Regolamento EU 2016/679 – Regolamento Generale sulla Protezione dei Dati.
L’obbligo di protezione dei dati “sensibili”
Regolamento EU 2016/679 – Regolamento Generale sulla Protezione dei Dati.
A partire dal 25 maggio 2016, con l’entrata in vigore della nuova normativa europea sulla protezione dei dati personali (Regolamento UE 2016/679 – Regolamento Generale sulla Protezione dei Dati) chi gestisce tali dati, sia come titolare, sia come responsabile del trattamento, è tenuto a rispettare nuovi e più onerosi obblighi di sicurezza.
Il Regolamento introduce significative restrizioni in tema di protezione dei dati personali e fa della sicurezza uno dei principali pilastri. Il Regolamento introduce criteri specifici e ben determinati e prevede per il titolare e per il Data Protection Officer (nuova figura responsabile della protezione dei dati personali) l’obbligo di documentare le scelte operate in tema di sicurezza al fine di dimostrarne l’adeguatezza.
Tra le misure menzionate, il Regolamento introduce obblighi che permettano di valutare anticipatamente i rischi della sicurezza VoIP (art. 35) e misure che riducano i rischi di violazione dei dati personali.
Il titolare del trattamento deve infatti dimostrare, anche documentalmente, che il trattamento che ad esso fa capo avviene (o è avvenuto) nel rispetto dei principi fondamentali della normativa, anche e soprattutto in tema di sicurezza VoIP (art. 6.1.f). Il Regolamento recita infatti:
«I dati personali sono:
[…] f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”), introducendo così il cosiddetto principio di accountability (“responsabilizzazione”).»
Il Regolamento ha inoltre notevolmente aumentato il livello di severità delle sanzioni che potranno arrivare fino ad un massimo di 20 milioni di euro o fino al 4% del fatturato globale (art. 83). Le minacce alla sicurezza sono reali, come è d’altronde dimostrato dal Rapporto Clusit 2016 (Associazione italiana sulla sicurezza informatica, ICT e VoIP in Italia) in cui viene illustrata la panoramica degli eventi di cyber-crime e incidenti informatici più significativi del 2015. In percentuale, rispetto al 2014, crescono Cybercrime (+30%) ed Espionage (+40%).
In aumento, rispetto al 2014, anche gli attacchi verso i settori: Entertainment / News (+ 79%); Research / Edu (+ 50%); Online Services (+ 80% – record di sempre in valori assoluti); Critical Infrastructures (+ 150%).
Stabili o in leggera crescita gli attacchi noti verso gli altri settori. Rappresenta una novità l’introduzione della categoria Ospitalità, in quanto sono stati rilevati circa 40 attacchi informatici contro alberghi e strutture simili (al fine di colpire i dati personali dei clienti).
“La vera questione per i difensori non è più se, ma quando si subirà un attacco informatico e quali saranno gli impatti conseguenti”.
Nel precedente Rapporto CLUSIT 2015, alla luce dei trend individuati scrivevano:
«La vera questione per i difensori (con riferimento ai dati, alle infrastrutture informatiche e a tutti quei servizi, molti dei quali critici, oggi realizzati tramite l’ICT) non è più se, ma quando si subirà un attacco informatico (dalle conseguenze più o meno dannose), e quali saranno gli impatti conseguenti».
Per contribuire alla comprensione dell’evoluzione di tali scenari, anche quest’anno il Rapporto CLUSIT propone una dettagliata panoramica degli incidenti di sicurezza più significativi, avvenuti a livello globale negli ultimi dodici mesi, confrontandoli in una serie storica quinquennale. Tra i settori più colpiti dalle minacce emerge il settore VOIP (Voice Over Internet Protocol). Grazie all’introduzione di nuovi protocolli, sono state scoperte nuove vulnerabilità e quindi nuovi attacchi perpetrati contro aziende e organizzazioni.
I 6 principali rischi associati al VOIP categorizzati da VOIPSA (Voice Over IP Security Alliance)
- Social Threats: versione VOIP del furto d’identità, impersonare un utente e perpetrare azioni malevole con lo scopo di arrecare danni come, ad esempio, furto di informazioni aziendali riservate.
- Eavesdropping: l’attaccante si inserisce in una comunicazione tra due utenti con lo scopo di spiare, registrare e rubare informazioni.
- Interception and Modification: si intercettano comunicazioni lecite tra utenti e le si modificano con lo scopo di arrecare disservizi come l’abbassamento della qualità delle conversazioni e/o l’interruzione completa e continua del servizio.
- Service Abuse: si utilizza l’infrastruttura del rete VOIP della vittima per generare traffico verso numerazioni particolari a tariffazione speciale.
- Intentional Interruption of Service: attacchi di tipo DoS e DDoS.
- Others: attacchi di altro genere.
