Attacchi online sempre più mirati e personali contro individui e aziende a scopo estorsivo. Saranno loro a tenere impegnato, insieme ai malware per mobile, lo scenario della sicurezza It per i prossimi dodici mesi.
Lo dicono le previsioni per il 2016 di Trend Micro, attenta a sottolineare, per bocca di Nestore Mancini, country manager della filiale italiana del fornitore di soluzioni per la protezione dei dati in Internet e per la sicurezza nel cloud, «come la crescente condivisione delle informazioni attraverso i social network permetterà una profilazione sempre più accurata delle vittime, business o consumer che siano, da parte dei cyber criminali».
Divulgate attraverso un nuovo format di Security Barcamp volto a stimolare dialogo e confronto, le previsioni di sicurezza elaborate da un team di circa 120 specialisti Trend Micro provenienti da tutto il mondo hanno permesso di ribadire la necessità di collaborare per creare un modello organico e strutturato di difesa contro il cybercrime.
Cambia il metodo, non lo scopo
In ballo, ancora una volta, la sicurezza dei dati, oggi minati da cryptowall capaci di criptare i file dei computer infettati rendendoli inaccessibili agli utenti, costretti a pagare un riscatto per tornare in possesso dei propri documenti.
«Ne sanno qualcosa i dispositivi mobili basati su Android – ricorda Mancini –, presi recentemente di mira da un ramsonware identificato con il nome di Android/Lockerpin.A, a conferma delle crescenti minacce sulle applicazioni mobile».
Un elemento da non sottovalutare, se è vero che nel solo mercato cinese, «indagato per motivi di dimensioni e di interesse nelle Trend Micro Security Prediction, tre applicazioni mobile in uso su quattro risultano malevole, tanto da stimare che, entro la fine del 2016, la Cina porterà la crescita delle minacce informatiche mobili a quota 20 milioni, a causa della disponibilità di piattaforme e di canali terzi non ufficiali, che offrono il download gratuito delle app».
Verso un utilizzo consapevole degli strumenti mobili
Sotto accusa, ancora una volta, comportamenti a rischio che, nel corso del 2016, con l’introduzione di sistemi di pagamento mobile di ultima generazione, prenderanno di mira anche le nuove carte di credito a microprocessore, quelle contactless RfId, come pure i nuovi portafogli mobile rappresentati da Apple Pay e Google Wallet.
La situazione riportata da Trend Micro non migliora nemmeno sotto il cielo degli smart device, ossia i dispositivi in grado di collegarsi a un indirizzo Ip, attraverso i quali le pratiche dell’azione diretta digitale in stile hacker porteranno a un’analisi dei dati sottratti a scopo estorsivo.
Un aiuto concreto dall’Unione Europea?
E se nel corso del Security Barcamp Trend Micro non sono mancati i richiami di Davide Maria Rossi, partner di Spike Reply, al Sistema Pubblico per la gestione dell’Identità Digitale italiano di imprese e cittadini per ostacolarne il furto, di Donato Ceccomancini, sales operation and sales consultant director di Fujitsu Italia, alla bontà delle tecnologie a supporto delle evoluzioni in atto, e di Rodolfo Rotondo, business solution strategist di Vmware, a come garantire la sicurezza mitigando il rischio, ma non a scapito del processo di digitalizzazione delle imprese, c’è chi, come Francesco Traficante, ha portato l’attenzione sulla figura del Data Protection Officer.
Privacy consultant di professione, il founder & Ceo di Microell ha parlato del cambiamento epocale che, a gennaio 2016, avrà un impatto su tutti e 28 i Paesi dell’Unione Europea grazie all’entrata in vigore dell’European Data Protection Regulation, nuovo regolamento chiamato ad armonizzare normative e provvedimenti in materia di protezione dei dati personali e delle comunicazioni elettroniche.
Come spiega Traficante: «Della norma immediatamente applicabile e uguale per tutti i Paesi dell’Ue restano da discutere la cosiddetta Data Breach Notification e la figura del Data Protection Officer che, valida solo in Europa, avrà specifiche competenze, anche in ambito di cyber security e, molto probabilmente, sarà resa obbligatoria nelle Pubbliche amministrazioni, nella grandi imprese, nelle organizzazioni che trattano dati personali riconducibili a 50mila soggetti interessati e nelle realtà che, indipendentemente dalle loro dimensioni, si occupano di dati “speciali” in cui rientrano dati sensibili, medico-sanitari, biometrici e genetici».
Una nuova professione per l’Europa non proprio trascurabile, considerato che, nel solo mercato italiano «potrebbero potenzialmente aprirsi circa 80mila nuove posizioni indipendenti, autonome, sulla stessa linea del titolare del trattamento dei dati personali e dotate di un adeguato budget per gestire eventuali problemi».
A sua volta, tornando alla Data Breach Notification, verrà esteso a tutte le imprese l’obbligo di notificare all’Autorità garante della Privacy l’accesso non autorizzato ai propri sistemi.
«Le imprese in cui i dati detenuti nel sistema violato dovessero risultare non criptografati, quindi facilmente accessibili – puntualizza Traficante –, avranno l’obbligo, oltre che all’Autorità Garante, di comunicazione la situazione a tutti i clienti, fornitori e lavoratori dipendenti a scapito della propria brand reputation».
Le nuove sanzioni previste dal Regolamento Europeo non scherzano e potranno, se confermate, arrivare fino a un massimo del 2% del fatturato worldwide della società che ha commesso il trattamento illecito dei dati.
La cyber sicurezza è anche questo.
