Serve riflettere sullo stato attuale delle normative sulla protezione dei dati e sulla loro evoluzione, per evitare incongruenze che mettano a rischio i dati stessi
Il 28 gennaio è il Data Protection Day, quindi anche un’occasione per riflettere sullo stato attuale delle normative sulla protezione dei dati e sulla loro evoluzione. Attualmente, le tendenze apparentemente incongruenti nelle politiche di cybersecurity minacciano di confondere gli sforzi sin qui compiuti in tema di protezione dei dati. Tali sforzi stanno crescendo, in risposta alle notizie sempre più frequenti su violazioni di dati e su altre esposizioni di dati non autorizzate. Sempre più spesso i responsabili politici riconoscono la necessità di armonizzare i requisiti di cybersecurity all'interno delle leggi sulla protezione dei dati. Ma le proposte di localizzazione dei dati persistono e rischiano di compromettere il miglioramento del livello di protezione dei dati e, in particolare, della resilienza informatica.
Nonostante l’elevata confusione che ruota attorno ai requisiti per la protezione dei dati – tra GDPR, CCPA, APPI, emendamenti all’Australian Privacy Act e un numero crescente di leggi statunitensi sulla privacy – ci sono stati sviluppi positivi per coloro che cercano di costruire un programma globale. I testi di queste normative condividono infatti requisiti di sicurezza apparentemente comuni che richiedono l'implementazione di salvaguardie "appropriate" o "ragionevoli" rispetto al fattore di rischio. Per anni si è capito che questi requisiti erano stati concepiti per garantire che le organizzazioni non considerassero la conformità alla protezione dei dati come un'operazione una tantum, ma che invece migliorassero i metodi di protezione dei dati in base all'evoluzione delle minacce e delle tecnologie.
Ora, all'inizio del 2023, vi è maggiore chiarezza e consenso rispetto agli anni passati riguardo a ciò che è "appropriato" o "ragionevole". Le tecnologie e le pratiche comuni di cybersecurity compaiono nelle linee guida “State of the Art” di ENISA, nell’Executive Order on Improving the Nation’s Cybersecurity degli Stati Uniti e nelle ultime linee guida del New York State Department of Financial Services. Queste best practice includono il rilevamento e la risposta degli endpoint, il monitoraggio del dark web, la gestione dei log, il threat hunting e la protezione dell'identità zero trust. Inoltre, in seguito alla dichiarazione della Federal Trade Commission dopo Log4Shell, sembra che anche le patch contro le vulnerabilità note siano diventate una priorità per la compliance.
Questo riconoscimento comunitario di specifiche pratiche di cybersecurity coincide con una maggiore chiarezza che gli operatori del settore hanno sugli standard di base e sulla loro potenziale normativa anche in controversie legali.
Contemporaneamente, ma in contrasto con la maggiore chiarezza nel soddisfare i requisiti di sicurezza delle leggi sulla protezione dei dati, le proposte emergenti di localizzazione dei dati minacciano di creare un disallineamento tra le priorità sulla protezione dei dati. Gli attuali trend in materia di cybersecurity indicano chiaramente che le intrusioni informatiche continuano a rappresentare una minaccia significativa per la privacy. In sostanza, i requisiti di sicurezza e le pratiche suggerite sono concepiti per impedire l'accesso non autorizzato ai dati. Tuttavia, molte proposte politiche in tutto il mondo cercano di negare l'accesso altrimenti autorizzato, come la gestione di una rete tra giurisdizioni diverse, limitando di fatto i mezzi dei difensori per proteggersi da accessi non autorizzati.
Esempi recenti sono le disposizioni contenute nella bozza della legge Indiana Digital Personal Data Protection Bill, nella proposta di certificazione della sicurezza informatica della Francia, SecNumCloud, in una prima bozza del Decreto presidenziale italiano di attuazione della NIS 1.0, di alcune interpretazioni dei flussi di dati transfrontalieri post-Schrems II e altre politiche che promuovono la sovranità dei dati per obiettivi di raccolta di informazioni interne o di politica industriale.
Sebbene questi dibattiti politici rimangano fluidi, la realtà è chiara: i requisiti di localizzazione dei dati limiterebbero di fatto l'uso delle migliori pratiche di cybersecurity per le quali esiste un consenso a livello mondiale. Per utilizzarle, i difensori necessitano di piattaforme SaaS, dati di sicurezza aggregati, visibilità unificata in tutta l'azienda, gestione centralizzata dei log, capacità di tracciare i movimenti laterali e servizi 24/7 che richiedono invariabilmente flussi di dati.
L'ironia della sorte è che gli autori delle minacce informatiche non seguono le regole, quindi i difensori privi di capacità di analisi globale e di threat hunting si scontrerebbero con cyber criminali che mirano naturalmente a esfiltrare i dati oltre confine e a muoversi lateralmente all'interno di una rete globale. In altre parole, i requisiti di localizzazione dei dati potrebbero incentivare le organizzazioni a mitigare i rischi percepiti delle procedure giuridiche estere a scapito dei requisiti nazionali per l'utilizzo delle giuste tecnologie per proteggere i dati dalle violazioni. Fortunatamente ci sono stati alcuni sviluppi positivi, tra cui un accordo dell'OCSE sui principi di accesso ai dati governativi, che ha l'opportunità di risolvere gran parte delle preoccupazioni dei sostenitori della localizzazione dei dati.
Mentre i team che si occupano di sicurezza e privacy lavorano sinergicamente per conformarsi ai moderni standard di protezione dei dati "ragionevoli" e "adeguati" al rischio e i policy maker valutano i meriti dei dibattiti sulla localizzazione dei dati, è importante prendere atto di quanto siano diverse le minacce odierne. Inoltre, da un punto di vista tattico, gli attacchi moderni sono basati sull'identità e sfruttano l'uso di credenziali legittime.
Altre tendenze, tra cui alcuni risultati dell'ultimo Falcon OverWatch Threat Hunting Report di CrowdStrike, evidenziano che le attività prive di malware hanno rappresentato il 71% di tutti i rilevamenti indicizzati da CrowdStrike Threat Graph. E che gli avversari si muovono velocemente, con una velocità media di evasione misurabile di 1 ora e 24 minuti, mentre il 30% delle intrusioni indica la capacità di spostarsi da un host all'altro entro 30 minuti.
La posta in gioco degli attacchi odierni e le tecniche utilizzate rendono importante per le organizzazioni chiedersi se le tecnologie di sicurezza implementate sulla propria rete siano adeguate al rischio, soddisfino gli standard legali odierni e rispettino le best practice comuni. Allo stesso modo, queste realtà possono informare i dibattiti politici sulla possibilità o meno che alcune proposte possano creare migliori risultati in termini di cybersecurity.
In occasione della Giornata della Privacy è importante riflettere su cosa implichi una protezione dei dati olistica e su quanto sia fondamentale la cybersicurezza, non solo per la conformità, ma anche per la protezione della privacy e dei diritti umani. Le violazioni dei dati rappresentano oggi una minaccia significativa per la privacy. Di conseguenza, i responsabili politici e le agenzie governative possono migliorare la privacy non solo promuovendo la trasparenza, ma anche incentivando l'adozione di best practice per proteggere i dati dalle violazioni.
Questa dovrebbe essere la priorità invece di deleghe apparentemente arbitrarie per la privacy, come la localizzazione dei dati. Oggi le moderne infrastrutture IT, la cybersecurity e i programmi di conformità alla privacy dipendono da flussi di dati globali. L'introduzione di framework che rafforzino la sicurezza e forniscano certezza ai trasferimenti di dati è un elemento importante per ottenere una protezione olistica dei dati.
Drew Bagley è VP & Counsel, Privacy & Cyber Policy di CrowdStrike