EMBLEMA DI UNA GOVERNANCE TUTTA DA COSTRUIRE, MENTRE IL GDPR BUSSA ALLE PORTE
Nella sicurezza dei dati sparsi nei server di tutto il mondo si pone più di un interrogativo e una sola certezza: anche un computer spento sigillato in una valigia in fondo all’oceano non è sicuro al 100%, ma questo non significa che allora non si possa o debba fare nulla per contrastare il rischio.
TeleTicino lo scorso - 8 febbraio 2018 - ha invitato gli esperti di Security Lab a commentare il recente furto di dati di 800.000 clienti Swisscom. Guarda il video dell’intervista
Il data breach della Swisscom
La Svizzera ha vissuto con il clamoroso furto di dati subito dalla Swisscom un evento che ha diverse implicazioni, soprattutto nel contesto dell’applicazione degli standard più alti di protezione per i consumatori. Già, perché per noi di Security Lab è anche troppo semplice spiegare, come abbiamo fatto al Tg Talk di Tele Ticino, che gli 800 mila dati personali sottratti rappresenteranno una grande affare nel dark web dove prospera la compravendita di informazioni di profilazione per l’invio di spam e truffe. La questione di fondo non è tuttavia nel marketing border line di Internet. Esistono ormai contenitori facilmente raggiungibili e legali con questo genere di dati, e di un numero esorbitante di persone anche a causa di furti lontani negli anni. Il paradosso è che spesso questi contenitori sono nati e cresciuti per proteggersi dalle truffe e dal disturbo commerciale via telefono, ma tutti quei numeri sono a loro volta finiti in database di cui è difficile avere il controllo.
Governance del rischio e GDPR
Il tema vero di cui preferiamo discutere è che le aziende non sono preparate a sufficienza nella governance del rischio, nell’ottica dei tempi sempre più stretti per l’applicazione di norme nazionali e sovranazionali che obbligano coloro che detengono i nostri dati personali e sensibili a proteggerli, a comunicare come li trattano, a riconsegnarli a coloro che ne detengono l’esclusiva proprietà, cioè i cittadini - e qui cade la distinzione dei rapporti con le terze parti, come accaduto a Swisscom: il dato dev’essere tutelato in quanto tale da chiunque lo detenga in nome anche di qualcun altro che se l’è visto consegnato - e a comunicare immediatamente l’eventuale breccia nei loro server.
Cultura della sicurezza
Il livello di trasparenza preteso dalla LPD e dal GDPR, che probabilmente la sostituirà, è assolutamente superiore a quel che le aziende forniscono e che gli utenti sono culturalmente abituati a chiedere. Un “doppio ritardo” che si affronta soltanto lavorando sulla cultura della sicurezza e convincendo le aziende a investire.
Così che se proprio saremo perfettamente profilati dai social e dalle aziende di e-commerce, almeno lo saremo per tracce che avremo lasciato nella consapevolezza apparterranno (il più temporaneamente possibile) solo a quelle aziende. E a nessun altro.
Per maggiori informazioni visita sec-lab.com
