Menu

GDPR: attenti ai dettagli!

Il Regolamento generale europeo sulla protezione dei dati (GDPR) che entrerà in vigore il 25 maggio 2018 modifica sensibilmente le modalità nelle quali le Aziende raccolgono, trattano e proteggono i dati personali dei cittadini della UE. Le numerose informazioni circolate e i dibattiti scaturiti sul GDPR hanno però generato alcuni fraintendimenti che meritano chiarimento...

Ivan Straniero, Regional Manager, Southern & Eastern Europe di NETSCOUT Arbor

Ivan Straniero Contrariamente al fraintendimento di molti, le disposizioni del GDPR non vanno rispettate unicamente dalle organizzazioni che hanno sede fisica nella UE, ma da qualsiasi azienda che raccolga o tratti dati personali di cittadini della UE, in modo diretto o anche in modo indiretto come soggetto terzo. Questo significa sostanzialmente che il GDPR ha portata globale e interessa molteplici settori, tra i quali, ad esempio, il commercio al dettaglio, l’assistenza sanitaria e la finanza.

Un secondo punto molto importante è che il GDPR, benché contenga la parola Dati come oggetto del regolamento, non prescrive solo la tutela dei “dati”, ma anche la protezione degli accessi agli stessi. Il GDPR cita infatti in modo esplicito la protezione continuativa degli accessi ai dati personali, ovvero di proteggerne la “disponibilità”.

Due esempi aiutano a comprendere meglio la sostanza di queste normative.

L’Articolo 49 del GDPR afferma che il trattamento dei dati personali nell’ambito delle soluzioni di sicurezza è appropriato se mirato a “garantire la sicurezza delle reti e dell’informazione".

L’articolo prosegue così: “Ciò potrebbe, ad esempio, includere misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica.”

L’Articolo 32 del GDPR richiede “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” e “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali”.

Il GDPR enfatizza giustamente la necessità di proteggere la disponibilità. Gli attacchi DDoS costituiscono la maggiore minaccia per la rete e/o i servizi commerciali online delle organizzazioni e si tratta di una minaccia che non accenna ad attenuarsi, come dimostra il tredicesimo Worldwide Infrastructure Security Report di NETSCOUT Arbor:

  • I provider di servizi dichiarano che gli attacchi DDoS rappresentano la minaccia più diffusa e preoccupante per il 2018.
  • Per le aziende, la gravità della minaccia associata agli attacchi DDoS è seconda solo al ransomware.
  • Il numero di attacchi è sensibilmente aumentato. Nel 2017, l’infrastruttura  ATLAS di NETSCOUT Arbor ha rilevato 7,5 milioni di attacchi DDoS, contro i 6,8 milioni registrati nel 2016.
  • Anche la complessità degli attacchi è in crescita. Il 48% delle aziende intervistate ha subito attacchi DDoS multivettore, in aumento del 20% rispetto all’anno precedente.
  • E' anche stato riscontrato un aumento del 30% del numero di aziende che nel 2017 hanno subito attacchi a livello delle applicazioni.

L’Articolo 32 del GDPR richiede inoltre di testare, verificare e valutare regolarmente l’efficacia” delle misure di protezione dei dati.

Buone pratiche contro gli attacchi DDoS

Il panorama degli attacchi DDoS sta assumendo contorni sempre più ampi con tecniche sofisticate che favoriscono nettamente i criminali informatici che riescono a individuare un bersaglio impreparato.

Per queste e altre ragioni, NETSCOUT Arbor è un forte sostenitore delle soluzioni di difesa contro gli attacchi DDoS di tipo ibrido o multistrato.

L’integrazione di strumenti di mitigazione on-premise e su cloud è l’unica soluzione per proteggersi dai moderni attacchi DDoS. La sola mitigazione su cloud non è idonea agli attacchi rivolti contro le applicazioni e l’infrastruttura, mentre le sole soluzioni on-premise riescono a gestire una quantità limitata di traffico e richiedono successivamente il supporto del cloud.

Le conseguenze permanenti del GDPR

Infine un'ultima nota rilevante. I nuovi livelli di sanzioni e il diritto, chiaramente indicato, degli individui a ottenere un risarcimento in caso di mancata conformità al GDPR hanno suscitato molta attenzione. È tuttavia importante ricordare che le pratiche di sicurezza previste dal GDPR aiuteranno le aziende a preservare la fiducia e la serenità dei propri clienti e partner. A prescindere dalle disposizioni del GDPR, il futuro successo delle aziende dipenderà infatti dalla capacità di proteggere i dati personali e la disponibilità della rete e dei servizi.

Ultima modifica ilLunedì, 16 Aprile 2018 16:06

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto