La Privacy nella Cyber-Era

(di Massimo Montanile)
09/05/17

L’innovazione tecnologica propone continuamente nuovi strumenti per un pianeta sempre più connesso1, ma al tempo stesso espone a nuove minacce i dati personali e, più in generale, il prezioso patrimonio informativo, anche di infrastrutture critiche, ormai esposte alla minaccia cyber.

Si pensi all’esplosione del modello Cloud ed a tutte le implicazioni organizzative, di compliance e di sicurezza connesse, alla diffusione di dispositivi biometrici, grafometrici, alla profilazione, spesso embedded nei sw di sviluppo dei siti web, al tumultuoso sviluppo dell’IoT, che secondo le stime più prudenti interconnetterà tra di loro oltre 50 miliardi di dispositivi nel 2020. Questi modelli vanno ben compresi, valutandone di volta in volta l’adozione, bilanciando i possibili reali benefici di cui sono portatori con i rischi di violazione Privacy, e non solo, connessi al loro utilizzo.

Ovviamente ciascuno privilegiando il proprio punto di vista, di attaccante o di difensore, anche se difficilmente si finisce con il giocare un solo ruolo.

Su una popolazione mondiale di 7,5 miliardi di persone, gli utenti di internet sono 3,6 miliardi2.

I dati costituiscono la materia prima dell’era dell’informazione3: ogni attività umana effettua almeno un trattamento di dati, in una qualche fase del suo ciclo di vita, per poter aver luogo. L’utilizzo dei dati, con la digitalizzazione dell’informazione, è entrato ormai strutturalmente in tutti i processi economici e sociali della nostra vita4. La rapidissima evoluzione tecnologica rende disponibili continuamente nuovi strumenti e abilita processi di trattamento delle informazioni prima impossibili o solo immaginati. Se pensiamo alla sola raccolta dati, negli ultimi due anni è stato generato il 90% dell’intero patrimonio di dati digitali mondiali5, che crescono al ritmo del 50% l’anno. Le statistiche Domo6 restituiscono chiara la dimensione del fenomeno Internet: ogni minuto del giorno su Youtube si condividono 400 ore di nuovi video; si acquistano su Amazon prodotti e servizi per oltre 222.000 dollari e quasi 2 milioni e mezzo di foto ricevono un like su Instagram.

Secondo Gartner7, entro il 2020 i dispositivi connessi all'Internet of Things (IoT) diversi dai PC e dai dispositivi mobili saranno 25 miliardi (più della metà solo per il mercato consumer); Cisco prevede che entro il 2020 il numero complessivo di dispositivi IoT interconnessi potrebbe toccare la soglia dei 50 miliardi, mentre IDC porta tale stima addirittura a 212 miliardi.

Le aziende, le organizzazioni stanno tutte migrando, alcune inconsapevolmente, verso un modello digitale. Che promette nuove opportunità, ma che espone anche a nuovi rischi.

Le forze armate, ormai da diversi anni, hanno in atto concreti processi di trasformazione digitale, a partire dagli USA. Si pensi al notevole sviluppo di Forza NEC, il “Programma interforze multinazionale in ambito NATO per la realizzazione di uno strumento militare innovativo mediante la digitalizzazione condivisa delle informazioni, degli equipaggiamenti e di piattaforme operative e logistiche comuni”8.

I dispositivi intelligenti, non solo i comuni dispositivi elettronici ma anche di quelli più evoluti e sofisticati, collegati in rete secondo il modello IoT, o IoE – Internet of Everything, offrono sempre più innovative, creative e vantaggiose funzionalità, ma hanno intrinsecamente notevoli potenziali rischi di essere hackerati9, da nemici spesso non facilmente individuabili e che a volte possono portare attacchi pur non disponendo di importanti risorse tecniche o finanziarie.

Diventa urgente e doverosa azione da parte delle istituzioni sostenere una cultura della sicurezza e della difesa del diritto della persona, non distinta dai suoi dati personali.

