Risk management nell’epoca dell’information technology e cyber security (D.

Marmigi)

Risk Management  Gestione del rischio. Quando si parla di risk management si parla di tutti i rischi presenti
all’interno di un’organizzazione (non solo per la salute e sicurezza). Il processo funziona così:
1. Si individuano i rischi
2. Si quantificano i rischi
3. Si stabiliscono le misure di prevenzione e protezione
Fino a qui si è fatto solo Risk Assesment e non Management.

Come detto in precedenza con il risk management si tiene conto di TUTTI i rischi, compresi quelli economici. Ogni
organizzazione che tratti dei dati di persone fisiche ha obblighi in materia di privacy. In precedenza (con la legge
196 del 2003) sotto questo punto di vista si avevano obblighi solo per i dati sensibili, ossia dati medici, bancari e
INPS.

- Information Technology (IT)  Informazione tecnologica.

- Cyber Security  In italiano si può tradurre come sicurezza informatica ma in realtà non è solo informatica.

Regolamento UE 2016/679  GDPR (General Data Protection Regulation)

Normativa in materia di protezione dei dati personali.

Art. 83 comma 4: se un’impresa ha l’obbligo di nominare il DPO e non lo nomina OPPURE non ha comunicato il
data breach (“infortunio della privacy”, fuga di dati/dati sporcati, cancellati, persi) all’Autorità Garante la sanzione
è di 10 milioni di euro o il 2% del fatturato mondiale annuo dell’anno precedente (prima si prendeva la cifra più
alta tra le due ora è discrezionale).

Art. 83 comma 5: in caso di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine
imposto dal Garante la sanzione è di 20 milioni di euro o il 4% del fatturato mondiale annuo dell’anno precedente.

Nel 2018 la direttiva europea è stata recepita dall’Italia con il D.Lgs. n.101.

Molti dati e informazioni spesso vengono raccolti senza la nostra consapevolezza, ma dove vanno a finire? Tutti i
dati confluiscono e vengono conservati nei C.D. data center (server).
Da chi sono stabilite le regole sulla gestione dei dati conservati nei data center? Nel 2016 è nato appositamente il
Regolamento UE n.679.
Analizziamo questa norma:

FINALITÀ:
Dare vita a un contesto di affidabilità e costituire un clima di fiducia per lo sviluppo economico, soprattutto negli
ambienti online con il fine ultimo di agevolare la sussistenza di un unico mercato eurounitario, in cui, oggi, la libera
circolazione dei dati personali svolge un ruolo imprescindibile.

Articolo 1 – Oggetto e finalità

Paragrafo 1: stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati
personali, nonché norme relative alla libera circolazione dei dati.
Paragrafo 3: la libera circolazione dei dati personali nell’UE non può essere limitata né vietata per motivi attinenti
alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Tale regolamento dà una funzione di indirizzo interpretativo attraverso i “CONSIDERANDO” (in totale sono 173):
n. 6  la rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei
dati personali. […] La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di
utilizzare dati personali, come mai in precedenza, nello svolgimento delle loto attività.
n. 7  data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il
mercato interno.
n. 10  al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli
ostacoli alla circolazione di dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà
delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri.
 Articolo 2 – Ambito di applicazione materiale
Paragrafo 1: il presente regolamento si applica al trattamento interamente o parzialmente automatizzato dei dati
personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Paragrafo 2: il presente Regolamento non si applica ai trattamenti di dati personali:
a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del Titolo V, Capo 2,
TUE;
c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o
esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle
stesse.

Articolo 3 – Ambito di applicazione territoriale

Paragrafo 1: il presente regolamento di applica al trattamento dei dati personali effettuato nell’ambito delle
attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del GDPR Garante per la
protezione dei dati personali trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia
effettuato o meno nell'Unione.
Se io ho una società nell’UE (fisicamente stabilita nell’UE) a prescindere dalla nazionalità dei proprietari dei dati
bisogna trattare tali dati secondo tali regole.
Paragrafo 2: Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano
nell’Unione, effettuato da un titolare del trattamento o un responsabile del trattamento che non è stabilito
nell’Unione quando le attività di trattamento riguardano:
a) L’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente all’obbligatorietà
di un pagamento dell’interessato.
b) Il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

Ma cos’è un DATO PERSONALE?

Articolo 4 – Definizioni
Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile  cioè
identificabile direttamente (tramite codice fiscale) o indirettamente (tramite dei conoscenti).

L’impressione che si ricava dalla lettura del testo è un fenomeno di “ampio aggiornamento della nozione di dato
personale”, come emerge anche dalle definizioni di dettagli che fanno riferimento al dato genetico e dato
biometrico.
Considerando n.26  Per definire se una persona è identificabile è necessario valutare «tutti i mezzi, come
l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta
persona direttamente o indirettamente»
Considerando n.30  «le persone fisiche possono essere associate ad identificativi on line prodotti dai dispositivi,
dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies), o
identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce
che, in particolare, se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere
utilizzate per creare profili delle persone e identificarle».

I 6 PRINCIPI che disciplinano tutto il GDPR:

1 – Liceità, correttezza e trasparenza. Liceità significa che il trattamento dei dati deve essere lecito, deve avvenire
secondo le regole del regolamento. Correttezza significa che non bisogna essere scorretti e bisogna agire nel
rispetto del soggetto interessato. Trasparenza significa che il proprietario del dato deve sapere tutto ciò che fa il
titolare del trattamento.

2 – Limitazione della finalità. Il dato deve essere utilizzato solo per lo scopo dichiarato.

3 – Minimizzazione dei dati. Se si utilizzano i dati per uno specifico scopo bisogna usare solo i dati strettamente
necessari per quello scopo.
 4 – Esattezza. I dati devono essere giusti (es.: età deve essere inserita nella fascia giusta). Se ciò non succede si può
avere un piccolo o grande data breach.

5 – Limitazione della conservazione. Può esserci una base giuridica o meno (es.: certi dati fiscali devono essere
tenuti per 10 anni). In ogni caso bisogna comunicare per quanto tempo verranno conservati i dati.

6 – Integrità e riservatezza. I dati devono essere integri (non vanno sporcati) e non possono essere diffusi.

In quest’ambito l’organo di vigilanza è Il Garante della privacy che però ha demandato il compito alla Guardia di
Finanza.

Le figure del GDPR

 Titolare del Trattamento dei Dati: persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che,
singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. Chi decide quali
dati trattare e come trattarli.

 Contitolare del Trattamento: è prevista l’ipotesi di contitolarità del trattamento allorché due o più titolari del
trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del
trattamento. In questo caso la sanzione arriva in solido per tutti (la stessa per tutti).

 Responsabile del Trattamento (Data Processor): persona fisica o giuridica, l’autorità pubblica, il servizio o altro
organismo esterno che tratta dati personali per conto del titolare del trattamento. Ad esempio il datore di lavoro
(titolare del trattamento) nomina un data processor per creare le buste paga dei lavoratori. Anche il medico
competente è un data processor, ma in questo caso alcuni dati che tratta il medico non può conoscerli il titolare
del trattamento. In ogni caso il medico competente non è mai il titolare del trattamento bensì contitolare o
responsabile.
Se il data processor incarica una persona sotto di lui per trattare i dati si parlera di Sub-responsabile del
Trattamento (si differenzia dall’incaricato al trattamento, perché questo è un dipendente del Data processor).

 Incaricato al Trattamento: il termine “incaricato” non è menzionato, ma lo si evince dall’art. 4 p.10 che definisce
terzo la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia la persona
autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile. Tale figura va
incaricata e formata (perché dovrà trattare i dati per conto del titolare).

 Responsabile della Protezione dei Dati - RPD (Data Protection Officier - DPO): si ha l’obbligo di designazione e
comunicazione al Garante in caso di: monitoraggio regolare e sistematico (profilazione) degli interessati su larga
scala, o trattamenti su larga scala di categorie particolari di dati / Pubblica Amministrazione. “Categorie particolari
di dati” indica: dati medici, dati bancari, dati relativi a gruppi religiosi/gruppi politici/etnia… Su larga scala significa
in grande quantità e questo si calcola quando si fa la valutazione d’impatto (impatto derivante da un eventuale
data breach). Ad esempio un medico di medicina generale che ha 3000 pazienti non rientra nella definizione di
“larga scala”. Quando avviene un data breach il DPO viene contattato dal Garante ed è sanzionabile civilmente.

 Soggetto Interessato (Data subject): persona FISICA a cui si riferiscono i dati personali.

In considerazione di ciò cosa deve fare un’organizzazione per adeguarsi?

o Bisogna avere un REGISTRO DEI TRATTAMENTI. Non è obbligatorio fare la valutazione d’impatto (a meno che non
sei una di quelle aziende che deve nominare il DPO).
o Si può fare (per alcuni è obbligatorio) la valutazione d’impatto.
o Fare formazione.
o Consapevolezza.

Abbiamo parlato di Risk Management, IT e Cyber Security, si può parlare anche di:
- IoT  Internet of Things. Si basa su una particolare forma di tecnologia, gli oggetti intelligenti (detti anche “smart
objects”), che non sono solo computer, smartphone e tablet. L’IoT riguarda, soprattutto, oggetti quotidiani di cui
siamo circondati, ossia quelli all'interno delle case, sul luogo di lavoro, nelle città e che ci accompagnano nella vita
 di tutti i giorni. L’Internet of Things nasce proprio con questo scopo: portare nel mondo digitale gli oggetti della
nostra esperienza quotidiana. Tra questi oggetti rientrano Alexa, la domotica, la smart TV, le telecamere.
Definizione prof: è il fenomeno per il quale oggetti, sensori, dispositivi connessi e più generalmente “cose”,
diventano digitali e si collegano alla rete locale, a internet, fra di loro.

VANTAGGI dell’IoT: Ad esempio l’acqua dell’acquario è sempre controllata. Per avere il monitoraggio da remoto il
dispositivo (come l’acquario) deve essere collegato alla rete ma chi lo collega alla rete? La persona che l’ha
acquistato o l’ha installato, perché non c’è bisogno di competenze particolari. Però se viene collegato alla rete
sbagliata può consentire di entrare sul server e prelevare dei dati.

SVANTAGGI/RISCHI dell’IoT: Collegamento WiFi o Ethernet? Esistono anche altri collegamenti wireless ma non tutti
garantiscono lo stesso livello di protezione. In più esistono tantissimi oggetti e tantissimi modelli, molti dei quali
con bassi livelli di sicurezza, permettendo l’hackeraggio.

Cosa fare in caso di DISPOSITIVO HACKERATO?

1. Far analizzare l’asset/il dispositivo.
2. Mettere in sicurezza l’infrastruttura di rete.

IN CHE MODO utilizziamo internet?

o Social network > possono essere utilizzati sia a livello personale che professionale (es.: Instagram).
o Multimedialità > siti riservati al caricamento e alla condivisione di materiale multimediale (es.: YouTube).
o Chat > servizi di messagistica istantanea e videochat (es.: Whatsapp).
o Giochi > videogiochi, giochi di ruolo e giochi d’azzardo.
o Forum > per salute, cultura, hobby, viaggi, scambio oggetti o offerte sull’usato.
o Pornografia
o Acquisti > shopping online.

COSA CERCHIAMO su internet?

o Informazioni e utilities > news, ricette, film, eventi, indicazioni stradali, indicazioni culturali…
o Scambi relazionali > gli incontri su internet, casuali o ricercati, non differiscono molto dagli incontri fatti nella
realtà.
o Condivisione di conoscenze > io metto le mie conoscenze a disposizione e usufruisco di quelle altrui.
Le ricerche più frequenti su Google nel 2020: 13% Traduttore / 11% Social network / 10% Divertimento / 10%
Shopping / 10% Meteo.

