01

Giustizia predittiva e aziende IT: un rapporto con implicazioni rilevanti

Negli ultimi anni, il rapporto tra forze dell'ordine e aziende tecnologiche è diventato sempre più stretto, grazie all’avanzamento delle tecnologie di big data, intelligenza artificiale e analisi predittiva. Questa collaborazione ha il potenziale di migliorare la sicurezza pubblica, ma solleva anche serie questioni legali e morali che meritano un'attenta analisi.

Forze dell'ordine e aziende IT

Le forze dell'ordine si avvalgono sempre più di strumenti forniti da aziende tecnologiche per raccogliere, analizzare e utilizzare i dati in modo efficiente. Software avanzati possono aiutare a prevedere il verificarsi di crimini, mappare aree a rischio e persino identificare sospetti attraverso il riconoscimento facciale. Tali strumenti promettono di ottimizzare le risorse e migliorare la risposta alle emergenze. Anche in Italia, la polizia predittiva è un tema in evoluzione, con un utilizzo crescente di tecnologie avanzate per la sicurezza. Tuttavia, l'applicazione della polizia predittiva non è ancora diffusamente implementata come in altri paesi.

L’adozione di queste tecnologie comporta una dipendenza crescente dalle aziende, che spesso operano in un contesto commerciale e con obiettivi profittevoli. La questione principale qui è: fino a che punto le forze dell'ordine possono delegare decisioni critiche a sistemi automatizzati e algoritmi?

Le collaborazioni tra forze dell'ordine e aziende tecnologiche devono affrontare una serie di sfide legali. In particolare, la protezione dei dati personali e la privacy sono argomenti di primaria importanza. Normative come il GDPR in Europa stabiliscono rigorosi requisiti per la raccolta e il trattamento dei dati, imponendo obblighi sia alle aziende sia agli enti pubblici.

Approfondisci l'argomento > Riconoscimento facciale: il Garante sanziona Clearview

Un aspetto critico riguarda la trasparenza e l’accountability. Chi è responsabile in caso di errore? Se un algoritmo errato porta a un arresto ingiustificato, chi si assume la responsabilità? La mancanza di chiarezza su questi aspetti può generare sfiducia da parte della comunità e compromettere il legame tra polizia e cittadini.

Per saperne di più > Riconoscimento facciale nei luoghi pubblici

Oltre agli aspetti legali, ci sono questioni morali fondamentali che devono essere affrontate. La possibilità di bias algoritmici, ovvero la predisposizione degli algoritmi a perpetuare pregiudizi esistenti, è una preoccupazione crescente. Ad esempio, se i dati storici utilizzati per addestrare un algoritmo contengono informazioni distorte su determinati gruppi demografici, il risultato potrebbe essere una sorveglianza sproporzionata su queste comunità.

Una questione di equilibri

Inoltre, la sorveglianza di massa e la raccolta di dati senza il consenso degli individui possono minacciare libertà civili e diritti umani fondamentali. La questione si complica ulteriormente quando le tecnologie utilizzate non sono sempre trasparenti, e le persone spesso non sono consapevoli della misura in cui i loro dati vengono raccolti e analizzati.

Potrebbe interessarti > Riconoscimento facciale: l’Italia tra i primi paesi a vietarlo

Di fronte a queste sfide, è essenziale sviluppare un quadro normativo chiaro che regoli l'uso delle tecnologie da parte delle forze dell'ordine. Ciò include non solo la protezione dei dati, ma anche linee guida etiche per l'uso degli algoritmi e la formazione del personale di polizia su come interpretare e utilizzare i risultati delle analisi predittive.

Conclusioni

Un approccio collaborativo, che coinvolga esperti in privacy, etica e tecnologia, potrebbe garantire che le soluzioni adottate siano sia efficaci che rispettose dei diritti dei cittadini. Il rapporto tra forze dell'ordine e aziende tecnologiche ha il potenziale di trasformare il modo in cui viene gestita la sicurezza pubblica. Tuttavia, è fondamentale affrontare le implicazioni legali e morali di queste collaborazioni. Solo attraverso un attento bilanciamento tra innovazione e rispetto dei diritti individuali si potrà garantire un futuro in cui la tecnologia supporta la giustizia senza compromettere le libertà civili.

APT_advanced_Persistent_threat

Come proteggersi dagli Advanced Persistent Threats (APT)

Le APT sono, al giorno d’oggi, una delle principali minacce per le aziende. Questa tipologia di attacchi sono progettati per infiltrarsi all’interno delle reti, rubare i dati sensibili e creare danni critici alle infrastrutture e sfuggire alle rilevazioni per lunghi periodi. 

di Seqrite.it

Cosa è un Advanced Persistent Threats (APT)?

Un’ APT è una campagna di attacco persistente, mirata e altamente sofisticata gestita dai gruppi di cyber criminali altamente specializzati o da soggetti “state-sponsored”. Le APT, a differenza delle minacce informatiche massive (che “sparano” nel mucchio e colpiscono solo alcuni obiettivi tra molti), sono pianificate ed eseguite in modo meticoloso con l’obiettivo di infiltrarsi all’interno di specifiche reti aziendali per una serie di scopi mirati: furto dati, manipolazione dei dati o sabotaggio delle infrastrutture.

 

Le caratteristiche degli attacchi APT

  1. Persistenza: rimangono nascosti per mesi o addirittura anni, per massimizzare il danno e l’estrazione dei dati.
  2. Approccio Mirato: sono personalizzati per specifiche aziende o individui, sfruttando delle tecniche di riconoscimento e di ingegneria sociale per individuare e sfruttare le vulnerabilità.
  3. Complessità: i gruppi APT impiegano un arsenale molto diversificato di tool, tecniche e procedure (TTP) per bypassare le misure di sicurezza e mantenere una presenza persistente nelle reti bersaglio.
  4. Furtività: gli attacchi APT utilizzano tattiche evasive, come l’uso di malware personalizzati, per evitare l’individuazione e mantenere la propria presenza non rilevata, per lungo tempo, nelle reti colpite.

 

Fasi e tattiche degli attacchi APT

Gli attacchi APT che riescono a infiltrare le reti, si svolgono tipicamente in tre fasi:

  1. Infiltrazione: la fase iniziale riguarda la violazione delle difese dell’obiettivo, di solito tramite tecniche di ingegneria sociale come lo spear phishing o l’exploit delle vulnerabilità presenti nelle risorse di rete o nelle applicazioni Web.
  2. Espansione: una volta che si è stabilito un “punto di appoggio”, gli attori APT si adoperano per espandere la loro presenza all’interno della rete, compromettendo sia i sistemi aggiuntivi e gli account utente per ottenere l’accesso ai dati sensibili e alle infrastrutture critiche.
  3. Estrazione: la fase finale prevede l’esfiltrazione dei dati rubati. Questo processo viene mascherato usando varie tattiche di distrazione per i team di sicurezza IT. Talvolta gli attaccanti lanciano attacchi DDoS per nascondere il flusso di dati in uscita.

Durante gli attacchi, i gruppi APT utilizzano un innumerevole numero di tecniche sofisticate, incluse:

  • Distribuzione di malware: malware personalizzati, come backdoor e trojan, sono utilizzati per stabilire una presenza persistente e mantenere un accesso remoto alla rete bersaglio.
  • Infrastrutture di Comando e Controllo (C2): gli attori APT creano reti complesse, di solito globali, di comando e controllo per gestire gli attacchi e l’estrazione dei dati.
  • Ingegneria sociale: per ottenere l’accesso alle reti bersaglio, gli attaccanti usano campagne di phishing mirate, tentano la compromissione di un anello della filiera (supply chain attack) oppure studiano quali siti web sono visitati spesso dai dispositivi aziendali e ne infettano uno (o più) con malware mirati.
  • Movimenti laterali: i gruppi APT navigano abilmente nella rete colpite, compromettendo sistemi e account aggiuntivi per espandere la loro portata e accedere ai dati sensibili.

