Il Comitato europeo per la protezione dei dati (EDPB) ha dato il via alla sua azione coordinata per l’attuazione del Regolamento nel 2023 (Coordinated Enforcement Framework – CEF 2023).
Nel corso dell’anno, 26 Autorità di controllo dello Spazio Economico Europeo (SEE), compreso il Garante europeo della protezione dei dati, parteciperanno al CEF 2023 focalizzandosi sulla designazione e la posizione dei Responsabili della protezione dei dati (RPD).
Operando come intermediari tra le Autorità di protezione dei dati, le persone fisiche e i titolari di trattamento pubblici e privati, i responsabili della protezione dei dati svolgono un ruolo essenziale nel contribuire al rispetto della normativa sulla protezione dei dati e nel promuovere una tutela efficace dei diritti degli interessati.
Per valutare se i RPD operino realmente nei termini previsti dagli articoli 37-39 RGPD e dispongano delle risorse necessarie per svolgere i propri compiti, le autorità di controllo realizzeranno le attività previste dal CEF a livello nazionale in diversi modi:
– saranno inviati questionari ai RPD per facilitare la raccolta di elementi istruttori ovvero per individuare la necessità di accertamenti formali;
– avvio di accertamenti formali;
– follow-up degli accertamenti formali in corso.
I risultati dell’attività congiunta saranno analizzati in modo coordinato e le autorità di controllo valuteranno eventuali azioni ulteriori a livello nazionale. Inoltre, attraverso l’aggregazione dei risultati, sarà possibile un’analisi più approfondita con un follow-up mirato a livello dell’UE. L’EDPB pubblicherà una relazione sui risultati di tale analisi una volta concluse le singole attività.
Tratto da www.garanteprivacy.it – Newsletter del 15/03/2023
Il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non annulla il diritto dei lavoratori alla protezione dei dati personali. Tanto più se riguarda una forma di corrispondenza, come i messaggi di posta elettronica, la cui segretezza è tutelata anche costituzionalmente.
È una delle motivazioni con cui il Garante privacy ha sanzionato un’azienda che, dopo l’interruzione della collaborazione con un’esponente di una cooperativa, ne aveva mantenuto attivo l’account di posta elettronica, prendendo visione del contenuto e impostando un sistema di inoltro verso un dipendente della società.
La collaboratrice, prima che si definisse il rapporto di lavoro con l’azienda, aveva raccolto, a nome dell’azienda stessa e tramite una casella mail aperta per l’occasione, i riferimenti di potenziali clienti incontrati a una fiera.
Secondo l’azienda poi, il successivo tentativo di contattarli a nome della propria cooperativa aveva in seguito portato a un contenzioso giudiziale.
Quindi, nel timore di perdere i rapporti coi potenziali clienti, l’azienda non si era limitata a scrivere per spiegare loro che la persona era stata rimossa, ma ne aveva anche visionato le comunicazioni. Secondo il Garante, né l’esigenza di mantenere i rapporti con i clienti né l’interesse a difendere un proprio diritto in giudizio, legittimano un tale trattamento di dati personali. Per realizzare un adeguato bilanciamento degli interessi in gioco (necessità di prosecuzione dell’attività economica del titolare e diritto alla riservatezza dell’interessato) sarebbe stato sufficiente attivare un sistema di risposta automatico, con l’indicazione di indirizzi alternativi da contattare, senza prendere visione delle comunicazioni in entrata sull’account.
Nel corso del procedimento è inoltre emerso che l’azienda, in quanto titolare del trattamento, non aveva fornito all’interessata né idoneo riscontro alla richiesta di cancellazione della casella e-mail né l’informativa sul trattamento dati. A nulla vale il fatto che il contratto di assunzione non fosse stato ancora firmato. Come ricorda l’Autorità, nell’ambito di trattative precontrattuali, infatti, l’obbligo di informare gli interessati è espressione del principio generale di correttezza.
Libraesva, che ha trionfato ai Cybersecurity Excellence Awards 2023, annuncia il lancio del nuovo prodotto LetsDMARC .
Libraesva LetsDMARC rende incredibilmente facile configurare il protocollo DMARC per proteggere il marchio delle aziende, con approfondimenti immediati sui flussi di posta elettronica, in modo da poter garantire il controllo del dominio aziendale.
Questa soluzione permetterà alle aziende di:
– ottenere visibilità sulle fonti e sui flussi di posta elettronica utilizzando il dominio;
– identificare le fonti legittime autorizzate a inviare e-mail per loro conto;
– impedire ai criminali informatici di inviare e-mail fraudolente a partner, dipendenti e clienti tramite lo spoofing o impersonando i domini di invio.
Bitdefender ha pubblicato una nuova ricerca su una crescente truffa finanziaria che utilizza una versione fake di ChatGPT.
La campagna inizia con un’email di phishing che indirizza le vittime a una versione fake di ChatGPT. Il sito offre allettanti opportunità finanziarie utilizzando l’intelligenza artificiale per analizzare i mercati e consigliare azioni a fronte di un investimento minimo di 250 euro.
L’oggetto della email include frasi come per esempio:
– ChatGPT: Il nuovo bot AI fa impazzire tutti
– Il nuovo ChatGPT chatbot sta facendo impazzire tutti – ma molto presto sarà uno strumento comune come Google
– Perché tutti sono nel panico per il bot ChatGPT?
Il “chatbot” della falsa piattaforma inizia con una breve introduzione al suo ruolo di analisi dei mercati finanziari che può consentire a chiunque di diventare un investitore di successo. I ricercatori di Bitdefender hanno accettato di stare al gioco e hanno permesso alla chatbot di aiutarli ad arricchirsi: hanno così chattato con l’intelligenza artificiale (che poteva selezionare solo risposte predefinite) e hanno scoperto che la campagna è abbinata a un call center in cui operatori reali convincono le vittime a creare un conto (per iniziare a investire) fornendo informazioni personali e finanziarie come il numero di carta di credito.
