DPO a confronto con le sfide del futuro: le minacce cyber

Articolo header

Un recente studio dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA) espone le minacce alla sicurezza informatica che emergeranno negli anni a venire, con lo scopo di trovare una soluzione a ciascuna di queste sfide emergenti. L’analisi previsionale svolta costituisce un ausilio importante per i DPO: identificare le prossime minacce cyber per le organizzazioni, infatti, è il primo passo per prevenire che si trasformino in rischi concreti o vulnerabilità da sanare.


Dal 2004, l’“European Network and Information Security Agency” è impegnata a migliorare la resilienza dell'UE in materia di sicurezza informatica, aumentando la consapevolezza delle minacce future e promuovendo le contromisure tra gli Stati membri e le parti interessate. 

Proprio al fine di raggiungere l’obiettivo strategico di fornire previsioni sulle sfide emergenti e future della cibersicurezza (“Foresight on Emerging and Future Cybersecurity Challenges”), è stato allestito un Gruppo di lavoro ad hoc che contribuisce alla stesura, a cadenza periodica, di rapporti di previsione sulle prossime minacce, volti ad allertare e sensibilizzare gli stati membri e le singole organizzazioni. 

L’ultimo studio condotto rappresenta il risultato di un esercizio di previsione durato 8 mesi, svolto dal Gruppo di lavoro ENISA, con il supporto della rete dei CSIRT e degli esperti dell'UE CyCLONe (Cyber Crisis Liaison Organisation Network), ovvero la rete creata nel 2020 per rispondere in maniera tempestiva ed efficace ad ogni tipologia di attacco informatico.

L’indagine è stata realizzata utilizzando il modello di analisi PEST (acronimo di Politica, Economica, Sociale, Tecnologica, nota anche come Analisi Quantitativa), in modo da includere tutti i principali fattori in grado di incidere sulle minacce e tratteggiare quindi uno scenario completo di tutte le variabili. Tali variabili sono state affrontate ricorrendo alla “prototipazione di fantascienza” (SFP), ovvero immaginando possibili sviluppi futuri, derivanti dalle tendenze attuali.


L’esito dell’indagine 

Al termine dello studio, l’Agenzia ha identificato e classificato 10 principali minacce alla sicurezza informatica delle organizzazioni di tutta Europa, che emergeranno entro il 2030. Tali minacce, estremamente diversificate, includono anche cyber threats attuali, in grado di evolvere ed adattarsi alla diffusione di nuove tecnologie. Ciò contribuisce ad accrescere la complessità della analisi previsionale ma, al tempo stesso, ne determina l’importanza: l’esito dell’indagine è destinato a servire da incentivo all’azione. 

La mitigazione dei rischi futuri non può essere rimandata o evitata”, ha dichiarato Juhan Lepassaar, Direttore esecutivo dell'ENISA. “Ecco perché ogni visione del futuro è il nostro miglior piano di assicurazione. Come dice il proverbio: “prevenire è meglio che curare”. È nostra responsabilità adottare tutte le misure possibili in anticipo per garantire un aumento della nostra resilienza nel corso degli anni, per un panorama di cybersicurezza migliore nel 2030 e oltre”. 


Le 10 minacce emergenti e future

Quindi, secondo ENISA, quali 10 minacce si presenteranno entro il 2030? Cosa possiamo aspettarci nel prossimo futuro?