 

Difendersi dagli APT? Serve un approccio multilivello

Salvaguardare la tua azienda contro gli attacchi APT richiede l’adozione di una strategia di sicurezza multilivello che affronti sia gli aspetti tecnici che “umani” della sicurezza informatica. Grazia ad un approccio olistico alla sicurezza è possibile migliorare in modo significativo la resilienza delle aziende e ridurre al minimo il rischio di intrusioni APT.

Misure di sicurezza della rete

  • Monitoraggio e analisi del traffico: monitorare attentamente il traffico di rete, sia in uscita che in entrata, può aiutare a rilevare i segnali di un attacco APT, come l’installazione di backdoor o tentativi di esfiltrazione dei dati.
  • Web Application Firewall (WAF): l’implementazione di un WAF può aiutare a mitigare gli attacchi comuni, come gli attacchi di SQL Injection e di Remote File Inclusion. Queste sono tecniche comuni utilizzate per stabilire un accesso iniziale sulla rete bersaglio.
  • Monitoraggio del traffico interno: l’implementazione di un firewall di rete e altri strumenti di monitoraggio permettono di verificare il comportamento degli utenti per identificare le anomalie che potrebbero indicare la presenza di un attore APT all’interno della rete.
  • Whitelisting delle applicazioni e domini: la restrizione degli accessi alle applicazioni e domini approvati può ridurre in modo significativo gli attacchi e limitare le vie di accesso per i gruppi APT per l’infiltrazione e i movimento laterali lungo la rete.

Controllo degli accessi e consapevolezza degli utenti

  • Gestione differenziata degli accessi: l’implementazione di controlli di accesso robusti, la scelta di un modello di rete zero-trust, l’attivazione dell’autenticazione a 2 fattori (2FA) aiutano a impedire che gli account utenti compromessi siano sfruttati dagli attori APT.

Per saperne di più > Approccio Zero Trust: nuova frontiera della sicurezza informatica

  • Formazione dei dipendenti sulla sicurezza: educare i dipendenti sulle più recenti tattiche APT, come il phishing e le tecniche di ingegneria sociale, migliora la capacità di identificare e segnalare per tempo le attività sospette, riducendo il rischio di infiltrazione.
  • Risposta agli incidenti e Threat Hunting: lo sviluppo di un piano completo di risposta agli incidenti e la ricerca attiva di indicatori dell’attività APT possono aiutare le aziende a rilevare, contenere e mitigare rapidamente l’impatto di un attacco.

 

Gestione delle vulnerabilità e Threat Intelligence

  • Patch e aggiornamento tempestivo dei software: garantire che tutti i software di rete e i sistemi operativi siano aggiornati con le ultime patch di sicurezza può aiutare a chiudere le vulnerabilità che i gruppi APT sfruttano per ottenere l’accesso iniziale.
  • Integrazione della Threat Intelligence: l’integrazione della Threat Intelligence nelle operazioni di sicurezza, aiuta a fornire le informazioni su tattiche, tecniche e procedure utilizzate dai gruppi APT permettendo di adattare proattivamente le difese aziendali.
  • Crittografia e protezione dei dati: implementare una criptografia robusta per i dati, a riposo e in transito, può ostacolare in modo significativo la capacità degli attori APT di accedere e estrarre le informazioni sensibili.

 

Risposta agli incidenti e resilienza 

  • Pianificazione completa della risposta agli incidenti: sviluppare e verificare regolarmente il piano di risposta agli incidenti aiuta l’azienda a rilevare, contenere e ripristinare rapidamente dati e reti da un attacco APT riuscito, riducendone al minimo l’impatto complessivo.
  • Backup e ripristino di emergenza: mantenere solide strategie di backup e ripristino aiuta la tua azienda a ripristinare rapidamente i sistemi e i dati critici in caso di violazione dei dati e dell’infrastruttura.

 

Sfruttare le soluzioni disponibili per la difesa dalle APT

Per combattere efficacemente la minaccia delle APT, le aziende possono sfruttare una gamma di soluzioni di sicurezza specializzate che affrontano le sfide poste da questi cyber attaccanti avanzati.

Web Application Firewall (WAF)

Una robusta soluzione WAF come con Seqrite Endpoint Protection, fornita con un firewall, gioca un ruolo cruciale nella protezione delle tue applicazioni web e dei tuoi server dai tentativi dei gruppi APT di stabilire un primo accesso nella tua rete. Monitorando il traffico web in entrata e bloccando i tentativi di attacco lungo il perimetro della rete, un WAF può impedire attacchi a livello di applicativi come l’SQL Injection o il remote file inclusion, che sono spesso presenti nelle campagne APT.

Protezione Backdoor

Il WAF di Seqrite Endpoint Protection ha funzionalità specifiche per l’individuare e prevenire l’installazione di shell backdoor, che sono molto utilizzate dai gruppi APT per mantenere la persistenza in una rete compromessa. Verificano il traffico verso i server web e intercettando i tentativi di interazione con questi punti di accesso nascosti, questa soluzione può rivelare ed eliminare la presenza di backdoor, che sono una componente cruciale, per i gruppi APT, per mantenere la presenza sulla rete.

Autenticazione a 2 Fattori (2FA)

Implementare una soluzione 2FA, come quella offerta da Seqrite Endpoint Protection, può aumentare significativamente il controllo degli accessi e prevenire che utenti non autorizzati possano sfruttare credenziali di utenti compromessi per muoversi lateralmente lungo la rete. Richiedere una forma di autenticazione aggiuntiva (oltre alla coppia di credenziali) può efficacemente impedire che i gruppi APT possano sfruttare account con privilegi di accesso per mettere le mani su informazioni sensibili e sistemi critici.

Protezione DDoS

Gli attori APT impiegano le tattiche di disturbo per distratte l’attenzione dei team di sicurezza dal vero attacco in corso. Spesso usano espedienti come gli attacchi DDoS (Distributed Denial of Service), per distrarre i team di sicurezza e indebolire le difese della rete, facilitando l’esfiltrazione dei dati rubati. Seqrite ZTNA può mitigare gli attacchi sia a livello di applicazioni che a livello di rete, garantendo che le risorse critiche della tua azienda restino sempre disponibili e resilienti contro queste tattiche finalizzate invece proprio a renderle indisponibili.

 

Per concludere: adottare una postura di sicurezza informatica proattiva

Per proteggere efficacemente la tua azienda da attacchi avanzati come gli APT, una strategia di sicurezza completa e multistrato è essenziale. Implementando un insieme di misure di sicurezza della rete, protocolli di verifica degli accessi, pratiche di gestione delle vulnerabilità e piani di risposta agli incidenti, è possibile migliorare in modo significativo la resilienza dell’azienda e ridurre al minimo il rischio di intrusioni APT.

NIS2_timeline

L’Italia ha recepito la NIS2: quali tempistiche per enti e aziende?

L’Italia ha recepito la NIS2 con il D.lsg 138/2024. Entrerà in vigore il 16 Ottobre 2024. Quali sono le tempistiche di adeguamento per enti e aziende?

 

La Direttiva NIS 2 in breve

Il Consiglio dell’UE e il Parlamento europeo hanno adottato, nel Dicembre 2022, la direttiva sulla sicurezza delle reti e dei sistemi informativi 2.0, la NIS2 appunto. La Direttiva prevede una serie di requisiti di sicurezza informatica che sono vincolanti per tutti gli stati membri dell’Unione Europea.

