Ai tempi dei ransomware bisogna trovare l'armatura giusta. L'arma della crittografia è senza dubbio la più efficace per proteggere database sensibili. Ecco quando va usata.
La grande diffusione del ransomware nell’ultimo anno avrebbe dovuto incoraggiare il ricorso a misure di protezione più efficaci: nessuno sa infatti, se pagando i vari “riscatti” richiesti per rendere nuovamente accessibili i dati questi tornino nelle esclusiva disponibilità del titolare o se esistano dei duplicati, diffusi o venduti.
Qualora infatti venissero criptati dati già crittografati, resterebbe l’inconveniente di doverli ripristinare, ma se i dati venissero sottratti potrebbero restare efficacemente illeggibili per i malintenzionati, riducendo il rischio di violazioni.
Quindi
Alla crittografia o cifratura, gia nel Codice Privacy se ne parla nei casi di trattamento di dati sensibili e giudiziari, in relazione ai trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari, e nell’allegato B del Codice sotto la voce “Ulteriori misure in caso di trattamento di dati sensibili o giudiziari” impone che il trasferimento dei dati genetici in formato elettronico è cifrato.
Oggi si parla dei dati personali e cybersecurity nel Regolamento Europeo. La crittografia, ad esempio, viene consigliata diverse volte nel Regolamento: si tratta di uno strumento di cui il titolare e il responsabile possono avvalersi per mitigare i rischi connessi ai trattamenti ovviamente, in ottica di accountability, vanno fatte le giuste considerazini.
Nel regolamento alla voce “Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura”.
La cifratura, pertanto, è una misura che il titolare deve tenere in considerazione quando valuta i rischi di sicurezza ai quali sono concretamente esposti i dati per predisporre un livello di sicurezza adeguato al rischio.
Molto importante nella parte relativa alla “Comunicazione di una violazione dei dati personali all’interessato”, la cifratura esonera dal comunicare all’interessato il data breach.infatti non è richiesta la comunicazione all’interessato sei titolare “ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura”. I vantaggi sul piano dell’immagine aziendale e della competitività rispetto ai concorrenti potrebbero essere significativi.
Quando conviene usare i sistemi per crittografare file?
In generale è un ottimo sistema per proteggere i dati, ma per capire esattamente il grado di rischio di data breach che corri devi fare un risk assessment.
I sistemi di crittografia andrebbero sempre usati a protezione di archivi molto sensibili.