Un anno con il DPO, le 7 lezioni che abbiamo imparato (più un bonus)

DPO in pillole: privacy e cybersecurity/ Finisce il 2023, tempo di bilanci: dall’impatto sempre più intenso dei cyber-attacchi al diffondersi degli algoritmi di intelligenza artificiale come strumento di difesa

18 Dicembre 2023
Scarica PDF Stampa
Modifica zoom
100%
di LUISA DI GIACOMO*

Nuovamente dicembre, siamo al termine di questa rubrica ed è tempo di bilanci. Abbiamo affrontato molti temi legati alla sicurezza informatica della rete per gli Enti locali, con consigli pratici e piccoli “trucchi” per una gestione consapevole dei dati che transitano nella rete del nostro Comune, abbiamo parlato di privacy e gestione dei dati, abbiamo affrontato alcune dei moltissimi attacchi cyber che si sono verificati nel corso dell’anno e abbiamo introdotto un nuovo elemento, quello dell’intelligenza artificiale, di cui tanto si parla, come strumento per migliorare e incrementare la nostra sicurezza informatica. Riflettendo sugli eventi dell’anno che sta per concludere non possiamo non notare che tra tutti questi argomenti due sono stati quelli che l’hanno fatta da padroni: l’escalation sempre più di impatto dei cyber-attacchi e il diffondersi degli algoritmi di intelligenza artificiale come strumento di difesa.
Dalla scia degli incidenti di sicurezza, che in parte abbiamo analizzato nella rubrica, alcuni di lieve entità, altri di impatto dirompente, sono emerse una serie di lezioni, che possiamo imparare e fissarci alcuni buoni propositi per l’anno che verrà. Tra queste, vedremo che l’intelligenza artificiale svolgerà un ruolo sempre più determinante nel raggiungimento dell’obiettivo imperativo di attuare misure di sicurezza informatica sempre più proattive ed efficaci.

I pericoli degli attacchi ransomware

Una delle lezioni più significative che abbiamo imparato nel 2023 ruota attorno ai pericoli degli attacchi ransomware, i malware che “entrano” nel nostro sistema, criptano i dati e poi chiedono il riscatto per cedere la chiave di decrittazione e, spesso, procedono con l’esfiltrazione dei dati nel web. Possiamo dire che la quasi totalità degli attacchi avvenuti durante quest’anno (in territorio italiano, ma non solo) è riconducibile a questo tipo di malware, che hanno portato conseguenze assai negative, paralizzando aziende, comuni e persino infrastrutture critiche. In molti dei casi, i criminali informatici hanno utilizzato tattiche di “doppia estorsione”, esfiltrando i dati sensibili prima di crittografare i sistemi e quindi chiedendo il pagamento di un riscatto per impedire il rilascio pubblico dei dati rubati.

Lezione imparata. L’importanza di sistemi di backup robusti, regolari dei dati e piani completi di risposta agli incidenti è ormai diventata talmente chiara, che si teme di scadere nel già detto e ridetto. Ma, si sa, repetita iuvant. Le organizzazioni hanno imparato che investire nella sicurezza informatica non riguarda solo la prevenzione, ma anche l’adozione di strategie resilienti per riprendersi rapidamente da potenziali violazioni. Tutti gli enti dovrebbero adottare un approccio alla sicurezza a più livelli, inclusi backup regolari, una solida protezione degli endpoint, formazione dei dipendenti e piani di risposta agli incidenti per mitigare i rischi associati agli attacchi ransomware. Inoltre, è fondamentale aggiornarsi e rimanere informati sulle tendenze emergenti del ransomware e aggiornare in modo

Vulnerabilità della catena di approvvigionamento

Se nessun uomo è un’isola, a maggior ragione nessun sistema aziendale può esserlo. La natura interconnessa dei moderni ecosistemi aziendali ha esposto tutti a minacce nuove e complesse. Gli attacchi alla sicurezza informatica che prendono di mira le catene di approvvigionamento hanno acquisito importanza nel 2023, sottolineando la necessità di un approccio completo per proteggere l’intera rete. Prendendo di mira le vulnerabilità nei componenti software o hardware di terze parti, gli aggressori si sono infiltrati e hanno compromesso le reti di numerose organizzazioni che si affidano a tali prodotti. Questa tendenza ha sottolineato l’importanza di esaminare la sicurezza delle catene di approvvigionamento del software e di stabilire procedure chiare per il controllo dei fornitori di terze parti. Valutare la posizione di sicurezza informatica di fornitori e partner è fondamentale tanto quanto rafforzare le proprie difese interne. Non solo, ma siccome la vulnerabilità dei fornitori si riverbera sui clienti finali anche da un punto di vista privacy, ogni data breach denunciato da un fornitore (e l’ultimo che ha riguardato PA Digitale ci ha fatto veramente concludere l’anno in bellezza) deve essere denunciato anche dall’ente che di quel fornitore ha utilizzato i servizi: una ragione di più per compiere le proprie scelte con oculatezza e non badando solo all’”Offerta economicamente più vantaggiosa”.