Ricordiamo che, al contrario dei Regolamenti che sono di diretta applicazione, le Direttive devono essere prima recepite dagli stati membri, che devono integrarne i principi nella propria legislazione. L’Italia ha già recepito la NIS. Sotto la timeline:

  • 2016: direttiva NIS1
  • 2018: l’Italia recepisce la NIS1
  • 2022: adozione della NIS2, la NIS1 è abrogata
  • 4 Settembre 2024: approvato in Italia il decreto legislativo che recepis ce la NIS2 (D.lsg 138/2024)
  • 16 Ottobre 2024: entrata in vigore del D.lsg 138/2024.
  • 17 Ottobre: termine massimo per la ricezione della NIS2 da parte degli Stati membri.

Per approfondire, ti consigliamo di leggere questa panoramica che abbiamo già scritto riguardo alla NIS2.

 

La conformità alla NIS2 sarà obbligatoria

Facciamo chiarezza (e comunicazione corretta): la conformità alla NIS2 sarà obbligatoria. Non dal 16 Ottobre però, sia chiaro. Chi afferma questo lo fa in cattiva fede. Il primo passo che infatti dovrà essere fatto è quello di identificare in maniera precisa gli operatori che rientrano nell’applicazione di questa normativa.

Il Decreto 138/2024 (pubblicato in Gazzetta Ufficiale) specifica già che vi saranno soggetti sia privati che pubblici. Rispetto al testo europeo, il decreto reca una specifica aggiuntiva: rientrano nell’ambito di applicazione della normativa gli operatori che sono soggetti alla giurisdizione nazionale.

Rispetto alla NIS1, la NIS 2 quindi:

  • si applicherà a più soggetti;
  • richiederà l’analisi dei rischi;
  • prevede sì stringenti misure di sicurezza, ma adeguate al contesto (quindi anche la capacità di spesa dei soggetti sottoposti alla sua applicazione).

L’autorità italiana di riferimento per la NIS2 sarà l’ACN, il “braccio operativo” lo CSIRT.

 

Le scadenze della NIS2: quanto tempo c’è per adeguarsi

  • 1° Gennaio – 28 Febbraio: i soggetti che ritengono di rientrare nell’ambito di applicazione del D.lsg 138/2024 dovranno registrarsi sulla piattaforma digitale resa disponibile per tale scopo dall’ACN. Ciò sarà valido anche per gli anni a venire, quindi ogni anno le aziende / enti dovranno anche aggiornare la propria registrazione. Il che significa che enti e aziende dovranno effettuare una valutazione per capire se siano o meno soggette agli obblighi della NIS2.
  • Entro il 17 Gennaio 2025 dovranno registrarsi nella piattaforma di ACN i seguenti soggetti:
    fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, motori di ricerca online e le piattaforme di servizi di social network.
  • 31 Marzo 2025: l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti, in base alle registrazioni ricevute nella piattaforma. Tra il 1 e il 15 Aprile 2025 l’ACN comunicherà ai soggetti registrati l’inserimento nell’elenco dei soggetti essenziali o importanti.
  • Entro il 15 Aprile 2025: i soggetti designati dovranno nominare, con apposito atto, il soggetto responsabile dell’adempimento agli obblighi normativi previsti dal D.lsg 138/2024.
  • Dal 1° Gennaio 2026 i soggetti riguardai dovranno essere in condizione di adempire agli obblighi di notifica degli incidenti.
  • Entro Ottobre 2026 i soggetti riguardati dovranno adempire:
    • agli obblighi degli organi di amministrazione e direttivi (art. 23)
    • agli obblighi in materia di gestione dei rischi e implementazione delle misure di sicurezza (art. 24);
    • all’obbligo di raccolta e mantenimento di un database dei dati di registrazione dei nomi di dominio (art. 29).

Date queste tempistiche, previste esplicitamente dal decreto di recepimento della Direttiva NIS, il panico non serve ma occorre che aziende ed enti pubblici si muovano per tempo.

dati_sensibili_meta

Condividevano dati sensibili con i social Meta per errata configurazione di Metapixel: sanzionate due farmacie online

Condividevano dati sensibili con i social Meta: il Garante privacy svedese sanziona due farmacie online.

 

I fatti

A distanza di pochi giorni, due note aziende farmaceutiche dotate di e-commerce online, hanno subito sanzioni per un ammontare complessivo di 4 milioni di euro. La loro colpa? Condividevano dati sensibili con i social Meta “per anni e in maniera imprudente”.

A partire dal 2017, come ricostruito in corso di istruttoria, le due società hanno condiviso i dati sensibili di circa un milione di clienti. Condotta che si è protratta fino all’intervento dell’ autorità garante. Tutto questo è avvenuto, però, se l’esplicita volontà delle due aziende di condividere tali dati. Il problema sta tutto nello strumento di analisi Metapixel.

 

Condividevano dati sensibili con i social Meta: tutta colpa di Metapixel

Le due aziende, la Apoteket e la Apohem, hanno confermato di utilizzare uno strumento di analisi legittimo, Metapixel appunto. Usavano questo tool per migliorare il marketing sulle piattaforme social del gruppo Meta, Facebook e Instagram. Il problema è che hanno perso il controllo del flusso dei dati.

“Non è mai stata intenzione di Apoteket condividere informazioni in questa misura, e ora stiamo imparando da quello che è accaduto”

ha dichiarato il direttore generale di Apoteket ai giornali locali. A riconferma che il flusso di dati fuori controllo dipendeva da un errore.

Ma quale? Tutto dipende da una sotto-funzione di Meta Pixel. Questa sotto-funzione richiedeva agli utenti che accedevano al sito per comprare medicinali il consenso ai cookie. Prestare il consenso attivava la condivisione dei dati sensibili direttamente con i social.

Per saperne di più > COOKIE: il perché di tutta questa attenzione

Per quanto tali dati non contenessero ricette mediche, resa che le due aziende farmaceutiche hanno inviato a Meta un’enorme quantità di dati personali. Tra i dati inviati informazioni sull’acquisto dei medicinali da banco specifici, autotest, prodotti per la cura di malattie veneree così come acquisto di sex toys e altro. Tutti dati sensibili per i quali il GDPR prevede l’obbligo di adottare adeguate misure di protezione e sicurezza.

Per approfondire > Quali Cookie usa la tua azienda?

La sanzione del Garante privacy svedese

La condivisione illecita di dati sensibili con Meta si è prolungata per anni, anche perché le aziende non parevano esserne consapevoli. Le aziende hanno interrotto la condivisione dei dati solo dopo che sono state informate del problema dagli utenti stessi.

Al di là che le aziende farmaceutiche fossero o meno consapevole della condivisione dei dati, resta accertato il fatto. Per questo il Garante per la protezione dei dati personali scandinavo ha deciso di comminare due sanzioni alle aziende, per un ammontare complessivo di circa 4 milioni di euro.

spf_dkim

SPF e DKIM: come non far finire le tue email nello spam

SPF e DKIM sono protocolli di autenticazione delle email che garantiscono alla tua azienda affidabilità nelle comunicazioni, miglioramento della sicurezza e ti aiutano a preservare la reputazione del tuo marchio. 

La minaccia del phishing e dello spoofing nelle e-mail

In un contesto in cui la sicurezza informatica è diventata una priorità assoluta, la protezione delle email rappresenta una delle sfide più urgenti per aziende e privati. Ogni giorno, migliaia di email vengono intercettate o sfruttate in modo fraudolento, mettendo a rischio dati sensibili e compromettendo la fiducia nelle comunicazioni digitali. Tra le minacce più comuni ci sono il phishing e lo spoofing, forme comuni di truffe informatiche che mirano a ingannare le vittime facendole credere che le email provengano da fonti affidabili, come istituti bancari o siti web conosciuti. Questi attacchi sfruttano loghi contraffatti e comunicazioni ingannevoli per ottenere dati sensibili, con potenziali conseguenze devastanti, come furti di identità e perdite finanziarie.

Per approfondire > Phishing adattivo: un fenomeno in crescita anche in Italia

Protocolli di autenticazione delle email: SPF e DKIM, ma anche DMARC

Per difendersi efficacemente da queste minacce, esistono due strumenti chiave che ogni amministratore di un dominio dovrebbe conoscere e implementare: SPF (Sender Policy Framework)DKIM (DomainKeys Identified Mail). In aggiunta abbiamo anche DMARC (Domain-based Message Authentication, Reporting, and Conformance), che ha però uno scopo diverso. SPF e DKIM convalidano l’autenticità del messaggio, mentre DMARC indica ai server del destinatario come gestire le email che non superano i controlli di autenticazione. L’implementazione congiunta di SPF, DKIM e DMARC impedisce l’utilizzo non autorizzato del tuo dominio per l’invio di email fraudolente verso clienti, dipendenti, fornitori ecc…

Questi standard non solo migliorano la sicurezza delle email, ma forniscono una difesa robusta contro frodi e attacchi informatici.

Come funzionano SPF e DKIM?

Immagina un locale dove l’accesso è riservato solo agli ospiti autorizzati. Tu fornisci una lista degli invitati e la sicurezza accoglie solo coloro i cui nomi sono presenti. Gli altri devono attendere o vengono allontanati. In modo simile, SPF e DKIM fungono da filtri per le email, distinguendo i mittenti autentici da quelli non autorizzati. Questo è importante per le aziende di tutte le dimensioni, dato che la reputazione è essenziale per mantenere la fiducia dei clienti e dei partner. Gli ISP (Internet Service Provider), infatti, consegnano esclusivamente i messaggi provenienti da mittenti con una reputazione positiva, il che implica che:

  • Il mittente non è stato contrassegnato come spammer dagli utenti;
  • Il suo dominio e l’indirizzo IP non risultano iscritti in blacklist;
  • Il sender score è elevato.

Vediamo nel dettaglio come funzionano SPF, DKIM E DMARK:

SPF (Sender Policy Framework):

SPF consente al proprietario di un dominio di specificare quali indirizzi IP o server sono autorizzati a inviare email per conto del dominio. Questo protocollo aiuta i provider di servizi Internet (ISP) a rilevare e bloccare eventuali tentativi di abuso del dominio, come nel caso degli attacchi di phishing. In altre parole, SPF garantisce che solo gli IP autorizzati possano inviare email dal tuo dominio, proteggendo così l’azienda da utilizzi illeciti.

È importante riconoscere che, sebbene SPF sia un elemento fondamentale per l’autenticazione delle email, ha alcune limitazioni:

  • non crittografa i messaggi: SPF non protegge il contenuto delle email;
  • non genera report: non fornisce feedback diretto su eventuali tentativi di spoofing;
  • interferenze con l’inoltro: L’inoltro di un’email può invalidare i controlli SPF, poiché l’utente che inoltra diventa il nuovo mittente.

DKIM (DomainKeys Identified Mail)

DKIM è un record TXT nel DNS che, a differenza di SPF, rimane valido anche se l’email viene inoltrata. Utilizza una chiave crittografica per firmare digitalmente le email, associando la firma al dominio mittente. Questo sistema non solo autentica il mittente, ma garantisce anche che il contenuto dell’email non venga alterato durante la trasmissione, offrendo quindi una doppia protezione.

Può essere paragonato a un sigillo di cera sui documenti ufficiali: un messaggio privo di sigillo o con un sigillo danneggiato perde la sua affidabilità.

Ogni server di smistamento email utilizza due chiavi DKIM: una privata e una pubblica. Quando invii un’email, il server ricevente cerca la chiave pubblica nel DNS. Se trova la chiave, verifica la firma DKIM nel messaggio. Se la firma corrisponde, il messaggio viene accettato; in caso contrario, subisce un bounce e potrebbe non essere consegnato, finire nello spam o essere spostato in un’altra cartella.

E DMARC (Domain-Based Message Authentication, Reporting & Conformance)?

DMARC si basa sui protocolli SPF e DKIM per offrire una protezione ancora più efficace. Verifica che il dominio da cui provengono le email sia allineato con i domini autenticati tramite SPF e DKIM, riducendo così il rischio di attacchi di spoofing e phishing. Inoltre, DMARC fornisce rapporti dettagliati sugli eventuali tentativi di abuso del dominio, permettendo alle aziende di monitorare e gestire meglio la sicurezza delle email.

 

Google e Yahoo impongono SPF e DKIM: rifiutato il traffico non conforme

Se SPF e DKIM sono misure di sicurezza consigliabili ma non obbligatorie, una forma di “obbligatorietà” esiste nei fatti. Google e Yahoo hanno infatti imposto requisiti più stringenti agli utenti che vogliono utilizzare i servizi di posta elettronica.

Le nuove policy sono in vigore da Febbraio 2024. Google in particolare ha iniziato a rifiutare il traffico non conforme a partire da Aprile 2024.

 

Perché SPF e DKIM sono fondamentali

L’implementazione dei protocolli SPF, DKIM e DMARC offre numerosi benefici per la sicurezza e l’efficienza delle comunicazioni via email:

  • protezione contro phishing e spoofing:
    solo mittenti autorizzati possono inviare email dal tuo dominio, riducendo il rischio di attacchi informatici;
  • salvaguardia della reputazione:
    evita che il tuo marchio venga associato a email fraudolente, preservando la fiducia dei clienti e dei partner;
  • miglioramento della deliverability:
    aumenta la probabilità che le email legittime raggiungano la casella di posta dei destinatari, migliorando l’efficacia delle campagne di Email Marketing;
  • monitoraggio delle attività sospette:
    DMARC fornisce rapporti dettagliati sulle email non autenticate, consentendo una rapida identificazione e gestione delle minacce;
  • Trasparenza nelle comunicazioni:
    rafforza la fiducia tra l’azienda e i suoi interlocutori, creando un ecosistema di comunicazione più sicuro e affidabile.
  • Compliance con le best practices:
    dimostra l’impegno dell’azienda per la sicurezza informatica, rispettando gli standard di settore e aumentando la credibilità del marchio. Inoltre, sebbene SPF, DKIM e DMARC non siano esplicitamente richiesti dal GDPR, la loro implementazione contribuisce a una gestione più sicura e responsabile delle comunicazioni via email, riducendo il rischio di sanzioni per violazioni della sicurezza dei dati.
intelligenza_artificialE_GDPR

Intelligenza artificiale e GDPR: guida pratica per le aziende

Intelligenza artificiale e GDPR: l’AI è uno strumento sempre più adottato in tutte le aziende, anche PMI. Ecco una guida pratica per adottare l’AI nella tua azienda in conformità al GDPR.

 

Intelligenza artificiale e aziende: tutti i vantaggi

L’intelligenza artificiale (IA) è una tecnologia in rapida evoluzione che sta rivoluzionando il modo in cui le aziende operano. È una tecnologia che consente alle macchine di apprendere e di prendere decisioni in modo autonomo, senza la necessità di essere programmate esplicitamente. L’IA può essere utilizzata in una vasta gamma di applicazioni, dalle chatbot ai sistemi di raccomandazione, dai sistemi di sicurezza ai sistemi di gestione dei dati.

