Il sistema di messaggistica per eccellenza, di proprietà di Facebook, con 2 miliardi di utenti, rinnova la sua politica sulla privacy.

WhatsApp, il sistema di messaggistica di proprietà di Facebook che afferma di “avere la privacy codificata nel suo DNA”, in queste ore sta dando ai suoi oltre 2 miliardi di utenti un ultimatum: accettare di condividere i propri dati personali con il social network Facebook oppure eliminare i propri account.

L’aggiornamento viene consegnato tramite un avviso “in-app” che invita gli utenti ad accettare modifiche radicali nei termini di servizio e privacy di WhatsApp. Chi non accetta, la rinnovata informativa sulla privacy entro l’8 febbraio, non potrà più utilizzare l’app.

Quali dati WhatsAPP condivide e con chi?

Poco dopo l’acquisizione da parte di Facebook  per 19 miliardi di dollari nel 2014, WhatsApp ha integrato la crittografia end-to-end nella sua app di messaggistica. L’aggiornamento fu visto come una vittoria per i sostenitori della privacy perché utilizzava il “Signal Protocol”, uno schema di crittografia open source il cui codice sorgente è stato esaminato e verificato da decine di esperti di sicurezza indipendenti.

Nel 2016, WhatsApp ha offerto agli utenti la possibilità, una tantum, di disattivare la trasmissione dei dati dell’account a Facebook. Ora, una politica sulla privacy aggiornata sta cambiando la situazione. Il mese prossimo, gli utenti non avranno più questa scelta. Alcuni dei dati raccolti da WhatsApp includono:

  • Numeri di telefono degli utenti
  • Numeri di telefono di altre persone memorizzati nelle rubriche
  • Nomi dei profili
  • Immagini del profilo
  • Messaggio di stato, inclusa l’ultima volta che un utente è stato online
  • Dati diagnostici raccolti dai log delle app
  • Geolocalizzazione e molto altro ancora
whatsapp privacy policy

La cosa interessante è che la Privacy Policy, come è giusto che sia, cambia da nazione a nazione e da macro area a macro area. In generale, sembrerebbe che secondo i nuovi termini, Whatsapp (Facebook) si riserva il diritto di condividere i dati raccolti con la sua grande famiglia di aziende.

La nuova politica sulla privacy afferma Potremmo condividere le tue informazioni all’interno del nostro gruppo di aziende per agevolare, sostenere e integrare le loro attività e migliorare i nostri servizi”.

In alcuni casi, come quando qualcuno utilizza WhatsApp per interagire con aziende di terze parti, Facebook potrebbe anche condividere informazioni con tali entità esterne.

Ma tranquilli perchè, testualmente, “Quando trattiamo i dati sulla base del consenso dell’utente, l’utente ha il diritto di ritirare il proprio consenso in qualsiasi momento senza intaccare la legittimità dei trattamenti svolti in base a tale consenso prima del ritiro dello stesso…… Per esercitare i propri diritti, l’utente può accedere alle impostazioni del dispositivo, alle impostazioni dell’app, come il controllo della posizione in-app, e alla sezione “Modalità di esercizio dei diritti dell’utente” della presente Informativa sulla privacy.

Scarsa trasparenza

Queste modifiche arrivano un mese dopo che Apple ha iniziato a richiedere ai produttori di app iOS, incluso WhatsApp , di dettagliare le informazioni che raccolgono dagli utenti. Solo un caso? WhatsApp, secondo l’App Store , si riserva il diritto di raccogliere:

  • Acquisti
  • Informazioni finanziarie
  • Posizione
  • Contatti
  • Contenuto dell’utente
  • Identificatori
  • Dati di utilizzo e
  • Diagnostica

Una portavoce di WhatsApp ha rifiutato di parlare delle modifiche alla privacy policy e precisamente di come o se, in qualche modo, è possibile per gli utenti rinunciarvi. L’unica cosa che ha comunicato a chi tentava di intervistarlo è che “la decisione di aggiornare le condizioni di gestione dei dati personali serve ad abilitare le aziende del gruppo ad archiviare e gestire le chat di WhatsApp utilizzando l’infrastruttura di Facebook” e che “in Europa non cambierà nulla dal punto di vista dei diritti e delle scelte che gli utenti potranno fare”

Una scelta che non è detto che ci sia veramente

Vuoto per pieno, l’informativa sulla privacy e i termini e condizioni di WhatsApp sono lunghi più di 8.000 parole e sono pieni di “legalese” che ne rende difficile la comprensione agli utenti “normali”. Anche per chi è avvezzo, andarsi e studiare tutto è davvero un’impresa.

