EDR: perché la tecnologia da sola non è sufficiente

EDR: perché la tecnologia da sola non è sufficiente

Anche le aziende con maggiori risorse da investire in cybersecurity sono vittime di attacchi mirati: tutti ne siamo diventati ancor più consapevoli con le vicende degli ultimi giorni. Investire in soluzioni più avanzate diventa realmente efficace, solo quando queste sono affiancate da un team di esperti in cybersicurezza. Scopriamo perché.

I reparti di sicurezza IT aziendale, ad oggi, possono prevenire gli attacchi da minacce note con piattaforme tradizionali come endpoint protection e firewall. Quando si tratta invece di attacchi avanzati, per rilevarli in modo automatico, i CISO e il loro team si avvalgono spesso di sistemi di Endpoint Detection and Response.

Con il passare del tempo e l’incremento degli attacchi mirati, è diventato chiaro che l’intelligenza artificiale presente nelle soluzioni avanzate, con i suoi algoritmi e meccanismi di rilevamento e analisi automatici, per quanto evoluti possano essere, non è ancora sufficiente a far fronte alle azioni del nemico.

Secondo l’indagine “IT Security Risks” di Kaspersky il 28% delle aziende che ha implementato una soluzione Endpoint Detection and Response è stata in grado di rilevare gli attacchi informatici in poche ore o, in alcuni casi, subito dopo l’incidente. Il rilevamento tempestivo è fondamentale per ridurre il tempo di permanenza dei criminali informatici nei sistemi aziendali e, di conseguenza, mitigare danni e perdite derivanti da un attacco informatico.

Per alcuni intervistati, tuttavia, la soluzione EDR non sembra essere di aiuto per ridurre il “tempo di permanenza” di un attacco. Quali sono le cause?

 

Perché una soluzione EDR non è sempre efficace

Come riportato nell’indagine di Kaspersky, una soluzione EDR:

  • consente maggiori probabilità di scoperta, maggiore visibilità dell’infrastruttura endpoint, un’analisi semplificata delle cause alla base dell’attacco, la threat hunting e la risposta rapida agli incidenti.
  • Allo stesso tempo, automatizza i compiti di routine degli analisti.

Perché allora per alcune aziende l’EDR non risulta efficace nella rilevazione e risposta agli attacchi informatici?

Secondo lo studio State of Endpoint Security Risk del Ponemon Institute, il 61% delle aziende soffre la mancanza di personale competente all’interno dell’azienda che supporti e gestisca uno strumento di protezione avanzato come l’EDR. 

Ottieni il massimo dalla soluzione EDR

Scopri come fare nel nostro webinar

Le competenze mancanti vanno ad influire in particolare su due tipi di attività:

1)      Gestire gli alert: l’analisi dei dati

Una soluzione di Endpoint Detection invia numerose notifiche su possibili attività sospette. Senza un analista di sicurezza in grado di indagare e prendere decisioni in merito alla pericolosità delle azioni, l’azienda rischia di rimanere bloccata dal numero degli alert, che possono rivelarsi falsi positivi, oppure di lasciarsi sfuggire degli avvisi importanti.

2)      Rispondere agli incidenti: mettere in pratica le raccomandazioni

Quando si verifica un incidente di sicurezza, gli esperti che offrono la soluzione EDR inviano un report sull’incidente e una lista di raccomandazioni con le attività di risposta.

Il contenuto di queste raccomandazioni può essere altamente tecnico, non sempre chiaro e praticabile, e così per l’azienda risulta spesso impossibile organizzare e fornire una risposta tempestiva ed efficace all’incidente.

Ecco perché la tecnologia EDR può risultare inefficace. Le risorse presenti in azienda spesso non sono sufficienti o specializzate e in grado di eseguire l’indagine, le attività di forensic analysis e le azioni che richiedono l’intervento umano in maniera coordinata e contestualizzata alla realtà del cliente. Senza le giuste competenze interne per gestire incidenti complessi, non si sarà in grado di ottenere i risultati desiderati.

 

EDR: il fattore umano

Una soluzione EDR sarà efficace ed acquisirà tanto più valore quante sono le competenze in sicurezza IT di chi la gestisce. Senza un valido SOC a sostegno, l’EDR rischia di essere un fallimento.