Il Regolamento Privacy UE10 ci offre l’opportunità di approcciare il tema della sicurezza in modo strutturato, fornendo indicazioni utilissime (soprattutto nei consideranda), che, se ben recepite, consentono di mettere in atto misure, processi, organizzazioni, in grado di sostenere la grande sfida della Data Protection.

Qui ripercorriamo velocemente quelli che sono a nostro avviso più utili, fino a riconoscere nella formazione un potente “firewall” mirato a sostenere e rafforzare la consapevolezza di chi tratta dati personali, ma anche di chi sviluppa i sistemi di Data Protection, inserendo nel loop del ciclo di vita del progetto di sviluppo dei Security e Privacy Tool, il comportamento umano come requisito di cui tener conto, allo stesso rango dei requisiti funzionali e cogenti. Per un’effettiva Security e Privacy by Design11.

Il Garante della privacy, in una recente dichiarazione rilasciata a commento del caso Wikileaks-CIA12 afferma infatti che "è essenziale anzitutto investire su sistemi di privacy by design e by default, volti a ridurre il rischio di invasioni nella nostra sfera privata a partire dalla stessa configurazione dei dispositivi. Ma soprattutto, occorre non rassegnarsi al processo apparentemente inarrestabile di sorveglianza globale, cui siamo sempre più esposti e che notizie come questa purtroppo confermano".

In particolare il richiamo alla data protection fin dalla progettazione è esplicito nel considerando 78 del GDPR, mentre nel considerando 83 si introduce l’approccio risk-based necessario per affrontare la compliance con il nuovo regolamento privacy, sottolineando, nel considerando 90, l’imprescindibile valutazione d’impatto che va sempre considerata per definire priorità ed aree di applicazione delle misure di sicurezza da implementare.

Interessante ripercorrere il lavoro di P. Perri13 sulla formalizzazione dei criteri e degli standard di sicurezza, che offre una guida ottimamente strutturata per comprendere le relazioni tra gli elementi da prendere in esame per indirizzare correttamente la complessa teoria dell’analisi dei rischi.

A mio avviso andrebbe sostenuto con vigore un approccio volto all’istituzione di schemi di certificazione, soprattutto a livello di Servizio/Prodotto, con un modello basato sulla terzietà degli enti di valutazione/certificazione, garantisca il livello di “sicurezza Privacy” dell’oggetto di valutazione, sulla falsariga dei Common Criteria14, che richiedono l’adozione di modelli organizzativi e di processi di sviluppo orientati alla Data Protection.

Allo scopo di tutelare maggiormente la riservatezza nelle comunicazioni elettroniche ed un elevato livello di tutela della vita privata, la Commissione europea ha recentemente proposto nuove norme per tutte le comunicazioni elettroniche, la c.d. Direttiva ePrivacy15.

Anche ai cittadini è tuttavia chiesto di svolgere un ruolo attivo per la difesa della propria privacy, con comportamenti sempre più consapevoli dei potenziali rischi derivanti dall’uso delle nuove tecnologie e dei servizi/prodotti da queste rese disponibili e dei benefici che da queste ne possono derivare.

  

