RAPPORTO CLUSIT 2018

La stima dei danni globali causati dal fenomeno ammontano a circa 500 miliardi di dollari. Si tratta di un vero e proprio “salto quantico”.

Mentre scrivo queste righe si sta votando in Italia. Si tratta di elezioni politiche di grande importanza cadute in un momento di attenzione mediatica spasmodica sul fenomeno cybercrime e di grandi investimenti in sicurezza per lomeno sul fronte delle aziende grandi e grandissime per via dei progetti di adeguamento al GDPR. Tuttavia, nonostante questa “tenaglia” mediatico/normativa che ben difficilmente si ripresenterà nel breve periodo, la campagna elettorale non ha tenuto in nessuna conside- razione il tema della sicurezza informatica e della necessità di aumento dell’attenzione dei cittadini, della pubblica amministrazione e delle imprese su questo fenomeno.

In termini numerici, nel Report leggerete che si è assistito ad una crescita del 240% degli attacchi informatici rispetto al 2011, anno a cui risale la prima edizione del Rapporto Clu- sit, e del 7% rispetto al 2016. Ma non è tanto il dato numerico a spaventare quanto invece l’elemento qualitativo sottostante: oggi il fenomeno mira a interferire in maniera pesante non solo nella vita privata dei cittadini (peraltro vittime nel 2017 di crimini estorsivi su larghissima scala) quanto invece sul piano finanziario e geopolitico. Insomma, il gioco si fa serio e un altro innalzamento del livello potrebbe non essere sop- portabile.

Alcuni dati: il Rapporto Clusit 2018 sottolinea come il Cybercrime (la cui finalità ultima è sottrarre informazioni, denaro, o entrambi), è sempre la prima causa di attacchi gravi a livello mondiale (76% degli attacchi complessivi, in crescita del 14% rispetto al 2016). Inoltre, sono in forte aumento rispetto gli attacchi compiuti con finalità di Information Warfare con un preoccupante +24% rispetto al 2016 ed ancora il Cyber Espionage (lo spio- naggio con finalità geopolitiche o di tipo industriale, a cui va tra l’altro ricondotto il furto di proprietà intellettuale) cresce del 46% rispetto al precedente periodo di osservazione. Il dato più interessante di tutti, e più preoccupante, è però quello relativo ai costi generati globalmente dalle sole attività del Cybercrime: dal Rapporto Clusit 2018 emerge infatti che sono quintuplicati per un importo complessivo, come già scritto a inizio prefazione, di 500 miliardi di dollari nel 2017. Si deve considerare, nel calcolo, che nel corso del 2017 truffe, estorsioni, furti di denaro e di dati personali hanno colpito quasi un miliardo di persone nel mondo, causando ai soli privati cittadini una perdita stimata in 180 miliardi di dollari. E l’Italia come è messa in questo contesto? Sulla base delle cifre in gioco a livello globale noi stimiamo che l’Italia nel 2016 abbia subito danni derivanti da attività di cyber crimine per quasi 10 miliardi di euro. Non abbiamo dati più recenti e non interessa forse neanche sapere se la cifra sovra o sottostima i danni. L’ordine di grandezza è sintomatico di un problema più ampio perché comunque sia i danni appaiono essere 10 volte superiori alla stima degli investimenti in sicurezza risultate dalle ricerche dell’Osservatorio Sicurezza & Privacy del Politecnico di Milano.

Come nelle precedenti edizioni, il Rapporto Clusit 2018 dedica nei cosiddetti “Focus On” approfondimenti a singoli settori e a problematiche particolarmente attuali in tema di si- curezza cyber, a firma di esperti autorevoli. Quest’anno sono in evidenza la Sicurezza Ma- rittima, l’Industria 4.0, il Cloud, la Mail Security, il Business Risk, le attività di Profiling, la diffusione delle criptovalute e la Blockchain, il Ransomware, la Gestione dei Fornitori.

Come già accaduto nei mesi precedenti al Rapporto Clusit 2017 l’attenzione mediatica sul tema è fortissima e si contano a centinaia se non a migliaia gli eventi che vengono organiz- zati in Italia e che ruotano attorno, in questo momento storico, alla sicurezza informatica e al GDPR. Per questo motivo ci aspettiamo che gli investimenti in sicurezza aumentino così come ci attendiamo che sempre più forte sarà la spinta verso la esternalizzazione con la finalità di aumentare la sicurezza delle imprese e pubbliche amministrazioni che non avranno mai la capacità economica di proteggersi adeguatamente.

Vi lascio quindi alla lettura del Rapporto Clusit 2018 che avete fra le mani, augurandomi ancora una volta che la nostra ricerca serva ad aumentare la consapevolezza della necessità di una maggiore e sempre più efficace cultura della sicurezza informatica.

Ringrazio tutti coloro che hanno dedicato tempo e sforzi alla stesura del Rapporto Clusit 2018 e mi auguro che le elezioni politiche ci consegnino un governo ancora più attento a questa tematica e che miri alla cultura della sicurezza informatica fin dai più giovani e che completi e renda attuabile un quadro di indirizzo e normativo che permetta di raggiungere gli importanti traguardi necessari per vincere una sfida difficilissima.

2.500 copie cartacee, oltre 70.000 copie in elettronico e più di 300 articoli pubblicati nel 2017, sono l’evidenza della rilevanza del rapporto CLUSIT ed è quindi importante diffon- derlo, leggerlo, farlo conoscere, perché solo dalla consapevolezza può derivare la conoscen- za del problema, la capacità di adottare scelte idonee e quindi la sicurezza nostra e di tutti.

Buona lettura

Read More

In qualità di esperti del cambiamento e professionisti del GDPR

Il dibattito e le attività che ruotano attorno ad Industria 4.0, oggi Impresa 4.0, sono davvero il segno di un punto di svolta per le economie e le società del terzo millennio.

Iustec e Tecnodata ne parlano in qualità di relatori al Seminario gratuito di Fermo “Impresa 4.0: fiscalità e controlli, nuove competenze e tecnologie, finanziamenti; cosa cambia nei rapporti tra imprese, professionisti tecnici e non tecnici”. Il seminario inizierà alle ore 9:00 all’hotel Astoria di Fermo e sarà rivolto ad imprenditori, iscritti all’albo degli Ingegneri questo link.

Impresa 4.0 sancisce la presenza indiscutibile delle tecnologie digitali nei cicli di produzione e di distribuzione di tutte le merci. Il rinnovamento tecnologico è quindi oggi una necessità epocale per tutte le aziende. Il solo fatto di esistere all’interno di una filiera produttiva renderà pressoché indispensabile per ogni azienda dotarsi di sistemi in grado di interconnettersi con altre aziende a valle così come a monte.

Si tratta della cosiddetta “quarta rivoluzione industriale” che si basa sulla digitalizzazione completa dei processi produttivi, dopo che la prima introdusse la macchina a vapore, la seconda l’energia elettrica e la terza i primi computer in fabbrica.

Grazie all’interazione digitale di tutti i sistemi produttivi l’Impresa 4.0 si sviluppa attraverso due assi principali che la caratterizzano specificamente.

L’integrazione verticale dei sistemi produttivi aziendali, che consente di riprodurre in modo virtuale i sistemi gerarchici interni all’organizzazione. L’uso di sensori ad ogni stadio della produzione consente di mettere in atto metriche ed indicatori che consentono di cambiare ed ottimizzare i processi produttivi senza ritardo e tramite uno scambio di informazioni tra macchine prima che tra operatori

L’integrazione orizzontale attraverso le Value Chain, che consente di realizzare una collaborazione inter-aziendale nella quale le informazioni possono fluire attraverso differenti organizzazioni.

Per realizzare queste integrazioni l’Impresa 4.0 necessita di tre strumenti fondamentali:

  1. L’uso fondamentale di connettività e connessione, grazie alle quali una moltitudine di sensori connessi forniscono un feedback in tempo reale e consentono di produrre ed elaborare dati che passano dalle tecnologie di produzione all’IT senza soluzione di continuità,
  2. Il trattamento continuo di dati, una variabile che realizza diversi salti di scala in termini di volume, di velocità, di varietà, di accuratezza e di trasparenza,
  3. Gli Analytics, cioè quelle capacità non solo informatiche ma anche e soprattutto di concetto che consentono di estrarre informazioni e raccomandazioni dai dati raccolti.

Ecco dunque che parlare di Impresa 4.0 porta con sé una grande mole di implicazioni in ambiti diversi della vita professionale e personale. Questo è il fulcro della discussione che verrà sviluppata durante il Seminario di Fermo del 26 Ottobre 2018 al quale Tecnodata e Iustec sono invitati a parlare delle implicazioni dello scenario Impresa 4.0 dal punto di vista del GDPR. Alla luce dell’importanza della raccolta del dato nel contesto Impresa 4.0 sopra esposto, infatti, non solo la raccolta stessa ma anche la gestione e la salvaguardia del dato stesso devono essere condotte secondo i dettami del nuovo regolamento, tema che sarà svolto dall’Ingegnere Zanini in qualità di membro del Consorzio Iustec.

L’ Ordine degli Ingegneri di Fermo e il Consiglio Nazionale Ingegneri, in collaborazione con la Commissione ICT, organizzano un seminario dal titolo “Impresa 4.0: nuove competenze e tecnologie, finanziamenti, incentivi, fiscalità e controlli; cosa cambia nei rapporti tra imprese, professionisti tecnici e non tecnici” che si terrà il giorno Venerdì 26/10/2018 dalle ore 09:00 alle ore 13:30 (08:45 registrazione dei partecipanti) presso l’ Hotel Astoria, viale Vittorio Veneto n. 8 – Fermo.

Per iscriversi è necessario compilare la scheda di iscrizione nel seguente link ENTRO IL 22/10/2018: https://goo.gl/forms/6IvmK08nKTPSZcSp2

La partecipazione all’evento è gratuita.

Read More

Gli impatti del GDPR sul business Quali sono gli impatti da considerare al di là delle sanzioni? E come possiamo essere proattivi di fronte al GDPR?

Con il nuovo regolamento denominato GDPR i cittadini dell’Unione Europea hanno un controllo molto più esteso di prima sui loro dati personali. Unitamente ad una maggiore rassicurazione sulle procedure di protezione dei dati stessi, che andranno aumentando di efficacia con il tempo.

Secondo il GDPR si intende per “dato personale” ogni informazione relativa ad una persona come una fotografia, un nome, un indirizzo email, un post su un social network o un indirizzo IP legato al computer con il quale viene effettuata una visita ad un sito Web.

In principio non esiste grande distinzione tra dati personali raccolti in contesti privati o in contesti lavorativi, quando si agisce come persone fisiche o come rappresentanti di un’azienda. E’ vero che le informazioni personali diffuse e raccolte nell’ambito di una relazione di lavoro sono collegate alle aziende che di fatto agiscono tramite i loro dipendenti e collaboratori. Ma è bene pensare che i diritti alla protezione del dato personale si applichino in generale a tutti i dati che fanno capo all’operato di un individuo.

Quali sono i diritti introdotti o rafforzati dal GDPR?

  1. Il diritto di accedere al proprio dato personale e di domandare come lo stesso viene trattato dalla società una volta raccolto,
  2. Il diritto di essere dimenticato, nel senso di vedere il proprio dato personale cancellato a richiesta,
  3. Il diritto alla portabilità del dato, quando si cambia fornitore ad esempio,
  4. Il diritto ad essere informato sulle procedure di raccolta del dato prima che il dato personale venga raccolto,
  5. Il diritto ad ottenere correzioni del dato quando il dato sia non aggiornato e/o non corretto,
  6. Il diritto a restringere gli ambiti del trattamento del dato o di fermare del tutto il trattamento, anche qualora il dato personale rimanga nei registri di chi lo ha raccolto,
  7. Il diritto di opporsi al trattamento del dato, specialmente al trattamento per fini di marketing diretto,
  8. Il diritto di ricevere notifiche nel caso in cui siano occorsi fatti che mettono in pericolo la protezione del dato personale, con immediatezza rispetto all’accadere del fatto stesso.

Di fatto le implicazioni che tali diritti pongono all’attività di business sono importanti. Le disposizioni che devono essere attuate allo scopo di permettere l’esercizio delle nuove protezioni del dato personale sono numerose.

Il modo più efficace per poter realizzare le disposizioni necessarie è probabilmente quello di agire proattivamente e facendo in modo che il GDPR diventi un’occasione per innalzare la qualità generale delle azioni compiute dall’azienda e dai suoi individui.

Le tante occasioni in cui i rappresentanti aziendali entrano in contatto con individui e con i loro dati personali possono quindi trasformarsi in momenti di esercizio della “disciplina della qualità” che ogni singola azienda può darsi per rispettare il GDPR ma anche per raggiungere i propri obiettivi.

In questo senso, l’attitudine positiva al GDPR e l’orientamento al business e alla reputazione aziendale sono concretamente due facce della stessa medaglia.

Read More

GDPR: Sei pronto?

(fonte: agendadigitale.eu)

A partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) –relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.Si tratta poi di una risposta, necessarie e urgente, alle sfide poste dagli sviluppi tecnologici (a inizio ottobre il WP29 ha adottato tre fondamentali provvedimenti che avranno importanti ricadute su punti essenziali del GDPR proprio sul tema dell’innovazione tecnologica) e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue. Vedi anche le novità previste in Legge di Bilancio 2018. A preoccupare sono, però, le disposizioni di ratio sostanzialmente opposte che hanno attribuito agli Stati membri la possibilità di legiferare in autonomia al fine di “precisare” le norme contenute nel GDPR. In qualche modo si è “tradita” l’iniziale visione dell’Ue e potrebbero sorgere contrasti tra il Regolamento e le leggi nazionali adottate per allinearsi alle nuove indicazioni.

Cosa cambia nel regolamento generale sulla protezione dei dati e come adeguarsi alla normativa

In estrema sintesi col GDPR:

  • Si introducono regole più chiare su informativa e consenso,
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali,
  • Poste le basi per l’esercizio di nuovi diritti,
  • Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue,
  • vFissate norme rigorose per i casi di violazione dei dati (data breach).

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.

One stop shop (sportello unico)
Per risolvere eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme. Le imprese che operano in più Stati Ue potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale. In realtà, almeno in Italia, oltre la metà delle aziende – ma anche tante Pubbliche amministrazioni – non è ancora pronta ad allinearsi ai provvedimenti Ue in materia di data protection nonostante le severe sanzioni previste. Un aiuto potrebbe arrivare dal Piano Industria 4.0 che permetterebbe di investire per avviare l’adeguamento al GDPR. Il Garante ha dato precise indicazioni alle PA. Le priorità operative sono tre:

  1. La designazione in tempi stretti del Responsabile della protezione dei dati,
  2. L’istituzione del Registro delle attività di trattamento,
  3. La notifica dei data breach.

Portabilità dei dati
Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali per trasferirli da un titolare del trattamento a un altro. La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi. In questo caso il diritto non potrà essere esercitato, così come è vietato il trasferimento di dati personaliverso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.

Il principio di “responsabilizzazione”
Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento (accountability) e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Questo nuovo diritto faciliterà il passaggio da un provider di servizi all’altro, agevolando la creazione di nuovi servizi, in linea con la strategia del Mercato Unico Digitale.

Data breach
Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante. Rispondere in modo efficace a un data breach richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue. L’attuale approccio presenta numerose falle che vanno corrette. Non è semplice ma occorre farlo per non perdere l’occasione fornita dal GDPR. Il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali, ma prima ancora che alle beghe burocratiche, l’azienda deve comprendere l’importanza e il valore dei dati, nonché agli ingenti danni economici legati a una perdita di informazione Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone:

  • Il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni,
  • Potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di avere già adottato misure di sicurezza; oppure, infine, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato al rischio. In questo ultimo caso è dovrà provvedere con una comunicazione pubblica,
  • L’Autorità Garante potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria valutazione dei rischi correlati alla violazione commessa.

Le responsabilità e le sanzioni per le aziende
Ci sono diverse fattispecie e si va da un mera diffida amministrativa a sanzioni fino a 20 milioni di euro. Ecco tutto ciò che c’è da sapere.

La figura del DPO (Data Protection Officer)
Non a caso è stata prevista la figura del “Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Il Responsabile della protezione dei dati:

  1. Riferisce direttamente al vertice,
  2. E’indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti,
  3. Gli vengono attribuzione risorse umane e finanziarie adeguate alla mission.

In realtà persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare. E’ altrettanta importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.

LEGGI QUI UN APPROFONDIMENTO SU DPO

Privacy e Trasparenza con il GDPR
Tra le molte novità, il GDPR potrà aprire una nuova pagina sul tema del rapporto tra privacy e trasparenza, anche in riferimento all’attività dei soggetti privati che svolgono funzioni di pubblico interesse. In questo contesto, è importante sottolineare come il nuovo regolamento non modifichi direttamente le norme nazionali in materia di accesso ai documenti amministrativi, né quelle attualmente applicate alle innumerevoli istituzioni europee. Si preoccupa invece di chiarire l’assenza di un rapporto di contraddizione, in quanto i valori di “trasparenza” e di “tutela efficace della riservatezza” sono considerati entrambi meritevoli di efficace protezione.

GDPR e diritto all’oblio
La vera novità che arriva con il Gdpr sul diritto all’oblio è nell’articolo 17: la richiesta di cancellazione rivolta a un titolare che abbia reso pubblici dati comporta anche l’obbligo di trasmetterla a tutti coloro che li utilizzano. L’impatto sui diritti dei cittadini è importante, ecco perché: LEGGI LE NOVITA’ GDPR SUL DIRITTO ALL’OBLIO

Perché il GDPR è un investimento necessario per il futuro di aziende e PA
Le imprese e le PA devono considerare l’attuazione del GDPR non come un costo ma come un investimento. Necessario a sostenere il proprio futuro nel mercato e istituzionale. Proteggere i dati significa anche assicurarne la qualità, presupposto per ogni sviluppo nell’internet delle cose e intelligenza artificiale

Read More

GDPR in Gazzetta Ufficiale

Come noto, il GDPR è entrato in vigore il 25 Maggio scorso, ma si aspettava il decreto italiano per adeguare la normativa.

Il 4 Settembre 2018 è stato, dopo mesi di attesa, publicato sulla Gazzetta Ufficiale. Il decreto legislativo n.101 del 10 Agosto 2018 entrerà in vigore il 19 Settembre 2018.

Visualizza qui il Decreto

A questo punto, per le aziende è fondamentale adeguarsi rapidamente, e per aiutare le PMI, che ad oggi sembrano essere in ritardo, nel Decreto si chiede al Garante della Privacy di emanare delle linee guida ad hoc per loro. Nei prossimi mesi si prevedono numerosi interventi in relazione ai vari istituti previsti:

  • provvedimenti di misure di garanzia,
  • revisione dei codici deontologici,
  • nuove regole per l’applicazione di sanzioni amministrative,
  • semplificazione di adempimento degli obblighi delle PMI.

Tra le regole in arrivo se ne prevedono di specifiche nella ricerca e in ambito sanitario.

Read More