La sicurezza informatica è diventata una priorità assoluta per le aziende e i governi di tutto il mondo ed è facile capire perché: il passaggio al digitale implica una maggiore dipendenza delle aziende da Internet per una vasta gamma di funzioni. Purtroppo l’importanza dei dati risulta evidente dalle segnalazioni quasi quotidiane di violazioni della sicurezza e attacchi di alto profilo. In questo contesto storico nessun individuo, azienda o persino governo sembra essere al sicuro. Solo nell’ultimo anno infatti abbiamo assistito ad attacchi informatici contro organizzazioni di ogni tipo, dai partiti politici statunitensi agli operatori di telefonia mobile britannici.
Per questi motivi la cyber security è diventata un grande business: si stima che tra il 2017 e il 2021 saranno spesi circa 1 trilione di dollari a livello mondiale per prodotti e servizi di cyber security. Il rischio di attacchi informatici è stato inoltre accentuato dal crescente numero di dispositivi collegati a Internet in tutto il mondo: si prevede che entro il 2020 saranno in uso circa 200 miliardi di dispositivi smart connessi.
Che cos’ è la cyber security?
È l’insieme di competenze delle imprese in una serie di settori, tra cui lo sviluppo di software, le apparecchiature di comunicazione, le società di consulenza e le imprese aerospaziali e di difesa. L’obiettivo principale della cyber security è proteggere le reti di computer, i programmi, i dispositivi collegati (PC desktop e smartphone) e i dati in loro possesso da accessi non autorizzati e furti, sia esso un attacco intenzionale o un errore innocente: nel 2016 il 17,7% delle violazioni dei dati è stato causato da azioni o errori involontari, secondo uno studio effettuato da Verizon.
Uno degli aspetti peculiari della sicurezza informatica è che le minacce sono in continua evoluzione: con l’evolversi della tecnologia, i potenziali aggressori sono in grado di sviluppare scappatoie sempre più sofisticate. Il numero di minacce informatiche che colpiscono le aziende ha raggiunto un massimo storico nel 2016, incluso un salto del 752% del numero di attacchi ransomware secondo la ricerca Trend Micro.
Uno dei più noti esempi di attacco informatico su vasta scala è rappresentato dalla vicenda che ha coinvolto l’azienda statunitense Yahoo. L’anno scorso ha infatti rivelato due violazioni: una che ha interessato più di 1 miliardo di conti e la seconda circa 500 milioni di utenti. Queste violazioni hanno portato ad accuse penali negli USA e ha indotto Verizon ad abbandonare la sua offerta pubblica di acquisto per 350 milioni $. Nel Regno Unito, il fornitore di servizi Internet TalkTalk ha dovuto pagare una multa record di 400.000 sterline in seguito a un attacco cibernetico che ha violato i dati di 150.000 clienti. Nella sfera politica, si sostiene che gli hacker russi abbiano preso di mira personalità senior del Partito Democratico come parte degli sforzi per influenzare l’esito delle elezioni presidenziali dell’anno scorso negli Stati Uniti.
Le prospettive di crescita future del settore sembrano inarrestabili, le previsioni indicano un tasso di crescita annuo composto dell’8,3% per il settore della cyber security, più del doppio della crescita complessiva della spesa IT tra il 2016 e il 2020. Secondo Bloomberg, nell’ambito della cyber security, le principali aree di crescita saranno la sicurezza mobile, l’Internet of Things (IoT) e l’analisi e la protezione specializzata delle minacce.
L’Unione Europea ha quindi deciso di muoversi e regolamentare la protezione dei dati dei propri cittadini. Per questo è stato deciso di apportare numerosi cambiamenti al GDPR (General Data Protection Regulation- Regolamento UE 2016/679), cioè il regolamento generale sulla protezione dei dati dei cittadini europei, a partire da aprile 2018. Le modifiche erano richieste da molti anni in quanto la precedente stesura della direttiva risaliva al 1995, in cui il mondo informatico e l’importanza strategica dei dati non era ancora stata analizzata a dovere. Ecco alcune tra le principali novità:
- Ampliamento dell’ambito territoriale: Probabilmente il più grande cambiamento nel panorama normativo della privacy dei dati è dovuto all’estensione della giurisdizione del GDPR, dal 2018 infatti si applicherà a tutte le imprese che trattano i dati personali degli individui residenti nell’Unione Europea, indipendentemente dalla sede della società.
- Sanzioni: Le organizzazioni che violano il GDPR possono essere sanzionate fino al 4% del fatturato globale annuo o fino a 20 milioni di euro. Si tratta della multa massima che può essere inflitta per le violazioni più gravi, ad esempio non avendo il consenso sufficiente del cliente all’elaborazione dei dati o violando il nucleo centrale dei concetti di privacy by design. È importante notare che queste norme si applicano sia ai controllori che ai processori, il che significa che le “nuvole” non saranno esentate dall’ applicazione della GDPR.
- Consenso: Le condizioni per il consenso sono state rafforzate, e le società non potranno più utilizzare termini e condizioni illeggibili di lunga durata e pieni di caratteristiche legali di difficile comprensione, in quanto la richiesta di consenso deve essere presentata in forma intelligibile e facilmente accessibile, con le finalità del trattamento dei dati allegate a tale consenso.
- Notifica di violazione: In base alla GDPR, la notifica delle violazioni diventerà obbligatoria in tutti gli Stati membri in cui è probabile che una violazione dei dati “comporti un rischio per i diritti e le libertà delle persone”. Ciò deve essere fatto entro 72 ore dalla prima volta che si è venuti a conoscenza della violazione.
- Diritto di accesso: È il diritto delle persone interessate di ottenere dal responsabile del trattamento la conferma che i dati personali che le riguardano sono in corso di trattamento, dove e per quale scopo.
- Diritto all’oblio: Conosciuto anche come Cancellazione dei dati, il diritto all’oblio conferisce all’ interessato il diritto di ottenere la cancellazione dei dati personali dal titolare del trattamento, di far cessare l’ulteriore diffusione dei dati e il trattamento dei medesimi da parte di terzi.
- Portabilità dei dati: GDPR introduce la portabilità dei dati – il diritto per l’interessato di ricevere i dati personali che lo riguardano, precedentemente forniti in un “formato comunemente utilizzato e leggibile dalla macchina” e di trasmettere tali dati ad un altro responsabile del trattamento.
- Privacy per Design: La privacy by design richiede l’inclusione della protezione dei dati fin dalle prime fasi di progettazione dei sistemi, piuttosto che un’aggiunta successiva. Tale nozione esiste da anni, ma solo ora sta diventando obbligo giuridico con il GDPR.
- Responsabili della protezione dei dati: Attualmente i responsabili del trattamento sono tenuti a notificare le loro attività di trattamento dei dati alle autorità di protezione dei dati locali, il che, per le multinazionali, può essere un incubo burocratico, dato che la maggior parte degli Stati membri ha obblighi di notifica diversi. In base a GDPR non sarà necessario presentare notifiche/registrazioni a ciascuna autorità per la protezione dei dati delle attività di elaborazione dati, né sarà necessario notificare/ottenere l’approvazione per i trasferimenti basati sulle clausole contrattuali tipo (MCC). Vi saranno invece requisiti interni in materia di tenuta dei registri e sarà obbligatoria solo per i responsabili del trattamento e gli incaricati del trattamento le cui attività principali richiedono un controllo regolare e sistematico degli interessati su vasta scala o di categorie particolari di dati o dati relativi a condanne penali e reati.
ETF Securities, Cyber security: investing in the biggest security story of our time, May 2017