Lezione imparata. Gli Enti locali DEVONO valutare la posizione di sicurezza informatica dei propri fornitori, condurre audit regolari e implementare politiche di sicurezza rigorose per ridurre al minimo il rischio di attacchi alla supply chain. Gli sviluppatori di software dovrebbero dare priorità alla sicurezza durante il loro processo di sviluppo, incorporando test rigorosi e monitoraggio continuo delle vulnerabilità. Il rafforzamento della sicurezza della supply chain può proteggere meglio le organizzazioni dalle minacce che sfruttano i punti deboli dei componenti di terze parti.

Enfasi sull’architettura Zero Trust

Il tradizionale modello di sicurezza perimetrale si è rivelato sempre più inadeguato di fronte a sofisticate minacce informatiche. Il 2023 ha visto un cambio di paradigma verso l’architettura cosiddetta Zero Trust, ossia il concetto di non fidarsi di nessuno: si tratta di un framework di sicurezza che tratta ogni utente e dispositivo come potenzialmente non attendibile, indipendentemente dalla loro posizione all’interno della rete. Questo comporta la necessità di implementare l’autenticazione continua, controlli rigorosi degli accessi e il monitoraggio in tempo reale per migliorare il livello di sicurezza e mitigare i movimenti laterali da parte degli aggressori.

Lezione imparata. Zero Trust non è solo una tecnologia o uno strumento; si tratta di un habitus mentale, un modo di pensare che tende a prevenire, anche con eccesso di zelo, gli attacchi informatici. Le lezioni apprese dai team di sicurezza informatica nell’implementazione dell’architettura Zero Trust ruotano attorno ai principi di verifica continua, microsegmentazione, sicurezza incentrata sui dati, visibilità e formazione degli utenti.

Attacchi informatici basati sull’intelligenza artificiale

L’uso dell’intelligenza artificiale e dell’apprendimento automatico negli attacchi informatici è diventato sempre più diffuso, con gli aggressori che sfruttano queste tecnologie per automatizzare la ricognizione, la scoperta degli exploit e l’esecuzione degli attacchi. La rapida evoluzione degli attacchi informatici basati sull’intelligenza artificiale ha reso più difficile per i professionisti della sicurezza tenere il passo e difendersi dalle minacce emergenti.

Lezione imparata. Così come i cybercriminali utilizzato gli algoritmi di AI per sferrare i loro attacchi, lo stesso possiamo fare noi per difenderci, così come abbiamo visto negli ultimi articoli che trattavano proprio il tema del ripensamento dell’infrastruttura di cybersecurity sfruttando l’intelligenza artificiale. Gli enti DEVONO investire in strumenti e soluzioni di sicurezza informatica basati sull’intelligenza artificiale per rilevare, prevenire e rispondere efficacemente agli attacchi informatici basati a loro volta sull’intelligenza artificiale: una forma moderna di applicazione del principio occhio per occhio, ma con nobili motivi. Gli attacchi basati sull’intelligenza artificiale mostrano un livello di sofisticazione e velocità più elevato rispetto alle minacce informatiche tradizionali. Gli avversari possono sfruttare algoritmi di apprendimento automatico per analizzare rapidamente grandi quantità di dati, adattando le loro tattiche in tempo reale. Anche le difese della sicurezza informatica devono evolversi per tenere il passo con questi progressi, in un approccio olistico che tenga conto non solo dei sistemi IT, ma di tutto il perimetro aziendale, ivi compreso il fattore umano.

La crescente importanza della privacy e della conformità dei dati

Poiché il numero di violazioni dei dati e della privacy di alto profilo è in continua e costante crescita, di conseguenza sono aumentati i controlli dell’Autorità Garante e le sanzioni. Questo maggiore controllo ha portato a multe significative per le organizzazioni non conformi e ha evidenziato la necessità per i Comuni di dare priorità alla privacy e alla conformità dei dati nelle loro strategie di sicurezza informatica.

