LO SCENARIO

Il rapporto tra cyber security e protezione dei dati, personali e non: linee guida

L’implementazione di misure di sicurezza adeguate ed efficaci, così come richiesto dai recenti regolamenti europei, è necessaria per costruire un corretto rapporto tra cyber security e protezione dei dati personali e non. Ecco le criticità e alcuni utili suggerimenti

15 Lug 2019
I
Giovanna Ianni

Avvocato, Partner Lexalia - Studio Legale e Tributario

V
Giulia Vacchi

Praticante Avvocato, Lexalia - Studio Legale e Tributario


Nel corso degli ultimi mesi si è assistito ad un avvicendarsi di regolamenti europei in tema di protezione dati: dapprima il Regolamento UE n. 2016/679 in materia di dati personali (l’ormai noto “GDPR”) e, più di recente il Regolamento UE n. 2018/1807 relativo alla libera circolazione dei dati non personali.

La protezione effettiva di tali dati, indipendentemente dalla loro natura, non può che passare dalla previsione prima, e dall’implementazione poi, di misure di sicurezza che risultino adeguate ed efficaci, anche e soprattutto in ambito informatico e di cyber security.

Cyber security e protezione dati: serve conoscenza

Nonostante le crescenti minacce informatiche e la sempre maggiore diffusione di informazioni sugli attacchi più eclatanti sulle pagine della stampa anche non specialistica, la consapevolezza e la conoscenza della cyber sicurezza sono ancora insufficienti: secondo i dati elaborati dal Consiglio d’Europa, il 51% dei cittadini europei dichiara di essere disinformato sulle minacce informatiche ed il 69% delle imprese ha una conoscenza basica dei rischi informatici a cui è esposto.

Eppure, la cosiddetta “Internet delle cose” è già una realtà: entro il 2020 i dispositivi digitali connessi si valutano in decine di miliardi solo in UE, così come la stima dei costi dei cyber attacchi all’economia mondiale in oltre 400 miliardi di euro ogni anno; pare evidente che nessuno (cittadini ed aziende) possa più permettersi il lusso di ignorare le conseguenze derivanti da incidenti di sicurezza alle reti e ai sistemi informativi.

Incidenti, peraltro, che possono estendersi in diversi paesi, anche oltre l’UE, minando la fiducia dei consumatori nei sistemi di pagamento ed in generale nel commercio on line.

A livello europeo, già da diversi anni la riforma della cyber sicurezza è uno dei principali pilastri verso il completamento del mercato unico digitale dell’UE, affinché l’economia e l’industria europea traggano il massimo vantaggio dall’uso di strumenti digitali in modo sicuro, sostenibile ed affidabile.

La strategia del mercato unico digitale e di trasformazione tecnologica è in continuità con i precedenti provvedimenti in tema di abolizione delle tariffe di roaming, le nuove norme sulla protezione dei dati personali, la portabilità transfrontaliera dei contenuti on line, allargandosi a svariati settori industriali e dei servizi.

In merito, non più tardi del 7 giugno scorso, il Consiglio ha adottato conclusioni sul futuro di un’Europa altamente digitalizzata oltre il 2020: “Accrescere la competitività digitale ed economica e la coesione digitale in tutta l’Unione“, fondata su 5 precisi capisaldi:

  1. il sostegno all’innovazione ed alla promozione delle principali tecnologie digitali;
  2. il rispetto dei valori e principi etici nell’intelligenza artificiale;
  3. il rafforzamento delle capacità europee in materia di cyber sicurezza;
  4. il miglioramento delle competenze digitali;
  5. sviluppo della società dei gigabit (incluso il 5G).

Le innovazioni contenute nel Cybersecurity Act

Nell’ambito di questo scenario, un altro provvedimento normativo europeo di forza dirompente è entrato in vigore lo scorso 27 giugno: si tratta del Regolamento UE n. 2019/881 relativo all’ENISA, l’Agenzia dell’Unione europea per la cyber sicurezza e alla certificazione della cyber sicurezza per le tecnologie dell’informazione e della comunicazione (il “Cybersecurity Act”).

Sul solco dei precedenti provvedimenti, lo scopo del documento è la creazione di un mercato unico digitale che sia in grado di rispondere in modo efficace e univoco alle minacce ed agli attacchi informatici, garantendo standard nella protezione dei dati omogenei in tutti gli Stati membri dell’Unione Europea.

Il Regolamento UE n.2019/881 si divide in due sezioni: nella prima parte viene rivisto il ruolo dell’ENISA, che diviene organismo permanente dell’Unione Europea, alla quale sono affidati compiti tra i quali l’assistenza alla Commissione tramite consulenze, pareri ed analisi relative all’ elaborazione e all’aggiornamento delle politiche europee in tema di cyber sicurezza e la promozione della diffusione delle buone pratiche tra gli Stati membri ed i portatori di interessi.

Come riassunto dal Considerando 20, è necessario che l’ENISA “operi come punto di riferimento generando fiducia nel mercato interno grazie alla propria indipendenza, alla qualità delle consulenze e delle informazioni fornite, alla trasparenza delle procedure e dei metodi operativi come pure alla diligenza nell’esecuzione dei suoi compiti.”

La seconda parte del Regolamento UE n. 2019/881 è dedicata all’introduzione di un sistema europeo di certificazione, al fine di ridurre la frammentarietà nel settore della cyber sicurezza, fattore che incide negativamente sulla competitività delle imprese europee.

Ciò che viene previsto dal Cybersecurity Act è un insieme di regole volte all’istituzione di sistemi di certificazione che operino a livello europeo, garantendo un approccio ed una disciplina armonizzata al fine di attestare che i prodotti, servizi e processi tecnologici siano conformi a determinati requisiti di sicurezza.

FORUM PA 6 - 11 LUGLIO
Città resilienti: infrastruttura tecnologica, governance dei dati, valore della comunità
IoT
Smart Mobility

L’iter per la predisposizione di tali sistemi di certificazione prevede che le proposte vengano elaborate dall’ENISA, su richiesta della Commissione, e successivamente adottate da quest’ultima.

A seguito dell’adozione, le aziende europee interessate alla certificazione dei propri prodotti o servizi faranno domanda in tal senso a specifici organismi accreditati, i quali valuteranno tali richieste sulla base dei sistemi adottati dalla Commissione; alternativamente, l’art. 53 del Cybersecurity Act prevede che, in relazione ai soli prodotti e servizi che presentino un basso rischio, un sistema europeo di certificazione possa consentire al produttore o fornitore di beni e servizi di effettuare un’autovalutazione, nella quale dichiari la conformità ed il rispetto dei requisiti previsti nel sistema da parte dei propri prodotti.

L’istituzione di sistemi di certificazione uniformi per l’intera Unione Europea dovrebbe favorire la predisposizione di prodotti e servizi digitali che siano conformi alla politica della security by design, ovverosia che incoraggino i produttori e fornitori ad “attuare misure nelle prime fasi di progettazione e sviluppo per tutelare il più possibile sin dall’inizio la sicurezza di tali prodotti, servizi e processi, in modo che si presuma il verificarsi di attacchi informatici e se ne anticipi e riduca al minimo l’impatto” (Considerando 12, Cybersecurity Act).

Cybersecurity nell’Industria 4.0, criticità e suggerimenti

Nell’attesa che la Commissione approvi tali sistemi di certificazione, quali sono le misure che, nel concreto, le imprese possono ritenere adeguate in tema di cyber sicurezza?

Alcune indicazioni provengono dalla stessa ENISA, che fornisce chiarimenti e linee guida attraverso le proprie pubblicazioni. Ne è un esempio il documento “Industry 4.0 cybersecurity challenges & recommendations nel quale vengono forniti, alle diverse tipologie di soggetti interessati, consigli ed esempi di buona prassi, al fine di promuovere la cyber sicurezza nell’Industria 4.0 e facilitare l’adozione delle innovazioni tecnologiche in un modo che assicuri, allo stesso tempo, la protezione dei dati trattati.

Il punto di partenza risulta essere la necessità di utilizzare l’intelligenza artificiale nel combattere i rischi di attacchi informatici. L’ambito della sicurezza informatica deve essere un settore dinamico, in continua evoluzione, al fine di poter assicurare una protezione sempre aggiornata e adeguata alle minacce presenti nel mondo del web.

In questo contesto, l’intelligenza artificiale è in grado di analizzare i dati raccolti ed esaminati, evidenziando ed individuando autonomamente eventuali anomalie, comportamenti insoliti o ingressi non autorizzati.

Il citato documento ENISA suddivide le problematiche relative all’adozione delle misure di sicurezza, ed i relativi consigli, nelle seguenti categorie: personale, processi e tecnologie.

Misure di sicurezza informatiche connesse al personale

Relativamente al primo oggetto di analisi, viene rilevato come spesso il personale non risulti adeguatamente formato in materia IT, soprattutto tenendo in considerazione il veloce sviluppo tecnologico degli ultimi decenni, cui non si accompagna un altrettanto rapido sviluppo delle competenze.

La soluzione suggerita risiede nell’aumentare la consapevolezza dell’importanza della cybersecurity, investendo in corsi e formazione specifica per i dipendenti addetti alla sicurezza informatica e favorendo lo scambio di informazioni tra tali soggetti ed i dipendenti che non si occupano direttamente dell’ambito in questione, ma ai quali comunque le regole di sicurezza informatica si applicano (ad esempio, nella gestione delle richieste di aggiornamento periodico dei programmi di antivirus, piuttosto che al fine del riconoscimento delle e-mail di phishing che il soggetto potrebbe ricevere).

Un’ulteriore criticità risiede nel fatto che, spesso, i ruoli e le responsabilità in materia di sicurezza informatica non sono ben definiti, a causa del diffuso sentimento che tale ambito non sia particolarmente rilevante.

L’ENISA rileva come, in molte realtà societarie, il focus sia spesso sulle politiche di business piuttosto che sulla cybersecurity, e ciò deriva dalla difficoltà nell’individuare un nesso fra quest’ultima ed un profitto per l’azienda.

Purtroppo, viene riservata un’adeguata importanza alla sicurezza informatica soltanto a seguito di incidenti che causano perdite economiche per la società. Gli investimenti in cyber security non dovrebbero essere effettuati per il mero timore di subire perdite, ma dovrebbero essere visti come un’opportunità di crescita, dal momento che ne deriverebbe una maggior sicurezza ed affidabilità dei propri prodotti e servizi.

Come altresì evidenziato in un diverso documento pubblicato da ENISA nel dicembre 2018, dal titolo “Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity”, il punto critico dal quale deriva il mancato, o parziale, rispetto delle misure di sicurezza informatiche da parte del personale, risiede nel fatto che i dipendenti, non essendo correttamente formati in materia, si trovano a dover utilizzare software e a seguire procedure che risultano per loro difficili e richiedenti sforzi non avvertiti come proporzionati ai benefici che ne derivano.

Per queste ragioni, tali misure non vengono recepite quali fondamentali poiché “employees fear the consequences of not being productive enough more than they fear the consequences of being the cause of a cybersecurity incident”.

Criticità nell’adozione delle misure di sicurezza informatiche

Il secondo ambito relativo al quale ENISA ha indagato punti critici e buone pratiche da adottare, riguarda i processi nell’attuazione delle misure di sicurezza. Le difficoltà sono emerse con riferimento a:

  • la mancanza di chiarezza nell’allocazione delle responsabilità, quando si tratta di procedure relative alla cyber sicurezza. Comprendere dove risiede la responsabilità in caso di incidenti risulta essere un passaggio non immediato, considerato che la maggior parte dei devices sono assemblati da un gran numero di componenti (compresi i software sugli stessi installati), provenienti da diversi produttori, locati in diversi paesi, soggetti a diverse legislazioni. La responsabilità dunque è individuarsi fra le diverse tipologie di soggetti coinvolti, fra cui rientrano gli sviluppatori dei software, i produttori delle componenti e degli hardware, i prestatori di servizi (quali servizi di installazione e manutenzione) e gli utenti finali, solo per nominarne alcuni. Alcuni accorgimenti suggeriti da ENISA riguardano una maggior chiarezza linguistica nella predisposizione dei contratti fra i soggetti elencati, in modo che risulti più semplice individuare le eventuali responsabilità, nonché valutare la possibilità di stipulare specifiche assicurazioni, al fine di limitare i rischi connessi ad incidenti che potrebbero verificarsi;
  • la frammentazione degli standard di sicurezza nell’ambito dell’Industria 4.0, a causa della mancanza di uniformità nelle politiche adottate sia a livello europeo che globale, con la conseguenza che risulta più difficile la condivisione dell’expertise, diminuendo altresì il livello di fiducia. Sarebbe opportuno condurre analisi periodiche degli standard correntemente adottati, con l’obiettivo di individuare ed esaminare i gap esistenti, nonché promuovere il dialogo fra i diversi soggetti coinvolti nell’implementazione delle misure di sicurezza informatica in modo da raccogliere consenso attorno agli standard da adottarsi. Al fine di colmare detti gap saranno necessarie una maggiore uniformità legislativa e standard minimi condivisi, in questa direzione sembra muoversi anche il Cybersecurity Act, nel prevedere l’adozione di sistemi europei di certificazione;
  • l’importanza della tracciabilità dei ruoli e delle azioni svolte nella catena dei fornitori di una medesima azienda. Come sottolineato dall’ENISA, i vari fornitori potrebbero essere soggetti a diverse legislazioni nazionali, inoltre, l’incidente potrebbe avvenire nelle diverse fasi della produzione, il che si tradurrebbe in un “effetto valanga” difficilmente arrestabile e del quale sarà difficile individuare l’origine. Al fine di avere una visione d’insieme chiara dell’intero processo di gestione della catena dei fornitori, viene suggerito di condurre, ad intervalli periodici, valutazione dei rischi connessi ai diversi fornitori, considerati singolarmente e nel loro insieme, nonché fare affidamento a fornitori di beni e servizi che siano compliant con gli standard di sicurezza e che presentino adeguata certificazione.

Interconnessione tra tecnologie, nel rispetto della sicurezza dei dati

Infine, l’ultimo ambito preso in considerazione dall’ENISA è relativo alle tecnologie utilizzate per l’implementazione della cyber sicurezza. Il “tallone d’Achille” risulta essere la difficoltà nell’assicurare interconnessioni fra i diversi dispositivi che siano rispettose della sicurezza dei dati trattati.

Specialmente in caso di devices provenienti da produttori o venditori differenti, garantire che questi siano connessi fra di loro può risultare complesso poiché ciò non richiede solamente che l’operazione risulti fluida per l’utente, ma richiede altresì che le norme di sicurezza vengano rispettate. A tal proposito sarebbe opportuno identificare livelli condivisi di sicurezza, nonché implementare, nello sviluppo dei diversi software e hardware, politiche rispettose dei principi di privacy by design e privacy by default.

Presente e futuro della cyber sicurezza

I concetti di Industrial Internet, di Industria 4.0, di Smart Factory – in uso almeno dal 2010 – rimbalzano ormai in ogni ambito produttivo, delineando nuovi modelli organizzativi digitalizzati a sostegno di attività produttive automatizzate.

Infatti, le politiche di cybersecurity sono e saranno sempre più parte integrante delle strategie e delle policy organizzative e di governance delle società operanti in qualsiasi ambito. Il loro management si troverà ad affrontare sempre nuove sfide derivanti dai crescenti rischi informatici.

