Maggiore protezione dei nostri Dati con il nuovo Data Governance Act europeo

La protezione della Sicurezza dei nostri Dati personali, o aziendali, diventa giorno per giorno una questione di estrema importanza. Se navighiamo con un cellulare o con il nostro pc di casa o in ufficio, i nostri dati personali vengono quotidianamente raccolti e trasferiti da apposite Società da una parte all’altra non solo dell’Europa ma del del Mondo (digitale).

Il Federal Bureau of Investigation statunitense (FBI) ha recentemente emanato una informativa, rilanciata dalle riviste specializzate, che riporta che più di 23.000 database sono stati hackerati. Questi database coprono miliardi di credenziali che sono trapelati da un sito indice di violazioni soppresso e sono stati offerti per il download illegale su forum che trattano di hacking su Telegram.

I dati provenivano da Cit0Day, un sito web che offriva questi database in vendita agli hacker per un canone mensile. Il Cit0Day è stato chiuso lo scorso settembre riportando una flash-page del web che mostrava un avviso di sequestro dal Federal Bureau of Investigation degli Stati Uniti in base a un mandato emesso in California.

Tuttavia, il database contenente le violazioni potrebbe essere stato copiato da uno degli operatori del sito dopo la sua chiusura. Si riportano i dati da Cit0Day equivalenti ad un totale di 50 gigabyte, pari a 13 miliardi di record contenuti in 23,618 database. La maggior parte di questi database sono di aziende note per essere state violate in precedenza allo scopo di rubare le credenziali dei loro clienti, e probabilmente per un complesso di dati violati e messi a disposizione per atti illeciti pari alla più grande perdita del suo genere fino ad oggi.

Secondo TechNadu, spammer e credenzial-stuffing hacker hanno già iniziato ad utilizzare i database e gli indirizzi e-mail per le loro campagne informatiche criminali ed è probabile che un'ondata sofisticata di criminalità informatica specific-targeting utilizzando questi dati aumenterà in futuro: "Le parti più pericolose dell'archivio sono quelle riguardanti i siti più piccoli che non si sono mai preoccupati di rivelare eventuali incidenti di sicurezza o non hanno mai realizzato di essere stati violati (…) Questi siti non utilizzano algoritmi hashing sicuri e salting per le loro password utente, pertanto le credenziali sono in formato testo normale"

Anche se solo di recente questa informativa è venuta all'attenzione dei media, questi importanti dati sembra siano stati resi disponibili su vari forum da Cit0day, come detto più sopra chiuso nel mese di settembre 2020. L'esistenza di questa messa a disposizione di questi dati per il cybercrime è stata menzionata per la prima volta su Raid Forums, lo sorso 14 settembre.

Ilia Kolochenko, fondatrice e amministratore delegato della società di websecurity ‘ImmuniWeb’, afferma che questo grave incidente sarà il carburante per il riutilizzo delle password allo scopo di operare crimini informatici, violazioni ed attacchi informatici disastrosi: "la maggior parte delle organizzazioni non può centralizzare i propri sforzi di gestione e di autenticazione delle identità, dato che una notevole quantità di dati viene elaborata e/o archiviata da terze parti, per non parlare dei sistemi legacy o shadow (…) I criminali informatici ne sono ben consapevoli e, prima di lanciare un lungo e costoso attacco frontale, tenteranno silenziosamente di riutilizzare le credenziali precedentemente rubate di dipendenti, fornitori e terze parti fidate".

La Kolochenko informa inoltre che questa perdita di dati sensibili avrà un inevitabile importante impatto su quasi tutte le grandi organizzazioni in tutto il mondo, dal momento che probabilmente questi dati contengono credenziali valide di alcuni dei loro sistemi di produzione.