Oggi per le aziende è sempre più difficile dotarsi di un team di esperti di sicurezza IT interno e garantirgli adeguata formazione. Nello specifico, perché risulta particolarmente problematico reperire professionisti qualificati: secondo Kaspersky il numero di posizioni aperte nel settore della cybersecurity è aumentato del 38,9% rispetto allo scorso anno.

L’alternativa è affidarsi a dei professionisti di sicurezza IT esterni, che affianchino l’azienda nell’attuare la strategia di security. In questo modo l’azienda ottiene i vantaggi di un SOC, senza doverne creare uno.

Matika, in qualità di Managed Service Provider, offre un Security Operation Center che gestisce in outsourcing soluzioni per la sicurezza informatica aziendale.

Scegliendo il SOC Matika per gestire una soluzione EDR:

 

  1. Si disporrà di esperti in grado di analizzare e indagare tattiche, tecniche e procedure utilizzate dagli attaccanti di tutto il mondo (basato sulla Knowledge Base Mitre Att&ck) e automatizzare il processo di threat hunting impostando indicatori di attacco IoA per controllare le attività post-compromissione.
  2. Si sarà in grado di rispondere prontamente agli incidenti di sicurezza in modo centralizzato tramite le funzionalità dell’agente EDR oppure lanciare l’incident response in modo automatico da remoto.

Scopri i vantaggi dell’EDR gestito

Matika per la sicurezza sceglie Kasperky
Attacchi informatici mirati: come proteggere la tua azienda

Attacchi informatici mirati: come proteggere la tua azienda

I cybercriminali adottano sempre più spesso tecniche di attacco avanzate, che i tradizionali antivirus non sono in grado di rilevare. Impariamo a conoscere queste minacce e scopriamo come un approccio sistemico di advanced detection sia la strategia di difesa più efficace.

 

Negli ultimi anni l’incremento di investimenti per la cybersicurezza in azienda, unito a tecnologie di protezione sempre più avanzate, ha costretto i cybercriminali a cercare nuovi metodi di attacco per violare i sistemi di sicurezza interni: tecniche che fossero allo stesso tempo più efficaci e meno dispendiose.

Oggi i tradizionali prodotti di sicurezza IT, come antimalware e firewall, sono in grado di neutralizzare gli attacchi basati su signature: questo tipo di attacco è infatti una minaccia nota, che può essere rilevata e bloccata in modo automatico. Ben consapevoli di ciò, i criminali informatici decidono di sviluppare attacchi mirati in grado di bypassare i sistemi tradizionali.

Questi attacchi vengono spesso condotti senza l’utilizzo di alcun software malevolo, per questo sono conosciuti come attacchi fileless. Utilizzano tecniche chiamate LotL – Living Off The Land: con questo approccio gli attaccanti possono sfruttare qualsiasi strumento già installato e in uso nel sistema della vittima, considerato dunque legittimo e affidabile.

Il vantaggio per i criminali è doppio:

  1. tali azioni sono faticosamente distinguibili da quelle eseguite dal reparto IT aziendale: essendo difficilmente identificabili, possono agire indisturbati a lungo senza timore di essere individuati;
  2. nel caso venissero scoperti, l’approccio LotL rende difficile attribuire l’attacco a uno specifico gruppo, perché le tecniche e gli strumenti utilizzati sono tutti molto simili. 

Scopri come difenderti dagli attacchi mirati

I tuoi endpoint sono protetti in modo adeguato?

Attacchi mirati avanzati: come riconoscerli

Gli attacchi informatici mirati, in cui i cybercriminali violano gli strumenti dei sistemi operativi esistenti, sono sempre più comuni. Secondo la ricerca 2020 State of Endpoint Security del Ponemon Institute, nei prossimi 12 mesi ci si aspetta che gli attacchi fileless rappresentino il 41% degli attacchi informatici.

I criminali informatici preferiscono questa modalità di attacco perché, oltre a essere discreta e quasi invisibile, è più economica. Infatti i sistemi operativi contengono al loro interno tutto quanto necessario per essere attaccati, senza ricorrere a malware.

Tra le tecniche più comuni negli attacchi informatici di questo tipo troviamo:

  • Attacchi che agiscono sulla memoria (Memory only attacks): viene colpita direttamente la memoria del computer e vengono eliminati in modo sicuro gli elementi presenti sul disco rigido (anche per attacchi multilivello), così da ostacolare le attività di digital forensics
  • Attacchi persistenti (Fileless persistence): è possibile nascondere uno script malevolo nel registro che rende persistente la minaccia anche dopo il riavvio
  • Attacchi che sfruttano strumenti legittimi (Dual-use tools): gli strumenti utilizzati abitualmente dal dipartimento IT e dagli esperti di sicurezza informatica sono adoperati con scopi malevoli, per esempio eseguendo attività interattive simili a quelle compiute durante un penetration testing, anche in combinazione con script (PowerShell)
Tipi di attacchi mirati fileless

Le fasi di un attacco mirato

Come agiscono gli hacker per mettere a segno un attacco mirato? Il loro obiettivo è quello di rubare informazioni e lucrare su queste in un secondo momento. Per fare ciò pianificano una strategia a lungo termine, che di solito comprende le seguenti fasi:

  • Raccolta informazioni: Gli attaccanti scelgono un obiettivo preciso, di solito all’interno di un settore specifico, studiandolo nei minimi dettagli
  • Punto di ingresso: Identificano la tecnica migliore per entrare nel sistema tra social engineering, spear phishing, vulnerabilità zero-day, etc.
  • Command-and-control: Si assicurano un canale di comunicazione per eseguire le attività malevole all’interno del sistema
  • Lateral movement e scoperta dei dati: Esplorano la rete cercando le informazioni di maggior valore. Continuano a spostarsi per permanere all’interno del sistema in incognito.
  • Esfiltrazione di dati: Trasferimento delle informazioni di valore in un luogo che gestiscono gli attaccanti.

Se dal lato criminale le attività elencate richiedono l’impegno attivo di professionisti con un elevato livello di esperienza, non può essere diverso per la strategia di difesa in azienda. È necessario il supporto di adeguate tecnologie, ma soprattutto di competenze, per proteggere i sistemi aziendali e rispondere in modo puntuale e coordinato a questo tipo di attacchi. Come fare?

 

Contrastare gli attacchi avanzati: un approccio sistemico alla protezione

Le minacce derivanti da attacchi mirati, richiedono un ulteriore livello di rilevamento basato su una protezione avanzata degli endpoint EDR e threat hunting manuale, eseguito da professionisti.

Non è più sufficiente la sola protezione preventiva degli endpoint, con antivirus o più in generale piattaforme di endpoint protection (EPP). A queste è necessario affiancare soluzioni di endpoint detection and response (EDR), in grado di ampliare la visibilità sul perimetro da proteggere, e quindi rilevare e rispondere proattivamente alle minacce che sono sfuggite ai controlli tradizionali.

 

Approccio sistemico alla protezione avanzata degli endpoint

Adottare un approccio sistemico alla protezione degli endpoint è l’unica soluzione.

  1. I tradizionali strumenti di rilevamento e prevenzione, attivati prima della compromissione, vanno mantenuti
  2. E combinati con un processo interattivo post-compromissione di endpoint detection, mirato alla ricerca proattiva di nuove minacce, non rilevate dai tool automatizzati. La ricerca è basata su indicatori di attacco e compromissione.
  3. Infine, per rispondere in modo rapido alle minacce, occorre adottare efficaci pratiche di incident response coordinate da un team di esperti, assegnando i processi di investigation e triage degli incidenti a un SOC come quello di Matika. 

Vuoi capire come implementare un approccio sistemico alla protezione nella tua azienda?

Scopri la protezione avanzata degli endpoint nel nostro webinar

Matika per la sicurezza sceglie Kasperky
6 consigli per migliorare la sicurezza aziendale delle password

6 consigli per migliorare la sicurezza aziendale delle password

L’aumento del numero di account online rende oggi le nostre password sempre più vulnerabili e prevedibili. La causa? Ancora una volta fattori psicologici che offuscano il nostro pensiero razionale fornendo preziosi assist agli hacker. Per questo, di recente, il NIST ha messo in discussione le tradizionali policy di gestione: da qui abbiamo estratto 6 consigli per migliorare la sicurezza aziendale delle password.

 

Si diceva che non sarebbero più state necessarie, che sarebbero state sostituite da sistemi biometrici, invece le password rimangono al centro della nostra vita digitale, sia in ambito privato che lavorativo.

Secondo la ricerca “La psicologia delle password”, che LastPass ripropone dal 2016 ogni due anni, oggi in media abbiamo 38 account con credenziali a cui accediamo abitualmente.