Ciò condurrà necessariamente alla ricerca ed all’ideazione di programmi di cybersecurity risk-based (in ottica di “privacy by design”) ed all’utilizzo di soluzioni IoT e di AI volte a contenere il c.d. “time-to-remediation” di situazioni di vulnerabilità critiche.

Sarà infatti necessario adottare soluzioni in grado di agire su più fronti, combinando i diversi sistemi di identificazione delle minacce, risk assessment e gestione delle soluzioni di remediation.

Ai fini del raggiungimento della compliance regolamentare (non solo GDPR), le società (pubbliche e private) dovranno inoltre rivedere le proprie politiche di governance e di organizzazione interna, rivolte non solo al top management ed ai consigli di amministrazione, ma prevedendo altresì la creazione ed il funzionamento di appositi organi o comitati con funzione specifica di gestione dei rischi in ambito sicurezza, facendo cultura, accrescendo il livello di consapevolezza sui rischi informatici nonché implementando misure tecniche sempre più adeguate ed accrescendo il livello di consapevolezza sui rischi informatici.

La rapidità dello sviluppo tecnologico non può, infatti, essere un ostacolo alla creazione e conduzione di processi di progettazione di sicurezza che non considerino la data security fin dalle prime fasi.

IT e OT: non solo dati personali

Nelle nuove fabbriche la parola d’ordine è “OT – Operational Technology”, a definire l’insieme di tutti i “sistemi intelligenti” che gestiscono informazioni dell’impianto. Sul punto, nell’articolo Cyber security e Industria 4.0, l’autore (Enzo Maria Tieghi, socio e docente CLUSIT, Coordinatore Area di Ricerca Internet of Things di CSA Cloud Security Alliance Italy) fornisce ai non addetti ai lavori una chiara spiegazione dell’importanza dei criteri di sicurezza dei dati in funzione dell’ambito in cui ci si muove: “pensare di affrontare la questione della security dei sistemi industriali con lo stesso approccio finora impiegato nelle soluzioni “business” sarebbe un errore. Se in ambito IT i principi base della Cyber security definiscono un dato sicuro quando sono rispettati i criteri RID (Riservatezza, Integrità, Disponibilità), in ambiente OT l’ordine di questi tre fattori va letto al contrario: le caratteristiche irrinunciabili sono infatti “Disponibilità” ed “Integrità”, mentre la “Riservatezza” è quasi un parametro accessorio. Un sistema infatti deve essere innanzitutto “Always On” e dunque, a seconda dell’utilizzo più o meno critico, la disponibilità del sistema deve prevedere anche la Fault Tolerance”.

In altre parole, l’ineliminabile e continua connessione di sistemi e devices alla rete, unita all’interconnessione fra gli stessi, fa sì che i medesimi sistemi vengano considerati “Always On”.

Ne deriva un naturale aumento dei rischi connessi alla raccolta ed al trattamento di dati tramite tali dispositivi, al quale le politiche di governance societaria e di gestione delle informazioni devono adeguarsi, prevedendo procedure in grado di affrontare e saper gestire i pericoli connessi al costante status online dei sistemi.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Le normative europee emergenti si stanno muovendo in quest’ottica: l’industria europea continua ad essere un elemento centrale della produttività e della crescita sovranazionale; nella comunicazione al Parlamento europeo, al Consiglio Europeo, al Comitato Economico e Sociale Europeo ed al Comitato delle Regioni del 22 novembre 2018 (“Il mercato unico in un mondo che cambia. Una risorsa straordinaria che richiede un rinnovato impegno politico”), la Commissione Europea evidenzia come “un mercato interno pienamente funzionante nell’era digitale [sia] un pilastro fondamentale per rafforzare la competitività industriale”… “per affrontare le sfide e cogliere le opportunità emergenti, l’industria abbia bisogno di un ambiente normativo chiaro, prevedibile e non discriminatorio, che favorisca investimenti orientati al futuro”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4