In tutto questo, sappiamo che il precedente statement affermava: gli utenti che sono già utenti attuali possono scegliere di non condividere le informazioni del proprio account WhatsApp con Facebook per migliorare le proprie esperienze con le inserzioni e i prodotti di Facebook”. Non c’è più questo passaggio, sostituito dal nuovo “Oggi, Facebook non usa le informazioni del tuo account WhatsApp per migliorare le tue esperienze con i prodotti di Facebook o per fornirti esperienze pubblicitarie Facebook più pertinenti su Facebook. Scopri di più su come WhatsApp lavora con le aziende di Facebook”

All’orizzonte nulla di migliorativo dal punto di vista della riservatezza. I grandi colossi hanno sempre più fame di dati personali pertanto se non abbiamo voglia di cambiare sistema di messaggistica, non ci resta che attendere l’8 febbraio per conoscere nel dettaglio quali saranno le impostazioni modificabili e con quali reali effetti sulle pratiche di profilazione massiva che pratica FACEBOOK.

nordpass

Prospezione commerciale: sanzione pubblica nei confronti di PERFORMECLIC

Sentiamo spesso affermare, da alcuni (sprovveduti) “Titolari del Trattamento” che, siccome sono piccole realtà, l’attenzione alle norme che regolano l’utilizzo dei dati personali, è qualcosa che non li riguarda più di tanto.

Della serie “figuriamoci se le autorità vengono a pescare me” e altre affermazioni del genere.

Il 7 dicembre 2020, il Garante Francese (CNIL) ha sanzionato la società “PERFOMECLIC” per, tra le altre cose, la prospezione commerciale via e-mail senza evidenza del consenso al trattamento di dati personali e per non aver fornito informazioni soddisfacenti durante l’istruttoria.

PERFOMECLIC è una piccolissimo azienda che impiega due dipendenti ed è attiva nell’attività della c.d. prospezione commerciale, effettuata per lo più via email, per conto di terzi.

A far partire tutto è stata l’associazione SIGNAL SPAM, attiva nella raccolta delle segnalazioni di  utenti Internet circa e-mail non richieste, che ha informato la CNIL che questa piccola società denominata PERFOMECLIC appariva in cima alla classifica delle aziende che emettono il maggior numero di messaggi segnalati come “spam” dagli utenti di Internet in Francia.

La CNIL, che ha effettuato controlli, ha riscontrato carenze nella gestione dei dati delle persone intervistate.

I problemi emersi

L’organismo sanzionatorio della CNIL, ha ritenuto che PERFOMECLIC ha violato il Codice delle comunicazioni elettroniche (CPCE) e cinque aspetti riguardanti il GDPR:

  • violazione dell’obbligo di ottenere il consenso prima di inviare e-mail di prospezione, ai sensi dell’articolo L. 34-5 del CPCE, nella misura in cui la società non è in grado di dimostrare l’esistenza di un valido consenso delle persone contattate;
  • violazione del principio di minimizzazione dei dati (articolo 5.1.c della GDPR), nella misura in cui la società conserva i dati non necessari per inviare prospezioni commerciali, in questo caso il numero di telefono degli interessati;
  • violazione della conservazione dei dati (articolo 5.1.e della GDPR), la società che conserva i dati di lead per un periodo di tempo eccessivo, vale a dire più di tre anni dalla semplice apertura delle e-mail di prospezione, senza ulteriori azioni da parte delle persone interessate (ad esempio, senza fare clic su nessuno dei link nelle e-mail di prospezione);
  • violazione dell’obbligo di informare adeguatamente i singoli interessati (articolo 14 della GDPR) attraverso una informativa privacy;
  • violazione del diritto di opposizione delle persone (articolo 21 della GDPR), la società non consente a coloro che sono stati contattati di opporsi efficacemente all’uso dei loro dati;
  • violazione del quadro contrattuale dei rapporti con un subappaltatore (articolo 28 della GDPR), a causa dell’assenza di clausole obbligatorie nel contratto tra la società e suoi fornitori.

La sanzione inflitta

CNIL ha sanzionato PERFORMECLIC per 7.300 euro. In particolare, ha tenuto conto delle dimensioni e della situazione finanziaria della società al fine di emettere un’ammenda dissuasiva e proporzionata.

Oltre a questa multa, è imposto all’azienda di sanare le non conformità entro 2 mesi. In caso contrario, la società sarà soggetta al pagamento di una penale di 1.000 euro per ogni giorno di ritardo.

Nel rendere pubblica la sua decisione, la CNIL ha sottolineato l’importanza dell’obbligo di ottenere il consenso delle persone interessate prima di inviare e-mail di prospezione e di essere in grado di dimostrare la raccolta dei consensi ottenuti.

Voi come raccogliere e conservate i consensi al trattamento?
E che dire delle informative privacy, sono coerenti e adeguate?

Link alla Deliberazione CNIL: DELIBERAZIONE SAN-2020-016 del 7 dicembre 2020

Il periodo di transizione per il recesso del Regno Unito dall’Unione europea terminerà il 31.12.2020. Ciò significa che a partire dal 1° gennaio 2021, il Regno Unito non applicherà più il #GDPR e sarà in vigore differente quadro giuridico, in UK, per ciò che concerne la protezione dei dati personali.

A partire dal 1.1.2021 quindi, tutti i trasferimenti di dati personali tra le parti interessate e soggette a GDPR e le entità del Regno Unito costituiranno un trasferimento di dati personali a un paese terzo e pertanto sarà soggetto a quanto previsto dal Capo V GDPR.

In assenza di una decisione di adeguatezza applicabile al Regno Unito ai sensi dell’articolo 45 GDPR, tali trasferimenti necessiteranno di adeguate garanzie (es. SSC, BCR, codici di condotta …), nonché diritti applicabili ai sensi dell’articolo 46 GDPR.

Fatte salve condizioni specifiche, potrebbe essere ancora possibile trasferire i dati personali nel Regno Unito in base a deroga di cui all’articolo 49 GDPR. Tuttavia, l’articolo 49 del GDPR ha natura eccezionale e le deroghe in esso contenute devono essere interpretate in modo restrittivo e riguardano principalmente le attività di trattamento che sono occasionali e non ripetitive.

Inoltre, se i dati personali vengono trasferiti nel Regno Unito sulla base delle garanzie dell’articolo 46 GDPR, potrebbero essere necessarie misure supplementari per portare il livello di protezione dei dati trasferiti fino allo standard UE di equivalenza essenziale, in conformità con le Raccomandazioni 01/2020 in data misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione UE di dati personali.

Titolari e / o responsabili del trattamento dovranno inoltre adempiere ad altri obblighi derivanti dal GDPR, in particolare sulla necessità di aggiornare i registri dei trattamenti e le informative sulla privacy per menzionare i trasferimenti nel Regno Unito.

L’EDPB richiama le indicazioni fornite in materia dalle autorità di vigilanza e dalla Commissione europea (CE). Le organizzazioni SEE possono rivolgersi, se necessario, alle autorità di controllo nazionali competenti per sovrintendere alle relative attività di trattamento.

Per i trasferimenti di dati dal Regno Unito al SEE, l’EDPB suggerisce di consultare regolarmente il sito web del governo britannico e il sito web dell’ICO per una guida aggiornata.

www.findata.it

Cos’è un firewall?

I firewall sono sistemi hardware e/o software che proteggono gli utenti finali dal traffico dannoso su Internet. Quando i dati vengono inviati su Internet, vengono fornite anche una serie di informazioni circa la provenienza e la destinazione, nonché un’indicazione su quali applicazioni riguardano i dati. I firewall analizzano i dati, quindi li eliminano se sono sospetti oppure li fanno passare se sono innocui. Ad esempio, se il firewall dovesse rilevare un flusso di dati in cui un computer “qualsiasi”, stia tentando via Internet di connettersi a uno dei computer della tua rete, eliminerà tali dati e, se opportunamente configurato, potrebbe anche avvisarti del tentativo di connessione bloccato. Tuttavia, se rileva che stai tentando di avviare una connessione a un sito Web, inoltrerà i dati al router dove alla fine raggiungerà il sito Web desiderato. 

Schema installazione firewall HW

Perché ne hai bisogno?

I firewall, generalmente, non consentono connessioni all’interno della rete ma che sono state avviate dall’esterno della rete stessa, ciò a meno che non si dia una preventiva autorizzazione attraverso idonea configurazione. Questo è il motivo per cui i firewall sono così importanti per una navigazione web sicura. Senza firewall, qualsiasi applicazione in esecuzione sul computer che accetta connessioni di rete potrebbe essere connessa a chiunque su Internet. Se un utente malintenzionato è in grado di stabilire connessioni a una qualsiasi delle tue applicazioni, potrebbe potenzialmente compromettere il tuo computer se esiste una vulnerabilità di sicurezza nell’applicazione. I firewall sono una linea di difesa assolutamente essenziale per i computer utilizzati su rete Internet e assumono un ruolo fondamentale nelle organizzazioni che hanno attivato processi di smart working.

In sintesi, i firewall vengono utilizzati per proteggere il computer mentre si è connessi a Internet. Sono essenziali per prevenire intrusioni nella tua rete privata e nei PC ad essa collegati. Se si è connessi a Internet, si consiglia vivamente di posizionare il computer dietro un firewall per evitare che venga compromesso da un utente malintenzionato.

Va da sé che è necessario ricordare che un firewall senza un endpoint security è, pressoché, inutile.

VPN
NORD VPN

Smart-Working-Sicurezza-Informatica

La pandemia di COVID-19, nel 2020, ha causato, a livello mondiale, un improvviso innalzamento dello smart working per tutte quelle tipologie di attività che consentivano di utilizzare tale modalità. Sebbene il virus stia avendo degli impatti negativi su tanti aspetti della nostra vita, potrebbe esserci un lato positivo: il lavoro a distanza può avvantaggiare i lavoratori, le aziende e il pianeta.
L’adozione dello smart working, negli ultimi anni, è cresciuta costantemente e per delle buone ragioni. Uno studio universitario pre-pandemia ha rilevato che i dipendenti a cui era concesso di lavorare da casa, erano, in media, il 13% più produttivi che in ufficio. E ci sono anche vantaggi operativi, infatti le organizzazioni con orari flessibili e in smart working tendono a spendere meno per gestire grandi uffici. Va infine considerato che, come conseguenza della riduzione degli spostamenti dei dipendenti, il pianeta beneficia di una riduzione delle emissioni Co² tanto da consentire eventi come quello dei delfini che tornano a Venezia.
Non sto sostenendo che sia necessario lavorare sempre e solo da casa ma se il COVID-19 ci sta insegnando qualcosa, quel qualcosa è che il lavoro a distanza potrebbe portare benefici alle aziende e al pianeta.


Lo smart working aumenta i rischi per la sicurezza informatica

Lo smart working è un cambiamento enorme nel modo in cui le persone lavorano e, se gestito senza preparazione, porta con sé seri rischi per la sicurezza informatica. La maggior parte dei rischi dipenderà dal modo in cui lavorano i dipendenti e collaboratori delle aziende. Le ricerche effettuate da esperti in cybersecurity ci dicono che oltre il 70% dei dipendenti di piccole imprese (e l’Italia ne è piena…) archivia documenti utilizzando account e dati di identificazione personale o utilizzando tools (HW/SW) personali. Un altro rapporto sulle violazioni informatiche afferma inoltre che i data breach, nel 53% dei casi, si verificano a causa di un uso non appropriato degli strumenti informatici da parte dei dipendenti.
Il comportamento delle persone è la più grande sfida alla sicurezza informatica
I dipendenti si sentono lontani dallo sguardo aziendale quando sono a casa, il che può aiutare la produttività. Ma significa anche che potrebbero non essere così consapevoli di seguire le migliori pratiche di sicurezza e il personale IT, non fisicamente in loco, potrebbe non essere semplice da contattare per fornire consigli rapidi.
Nove volte su dieci, i dipendenti in smart working lavorano utilizzando un dispositivo aziendale (se fornito dal datore di lavoro) ma potrebbe accadere che lo usino anche per cose personali, come lo shopping online. Gli hacker sono intelligenti; anticipano questi cambiamenti e sono sempre alla ricerca di nuovi modi per sfruttare ogni situazione.
Con così tante persone a casa 24 ore su 24, 7 giorni su 7 e che fanno acquisti online, assistiamo a un, quasi automatico, forte aumento degli attacchi di phishing online . Gli hacker continuano a creare siti falsi che emulano supermercati online di grandi nomi, ecommerce hightech, siti con false informazioni etc.
Infatti, uno dei trend di questo periodo riguarda il considerevole aumento degli attacchi di phishing con e-mail di consulenza COVID-19 da parte di

E-mail di phishing – ingegneria sociale | Prevenzione CH

hacker che fingono di essere organizzazioni sanitarie. Nel momento in cui un utente clicca sui link malevoli, soprattutto se connessi alla VPN aziendale, gli hacker possono accedere a queste reti, generando un rischio molto alto per la protezione dei dati aziendali.
Lo smart working così massivo ha inoltre introdotto nuove sfide per i reparti IT delle aziende. Di solito, in ufficio, un dipendente può rivolgersi al proprio Team IT e chiedere supporto o consiglio. E solitamente, il supporto tecnico IT risolve il problema prontamente e poi tutto va bene. A casa invece, il dipendente potrebbe trovare difficile contattare il reparto IT per sottoporre un dubbio o un problema o, addirittura, essere inserito in liste di attesa. E nel frattempo? Nel frattempo il dipendente sta convivendo con quel dubbio o problema, con tutti i rischi annessi e connessi ad una soluzione fai-da-te.
Pertanto, in questa fase, dove c’è un picco di lavoro per i reparti IT e una maggiore pressione sui dipendenti da parte degli hacker, l’obiettivo dovrebbe essere quello di aumentare gli sforzi per fermare gli attacchi informatici prima che avvengano. Ma come?