Il nuovo Data Protection Act rilasciato dalla Commissione Europea

La settimana scorsa la Commissione Europea ha rilasciato il testo del nuovo progetto per le Clausole Contrattuali Standard (SCC) che salvaguardano le norme UE in materia di protezione dei Dati personali nel trasferimento tra due parti che partecipano allo scambio delle informazioni personali. Il testo SSC è stato aggiornato allo scopo di tenere conto della decisione presa lo scorso mese di luglio dalla Corte di Giustizia Europea sul tema “trasferimenti di dati dei Soggetti UE al di fuori del blocco dell’Unione”

Oltre ad invalidare il precedente accordo UE-USA, Privacy Shield, sul trasferimento dei dati, il il tribunale ha affermato che le SCC erano in linea teorica valide, tuttavia i rischi connessi al trasferimento dei dati ad alcuni paesi stranieri dovrebbero essere presi in considerazione dalle autorità nazionali allo scopo di assicurare la protezione dei dati.

Il Giudice ha affermato: "A meno che non sia presente una valida decisione di adeguatezza della Commissione, le autorità di vigilanza competenti sono tenute a sospendere o vietare il trasferimento di dati personali in un paese terzo in cui si ritiene, alla luce di tutte le circostanze di tale trasferimento, che le clausole standard di protezione dei dati non sono o non possono essere rispettate"

L’Istanza era stata inizialmente sollevata alla Corte europea a causa delle preoccupazioni relative all'accesso del Governo degli Stati Uniti ai dati dell'UE. La Sezione 702 del Foreign Intelligence Surveillance Act (FISA) degli Stati Uniti consente alla National Security Agency di raccogliere informazioni straniere appartenenti a non americani situati al di fuori degli Stati Uniti ed è stata a lungo fonte di preoccupazione degli attivisti impegnati nella Difesa per la Privacy in Europa.

Il nuovo progetto di testo che intende aggiornare le Clausole Contrattuali Standard (SCC) pubblicato giovedì scorso dalla Commissione, include disposizioni che affrontano la questione delle richieste di accesso ai Dati da parte del Governo, affermando che: "l'importatore di Dati accetta di notificare tempestivamente all'esportatore di Dati, ove possibile, l'oggetto (e il motivo) del trasferimento di Dati", nel caso riceva una richiesta giuridicamente vincolante da parte di un'autorità pubblica per la divulgazione di Dati personali a lui trasferiti. Tuttavia, se per qualsiasi motivo all'importatore di dati non sia consentito notificare all'esportatore di Dati l'oggetto (e il motivo) del trasferimento di Dati, l'importatore di Dati dovrebbe "accettare di impegnarsi nello sforzo di opporsi al divieto"

L'Autorità della UE preposta al Controllo della Protezione dei Dati, il Comitato europeo per la protezione dei Dati (European Data Protection Board Europa), ha pubblicato raccomandazioni sui trasferimenti e trattamenti leciti di Dati a livello internazionale.

Nell'ambito degli orientamenti adottati dall'EDPB all'inizio di questa settimana, è stato raccomandato un approccio in sei passaggi per gli esportatori di dati nell'UE.

Ciò include:

1. Mappare tutti i trasferimenti di dati internazionali,

2. Verifica degli strumenti tecnici utilizzati per i trasferimenti

3. Valutazione delle leggi locali che possono violare la protezione dei dati trasferiti,

4. Adozione di misure supplementari necessarie a portare il livello di protezione dei dati trasferiti al livello essenziale degli standard UE previsti

5. Adottare misure procedurali formali per attuare legalmente le misure supplementari

6. Rivalutare regolarmente il livello di protezione assicurato ai Dati trasferiti ai Paesi terzi.

Il presidente di EDPB Andrea Jelinek, ha dichiarato: "

L'EDPB Europa auspica che queste raccomandazioni possano aiutare gli esportatori di dati ad identificare ed attuare misure supplementari efficaci laddove siano necessarie. Il nostro obiettivo è quello di consentire trasferimenti di Dati personali legittimi verso paesi terzi, garantendo al contempo che ai dati trasferiti sia assicurato un livello di protezione essenzialmente equivalente a quello garantito (con le tre competenze chiave: legale, cybersecurity e gestionale) all'interno dello Spazio Economico europeo”

fonti: silicon angel; digitalbrief euractiv)