Tratto da www.garanteprivacy.it – Newsletter del 15/03/2023
Il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non annulla il diritto dei lavoratori alla protezione dei dati personali. Tanto più se riguarda una forma di corrispondenza, come i messaggi di posta elettronica, la cui segretezza è tutelata anche costituzionalmente.
È una delle motivazioni con cui il Garante privacy ha sanzionato un’azienda che, dopo l’interruzione della collaborazione con un’esponente di una cooperativa, ne aveva mantenuto attivo l’account di posta elettronica, prendendo visione del contenuto e impostando un sistema di inoltro verso un dipendente della società.
La collaboratrice, prima che si definisse il rapporto di lavoro con l’azienda, aveva raccolto, a nome dell’azienda stessa e tramite una casella mail aperta per l’occasione, i riferimenti di potenziali clienti incontrati a una fiera.
Secondo l’azienda poi, il successivo tentativo di contattarli a nome della propria cooperativa aveva in seguito portato a un contenzioso giudiziale.
Quindi, nel timore di perdere i rapporti coi potenziali clienti, l’azienda non si era limitata a scrivere per spiegare loro che la persona era stata rimossa, ma ne aveva anche visionato le comunicazioni. Secondo il Garante, né l’esigenza di mantenere i rapporti con i clienti né l’interesse a difendere un proprio diritto in giudizio, legittimano un tale trattamento di dati personali. Per realizzare un adeguato bilanciamento degli interessi in gioco (necessità di prosecuzione dell’attività economica del titolare e diritto alla riservatezza dell’interessato) sarebbe stato sufficiente attivare un sistema di risposta automatico, con l’indicazione di indirizzi alternativi da contattare, senza prendere visione delle comunicazioni in entrata sull’account.
Nel corso del procedimento è inoltre emerso che l’azienda, in quanto titolare del trattamento, non aveva fornito all’interessata né idoneo riscontro alla richiesta di cancellazione della casella e-mail né l’informativa sul trattamento dati. A nulla vale il fatto che il contratto di assunzione non fosse stato ancora firmato. Come ricorda l’Autorità, nell’ambito di trattative precontrattuali, infatti, l’obbligo di informare gli interessati è espressione del principio generale di correttezza.
Libraesva, che ha trionfato ai Cybersecurity Excellence Awards 2023, annuncia il lancio del nuovo prodotto LetsDMARC .
Libraesva LetsDMARC rende incredibilmente facile configurare il protocollo DMARC per proteggere il marchio delle aziende, con approfondimenti immediati sui flussi di posta elettronica, in modo da poter garantire il controllo del dominio aziendale.
Questa soluzione permetterà alle aziende di:
– ottenere visibilità sulle fonti e sui flussi di posta elettronica utilizzando il dominio;
– identificare le fonti legittime autorizzate a inviare e-mail per loro conto;
– impedire ai criminali informatici di inviare e-mail fraudolente a partner, dipendenti e clienti tramite lo spoofing o impersonando i domini di invio.
Bitdefender ha pubblicato una nuova ricerca su una crescente truffa finanziaria che utilizza una versione fake di ChatGPT.
La campagna inizia con un’email di phishing che indirizza le vittime a una versione fake di ChatGPT. Il sito offre allettanti opportunità finanziarie utilizzando l’intelligenza artificiale per analizzare i mercati e consigliare azioni a fronte di un investimento minimo di 250 euro.
L’oggetto della email include frasi come per esempio:
– ChatGPT: Il nuovo bot AI fa impazzire tutti
– Il nuovo ChatGPT chatbot sta facendo impazzire tutti – ma molto presto sarà uno strumento comune come Google
– Perché tutti sono nel panico per il bot ChatGPT?
Il “chatbot” della falsa piattaforma inizia con una breve introduzione al suo ruolo di analisi dei mercati finanziari che può consentire a chiunque di diventare un investitore di successo. I ricercatori di Bitdefender hanno accettato di stare al gioco e hanno permesso alla chatbot di aiutarli ad arricchirsi: hanno così chattato con l’intelligenza artificiale (che poteva selezionare solo risposte predefinite) e hanno scoperto che la campagna è abbinata a un call center in cui operatori reali convincono le vittime a creare un conto (per iniziare a investire) fornendo informazioni personali e finanziarie come il numero di carta di credito.
La campagna al momento è attiva maggiormente in Danimarca, Germania, Australia, Irlanda e Paesi Bassi, ma Bitdefender consiglia agli utenti di tutto il mondo di stare all’erta, poiché la campagna sembra stia crescendo a livello globale.
L’intero articolo, con link a immagini e ricerca completa, pubblicato sul sito Bitdefender, è disponibilequi
La situazione delle minacce nello spazio cibernetico rimane tesa. Con la crescente digitalizzazione delle aziende, gli attacchi non sono solo un rischio per i sistemi IT: anche l’Operational Technology (OT) è sempre più nel mirino degli aggressori.
