Privacy e dati personali in Rete. Un problema aperto

Autorità e normativeAziendeSicurezzaSorveglianza

Tracciamento silente degli utenti tramite i loro dispositivi mobili. Trafugamento dati personali. Black-out del cloud computing con la conseguente inaccessibilità alle proprie risorse online. Le fughe o perdite di dati, in inglese Data breach, sono vere e proprie disfatte per la tutela della Privacy degli utenti e rappresentano un campanello d’allarme per la sicurezza dei dati nell’era cloud. Nella bufera non sono solo Apple o Sony. Prima abbiamo assitito al “caso Epsilon“: la breccia a un noto database negli Stati Uniti, utilizzato anche da Citibank e Disney, ha causato un furto dati di dimensioni colossali. A ruota è seguito il “caso iPhone e iPad 3G”, ma il Ceo di Apple Steve Jobs, messo sotto pressione per il bug in iOS 4, punta il dito contro tutti gli smartphone per il tracciamento degli utenti nella geo-localizzazione. Ora Sony, dopo 6 giorni di black-out del servizio per giocare online, ha ammesso la violazione dei dati di 77 milioni utenti di PlayStation Network e Qriocity (1,5 milioni gli italiani stimati). L’altro giorno è andato in tilt il cloud di Amazon per oltre 10 ore. Si susseguono a ritmo incalzante le notizie allarmanti che vedono le “informazioni personali” (in alcuni casi dati sensibili) nell’occhio del ciclone, e minano la fiducia dell’utente finale. In ballo sono la sicurezza IT, la privacy, l’affidabilità dei servizi e la continutà dei business. Oltre che all’immagine dei brand coinvolti

In pochi giorni abbiamo assistito al trafugamento dei dati (77 milioni su PlayStation Network e Qriocity; altri milioni nel database Usa di Epsilon, usato da banche e siti Web molto famosi), al black-out temporaneo dei servizi (non solo il gaming online di Playstation Network, ma anche il cloud per le Pmi di Amazon) e al caso del tracciamento degli spostamenti personali. L’utente di smartphone e di servizi di cloud computing sta drammaticamente toccando con mano i rischi dell’Apocalisse Digitale? Anche senza scomodare immagini troppo allarmiste o roboanti, che non servono a niente se non a “sparare” titoloni sulla stampa, i recentissimi casi di “trafugamento dei dati” (data breach nei casi Epsilon e Playstation Network) o di “tracciamento” (iPhone, iPad 3G e smartphone) mettono in allerta gli utenti sui rischi che corrono i propri dati in Rete quando c’è una lacuna o una defaillance nella sicurezza IT. Poiché sono tutti casi recentissimi ma diversi fra loro, in cui le indagini per scoprire le cause di quanto accaduto sono tuttora in corso, possiamo solo tracciare uno scenario a grandi linee. A causa di un bug (forse è il caso di iOS 4, il sistema operativo di iPhone e iPad 3G), o di un “tracciamento disinvolto” nella geo-localizzazione (il caso delle “Apps spione” trovate su Apple App Store e Android Market) o per un trafugamento dati (ad opera forse del cyber-crime), i nostri dati personali, spesso dati sensibili (se si tratta dei numeri delle carte di credito o di assicurazioni sanitarie) possono finire in mano di terzi. Nel caso degli smartphone che tracciano i movimenti, ciò avviene quasi “a nostra insaputa”, senza che ce ne accorgiamo: soltanto Windows Phone 7 sembra aver adottato una policy sufficientemente trasparente per spiegare il trattamento dei dati nella geo-localizzazione; Android ha per il momento fornito informazioni, che verranno valutate dalle Authority Usa; Apple rischia una Class action negli Usa ed è già sotto indagine in Sud Corea (mentre i Garanti privacy UE, di Francia, Germania e Italia studiano il caso del tracciamento di iPhone). Anche il black-out di 10 ore del servizio di Amazon, a ridosso delle festività, che ha causato un disservizio a utenti e aziende, è un altro campanello di allarme. Il procuratore generale dell’Illinois, Lisa Madigan,ha chiesto delucidazione sia a Apple che a Google.

I dati dei device di Apple non sono cifrati di default e i log delle coordinate latitudine-longitudini e del tempo della visita, sono stati mantenuti (in chiaro, e cioé non cifrati, copiabili facilmente da chiunque), con una finestra di cronologia aperta di oltre un anno. Google ieri aveva respinto le accuse dicendo: “Qualsiasi localizzazione dei dati inviata ai server della localizzazione di Google viene anonimizzata e non può essere riconducibile all’identificazione di un utente”. Microsoft sposa la trasparenza: l’invio dei dati da parte di Windows Phone 7 è stato illustrato tutto esplicitamente sul sito ufficiale di Microsoft in un How-to, a disposizione online degli utenti; senza nascondere nulla. Perché la geo-localizzazione è un’opportunità da sfruttare, ma l’utente finale deve sempre avere piena consapevolezza di ciò che guadagna (ottimizzazione delle risorse, accesso ad applicazioni utili ) e degli eventuali pericoli a cui va incontro, per bilanciare i rischi/benefici scegliendo liberamente.

