Il Regolamento generale europeo sulla protezione dei dati (GDPR) che entrerà in vigore il 25 maggio 2018 modifica sensibilmente le modalità con cui le Aziende raccolgono, trattano e proteggono i dati personali dei cittadini della UE. Le numerose informazioni circolate e i dibattiti scaturiti sul GDPR hanno però generato alcuni fraintendimenti.
Molti credono infatti che le disposizioni del GDPR siano limitate unicamente alle organizzazioni che hanno sede fisica nella UE e ciò non è vero. Il GDPR si applica esplicitamente ad “ogni” azienda che raccolga o tratti dati personali di cittadini della UE, in modo diretto o in modo indiretto come soggetto terzo. Questo significa sostanzialmente che il GDPR ha portata globale e interessa molteplici settori, tra cui ad esempio il commercio al dettaglio, l’assistenza sanitaria e la finanza.
L’altra idea errata che si sta diffondendo è che il GDPR riguardi unicamente la tutela dei “dati”. Seppure più comprensibile visto che il nome stesso del regolamento parla di dati, anche questa affermazione è falsa. Il GDPR parla in maniera molto esplicita della protezione dell’accesso continuativo ai dati personali. In altri termini, si tratta di proteggere la “disponibilità”. Vediamo due esempi.
L’Articolo 49 del GDPR afferma che il trattamento dei dati personali nell’ambito delle soluzioni di sicurezza è appropriato se mirato a “garantire la sicurezza delle reti e dell’informazione.” L’articolo prosegue così: “Ciò potrebbe, ad esempio, includere misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica.”
L’Articolo 32 del GDPR richiede “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” e “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali”.
Il GDPR enfatizza giustamente la necessità di proteggere la disponibilità. Gli attacchi DDoS costituiscono la maggiore minaccia per la rete e/o i servizi commerciali online delle organizzazioni e si tratta di una minaccia che non accenna ad attenuarsi, come dimostra il tredicesimo Worldwide Infrastructure Security Report di NETSCOUT Arbor:
L’Articolo 32 del GDPR richiede inoltre di “testare, verificare e valutare regolarmente l’efficacia” delle misure di protezione dei dati.
Ecco come si delinea attualmente il panorama degli attacchi DDoS: è incessante, si fa sempre più agile e complesso e favorisce nettamente i criminali informatici che riescono a individuare un bersaglio impreparato. Per queste e altre ragioni, NETSCOUT Arbor è un forte sostenitore delle soluzioni di difesa contro gli attacchi DDoS di tipo ibrido o multistrato. L’integrazione di strumenti di mitigazione on-premise e su cloud è l’unica soluzione per proteggersi dai moderni attacchi DDoS. La sola mitigazione su cloud non è idonea agli attacchi rivolti contro le applicazioni e l’infrastruttura, mentre le sole soluzioni on-premise riescono a gestire una quantità limitata di traffico e richiedono successivamente il supporto del cloud.
Vediamo infine un ultimo fraintendimento. Hanno suscitato molta attenzione i nuovi livelli di sanzioni e il diritto, chiaramente indicato, degli individui a ottenere un risarcimento in caso di mancata conformità al GDPR. È tuttavia importante ricordare che le pratiche di sicurezza previste dal GDPR aiuteranno le aziende a preservare la fiducia e la serenità dei propri clienti e partner. A prescindere dalle disposizioni del GDPR, il futuro successo delle aziende dipenderà infatti dalla capacità di proteggere i dati personali e la disponibilità della rete e dei servizi.
A cura di: Ivan Straniero, Regional Manager, Southern & Eastern Europe di NETSCOUT Arbor
I modelli di Intelligenza Artificiale (AI) stanno assumendo molto velocemente un grande ruolo nella vita…
Si avvicina la data del Forum Cyber 4.0, che il 3 e 4 Giugno 2024 riunirà a…
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…