OSSERVATORIO VECOMP
 

Il caso Luxottica: rischio data breach e danno di immagine
Un attacco ransomware ha portato al blocco della produzione. Ecco cosa sappiamo.
 Il 20 settembre sarebbe stato un attacco ransomware a causare il blocco totale delle attività produttive di Luxottica, la più grande azienda di occhiali al mondo con oltre 80.000 dipendenti e 9,4 mld di fatturato nel 2019. Secondo quanto riportato dal sito Bleeping Computer, i criminali informatici avrebbero sfruttato una vulnerabilità nei prodotti VPN di Citrix for Cyber-Attacks, con la quale ottenere credenziali per l’accesso e la diffusione all’interno di una rete. La stessa vulnerabilità che avrebbe consentito l’attacco ransomware ad un ospedale tedesco pochi giorni prima, dalle conseguenze ben peggiori. Luxottica ha confermato dipendenti e sindacati che i dati prelevati e pubblicati sul dark web le appartengono, ma riguardano un server dislocato in Sud Africa in cui non era memorizzato alcun dato personale di dipendenti e clienti europei. Da quanto dichiarato non sembrano ravvisarsi  gli estremi per una notifica di data breach a norma GDPR. L’attacco hacker a Luxottica (qualora venissero confermate le notizie diffuse finora) e il recente caso Geox confermano tuttavia che gli attacchi ransomware sono in aumento e approfittano del basso presidio di reti e sistemi aziendali.
Data:  26 ottobre 2020
Approfondisci qui

150 milioni i siti dai contenuti sensibili
Una ricerca internazionale ha analizzato 1 miliardo di URL utilizzando classificatori di machine learning in grado di identificare siti dai contenuti sensibili e tracciati. 
Lo studio è stato presentato in USA da Nikolaos Laoutaris durante l'ACM IMC di ottobre 2020 (Association for Computing Machinery Internet Measurement Conference). In due anni di lavoro sono state esaminati un miliardo di pagine e indirizzi web e sarebbero 150 quelli che non sono rispettosi dei principi del GDPR. I siti infatti includevano contenuti sensibili e tracciati relativi alla salute, convinzioni politiche, orientamento sessuale, ecc. La ricerca mette in luce un rischio importante per chi naviga nel Web. Per la prima volta possono essere messe in atto specifiche misure proattive. Ad esempio, il browser dell’utente può avvisarlo prima di fare clic al fine di evitare URL che puntano a contenuti sensibili.
Data: 23 ottobre 2020
Approfondisci qui

Ispezioni privacy sulla fattura elettronica
Nel piano ispettivo del Garante sono stati elencati i settori che l’Autorità intende mettere sotto esame.
Il Piano delle attività ispettive dell’Autorità proseguono fino a dicembre 2020 è riguarderanno i trattamenti di dati svolti nell’ambito di settori particolarmente delicati: la fatturazione elettronica, il whistleblowing, il food delivery, le violazioni della sicurezza dei dati (data breach).
Le altre ispezioni programmate dal Garante saranno indirizzate a verificare il rispetto delle norme nel rilascio di certificati tramite l’Anagrafe nazionale della popolazione residente, e nell’attività di marketing, sia nel settore pubblico che privato.
Un primo bilancio dell’attività ispettiva e sanzionatoria dell’Autorità nel primo semestre del 2020 registra intanto un notevole incremento delle entrate complessive derivanti dalle sanzioni che passano da 1 milione 223mila euro del primo semestre del 2019 a 7 milioni 108 mila euro, con un aumento del 481%.
Data: 26 ottobre 2020
Approfondisci

Check list sul GDPR: strumento indispensabile!
Oltre allo Schema internazionale sui controlli e requisiti per dimostrare la conformità ai sensi del GDPR ora è possibile consultare un nuovo, efficace strumento operativo: la check list di compliance.
Inveo ha aggiornato lo schema di Certificazione ISDP©10003:2020 per la valutazione della conformità al GDPR. Lo schema è accreditato in forma volontaria ai sensi della ISO/IEC 17065:2012 e liberamente scaricabile dal sito. Nella sezione Privacy Tool si trova la “Compliance check list”, uno strumento insostituibile per effettuare un’auvalutazioni del proprio modello organizzativo sulla protezione dei dati.
Data: 23 ottobre 2020
Approfondisci
 

DOMANDE E RISPOSTE

Cosa significa 'Internet of Things'?
Internet of things (IoT o Internet delle cose) è l'espressione usata per descrivere l'estensione della connessione Internet alle più svariate tipologie di oggetti (dagli elettrodomestici alle auto). I dati rilevati grazie ad appositi sensori possono essere scambiati e comunicati tramite Internet e gli oggetti possono essere monitorati e gestiti da remoto.


Cosa si intende per 'Data breach'?
Il "data breach" è una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.  Alcuni esempi sono: l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati,  il furto o la perdita di dispositivi informatici contenenti dati personali, la divulgazione non autorizzata dei dati personali, etc.

Cosa sono i cookie e a cosa servono?
I cookie sono informazioni immesse sul tuo browser quando visiti un sito web o utilizzi un social network con il tuo pc, smartphone o tablet. Ogni cookie contiene diversi dati come, ad esempio, il nome del server da cui proviene, un identificatore numerico, etc. I cookie possono rimanere nel sistema per la durata di una sessione (cioè fino a che non si chiude il browser utilizzato per la navigazione sul web) o per lunghi periodi e possono contenere un codice identificativo unico. Per questo possono essere considerati dati personali e il Garante ha dedicato una sezione formativa del suo sito sui Cookie.

Cosa è il 'cryptojacking'?
Il cryptojacking è una cyber minaccia sempre più diffusa che si nasconde su computer o dispositivi mobili per “rubare” le risorse del sistema e generare criptovalute. La “Criptovaluta” è denaro elettronico che si basa sui principi della crittografia matematica complessa. In termini semplici, le criptovalute sono elettricità convertita in linee di codice con un reale valore monetario. Questo attacco funziona senza che la vittima se ne accorga. L’unico segno che potrebbe notare è un rallentamento delle prestazioni o un ritardo nell’esecuzione di alcuni programmi. L’attacco avviene solitamente attraverso tattiche di phishing. Un buon programma Antivirus e Firewall completo e sempre aggiornato può essere la soluzione migliore per evitare queste minacce.