I pericoli della USB...
Entrate nella quotidianità digitale tanto nella vita privata quanto nel lavoro, le chiavette USB stanno resistendo bene all’onda d’urto del file sharing nel cloud. Garantiscono portabilità e un’impressione di sicurezza legata proprio al “tenere in mano” i propri dati. Peccato che siano uno dei veicoli preferiti per gli attacchi informatici: il caso più clamoroso è quello di Stuxnet in Iran, ma in diversi corsi aziendali di information security si ricorre a chiavette USB abbandonate (e infette) per dimostrare quanto sia facile cadere in trappola dei cybercriminali.
... e la stretta del GDPR
Per non parlare di quanto sia facile perderle, le chiavette. E con esse i dati personali o aziendali che contengono, facilmente accessibili a chiunque abbia un personal computer. Con il GDPR, però, il gioco si farà serio. Perché la normativa impone alle imprese di dotarsi di “un livello di sicurezza adeguato al rischio”, compresa la “cifratura dei dati personali”. In caso di violazione dei dati, le aziende avranno 72 ore per comunicare il fatto agli interessati e alle autorità. La sanzione, come noto, è pesante: fino a 20 milioni di euro o al 4% del fatturato globale.
In molte aziende non sono protette
A spostare l’attenzione sulle chiavette USB è Kingston, azienda specializzata (tra l’altro) proprio in driver USB crittografati. Secondo una indagine condotta da OnePoll per Kingston, il 41% dei dipendenti delle aziende italiane utilizza già chiavette protette da crittografia, ma il dato risente probabilmente di un certo sbilanciamento del campione su grandi aziende che hanno già policy su utilizzo e gestione delle USB. Molte realtà di dimensioni medie e piccole non conoscono questo tipo di hardware, né la possibilità di gestirlo tramite console web stabilendo policy crescenti di sicurezza.
Includere i driver USB nella protezione dei dati
Ad esempio, inibendo l’utilizzo del driver in determinati Paesi oppure addirittura al di fuori della rete aziendale. La chiavetta USB, quando collegata a un PC, si collega infatti via internet alla console di controllo per uno scambio di certificati che ne regola il comportamento: è anche possibile prevedere che il singolo driver USB debba collegarsi a internet per potere funzionare correttamente e rendere accessibili i dati che contiene. «Il danno potenziale da USB non crittografata è sostanziale e dovrebbe rientrare nel processo di valutazione e riduzione del rischio di perdita dei dati in azienda – commenta Stefania Prando, Business Development Manager di Kingston Technology. Con il GDPR le aziende si trovano di fronte a un rischio reputazionale importante. Ma la nuova normativa non prevede l’obbligo di comunicazione all’interessato, ma solo alle autorità, nel caso in cui i dati violati siano stati resi incomprensibili a chiunque non sia autorizzato ad accedervi, ad esempio tramite cifratura».