Quali rischi ci sono su internet? I nostri dati sono su internet e si può costruire la nostra immagine:
o I nostri dati online
o False identità
o Adescamento
o Cyberbullismo > rispetto al bullismo non si vede, è dilatato nel tempo e nello spazio (es.: se vengo bullizzato a
scuola quando vado via da scuola non avviene più, invece con il cyberbullismo non è così), maggior numero di bulli
e di bullizzati.
o Cyberstalking
o Sexting

Hacker

Classificazione in base all’intento. Prima di tutto ci sono 2 CATEGORIE:

o White Hat  appartiene ad una tipologia di hacking chiamata “Ethical Hacking”. Va ad emulare una serie di
attacchi informatici per verificare se l’azienda o la rete è soggetta a dei buchi. Tra questi rientrano anche quelli che
hackerano per divertimento senza fare nessun danno e sono chiamati Script Kiddies.
 Black Hat  hanno dei fini che non sono etici. Tra questi rientrano: gli Activist, che hanno l’obiettivo di diffondere
un messaggio nel mondo (es.: Anonymous o Wikileaks) / gli eMugger, pericolosi che hanno certi obiettivi come
richiedere un riscatto. Questi sono i più bravi e spesso vengono ingaggiati dai governi / i Cyber Soldier, che
 lavorano principalmente per reparti militari e multinazionali e hanno l’obiettivo di rubare dati sensibili di intere
nazioni per interferire su alcune strategie.
Che TIPI DI ATTACCHI fanno?
Un po’ di storia: il primo attacco cibernetico della storia è stato il “Morris worm”, un software maligno (Malware)
che si replica e si diffonde su altri pc. Nel 1986 ha attaccato l’80% dei computer nel mondo (che allora erano solo
6000), mentre oggi è facilmente individuabile e bloccabile (ma se viene aperto è uno dei più pericolosi).

Uno dei pericoli maggiori per la sicurezza dei dati è la Backdoor, ossia una “porta sul retro” che serve allo
sviluppatore per accedere al software per fare delle verifiche/modifiche. Se l’hacker trova una backdoor non
adeguatamente protetta può introdursi nel software e reperire dati.

I Malware sono gli artefici del crollo dei sistemi informatici. Questi SI SUDDIVIDONO IN:
 Worm  si infiltra e si propaga tra i vari computer. Di solito si manifestano sotto forma di allegato, con un invito
all’utente ad aprirlo.
 Trojan  virus nascosto all’interno del software vero (che all’apparenza è benigno) e da qui il nome il nome trojan
> cavallo di troia. È capace di assumere il controllo di un computer dirigendone le funzioni per scopi illeciti.
 Spyware  minacciano la privacy dell’utente perché dopo essere installato tiene traccia di quanto avviene sul
dispositivo. È ad esempio quello che si utilizza per le intercettazioni telefoniche/ambientali.
 Ransomware  esiste dal 2013 ed esso funziona bene se c’è una rete interconnessa. Si infila attraverso una porta
(es.: Facebook) per poi trasmettersi a tutta l’azienda. Ha dei codici per creare determinati danni, ad esempio un
codice per bloccare l’utilizzo di tutti i terminali su cui sono presenti le cartelle cliniche, per poi richiedere un
riscatto al fine di sbloccarlo (come successo con il ransomware di nome “Locky” nel 2016).

Ma come fa un Black Hat a mettere un malware in un pc? Vediamo le VARIE TECNICHE:

o Man in the middle  l’hacker si mette tra l’utente e il sito reale per reperire dati come la password.
o Botnet  è una rete di computer infettati da un software malevolo. Tali computer vengono comandati a distanza
dall’hacker, il quale costringe il legittimo utilizzatore a diffondere spam e virus a sua insaputa. La botnet in
sostanza apre una backdoor sui vari computer (ad esempio tramite un’email), attraverso la quale viene inserito il
malware. Le botnet sono definite anche “armate di zombie”.
o DoS e DDoS (Denial of Service e Distributed Denial of Service)  il primo ha l’obiettivo di negare un determinato
servizio impedendo l’accesso da parte degli utilizzatori. Il DDoS invece consiste nell’utilizzo di un grande numero di
computer soggetti a virus per sovraccaricare i sistemi informatici ed impedire ai bersagli di fornire informazioni
riguardanti l’attacco.