Privacy & Rischi informatici
OGGETTO:
- Nomina del Responsabile della protezione dei dati – le indicazioni del Garante;
- Rischi informatici – le principali regole di autodifesa.
Nomina del Responsabile della protezione dei dati – le indicazioni del Garante
Entro il 25 maggio 2018 dovranno designare obbligatoriamente un Responsabile della protezione dei dati (RPD o DPO):
– le amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
– tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
– tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
Da tener in ogni caso presente che, anche nei casi in cui Regolamento UE 2016/679 non imponga in modo specifico la designazione di un RPD, è comunque possibile una nomina su base volontaria.
In vista di questa scadenza, il Garante per la protezione dei dati personali, nella Newsletter n. 432 del 15 settembre 2017, ha fornito le prime indicazioni sulle procedure per la scelta del Responsabile della protezione dei dati personali (RPD).
Le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali.
Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova importante figura – introdotta dal Regolamento UE 2016/679 – che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.
Nella nota inviata a un’azienda ospedaliera l’Ufficio del Garante ricorda che i Responsabili della protezione dei dati personali – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto). Gli esperti individuati dalle aziende ospedaliere, ad esempio, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti.
L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo del RPD.
La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto.
Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.
Il Garante si riserva di fornire ulteriori orientamenti, che saranno pubblicati sul sito istituzionale, anche all’esito dei quesiti e delle richieste di approfondimento sul Regolamento privacy, raccolti nell’ambito di specifici incontri che l’Autorità ha in corso con imprese e Pubblica Amministrazione.
Rischi informatici – le principali regole di autodifesa
Indipendentemente o meno dalla necessità di dover nominare un RPD nell’ambito della propria organizzazione, riteniamo di fare cosa utile nell’elencare le principali procedure di sicurezza informatica per la difesa della propria rete aziendale:
1) Prestare la massima attenzione ai messaggi di posta elettronica.
Solitamente il malware viene veicolato attraverso email contenenti allegati malevoli e indirizzati ad account di posta di privati ed aziende. Il corpo della mail è preparato ad arte e facendo leva sull’importanza del documento recapitato all’utente, lo invita a scaricare o visualizzare il file proposto che di solito riguarda un fantomatico riscontro su spedizioni, ordini, fatture o bollette.
Al fine di non incappare in questa tipologia di malware è bene verificare, ove possibile, che:
-
il dominio della casella di posta del mittente abbia una corrispondenza con l’entità (azienda, ente, società o persona) scrivente;
-
il nome dell’allegato non termini con un’estensione del tipo:.EXE, .JS, .CMD, .BAT, .SCR, .JAR, .PIF, .COM, .PS1, .PS2, REG, .LNK, .INF .DLL, .MSC, .MSI, .HTA, .MSP;
-
se il file allegato si riferisce ad un documento Microsoft Office con macro attivata (.DOCM, .DOTM, .XLSM, .PPTM) si consiglia di disabilitare l’esecuzione automatica delle macro e verificare l’attendibilità del documento.
In genere è bene prestare attenzione a tutti i file allegati inclusi in archivi di tipo .ZIP o .RAR poiché potrebbero contenere all’interno altre tipologie di file malevoli.
2) Abilitare la visualizzazione delle estensioni in Windows.
Nativamente i sistemi operativi Microsoft Windows nascondono le estensioni dei file impedendo all’utente di verificare visivamente la reale natura del documento. In diverse occasioni Cryptolocker ha sfruttato questa impostazione per ingannare l’utente, ragione per cui si consiglia di cambiare le impostazioni di sistema deselezionando la casella di controllo “Nascondi le estensioni per i tipi di file conosciuti” raggiungibile da “Pannello di controllo” -> “Aspetto e personalizzazione” -> “Opzioni cartella”.
3) Limitare l’accesso alle risorse di rete.
Alcune varianti di Ransomware con componente di cifratura sono in grado di controllare anche le risorse di rete (cartelle condivise sia in lettura sia in scrittura). Il malware, nel caso in cui i permessi utente lo consentano, è in grado di cifrare i documenti contenuti nelle cartelle condivise anche se la cartella è fisicamente presente su un altro PC non infetto. Per questo motivo è necessario evitare di rendere permanente il collegamento a cartelle di rete contenenti documenti di vitale importanza.
4) Fare copie di backup periodiche dei dati personali su dispositivi fissi o mobili.
E preferibile salvare su un hard disk esterno i documenti sensibili, è buona norma collegare l’hard disk su un computer senza accesso alla rete internet e su dispositivi di cui si è certi di non aver precedentemente eseguito azioni che potrebbero aver compromesso il sistema.
Si raccomanda di scollegare sempre il disco esterno non appena concluso il backup e riconnetterlo solo all’occorrenza, come nel caso di successivi backup o per il ripristino dei dati. Valutare inoltre l’utilizzo di software o dispositivi NAS con funzionalità automatiche di rilascio del disco esterno qualora conclusa l’attività o che predispongano l’inserimento di una password per l’accesso allo storage.
5) Utilizzare un buon sistema antivirus eseguendo regolari e giornalieri aggiornamenti del prodotto.
Si rammenta che la protezione antivirus, regolarmente attiva e funzionante, rimane un valido deterrente limitatamente alle minacce note ma non consente di ripristinare dati sottoposti a cifratura.
6) Mantenere aggiornato tutto il software.
E buona norma eseguire controlli periodici al fine di verificare l’eventuale rilascio di aggiornamenti di sicurezza del sistema operativo e dei singoli programmi successivamente installati.
7) Se possibile, utilizzare un personal firewall.
Il firewall, nativamente disponibile in molti sistemi operativi, dovrebbe essere configurato in modo da consentire la connessione verso internet solo alle applicazioni strettamente necessarie; così da impedire che eventuali programmi e/o malware possano scaricare autonomamente codice malevolo.
In generale vale la regola di non eseguire file di dubbia provenienza e di operare sul sistema con privilegi utente limitati, ad ogni modo le indicazioni sopra riportate non possono garantire una protezione completa contro questa tipologia di virus, per cui si consiglia a tutte le organizzazioni sempre la massima prudenza.
8) ulteriori misure precauzionali.
-
Bisogna proteggere sempre la propria password. Mai divulgarla e cambiarla periodicamente, almeno ogni 3 mesi. E opportuno, inoltre, utilizzare sempre il numero massimo di caratteri che vengono messi a disposizione dal sistema. In questo modo si rende più difficile la violazione da parte dei programmi che decriptano password. Possibilmente non bisogna usare parole di senso compiuto, è fondamentale la combinazione di minuscole, maiuscole, numeri e caratteri speciali ($@#). Non bisogna legare la password a parole della propria vita privata o a date di nascita di familiari. Infine la password va cambiata per ogni account e va subito modificata quella assegnata inizialmente in automatico.
-
Prima di inserire i dati personali in un modulo o in una pagina web, bisogna verificare la presenza di indicatori che ne attestino la sicurezza (ad esempio che l’indirizzo contenga la scritta https e il simbolo del lucchetto chiuso accanto). Per comunicazioni riservate deve essere utilizzato software di cifratura per criptare un documento (ve ne sono tanto gratuiti scaricabili dalla rete come: Drag’n Crypt ULTRA, ProtectFile, PixelCryptor, FileDecoder, ecc.). Nei social e nelle chat non vanno mai divulgate informazioni sensibili come il nome, l’indirizzo, il numero telefonico, il numero di conto o la password.
-
E’ necessario prestare molta attenzione alle informazioni personali quando si accede ad internet utilizzando una rete che non si conosce o di cui non si è sicuri (ad esempio una rete Wi-Fi gratuita in un locale pubblico). Con queste reti, chiunque nelle vicinanze, infatti con conoscenze informatiche adeguate potrebbe monitorare le informazioni trasmesse tra il computer/smartphone e l’hotspot Wi-Fi. Inoltre se si possiede una rete Wi-Fi bisogna proteggerla con una password sicura per evitare che altre persone la possano violare.
dott. Luciano Martinelli