In questo mese dedicato alla cybersicurezza sono particolarmente presa da alcune riflessioni che legano la sicurezza informatica alla privacy. Riflessioni e considerazioni che provo a condividere!

Silvia Arezzini, INFN

Sono un tecnologo informatico e lavoro nel team DPO (Data Protection Officer) di un Ente di Ricerca italiano ormai da qualche anno. Le tematiche privacy mi affascinano però da un paio di decenni... cioè da quando nei primi anni duemila si è iniziato a parlare davvero di "leggi sulla privacy".
Ormai non riesco più a separare il pensiero della privacy dal mio vissuto e avverto spesso questa consapevolezza come una seconda pelle.
Una consapevolezza arrivata lentamente, dopo molto leggere e molto riflettere.
Una consapevolezza che sento il dovere di trasmettere, di raccontare ed anche di promuovere, perché chi mi è vicino debba fare meno fatica per raggiungerla e meno sforzi per capire perché è così importante.

Consapevolezza, fondamentalmente, significa sapere che ci sono dei pericoli in agguato, magari nascosti dietro a attività innocue, e spesso veicolati da false sicurezze. Tutti sentiamo parlare di pericoli informatici... ma sarebbe importante capire (cioè essere consapevoli...) che questi pericoli non sono lontani da noi, anzi... spesso sono proprio accanto a noi e siamo noi che corriamo dei rischi e che possiamo diventare delle vittime!

Ma come diventare più consapevoli?

Sappiamo tutti che le nostre vite sono state trasformate dal progressivo passaggio al digitale e che il tradizionale concetto di "riservatezza" così vicino all'idea di privacy (praticamente un sinonimo) si è a sua volta trasformato arricchendosi di significati.

Proteggere la propria privacy significa ancora fare in modo che le notizie su di noi rimangano riservate, ma la crescita impressionante dei possibili accessi a queste notizie rende l'operazione di protezione altamente complessa. Gli applicativi e le reti social cui corre subito il pensiero sono solo alcune delle fonti sulle informazioni personali che ci riguardano. Perché i nostri dati in realtà risiedono anche sui database istituzionali del nostro datore di lavoro, del comune in cui risiediamo, della palestra che frequentiamo... e se questi database non sono gestiti internamente i dati finiscono anche sui cloud di compagnie dedicate all'archiviazione dati e alla fornitura di servizi.

Ecco perché oggi pensare alla privacy significa pensare a mantenere un controllo sul flusso dei dati che ci riguardano.

E come fare?

Il primo suggerimento è riflettere prima di scrivere i nostri dati anagrafici... e farlo solo se proprio ne vale la pena e se chi ce lo chiede ci sembra degno di fiducia... Non è semplice capirlo purtroppo. Tutti i fornitori danno indicazioni (l'informativa sul trattamento dei dati personali) ma queste indicazioni sono spesso troppo lunghe e articolate per una lettura rapida e insieme attenta... quindi prendiamoci il tempo, quando è possibile, per leggere e magari riflettere sulle spunte richieste!

Non dimentichiamo poi di essere “riservati” e riduciamo quindi il più possibile la quantità di informazioni personali che forniamo sui social. Perché notizie su di noi anche apparentemente insignificanti possono invece rivelare abitudini, comportamenti, preferenze personali… e favorire azioni illecite nei nostri confronti. Pubblicità indesiderate, ad esempio, ma anche vere e proprie azioni criminose… perché se raccontiamo molto di noi degli estranei potrebbero approfittarne!

Queste prime considerazioni introducono la riflessione su un secondo aspetto della consapevolezza che riguarda gli aspetti tecnici legati all'archiviazione dei nostri dati e alla loro protezione una volta che li abbiamo forniti. Chi lavora nell'ambito IT sa bene che privacy e cybersicurezza sono legate a doppio filo. Solo realizzando un ambiente sicuro da un punto di vista informatico si ha la possibilità di proteggere i dati, in particolare quelli personali. La privacy è quindi figlia della cybersicurezza! E come tale eredita un fardello pesante: il fattore umano.

Perché la cybersicurezza non è fatta solo di misure tecniche, ma anche di modalità operative e di regole di comportamento che tutti dobbiamo seguire, non solo in maniera formale, ma anche comprendendone le motivazioni e la sostanza. Non “clickare” su qualunque link in particolare su quelli arrivati per posta elettronica da indirizzi dubbi, seguire le regole sulle password indicate dai gestori dell’infrastruttura IT, avvertire subito la divisione IT in caso di anomalie nei nostri file, eseguire backup periodici dei nostri dati importanti… sono tutte azioni essenziali per ridurre il rischio. Azioni nostre, di utenti consapevoli, che si affidano agli specialisti per il setup dell’ambiente informatico e la sua protezione, ma che collaborano attivamente a realizzare un ambiente sicuro.

E i professionisti IT? Anche loro e soprattutto loro devono avere e promuovere consapevolezze. Mettere in pratica misure tecniche è essenziale. E seguire dei framework di cybersicurezza per non dimenticare aspetti importanti lo è altrettanto! Un ambiente ben strutturato e pensato per essere protetto corre rischi minori di un ambiente destrutturato, ovvio no? Lo sappiamo tutti, ma realizzarlo non è facile. Ecco perché ho accennato ai framework di cybersicurezza: schemi ed elenchi di azioni e controlli da effettuare sistematicamente, studiati da specialisti e verificati sul campo.

E per proteggere al meglio i dati personali? Qui il mio suggerimento è quello di non dimenticare il GDPR (General Data Protection Regulation) e le sue regole base: la minimizzazione dei dati (richiedere solo i dati personali strettamente necessari), la privacy by design (costruire le infrastrutture e scegliere gli applicativi avendo come obiettivo la privacy sin dalla progettazione) e la privacy by default (fare in modo che le configurazioni di base siano di per sé dotate di misure di protezione dei dati).

Chiaro quindi… per dare consapevolezze che possano diventare patrimonio comune occorre organizzazione… Ne sono certa! E parafrasando un motto talvolta attribuito a Seneca (La fortuna non esiste. Esiste il momento in cui il talento incontra l’occasione), vorrei dire che “La sfortuna non esiste… esiste il momento in cui la scarsa organizzazione incontra i malintenzionati…”