Insegna ai tuoi dipendenti e collaboratori a diventare cyber-consapevoli. Il solo antivirus non basta più!

La formazione è fondamentale per aiutare tutti i dipendenti a diventare consapevoli dei cyber risk. Pianifica un programma di formazione, con un mix di apprendimento online, classe (virtuale o reale) e consulenza regolare via e-mail. È possibile verificare se le persone sono in grado di individuare un attacco di phishing organizzando campagne di simulazione di e-mail phishing.
La formazione è vitale e, in questo momento, una comunicazione chiara è fondamentale.
I dipendenti devono sapere cosa è accettabile fare sui dispositivi aziendali, piuttosto che, altrettanto semplicemente, per cosa non dovrebbero usare i dispositivi a loro assegnati. Con meeting settimanali o chat online, si può rimanere in contatto con i dipendenti, consigliarli sulle migliori pratiche e rispondere alle loro domande. Questo li mette a proprio agio nel parlare con gli esperti, così che se dovesse succedere qualcosa, si potrà intervenire più velocemente.


Costruire una cultura della fiducia

Sfortunatamente, in molte organizzazioni più grandi, non esiste una cultura della trasparenza tra dipendenti e IT sulle questioni informatiche. Quando le persone commettono errori, non sono consapevoli di ciò che hanno fatto o hanno paura di perdere il lavoro, quindi potrebbero non segnalare formalmente un incidente di violazione dei dati che finisce per danneggiare l’azienda. È necessario creare una cultura di fiducia e trasparenza tra i dipendenti e il team IT. La comunicazione aperta da parte del management aziendale è fondamentale.


La navigazione sui dispositivi di lavoro

La navigazione legata a situazioni non professionali potrebbe compromettere la sicurezza della rete, quindi è consigliato che i dipendenti lo sappiano e che vengano incoraggiati a svolgere attività online personali, come fare acquisti, social media o leggere notizie, utilizzando i propri dispositivi.


Patch e aggiornamenti

Se i dispositivi di dipendenti e collaboratori non sono completamente aggiornati e aggiornabili, aumentano le possibilità che gli hacker trovino vulnerabilità nel sistema. Accedi in remoto alla loro macchina per applicare patch o aiutali a farlo da soli per telefono. Ancora meglio, installa una soluzione di patch automatizzata.


Modificare le password predefinite dei router di casa

La maggior parte dei router domestici utilizzano user e password predefinite, che gli hacker possono trovare e quindi accedere al back-end della rete domestica. Poche persone si preoccupano di cambiarle perché è un processo non immediato, ma farlo migliorerà drasticamente le difese informatiche dei dipendenti. Una buona pratica sarebbe invitare i dipendenti a farlo ma anche mostrare loro come fare.


La sicurezza informatica nell’era dello smartworking

Dopo che le restrizioni COVID-19 saranno terminate (speriamo quanto prima!) e le organizzazioni quantificheranno i benefici dello smart working (su risultati e personale) probabilmente il modo di lavorare cambierà per sempre trovando altri equilibri. Forse governi e datori di lavoro concorderanno dei tempi prestabiliti per lavorare in azienda e per rimanere in smart working, aiutando i dipendenti a bilanciare la vita privata con quella lavorativa.
Con questo in mente, è necessario conoscere i rischi informatici dello smart working, come preparare i propri team e incoraggiare una cultura di collaborazione e trasparenza. Se stai pensando di estendere lo smart working nella tua organizzazione anche oltre COVID-19, metti in atto un programma di formazione, avere delle procedure relative al trattamento dei dati e dei prodotti di sicurezza informatica adatti a mantenere i tuoi dipendenti e la tua azienda al sicuro. Contattaci e saremo felici di fornirti ogni ulteriore informazioni e supporto al riguardo. Vai qui per richiedere una telefonata da parte di un nostro consulente –>>

Secondo Gartner, la responsabilità per incidenti di sicurezza cyber-fisica avrà impatti aziendali fino ad arrivare, entro il 2024, alla responsabilità personale per il 75% dei CEO.

A causa della natura dei sistemi cyber-fisici (CPS), gli incidenti possono comportare anche danni fisici alle persone, distruzione di proprietà o disastri ambientali. Gli analisti di Gartner prevedono che gli incidenti aumenteranno rapidamente nei prossimi anni a causa della mancanza di attenzione alla sicurezza e conseguenti budget non adeguati.

Gartner definisce i CPS come sistemi progettati per orchestrare rilevamento, calcolo, controllo, networking e analisi per interagire con il mondo fisico (inclusi gli esseri umani). Si tratta di tutto quello strettamente connesso all’IT, inclusi gli IoT (e tutte le tecnologie IoT) che abbracciano sia il mondo cyber che quello fisico, come infrastrutture critiche, ad alta intensità di risorse e, soprattutto, ambienti sanitari altamente tecnologici.

Parliamo di episodi come quello accaduto in Germania, dove per il blocco informatico dell’ospedale universitario di Duesseldorf, causato da un ransomware, una donna è morta. Bloccati 30 server interni sfruttando una vulnerabilità dei gateway Citrix, denominata CVE-2019-19871. Già Wannacry aveva aumentato il tasso di mortalità connessa e questo spiega perché avere ospedali cyber sicuri è vitale.

Le autorità di regolamentazione e i governi, nel prossimo futuro, saranno obbligati a reagire a un ulteriore aumento di incidenti gravi derivanti dalla mancata protezione dei “CPS”, inasprendo le norme e i regolamenti (e quindi le sanzioni) che li regolano. Negli Stati Uniti, l’FBI, la NSA e la Cybersecurity and Infrastructure Security Agency (CISA) hanno già aumentato la frequenza e i dettagli forniti sulle minacce ai sistemi critici relativi alle infrastrutture, la maggior parte dei quali sono di proprietà di industrie private. Accadrà, a un certo punto, che i CEO non saranno più in grado di dire “non sapevo” o di nascondersi dietro le polizze assicurative.

Gartner prevede che l’impatto finanziario degli attacchi CPS, che provocano vittime mortali, raggiungerà oltre 50$ miliardi entro il 2023. Anche senza considerare il valore effettivo di una vita umana nell’equazione, i costi per le organizzazioni in termini di risarcimento, contenzioso, assicurazione, sanzioni normative e la perdita di reputazione sarà molto significativa.

I consulenti direzionali dovranno aiutare i CEO a comprendere i rischi rappresentati dai CPS e la necessità di dedicare attenzione e budget alla loro protezione . Del resto, più i CPS sono connessi, maggiore è la probabilità che si verifichi un incidente.

Con smart building, smart cities, auto connesse e veicoli autonomi in evoluzione, gli incidenti nel mondo digitale avranno un effetto molto maggiore che nel mondo fisico poiché i rischi, le minacce e le vulnerabilità ora esistono in uno spettro bidirezionale: quello “cyber-fisico”. Tuttavia, in maniera clamorosa, molte aziende non sono a conoscenza dei CPS già implementati e funzionanti nella loro organizzazione, a causa di sistemi legacy collegati alle reti aziendali da team esterni all’IT, o a causa di sistemi di automazione e modernizzazione guidati dal business.

Emerge quindi la necessità di concentrarsi sull’ORM (gestione della resilienza operativa) oltre che alla sicurezza informatica incentrata sulle informazioni”,

FinData per la sicurezza e la gestione dei rischi

Il Team FinData fornisce periodicamente analisi sulle tendenze della sicurezza IT ai suoi clienti e in parte agli iscritti alla Data-Newsletter. Segui le notizie e gli aggiornamenti iscrivendoti alla mailing list.

A proposito di FinData

FinData è una società di consulenza e servizi IT che fornisce informazioni, consulenza e strumenti indispensabili per raggiungere gli obiettivi aziendali e contribuire alla costruzione di organizzazioni di successo.

Per saperne di più su come aiutiamo gli imprenditori, contattati o seguici sui nostri canali social.

Approfondimenti all’interno del report di Gartner:  Predicts 2020: Security and Risk Management Programs 

Siamo all’11 ottobre 2020 e si registrano, da parte degli operatori food & hospitality, comportamenti non a norma e soprattutto passibili di sanzioni (anche salate) in ambito trattamento dati personali.

L’emergenza sanitaria, conseguenza dell’infezione da CODID-19, ha determinato un cambiamento radicale delle abitudini quotidiane di ognuno essere umano, anche di quelle più semplici e spontanee come bere un caffè al bar o mangiare in un ristorante

Non a casa, le attività di bar, ristorazione e catering sono state destinatarie le prima catergorie a sottoposte a restrizioni sugli orari di apertura e poi di un provvedimento di chiusura totale a fronte del quale solo alcuni – compatibilmente con i costi di esercizio – ha in qualche modo riadattato la propria attività avviando o incrementando l’asporto e la consegna a domicilio (le uniche consentite). 

Ora quindi, dall’inizio della FASE 2, bisogna fare i conti con DPCM, Provvedimenti Regionali, Regolamenti Comunale e chi più ne ha più ne metta per destreggiarsi tra vincoli, obblighi e responsabilità alla ricerca di un delicato punto di equilibrio tra la auspicata ripresa di una normalità e i suoi “costi”.  In tutto questo, ci viene chiesto spesso: “ma quali obblighi ci sono per trattare i dati <<covid-19>> e di nostri clienti?”

Ci piace essere diretti e non far perdere tempo a chi ci segue ecco perchè riteniamo pratico ed efficace reindirizzare tutti a un PDF fornito dell’Autorità Garante per la Protezione dei Dati Personali.
Non bisogna inventarsi nulla. Non serve un parere legale da sviluppare dopo approfondita analisi, è tutto scritto nella tabella che potete scaricare 2 righe più sotto. Provare per credere.

Buon lavoro a tutti!

La tua organizzazione è pronta dal punto di vista della sicurezza informatica? È proattiva o reattiva?

paypal fake

Phishing è un crimine informatico in cui uno o più “obiettivi” vengono contattati tramite e-mail, telefono o messaggio di testo da qualcuno che si spaccia per un’istituzione legittima per indurre le persone a fornire dati sensibili come informazioni di identificazione personale, dettagli bancari, della carta di credito e password di accesso a specifiche utenze. Le informazioni raccolte dai malintenzionati vengono quindi utilizzate per accedere ad account personali o aziendali e possono provocare furti di identità e perdite finanziarie.

Caratteristiche comuni delle e-mail di phishing

Troppo bello per essere vero”
Le offerte lucrative, dichiarazioni accattivanti o che attirano l’attenzione sono progettate per attirare immediatamente l’attenzione delle persone che le leggono. Ad esempio, molti messaggi sostengono che chi legge abbia vinto un iPhone, una lotteria o qualche altro premio in denaro. Basta non fare clic sui link e le e-mail sospette. Occorre tenere a mente che “se sembra troppo bello per essere vero, probabilmente non lo è!”

Senso di urgenza”
Una tattica preferita utilizzata dai criminali informatici è chiederti di agire velocemente perché ciò che viene proposto è solo per un periodo di tempo limitato. In alcuni casi affermeranno che chi legge ha solo pochi minuti per rispondere. Altre volte verrà comunicata la sospensione di un account se non si aggiorneranno i dati personali immediatamente. La maggior parte delle organizzazioni che apportano modifiche di questo tipo concede sufficiente tempo prima di chiudere un account e non chiede mai agli utenti di aggiornare i dati personali su Internet. In ogni caso, per accertarsi, sarà sufficiente andare  direttamente sul sito interessato anziché fare clic su un collegamento in un’email.

Collegamenti ipertestuali”
Un collegamento potrebbe non essere ciò che sembra. Quando portiamo il puntatore del mouse su un collegamento, viene mostrato l’effettivo URL a cui si verrà indirizzati facendo clic su di esso. Potrebbe essere completamente diverso o potrebbe essere un sito Web popolare con un errore di ortografia, ad esempio www.unicrebit.com: la “d” è in realtà una “b”, quindi occorre fare attenzione.

“Allegati”
Se in un’email viene visualizzato un allegato non atteso o che non ha senso …. non aprirlo! Spesso contengono payload come ransomware o altri virus. L’unico tipo di file su cui è sempre sicuro fare clic è un file .txt.

“Mittente insolito”
Sia che sembri provenire da qualcuno che si non conosce o da qualcuno che non si conosce, se qualcosa sembra fuori dall’ordinario, inaspettato, insolito o semplicemente “sospetto”, non fare clic su di esso!

Punti da attenzionare

Contromisure attuabili

Una volta mi è stato chiesto se era possibile automatizzare il processo di phishing protection. Ho risposto con una domanda: vuoi automatizzare il processo di gestione delle email di phishing o sei interessato a un modo per bloccarle e impedire che arrivino sul server di posta?

Purtroppo, in un’organizzazione, gli utenti sono l’anello più debole nella catena della sicurezza informatica. Non importa quanto vengano istruiti o continuamente aggiornati, ci sarà sempre qualcuno che è convinto di “guadagnare un milione di euro” cliccando su un link, oppure è “preoccupato dalla transazione PayPal non andata a buon fine” o semplicemente curioso di aprire quel “documento word inviato dall’agenzia delle entrate”.

Ora, come e dove è possibile usare un automatismo per risolvere questo problema così attuale e frequente? Al punto di ingresso, dove si ricevono le email? Lasciare che l’utente prenda la decisione di valutare e segnalare le email sospette?  Acquistare uno strumento di monitoraggio che utilizza AI e ML per convalidare le email prima che giungano nella posta in arrivo dell’utente?

Che ci crediate o no, il concetto di “Email Security” è qualcosa che ancora oggi è dato per scontato. Esistono diversi strumenti sul mercato che utilizzano Intelligenza Artificiale (AI) e Machine Learning (ML)  per rilevare, rispondere e proteggere le e-mail non solo ricevute ma anche inviate.


