Diario dell’ESET Security Days di Roma tra sicurezza, GPDR, fragole e Pavel Durov

Siamo stati alla tappa italiana degli ESET Security Days!

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Parlare di sicurezza informatica e di gestione dei dati personali, specialmente rivolgendosi ad un settore lento all’innovazione come l’industria italiana, può essere difficile, frustrante ed improduttivo. Questo non è il pensiero di ESET, azienda leader secondo Gartner nella produzione di software di sicurezza che ha tenuto nella giornata del 4 maggio l’evento italiano d’apertura degli ESET Security Days, un ciclo di conferenze finalizzato alla presentazione delle principali tematiche di sicurezza alle aziende e per la promozione delle proprie soluzioni.

Noi siamo stati invitati e, come tutti i buoni ospiti, ci siamo presentati all’evento: siete pronti per scoprire com’è andata dalle parole del Direttore, Guglielmo Crotti?


Ore 08:35 | Dopo due ore di viaggio, su un Frecciarossa – per fortuna – limitatamente affollato ed a quasi tre ore dalla sveglia mattutina, giungo a Roma Termini. L’evento si tiene allo Sheraton Hotel, sul viale del Pattinaggio (che, per una curiosa combinazione, si affaccia appunto su una pista di pattinaggio a rotelle) nei limitari di Roma e comodamente raggiungibile con la Metro B. A cui, per l’appunto, mi affido per il trasporto.

Ore 09:29 | Con appena un minuto di margine sulla tabella di marcia, giungo alle porte dell’Hotel. Incurante delle indicazioni della referente dei rapporti con la stampa digitale, Tania, che si era premurosamente e vanamente spesa nell’elencazione dei mezzi pubblici disponibili, decido di evitare gli autobus e di raggiungere il luogo dell’appuntamento a piedi. Una scelta tanto folle che persino Google Maps si rifiuta di fornirmi indicazioni: dopo diversi giri a vuoto e l’attraversamento della vegetazione selvaggia che divora i marciapiedi della zona, raggiungo parzialmente incolume lo Sheraton Hotel.

eset security days
Giuseppe Gatto, Business Development Manager

Ore 09:40 | Inizia la conferenza, con la presentazione del moderatore e l’intervento degli ospiti previsti nella prima parte della mattina: il pubblico è numeroso, principalmente composto da rappresentanti di aziende e privati. Su tre blocchi in cui si dividerà la giornata, il primo si costituisce come il più interessante, tra interventi dei rappresentanti di ESET (Giuseppe Gatto, Business Development Manager dell’azienda) e personaggi di differente estrazione ma accomunati dalla scelta dei prodotti della società. La prima accademica, Gloria Ricci, provvede ad esporre i punti programmatici del GPDR, il nuovo Regolamento Generale sulla Protezione dei Dati.

Che cos'è il GDPR

Il GDPR, conosciuto in Italia come il Nuovo Regolamento sulla Protezione dei Dati, è un regolamento europeo che verrà esteso a tutti i 28 Stati membri dell’Unione e che provvederà a sostituire la precedente legislazione, costituita principalmente dalla Direttiva 95/46/CE del 1995 e che ormai, con l’avvento delle nuove tecnologie, risultava ampiamente superata.

I vantaggi dell’adozione del GDPR sono molteplici: principalmente, così come tutti gli altri regolamenti europei, anche questo provvederà ad unificare un ordinamento caotico e decisamente diversificato a seconda del retroterra culturale dei rispettivi Paesi in materia di protezione dei dati personali. In secondo luogo, viene esteso il raggio d’azione: ora infatti la nuova normativa comprende tutte le categorie di dati personali (biometrici, genetici, sensibili e relativi alla salute) e dovrà essere rispettata da tutte le aziende, anche quelle che non si posizionano all’interno del mercato comunitario ma che vi operano direttamente. Il livello di protezione contro le multinazionali affamate di dati sensibili aumenta: mentre in precedenza le multe potevano solamente raggiungere i 180.000€, ora in caso di trasgressione le autorità europee potranno costringere l’azienda al pagamento di un’ammenda sino a 20 milioni di euro o pari al 4% del fatturato mondiale annuo totale.

Tra i vari obblighi che le aziende dovranno rispettare, troviamo l’attenzione particolare ai data breach – ossia ai furti di dati personali: questi dovranno essere sempre protetti (privacy by design, per cui i dati dovranno essere messi in sicurezza sin dalla progettazione del sistema di raccolta e questa dovrà rispettare il GDPR, e privacy by default, per cui il trattamento dovrà rientrare nei limiti d’azione e di tempo stabiliti e questi dovranno essere comprensibili per l’utente). In caso di furto, occorrerà segnalare l’avvenimento alle autorità entro 72 ore il recepimento. Viene istituita anche la figura del DPO, il Data Protection Officer incaricato di sorvegliare, all’interno dell’azienda, il rispetto della normativa.

Ore 10:20 | Interessanti riflessioni di Giuseppe Gatto, che denuncia la facilità con la quale è possibile assoldare un pirata informatico per prendere controllo dello smartphone del rappresentante di un’azienda rivale, di un politico, di un magistrato, il tutto per soli 150€ – e sappiamo bene quanto sia facile procedere con l’hacking di uno smartphone Android. Mi chiedo se sia più dannoso, alla fine, un attacco hacker o l’installazione di Clean Master.

L’Italia è favorita nel recepimento delle norme contenute nel regolamento europeo perché già possiede una normativa nazionale particolarmente stringente e concettualmente assai vicina all’impianto del GDPR, quindi la transizione alle nuove disposizioni non dovrebbe essere troppo onerosa per tutte le organizzazioni che già gestiscono la privacy a regola d’arte.

Corrado Giustozzi, esperto di sicurezza informatica, membro di ENISA, l’agenzia europea per la sicurezza delle reti, moderatore della Tavola Rotonda dell’ESET Security Days

Ore 10:40 | Andrea Fontana, Responsabile dell’Ufficio Informatico dell’Ospedale Cristo Re di Roma espone i metodi di crittografia dei dati operati sui fascicoli dei propri pazienti; così come viene segnalato, gli attacchi informatici spesso mirano all’acquisizione di informazioni sensibili proprio come i dati clinici. Secondo il rapporto Clusit, la Cyber Warfare è cresciuta del 117% ed i colpi di mano contro la sanità sono saliti del 102%, seguiti da quelli contro la grande distribuzione (+70%) e l’ambiente finanziario (+64%). L’ospedale romano ha ovviato al problema integrando le soluzioni di difesa di ESET.

Ore 11:00 | Ettore Galluccio, non privo di un certo cipiglio – e blandendo la platea con l’aspettativa, che rassomigliava più ormai ad un miraggio, della pausa caffè successiva al suo intervento – ravviva l’attenzione, presentando il caso dell’hacker Kapustkiy.

Chi è Kapustkiy

La vicenda di Kapustkiy, giovane hacker ucraino di 18 anni – all’epoca dei fatti raccontati – è significativa per la raffigurazione dello stato di impreparazione in cui versa l’intera pubblica amministrazione italiana, nonchè buona parte del personale governativo.

L’hacker, invece di procedere alla disabilitazione dei server di Pokémon GO così come tentato qualche tempo fa dal team Poodlecorp, ha preferito guadagnarsi una certa notorietà attaccando siti di enti governativi di tutto il mondo, concentrandosi con maggiore attenzione sul sistema informatico delle ambasciate indiane – ricevendo il plauso del primo ministro del Paese. Nel 2016 Kapustkiy scopre che, attraverso una semplice e banale vulnerabilità, è possibile mettere le mani sull’intero database di 45mila credenziali ospitate nel sito Mobilita.gov.it dello Stato italiano. Dopo aver avvertito più volte lo Stato della possibilità del furto, ma venendo sempre ignorato, Kapustkiy decide di pubblicare online 9mila credenziali, immediatamente ritirate alla prima reazione della burocrazia italiana.

Così come spiegò Andrea Rigoni a La Repubblica, il problema si costituiva di tre fattori poichè non solo il sito era stato mal configurato, ma nessuno aveva capito la gravità della situazione e la reazione era stata sin troppo blanda, denotando un’ignoranza di fondo della materia da parte degli attori statali.

Ore 11:20 | Pausa. Per me e anche per il lettore (continua nella pagina successiva).

Ore 11:40 | Stefano Losardo prima – in qualità di Responsabile C.E.D. Assicurazioni di Roma – e Luigi Rendina poi (Business & Manager Advisor S1R) illustrano le implementazioni di sicurezza eseguite sfruttando i software ESET, di cui viene messa in risalto la leggerezza ed il poco spazio occupato. Redina in particolare si sofferma sulla figura del DPO, il responsabile incaricato di gestire i dati personali.

Che cos'è il DPO

Il DPO – o Data Protection Officerè la figura prevista dal GDPR per la verifica dell’applicazione delle normative sulla protezione dei dati personali alle quali le aziende si devono attenere secondo il nuovo regolamento europeo.

Non si tratta di una figura che verrà istituita in ogni esercizio commerciale: il DPO dovrà essere previsto principalmente nelle aziende che trattano dati sensibili o grandi quantità di dati personali, che effettuano un monitoraggio regolare dei soggetti interessati oltre che in tutte le aziende pubbliche – ulteriori specificazioni potranno essere avanzate dai singoli Stati. Il DPO, che potrà essere scelto tra i dipendenti dell’azienda o un soggetto esterno con un contratto a servizi, potrà essere condiviso dalle aziende di un medesimo gruppo che operino a livello nazionale o transfrontaliero, ma non potrà naturalmente coincidere con il titolare dell’azienda.

Gli spettano tutte le risorse necessarie per svolgere autonomamente il proprio lavoro, per mantenersi aggiornato sulle ultime normative e per accedere ai dati trattati, ma a sua volta dovrà istruire il titolare dell’azienda e gli interessati sull’applicazione delle norme, verificare l’applicazione della normativa e fornire pareri a riguardo e fungere da punto di contatto tra l’azienda stessa e il Garante della privacy, provvedendo ad informare i titolari del trattamento in caso di fuga di dati mantenendo però una certa riservatezza.

