Scritto da Laura Conti
Nasce la road map per un mercato unico dei dati in Europa, ma i cittadini e le imprese non hanno ancora una reale consapevolezza del valore delle proprie informazioni e le promesse di una maggiore sicurezza avanzate dall'avvento del GDPR sono state in parte disattese. Il commento di Marco Lucchina di CybergON
L’Europa lancia la sua sfida alle grandi tech company d’Oltreoceano nella partita per il controllo dei dati. Un match che nel 2025 varrà 829 miliardi di euro (tanto è stimato il valore comunitario del mercato dei dati) e genererà un volume di informazioni pari a 175 zettabyte (+530% dal 2018).
Il dibattito degli ultimi giorni parte proprio dall’intenzione della Comunità Europea di creare un data single market, un mercato unico per la gestione dei dati, fondato su regole di accesso chiare e condivise, regolato dalle norme europee come privacy, GDPR e diritto alla concorrenza.
Il 19 febbraio l’UE ha presentato la sua road map per la creazione di un cloud europeo “per competere nei big data con Silicon Valley e i giganti cinesi, rendere disponibili dati altrimenti inaccessibili e permetter loro di muoversi liberamente all’interno dell’Ue e dei vari settori a beneficio delle imprese”. Ecco il documento integrale pubblicato il 19 febbraio.
Abbiamo chiesto a Marco Lucchina, Director of Cyber Security di Elmec e responsabile di CybergOn, business unit dedicata alla sicurezza informatica un commento sullo scenario attuale e le prospettive future in ambito di sicurezza dei dati a livello comunitario. Cosa è cambiato con il GDPR? Su cosa si basa la data economy che ha fatto la fortuna dei colossi digitali come Amazon, Google e Facebook? E, soprattutto, come possono le aziende munirsi degli strumenti adeguati per difendere il loro asset più prezioso: le informazioni.
-----------------
“Prima di approfondire la riflessione, permettetemi di anticipare alcune considerazioni. La prima riguarda l’immenso campo di gioco che chiamiamo Cyber Security: un territorio che comprende anzitutto la protezione dei sistemi e della loro disponibilità da minacce di qualunque tipo ma prima di atterrare sul vero protagonista di questa storia si instrada in mille regole, regolamenti e regolamentazioni.
La seconda invece richiama il tema della data economy. A causa della quarta rivoluzione industriale l’informazione o più propriamente la conoscenza dell’informazione, è diventata la materia prima dell’economia globale. Su questa affermazione si scriveranno libri di storia, per ora ci basti pensare che il concetto stesso di Data Economy deriva semplicemente da una constatazione: le aziende che valgono di più a livello mondiale, Google, Amazon, Facebook per citarne alcune, «trafficano» in dati. Questi vengono utilizzati per farsi pagare profumatamente campagne pubblicitarie e tanto altro.
Sia chiaro: non è così semplice, ma per dovere di sintesi ci limitiamo a tinteggiare il quadro per chi osserva da lontano. Queste aziende non avrebbero tutte queste opportunità, se non avessero a disposizione la “materia prima”, il dato, gratuitamente.
I dati che ci riguardano e che giornalmente produciamo, le tracce del nostro essere digitale altro non sono che bricioline, che però una volta raccolte e riordinate permettono di creare pasticceria di alta gamma. Purtroppo il fatto stesso che per noi siano bricioline, le rende ai nostri occhi insignificanti; peccato che siano tutt’altro poiché ci rappresentano: siamo noi stessi. Una ricerca dell’Università di Stanford ha dimostrato che un algoritmo è in grado di conoscere molte più cose sulla nostra personalità analizzando 300 like su Facebook, di quante possiamo comprenderne noi di noi stessi.
GDPR: cosa (non) è cambiato
La conoscenza è potere, lo è da millenni e non cambierà, tanto che i governi se ne sono accorti e hanno cercato di porre rimedio, o mettere paletti, o semplicemente provare a far qualcosa. Ed ecco quindi che l’accesso al petrolio richiede regole.