Vediamo quali rischi corrono i dati trafugati, i tilt improvvisi o la Privacy violata degli utenti, nell’era del cloud. Di recente sulla nostra rubrica di sicurezza riportavamo: “La crescente diffusione di smartphone e latptop e soprattutto le applicazioni per questo tipo di dispositivi hanno incentivato la mobilità dei dati che sempre più spesso si allontanano dai data center aziendali. Proteggere i dati dei clienti è fondamentale per il business, soprattutto in un ambito come quello finanziario. Dobbiamo sapere quali dispositivi contengono i nostri dati ed essere in grado di criptarli, bloccarli e cancellarli qualora dovessero venire rubati o smarriti. Avere una solida piattaforma per la gestione delle risorse mobili è dunque un pre-requisito imprescindibile per poter cogliere appieno la straordinarie opportunità che questi strumenti offrono”.

Ma non basta avere una solida piattaforma, bisogna vere anche policy trasparenti che informano gli utenti sui rischi ed opportunità dello scambio dei dati, tutto alla luce del sole.

Gli utenti del Mobile e del cloud devono avere la  possibilità di disabilitare le funzionalità indesiderate e bloccare in remoto il dispositivo in caso di smarrimento o furto; rafforzare le policy di sicurezza implementate, mettere a punto password complesse, predisporre periodi di blocco del dispositivo, controllo e installazione delle applicazioni, disabilitare le funzionalità fotografiche, di navigazione e di accesso a siti come Youtube; eliminare gli oneri di gestione grazie al portale self-service che permette agli utenti finali di registrare, bloccare o ripulire i propri device mobili in caso di necessità; controllare gli accessi alla casella email aziendale attraverso ingressi sicuri e dispositivi registrati.

Il problema, insomma, non sono i database o i servizi in sé, ma la loro gestione, sotto tutti i punti di vista. Nel caso del furto di dati di Epsilon, commentava Trend Micro: “I criminali non solo conoscono il nome e la email degli utenti, ma sanno anche dove fanno acquisti, dove hanno il conto bancario, quali hotel prenotano e molto altro ancora. Se gli utenti sono stati così sfortunati da ricevere più messaggi di avviso, si può immaginare il tipo di profilo che gli hacker in questo momento hanno a disposizione su di loro”. Il rischio derivante dallo spear-phishing (ovvero una forma di phishing altamente mirata) è aumentato considerevolmente in conseguenza di questo caso di data breach; gli utenti dovrebbero pertanto essere più accorti che mai nel momento in cui ricevono email provenienti da soggetti colpiti richiedenti informazioni di natura personale. Conviene prestare la massima attenzione ai messaggi che si riceveranno nei prossimi mesi, se non addirittura anni. Prima di fornire dati personali, assicurarsi che la connessione sia cifrata con SSL.

Il Data breach è una miniera d’oro di informazioni per la progettazione di messaggi pericolosi molto più insidiosi di un phishing. L’email, infatti, può apparire come se sia stata inviata da un’organizzazione o da un negozio nel quale gli utenti sono soliti acquistare; il suo unico scopo sarà quello di indurli a cliccare su un link. Per non parlare dei numeri delle carte di credito ed altri dati sensibili.

Infine, nel caso anche dei semplici black-out di servizi cloud, bisogna attrezzarsi. Il 21 aprile l’erogatore di servizi di Amazon ha avuto il più lungo outage della sua storia, tanto che per oltre 10 ore EC2 e l’Elastic Block Storage sono risultati irragiungibili. Quora, Foursquare, Reddit e HootSuite hanno registrato un crollo della fruizione dei servizi, ma molte Pmi hanno denunciato l’assenza di un piano di business continuity, mentre falliva il disaster recovery da parte di Amazon. ZdNet ha stilato sette lezioni da trarre per le aziende dopo questo grave black-out. La società di analisi Enderle suggerisce un sistema di back-up per i retailer e per le Pmi che si affidano al cloud; alle aziende non conviene temere molteplici server virtualizzati su un’unica piattaforma hardware di cloud computing. Clabby Analytics suggerisce di separare spalmando i “resource pool” su più hardware, anche se con la virtualizzazione si tende a non decentralizzare. Gartner coglie infine l’ironia della sorte del cloud: “Con il cloud si tende a delegare senza doversi preoccupare delle implementazioni tecnologiche in dettaglio; ma chi acquista “qualcosa come servizio”, gli acquirenti del cloud computing, oggi devono sapere ancora più che ai tempi managed hosting customers“. Spiega Lydia Leong sul blog di Gartner: “I compratori del cloud non hanno abbastanza fiducia nel fatto che i fornitori offriranno la disponibilità, performance e sicurezza di cui hanno bisogno“.

Il caso dei dati trafugati di 77 milioni di utenti del Playstation Network e Qriocity sarebbe un caso di “data breach” fra i più gravi, nella classifica di DataLoss, dopo quelli del 2009 (130 milioni di registrazioni di Heartland) e quello del 2007 (94 milioni di Tj Maxx), e il recente caso di Epsilon.

Sapere è potere“: se le informazioni vengono date con tempestività, chiarezza e puntualità, l’utente è informato e può correre ai ripari. Quando invece i trafugamenti vengono resi noti dopo quasi una settimana oppure i tracciamenti vengono immagazzinati per quasi un anno, senza che l’utente venga informato in modo esplicito, le aziende IT inciampano nel danno d’immagine, oltreché nei risvolti giudiziari di queste vicende. Le Authority Privacy e le eventuali class action faranno chiarezza sull’accaduto, ma agli utenti rimane l’effimera sensazione che Privacy e dati personali, siano davvero Cenerentole della Rete.

Sony Playstation Network offline da giorni: trafugati i dati personali di 77 milioni di utenti
Sony Playstation Network offline da giorni: trafugati i dati personali di 77 milioni di utenti
Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore