I dati rappresentano oggi il vero valore di ogni tipologia di azienda, dalle grandi multinazionali alle Piccole medie imprese di qualunque settore, perché abilitano l’innovazione, consentono di prendere decisioni di business motivate e di offrire servizi personalizzati ai clienti.
In virtù del loro valore, i dati attraggono rischi e minacce sempre più sofisticati. Tutti i rapporti degli analisti delineano uno scenario in cui gli attacchi informatici gravi e mirati aumentano, il ransomware diventa sempre più efficace e vario e il fenomeno delle violazioni di dati si conferma in preoccupante ascesa.
Ai rischi legati direttamente all’interruzione del business o alla perdita di competitività per la sottrazione o la diffusione non autorizzata dei dati, si aggiungono poi le possibili sanzioni derivanti dalla mancata osservazione dei requisiti normativi che diventano sempre più stringenti.
Controlli più stringenti e multe più salate con la NIS2
Un esempio è rappresentato dalla Direttiva NIS2, che dovrà essere integrata nelle rispettive legislazioni nazionali da tutti i 27 Stati membri dell’UE entro ottobre 2024.
La Direttiva mira ad armonizzare e potenziare resilience e cybersecurity di infrastrutture critiche, reti e sistemi IT e, tra le novità introdotte dalla nuova versione, vi è la sua applicabilità a un maggior numero di settori industriali, tra cui: fornitori di reti o servizi pubblici di comunicazione elettronica, produzione di prodotti critici (dispositivi medici, computer, elettronica, veicoli a motore), fornitori di servizi digitali (piattaforme di social network, motori di ricerca, mercati online), servizi postali e di corriere.
La nuova versione della Direttiva introduce anche requisiti e controlli di sicurezza più stringenti in materia di cybersecurity e gestione del rischio, tra cui: sicurezza della supply chain, tecnologie di cifratura, sicurezza orientata alle risorse umane, policy di controllo degli accessi e gestione degli asset, accesso Zero Trust (autenticazione a più fattori, autenticazione continua).
Inoltre introduce obblighi più severi di segnalazione degli incidenti a cui possono corrispondere pesanti sanzioni, con la possibilità per gli Stati membri di applicare multe fino a 10 milioni di euro o al 2% del fatturato annuo per determinate violazioni o infrazioni.
Inoltre, a differenza della direttiva originale, i requisiti di sicurezza informatica della NIS2 si applicano non solo alle organizzazioni che operano all’interno della definizione estesa di “critiche” e ai loro dipendenti diretti, ma anche ai subappaltatori e ai fornitori di servizi che le supportano.
Proteggere i dati attraverso l’intero ciclo di vita
Per una data protection realmente efficace e a prova di futuro è indispensabile una visione olistica che consideri la tutela dei dati importanti lungo il loro intero ciclo di vita.
Ciò significa garantire protezione e controllo granulare delle informazioni non solo durante l’utilizzo quotidiano, ma anche al momento della creazione, classificazione, memorizzazione e comunicazione/condivisione, fino alla fase di cancellazione sicura. Esistono anche tecnologie (tokenization, data masking, cifratura olomorfa/polimorfica) che consentono di non esporre i dati in chiaro neppure durante l’uso, fornendo la possibilità di effettuare le elaborazioni software sui dati cifrati che mantengono la struttura e la referenzialità con i dati originali.
Tuttavia sussistono ancora sfide rilevanti per estendere la data protection nativa nell’ambito dei servizi cloud, dove è più complesso per l’azienda mantenere il pieno e granulare controllo dei propri dati rispetto all’IT gestito on-premise. Ulteriori criticità emergono anche in contesti eterogenei e intricati quali l’Internet delle Cose (IoT), dove convivono potenzialmente milioni di oggetti intelligenti interconnessi che producono e scambiano dati: applicare protezione granulare in tali ambienti diviene arduo.
