A chi non è mai venuta l’impressione d’annegare nella marea di sigle, acronimi, modi di dire, in cui ci si abbatte non appena si inizia ad approfondire un tema più nello specifico? Ecco, la sicurezza informatica non è da meno, anzi: data la vastità dell’ambito – dall’ambito personale/casalingo – agli impianti di produzione più avanzati passando attraverso classiche reti d’uffici, la cybersecurity si presta bene a divenire quella che a noi piace scherzosamente chiamare “la tana del bianconiglio”.
Ecco, in mezzo a tutte queste sigle e tecnicismi (sempre necessari ma a volte un po’ rindondanti, ammettiamolo), il rischio è quello di perdere un po’ la rotta e non riuscire più a distinguere a cosa ci stiamo riferendo. Abbiamo deciso di portare questa semplificazione per aiutare i consulenti privacy (non tecnici informatici) a districarsi un po’ di più in quest’ambito così specifico.
Quindi, facciamo un po’ di chiarezza:
- Manufacturing Execution System (MES) indica un sistema informatizzato teso alla gestione e controllo dell’ambito produttivo. Sostanzialmente, dunque, il MES è un sistema di software che viene applicato per gestire il processo produttivo attraverso:
- Collegamenti diretti PLC/Scada;
- Dichiarazioni manuali.
Il sistema può essere inoltre trasmettere i dati al sistema ERP (Enterprise Resource Planning)
- Rete OT: simile al concetto di MES, indica l’insieme di hardware e software che controllano i dispositivi fisici, processi, etc.
- Rete IT: La classica rete informatica degli uffici. Tendenzialmente formata da vari “compartimenti” (VLANs) e regole specifiche su chi può accedere a cosa.
- IoT: con questo termine si indicano dispositivi fisici come lampadine, tapparelle, etc., connesse ad internet. Spesso si pensa che siano diffuse solo in ambito casalingo ma li si trova anche in ambito aziendale.
- Ransomware: specifica tipologia di virus informatici (ne abbiamo parlato estesamente qui). Attualmente la minaccia principale per ogni rete informatica.
Tra tutte le possibili sigle e concetti, abbiamo deciso di limitarci esclusivamente a questi quattro. Questo non solo per non tediarvi troppo ma perché ci consentono di fare un po’ di chiarezza nel panorama della Sicurezza Informatica e, nello specifico, dell’interazione con la normativa privacy.
In particolare, è interessante notare – cfr. Rapporto Clusit 2022 – come spesso il rischio percepito quale rischio maggiore sia quello relativo al blocco produttivo. E questo è autoevidente nelle sue motivazioni. Eppure, per quanto catastrofico, non è questo che un consulente privacy/DPO deve analizzare: questo è il compito del CISO. Un consulente privacy/DPO deve tenere a mente quali sono i dati personali che potrebbero avere un impatto maggioritario per i diritti e le libertà degli interessati. Per questo motivo, dunque, la rete IT è quella con la quale un DPO si confronterà più facilmente: qui vi sono la maggior parte dei dati.
Ora, stabilito di quale “parte” della rete stiamo parlando, andiamo a fare un po’ di chiarezza sugli aspetti più interessanti per la normativa privacy. Ovviamente, il pensiero di ciascuno di noi andrà naturalmente all’articolo 32, GDPR:
“l titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b)la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
[…]”
È bene ricordare che la criptazione e la pseudonimizzazione dei dati personali non sono la panacea a tutti i mali. Esistono protocolli più o meno sicuri di criptazione, dati che non possono essere criptati per improponibilità operativa dell’applicativo che li utilizza e problematiche specifiche che impediscono la pseudonimizzazione dei dati. E questo è più evidente più si lavora con delle PMI.
Ora, l’acronimo CIA (confidenzialità, integrità ed accessibilità) inteso al par. b) va verificato, non può essere dato per scontato perché esistono delle misure di sicurezza in essere e, soprattutto, va verificata e testata la capacità di ripristinare i dati personali.
Ma come si può verificare tecnicamente (e quindi poterlo anche asserire in un Data Protection Impact Assessment) che questo sia effettivamente rispettato? Beh, per la criptazione è piuttosto facile e non desta particolari problematiche. Un discorso a sé stante va invece fatto per quanto riguarda il rispetto CIA e della capacità di ripristino. In questi casi, le uniche vere possibilità argomentative sono l’esecuzione di test specifici. È possibile testare i sistemi di ripristino in maniera piuttosto agevole senza dover ricorrere a tecnici terzi (anzi, sarebbe problematico il contrario), ed è possibile verificare le problematiche di sicurezza che affliggono una rete facendola testare specificatamente da un tecnico qualificato. Queste verifiche si chiamano Vulnerability Assessment e, nel caso in cui queste intendano verificare hands on se e come sia possibile effettuare un attacco informatico, Penetration Tests.
Queste sono attività di sicurezza informatica avanzate e vanno effettuate nelle strutture ove ve ne sia obiettivamente bisogno: eseguire una simulazione d’attacco in una struttura troppo ridotta rischierebbe solo di risultare forzata e non apportare utilità ad una società.
Abbiamo dunque dato una piccola e semplificata spolverata sulle nozioni basilari che legano privacy e cybersecurity: non esitare a contattarci se hai bisogno di qualche chiarimento in più!