Attacchi mirati alle organizzazioni e alle persone private grazie alle falle presenti nei dispositivi mobile (e wearable) della fascia consumer. Sono queste le previsioni di Trend Micro per il prossimo anno: un 2016 caratterizzato dalla crescita delle estorsioni online, dell’hacktivismo e dei malware diretti ai dispositivi mobili, secondo il report “Previsioni sulla sicurezza 2016”. Ma un anno in cui dovrebbero emergere anche nuove figure preposte alla sicurezza: come il Data Protection Officer.
Le estorsioni online...
I cyber criminali svilupperanno nuove tattiche e modi sofisticati per attaccare il singolo utente, che si tratti di individuo o di un’impresa, rendendo gli attacchi più personali e agendo sulla minaccia e sulla paura, quindi sulla psicologia, di ledere la reputazione della persona o dell’azienda. Ma gli hacktivist non si limiteranno a rubare i dati per monetizzarli: verranno analizzati, infatti, per profilare gli utenti e questi dati saranno utilizzati per campagne contro le aziende e contro persone specifiche. Vere e proprie azioni di minaccia ed estorsione, perpetrate grazie agli attacchi mirati verso i dispositivi mobile.
...a causa di malware mobile
Difatti, i malware per mobile arriveranno a quota 20 milioni e colpiranno per prima la Cina (mercato in cui tre su quattro applicazioni presenti su Google Play sono malevoli), mentre a livello globale minacceranno in particolare i nuovi sistemi di pagamento online e i mobile payment. Con il sempre maggiore utilizzo quotidiano dei dispositivi smart, nel 2016 almeno una falla nei dispositivi smart di fascia consumer sarà quindi letale (nel 2015 i primi incidenti hanno coinvolto dispositivi meno protetti, da oggetti come i baby monitor alle smart TV, passando per le auto connesse).
La protezione nel 2016
Eppure, a gennaio 2016 dovrebbe entrare in vigore la European Data Protection Regulation per la gestione dei dati personali e delle comunicazioni elettroniche. «Attualmente ci sono 28 normative, a seguito del recepimento delle Direttive UE in materia di protezione dei dati personali, in ogni Paese dell’Unione Europea che permettono di declinare la norma nel contesto nazionale specifico – afferma Francesco Traficante, Data Protection Officer & Privacy Consultant, Founder e CEO di MicroEll. Tuttavia, con questa norma a livello UE si tenderà a omogenizzare il contesto normativo trattandosi di un Regolamento (norma obbligatoria e uguale per tutti i paese UE) e non di una Direttiva, introducendo diverse importanti novità tra cui il Data Protection Officer e la Data breach notification».
Il Data Protection Officer
Nel 2016 il DPO (Data Protection Officer) avrà specifiche competenze ed entro metà dicembre si concorderà e definirà anche quelli che sono gli standard seppur minimi per la sua obbligatorietà: per la P.A. e per le grandi imprese, per quelle organizzazioni che trattano almeno 50.000 soggetti interessati e relativi dati personali e/o effettueranno trattamenti di dati per proprie finalità particolarmente delicati e rilevanti per il nuovo Diritto Privacy UE. «Si apriranno quindi 80mila nuove posizioni – prosegue Traficante – solo in Italia. Probabilmente verranno creati dei team, con a capo un responsabile, DPO, che risponderà al board e collaborerà con il responsabile del trattamento dei dati personali. Inoltre, dovrebbe avere un proprio budget adeguato per gestire in autonomia qualunque tipo di problema, definire delle policy e anche delle procedure in caso di incident».
La Data breach notification
Secondo la European Data Protection Regulation, inoltre, ogni data breach dovrà essere comunicato nelle 24 ore successive alla violazione all’autorità garante. «Per di più, nel caso di dati non criptati – aggiunge Traficante – le imprese dovranno comunicare l’avvenuta violazione anche a tutti i collaboratori, ai fornitori e ai clienti. Con importanti ripercussioni sulla brand reputation».
Le sanzioni
Superato il limite delle 28 normative UE, la violazione dei dati personali non sarà più un reato penale, ma porterà sanzioni fino a 1 milione di euro. «Ma se la sanzione non risulterà commisurata alla gravità del trattamento illecito (calcolato sul numero di dati violati, sul loro valore economico e su quello della società), allora – conclude Traficante – la sanzione applicata potrà essere pari fino al 2% del fatturato worldwide dell’azienda (sempre in fase di definizione entro metà dicembre)».
Tuttavia, secondo Trend Micro a fine 2016 saranno meno del 50% le aziende che avranno in organico un esperto di cyber sicurezza, nonostante le nuove direttive sulla protezione dei dati a livello europeo impongano uno standard maggiore in termini di sicurezza e protezione. «Prevediamo che il 2016 sarà un anno molto significativo per le diverse variabili dell’equazione criminale – afferma Gastone Nencini, Country Manager Trend Micro. In un momento in cui gli utenti diventano maggiormente consapevoli delle minacce online però, gli attaccanti reagiranno sviluppando schemi ancora più personalizzati e sofisticati per colpire gli individui e le imprese».