I rischi emergenti dell’Intelligenza Artificiale
Il nuovo mal di testa dei responsabili della sicurezza aziendale si chiama intelligenza artificiale (AI), soprattutto per le sue frontiere più avanzate come i modelli generativi (vedi ChatGPT) capaci di produrre essi stessi nuovi contenuti (testi, immagini, audio) indistinguibili da quelli reali.
I potenziali rischi possono includere: deriva e opacità algoritmica (algorithm shift, black box), scarsa
tracciabilità, bias e distorsioni nei dataset utilizzati per addestrare i sistemi di AI, scarsa protezione della proprietà intellettuale, possibilità di generare contenuti falsi ma verosimili. Inoltre l’AI intensifica in modo esponenziale la raccolta e l’utilizzo di ingenti volumi di dati personali, sollevando interrogativi rispetto a un utilizzo non consentito e a un tracciamento pervasivo degli individui.
Molte imprese, soprattutto PMI e realtà meno strutturate, faticano oggi a comprendere a pieno tali problematiche emergenti e devono rapidamente acquisire maggiore consapevolezza e competenze per una governance più attenta dell’intelligenza artificiale, nonché adeguare i propri presidi di data protection considerando tali nuovi scenari.
Best practice consolidate per rafforzare la protezione dei dati
In aiuto ci vengono best practice e framework consolidati su cui ogni azienda può fare leva per rafforzare in modo concreto la sicurezza del proprio patrimonio informativo. Ciò include l’implementazione su vasta scala di modelli Zero Trust per la gestione delle identità e degli accessi, garantendo il minimo privilegio indispensabile ai singoli utenti e prevedendo stringenti policy di autenticazione multi-fattore.
Altrettanto cruciale è l’adozione, fin dalla fase di design di applicazioni e infrastrutture IT, di principi “privacy & security by design”, fondamentali per prevenire le vulnerabilità invece di doverle rimediare a posteriori.
Ulteriori capisaldi della data protection riguardano: segmentazione rigorosa di reti, sistemi e dati in base a ruoli e funzioni; disaster recovery e business continuity per garantire la disponibilità dei servizi IT anche durante incidenti gravi; implementazione di Security Operation Center dotati di con SIEM, XDR, SOAR e threat intelligence per un monitoraggio continuo di ogni anomalia su infrastrutture e dati. Infine ma non meno importante, va curata la sensibilizzazione e la formazione costante del personale su policy, procedure e comportamenti sicuri di gestione delle informazioni.
Le sfide future: dai computer quantistici alla protezione su larga scala dell’IoT
Nonostante l’esistenza di framework e standard affidabili, il futuro della protezione dei dati riserva ulteriori incognite che richiederanno capacità di adattamento e nuovi paradigmi ancora da inventare.
I computer quantistici, il cui avvento reale su scala commerciale è atteso entro il 2030, basandosi su principi di fisica radicalmente innovativi, metteranno letteralmente in crisi gli standard crittografici oggi più robusti e all’avanguardia, costringendo aziende, istituzioni e agenzie di cybersicurezza a dover ripensare ex-novo tutti i fondamenti della protezione delle informazioni sensibili.
Altro scenario intricato sarà garantire sicurezza e privacy anche in un futuro molto prossimo dominato da miliardi di oggetti IoT interconnessi – spesso poco sicuri, eterogenei e non facilmente gestibili – che produrranno un volume enorme di dati personali e industriali, ponendo problemi inediti di data protection distribuita su vastissima scala. È importante che le imprese comprendano a fondo e affrontino queste problematiche emergenti, acquisendo visione strategica, competenze specialistiche e soluzioni tecnologiche adeguate a tutelare il proprio patrimonio informativo lungo l’intera catena del valore digitale.
Inutile fare finta di niente: ciò richiede investimenti rilevanti in cybersecurity e formazione del personale, collaborando con partner qualificati in grado di offrire consulenza olistica e servizi professionali di protezione del dato “by design”.
Occorre, inoltre, intensificare la collaborazione pubblico-privato e la condivisione di informazioni sensibili sulle minacce informatiche, per consentire anche alle realtà più piccole di dotarsi di difese adeguate contro un cybercrime sempre più organizzato e finanziariamente motivato.