Il GDPR e la protezione dell’accesso continuativo ai dati personali

Il Regolamento generale europeo sulla protezione dei dati (GDPR) che entrerà in vigore il 25 maggio 2018 modifica sensibilmente le modalità con cui le Aziende raccolgono, trattano e proteggono i dati personali dei cittadini della UE. Le numerose informazioni circolate e i dibattiti scaturiti sul GDPR hanno però generato alcuni fraintendimenti.

Molti credono infatti che le disposizioni del GDPR siano limitate unicamente alle organizzazioni che hanno sede fisica nella UE e ciò non è vero. Il GDPR si applica esplicitamente ad “ogni” azienda che raccolga o tratti dati personali di cittadini della UE, in modo diretto o in modo indiretto come soggetto terzo. Questo significa sostanzialmente che il GDPR ha portata globale e interessa molteplici settori, tra cui ad esempio il commercio al dettaglio, l’assistenza sanitaria e la finanza.

L’altra idea errata che si sta diffondendo è che il GDPR riguardi unicamente la tutela dei “dati”. Seppure più comprensibile visto che il nome stesso del regolamento parla di dati, anche questa affermazione è falsa. Il GDPR parla in maniera molto esplicita della protezione dell’accesso continuativo ai dati personali. In altri termini, si tratta di proteggere la “disponibilità”. Vediamo due esempi.

L’Articolo 49 del GDPR afferma che il trattamento dei dati personali nell’ambito delle soluzioni di sicurezza è appropriato se mirato a “garantire la sicurezza delle reti e dell’informazione.” L’articolo prosegue così: “Ciò potrebbe, ad esempio, includere misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica.”

L’Articolo 32 del GDPR richiede “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” e “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali”.

Il GDPR enfatizza giustamente la necessità di proteggere la disponibilità. Gli attacchi DDoS costituiscono la maggiore minaccia per la rete e/o i servizi commerciali online delle organizzazioni e si tratta di una minaccia che non accenna ad attenuarsi, come dimostra il tredicesimo Worldwide Infrastructure Security Report di NETSCOUT Arbor:

• I provider di servizi dichiarano che gli attacchi DDoS rappresentano la minaccia più diffusa e preoccupante per il 2018.
• Per le aziende, la gravità della minaccia associata agli attacchi DDoS è seconda solo al ransomware.
• Il numero di attacchi è aumentato sensibilmente. Nel 2017, l’infrastruttura ATLAS ha osservato 7,5 milioni di attacchi DDoS, contro i 6,8 milioni registrati nel 2016.
• Anche la complessità degli attacchi è in cresciuta. Il 48% delle aziende intervistate ha subito attacchi DDoS multivettore, con un aumento del 20% rispetto all’anno precedente.
• Si è verificato anche un aumento del 30% del numero di aziende che nel 2017 hanno subito attacchi a livello delle applicazioni.

L’Articolo 32 del GDPR richiede inoltre di “testare, verificare e valutare regolarmente l’efficacia” delle misure di protezione dei dati.

Buone pratiche contro gli attacchi DDoS

Ecco come si delinea attualmente il panorama degli attacchi DDoS: è incessante, si fa sempre più agile e complesso e favorisce nettamente i criminali informatici che riescono a individuare un bersaglio impreparato. Per queste e altre ragioni, NETSCOUT Arbor è un forte sostenitore delle soluzioni di difesa contro gli attacchi DDoS di tipo ibrido o multistrato. L’integrazione di strumenti di mitigazione on-premise e su cloud è l’unica soluzione per proteggersi dai moderni attacchi DDoS. La sola mitigazione su cloud non è idonea agli attacchi rivolti contro le applicazioni e l’infrastruttura, mentre le sole soluzioni on-premise riescono a gestire una quantità limitata di traffico e richiedono successivamente il supporto del cloud.

Le conseguenze permanenti del GDPR

Vediamo infine un ultimo fraintendimento. Hanno suscitato molta attenzione i nuovi livelli di sanzioni e il diritto, chiaramente indicato, degli individui a ottenere un risarcimento in caso di mancata conformità al GDPR. È tuttavia importante ricordare che le pratiche di sicurezza previste dal GDPR aiuteranno le aziende a preservare la fiducia e la serenità dei propri clienti e partner. A prescindere dalle disposizioni del GDPR, il futuro successo delle aziende dipenderà infatti dalla capacità di proteggere i dati personali e la disponibilità della rete e dei servizi.

A cura di: Ivan Straniero, Regional Manager, Southern & Eastern Europe di NETSCOUT Arbor