I dati mostrano che più della metà degli attacchi all’infrastruttura VOIP è stata diretta verso clienti di tipo SMALL. È emerso inoltre che la stragrande maggioranza degli attacchi sono stati di tipo ‘Service Abuse’, attacchi volti a generare traffico illecito verso direttrici a tariffazione speciale.
Prevenzione e analisi dei rischi
Per adeguarsi alla legislazione italiana (Decreto legislativo 30 giugno 2003, n. 196) e alla nuova normativa europea sulla protezione dei dati personali (Regolamento UE 2016/679), è essenziale agire quanto prima per identificare le aree di rischio e adottare un sistema adeguato di prevenzione e gestione di tali rischi. L’implementazione dei sistemi di sicurezza, soprattutto in relazione ai servizi VOIP di cui un’azienda si avvale, consente inoltre di limitare eventuali responsabilità, in termini di risarcimento del danno (art. 15, Codice in materia di protezione dei dati personali, art. 82, Regolamento) di cui l’azienda sarebbe altrimenti chiamata a rispondere. È necessario valutare l’impatto che il Regolamento potrebbe avere e identificare le aree che potrebbero dare maggiori problemi di compliance. L’analisi ha inizio con l’identificazione dei rischi, attraverso due strumenti principali quali il Vulnerability Assessment e il Penetration Test.
Vulnerability Assessment
Un processo volto a valutare l’efficacia dei sistemi e il livello di sicurezza degli stessi. Lo scopo di questa ricerca  è quello di trovare le falle di un sistema specifico, per poterlo migliorare e prevenire eventuali attacchi basati su quelle vulnerabilità.
Penetration Test
Un processo operativo di valutazione della sicurezza di un sistema o di una rete che simula l’attacco di un malintenzionato.
L’analisi comprende più fasi ed ha come obiettivo evidenziare le debolezze della piattaforma fornendo il maggior numero di informazioni sulle vulnerabilità che ne hanno permesso l’accesso non autorizzato.
Alla fine dei test viene redatto un report contenente tutti i problemi di sicurezza rilevati insieme ad una valutazione del loro impatto nel sistema aziendale, e, infine, viene fornita una soluzione tecnica per le vulnerabilità riscontrate.
I due strumenti (VA e PT) di valutazione dello stato di rischio del sistema aziendale si basano su metodologie, OWASP e OSSTMM, standard approvati e riconosciuti a livello internazionale, ed hanno come obiettivo individuare delle problematiche di sicurezza simulando le metodologie di attacco utilizzate da persone fisiche (Hacker) o da software (Malware) ai fini di compromettere la Riservatezza, la Disponibilità e l’Integrità dei dati aziendali.
È altrettanto importante mantenere una visione aggiornata del livello di sicurezza dei propri sistemi informatici con adeguate contromisure che aiutino a prevenire attacchi e intrusioni. La frequenza tipica di un’attività di V.A. (Vulnerability Assessment) e P.T. (Penetration Test) in Italia non è definita e può variare da settore a settore (nei paesi UE varia tra i 3 ed i 6 mesi).
LA NOSTRA SOLUZIONE
Il nostro lavoro è quello di proteggere il Vostro business dagli attacchi informatici attraverso l’utilizzo delle tecniche più innovative e sicure, approvate dai principali enti per la protezione dei dati. I nostri tecnici esperti sono in possesso delle più importanti certificazioni sulla sicurezza delle informazioni e la gestione della stessa a livello mondiale, tra cui CompTIA Security+ (Computing Technology Industry Association), SSCP (Systems Security Certified Practitioner) e CISSP (Certified Information Systems Security Professional).
Le linee guida da noi proposte coprono sia le misure organizzative sia le misure tecniche necessarie per rispondere alle direttive UE (Regolamento UE 2016/679), ed includono soprattutto le reti VoIP e i servizi di Unified Communication, che sono al centro delle aree a rischio specificate nelle direttive comunitarie. Il nostro portfolio comprende prodotti garantiti e certificati da UM Labs, azienda leader nel fornire soluzioni di Servizi di Sicurezza Software per comunicazioni in tempo reale come UC&C, Voip, SIP, e Video. I prodotti di UM Labs rispettano tutti gli standard delle normative in vigore e sono in linea con le direttive di ENISA (European Network and Information Security Agency). Per risolvere il problema della sicurezza VoIP UM-Labs propone il SIP Security Controller. Una soluzione che include sia la sicurezza per l’IP sia per il VoIP. Ciò significa che un singolo prodotto è in grado di soddisfare tutte le esigenze di sicurezza VoIP e può essere configurato indipendentemente dal firewall dati. Il modulo di protezione IP, che è incluso in tutti i prodotti UM-Labs, è conforme alle specifiche richieste per proteggere le applicazioni sensibili. I prodotti UM-Labs sono stati progettati per garantire il massimo livello di sicurezza possibile.
