Nuova intervista costruita in collaborazione con Tech Data e Colin & Partners. Nuova puntata e nuovo focus sulla piaga dei ransomware, dell’impatto di queste truffe e soprattutto di tutti i problemi di reputation e di compliance anche in relazione all’uso, spesso poco avveduto, di piattaforme cloud proprio per gestire il proprio patrimonio informativo
Autore: Marco Maria Lorusso
Nuova intervista costruita in collaborazione con Tech Data e Colin & Partners. Nuova puntata e nuovo focus sulla piaga dei ransomware, dell’impatto di queste truffe e soprattutto di tutti i problemi di reputation e di compliance anche in relazione all’uso, spesso poco avveduto, di piattaforme cloud proprio per gestire il proprio patrimonio informativo
E veniamo al dunque, i ransomware e i continui disastri che stanno combinando soprattutto a livello di pubblica amministrazione.
«Siamo in piena fase ascendente, gli attacchi ransomare – spiega Valentina Frediani – stanno proprio aumentando sia quantitativamente che qualitativamente. Non è banale perchè soprattutto colpiscono in maniera trasversale quindi non riguardano solo grandi realtà o grandi enti ma vanno a colpire veramente la molteplicità delle imprese senza grosse distinzioni di misure e target… il livello di protezione purtroppo è trasversalmente e mediamente basso. Venendo ai rischi e alle responsabilità: il minimo è il disagio poi ovviamente c’è il danno per il fermo del business e poi c’è la reputation che forse è il tema più delicato. Nel momento in cui c’è un evento del genere poi nei clienti, negli utenti scatta sempre un punto interrogativo sull’affidabilità dell’ente, dell’azienda che subisce l’attacco».
E come la mettiamo con il GDPR?
«Certo ci sono rischi rilevanti a livello giuridico perché è chiaro che se un disastro avviene in mancanza di determinate protezioni adeguate e di certi ragionamenti di un accountability nel GDPR, ci sono anche degli obblighi risarcitori… quindi sotto questo profilo c’è anche una catena di responsabilità che può riguardare il titolare, chi subisce direttamente l’evento e magari anche la filiera di fornitori. Insomma ogni evento porta con sé un micromondo di situazioni che possono andare a coinvolgere negativamente l’ente o l’azienda ben al di là del puro aspetto di blocco dei dati…»
Hai toccato un tema tradizionalmente scivoloso il nostro paese, il tema delle sanzioni: ma è vero che molte aziende spesso evitano di denunciare un data breach o il furto di dati proprio per paura della sanzione o del controllo a livello di privacy?
«Te lo confermo, è assolutamente vero e non è solo il fatto di evitare di fare la denuncia per avere quelle conseguenza dal punto della privacy e delle sanzioni ma è proprio per una questione reputazionale cioè la paura di perdere l’immagine sul mercato e di apparire come inaffidabili… per gli enti è un tema politico quindi sul piatto non è soltanto una questione di soldi, sanzione o controlli ma di tutte le conseguenze che coinvolgono poi l’immagine dei soggetti che ci lavorano, che lo rappresentano o altro.
Poi è ovvio c’è anche un quadro sanzionatorio. E’ chiaro che se avvengono determinati eventi in conseguenza di omissioni, di mancanza di protezione o altro arriva anche la sanzione del garante e più o meno logicamente spesso si cerca di evitare… la situazione sta migliorando ma devo dire oggettivamente che tantissimi titolari scelgono di non procedere…»
Anche come reazione a questa situazione di insicurezza cronica e di normative territoriali più stringenti molti cloud provider, negli ultimi tempi, stanno presentando una nuova forma di servizi e anche di infrastrutture, (data center) che si avvicinano al territorio, alle imprese (vedi l’annuncio delle cloud region italiane da parte di Microsoft, AWS, Oracle, Google ndr.)… ma cosa sta succedendo davvero al cloud?
«Il movimento è indubbiamente dettato da alcuni obblighi che sono sorti comunque nell’ultimo anno, c’è stata anche una interruzione di flusso dei dati verso gli Stati Uniti – racconta Valentina Frediani -, si stanno ritrattando i rapporti con gli Stati Uniti… in questi giorni c’è stata anche la notizia di Google Analytics che non è compliant rispetto al trattamento dei dati come da normativa europea… Ma al di là della pura cronaca si tratta proprio di un tema non solo di natura commerciale ma anche giuridica: la sfida è riuscire a gestire i dati in linea con la stessa autorità nazionale dove sono collocati i dati stessi e in ottemperanza con le necessaire misure di sicurezza che prevede la nazione e il continente in cui ci si trova ad operare… non è più il tempo del cloud “etereo” in cui sposto i dati e mi interesso poco del dove…»
Un cloud nuovo, più territoriale e prossimo è un qualcosa che dovrebbe aiutare le aziende a rispettare meglio la compliance soprattutto verso GDPR ?
«Assolutamente si, è un cloud un po’ snaturato perché in realtà per anni abbiamo ragionato “non ci interessa dove stanno i dati, ci interessa che ci sia l’ottimizzazione..” ma le cose cambiano, le leggi cambiano, le situazioni sono in movimento: lo vediamo ci sono dei movimenti giuridici comunque rispetto ai rapporti extra europei di varia natura. Da questo punto di vista diciamo che quello che è stato sancito un anno fa dalla Corte europea (che ha stabilito sostanzialmente la non affidabilità degli Stati Uniti rispetto ai principi europei) è un provvedimento che ha aperto un vaso di Pandora estremamente problematico. E’ chiaro si sta ridefinendo di nuovo un concetto di delocalizzazione dei dati che giuridicamente ci costringe a rientrare nei nostri confini».
«In chiusura però vorrei tornare sul già accennato caso Google Analytics. Un caso che ora ha riaperto l’intervento del garante, sono problematiche assolutamente non banali che obbligheranno a fare ragionamenti diversi, a ricercare strumenti diversi o un’accettazione dei rischi che fino a ieri non erano contemplati, quindi da questo punto di vista ci diciamo si spera anche che l’autorità nazionale europea abbiano ben compreso la portata delle conseguenze, delle scelte dal punto di vista di interpretazioni giuridiche che stanno portando nelle aziende e negli enti. Bisognerebbe però – dice con la consueta trasparenza Valentina Frediani – che quando intervengono determinati provvedimenti e certe sentenze si desse anche la possibilità di avere dei tempi di reattività alle aziende e alla pubblica amministrazione… perché non è che posso staccare un filo e attaccarlo dall’altra parte. Si sta parlando investimenti, di strumenti, di banche dati caricati… ci sono delle conseguenze che comportano delle tempistiche. Ecco in questo trovo un po’ troppo semplice il modo di intervenire anche dell’autorità, sul diritto siamo tutti d’accordo però poi ci devono essere anche dei tempi che consentano poi effettivamente di adeguarsi perché sennò a che cosa si arriva? È un po’ come il tema del breach: non lo denuncio, non mi adeguo e accetto quelle che possono essere le conseguenze. Non è un modo serio di affrontare il tema».