Che tipo di password scegliamo per proteggere le informazioni dei nostri account finanziari, di posta elettronica, per lo shopping e di lavoro?

I risultati che emergono dalla ricerca sono un campanello d’allarme per i reparti IT: nonostante ci sia consapevolezza dell’importanza della sicurezza delle password, questa non si trasforma in azioni concrete.

 

Perché non scegliamo password sicure?

Dal sondaggio LastPass 2020 risulta evidente come le persone non si proteggano dai rischi per la sicurezza informatica, anche se sanno che dovrebbero:

 

  • Il 91% degli intervistati riconosce che usare un’unica password o una simile sono un rischio, tuttavia, quando crea una password, il 66% usa sempre, o quasi, la stessa password o una sua variante. Questa tendenza è aumentata dal 2018, in cui solo il 59% riutilizzava una password. Significativo il fatto che il 62% degli intervistati riutilizza la stessa password sia per gli account di lavoro e che per quelli personali.
  • Il 77% sostiene di conoscere le migliori pratiche per la sicurezza delle password, ma il 48% dice che, se non è esplicitamente richiesto, non modifica la propria password.
  • L’80% si preoccupa del fatto che le proprie password possano essere compromesse, tuttavia, il 54% si affida solo alla propria memoria per tenerne traccia.

Le persone continuano a preferire password ricordabili, piuttosto che password sicure. Perché?

Secondo la ricerca di Lastpass ci sono due tipologie di approcci. Entrambi ci portano a scegliere password facilmente identificabili dagli hacker:

  • da un lato ci sono le personalità che ritengono di non essere interessanti per i criminali informatici,
  • dall’altro quelle che hanno bisogno di avere tutto sotto controllo.

 

Sottostimare il rischio

Molte persone non si rendono conto di quante informazioni su di loro sono disponibili online. Il 71% degli intervistati ritiene di avere tra 1 e 20 account online. Questa stima però corrisponde solo alla metà del numero medio reale di account che comunemente utilizza una persona.

Inoltre, molti sottostimano il valore delle loro informazioni personali. Il 42% pensa che il proprio account non abbia informazioni di valore per un hacker. Di conseguenza non ha motivo per scegliere una password sicura.

Al contrario, ognuno di noi può essere un bersaglio: i cybercriminali rubano le informazioni dell’intero database di un sito, magari di un e-commerce, e poi usano le credenziali rubate per tentare di accedere a siti più rilevanti, come quelli di online banking. 

Bisogno di controllo

Nel 52% dei casi le persone riutilizzano la stessa password perché hanno bisogno di avere tutto sotto controllo, di opporsi alla casualità, di ricordarsi tutte le password. Il 60% delle persone ha paura di dimenticare le credenziali di accesso: non ha fiducia nei sistemi di gestione password o nella funzionalità di memorizzazione dei browser, però si fida della propria memoria.

Queste persone ritengono di usare una password sicura perché utilizzano un “sistema” personale per creare password. Molto spesso il sistema non è per niente caratteristico, ma ricorrente tra le persone: per esempio usano il nome dell’account più numeri che hanno un significato. Password ricordabili quindi, ma anche facilmente indovinabili.

 

Come aiutare gli utenti a superare queste paure e utilizzare password più sicure?

Come creare password sicure

Le regole per la sicurezza delle password conosciute fino a oggi, sono state recentemente messe in discussione dal NIST. L’agenzia federale statunitense, riferimento a livello mondiale per lo sviluppo di standard tecnologici come il cybersecurity framework, ha dato delle nuove indicazioni che hanno sancito un’inversione di rotta rispetto alle regole in uso finora, andando finalmente incontro alle esigenze degli utenti.

 

Nuove linee guida NIST per la sicurezza delle password

Il nuovo framework si focalizza sulla necessità di semplificare la gestione delle password da parte degli utenti, omettendo requisiti per la sicurezza complessi e ormai sorpassati. Di seguito i principali cambiamenti da adottare nei sistemi informatici aziendali per agevolare i colleghi e rendere più sicura l’azienda.

 

1) Non cambiare periodicamente la password: sostituiscila solo nel caso in cui ci sia un evidente prova di compromissione.

La regola di cambiare password ogni 3 o 6 mesi nasceva 20 anni fa proprio su indicazione del NIST. Questa usanza comporta la creazione di nuove password apportando solo piccole modifiche alla password originale. Il risultato sono password più prevedibili, piuttosto che password sicure. Questo, assieme alla maggiore potenza di calcolo di eventuali software di cracking oggi, rende la regola ormai superata.

 

2) Evita le regole di composizione.

L’aumento forzato della complessità delle password, che richiede la presenza di determinati caratteri (una lettera, un numero, maiuscole, minuscole, un simbolo, …), oltre ad essere un peso inutile per gli utenti, si è rivelato un aiuto agli hacker, che grazie alle regole possono decifrare più facilmente il codice.

 

3) Evita le domande di sicurezza e i suggerimenti per il recupero password.

Le domande sono di solito banali, riguardano animali domestici, indirizzi, squadre del cuore. Con una breve ricerca sui social network gli hacker potrebbero essere in grado di risalire facilmente alle risposte.

 

4) Aggiungi un controllo che blocchi nuove password se già presenti in una blacklist.

Il modo migliore per bloccare l’uso di password vulnerabili nella propria azienda è utilizzare un filtro per la creazione. Bisogna quindi creare una blacklist che contenga:

  • Password comunemente usate
  • Password già compromesse, ottenute da precedenti violazioni (queste liste sono disponibili online)
  • Parole contenute nei dizionari
  • Caratteri ripetuti o in sequenza (es. “aaaaaa”, “1234abcd”)
  • Parole specifiche del contesto aziendale, come il nome di un servizio, un nome utente e i loro derivati

 

5) Imposta un’adeguata lunghezza della password e limita il numero di tentativi di autenticazione sbagliati.

Si dovrebbe dare la possibilità di impostare una password compresa tra una lunghezza minima di 8 caratteri e una lunghezza massima di almeno 64 caratteri. Inoltre, per aumentare la sicurezza, si dovrebbe limitare il numero di tentativi di autenticazione, per evitare che un sistema automatico riesca ad accedere casualmente dopo innumerevoli tentativi.

 

6) Abilita l’uso di caratteri speciali, la funzionalità del copia/incolla e la visibilità della password durante la composizione.

Per rendere più complesso decifrare una password, abilita l’uso di tutti i caratteri ASCII stampabili, come dei caratteri UNICODE (emoji compresi). Queste opzioni, assieme al punto precedente, favoriscono l’utilizzo di programmi di password manager.

 

Aiuta i tuoi dipendenti a usare password più sicure

Vulnerabilità critica server DNS Windows: niente panico, la patch è pronta

Vulnerabilità critica server DNS Windows: niente panico, la patch è pronta

In un alert del CSIRT datato 15/07/2020 si legge che Microsoft, in concomitanza con il Patch Tuesday ed in particolare nel July 2020 Security Updates, ha  corretto la vulnerabilità CVE-2020-1350, a cui è stato assegnato il punteggio di massimo rischio CVSS:10.0.

La vulnerabilità critica, denominata SigRed, riguarda il servizio DNS delle versioni dei server Windows dalla 2003 alla 2019.

In presenza di questa vulnerabilità, un exploit condotto con successo potrebbe potenzialmente consentire l’ottenimento dei diritti di amministratore di dominio sui server interessati e quindi anche il controllo della rete.

Un ulteriore elemento di criticità è rappresentato dal livello di contagiosità. Microsoft ha descritto SigRed come una vulnerabilità di tipo “wormable” con un potere auto-propagante. Questo in pratica significa che un singolo exploit può avviare una reazione a catena che permette agli attacchi di diffondersi da un dispositivo vulnerabile all’altro, senza richiedere alcuna interazione umana.

La notifica a Microsoft è giunta dai ricercatori di Check Point Software Technologies, i quali hanno peraltro evidenziando che la vulnerabilità persisterebbe nel server Windows da 17 anni.

Come si legge dall’alert del CSIRT “sebbene non vi siano evidenze di attacchi di questo tipo, nelle ultime ore sulla piattaforma GitHub sono stati rilasciati strumenti dimostrativi, Proof-of-Concept (PoC), che permettono di sfruttare la vulnerabilità in oggetto”.

Il nostro consiglio è quello di agire immediatamente seguendo le azioni consigliate riportate nell’alert del Computer Security Incident Response Team – Italia.

Il futuro della cybersicurezza nel 2020 secondo Gartner

Il futuro della cybersicurezza nel 2020 secondo Gartner

Quali saranno le novità 2020 nel campo della cybersicurezza? Analizziamo le tendenze più significative in quest’ottica secondo Gartner.