Nascono così le politiche sulla privacy. Un percorso lungo anni che ha avuto la sua apoteosi nel maggio del 2018 con l’entrata in vigore del General Data Protection Regulation, conosciuto ormai da tutti come GDPR. Per alcuni un vero e proprio grattacapo, per altri una miniera d’oro.
Per molti si tratta comunque di aspettative disattese. Questo vale sia per chi richiede un accesso totalmente anonimo alla rete sia che per chi invece ne reclama la regolamentazione totale. Capire perché i primi non siano contenti è facile: non possiamo più far nulla senza registrarci, un’azione fondamentale per creare i famigerati data point. I secondi invece sono rimasti scottati da come è stato messo in pratica il concetto espresso dai legislatori di “scelta consapevole”.
La troppa burocrazia e il conseguente linguaggio “legalese”, ha gettato l’utente in una perpetua barbarie fatta di informative privacy incomprensibili alla maggioranza e ha di fatto impedito che si ottenesse il risultato di restituire ai cittadini il controllo sui propri dati.
C’è anche chi ha ‘festeggiato’ l’arrivo del GDPR: ossia tutti i beneficiari dell’indotto che deriva dall’ulteriore burocratizzazione e dalla necessità di adempiere ai regolamenti: dalle nuove figure professionali, siano essi DPO o consulenti, agli studi legali che si sono attrezzati in tal senso. Ovviamente questo non ha alcuna connotazione negativa, si tratta solo di constatare come, a due anni dall’entrata in vigore, non tutti sono stati investiti in sistemi di sicurezza e i cittadini si limitano ad accettare condizioni più complesse, comunque senza leggerle, come accade nel 98% dei casi.
Giusto per capire cosa significa, proviamo a leggere le condizioni d’utilizzo degli assistenti vocali come Alexa o Google Assistant: al termine delle 5000 parole, ne riparleremo.
Cyber security act: primi passi e scenari futuri
Mi rendo conto - ancora una volta - che l’argomento sia vastissimo, abbiamo cercato di trarre alcune conclusioni ad oggi e ora cerchiamo di porle come sfondo alla realtà: i dati hanno valore e in attesa che i regolamenti maturino e facciano la loro parte, chiunque dovrebbe preoccuparsi: le persone che pensano «di non avere nulla da nascondere» e le aziende che li custodiscono. Bisogna farlo semplicemente perché, per riprendere la metafora iniziale, siamo come quei contadini della metà dell’Ottocento che svendevano le proprietà dove vedevano affiorare il petrolio perché pensavano non fossero terreni di valore.
Le aspettative di chi attendeva un impulso ad investire in Cyber Security non sono state del tutto disattese, magari rimandate, si spera, al recepimento da parte della Presidenza del Consiglio dei Ministri della direttiva NIS per la cybersecurity.
Si inizia con l’unificazione di CERT e CERTPA in un solo gruppo: il Computer Security Incident Response Team - CSIRT e la successiva identificazione degli operatori essenziali e dei fornitori di servizi digitali. Questi ultimi dovranno dotarsi di sistemi di difesa specifici.
Purtroppo, però, ad oggi l’unico elemento chiaro è il tempo di notifica di un incidente di sicurezza, tuttavia non viene ancora tracciato un ipotetico percorso di adozione di tecnologie, servizi ed esperienza per accorgersi dello stesso. Ad oggi i dati forniti dall’Agenzia per l’Agenda Digitale parlano di un MTBD - tempo trascorso tra la compromissione e la sua scoperta - di circa sei mesi.
Per concludere: ogni dato e soprattutto ogni meta-dato ha valore e in quanto tale deve essere protetto. I sistemi vengono resi indisponibili dai cybercriminali a seguito dell’esfiltrazione di dati, per coprire le proprie tracce (ransomware).
Le aziende, da quelle uni-personali alle multinazionali vengono compromesse per le informazioni che custodiscono e che possono essere vendute su vari mercati con diverse sfumature di grigio. Possono mitigare il rischio solo con investimenti specifici che speriamo derivino prima di tutto da una auto-consapevolezza del rischio oltre che dalla spinta che potrà dare l’opera del legislatore".