2. SU DI ME: CHI È RICCARDO ABETI?
Principali Skills
❑ Data Protection & Privacy
❑ E-commerce
❑ Reputation
❑ Company Criminal Responsibility (d.lgs. 231/2001, bribery Act, …)
Competenze professionali
❑ Attività di docenza in corsi per Privacy Officer, Privacy Manager e Data Protection Officer (sia aziendali che open)
❑ Analisi di Modelli di Data Protection Governance
❑ Data inventory; redazione di Politiche, Linee guida e procedure sui temi della data protection
❑ Pareri sull’implementazione di misure previste da specifici Provvedimenti del Garante (Amminisratori di Sistema,
Videosorveglianza) oppure di misure facoltative.
❑ Supporto in fase di progettazione dei trattamenti con particolare focus sulle start-up.
Istruzione
❑ Laurea in Giurisprudenza - Università La Sapienza di Roma,
❑ Master in Strategie per la sicurezza aziendale – Università Statale di Milano.
Nel corso dei 19 anni di carriera lavorativa ho maturato un’esperienza multidisciplinare sui temi della
Security, della Privacy e della Governance. Partecipo come docente e come relatore a eventi e
convegni di livello nazionale e internazionale. Sono autore di molte pubblicazioni e scrivo
mensilmente (in italiano e in inglese) per magazine come Data Manager, ICT security, Tom’s
Hardware, ILN Today, … .
https://www.linkedin.com/in/riccardoabeti/
Esperienza Professionali
Riccardo Abeti – Partner dello Studio legale EXP legal e Senior Legal Advisor
3. ATTRIBUZIONE – NON OPERE DERIVATE
QUESTA PRESENTAZIONE è STATA IDEATA E PREDISPOSTA DA
Il Centro Studi di Informatica Giuridica di Ivrea-Torino (Csgig Ivrea Torino) è un’ associazione
indipendente senza finalità di lucro interdisciplinare attiva dal 2005 (rivolta a giuristi,
informatici, psicologi, professori, studenti, giornalisti, etc.)
Mission: aggiornamento professionale, informazione, approfondimento dell’evoluzione dell’ICT e
dell’innovazione e dell’impatto sui diritti, trasparenza on line e partecipazione
Aderisce alla Coalizione per le competenze digitali promossa da Agid , ha un blog
http://csigivreatorino.it ed un Comitato Scientifico di magistrati, professori e professionisti
Ha partecipato alle consultazioni on line in materia di privacy, diritto di autore cyberbullismo,
open data, crowdfunding, open data e trasparenza, videosorveglianza e droni, wi-fi e software
libero, violenza on line e pari opportunità
Csig di Ivrea-Torino
4. ATTRIBUZIONE – NON OPERE DERIVATE
QUESTA PRESENTAZIONE è STATA IDEATA E PREDISPOSTA DA RICCARDO ABETI 4
_
5. ATTRIBUZIONE – NON OPERE DERIVATE
QUESTA PRESENTAZIONE è STATA IDEATA E PREDISPOSTA DA RICCARDO ABETI 5
_wannacry_
6. ATTRIBUZIONE – NON OPERE DERIVATE
QUESTA PRESENTAZIONE è STATA IDEATA E PREDISPOSTA DA RICCARDO ABETI 6
_wannacry_
230.000 macchine
150 Paesi
7. ATTRIBUZIONE – NON OPERE DERIVATE
QUESTA PRESENTAZIONE è STATA IDEATA E PREDISPOSTA DA RICCARDO ABETI 7
_wannacry_
230.000 macchine
150 Paesi
8 miliardi di euro
8. ATTRIBUZIONE – NON OPERE DERIVATE
QUESTA PRESENTAZIONE è STATA IDEATA E PREDISPOSTA DA RICCARDO ABETI 8
10. Intro
alla crescita di reti sempre più trasversali e capillari (BAN, LAN, …) e
alla diffusione delle tecnologie “senza fili” e dell’IoX è corrisposto
l’incremento delle possibilità di attacco alle risorse legate all’ICT.
Ne è risultato nuovo vigore anche per tecniche ormai desuete.
12. Cyber attacks
Materiale riservato alla Community Oracle Security
Nome Definizione Tipo di condotta Rilevanza giuridica
Bugging L'intercettazione è l'atto mediante il quale un
soggetto prende conoscenza di una
conversazione o di una comunicazione
riservata, relativa anche a sistemi informatici
e telematici, intercorrente tra altri soggetti
Intenzionale
●
Dumpsters diving Attraverso questo tipo di attacco vengono
scandagliati i luoghi dove, generalmente,
veniva abbandonata la “spazzatura” (sia fisica
che virtuale). Oggi questo comportamento
torna di straordinaria attualità laddove si
custodiscano, in remoto, le informazioni della
propria attività.
Intenzionale
●
Piggybacking l’attività di un soggetto volta alla ricerca di
una rete wireless al fine di utilizzare le risorse
di connessione per navigare in rete gratis o
svolgere altre attività (lecite o illecite)
sfruttando una connessione altrui.
Intenzionale
●
Salami attack La ripetizione di una serie di attacchi alla
sicurezza di un sistema per produrre un
attacco di grandi dimensioni (tipico attacco di
questo tipo è la distrazione di piccolissime
somme da un numero ingente di transazioni
o di conti bancari).
Intenzionale
●
13. Cyber attacks
Nome Definizione Tipo di condotta Rilevanza giuridica
Scam indica un tentativo di truffa con i metodi
dell'ingegneria sociale effettuato in genere
inviando una e-mail nella quale si
promettono grossi guadagni in cambio di
somme di denaro da anticipare
Intenzionale
●
Spam l'invio di grandi quantità di messaggi
indesiderati (generalmente commerciali).
Può essere messo in atto attraverso uno
qualunque dei media, ma il più usato è l’e-
mail
Intenzionale/
involontaria ●
Tailgating La connessione di un utente ad un computer
sfruttando la medesima sessione dell’utente
legittimo ed acquisendo i suoi stessi diritti.
Intenzionale
●
Wardriving l’attività del soggetto (wardriver) che effettua
una ricerca, fine a sé stessa, della presenza di
reti wi-fi nell’area geografica d’interesse (ed
eventualmente, per sapere se queste siano
protette o meno)
Intenzionale/
involontaria ●
14. Cyber attacks
Alcuni comportamenti illeciti sorgono da
situazioni spontanee e involontarie, altri
necessitano di predeterminazione e possono
essere adottati solamente dotandosi di specifici
strumenti.
15. Cyber attacks
○ Possiamo creare due classificazioni di
massima:
◦ la prima distingue tra condotte
involontarie/inconsapevoli e
condotte intenzionali
◦ La seconda distingue tra condotte
che necessitano di preparazione e
condotte che sorgono in maniera
estemporanea
17. Impatto legale
○ Le tipologie di attacco cui si è accennato
trovano regolamentazione nel nostro
sistema normativo.
○ Ma mentre alcune minacce sono
univocamente riconducibili ad una figura di
reato, per altre la condotta può avere un
ventaglio di modalità tale da porsi in una
situazione border line.
18. Impatto legale
○ Bugging (intercettazioni): in Italia le intercettazioni
costituiscono uno strumento d’indagine fortemente
regolamentato, ciò malgrado, spesso ne viene fatto un uso
eccessivo e, dalle trascrizioni non vengono rimosse le parti non
pertinenti alle indagini per cui sono state disposte.
○ le intercettazioni possono essere effettuate, dai soggetti più diversi: Polizia
Giudiziaria, investigatori privati, privati cittadini, …
○ Per perseguire gli scopi più diversificati:
◦attività d’indagine;
◦spionaggio industriale;
◦accertamento dell’infedeltà coniugale;
◦…
Nel recente fatto di cronaca avvenuto a Torino, il padre che ha intercettato gli SMS del figlio potrà essere perseguito
per il reato di cui all’art 617 bis c.p. (Installazione di apparecchiature atte ad intercettare od impedire comunicazioni
o conversazioni telegrafiche o telefoniche)
19. Impatto legale
○ Wadriving: per questo tipo di minaccia
l’impatto deve essere valutato in concreto,
caso per caso
Spesso gli autori del reato sono mossi da
motivazioni molto diverse tra loro …
… analogamente trovano la loro
regolamentazione in fattispecie molto
eterogenee;
20. Impatto legale
l’attività di spam è perseguita in virtù dell’illecito
trattamento di dati personali.
Tuttavia può darsi che l’attività dello spammer sia “prodromica” ad
un’attività ulteriore per cui potrà verificarsi l’integrazione di fattispecie
più gravi ovvero il concorso di più reati.
21. #GDPR
Articolo 25
Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di
applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi
probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal
trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento
stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali
la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali
la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i
requisiti del presente regolamento e tutelare i diritti degli interessati.
2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire
che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica
finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata
del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure
garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un
numero indefinito di persone fisiche senza l'intervento della persona fisica.
3. Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come
elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.
22. #GDPR
Articolo 32
Sicurezza del trattamento
1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del
contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e
le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto
misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che
comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza
dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di
incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal
trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione
non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o
comunque trattati.
3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione
approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai
requisiti di cui al paragrafo 1 del presente articolo.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro
autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del
trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.
24. #Dataprotection: Quanto può costare ad un’azienda italiana ogni ‘furto’ di dati? #Istituto Superiore di Sanità #GDPR #NIS #Pasquale Tarallo #Marco Vecchietti
In media 2,6 milioni di euro, e circa 119 euro per record di dati perso o rubato. E le violazioni sanitarie sono le più onerose: l’healthcare risulta a livello mondiale il
settore d’industria più costoso, con 380 dollari per ogni record violato, oltre 2,5 volte la media globale di tutti i comparti.
E’ quanto emerge dal rapporto ‘2017 Cost of Data Breach’ di IBMSecurity e Ponemon Institute “Fra il 2014 e il 2016 le aziende sanitarie sono balzate al primo
posto come realtà prese di mira dai cyber-attacchi perché il dato sanitario è appetibile, anche a lungo termine”.
Il furto del numero di una carta di credito si usa una sola volta, perché ormai tutti hanno alert attivi, mentre con i dati sanitari è diverso, essere un’altra persona è
estremamente utile per una serie di attività illecite“.
Uno dei problemi che si evidenziano sempre di più a livello cyber sicurezza in sanità è quella della gestione delle utenze e del loro ciclo di vita: negli ospedali vi è
un turnover molto intenso, si passa da un reparto all’altro, e altrettanto spesso i privilegi di un’area si utilizzando anche in altre situazioni.
The average cost for each lost or stolen record containing sensitive and confidential information increased from €112 in 2016 to €119 in
2017.
The average total cost of data breach increased over the past year from €2.35 million to €2.60 million. To date, 134 Italian companies have
participated in the study over the past six years.
25. #GDPR
Articolo 4, par. 1, n. 12
«violazione dei dati personali»: la violazione di sicurezza che
comporta accidentalmente o in modo illecito la distruzione, la
perdita, la modifica, la divulgazione non autorizzata o
l'accesso ai dati personali trasmessi, conservati o comunque
trattati;
26. #GDPR
Articolo 33
Notifica di una violazione dei dati personali all'autorità di controllo
1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di
controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal
momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali
presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo
non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo
essere venuto a conoscenza della violazione.
3. La notifica di cui al paragrafo 1 deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero
approssimativo di interessati in questione nonché le categorie e il numero approssimativo di
registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di
contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per
porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti
negativi.
27. Conclusioni
Quotidianamente in azienda si verificano comportamenti o si subiscono attività che
hanno o potrebbero avere rilevanza giuridica. Una parte di questi è inconsapevole
ma la maggior parte è, invece, deliberata e talvolta rivolta a portare un beneficio
all’attività societaria.
Attraverso l’incremento della consapevolezza del personale (awareness) si possono
scoraggiare o evitare:
- l’adozione di comportamenti che possano favorire la fuga di notizie;
- lo sviluppo di strategie commerciali illegali;
- …
E prevenire quelle minacce che pur non essendo eclatanti producono conseguenze di
varia natura e raramente subiscono sistematiche azioni di contrasto
32. 32Direttiva 1148/2018
OSE → Operatori di Servizi Essenziali
FSD → Fornitori di Servizi Digitali
❑ Sono chiamati ad adottare misure tecniche e organizzative adeguate e
proporzionate alla gestione dei rischi e a prevenire e minimizzare l’impatto
degli incidenti a carico della sicurezza delle reti e dei sistemi informativi,
al fine di assicurare la continuità del servizio;
❑ Hanno l’obbligo di notificare, senza ingiustificato ritardo, gli incidenti che
hanno un impatto rilevante, rispettivamente sulla continuità e sulla fornitura
del servizio al CSIRT italiano, informancone anche l’Autorità competente
NIS, di riferimento