Come ogni anno Gartner, tra le più famose società di consulenza e di ricerca in ambito IT, ha stilato la classifica dei 10 trend tecnologici da tenere in considerazione per l’anno a venire.

Protagoniste indiscusse della ricerca di quest’anno sono l’intelligenza artificiale e l’evoluzione “intelligente” degli ambienti che ci circondano. Pianificando le prossime iniziative di ottimizzazione e trasformazione digitale, CIO e responsabili IT dovranno valutare con attenzione le opportunità derivanti da questi trend strategici. Senza tralasciare le sempre più attuali questioni relative a privacy, etica e sicurezza digitale.

Vogliamo soffermarci in particolare su una tendenza della classifica per l’impatto e le evoluzioni che comporterà: la sicurezza informatica nell’ambito dell’intelligenza artificiale (AI).

Esaminiamo nel dettaglio questo trend tecnologico presentato da Gartner per il 2020.

 

Sicurezza informatica e AI: opportunità e minacce

Dopo aver ottenuto il primo posto in classifica nel 2019, l’Intelligenza Artificiale è punto cardine dei 10 trend tecnologici presentati quest’anno da Gartner. Il diffondersi dell’Internet of Things, la proliferazione di oggetti connessi e sistemi interconnessi ci pone di fronte ad una nuova sfida: come garantire la sicurezza di questi oggetti ed ecosistemi alimentati dall’AI?

Nei prossimi 5 anni l’AI assumerà un ruolo sempre più cruciale in ambito aziendale. Non più solo come tecnologia abilitante a livello operativo, ma soprattutto come tecnologia a supporto delle decisioni, grazie al machine learning (ML).

Allo stesso tempo, però, l’evoluzione di questo complesso ecosistema di oggetti interconnessi porterà ad un aumento massivo dei potenziali punti vulnerabili a un attacco informatico.

Come difendersi al meglio?

  • Innanzitutto sfruttando l’AI per migliorare i sistemi di sicurezza. Attraverso il ML sarà possibile comprendere modelli, scoprire attacchi e automatizzare alcuni aspetti dei processi di cyber sicurezza, potenziando l’azione di analisti ed esperti di sicurezza informatica;
  • In secondo luogo proteggendo i sistemi alimentati dall’AI, mettendo in sicurezza i dati e modelli di apprendimento automatico. Sarà fondamentale proteggersi da rischi ed eventuali danni causati da dati di apprendimento falsati o compromessi.
  • Infine anticipando l’uso disonesto dell’AI da parte di malintenzionati. Si apre un nuovo fronte per la sicurezza informatica, che dovrà tenere conto anche dell’identificazione e difesa da questo tipo di attacchi.

Siamo pronti ad accogliere questa sfida?

 

Vuoi proteggere i tuoi dati dalle sfide dell’AI?

Sicurezza dei dati personali nel contesto normativo Europeo: Direttiva NIS e GDPR

Sicurezza dei dati personali nel contesto normativo Europeo: Direttiva NIS e GDPR

Nel panorama normativo europeo il GDPR non è l’unico provvedimento a sancire misure di sicurezza dei dati personali e obblighi di comunicazione delle violazioni. Di recente introduzione è anche la direttiva NIS, recante misure per un livello elevato di sicurezza delle reti e dei sistemi informativi nell’Unione Europea.

Anche la NIS definisce quale debba essere il corretto processo di trattamento di dati, seppur in modo diverso e soprattutto nei confronti di una platea di soggetti giuridici più circoscritta. Scopriamo insieme somiglianze, differenze, ma soprattutto, le misure di sicurezza che le aziende sono chiamate ad adottare.

 

GDPR: oggetto di tutela e misure di sicurezza

Il regolamento trova applicazione nei casi di trattamento di dati personali, da intendersi, sulla base dell’art. 4, come qualsiasi informazione riguardante una persona fisica identificata o identificabile. Il GDPR prevede che chi effettua il trattamento di dati personali adotti specifiche misure di sicurezza: ai sensi dell’art. 32, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

NIS: oggetto di tutela e misure di sicurezza

Al contrario, la Direttiva NIS non si prefigge il compito di assicurare alcuna tutela dei dati personali, almeno non direttamente, la sua ratio è piuttosto quella di definire obblighi di adozione di specifiche misure di sicurezza volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione Europea. Sono soggetti all’adozione di tali misure  i “fornitori di servizi critici”, ovvero gli operatori di servizi essenziali:

  • fornitura di energia: elettricità, petrolio e gas;
  • trasporto: aereo, ferroviario, marittimo e stradale;
  • settore bancario: istituti di credito;
  • salute: istituti sanitari;
  • infrastrutture proprie dei mercati finanziari: le sedi di negoziazione e le controparti centrali;
  • acqua: fornitura di acqua potabile e la relativa distribuzione;
  • infrastrutture digitali: Internet Exchange point, fornitori di servizi DNS e registri TLD.

L’Italia, tra pubblico e privato, ha individuato 465 aziende critiche che hanno avuto tempo fino a fine 2019 per mettersi al passo. Inoltre, è attualmente in via di definizione l’individuazione di un’ulteriore platea di aziende:

  • I fornitori di servizi digitali:
  • i Mercati online;
  • i Motori di ricerca;
  • i Servizi di cloud.

Su questa seconda categoria di soggetti l’Enisa, l’Agenzia europea per la sicurezza delle reti e dell’informazione, deve presentare le linee guida per semplificare il riconoscimento delle società da assoggettare alla direttiva.

 

Operatori di servizi essenziali

Gli operatori di servizi essenziali, in conformità all’art. 12 del D. lgs., devono adottare

  • adeguate misure tecniche e organizzative
  • proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni.

Tenuto conto delle conoscenze più aggiornate in materia, dette misure devono assicurare un livello di sicurezza delle reti e dei sistemi informativi adeguato al rischio esistente. Gli operatori di servizi essenziali devono altresì adottare misure adeguate per

  • Prevenire
  • Minimizzare

l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi.

 

I fornitori di servizi digitali

Per quanto concerne i fornitori di servizi digitali, sulla base di quanto definito dall’art. 14 del D. lgs, devono identificare ed adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano. Tenuto conto delle conoscenze più aggiornate in materia, tali misure devono assicurare un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente e tengono conto dei seguenti elementi:

  • la sicurezza dei sistemi e degli impianti;
  • trattamento degli incidenti;
  • gestione della continuità operativa;
  • monitoraggio, audit e test;
  • conformità con le norme internazionali.

NIS vs GDPR

L’assetto e le disposizioni contenute nelle due direttive sembra disegnare un quadro dove NIS e GDPR si completano a vicenda nel perseguire i rispettivi obiettivi di tutela dei dati personali.

Il GDPR enfatizza il ruolo del titolare del trattamento assegnandogli l’onore e l’onere di definire quali misure di sicurezza debbano essere adottate. Il NIS sancisce l’adozione di misure più elevate.

In questo specchietto estratto da un rapporto della Corte dei Conti Europea, è possibile individuare differenze e principali punti di contatto:

 

Meno muri e più sistemi di monitoraggio avanzato

Sempre più aziende adottano tecnologie emergenti e lo fanno più rapidamente rispetto alla velocità con cui affrontano i relativi problemi di cyber security. Questo rende sempre più difficile proteggere la propria organizzazione dalle vulnerabilità delle parti terze e salvaguardare i dati personali dei clienti, ma anche dei propri dipendenti. Uno scenario che trova un riscontro nel rapporto dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, secondo cui le imprese italiane hanno mediamente “sufficienti” strutture organizzative, procedure e competenze, ma devono ancora incrementare le iniziative di sicurezza a tutti i livelli manageriali e organizzativi.  

Per questo motivo le istituzioni nazionali ed Europee si stanno muovendo verso l’introduzione di provvedimenti che incentivino le aziende ad adottare sistemi intelligenti di sicurezza del dato.  Gli obblighi di comunicazione che scaturiscono da un ipotetico Data Breach, impongono alle aziende maggiori capacità di controllo nel rilevare e trattare gli incidenti. Ecco quindi che non è più sufficiente investire sulla protezione del perimetro aziendale. Nel contesto odierno costruire muri sempre più alti è inefficace. È invece necessario coordinare e centralizzare tutti questi sforzi in un unico ambiente di monitoraggio e analisi della sicurezza.

La tua azienda è pronta a questa sfida?

Richiedi informazioni sui sistemi intelligenti di sicurezza del dato per la tua azienda