Cyber security, 4 lezioni dalla vicenda Uber

I consigli di Yarix (Var Group)

NOV 23, 2017 -

Roma, 23 nov. (askanews) – Il maxi furto di dati che ha coinvolto Uber, vittima di un attacco hacker conclusosi con la sottrazione di informazioni di 57 milioni di utenti in tutto il mondo, è solo l’ultimo degli episodi che, su scala globale, confermano come i dati siano il patrimonio più prezioso e ambito dai cyber criminali.

Nessuno, nel mondo digitalizzato, è immune da questo rischio. Esistono tuttavia delle lezioni che si possono apprendere da vicende come queste e che – secondo Yarix, Cyber Division di Var Group, possono aiutare per mettere a fuoco i confini della vulnerabilità del sistema e le contromisure da adottare.

In primo luogo, spiega una nota della compagnia, è “meglio non scendere a compromessi con la cyber criminalità e non cedere a ricatti. Altrimenti si contribuisce ad incrementare il business della malavita e incentivare la rete del cybercrime. Nessun accordo stretto con chi commette crimini può essere considerato un accordo lecito, affidabile e proficuo”.

Secondariamente, è “sbagliato cercare di mettere tutto a tacere, per evitare danni di immagine e sanzioni governative. Trasparenza e condivisione tempestiva di informazioni sono”, secondo Yarix, “la sola via percorribile per ridurre l’impatto dell’incidente e tutelare quanti sono coinvolti. In caso di data breach e data leak (diffusione di dati personali e sensibili), la nuova normativa sulla protezione dei dati personali (Gdpr), a partire dal 25 maggio 2018, impone ad aziende e istituzioni colpite l’obbligo di notifica all’Autorità Garante Privacy e, in alcuni casi, anche agli interessati dalla violazione. In caso di mancato rispetto dell’obbligo di notifica, le aziende o le istituzioni potranno subire sanzioni amministrative pecuniarie fino a 10 milioni o, in caso di aziende, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.

Al terzo posto c’è la “crittografia come scelta strategica. Secondo la normativa Gdpr”, evidenzia la società di cyber security, “i dati personali e sensibili nonché le informazioni strategiche per il business o per lo svolgimento della funzione istituzionale devono essere protetti con la crittografia. Non solo. La crittografia presenta il vantaggio ulteriore di consentire, in caso di data breach, di porsi al riparo da qualsiasi danno (i dati crittografati non sono utilizzabili)”.

Infine, la parola d’ordine: “proteggersi, proteggersi, proteggersi”, perché “i data leak sono e saranno sempre più frequenti. Tra i trend emergenti e più preoccupanti c’è, in particolare, lo spear phishing, che comporta attacchi sempre più mirati verso aziende e il loro management. La portata del danno potenziale è in grado di compromettere seriamente – come nel caso di Uber – reputazione e continuità del business aziendale. La scelta di attivare un servizio professionale di Penetration Test, Vulnerability Assessment e Insider Intelligence non rappresenta, dunque, solo una opzione, ma è un imperativo cui non è più possibile sottrarsi”, conclude la nota.

(Fonte: Cyber Affairs)