Quanto sei sicuro di controllare il flusso in entrata/uscita delle e-mail?
Il modo migliore per automatizzare l’elaborazione di e-mail di phishing/dannose è interrompere e controllare questo flusso al punto di ingresso senza lasciare decidere l’utente su cosa fare o non fare.

Cosa, perché e dove proteggere le e-mail in entrata e in uscita?

Ho volutamente non incluso il “come” perché ogni strumento di controllo avrà controlli e limitazioni specifiche. Quindi, ecco qui le principali precauzioni da prendere per proteggersi dal Phishing:

– Dominio e furto d’identità dell’utente: Non vuoi che qualcuno finga di essere il tuo supporto IT o il tuo CEO, giusto? Abilita SPF[1] e DKIM[2]

– Malware e ransomware: vuoi che qualcuno cripti i tuoi dati e li renda così sicuri che nemmeno tu sarai in grado di recuperarli? Elabora gli allegati per le e-mail in entrata e in uscita.

– E-mail di phishing e spam: a chi non piacerebbe diventare milionari facendo click su un collegamento?
Configura i filtri anti-spam e phishing e utilizza anche Advance Threat Protect (ATP)[3] ;

– Allegati e link malevoli: un PDF o un xls potrebbero sembrare file realmente inviati da colleghi o fornitori. Cosa fare? ATP per allegati e collegamenti;

– Crittografia: assicurati che i destinatari ricevano il tuo messaggio. Crittografa le email in uscita per garantire la riservatezza;

– Classificazione dei dati: assicurati che tu e il tuo destinatario conosciate la criticità dei dati che condividete. Quando sei “mittente”, fai in modo di farglielo sapere classificando i dati che invii per garantire  riservatezza e integrità; – Disabilita l’inoltro automatico a indirizzi e-mail esterni: la prima cosa che fa un criminale informatica che riesce a controllare una casella di posta è l’impostazione/regola dell’inoltro automatico. Disabilita questa funzionalità;

– Account amministratore dedicato: In base ai ruoli, assegnare le autorizzazioni di amministratore. Questo garantirà che anche all’interno del tuo IT Team nessuno aggiri le regole;

– MFA: Le probabilità di avere un accesso fraudolento a uno smartphone sono basse. Imposta l’autenticazione a più fattori per tutti gli utenti critici e in particolare per gli account “amministratore”;

– Ultimo ma non meno importante: newsletter e mail marketing. I filtri anti-phishing e anti-spam possono estrarre anche queste e-mail se configurati correttamente.

Finché non avverrà di strano o sospetto, con queste impostazioni, tutte le email in entrata e in uscita, scorreranno come l’acqua del fiume. Si, questa è automazione! Con tutte queste impostazioni, puoi essere certo che i tuoi utenti e la tua organizzazione abbiano una protezione dagli attacchi e-mail di livello medio alto. E poi, perchè non testate la risposta della Tua organizzazione simulando una campagna di phishing? Potreste avere delle sorprese … non sempre gradite!

L’e-mail phishing si evolve, ogni giorno, quindi il monitoraggio e i miglioramenti costanti sono tanto cruciali quanto lo è configurarli correttamente. Non fatevi trovare impreparati, agite, adesso!

Circa l’autore: Mario Arcella si occupa da anni Compliance e Project Management. Socio di diverse start-up e con la passione per la Sicurezza delle Informazioni ha co-fondato FinData, una “Solution Company” che basa il valore di ciò che propone sui vantaggi che il cliente ottiene al termine dei progetti. Citazione preferita: “Tutte le cose sono difficili prima di diventare facili.”

    


[1] il  Sender Policy Framework (SPF) non fa altro che confrontare gli indirizzi ip legati al domino e quello da cui proviene la email. Questo significa che al momento in cui viene recapitata una email a un provider di posta quest’ultimo interroga il domino da cui essa proviene chiedendo se il sistema da cui è stata spedita è autorizzato ad inviare email a suo nome. L’SPF può cooperare con il DKIM, ma non necessariamente devono essere abbinati.

[2] il  Domain Keys Identified Mail non è altro che una firma digitale che viene apposta alla email inviate. Questa firma proprio come l’ SPF viene verificata dal domino di posta del ricevente tramite i dns del dominio di posta del mittente. Il DKIM può cooperare con l’ SPF, ma non necessariamente devono essere abbinati.

[3] ATP è una soluzione di sicurezza basata sul cloud che sfrutta i segnali di Active Directory locali per identificare, rilevare e analizzare le minacce avanzate, le identità compromesse e le attività svolte da utenti interni.