La campagna al momento è attiva maggiormente in Danimarca, Germania, Australia, Irlanda e Paesi Bassi, ma Bitdefender consiglia agli utenti di tutto il mondo di stare all’erta, poiché la campagna sembra stia crescendo a livello globale.
L’intero articolo, con link a immagini e ricerca completa, pubblicato sul sito Bitdefender, è disponibilequi
La situazione delle minacce nello spazio cibernetico rimane tesa. Con la crescente digitalizzazione delle aziende, gli attacchi non sono solo un rischio per i sistemi IT: anche l’Operational Technology (OT) è sempre più nel mirino degli aggressori.
Endian raccomanda alle aziende di implementare le seguenti misure per garantire la sicurezza dei loro ambienti OT:
1. Visualizzazione delle reti
La rappresentazione grafica delle reti aiuta a rendere gestibile la loro crescente complessità. Riuscendo a visualizzare i vari componenti, sensori e connessioni, è più facile capire come funziona il flusso di comunicazione all’interno dell’azienda e oltre i suoi confini. Le irregolarità nei processi possono così essere riconosciute più facilmente. Allo stesso tempo, la visualizzazione costituisce la base per la segmentazione della rete.
2. Segmentazione delle reti
I ransomware sono ancora la più grande minaccia per le aziende in Italia. Gli aggressori criptano i dati aziendali tramite un codice, per estorcere successivamente un riscatto. Spesso, questo codice maligno mira a diffondersi nel modo meno evidente possibile nelle reti per ottenere il massimo effetto. Dividere la rete operativa in segmenti separati è quindi un passo fondamentale per garantire la sicurezza nell’area OT. Utilizzando i gateway di sicurezza IoT, che sono posizionati in ciascun segmento, le reti possono essere rapidamente suddivise senza richiedere alcuna modifica alla struttura della rete.
3. Introduzione del concetto di Zero Trust
Più la digitalizzazione avanza, meno le reti aziendali hanno confini chiari. Per un’attività ottimale, i fornitori e i partner commerciali hanno bisogno di accedere a determinate risorse aziendali; inoltre, l’attuale situazione ha portato molti dipendenti a lavorare da casa. Il concetto di Zero Trust si basa sul presupposto che nessun accesso – sia interno sia esterno – può essere considerato affidabile senza un’effettiva verifica. Non si basa più su luoghi, ma su identità, autorizzazione e autenticazione sicura di utenti e macchine per ogni ingresso.
4. Autorizzazione e autenticazione
Impostando account, utente e credenziali è possibile garantire che solo i dipendenti autorizzati abbiano accesso a macchine e sistemi. Per la gestione, gli amministratori hanno bisogno di uno strumento centrale che permetta loro di creare, cambiare o cancellare ruoli e autorizzazioni in tempo reale. L’introduzione di regole di accesso può aumentare ulteriormente la sicurezza: per esempio, si può specificare che i dipendenti debbano avere accesso alle reti solo da determinati Paesi. Le regioni in cui l’azienda non ha né filiali né clienti possono essere escluse.
5. Autenticazione a due fattori
Le password deboli sono un altro rischio per la sicurezza in ambienti OT. Soprattutto di fronte al crescente trend dell’home working, le aziende dovrebbero fare sempre più affidamento sull’autenticazione a due fattori. Oltre alla password, gli utenti hanno bisogno di un altro fattore per accedere a una macchina o a una rete. Il cosiddetto “fattore di possesso”, che consiste nella ricezione di una password una tantum sullo smartphone, è molto usato.
6. Comunicazione M2M con certificati
La comunicazione tra macchine è diventata una costante nel processo di digitalizzazione che colpisce ogni segmento della nostra economia. Così come con le persone, anche in questo contesto è necessario garantire sicurezza tramite accessi adeguatamente protetti. I certificati forniscono a ogni dispositivo un’identità univoca per accedere ad altre macchine o anche a interi sistemi.
7. Focus sull’Edge Computing
Prima di essere inviati a un cloud centrale, i dati vengono raccolti nella rispettiva macchina o impianto e devono passare attraverso una valutazione preliminare. Questo approccio permette di risparmiare larghezza di banda e assicura un minor rischio di furto o manipolazione di dati durante la trasmissione.
8. Comunicazione crittografata
La trasmissione dei dati tra Edge e Cloud, se non adeguatamente gestita, li espone a enormi rischi. Grazie all’utilizzo di un tunnel crittografato, è possibile rendere i dati inutilizzabili per chiunque cerchi di intercettare o accedere alla comunicazione.
9. Soluzioni on premises
Per molte aziende è importante mantenere la loro indipendenza da piattaforme di terze parti nella gestione dei dati e decidere in autonomia dove e come devono essere depositati. Grazie all’utilizzo di soluzioni On Premises è possibile offrire la massima flessibilità, poiché possono essere implementate nel cloud, nel data center dell’azienda o presso il partner system house.
10. Sensibilizzazione dei collaboratori
La maggior parte delle minacce informatiche si insinua nell’azienda tramite e-mail di phishing. Per mezzo di una falsa identità, gli aggressori inducono i collaboratori ad aprire un allegato o un link infetto. Un’adeguata formazione sull’utilizzo degli strumenti tecnologici è di sicuro un concreto aiuto nel coinvolgimento dei lavoratori.
L’intero articolo, pubblicato sul sito endian, è disponibile qui