Lezione imparata. Prendiamone atto: gli Enti locali DEVONO riconoscere che i dati sono una risorsa preziosa e trattarli come tali.  Ciò comprende l’implementazione di solide misure di sicurezza per proteggere le informazioni, l’attuazione di procedure, la predisposizione di documentazione, la formazione, in una parola l’osservazione del GDPR e dei suoi principi di privacy by design e by default e di accountability.
Il rispetto delle normative sulla protezione dei dati non è solo obbligatorio per legge, ma anche una pratica chiave per la sicurezza informatica, perché parte della compliance comprende l’esecuzione di regolari valutazioni dei rischi, la definizione di chiare politiche di gestione dei dati e la formazione dei dipendenti sulle migliori pratiche di sicurezza. L’implementazione di processi di monitoraggio e controllo continui aiuta a identificare e rispondere tempestivamente a potenziali incidenti di sicurezza e un costante aggiornamento garantisce che le misure di sicurezza rimangano efficaci.

Il ruolo fondamentale della consapevolezza e della formazione sulla sicurezza informatica

È cosa nota ormai che la quasi totalità degli attacchi informatici di successo avviene a causa di errori umani, dovuti a negligenza, imprudenza o imperizia. Ciò evidenzia l’importanza della consapevolezza e della formazione sulla sicurezza informatica per i dipendenti a tutti i livelli dell’ente. I criminali informatici spesso sfruttano la mancanza di consapevolezza dei dipendenti attraverso campagne di phishing, attacchi di ingegneria sociale o altre tattiche ingannevoli, che possono portare alla compromissione delle credenziali, all’accesso non autorizzato o alla divulgazione involontaria di informazioni sensibili.

Lezione imparata. Gli Enti locali DEVONO investire in programmi completi di sensibilizzazione alla sicurezza informatica per educare i propri dipendenti sulle minacce informatiche più recenti, sulle best practice per un comportamento online sicuro e sulle politiche di sicurezza dell’organizzazione. Gli errori umani, come cadere in attacchi di phishing o utilizzare password deboli, possono portare a violazioni della sicurezza. Investire nella consapevolezza e nella formazione, con sessioni di formazione regolari e periodiche, attacchi simulati e penetration test, aiuta a mitigare questo rischio. La consapevolezza della sicurezza informatica non dovrebbe riguardare solo i dipendenti in prima linea, ma anche i dirigenti e i leader, poiché loro impegno e supporto sono fondamentali per creare una cultura organizzativa attenta alla sicurezza.

La necessità di una ricerca proattiva delle minacce e di una risposta agli incidenti

Man mano che le minacce informatiche continuano a evolversi e a diventare più sofisticate, le organizzazioni devono spostare la loro attenzione dalle misure di sicurezza reattive alla ricerca proattiva delle minacce e alla risposta agli incidenti. Solo con aggiornamento continuo gli enti saranno in grado di rispondere all’evolvere delle minacce, rispondendo a tono, esattamente come si è detto poc’anzi in merito all’utilizzo dell’intelligenza artificiale.

Lezione imparata. Gli Enti DEVONO sviluppare e mantenere un programma proattivo di ricerca delle minacce, che prevede la ricerca attiva di segnali di compromissione all’interno delle loro reti e sistemi. Monitorando regolarmente le anomalie e indagando sulle potenziali minacce, possono identificare e rimediare alle violazioni della sicurezza prima che si aggravino. Inoltre, disporre di un piano di risposta agli incidenti ben definito può garantire che i Comuni siano preparati ad agire in modo rapido e deciso in caso di attacco informatico, riducendo al minimo l’impatto complessivo sulle operazioni, sulla reputazione e sull’efficienza dell’Ente.

Lezione bonus

Lo abbiamo già detto alla fine dell’anno scorso, ma giova ripeterlo. L’analisi delle lezioni imparate in un campo in continua evoluzione come la sicurezza informatica è di importanza cruciale per determinare la strategia futura, anche in considerazione delle nuove sfide e opportunità che ci poterà l’intelligenza artificiale. Ma tutto questo sarà sempre e comunque inutile se non accompagnato da un radicale cambiamento di mentalità.
Le sfide che la PA digitale propone, oggi e negli anni a venire, sono molteplici. Si tratta di un grande impegno, ma soprattutto di una enorme opportunità, per offrire ai cittadini servizi più efficienti, a costi più bassi, con maggiore soddisfazione anche per i dipendenti dell’Ente.  Questo continua a essere il momento migliore per cambiare, con i fondi del PNRR che rappresentano il maggior investimento economico dal secondo dopoguerra ad oggi (e non è un caso che la maggioranza delle sue risorse siano dedicate a progetti digitali), con la pandemia e la guerra che ci hanno insegnato che un utilizzo consapevole e accorto della tecnologia rappresenta il nostro maggior alleato per la trasformazione della mentalità e la trasformazione organizzativa della PA, che porteranno alla vera trasformazione digitale, per una PA che serva il cittadino, non che lo ostacoli nella sua vita quotidiana.

>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.

DPO in pillole: privacy e cybersecurity* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.

 

Redazione