Massimo MontanileDPO – Data Protection Officer di Elettronica S.p.A. Fellow dell’Istituto Italiano per la Privacy. Membro di Federprivacy e del CDTI - Club Dirigenti Tecnologie dell'informazione di Roma. Laureato nel 1983 in Scienze dell’Informazione con lode presso l’Università degli Studi di Salerno. Da oltre trent’anni si occupa di Information Technology e di Sicurezza delle Informazioni; ha maturato significative esperienze in diverse aziende multinazionali. L’esordio lavorativo, in continuità con il percorso universitario, è presso la startup Sintel di Salerno, partner Siemens. Ricercatore dal 1984 presso i Laboratori R&D Olivetti di Ivrea, ha disegnato e sviluppato Protocolli di Comunicazione Liv.2 ISO/OSI, ideando ed implementando un automa a stati finiti per il test esaustivo di protocolli di comunicazione. Ha sviluppato in particolare sw “sicuri” per organizzazioni worldwide (in particolare Israele, USA) su piattaforme UNIX. Ha successivamente ricoperto, in Olivetti Roma, vari ruoli di management per progetti per la Pubblica Amministrazione Centrale. Dopo una parentesi di consulenza in ambito militare presso Agusta (sul “Mangusta” Attack A129), è passato nel Gruppo Telecom Italia dal 1997, ricoprendo vari incarichi in seno alla Corporate, a Roma e, dal 2003 a Milano, in ambito Purchasing. Dal 2007 in Elettronica S.p.A., attualmente ricopre l’incarico di Data Protection Officer del Gruppo. Ha pubblicato articoli e lavori sulla Privacy su prestigiose riviste, tra cui Il Corriere della Privacy e Diritto & Pratica del Lavoro di IPSOA, intervenendo come relatore in diversi convegni tematici (Privacy Day 2015 e 2016; ICT Festival 2016; Progetto “Vivi internet, al sicuro”; ecc.). Già Lead Auditor UNI EN ISO 9001 Cepas, è certificato TÜV “Privacy Officer e Consulente della Privacy” ed iscritto nel Registro TÜV Videosorveglianza. Provisional ISMS Auditor Cepas. Lead Auditor IEC/ISO 27001 qualificato Cepas/DNV-GL.

 

 Note:

1 A. SORO, Liberi e connessi, Codice Edizioni, Torino, 2016

2 Dati al 4 maggio 2017. Fonti ed info: World Development Indicators (WDI) - World Bank; Measuring the Information Society - International Telecommunications Union (ITU)

3 A. ROSS, ex consigliere del Dipartimento di Stato per l’Innovazione con Hillary Clinton e docente alla Columbia University e alla Johns Hopkins University, ben spiega come i dati siano il motore della nostra era, in particolare nel suo libro “Il nostro futuro – Come affrontare il mondo dei prossimi vent’anni”, Feltrinelli, Milano, 2016, pp. 191-229.

4 A. SORO, Liberi e connessi, Codice Edizioni, Torino, 2016

5 P. BAE BRANDTZÆG (SINTEF ICT), in Science Daily “Big Data, for better or worse: 90% of world's data generated over last two years

6 J. JAMES, Data Never Sleeps 4.0, Domo, https://www.domo.com/blog/data-never-sleeps-4-0/ [Ultimo accesso: 4.11.2016]

7 Gartner, Gartner Says 4.9 Billion Connected "Things" Will Be in Use in 2015, press release, Gartner Symposium/ITxpo 2014, November 9-13 in Barcelona, Spain.

9 Wikileaks ha recentemente diffuso migliaia di documenti riservati, attribuiti alla Cia, su un programma di hackeraggio basato su malware e cyber-armi. Tale presunto sistema di hackeraggio consentirebbe alla Cia di controllare i telefoni di aziende americane ed europee, come l'iPhone della Apple, gli Android di Google e Microsoft, e persino i televisori Samsung, utilizzandoli come microfoni segreti.

10 REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

11 A. CAVOUKIAN, “Operationalizing Privacy by Design: A Guide to Implementing Strong Privacy Practices”, Online, 2012. https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf [Ultimo accesso: 31 ottobre 2016]

12 Wikileaks: Garante privacy, fare luce al più presto su hackeraggio CIA - Dichiarazione di Antonello Soro, Presidente del Garante per la protezione dei dati personali (Adnkronos, 8 marzo 2017)

13 P. PERRI, Privacy, diritto e sicurezza informatica, Giuffrè Editore, Milano, 2007

14 Il Common Criteria for Information Technology Security Evaluation (noto anche come Common Criteria o CC) è uno standard internazionale (ISO/IEC 15408) per la certificazione della computer security. Per un’esauriente trattazione, vedi http://www.difesa.it/SMD_/Staff/Reparti/II/CeVa/Pagine/standard_valutazione.aspx

15 European Commission - Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications), Brussels, 10.1.2017 - COM(2017) 10 final - 2017/0003 (COD)

(foto: U.S. Coast Guard / U.S. Army National Guard / U.S. Army Reserve)