Endian raccomanda alle aziende di implementare le seguenti misure per garantire la sicurezza dei loro ambienti OT:
1. Visualizzazione delle reti
La rappresentazione grafica delle reti aiuta a rendere gestibile la loro crescente complessità. Riuscendo a visualizzare i vari componenti, sensori e connessioni, è più facile capire come funziona il flusso di comunicazione all’interno dell’azienda e oltre i suoi confini. Le irregolarità nei processi possono così essere riconosciute più facilmente. Allo stesso tempo, la visualizzazione costituisce la base per la segmentazione della rete.
2. Segmentazione delle reti
I ransomware sono ancora la più grande minaccia per le aziende in Italia. Gli aggressori criptano i dati aziendali tramite un codice, per estorcere successivamente un riscatto. Spesso, questo codice maligno mira a diffondersi nel modo meno evidente possibile nelle reti per ottenere il massimo effetto. Dividere la rete operativa in segmenti separati è quindi un passo fondamentale per garantire la sicurezza nell’area OT. Utilizzando i gateway di sicurezza IoT, che sono posizionati in ciascun segmento, le reti possono essere rapidamente suddivise senza richiedere alcuna modifica alla struttura della rete.
3. Introduzione del concetto di Zero Trust
Più la digitalizzazione avanza, meno le reti aziendali hanno confini chiari. Per un’attività ottimale, i fornitori e i partner commerciali hanno bisogno di accedere a determinate risorse aziendali; inoltre, l’attuale situazione ha portato molti dipendenti a lavorare da casa. Il concetto di Zero Trust si basa sul presupposto che nessun accesso – sia interno sia esterno – può essere considerato affidabile senza un’effettiva verifica. Non si basa più su luoghi, ma su identità, autorizzazione e autenticazione sicura di utenti e macchine per ogni ingresso.
4. Autorizzazione e autenticazione
Impostando account, utente e credenziali è possibile garantire che solo i dipendenti autorizzati abbiano accesso a macchine e sistemi. Per la gestione, gli amministratori hanno bisogno di uno strumento centrale che permetta loro di creare, cambiare o cancellare ruoli e autorizzazioni in tempo reale. L’introduzione di regole di accesso può aumentare ulteriormente la sicurezza: per esempio, si può specificare che i dipendenti debbano avere accesso alle reti solo da determinati Paesi. Le regioni in cui l’azienda non ha né filiali né clienti possono essere escluse.
5. Autenticazione a due fattori
Le password deboli sono un altro rischio per la sicurezza in ambienti OT. Soprattutto di fronte al crescente trend dell’home working, le aziende dovrebbero fare sempre più affidamento sull’autenticazione a due fattori. Oltre alla password, gli utenti hanno bisogno di un altro fattore per accedere a una macchina o a una rete. Il cosiddetto “fattore di possesso”, che consiste nella ricezione di una password una tantum sullo smartphone, è molto usato.
6. Comunicazione M2M con certificati
La comunicazione tra macchine è diventata una costante nel processo di digitalizzazione che colpisce ogni segmento della nostra economia. Così come con le persone, anche in questo contesto è necessario garantire sicurezza tramite accessi adeguatamente protetti. I certificati forniscono a ogni dispositivo un’identità univoca per accedere ad altre macchine o anche a interi sistemi.
7. Focus sull’Edge Computing
Prima di essere inviati a un cloud centrale, i dati vengono raccolti nella rispettiva macchina o impianto e devono passare attraverso una valutazione preliminare. Questo approccio permette di risparmiare larghezza di banda e assicura un minor rischio di furto o manipolazione di dati durante la trasmissione.
8. Comunicazione crittografata
La trasmissione dei dati tra Edge e Cloud, se non adeguatamente gestita, li espone a enormi rischi. Grazie all’utilizzo di un tunnel crittografato, è possibile rendere i dati inutilizzabili per chiunque cerchi di intercettare o accedere alla comunicazione.
9. Soluzioni on premises
Per molte aziende è importante mantenere la loro indipendenza da piattaforme di terze parti nella gestione dei dati e decidere in autonomia dove e come devono essere depositati. Grazie all’utilizzo di soluzioni On Premises è possibile offrire la massima flessibilità, poiché possono essere implementate nel cloud, nel data center dell’azienda o presso il partner system house.
10. Sensibilizzazione dei collaboratori
La maggior parte delle minacce informatiche si insinua nell’azienda tramite e-mail di phishing. Per mezzo di una falsa identità, gli aggressori inducono i collaboratori ad aprire un allegato o un link infetto. Un’adeguata formazione sull’utilizzo degli strumenti tecnologici è di sicuro un concreto aiuto nel coinvolgimento dei lavoratori.
