L’utilizzo dei servizi cloud per la condivisione di file è ormai parte integrante delle realtà aziendali, ma con l’uso di applicazioni consumer come Dropbox e Google Drive il rischio di data breach è dietro l’angolo. Il nuovo regolamento sulla protezione dei dati dell’Unione Europea ha di fatto obbligato le aziende ad analizzare in dettaglio le modalità e le misure di sicurezza adottate da queste applicazioni di cloud sharing, al fine di verificare se siano conformi ed integrate/integrabili nei processi aziendali di GDPR. Le misure di sicurezza e privacy adottate da Dropbox e Google Drive di fatto si equivalgono e garantiscono un livello di sicurezza adeguato a scongiurare un possibile data breach, ma si scontrano con la necessità di integrazione con altri sistemi e con l’approccio culturale fornendo, allo stesso tempo, opportunità a possibili malintenzionati di poter effettuare una violazione dei dati.
Una delle importanti criticità che è troppo spesso sottovalutata è, infatti, la possibilità di questa tipologia di servizi di integrarsi con diversi sistemi di terze parti, una funzionalità necessaria e indispensabile ma al contempo estremamente rischiosa, in quanto proprio le terze parti sono un possibile punto di accesso per i criminali informatici. La maggior parte delle violazioni dei dati su Dropbox e Google Drive continua tuttavia ad avvenire attraverso il furto delle credenziali di accesso degli utenti stessi. La principale causa dei problemi relativi al rischio hacking degli account delle applicazioni cloud di file sharing, è di fatto dovuta al nostro comportamento.
Nell’interessante articolo Dropbox, Google Drive e il rischio “data breach”: così proteggiamo i dati pubblicato su Cybersecurity360 si analizzano tecniche e modalità utilizzate per rubare accessi su Dropbox e Google Drive. Ma se le misure di sicurezza non dovessero bastare, cosa fare in caso di violazioni di dati personali? Il GDPR (Regolamento UE 2016/679 in materia di protezione dei dati personali) disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza delle principali violazioni di dati personali. Il criterio dirimente per valutare la necessità di avviare una procedura di notifica è la probabilità che la violazione possa porre a rischio le libertà e i diritti dei soggetti interessati.
Appurato il rischio conseguente dalla violazione, gli artt. 33 e 34 del GDPR indicano ai titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di data breach. In seguito dell’entrata in vigore del GDPR, il Gruppo di lavoro Art. 29 ha stilato delle linee guida atte ad offrire indicazioni concrete e casi esemplificativi che possano aiutare gli operatori coinvolti nel trattamento di dati personali ad interpretare le disposizioni del Regolamento e a pianificare correttamente il loro adeguamento. L’articolo Guida alla gestione dei data breach secondo il regolamento GDPR sulla Data protection pubblicato su Digital4 illustra cosa fare in caso di violazioni di dati personali, a chi rivolgersi e come comunicarle.
A cura di Marta Lai, Information & Cyber Security advisor presso P4I – Partners4Innovation e Gaia Rizzato, Trainee Information & Cyber Security presso P4I – Partners4Innovation
