Quando oggi si parla di privacy e dati personali, il grande pubblico digitale ha una consapevolezza più o meno marcata del fatto che si tratta del cosiddetto “oro del terzo millennio”.
In che modo è possibile arrivare a una tale affermazione? Ce lo spiega l’ottimo documentario “The Social Dilemma” di Jeff Orlowski. In estrema sintesi, i dati personali che noi spontaneamente immettiamo per poter accedere a un servizio possono essere utilizzati per una accurata (e tracciata) profilazione commerciale generando un enorme giro d’affari in termini di pubblicità. Un’ottima sintesi narrativa è contenuta nel libro “The Game” di Alessandro Baricco che, in uno dei suoi passaggi più noti recita: “Quando è gratis, quello che stanno vendendo sei tu”.
È in questo contesto che interviene il GDPR entrato in vigore nel 2018.
Legislazione sui dati personali: arriva il GDPR
Questo regolamento cerca di mettere ordine nel “far west” della privacy secondo alcuni semplici principi:
- Trattamento lecito
- Minimizzazione del trattamento (raccogliere il minor numero di dati possibile)
- Minimizzazione del tempo di conservazione (I dati vanno trattenuti per il minor tempo possibile. In caso si dovessero trattenere per più tempo, vanno anonimizzati)
- Trasparenza tramite informativa privacy
- Sicurezza della conservazione dei dati
È proprio su quest’ultimo punto che oggi ci soffermeremo per esaminare una soluzione semplice ed efficace contro il data breach: Lucy Security.
Data Breach: cause e conseguenze
Per Data Breach intendiamo una situazione definita “patologica” dal GDPR che consiste nella perdita verso l’esterno di dati personali.
Un paio di esempi. Un data breach può essere provocato dall’attività criminale di un hacker che “buca” un database ma anche da un medico distratto che invia un certificato di malattia a un indirizzo errato. Certamente esistono diverse entità del fenomeno.
Quello che però sembra essere certo è che la sicurezza dipende in gran parte dal comportamento e dalle scelte degli esseri umani.
È facile per un malintenzionato effettuare una campagna massiva di mail phishing per rubare dati personali e codici bancari ma è altrettanto difficile per l’utente medio rendersi conto del pericolo.
La gravità di tutto ciò può essere senza dubbio amplificata dal contesto in cui l’errore umano viene commesso. Ciò ci riporta alla mente casi eclatanti di cronaca che ci hanno raccontato di data breach mastodontici come quelli che hanno coinvolto Regione Lazio, Easy Jet e altri. In particolare il primo caso citato ci riguarda molto visto il contesto in cui si sono svolti i fatti. Nella fattispecie, a causa di un malware che ha colpito il computer di un dipendente in smart working è stata temporaneamente bloccata la piattaforma organizzativa della campagna vaccinale anticovid e sono andati persi anni di documenti regionali indispensabili per garantire l’operatività dell’ente. E pensare che tutto potrebbe (non è stata comunicata la dinamica specifica) essere partito da un distratto click su una mail di phishing.
L’intervento del GDPR
Viene da sé che oggi il titolare del trattamento (figura indicata dal gdpr come colui che, fra le altre cose, deve garantire la sicurezza della conservazione dei dati) debba preoccuparsi “a monte” di privacy e sicurezza.
Il GDPR impone esplicitamente l’efficacia delle soluzioni adottate dal titolare dei dati. L’efficacia va dimostrata ovviamente in sede di controllo.
Come gestire tali pericoli agendo sul comportamento degli utenti?
La risposta di Lucy security è semplice: formazione. Ma non parliamo di una semplice formazione in cui il dipendente può sfogliare svogliatamente e passivamente delle slides. Lucy security è una vera e propria “prova sul campo” delle abilità effettive.
Attraverso un servizio di licensing molto simile a quello che abitualmente vediamo per l’endpoint protection, Lucy permette al titolare del trattamento (o a chi per lui) di ideare delle campagne di penetration molto credibili tramite dei semplici template che imposteranno con facilità, ad esempio, una mail di phishing fittizia, simulando perfino l’invio da fonti accreditate (amazon, yahoo, ecc.)
Il dipendente sarà così messo di fronte ad una situazione critica alla quale dovrà in qualche modo rispondere.
Lucy security è in grado di raccogliere tutti i risultati finali della campagna e di raggrupparli anche per reparto mettendo quindi in evidenza eventuali criticità settorializzate.
Dopo aver messo al corrente della situazione il titolare del trattamento, Lucy suggerisce una serie di contenuti per provvedere alla formazione on line del personale in modo da prevenire comportamenti errati in caso di attacco reale.
Successivamente si potrà procedere a nuove campagne di attacco simulato variando i criteri e la forma per poi procedere con lo stesso iter di accesso alla formazione.
La risposta di Lucy Security
Lucy Security di per sé risponde alle più stringenti normative sulla privacy e risulta un servizio dall’installazione estremamente facile. In pochi minuti può essere avviato localmente su intranet, su cloud SaaS tramite le piattaforme più comuni (Unix, Windows) o su server Lucy dedicato. Il team di lavoro è composto da ex hacker etici che aggiornano continuamente contenuti formativi e metodi di attacco andando oltre il semplice phishing.
Fra le tante simulazioni di attacco sono comprese:
- Smishing (phishing tramite sms)
- Attacco con ingresso dati
- Attacco con link
- Reindirizzamento url
- Attacchi basati su file
- Attacchi con simulazione ransomware
- Clonazione Sito
- Attacchi da dispositivi portatili
- Attacchi Double Barrel
- Simulazione spear phishing
- Attacchi basati su Java
Il licensing è ben strutturato: si parte dalla versione standard al costo attuale inferiore a 1 euro per postazione per arrivare alla versione ultra con numero illimitato di accessi e nessun limite sulle funzionalità disponibili. Lucy batte la concorrenza per completezza di soluzione e flessibilità di utilizzo.
Insomma, Lucy security è una soluzione completa per attenuare considerevolmente il data breach causato da errore umano. Fornisce strumenti di controllo accurati e assimila in sé il principio enunciato dal GDPR della privacy “by design” ovvero “a monte” delle possibili contingenze.
Allnet-Italia è oggi distributore ufficiale della tecnologia Lucy Security. Vi invitiamo a consultare il nostro sito e a contattarci per scoprire tutti i vantaggi riscontrabili nell’adottare una soluzione di sicurezza di tale livello.
Potrebbe interessarti…
Nuova Partnership: Allnet.Italia e Lucy Security per proteggere l’organizzazione della tua azienda
Siamo felici, come Allnet.Italia, di annunciare la distribuzione di Lucy Security. Il cui core è tenere il personale vigile contro minacce informatiche con attacchi simulati e piattaforma di e-learning con centinaia di video pre-configurati, corsi e quiz pronti all’uso.
ISO27001 e protezione dei dati: qual è l’influenza del fattore umano?
L’errore umano è tra le prime cause di incidenti nell’ambito della protezione dei dati: la certificazione ISO27001 ne è la testimonianza
Migliora la tua sicurezza informatica: le due modalità di hackeraggio più diffuse e come prevenirle
Le modalità di hackeraggio si possono dividere in due macrocategorie di “inganno” ognuna delle quali prevede diverse modalità di prevenzione per poterle arginare.