La cyber security si occupa della protezione dei sistemi informatici, prevenendo e bloccando eventuali attacchi interni e soprattutto esterni. Le normative di riferimento sono due regolamenti europei, Gdpr ed Gdpr, e due direttive, Nis e 680, operative in tutti gli stati membri.
Il rapido sviluppo e la veloce diffusione di nuove tecnologie informatiche ha modificato radicalmente la nostra società e le nostre abitudini quotidiane.
Oggi, è possibile connettersi praticamente ovunque grazie agli smartphone, ai tablet ma anche ai recenti smartwatch e occhiali che possono collegarsi al web.
Essere sempre connessi ci consente metaforicamente di aprire le porte del mondo, ma ci espone anche a svariati rischi. Tutte le informazioni presenti nei nostri dispositivi potrebbero essere recuperate attraverso tecniche sofisticate, conosciute con il termine cyber crimine.
Nessun dispositivo è totalmente sicuro, sono tutti potenzialmente vulnerabili, per questo è utile capire quali sono i rischi più frequenti e le tecniche più efficaci per proteggerci.
La cyber security non riguarda solamente i dati personali degli individui, ma rappresenta un questione di vitale importanza anche per le aziende. La vulnerabilità tipica dei sistemi informatici, infatti, espone a rischi svariati segreti industriali, causando a volte danni enormi per le attività.
Ma non solo, il collegamento tra la qualità delle infrastrutture legate alla sicurezza informatica e la prosperità economica di un Paese sarà sempre più determinante nei prossimi anni.
La sicurezza di una intera nazione, infatti, può essere messa a repentaglio alternado i sistema che regolano i trasporti, le reti energetiche o il controllo militare.
Non si tratta in ogni caso di ipotesi o rischi potenziali, in quanto il cyber crimine è già una realtà molto diffusa, e non deve essere sottovalutata.
La cyber security ha l’obiettivo di proteggere le persone, le aziende, le organizzazioni, gli enti, e i governi da attacchi informatici. Ma per capire di cosa stiamo parlando, può essere utile fare un elenco generico di quelli che sono gli attacchi hacker più diffusi e della prevenzione necessaria per evitarli.
Possiamo distinguere le seguenti tipologie di attacchi:
Gli attacchi di forza bruta consiste in tecniche particolare che hanno lo scopo di provare e riprovare varie combinazioni di password fino a trovare quella corretta, riuscendo così a impossessarsi di informazioni personali, sensibili o protette dal segreto aziendale o nazionale.
E’ quindi molto importante utilizzare delle password complesse, in grado di rendere difficile o quasi impossibile un attacco di questo tipo. Ad esempio se scegliamo almeno 8 caratteri, con lettere maiuscole e minuscole, numeri e alcuni segni, le combinazioni possibili per trovare la password corretta corrispondono a cifre con ben 14 zeri.
Un buon servizio online, utilizza diversi sistemi per prevenire gli attacchi, ad esempio con l’autenticazione con più fattori, quindi con sms o altro.
Gli attacchi di phishing sono più subdoli, perché siamo proprio noi a fornire le nostre credenziali, in quanto veniamo truffati da finte email, contenenti link a siti praticamente uguali agli originali, ma costruiti ad hoc da hacker che hanno come obiettivo quello di rubarci informazioni.
Ad esempio potremo ricevere una email dalla nostra banca, nella quale ci viene richiesto di inserire le nostre credenziali cliccando in un link, ma in realtà l’email ci è stata inviata da un truffatore.
Per proteggerci da una situazione di questo tipo è necessario adottare un comportamento più consapevole. Innanzitutto è inutile tentare di capire se la comunicazione ricevuta è davvero originale, in quanto è molto facile camuffare un messaggio di questo tipo. Ciò che possiamo fare è evitare di cliccare nei direttamente nei link, ma accedere al servizio direttamente dal sito web ufficiale, nel quale sicuramente possiamo trovare l’informazione che stiamo cercando.
I ransomware sono dei programmi ostili, simili ai malware, ma utilizzati per cifrare dati aziendali importanti per potere chiedere un riscatto in cambio della decifratura. La soluzione migliore per evitare attacchi simili è avere una copia di backup, mantenuta offline, di tutti i dati importanti.
Ma, il cyber crimine può sfruttare anche altre vulnerabilità. Esiste infatti una specie di continua gara per scoprire i punti deboli dei propri nemici, da utilizzare al momento giusto. Si tratta di una guerra cibernetica utilizzata dalle aziende per studiare i propri competitors, ma anche dai governi.
Cerchiamo, perciò, di capire come le recenti normative europee hanno cercato di inserirsi per regolamentare uno scenario come quello che abbiamo appena descritto.
La direttiva Nis rappresenta il primo passo per una strategia europea in termini di cyber security. E’ stata approvata il 6 luglio 2016 con lo scopo di proteggere le reti e i sistemi informativi che oggi hanno un ruolo sempre più determinante per la nostra società.
Essa si applica a due categorie:
Entrambe sono obbligate ad adottare misure adeguate per prevenire e gestire i rischi. In caso di inadempienza sono previste sanzioni molto severe, che variano da un minimo di 12 mila euro fino a un massimo di 150 mila euro.
A questo scopo è stato introdotto un team composto da rappresentanti degli Stati membri, della commissione e dell’Agenzia per la sicurezza delle reti e dell’informazione ENISA, per promuovere la collaborazione tra tutti i paesi dell’Unione in termini di sicurezza informatica.
Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali è diventato operativo in Italia dal 28 maggio 2018 ed interessa tutte le attività che prevedono di utilizzare dati personali degli utenti.
Tra le principali caratteristiche, è opportuno sottolineare:
Per garantire la corretta applicazione della norma, in ogni azienda deve essere nominato il responsabile protezione dati, con il compito di vigilare sulla corretta applicazione di quanto stabilito nel Gdpr.
In un certo senso è molto simile al Gdpr, ma si riferisce alle informazioni relative a fatti giudiziari.
La direttiva 680, infatti, impone di conservare i dati solo per tempo necessario. Ciò significa che, periodicamente dovrà essere fatta un’analisi per determinare se si possono cancellare le informazioni che non sono più utili.
Inoltre, in ambito giudiziario i dati devono essere trattati conformemente alle esigenze di prevenzione, indagine e processuali. Qualsiasi interessato, durante il procedimento penale, o in una fase successiva può chiedere la rettifica, la cancellazione o la limitazione delle informazioni personali che lo riguardano.
eIDAS significa letteralmente electronic IDentification, Authentication and trust Services, cioè la disciplina che regola la firma elettronica e trasferimenti di denaro in modo digitale.
I paesi membri dell’Unione Europea adottano standard comuni per l’autenticazione elettronica, che sta sostituendo gradualmente i documenti cartacei.
In particolare esistono tre tipologie di autenticazione:
Verrai contattato e riceverai i nostri preventivi entro 24 ore.
Scrivici il tuo caso: lo analizzeremo e ti metteremo in contatto con l'Avvocato più preparato nella tua zona.
A questo link trovi le informazioni e la possibilità di attivarla con lo sconto del 50% ovvero 60€ + iva anziché 120€.
Scopri l'AcademyA questo link trovi le informazioni e la possibilità di attivarla con lo sconto del 75% ovvero 90€ + iva anziché 360€.
Scopri il servizio Premium