Ore 12:20 | Segue una Tavola Rotonda. Tante domande, molte risposte, ma la fame comincia a bussare alle porte dello stomaco. Faccio finta che non ci sia nessuno in casa ma, come vedrete, si dimostrerà più caparbia di un venditore di aspirapolveri.

Ore 12:55 | Sfidando la sorte ed i tonanti gorgoglii provenienti dalla platea – all’esterno dell’Hotel, i passanti male interpretavano la fonte dei rumori e si affrettavano ad aprire gli ombrelli – Claudia Gaschi (Enterprise Sales Manager di ESET Italia) sottolinea l’importanza dell’implementazione della normativa GPDR. E con ragione: stando ad una ricerca eseguita da ESET in collaborazione con IDC, il 78% dei responsabili IT delle aziende italiane NON HA IDEA di cosa sia il GPDR o non ne comprende la portata dei cambiamenti (vi ricordo che, nonostante sia entrato in vigore il 24 maggio 2016, c’è tempo solo fino al 25 maggio 2018 per adeguarsi, dopodichè sarà obbligatorio per tutte le aziende). Tra i più informati, solamente il 20% afferma di essere conforme, un 59% dice di essere in fase di adeguamento ed un 21% ammette di non essere a norma nè di aver intrapreso i lavori necessari. Ciononostante, il 75% degli intervistati ammette che la protezione dei dati dei clienti è il miglior modo per sopravvivere ed avere successo nel proprio settore di business.

eset security days
Durante l’evento, ESET ha fornito alcuni documenti informativi e promozionali

Ore 13:15 | Finalmente, il pranzo: con abile solerzia riesco ad accedere al tavolo dei principali responsabili del settore business di ESET Italia, tra i quali siedono molti dei relatori della giornata. Li avviso che qualsiasi cosa diranno in mia presenza potrà essere utilizzata contro di loro, ma probabilmente si confortano sapendo di poter derubricare come “fake news” qualsiasi notizia da me pubblicata, compreso questo reportage. Il pranzo è sontuoso – in particolare la coppa alle fragole, che non riuscirò a terminare a causa dell’eccessiva ingordigia, di cui poi il titolo – e la compagnia delle migliori. Ma, come tutte le cose belle, prima o poi finiscono: fortunatamente, avendo prenotato il treno alle 17:30, posso assistere anche ai workshop del pomeriggio  – nell’ultima pagina, che nasconde anche una piccola sorpresa!

Ore 14:30 | Inizia il workshop dedicato all’ESET Secure Authentication: il sistema sfrutta intelligentemente password e applicazioni Android per creare un sistema di autenticazione sicuro e veloce, ma soprattutto accessibile e comprensibile per ogni fascia d’utenza, dal giovane trentenne al maturo sessantacinquenne. A differenza dei metodi d’accesso con password e PIN personali, l’ESET Secure Authentication utilizza l’autenticazione a due fattori con password one-time: gli utenti Telegram sapranno di cosa sto parlando, anche se si tratta di un’evoluzione rispetto alla soluzione dell’app di chat. Con il metodo 2FA OTP l’app ESET – che integra solamente una schermata e fornisce unicamente la password, per renderla il più semplice ed accessibile possibile – fornisce un codice automatico che scade non appena utilizzato per l’autenticazione: fondamentale, dato che il 63% degli accessi hacker è frutto di una scarsa password implementata. Non solo: supporta gli SMS (per cui non richiede connessione Internet) e persino le notifiche dinamiche di Android. Per maggiori informazioni.

Ore 15:00 | Inizia la presentazione dell’ESET DESLock Encryption, un sistema di crittografia per aziende. Nonostante la precedente ricerca avesse sottolineato che solamente il 36% delle società italiane auspicasse l’uso della crittografia per rendere più sicuri i dati personali gestiti, il workshop scatena un grande interesse nei presenti suscitando un dibattito che deve essere forzatamente interrotto poichè proseguito ben oltre il tempo previsto.

Pavel Durov, sei tu?

Ore 16:00 (circa) | Terminato l’evento ed accomiatatomi, decido di proseguire nuovamente a piedi verso la prima fermata della Metro. Questa volta, però, dato il precedente tradimento, decido di scaricare Moovit che sorprendentemente riesce a fornirmi le indicazioni: attraverso nuovamente la jungla metropolitana – tra rovi, rampicanti e idoletti di pietra pagani – e giungo appena alle porte della Metro. Qui, come un’epifania, scopro che trattare troppo di Telegram mi porta a leggere murales che non esistono – a meno che la fama di Pavel Durov non si sia spinta sino alle porte di Roma.

In preda alle allucinazioni, proseguo per la destinazione finale, la stazione.

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè i prossimi reportage nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//
skip the games duluth sanford escorts ts massage ct escort skipthegames wausau skip the games rochester fredericksburg escorts