breach: i casi Equifax e Yahoo, il nuovo regolamento Europeo e il DLP.


Il tema della sicurezza e della prevenzione per quanto riguarda la perdita, il cattivo utilizzo e l’accesso non autorizzato ai dati sensibili conservati dalle aziende sta diventando sempre più di grande attualità.

Ad assicurare una maggiore visibilità all’argomento hanno senza dubbio contribuito i recenti casi di furto dei dati che hanno visto come protagoniste due aziende di respiro internazionale come Equifax e Yahoo. 

I casi Equifax e Yahoo
Equifax, azienda statunitense attiva nel settore della valutazione del rischio da oltre 100 anni, ha fatto sapere che altri 2,5 milioni di utenti americani sono stati vittime della violazione del suo sistema di sicurezza annunciata lo scorso 7 settembre (ma già presente e sfruttata a lungo nei mesi precedenti). Pertanto il numero complessivo  dei clienti che si sono visti sottrarre le proprie informazioni confidenziali sale a quota 145 milioni


Situazione simile, ma con numeri assai più preoccupanti, anche quella di Yahoo. Il portale web attualmente di proprietà di Verizon, ha infatti subito una doppia violazione: la prima risalente al 2013 e la seconda all’anno successivo. Questo duplice attacco ha messo a repentaglio i dati di tutti gli utenti di Yahoo, stimati attorno al miliardo di persone.


Quelli di Yahoo sono solo gli ultimi di una serie di incidenti che hanno avuto come conseguenza il furto dei dati sensibili appartenenti ai clienti di aziende di tutto il mondo. L’escalation di violazioni di tale natura ha indotto la Commissione europea ad intervenire attraverso l’adozione del GDPR (General Data Protection Regulation). Si tratta di un Regolamento, pubblicato sulla Gazzetta Ufficiale Europea l 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, il cui termine ultimo per l’adeguamento è previsto per il 25 maggio 2018

Cosa cambierà?
I cambiamenti, sia sul versante delle aziende che su quello dei clienti, saranno sostanziali e, fra le altre, comporteranno:
  • La necessità di considerare quali dati verranno trattati, quali sono i rischi concreti derivanti dall’utilizzo di essi e quali cautele possono essere messe in atto al fine di prevenire e risolvere tali criticità.
  • L’obbligo, per il Titolare del trattamento, di segnalare all’autorità nazionale, in caso di violazione di dati che mettano in pericolo i diritti e le libertà delle persone, quali sono gli individui in pericolo e di comunicare loro la violazione nel più breve tempo possibile (non oltre le 72 ore).
  • La garanzia della protezione dei dati nei prodotti e nei servizi già dalle prime fasi del loro sviluppo.
  • L’introduzione della crittografia, dei sistemi ad impronta digitale e della pseudonomizzazione allo scopo di evitare che i dati critici finiscano nelle mani di soggetti non autorizzati. 
Come difendere le aziende?
In uno scenario in cui il furto di dati può avvenire sotto varie forme e sfruttare i canali più disparati (come email, pagine web, wireless, social media ecc.), la necessità sempre più pressante per le imprese è quella di adottare efficienti meccanismi di sicurezza al fine di prevenire le minacce provenienti tanto dall’esterno quanto dall’interno. Chiaramente attacchi di proporzioni come quelli che hanno colpito Yahoo e Equifax richiedono difese molto avanzate, ma i data breach avvengono anche per una lunga serie di cause e hanno svariate origini. Una fuga di dati può avvenire per violazione del sistema, ma anche perché un esterno o un dipendente copiano e fanno fuoriuscire i dati, perché una comunicazione viene intercettata, perché alcune password vengono individuate da terzi ecc...

In quest’ottica una soluzione di Data Loss Prevention (DLP), implementate entro le difese aziendali complessive, è la soluzione ideale per le aziende e quegli enti che hanno bisogno di mettere in sicurezza i dati riservati e di prevenire il furto dei segreti aziendali scongiurando così la loro perdita. Un corretto protocollo DLP:
  • Categorizza e protegge i dati aziendali in base al loro livello di riservatezza.
  • Impedisce ai dipendenti di condividere o rubare (accidentalmente o intenzionalmente) informazioni aziendali critiche.
  • Consente al dipartimento IT dell’azienda di controllare la condivisione dei dati all’interno della rete aziendale.

Nessun commento:

Posta un commento