Tra gli strumenti AI che le aziende adottano più spesso ci sono:

  • chatbot e assistenti virtuali;
  • sistemi di raccomandazione;
  • sistemi di gestione dei dati e analisi dei dati;
  • sistemi di sicurezza e protezione dei dati;
  • algoritmi di machine learning e deep learning…

Per quali motivi? Molteplici:

  • automatizzare processi ripetitivi;
  • migliorare la gestione dei dati e l’analisi dei dati;
  • migliorare la customer experience;
  • sviluppare nuovi prodotti e servizi;
  • migliorare la sicurezza e la protezione dei dati.

A fronte di grandi vantaggi, ci sono dei contro. L’utilizzo dell’IA solleva, infatti, anche questioni relative alla protezione dei dati personali e al rispetto del Regolamento Generale sulla Protezione dei Dati (GDPR).

Potrebbe interessarti > Intelligenza artificiale generativa. Nuove sfide per la protezione dei dati

 

L’ AI Act affianca il GDPR: i limiti per l’Intelligenza Artificiale

L’AI Act è il primo regolamento europeo, approvato nel Maggio 224, che stabilisce regole armoniche su tutto il territorio dell’UE riguardanti l’intelligenza artificiale. L’esigenza di una normativa tale era sentita da tempo, dato i rischi e l’impatto sociale che queste tecnologie possono comportare.

L’AI ha un approccio basato sul rischio: più l’uso dell’AI è pericoloso, più il divieto è stringente. Sono vietate le attività il cui rischio è “inaccettabile” come il condizionamento psicologico o l’esposizione dei bambini a messaggi pubblicitari ecc…

Attività con rischio elevato o limitato sono permesse, ma entro precisi criteri e limiti. L’impiego dell’intelligenza artificiale per selezione del personale, operazioni di polizia, gestione di infrastrutture critiche, social scoring (affidabilità creditizia ecc…) richiedono una precisa valutazione di conformità, prima dell’impiego.

Indipendentemente dal livello di rischio, trasparenza e informazione restano i due cardini sul quale deve basarsi il rapporto tra utente ed azienda che implementa l’Intelligenza artificiale.

Per saperne di più > La portata dell’ AI Act

 

AI e GDPR: consigli pratici

Dalla lettura combinata di GDPR e AI Act possiamo ricavare indicazioni pratiche per le PMI che scelgono di adottare strumenti di intelligenza artificiale. Ad esempio, nel caso dell’impiego di sistema AI ad alto rischio, le aziende devono svolgere una DPIA tenendo di conto:

  • le istruzioni comunicate dal fornitore;
  • l’uso corretto e le finalità previste per l’impiego dell’AI.

In questo caso l’Ai Act introduce anche la cosiddetta FRIA (Fundamental Rights Impact Assessment – la valutazione d’impatto sui diritti fondamentali). Lo scopo della FRIA è quello di valutare gli effetti che un sistema AI ad alto rischio può avere sui diritti fondamentali dei cittadini. All’atto pratico, queste due valutazioni possono essere svolte in contemporanea ma, ricordiamo, sono necessarie solo in caso di impiego di AI ad altro rischio.

Le aziende dovranno comunque analizzare attentamente quali dati “dare in pasto” all’intelligenza artificiale e qui ci dovrà essere sicuramente compatibilità con le finalità per le quali l’utente ci ha prestato il consenso (o quantomeno coerenza).

In breve, consigliamo di:

  • definire chiaramente le finalità del trattamento dati, così da essere poi estremamente chiari nei confronti degli utenti;
  • eseguire le valutazioni DPIA e FRIA;
  • informare chiaramente gli utenti sull’uso dell’intelligenza artificiale, sul come e perché sono usati i dati. Il GDPR impone, nei fatti, che gli utenti siano messi in condizione di comprendere i processi automatizzati che coinvolgeranno i loro dati (e per i quali serve esplicito consenso);
  • implementare adeguate misure di sicurezza per la protezione dei dati personali (esempi? Pseudonimizzazione, criptazione, accesso controllato ai dati ecc…);
  • formare i dipendenti!! Anche i sistemi di intelligenza artificiale devono essere gestiti. Anche perché sul punto il legislatore è molto chiaro: deve comunque esserci la garanzia di supervisione umana. Chi dovrà gestire questi sistemi, validare i dati di cui i sistemi AI necessitano dovrà formarsi.
attacchi-ransomware

Tecniche di estorsione dei Ransomware: evoluzione e nuove frontiere

Le tecniche di estorsione dei Ransomware sono passate dalla singola richiesta di riscatto a modalità doppie, triple e perfino quadruple. Nell’articolo analizziamo le nuove metodologie utilizzate dai cybercriminali e le strategie per proteggere la tua azienda.

 

Una minaccia sempre più pericolosa

I ransomware continuano a essere tra gli attacchi informatici più temuti a livello globale. Si tratta di minacce che possono infettare i dispositivi digitali, bloccando l’accesso ai dati. L’unico modo per riottenerli è possedere la chiave di decriptazione, per la quale gli aggressori richiedono un riscatto (in inglese “ransom”). Questa caratteristica rende i ransomware particolarmente pericolosi, poiché, nonostante si tratti di un malware, a differenza degli altri, non lasciano aperte altre possibilità di recupero dei dati.

Inoltre, la percezione del pericolo rappresentato dai ransomware è spesso sottostimata. Tra il 2017 e il 2021, i danni causati a livello globale sono aumentati drasticamente, passando da 5 a 20 miliardi di dollari. In Italia, la situazione è allarmante, con il 58% delle aziende colpite, equivalenti a una su sei.

 

Già nel 2020, l’FBI segnalava un significativo incremento non solo nella frequenza degli attacchi ransomware, ma anche nella loro precisione, accuratezza e metodologia.

Ma come è riuscito il ransomware a trasformarsi da una minaccia “trascurabile” a un incubo per le aziende? E quali strategie possono adottare le imprese per difendersi da attacchi futuri?

Le prime forme di Ransomware

Il fenomeno del ricatto informatico non è un’innovazione del XXI secolo. La prima comparsa del ransomware risale al 1989, con “Trojan AIDS”. In quell’occasione, data la forte preoccupazione dell’AIDS, il biologo Joseph Popp inviò 20.000 floppy disk che contenevano informazioni sulla malattia a pazienti, ospedali e privati in 90 Stati diversi. I dischetti però non contenevano solo informazioni sull’AIDS, ma nascondevano anche un ransomware che criptava i file del dispositivo infetto. Per avere la chiave di decriptazione le vittime dovettero pagare un riscatto di 189 dollari.

In questi anni però il punto debole era il fatto di poter rintracciare facilmente il colpevole attraverso le informazioni di pagamento. Il ransomware ha visto un’evoluzione quasi 15 anni dopo, grazie alle valute digitale e alle criptovalute, che hanno permesso pagamenti più anonimi.

Uno degli attacchi ransomware più gravi e di grosse dimensioni è stato il famoso WannaCry, che si è verificato nella primavera del 2017. Ad aver colpito particolarmente erano state l’aggressività della falla sfruttata e la scala dell’attacco stesso. L’attacco, infatti, aveva raggiunto quasi 200.000 vittime in circa 150 paesi diversi, finendo sui media di tutto il mondo.

Tecniche di estorsione dei Ransomware: gli esordi

Al principio, la maggior parte degli attacchi ransomware erano campagne condotte in serie. Ciò significa che si trattava di campagne di massa, rivolte al maggior numero di potenziali vittime possibile. Se questo tipo di attacchi, a singola estorsione, riusciva a colpire grandi aziende, gli attaccanti potevano aspettarsi grandi ricavi. Per difendersi, le aziende hanno implementato tecniche di sicurezza informatica. In particolare il backup, vitale per ripristinare la situazione in seguito a un attacco. Negli anni, però, i gruppi criminali si sono evoluti e sono cresciuti e, di conseguenza, hanno escogitato nuove tattiche. Inoltre, hanno cominciato ad eseguire attacchi maggiormente mirati verso aziende che avrebbero potuto garantire un maggior guadagno.

 

Il Ransomware Maze e la nascita della doppia estorsione

L’attacco del ransomware Maze contro Allied Universal nel 2019 segnò un punto di svolta nella strategia dei cybercriminali. Oltre a chiedere il riscatto per decriptare i dati, i criminali hanno cominciato a minacciare di pubblicare i file rubati online se non fosse stato pagato un secondo riscatto.

Anche se minacce simili erano già state fatte in passato, fu la prima volta che queste vennero effettivamente realizzate. In seguito alla minaccia e al rifiuto da parte dell’azienda, venne infatti pubblicato un campione di dati sensibili relativi all’azienda. La notizia è stata così inaspettata da aver coinvolto anche varie testate giornalistiche. Il Ransomware Maze aveva poi affermato che era parte del suo lavoro esfiltrare e rubare i dati delle vittime, per potrer avere ulteriori strumenti di ricatto.

La tattica usata dal ransomware Maze rese il ransomware ancora più pericoloso e costrinse le vittime a scegliere tra il meno peggio. Meglio pagare il riscatto o subire le conseguenze della diffusione di informazioni riservate? Tra queste, ad esempio, la possibile perdita di affidabilità, il danno d’immagine, la perdita di clienti, l’insoddisfazione degli investitori ecc. Senza parlare poi del fatto che il furto di dati di un’azienda può favorire la concorrenza e può essere sanzionato dal Garante Privacy con multe molto salate.

Per approfondire > Subire un attacco ransomware non esime dalle responsabilità di protezione dati: il Garante Privacy sanziona la regione Lazio

 

Tecniche di estorsione dei Ransomware: la doppia estorsione come modus operandi

Dal primo trimestre del 2020, questa tecnica è diventata un vero e proprio modus operandi, dando vita alla doppia estorsione. Altri gruppi di criminali informatici, infatti, oltre a chiedere di pagare un riscatto per la chiave di criptazione, hanno cominciato a chiederne un secondo, affinché le informazioni private non venissero pubblicate online. Il gruppo criminale REvil, conosciuto anche come Sofinokibi, è stato uno dei primi ad imitare Maze. Il gruppo è ricordato soprattutto per l’attacco contro la National Eating Disorders Association americana. Gli attaccanti dietro a questo ransomware hanno pubblicato i dettagli degli attacchi contro diversi bersagli, oltre a varie informazioni aziendali.

Anche il Ransomware Lockbit è stato uno di questi: proprio a settembre 2020 ha lanciato il proprio sito di data leak in cui carica e fa trapelare i documenti delle aziende vittima. Solitamente pubblica un campione di dati rubati e un countdown che indica il tempo rimanente per pagare il riscatto prima che i dati vengano pubblicati.

Va poi ricordato che molto spesso però, i dati sensibili rubati finiscono anche in vendita nel dark web.

Inoltre, con la doppia estorsione, un attacco ransomware di successo è nei fatti anche un data breach, essendo un furto di dati sensibili. Il miglior approccio per le aziende è quindi quello di segnalarlo all’Authority di protezione nazionale dei dati.

Per approfondire > Ransomware e data breach: cosa succede quando un attacco informatico “buca” un’organizzazione

 

Non c’è due senza tre…gli attacchi a tripla estorsione

Gli attacchi ransomware a tripla estorsione sono un’ulteriore evoluzione delle tecniche di estorsione dei ransomware. Oltre a rubare e criptare i dati, i cybercriminali contattano direttamente clienti o partner dell’azienda colpita, dicendo di avere le loro informazioni riservate. In questo modo, incentivano queste persone ad insistere affinché si adoperino per chiedere all’azienda vittima dell’attacco di pagare il riscatto.

Gli attacchi a doppia estorsione sono al momento i più diffusi, ma prendono piede anche quelli più sofisticati, tant’è che si comincia a parlare anche di attacchi ransomware a quadrupla estorsione. In cosa consistono? Sono attacchi a tripla estorsione che aggiungono un ulteriore passaggio: oltre a rubare, criptare e contattare i clienti o partner dell’azienda colpita, sferrano attacchi DDoS (distributed denial of service). Ciò significa che tempestano i server dell’azienda di richieste fino a metterla ko. Questo serve per aggiungere ulteriore pressione all’azienda e convincerla a pagare il riscatto.

 

Proteggersi dalle tecniche di estorsione dei ransomware: step basilari

Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

  • Predisponi un piano di backup. E’ fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
  • Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso: le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
  • Scegli una solida soluzione antivirus e mantienila sempre aggiornata: sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
  • Adotta l’approccio zero trust: applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili. Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
  • Evita di scaricare file o cliccare su link contenuti nelle email. Spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, anzi. L’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine, non abilitare mai le macro contenute nei documenti circolanti via email. A meno che non ci sia l’assoluta certezza della legittimità della comunicazione. Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
  • Forma i dipendenti, i collaboratori e chiunque acceda alla rete. Come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
  • Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
  • Implementa un modello di sicurezza stratificato (multi livello). Nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
    > sicurezza delle reti e dei server;
    > gestione degli endpoint;
    > gestione dei dispositivi mobile. Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
  • Implementa sistemi di protezione preventiva: come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
  • Adotta un SOC – Security Operation Center: un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette. Per approfondire > SOC – Security Operation Center: che cosa, perché, come
sicurezza_cloud

Servizi cloud e sicurezza informatica: rischi e vantaggi per le aziende

Cloud e sicurezza: l’adozione del Cloud presenta molti vantaggi ma anche vari problemi. Il Framework per la Gestione dei Rischi del Cloud di Seqrite permette di affrontarli e minimizzarne l’impatto.

Il mercato Cloud è in costante crescita

Ma cos’è esattamente il Cloud? Il Cloud Computing rappresenta un insieme di servizi ICT (Information and Communication Technology) che vengono offerti attraverso Internet in modalità on-demand . Questo modello consente alle aziende di accedere a risorse informatiche senza dover acquistare e gestire fisicamente l’infrastruttura sottostante. I servizi cloud si acquistano in base alle esigenze specifiche dell’azienda e vengono fatturati in base all’effettivo utilizzo. Questo approccio offre un’elasticità senza precedenti, consentendo alle aziende di scalare le risorse in modo rapido e flessibile. I benefici in termini di riduzione dei costi operativi e miglioramento della gestione delle risorse IT sono evidenti.

I dati testimoniano che il mercato Cloud in Italia sta vivendo una fase di rapida espansione. Si parla di una crescita del 19% nel 2023 rispetto all’anno precedente, raggiungendo un valore di 5,51 miliardi di euro. Questa accelerazione è stata notevolmente influenzata dalla pandemia che ha imposto un cambiamento significativo verso il lavoro remoto e l’adozione di tecnologie digitali per mantenere la continuità operativa.

