fb

Linee guida sull’utilizzo del cookie, termine scaduto e siti non a norma

by

Il 9 gennaio scorso è scaduto il termine per rendere conformi i servizi web che utilizzano i cookie e altri strumenti di tracciamento con le Linee Guida emanate dal Garante nel giugno 2021. I titolari del trattamento, oltre a verificare la correttezza delle informazioni riportate nel loro Registro dei Trattamenti, nel caso in cui utilizzino cookie o altri identificatori “non tecnici” sono tenuti a mostrare un “banner” al momento dell’accesso al sito o al servizio web con:

  • l’indicazione che il sito o il servizio web utilizza, previo consenso dell’interessato, anche cookie di profilazione e/o altri strumenti di tracciamento
  • un comando evidente per rifiutare il consenso all’uso dei cookie non tecnici
  • un comando per accettare tutti i cookie e le altre eventuali tecniche di tracciamento
  • un link alla privacy policy con l’informativa completa di tutti contenuti previsti dagli artt. 13 e 14 del GDPR
  • un link ad un’area nella quale poter scegliere tutte le funzionalità di tracciamento e i cookie per i quali si presta il consenso, poter modificare le scelte già fatte e poter prestare il consenso a tutti i cookie o revocarlo con un’unico comando. Questa area dovrà essere raggiungibile anche tramite un link posizionato nel footer di qualsiasi pagina del dominio

Il Garante ricorda che non è un consenso valido all’uso dei cookie non tecnici e di altri strumenti di tracciamento la semplice prosecuzione della navigazione dopo aver preso visione del banner o lo “scrolling” della pagina, così come non è conforme il meccanismo con cui un utente è obbligato ad accettare tutti i cookie e gli altri strumenti di tracciamento se vuole accedere ad un sito o a un servizio web (c.d. cookie wall).

I siti e i servizi web non conformi possono esporre il titolare al rischio di un trattamento illecito e alle relative sanzioni.

Il Garante per la Protezione dei Dati Personali dedica una sezione del sito alle istruzioni per utilizzare correttamente i cookie e gli strumenti di tracciamento a questo LINK.

Per l’autorità austriaca Google Analytics è illegale

by

In seguito ad alcune denunce presentate dall’organizzazione NOYB fondata dall’avvocato e attivistsa austriaco Maximilian Schrems, l’autorità austriaca per la protezione dei dati ha dichiarato illegale l’uso di Google Analytics in quanto viola il GDPR. Secondo l’autorità austriaca, i siti che utilizzano Google Analytics tramite questo servizio esportano dati personali dei loro visitatori negli Stati Uniti, e questi dati possono essere resi noti alle autorità in un quadro normativo (quello statunitense) non compatibile con quello europeo, come è emerso anche nel caso della decisione sull’annullamento del “Privacy Shield” nel 2020. Quali implicazioni pratiche possa avere questa decisione è difficile dirlo al momento ma, dato che NYOB ha presentato 101 segnalazioni in diversi paesi europei è probabile che altre decisioni simili arrivino nei prossimi giorni. In questa ottica potrebbero essere dichiarati illeciti molti trattamenti di dati personali che rientrano nell’ambito di applicazione del GDPR effettuati tramite cloud provider americani e non è pensabile sostituire tutti questi servizi con altri simili forniti da aziende che operano esclusivamente sul territorio europeo o equivalente in termini di garanzie “privacy”. L’unica soluzione sembrerebbe essere un nuovo e più “robusto” accordo tra UE e Stati Uniti, nel frattempo una percentuale enorme di organizzazioni pubbliche e private è, almeno in teoria, esposta a rischi di non conformità.

Misure di sicurezza per il “Cloud”

by

Il cloud computing e i servizi associati sono ormai una necessità per la maggior parte dei business. È una tendenza che ha avuto un’enorme accelerazione di recente con servizi quali Zoom, Microsoft 365, Google Workspace e molti altri, servizi che offrono sistemi di interazione e software di produttività per collaborare a distanza.
È anche un modus operandi che implica nuovi rischi informatici per le aziende, cosa che sta diventando sempre più chiara in questi giorni con il ricorso massiccio al lavoro a distanza.
Molte organizzazioni pensano, erroneamente, che passare a servizi cloud significhi delegare tutti gli aspetti di sicurezza al fornitore di tali servizi, ma non è così. L’utente di un servizio cloud è responsabile di molti aspetti della sicurezza, sia perché deve configurare il servizio nel modo più adatto alle proprie esigenze, sia perché, tipicamente, sotto il suo controllo rimangono i punti di accesso al servizio stesso.
Con il lavoro in ufficio le persone si connettono alla rete aziendale solo dalla propria postazione fisica di lavoro, contando ad esempio sulla protezione di un firewall aziendale e di altri sistemi di sicurezza di rete.
Il ricorso ad applicazioni cloud implica che, di punto in bianco, tutte queste protezioni perimetrali non ci sono più e le persone accedono alle informazioni e ai servizi aziendali da qualsiasi posto e da qualsiasi rete.
Servono nuove misure di sicurezza.

Le minacce per il cloud computing

Il cloud computing permette di continuare a lavorare quasi normalmente anche in tempi di pandemia, quantomeno per l’accesso a risorse e informazioni, tuttavia il lavoro a distanza apre nuove possibilità di attacco per i cyber criminali che hanno tentato di infiltrarsi in reti aziendali approfittando di configurazioni deboli in materia di sicurezza dei cloud aziendali.
Le VPN aziendali e le applicazioni cloud-based sono diventate il primo obiettivo per gli hackers. Se non opportunamente configurati, questi sistemi possono offrire agli attaccanti una comoda via di accesso alle risorse aziendali.
Nei casi più facili, tutto quello che serve a un criminale è trovare una coppia di credenziali (username e password), rubandole tramite phishing, indovinando le password deboli con attacchi brute force o acquistandole nel dark web e l’accesso è servito.
In questo modo, dato che l’accesso avviene con una coppia di credenziali riconosciute come legittime dal sistema, è molto difficile rilevare accessi non autorizzati, specie considerando che il passaggio al remote working ha comportato una maggiore variabilità negli orari di lavoro che, di conseguenza, non sono più parametri di verifica affidabili.
Gli attacchi contro applicazioni e servizi cloud possono essere molto pericolosi, un attaccante può rimanere indisturbato in una rete per settimane o mesi per studiare il modo migliore per attaccare o per rubare dati. Spesso viene portato un doppio attacco che comporta prima il furto della gran parte dei dati aziendali, poi la cifratura degli archivi di dati prima della richiesta di “riscatto” finale.

Utilizzare l’autenticazione multifattore

Sia che si utilizzi un protocollo di desktop remoto tramite VPN, sia che si utilizzi una suite di produttività basata sul cloud, il personale dovrebbe utilizzare una protezione ulteriore rispetto alla sola, classica, password.
L’identificazione dell’utente diventa ancora più centrale ed è la porta per accedere a qualsiasi risorsa online.
L’autenticazione multi fattore usualmente si ottiene con:
– app pre smartphone che generano un avviso da confermare con un “tap” o un codice OTP
– utilizzo di una security key USB da inserire nel PC per essere riconosciuti e poter accedere alle risorse di rete
Secondo una ricerca di Microsoft del 2017, l’autenticazione multifattore (MFA) protegge contro il 99,9% dei tentativi di login illegittimi.
Un sistema MFA non solo può bloccare un accesso illecito, ma fornisce anche una notifica di accesso a un amministratore, avvisandolo ogni qual volta sono in corso tentativi di accesso falliti o ripetuti per qualche account.

Cifratura

Le funzioni di trasferimento e archiviazione dei dati sono le principali per i servizi cloud. Alcuni fornitori offrono sei servizi di cifratura degli archivi e dei servizi di cifratura dei dati in transito, cose che prevengono la possibilità di leggere dati intercettati e dati rubati da archivi di memoria.

Applicare le patch di sicurezza non appena possibile

Anche le applicazioni cloud vengono aggiornate per risolvere problemi di sicurezza o migliorare l’usabilità, proprio come tutti gli altri software. È bene applicare gli aggiornamenti prima possibile, specie se si tratta di aggiornamenti per applicazioni VPN (Virtual Private Network) e RDP (Remote Desktop Protocol). In mancanza di un pronto aggiornamento per queste applicazioni, un criminale potrebbe utilizzarle come punto di ingresso alla rete aziendale e portare un attacco più elaborato.

Utilizzare sistemi per sapere “cosa c’è” nella tua rete

Il crescente utilizzo di applicazioni e servizi cloud, spesso rende difficile tenere traccia di tutti si servizi aziendali esposti via Internet. Se la gestione dei sistemi cloud non è rigorosa, è possibile che un’azienda esponga servizi o archivi senza nemmeno rendersene conto. Questi servizi “dimenticati” possono essere comunque scoperti da criminali con conseguente rischio per le organizzazioni.
Un aiuto per prevenire situazioni di questo tipo è dato dai cosiddetti tool per il Cloud Security Posture Management (CSPM), soluzioni che automatizzano il controllo di configurazioni errate e rendono visibili le risorse che l’organizzazione espone in rete.

Separare gli account amministratore da quelli utente

La gestione dei servizi cloud rende necessario assegnare i privilegi di amministratore ad alcuni utenti. La compromissione di un account con privilegi di amministratore può essere disastrosa per un’organizzazione. Tali account devono essere protetti con autenticazione multifattore e devono avere i permessi di eseguire solo le attività necessarie per svolgere i compiti dell’admin di sistema. Secondo le linee guida del NCSC UK (National Cyber Security Center), a livello di amministratore di sistema non dovrebbe essere possibile la navigazione diretta in Internet o la lettura di email poiché queste attività possono compromettere l’account utilizzato.

Backup e piani di emergenza

Nessun ambiente di rete è sicuro al 100%. Tutte le organizzazioni dovrebbero avere dei backup dei dati in almento due ambienti diversi, almeno uno dei quali deve essere *offline*. In caso di indisponibiltà dell’ambiente *cloud* l’azienda deve essere in grado di proseguire comunque le attività. Il piano di risposta agli incidenti basato sui backup dovrebbe essere ben definito e periodicamente testato.

Inventario dei dispositivi – Cloud device inventory

Una ulteriore misura di sicurezza può essere l’inventario dei dispositivi autorizzati all’accesso a specifiche risorse *cloud*. Questo può impedire l’accesso ai servizi da parte di dispositivi sconosciuti o facilitare la rilevazione di nuovi dispositivi che accedono ai servizi, permettendo agli amministratori di agire di conseguenza.

Censimento degli account – Account inventory

Gli account utente e i relativi privilegi dovrebbero essere gestiti con la massima attenzione. Questa attività può richiedere diverso tempo sia in fase di pianificazione che di attuazione, tuttavia può valerne la pena perché può elevare sensibilmente la sicurezza dei sistemi. I ruoli degli utenti e il relativo accesso a informazioni e/o servizi di rete dovrebbe essere progettato a priori, tecnicamente implementato nelle liste di controllo per l’accesso ai sistemi e la sussistenza delle autorizzazioni dovrebbe essere verificata periodicamente.

Limitare l’uso dei servizi e delle risorse cloud

Le politiche di accesso alle risorse dovrebbero definire a priori quali di queste sono accessibili e per quali utenti o gruppi di utenti. Tali politiche poi devono essere implementate in modo da rendere automatici i controlli di accesso.

Accesso alle API

L’accesso alle API (Application Programming Interface) dei servizi *cloud* deve essre limitato a soggetti e dispositivi affidabili nel modo più rigoroso possibile. Prima di utilizzare le API dovrebbe essere definita una policy di accesso, tenendo conto delle best practices di sicurezza consigliate dal fornitore.

Log management

Nei principali servizi cloud sono disponibili diversi report che elencano le attività degli utenti (files di log). Il monitoraggio dei files di log può permettere di rilevare attività anomale ma può essere anche un lavoro molto gravoso. In commercio esistono sistemi per l’aggregazione di queste informazioni che aiutano ad evidenziare quelle più rilevanti.
In alcuni casi il log delle attività degli amministratori può essere un obbligo (si veda il Provvedimento del Garante Privacy del 27 novembre 2008).

(fonte principale: www.zdnet.com https://www.zdnet.com/article/cloud-security-in-2021-a-business-guide-to-essential-tools-and-best-practices/)