  1. Compromissione della catena di fornitura di servizi software: il rischio di attacchi di questo tipo dipende dall’introduzione, sempre più frequente negli applicativi, di componenti e servizi integrati da terze parti. Più la catena di fornitori si allunga più aumentano le vulnerabilità e i rischi per clienti e utenti finali.  
  2. Campagne di disinformazione avanzate: ENISA prevede un’ulteriore evoluzione degli attacchi c.d. “Deepfake”, ovvero tecniche per la generazione artificiale di contenuti o immagini umane, utilizzate per creare falsi video, fake news, truffe, compiere atti di cyberbullismo, etc. Attacchi di questo tipo possono manipolare le opinioni di un’intera comunità, sia per ragioni politiche che per interessi economici.  
  3. Aumento dell'autoritarismo della sorveglianza digitale / perdita di privacy: l’Agenzia fa riferimento al ricorso a tecniche di riconoscimento facciale, alla sorveglianza digitale sulle piattaforme web, all’archiviazione di identità digitali. I dati così raccolti possono diventare un target importante (e particolarmente sensibile) per gruppi criminali. 
  4. Sfruttamento di errori umani e di sistemi legacy (obsoleti), all'interno di ecosistemi cyber-fisici: il rapido passaggio all’IoT può portare a vulnerabilità importanti, generate sia dalla necessità di adattare l’infrastruttura IT, in poco tempo, a strumenti innovativi, sia dalla mancanza di competenze e di una formazione adeguata, che consenta agli utilizzatori di comprendere appieno il funzionamento di questi ecosistemi cyber-fisici. 
  5. Attacchi mirati potenziati dai dati dei dispositivi intelligenti: gli smart devices che utilizziamo quotidianamente ed il cui uso è sempre più frequente all’interno delle organizzazioni, raccolgono e condividono sempre più dati, generando nuove, sofisticate, tecniche di attacco. 
  6. Mancanza di analisi e controllo delle infrastrutture e degli oggetti connessi con lo spazio: la sicurezza delle tecnologie e degli strumenti interconnessi con lo spazio, rischia di essere compromessa a causa della convivenza fra strutture private e pubbliche e della mancanza di controllo sulle stesse. 
  7. Aumento delle minacce ibride avanzate: a causa del diffondersi di dispositivi smart, piattaforme cloud e social, identità digitali, etc., gli attacchi fisici stanno evolvendo, combinandosi con gli attacchi cyber. 
  8. Carenza di competenze: come accade nel settore dell’IoT, la mancanza di competenze e di consapevolezza può costituire un’importante vulnerabilità e invito all’attacco per i cybercriminali. 
  9. Fornitori di servizi ICT transfrontalieri come singolo punto di fallimento: le infrastrutture IT critiche (quali ad esempio trasporti e servizi elettrici) che forniscono servizi transfrontalieri, possono diventare un invitante obiettivo per le organizzazioni criminali ed essere “armati” per lo sfruttamento in conflitti futuri. 
  10. Abuso dell'intelligenza artificiale: la manipolazione degli algoritmi alla base di sistemi di intelligenza artificiale può condurre non solo alla generazione di fake news, alla disinformazione e allo sfruttamento di pregiudizi, ma anche alla raccolta illecita di dati biometrici e sensibili, alla generazione di robots militari e all’avvelenamento dei dati.


Tendenze attuali, minacce future

Come anticipato, alcuni di queste minacce derivano da tendenze attuali in evoluzione. Ne sono una dimostrazione le recenti attività istruttorie, avviate dal Garante per la protezione dei dati personali nei confronti di due Comuni, che evidenziano il prepotente emergere della sorveglianza digitale. 

Nel primo caso, il Comune di Lecce aveva annunciato l’avvio di un sistema che prevede l’impiego di tecnologie di riconoscimento facciale. L’Autorità ha quindi chiesto chiarimenti all’ente, al fine di disciplinare i requisiti di ammissibilità, le condizioni e le garanzie relative al riconoscimento facciale, nel rispetto del principio di proporzionalità. Il Comune dovrà quindi fornire una accurata descrizione dei sistemi scelti e delle relative banche dati, nonché esibire prova delle azioni intraprese per l’adeguamento, fra cui, in particolare, la valutazione d’impatto sul trattamento dati, che il titolare è sempre tenuto ad effettuare nel caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.

Nel secondo caso, il Garante ha aperto un’istruttoria nei confronti del comune di Arezzo, dove, a partire dal mese di dicembre, è prevista la sperimentazione di “super-occhiali infrarossi” che consentirebbero, attraverso l’analisi del numero di targa, di rilevare le infrazioni e la validità dei documenti del guidatore. L’Autorità ha quindi messo in guardia l’ente rispetto all’uso di questi strumenti e ha chiesto copia delle informative che verranno fornite a personale e cittadini interessati, insieme alla valutazione d’impatto sul trattamento.


DPO avvisato…

Nuove tecnologie stanno generando nuove minacce: il report ENISA anticipa le sfide che organizzazioni e DPO dovranno affrontare. Alcuni dei principali threats sono correlati al ricorso a sistemi di intelligenza artificiale, la cui manipolazione / abuso può generare gravi criticità, così come l’integrazione “frettolosa” di sistemi IoT. Nel complesso traspare un quadro eterogeneo di minacce da attenzionare. Dalla analisi previsionale, tuttavia, emerge un leitmotiv: la carenza di competenze e formazione (“skills shortage”) rappresenta una vulnerabilità comune. In tale contesto è proprio il DPO, che, per primo, deve conoscere ed essere dotato di qualità professionali tali da garantire che i trattamenti svolti dall’organizzazione si svolgano nel rispetto del GDPR, minimizzando i rischi per i diritti e le libertà degli interessati.



Se non l’hai già fatto, ti consigliamo di iscriverti alla newsletter. L’adesione all’associazione, inoltre, può costituire un valido ausilio per mantenere la “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati” richiesta dal Regolamento europeo.


Fonti:

L’ultimo report ENISA “Foresight on Emerging and Future Cybersecurity Challenges”

L’indagine sui prossimi threats

L’istruttoria del Garante sui sistemi di videosorveglianza intelligente


Altre news