L'obbligo di notifica di una violazione è un punto del GDPR male interpretato
Se il tuo business si svolge in Europa, ormai saprai che devi adeguarti alle norme indicate nel Regolamento Generale per la Protezione dei Dati dell'UE entro il 25 maggio 2018. Una delle prescrizioni del GDPR che deve essere ben compresa riguarda l'obbligo di notifica delle violazioni. E' il punto più frainteso del nuovo regolamento. Ma ci sono anche altri miti che vanno sfatati: Erka Koivunen, Cyber Security Advisor di F-Secure, ne analizza 10.1 mito: chi fa le leggi vuole vederti fallire
Uno degli scopi delle leggi che riguardano l'obbligo di notifica delle violazioni come il GDPR, è incentivare le aziende a migliorare le proprie capacità di rilevazione delle violazioni e a mitigare in modo efficace l'impatto negativo che ne deriva. Il legislatore non intende punire le aziende che sono state vittime di un crimine, ma portarle a dotarsi di soluzioni che le proteggano nel caso di una violazione.
2° mito: la notifica di una violazione vale solo per i dati personali
Il GDPR introduce l'obbligo di notificare ai clienti e alle autorità violazioni che riguardino i dati personali. Ma non ci si ferma solo ai dati relativi alla privacy. Il regolamento richiede anche che tu dia informazioni per aiutare le autorità a valutare ciò che ha reso possibile la violazione. Le autorità vogliono anche sapere quali azioni correttive hai messo in atto, come è stata scoperta la violazione, quanto tempo è servito per accorgersene, e come valuti il suo danno. Queste informazioni permetteranno alle persone esterne alla tua azienda di valutare le tue capacità di proteggere ogni aspetto del tuo business.
3° mito: essere conformi al GDPR previene le violazioni
Nessuna legge può mettere fine miracolosamente alle attività criminali. il GDPR incentiverà tutte le aziende a diventare dei leader nella cybersecurity. Il GDPR, piuttosto, intende alzare il livello minimo di protezione della sicurezza e della privacy. Le protezioni minime aiuteranno ad affrontare le perdite accidentali e a impedire che ogni incidente si trasformi in un caos, faranno però ben poco per ostacolare i criminali. Non cadiamo in questo errore: i criminali continueranno a tentare di violare la tua azienda.
Questo è il momento per fare della tua strategia difensiva un punto di forza. Andare oltre le misure minime è un valore per la continuità del tuo business che riduce il costo delle cyber-assicurazioni e permette di risparmiare quando è necessario attivare il piano di gestione degli incidenti.
4° mito: l'Europa sta guidando il regolamento di notifica delle violazioni
I media in Europa stanno parlando del GDPR come di una novità e di qualcosa di cui non si è mai sentito parlare nel resto del mondo, ma non è così. Anche senza una legge federale, 47 Stati negli USA hanno già norme relative alla notifica di violazioni. Ecco perchè ci sono tanti annunci pubblici di violazioni della sicurezza negli USA. Non è che le aziende americane si difendano meno bene di quelle europee, sono solamente più aperte nel far sapere se hanno subito una violazione.
5° mito: il monitoraggio gratuito del credito è una cura per tutto
Negli USA, ai clienti interessati da un data breach sono offerti servizi di monitoraggio gratuito del credito. Con una logica ben precisa: nella maggior parte dei casi, l'uso dei dati sottratti riguarda frodi finanziarie in cui il criminale cerca di ottenere credito o di acquistare beni da pagare in rate mensili. Le vittime di una violazione così corrono il rischio reale di non poter più ottenere altro credito. L'offerta di servizi di monitoraggio del credito, seppur per un periodo di tempo limitato, aiuta l'azienda a dimostrare che sta prendendo misure adeguate a seguito dell'incidente di sicurezza. Inoltre, mitiga il rischio di cause legali da parte dei clienti interessati.
6° mito: il cybercrime è come una forza della natura, niente ti eviterà di essere attaccato
Nel 2012 Robert S. Mueller III, allora direttore del FBI, dichiarà che in futuro la differenza sarebbe stata tra aziende che sono state violate e aziende che lo saranno di nuovo. Sottolineava ciò che le forze dell'ordine avevano già visto in pratica: a separare vincitori e perdenti nella cybersecurity è il modo in cui le organizzazioni si preparano alle inevitabili violazioni.
Ci saranno tentativi di attaccare i tuoi sistemi. Molto probabilmente un giorno gli attaccanti riusciranno nel loro intento. Il tuo approccio alla cybersecurity sarà valutato sulla base di come avrai saputo, nel tempo, imparare dagli errori e provvedere a migliorare le tue misure di protezione. Solo con un'accurata analisi di ciascun incidente e tentativo di violazione si può valutare quali controlli di sicurezza hanno funzionato e quali sono i gap che gli hacker hanno potuto sfruttare.
7° mito: saprai quando la tua azienda è stata attaccata
Dopo che il GDPR sarà entrato in vigore, ciò che non sarà più tollerabile è non sapere che la tua azienda è stata attaccata e le tue protezioni hanno fallito il loro compito. Dotarsi di un sistema efficiente e affidabile di rilevazione e risposta agli incidenti sarà molto importante. Meglio se il sistema combina intelligenza umana e intelligenza artificiale. Un simile sistema ridurrà al minimo i falsi positivi, così da concentrarsi solo sugli incidenti reali. Molte aziende preferiranno affidarsi a servizi gestiti, poichè offrono il modo più veloce e conveniente per proteggersi sfruttando l'esperienza di esperti di cyber security.
8° mito: saprai cosa devi fare quando la tua azienda verrà attaccata
Molte organizzazioni sono impreparate e gestire l'eventualità di una violazione della sicurezza. La loro capacità di rilevare qualcosa di diverso dagli attacchi basati su malware è insufficiente, il personale non è addestrato o è inesperto. La maggior parte di chi cade vittima di un attacco per la prima volta improvviserà una risposta, prendendo decisioni affrettate che possono distruggere o alterare le prove e finiscono per danneggiare gli affari.
Il GDPR richiederà alle aziende di far sapere alle autorità quali azioni di mitigazione si intendono mettere in atto e come queste azioni risponderanno al problema. Autorità , clienti e media chiederanno quali sono la rilevanza e l'efficacia di ciascuna azione intrapresa dopo la violazione. Ecco perchè è il momento giusto per pensare a un piano di risposta adeguato e non si può pensare di attendere che una violazione si verifichi.
9° mito: saprai quali incidenti devono essere denunciati
Il GDPR è un regolamento, non una direttiva: sarà direttamente applicabile e gli Stati membri non possono interpretarlo a livello locale, devono seguire le linee guida paneuropee. Al momento, nessuno in Europa è in grado di definire quali saranno le soglie per le notifiche. Data la situazione, la tua miglior difesa consisterà nell'iniziare a costruire una mappatura dei tipi di incidente che la tua azienda potrebbe affrontare e nello sviluppare definizioni di soglia. Se avrai a che fare con autorità che non saranno d'accordo su quali incidenti devono essere notificati, avrai già sviluppato un'idea di cosa costituisca un serio incidente e sarai più preparato ad affrontare la questione.
Ci sono situazioni in cui le autorità verranno informate di una potenziale violazione e si avvicineranno alla tua azienda per avere informazioni. In simili casi, vorranno una spiegazione del perchè non sono stati informati dalla tua azienda della violazione subita.
10° mito: il GDPR sarà un regolamento all-in-one in Europa
Il GDPR è stato definito come un unico insieme di regole europee. Non è così Per una multinazionale, il GDPR deve essere consultato insieme alle regolamentazioni nazionali su argomenti chiave come la libertà di informazione, le esenzioni per le informazioni ottenute per scopi giornalistici e accademici, la definizione di minore, e via dicendo.
Le cose diventeranno ancora più complicate se le imminenti implementazioni nazionali della direttiva NIS introdurranno requisiti di notifica delle violazioni che sono incompatibili con il GDPR. Oltre a questo, certi business verticali hanno già regolamentazioni pre-esistenti settoriali (e incompatibili) per le notifiche di violazioni. Occorre quindi avere un quadro d'insieme per il settore in cui si opera.