 

I modelli di cloud: IaaS, PaaS e SaaS

Questi modelli sono progettati per offrire livelli di servizio diversi secondo le esigenze delle aziende che ne fanno uso. In particolare:

  • nel modello IaaS (Infrastructure as a Service) il fornitore fornisce l’accesso a server, spazi di archiviazione, virtualizzazione e networking. In questo modello le aziende non hanno necessità di acquistare, gestire e mantenere internamente costose infrastrutture. Pagano, anzi, solo per quello che utilizzano.
  • nel modello PaaS (Platform as a Service) il fornitore offre piattaforme e ambienti cloud preconfigurati per sviluppare, distribuire, eseguire applicazioni web o mobile. In questo modello le aziende non solo non pagano l’infrastruttura interna, ma possono anche sfruttare gli strumenti predefiniti forniti dal provider.
  • nel modello SaaS (Software as a Service) il fornitore offre ai clienti la possibilità di connettersi ad app in cloud tramite Internet. In questo caso l’azienda paga il noleggio dell’app. Sono esempi di servizi SaaS la posta elettronica, i calendari ma anche strumenti come Office 365.

 

Cloud e sicurezza: tutti i vantaggi e i rischi

Pro

Il cloud può diventare un valido alleato nel processo di innovazione delle aziende. Di seguito i principali vantaggi che offre:

  • scalabilità e agibilità: il Cloud riesce a rendere l’azienda più flessibile rispetto ai cambiamenti di mercato, aumentando o diminuendo le risorse in base alle necessità dell’azienda;
  • accessibilità globale: con il Cloud, le risorse risultano accessibili ovunque e in qualsiasi momento, consentendo alle aziende di operare senza limiti geografici;
  • aggiornamenti e sicurezza gestiti: i provider cloud si occupano degli aggiornamenti regolari e della sicurezza, liberando le aziende da questa incombenza e garantendo un’infrastruttura sempre al passo con le minacce del momento;
  • riduzione dei costi: efficientando la spesa tecnologica, i costi legati alla gestione dell’infrastruttura fisica e del personale, così come quelli dovuti alle interruzioni delle attività aziendali vengono ridotti. Come conseguenza la sostenibilità economica a lungo termine sarà maggiore;
  • disaster recovery: in caso di calamità o interruzioni, gli ambienti cloud prevedono il backup automatico e permettono di garantire la continuità operativa.

Per approfondire > StrongBoxPRO di s-mart: il futuro della protezione dei dati in cloud

Contro

Il Cloud però, oltre ai vantaggi, comporta anche vari rischi. Un’azienda che adotta tecnologie cloud senza essere pienamente informata, si espone ad un’infinità di vulnerabilità e problemi. Ad esempio:

  • sicurezza dei dati: archiviare dati sensibili nel Cloud può esporre l’azienda ad attacchi informatici;
  • perdita di controllo e dipendenza dal provider: le aziende, affidando la gestione dei loro dati a terze parti, potrebbero rimanere bloccate nel caso in cui si verificasse un problema con il fornitore. Questo potrebbe bloccare l’accesso ai dati o ai servizi critici per l’azienda;
  • possibile danno alla reputazione: qualsiasi violazione della sicurezza può minare la fiducia dei clienti, danneggiando gravemente la reputazione aziendale. Se i dati dei clienti vengono compromessi o i servizi risultano inaffidabili, l’azienda potrebbe subire una diminuzione nel numero di clienti;
  • possibile danno economico: sebbene per diversi versi possa risultare una soluzione economica, i costi possono aumentare se non vengono monitorati in maniera adeguata. Possono esserci spese per l’utilizzo eccessivo di risorse o per la necessità di servizi aggiuntivi;
  • conformità normativa: l’azienda deve garantire che i dati archiviati nel Cloud siano conformi alle normative nazionali e internazionali sulla protezione dei dati, come ad esempio il GDPR. Le normative potrebbero richiedere che i dati vengano conservati in determinati Paesi.

 

Il cloud e la sicurezza: sei preoccupato per i rischi?

Per minimizzare i rischi e massimizzare i vantaggi, Seqrite ha sviluppato il Framework per la Gestione dei Rischi del Cloud. Questo framework comprende 5 passaggi che permettono alle aziende di migrare al cloud proteggendosi dai rischi. Così potrai passare al cloud in tutta sicurezza.

Il Framework per la gestione dei Rischi del Cloud prevede di 5 fasi:

  1. Valutazione: consiste nel valutare l’infrastruttura IT esistente ed identificare quali applicativi trarrebbero vantaggio dal Cloud e quali invece dovrebbero rimanere on-premise. È essenziale anche ripensare la strategia di sicurezza informatica, poiché la migrazione al Cloud modifica le minacce esistenti.
  2. Preparazione: dopo aver identificato gli applicativi da migrare, è necessario confrontare le offerte dei provider cloud, ponendo particolare attenzione alla sicurezza dei loro servizi. Per valutare il giusto provider è utile verificare se il provider offre servizi di sicurezza integrati e quali politiche di sicurezza vengono applicate e come. Ma anche se è possibile stabilire accordi sul livello dei servizi forniti in base alla misurazione della sicurezza della prestazioni e se si possono ottenere report e monitoraggi che riguardano la sicurezza del servizio.
  3. Transizione: questo stadio prevede la migrazione degli applicativi al Cloud. È fondamentale cambiare le password di default, verificare la compatibilità dei tool di sicurezza esistenti e assicurarsi che i dati siano protetti durante il passaggio.
  4. Monitoraggio: dopo la migrazione, gli applicativi e i sistemi nel Cloud devono essere monitorati costantemente per rilevare eventuali anomalie. L’uso dei log consente di identificare problemi di sicurezza e intervenire rapidamente.
  5. Assestamento: in questa fase, l’azienda si concentra sul miglioramento continuo della sicurezza, adattandosi all’evoluzione delle minacce informatiche. È importante consolidare i dati, automatizzare i processi e mantenere una visione in tempo reale di tutta l’infrastruttura.
design_ingannevole_sitiweb

Design ingannevole nei siti web: l’indagine del Garante privacy sui dark pattern

Design ingannevole nei siti web: pubblicati i risultati dell’analisi del Garante per la protezione dei dati personali. Ancora troppi ostacoli per gli utenti

News di acconsento.click

Design ingannevole nei siti web: i risultati di Privacy Sweep

Per prima cosa, è utile un pò di contesto: Privacy Sweep è un’indagine conoscitiva avviata dal Global Privacy Enforcement network (GPEN), una rete internazionale che comprende più di 60 authority in 39 diverse giurisdizioni. Nato nel 2010, GPEN ha dato corpo ad una Raccomandazione dell’OCSE che invitava i paesi membri a promuovere reti, anche informali, di cooperazione e collaborazione tra authority per la privacy e parti interessate.

GPEN ha deciso di avviare una indagine conoscitiva, programmata tra il 29 Gennaio e il 2 Febbraio 2024, finalizzata a verificare la presenza e diffusione di modelli di design ingannevole (i cosiddetti Dark pattern) in siti web e app.

Per quanto riguarda l’Italia, il nostro Garante per la Protezione dei dati personali ha deciso di concentrarsi sui siti web.

 

Dark pattern: che cosa sono e perché sono un problema per le Autorità Garanti Privacy

Iniziamo dalle definizioni, in particolare da quella del Garante per la Protezione dei dati personali:

“Con la definizione di “modelli di progettazione ingannevoli” vengono indicate quelle interfacce e quei percorsi di navigazione progettati per influenzare l’utente affinché intraprenda azioni inconsapevoli o non desiderate – e potenzialmente dannose dal punto della privacy del singolo – ma favorevoli all’interesse della piattaforma o del gestore del servizio.

Detti anche Dark Pattern, i modelli di progettazione ingannevoli mirano dunque a influenzare il nostro comportamento e possono ostacolare la capacità di proteggere efficacemente i nostri dati personali.”

In breve i Dark Pattern sono “trucchetti” che alcune aziende decidono di utilizzare per condizionare il comportamento degli utenti, facendo compiere loro azioni sfavorevoli senza consapevolezza.

L’EDPB, Comitato Europeo per la Protezione dei dati, ha pubblicato una lista di 6 diverse categorie di Dark pattern, che rimandano ad un design ingannevole del sito web:

  • Overloading: il sito web bombarda gli utenti di richiese, opzioni e possibilità. Lo scopo è solo quello di indurli a condividere dati anche in assenza di consapevolezza;
  • Skipping: il sito web cerca in ogni modo di influenzare le scelte degli utenti inducendoli a mettere in secondo piano la propria privacy;
  • Stirring: il sito web sfrutta le emozioni dell’utente (paura, senso di urgenza, preoccupazione ecc…) per indurlo a compiere azioni poco lucide;
  • Left in the dark: il sito web utilizza interfacce pensate per nascondere informazioni / gli strumenti di controllo per gli utenti (chi tratta i dati? Come esercitare i propri diritti ecc…)
  • Obstructing: il sito web ostacola apertamente l’accesso degli utenti alle informazioni sul trattamento dei dati.
  • Fickle: l’interfaccia del sito web è volutamente confusionaria. Il sito web è costruito allo scopo di non far capire agli utenti la vera finalità dei trattamenti dati in essere.

Per approfondire > Dark Pattern: cosa sono e quali limiti impone il GDPR

Design ingannevole nei siti web: i risultati dell’indagine conoscitiva

Fatte le dovute premesse, arriviamo ai dati. Qui, anzitutto, è possibile consultare i risultati completi.

Nell’ambito del Privacy Sweep 26 diverse authority hanno analizzato 899 siti web e 111 app. Il primo dati è allarmante: nel 97% dei casi hanno individuato la presenza di almeno una delle 6 tipologie di design ingannevole. Le autorità hanno verificato, in particolare:

  • l’uso di linguaggio complesso e confuso nelle informative cookie e privacy;
  • l’inserimento di molteplici passaggi aggiuntivi, ma non necessari;
  • la presenza di elementi di design per influenzare la percezione delle opzioni privacy;
  • la richiesta di informazioni eccedenti le necessità per accedere al servizio reso.

 

L’analisi del Garante Privacy italiano sui siti web

Il Garante italiano ha concentrato l’attenzione su una specifica tipologia di siti web, ovvero quelli che comparano i prezzi di prodotti e servizi. In particolare:

  • il funzionamento del cookie banner;
  • le modalità di cancellazione degli account utente.

Nel 60% dei casi, il cookie banner enfatizzava solo le opzioni meno favorevoli alla privacy degli utenti. Nel 40% dei casi l’utente, per rifiutare una opzione, si trova costretti ad eseguire più azioni inutili. Ancora più grave il fatto che, nel 30% dei casi, l’unica opzione mostrata sia quella dell’accettazione dei cookie.

Per quanto riguarda, invece, la cancellazione degli account nella maggior parte dei casi il Garante si è imbattuto in percorsi tortuosi in assenza di una specifica funzionalità di cancellazione. Questa, quando presente, è risultata nascosta dietro molteplici passaggi. In molti casi, il sito web mostra messaggi volti a dissuadere l’utente dal cancellare il proprio account.

continuita_aziendale_disaster_recovery

Continuità aziendale e Disaster recovery: perché per le PMI sono necessarie

Le piccole e medie imprese (PMI) sono spesso più vulnerabili ai disastri e alle interruzioni aziendali rispetto alle grandi aziende. Ciò è dovuto alla loro dimensione e alle risorse limitate, che possono rendere difficile la gestione dei rischi e la ripresa della produttività in caso di disastro, sia fisico che di natura digitale.

Tuttavia, la continuità aziendale e il disaster recovery sono fondamentali per la sopravvivenza delle PMI. In questo articolo, esploreremo perché la continuità aziendale e il disaster recovery sono importanti per le PMI e come possono essere implementati in modo efficace.

 

Cos’è la continuità operativa aziendale (BC)

La continuità operativa aziendale riferisce alla capacità di un’azienda di continuare a operare e fornire servizi ai propri clienti nonostante le interruzioni o i disastri. Perché ciò sia possibile, occorre analizzare i rischi, pianificare le soluzioni e prepararsi ad affrontare le crisi.

Sia chiaro che per disastro non si intendono solo gli attacchi informatici: possono portare a sospensione dell’operatività aziendale (detta anche business continuity) un’azione legale così come un problema alla conformità normativa o un cambio di sede.

L’analisi dei rischi e la pianificazione sono alla base del Business Continuity Plan. Questo documento deve contenere la strategia operativa e concreta da adottare per ripristinare la continuità aziendale in caso di eventi interruttivi dell’operatività (non soltanto attinenti alla sicurezza IT).

 

Cos’è il disaster recovery (DR)?

Il disaster recovery riferisce al processo di ripristino e ripresa della normale operatività aziendale dopo un disastro o un’interruzione aziendale dovuti a eventi che compromettono l’infrastruttura tecnologica. Lo scopo di questo processo è il ritorno, nel minor tempo e nella maniera più efficiente possibile, all’operatività aziendale minimizzando le perdite e garantendo la continuità operativa aziendale. Va approntato tenendo conto di una serie di fasi:

  • valutazione dei danni e individuazione delle aree più critiche da ripristinare;
  • attivazione del piano di disaster recovery;
  • ripristino dei sistemi informatici tramite backup e procedure di ripristino;
  • ripristino dei dati;
  • ripristino delle applicazioni;
  • test e verifica dei sistemi;
  • ripresa delle operazioni.

 

Perché la continuità aziendale e il disaster recovery sono importanti per le PMI?

Le PMI non possono permettersi di non avere una pianificazione di continuità aziendale e disaster recovery in atto. Qui elenchiamo solo alcuni, di una lunga serie, di motivi:

  • la perdita di dati o la interruzione delle operazioni aziendali può avere conseguenze finanziarie devastanti per le PMI;
  • la continuità aziendale e il disaster recovery possono aiutare a proteggere la reputazione dell’azienda e a mantenere la fiducia dei clienti;
  • la pianificazione della continuità aziendale e un piano di disaster recovery possono aiutare a ridurre i tempi di ripresa e a minimizzare le perdite.

Sia chiaro che Disaster Recovery e Continuità Operativa Aziendale sono strettamente legati, ma non sono la stessa cosa. La differenza è dovuta all’ambito di applicazione di questi due concetti: il DR si concentra sul ripristino dell’infrastruttura tecnologica, la BC ha lo scopo di garantire il mantenimento delle operazioni aziendali nel complesso, riportando l’azienda all’operatività dopo una sospensione.

 

Come implementare la continuità aziendale e il disaster recovery nelle PMI?

Le aziende possono adottare standard di gestione come ISO 27001 e ISO 22301 (lo standard internazionale sulla business continuity). Questi standard, però, indicano solo cosa fare, non come farlo. Altri standard definiscono più in dettaglio “il come”: due esempi sono gli standard ISO27017 e ISO 27018 per quanto riguarda i servizi cloud. In generale, la serie ISO 27000 riferisce alle norme di sicurezza delle informazioni, combinando le quali si può ottenere uno standard di gestione di sicurezza dei dati riconosciuto a livello mondiale.

Adottare soluzioni che hanno ricevuto queste certificazioni garantisce alle aziende l’adozione delle migliori prassi in tema. Se cerchi una soluzione di backup per rendere operativi DR e BC? Valuta l’adozione di Strongbox Cloud PRO

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy