Per la sicurezza dei dati è un periodo difficile. Tante aziende sono state attaccate di recente, ricordiamo fra queste Kia Motors e la Regione Campania, la stessa Facebook è stata violata.

Di seguito riportiamo la testimonianza di una nostra azienda che ha subito una violazione dei dati.

Una bella mattina una dipendente dell’azienda in questione si accorge che un file sul loro server non si apre più. Come primo tentativo, chiede al collega dell’ufficio adiacente di provare ad aprire quello stesso file: purtroppo, nemmeno il collega riesce. Confrontandosi, si accorgono che nessuno dei due riesce ad aprire nessuno dei file in quella cartella. Vanno da un terzo collega, e nemmeno questo riesce ad aprire i file di quella cartella. Anzi, non riescono ad aprire i file di nessuna cartella sul server.

Ad un’analisi sommaria, la situazione appare subito molto grave: il server e cinque postazioni di lavoro sono state attaccate da una variante di Cryptolocker. Questo virus rende illeggibili i file tramite una cifratura dei dati, che possono essere resi nuovamente leggibili solo conoscendo la chiave. I pirati informatici vendono la chiave, ognuna diversa dalle altre, per importi dai 200€ ai 20.000€ più (20 milioni di dollari nel caso di Kia Motors).

Come era stato possibile causare tutti quei danni? Semplice: una persona aveva aperto un allegato di posta che conteneva un malware personalizzato per l’azienda e questo si era poi propagato via rete, danneggiando diverse macchine, prima che l’antivirus, basato su intelligenza artificiale, riuscisse a debellarlo.

Eventi di questo tipo sono all’ordine del giorno, ma ciò che contraddistingue questo attacco da altri è stata la presenza di un file di istruzioni per ottenere la chiave lasciato dai pirati in ogni cartella cifrata; oltre ad indicare la procedura per effettuare il pagamento in Bitcoin, veniva esplicitata un’ulteriore minaccia: se l’azienda non avesse ceduto al ricatto, i dati personali acquisiti dai pirati in maniera fraudolenta sarebbero stati pubblicati su Internet.

Lo scenario che si è presentato all’azienda viene chiamato in linguaggio tecnico DATA BREACH: si è davanti ad una violazione di dati personali e aziendali.

Sulla base della nuova normativa privacy (Regolamento Ue GDPR 2016/679), qualora un’azienda si trovi nell’impossibilità di poter accedere ai dati, a causa di attacchi provenienti dall’esterno, deve seguire un iter ben regolamentato: il Titolare del Trattamento, il Legale Rappresentante dell’impresa colpita, deve procedere, entro 72 ore dal momento in cui è venuto a conoscenza di ciò che è successo, a notificare la violazione al Garante Privacy.

Inoltre, se dalla violazione può derivare un rischio elevato per i diritti delle persone, il titolare deve inviare una comunicazione a tutti gli interessati, utilizzando i canali ritenuti più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

La mancata notifica al Garante e la mancata comunicazione del data Breach potrebbe “costare” in termini economici una sanzione amministrativa di 10 milioni di euro o del 2% del fatturato mondiale annuo dell’anno precedente.

Come andò a finire con i dati dell’azienda?

L’azienda se la cavò a meraviglia, solo con qualche disagio, grazie ai backup depositati sia su di un NAS sia sul cloud, previsti per conservare copie dei dati depositati sul server e nei client. Non pagare è importante, per non foraggiare ulteriori attività di questo tipo.

Il backup per un’azienda è fondamentale, come un salvavita: può essere utile per evitare di chiudere l’attività. Le statistiche indicano che, fra le aziende che subiscono un’importante perdita di dati, il 60% chiude entro sei mesi, e ben il 72% chiude entro 2 anni (fonte: tdgresearch).

In una piccola/media azienda, a parte i programmi che possono fare parte della gestione caratteristica (programmi di taglio tessuti, di lavorazioni meccaniche, ecc…) i dati che vanno salvati sono riconducibili ai seguenti gruppi:

  • I dati del programma gestionale
  • I file di lavoro dell’eventuale server e/o dei client
  • La posta elettronica

“Salvati” significa di cui si sono fatte copie di sicurezza con la regola del 3-2-1-0: 3 copie su 2 supporti differenti, di cui 1 offline, con 0 errori.

Per questo, è necessario che il backup sia monitorato, altrimenti si rischia di avere grosse e spiacevoli sorprese in fase di recupero dei dati, operazione che comunque andrebbe effettuata in modalità test almeno una volta l’anno, esattamente come si eseguono test periodici sul salvavita dell’impianto elettrico.

È comunque sempre necessario sapere dove sono ubicati i dati aziendali: a livello di dati cartacei, se si hanno documenti che contengono dati particolari (come ad esempio, certificati di idoneità, copia delle cartelle sanitarie ricevute dal Medico del Lavoro, Buste paga ) occorre tenerli separati dalle altre categorie di documenti (fatture, contratti ecc.) e archiviati in armadi o contenitori dotati di chiusure di sicurezza il cui accesso è riservato solo alle persone incaricate al trattamento di tali dati. Il rischio della perdita di riservatezza con un impatto elevato nei confronti dell’interessato, in questo caso il dipendente, è sempre dietro all’angolo se non si adottano le dovute accortezze.

Se parliamo invece di dati digitali, ci riferiamo a tutti i dati contenuti nei pc e nei supporti fisici di backup, occorre fare una distinzione tra cloud storage e cloud backup, ossia tra sistemi di archiviazione file online e sistemi di back up dei dati.

Da qualche anno il cloud storage è diventato uno strumento di archiviazione molto utilizzato, questo grazie a servizi come Dropbox e Sugarsync, garantendo spazi online dove poter salvare i dati e, cosa più apprezzata dagli utenti, dove vi è la possibilità di poter accedere alle proprie informazioni da qualsiasi dispositivo connesso ad internet.

L’archiviazione di file online comporta che, se un server in un data center si dovesse bloccare, non avremmo la certezza di poter ritrovare il nostro file, inoltre i file vengono crittografati solo sul lato server, pertanto non avremmo alcuna garanzia di sicurezza nella fase di trasporto del dato.

Questo metodo di salvataggio dei dati non offre un processo automatico per sincronizzare i dati tra il computer e il servizio scelto di archiviazione: file devono essere inseriti in una ben precisa cartella condivisa per ottenerne la sincronizzazione.

Altra cosa invece è il cloud backup: il backup online o su cloud esegue automaticamente il salvataggio di file, applicazioni, server e li archivia in modo sicuro garantendo la continuità aziendale.

Quest’ultima modalità di salvataggio, al contrario del cloud storage, si basa su un’applicazione client locale che esegue anche più volte al giorno e automaticamente il backup. I file salvati vengono crittografati e trasferiti ai server del fornitore di servizi.

Il consiglio potrebbe essere quello di utilizzare sia l’archiviazione di file online che il backup online,  sfruttando il cloud storage per condividere documenti mentre il backup per copiare l’intero contenuto di una macchina (pc, server, macchine virtuali, applicazioni).

Purtroppo, il periodo di pandemia costringe tante persone a lavorare da remoto (smart working) o in mobilità e, se da un lato ci sono opportunità per tanti di trovare nuovi paradigmi produttivi (ma anche più efficaci), dall’altro il problema della sicurezza si complica, in quanto i dati sono maggiormente distribuiti e spesso in una serie di dispositivi di cui l’azienda spesso non ha il controllo.

 

Tag: