Penetration test e GDPR sono solo all’apparenza due ambiti differenti e distanti tra loro. In realtà, un continuo controllo sulla “robustezza” di un sistema informatico a possibili attacchi cyber consente di ottenere e verificare nel tempo la compliance al Regolamento UE.
Il Regolamento generale sulla protezione dei dati personali (EU) 679/2016, o GDPR, richiede infatti la verifica delle misure di sicurezza adottate da ogni tipo di organizzazione o ente che intenda effettuare una qualsiasi operazione di trattamento sui dati personali forniti dagli interessati.
Tale verifica, a dimostrazione dell’efficacia delle difese adottate, può sostanziarsi attraverso test specifici, ovvero riesami periodici, ed è di grande importanza per il titolare o il responsabile del trattamento che intendano sviluppare un sistema di miglioramento continuo sulla sicurezza dei dati personali.
Indice degli argomenti
L’importanza del penetration test col GDPR
La verifica delle vulnerabilità di un sistema informatico è un’azione di forte responsabilizzazione, per mezzo della quale l’imprenditore, il management aziendale, la pubblica amministrazione o più in generale l’organizzazione, dichiara, nei fatti, la propria adesione ad uno dei molteplici requisiti sottostanti: il principio cosiddetto di accountability.
Infatti, l’art. 24 del GDPR, nel definire le responsabilità del titolare del trattamento, impone a quest’ultimo di implementare misure tecniche e organizzative idonee a garantire che il trattamento messo in atto sui dati personali sia effettuato conformemente ai propri principi, e richiede espressamente che sia in grado di dimostrarlo.
Penetration test col GDPR: l’utilità dei test di vulnerabilità
Più nello specifico, le misure tecniche, spiega sempre il GDPR, devono essere costruite dal titolare del trattamento sulla base della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche e che dette misure devono essere riesaminate e aggiornate qualora necessario.
Si aggiunga a ciò quanto riportato nel considerando 74 del GDPR, ovvero che il titolare del trattamento, nel mettere in atto le misure adeguate alla propria specifica situazione, è tenuto a dimostrare la loro efficacia.
Proseguendo nella lettura dell’articolato del Regolamento, è inoltre possibile trovare un’ulteriore conferma dell’utilità dei test di vulnerabilità proprio tra le misure di sicurezza elencate dall’art.32.
Sebbene le misure ivi incluse dal regolatore europeo abbiano un carattere di indirizzo, ovvero non rappresentano ne’ misure minime ne’ idonee di sicurezza per titolari e/o responsabili del trattamento, è palese l’importanza attribuita alle stesse, essendo citate alla stregua di best practice perseguibili, tra cui la possibilità di implementare una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Dunque, se da un lato il Regolamento UE impone al titolare del trattamento la dimostrazione dell’efficacia delle misure tecniche adottate, dall’altro è evidente come non possa vincolarsi ad uno specifico meccanismo di verifica, essendo stato concepito, il GDPR, come strumento di regolazione adattabile ai più disparati contesti e quanto più possibile future proof, ovvero che possa seguire l’evoluzione dei mercati di beni e servizi, digitali e non, nel tempo.
Uno strumento idoneo a rispettare i requisiti del GDPR
Appare chiaro però che oggi il penetration test è uno strumento più che idoneo a perseguire quanto su esposto, quindi a rispettare i requisiti del GDPR. Difatti, tra le autorità europee considerate capofila nella divulgazione delle migliori pratiche per la corretta applicazione del GDPR, l’Information Commissioner’s Office (ICO) o Autorità inglese per la protezione dei dati personali, si è esposta in tal senso.
Tra le linee guida dell’ICO vi è infatti chiaramente riportato nelle Q&A che il GDPR richiede specificatamente l’adozione di un processo che sia in grado di testare e valutare regolarmente ogni misura messa in atto, in particolar modo in termini di efficacia.
Per rendere più evidente quanto affermato dal regolatore inglese, senza filtri interpretativi, vale la pena riportare direttamente i due passaggi più significativi:
- GDPR specifically requires you to have a process for regularly testing, assessing and evaluating the effectiveness of any measures you put in place. What these tests look like, and how regularly you do them, will depend on your own circumstances. However, it’s important to note that the requirement in the GDPR concerns your measures in their entirety, therefore whatever ‘scope’ you choose for this testing should be appropriate to what you are doing, how you are doing it, and the data that you are processing.
- Technically, you can undertake this through a number of techniques, such as vulnerability scanning and penetration testing. These are essentially ‘stress tests’ of your network and information systems, which are designed to reveal areas of potential risk and things that you can improve. In some industries, you are required to undertake tests of security measures on a regular basis. The GDPR now makes this an obligation for all organisations. Importantly, it does not specify the type of testing, nor how regularly you should undertake it. It depends on your organisation and the personal data you are processing. You can undertake testing internally or externally. In some cases it is recommended that both take place.
Si rammenta, infine, l’importanza di documentare i risultati ottenuti e di custodirli come evidenza documentale della “conformità GDPR” in azienda, così come di agire di conseguenza alle evidenze riscontrate, seguendo le indicazioni di mitigazione per le vulnerabilità riscontrate o avere delle valide e documentabili argomentazioni per non farlo.
In entrambi i casi, ciò è di estrema importanza, soprattutto nei casi in cui i risultati del penetration test rivelino delle situazioni di criticità che possano condurre l’organizzazione a subire un data breach.