L’intero articolo, pubblicato sul sito endian, è disponibile qui
L’Unione Europea alza l’asticella: con la direttiva NIS2, le aziende incluse nell’area dei servizi critici aumenteranno considerevolmente di numero e allo stesso tempo i requisiti di sicurezza informatica si faranno più stringenti. Le aziende devono prepararsi subito alla transizione: la tecnologia open source può aiutare a raggiungere gli obiettivi di cybersecurity.
Fra i rischi che le aziende corrono, quello di un attacco informatico e di una conseguente interruzione dell’attività è fra i più impattanti al mondo. In risposta al crescente numero di attacchi, l’Unione Europea ha rafforzato i requisiti normativi per la sicurezza informatica e ha adottato la direttiva NIS2 a dicembre 2022.
Gli Stati membri sono obbligati a convertire la direttiva in legge entro ottobre 2024: un tempo che le aziende dovrebbero sfruttare per allinearsi ai numerosi requisiti stringenti della direttiva.
La sicurezza informatica come priorità assoluta
L’obiettivo di creare le basi per una maggiore sicurezza informatica si basa su una serie di misure tecniche: la NIS2 richiede ad esempio, come misure minime la crittografia di dati e informazioni, la gestione delle vulnerabilità e un controllo sistematico degli accessi.
Non è tuttavia comunque sufficiente per raggiungere un livello di sicurezza adeguato, poiché anche metodologie e strumenti di attacco stanno diventando sempre più sofisticati. Il chatbot ChatGPT, per esempio, è in grado di comporre testi che non differiscono quasi per nulla da quelli scritti da un essere umano e questo rende ancora più difficile rilevare le e-mail di phishing con un allegato infetto da malware.
È importante perciò monitorare costantemente il traffico per individuare qualsiasi evento che si discosti dalla condizione di normalità. Se un attacco è riuscito a superare il firewall, il sistema di rilevamento delle intrusioni (IDS) può segnalare eventuali irregolarità, come un maggiore trasferimento di dati, mentre il sistema di prevenzione delle intrusioni (IPS) può bloccare l’attacco. Anche la Deep Packet Inspection (DPI) sta acquisendo sempre più importanza: questo strumento analizza i pacchetti di dati inviati in rete, fino al livello dell’utente, per individuare e classificare protocolli e applicazioni.
Oltre ai provvedimenti tecnici, diventeranno obbligatorie tutta una serie di misure organizzative: innanzitutto predisporre una gestione del rischio cyber, predisporre piani di emergenza e formare regolarmente i propri dipendenti in materia di sicurezza informatica. Ciò significa che il management non potrà più assegnare la responsabilità della cybersecurity esclusivamente al reparto IT, ma sarà chiamato a risponderne in prima persona.
Un altro fattore che sta diventando chiave nell’analisi e nella prevenzione del rischio è la supply chain: un attacco anche grave in termini di conseguenze può passare attraverso i fornitori o i sistemi di altre aziende. In questo contesto, le certificazioni che attestino l’affidabilità di sistemi e componenti, saranno particolarmente rilevanti e per questa ragione l’UE ha invitato gli Stati membri a definire standard industriali adeguati per la certificazione.
I vantaggi della tecnologia open source
La tecnologia open source consente di utilizzare standard di comunicazione aperti e offre quindi una buona soluzione per il collegamento in rete e la protezione di infrastrutture eterogenee. Ciò offre alle aziende la flessibilità necessaria anche per accogliere innovazioni future, senza dipendere da un singolo produttore o provider.
Inoltre, la NIS2 afferma che: “Le politiche che promuovono l’introduzione e l’uso sostenibile di strumenti di cybersecurity open-source sono di particolare importanza per le piccole e medie imprese che devono affrontare costi significativi per l’implementazione, riducendo al minimo la necessità di applicazioni o strumenti specifici“.
Sanzioni severe
Eventuali violazioni delle linee guida e degli obblighi di rendicontazione, sono soggette a severe sanzioni. In caso di mancato adeguamento, le sanzioni previste arrivano fino a 10 milioni di euro o al 2% del fatturato globale. Questo dato ci dice l’UE attribuisce alla sicurezza informatica la stessa importanza che attribuisce alla protezione dei dati.
Nonostante le sanzioni severe e gli obblighi estesi, la NIS2 rappresenta nel complesso un deciso passo in avanti: se le aziende metteranno effettivamente al centro la sicurezza informatica, sarà possibile contenere le minacce che arrivano dalla rete, e, in ultima analisi, saranno le stesse aziende a trarne vantaggio.
L’intero articolo, pubblicato sul sito endian, è disponibile qui
