Il 2019 sarà ricordato come l’anno in cui Internet delle cose, meglio noto come IoT (Internet of things,) ha iniziato a conquistarsi un posto al sole nelle case degli italiani. Sempre più numerose infatti sono le abitazioni dotate di telecomando per l’apertura della serranda del garage, o per l’attivazione dell’allarme domestico, o ancora di un dispositivo a distanza per regolare la temperatura dei termosifoni, per monitorare la scadenza dei cibi nel frigorifero o per contare le calorie che si consumano in una giornata. Avete mai pensato che la compromissione di un telecomando potrebbe garantire l’accesso a dati personali ad ospiti indesiderati? Se ognuno di noi dunque con la tecnologia diventa più vulnerabile, per lo stesso principio anche in ambito industriale la compromissione di macchine o reti porta con sé rischi correlati sia all’operatività stessa dei macchinari, sia di un possibile utilizzo non autorizzato ad informazioni aziendali e di sistema. In questo articolo Labor Project fornirà le nozioni per aiutare le aziende a superare il problema e a garantire l’applicazione delle norme in materia di GDPR per Internet of things.
Internet of things (IoT)
Cybersecurity per IoT, come garantire il rispetto del GDPR?
I principi fondamentali in materia di trattamento dei dati in IoT
Privacy by design e by default
L’espressione Internet of things è un neologismo coniato per definire la rete degli oggetti intelligenti che di fatto ha superato il concetto del computer connesso alla rete internet. Stiamo parlando ad esempio dei frigoriferi che segnalano la scadenza dei cibi, dei dispositivi wearable per il fitness o dei dispositivi wireless di telemedicina che segnalano al medico eventuali anomalie corporee o ancora i semafori intelligenti che si adattano alle condizioni del traffico per ridurre code e blocchi. Si tratta dunque di oggetti di uso quotidiano dotati di un collegamento più o meno permanente alla rete internet con sensori o altri apparati in grado di monitorare e registrare le azioni e le abitudini delle persone. Il collegamento di questi oggetti, definiti dispositivi IoT, alla rete internet permette lo scambio, l’archiviazione, la condivisione, l’elaborazione di enormi flussi di informazioni ed in particolare di un numero elevato di dati personali che devono essere tutelati. Non si può dunque fare progetti IoT senza fare riferimento al tema della sicurezza che deve riguardare i dispositivi connessi, ma ancor più i dati che transitano da questi dispositivi.
Quando si parla di sicurezza in un sistema IoT bisogna avere un approccio multilivello.
Partendo dal presupposto che non è possibile fare progetti IoT senza prendere in considerazione il tema della sicurezza, è altrettanto vero che le aziende di fronte a queste tematiche appaiono ancora impreparate. Così, se da un lato la propensione a muoversi verso i paradigmi dell’industria 4.0 cresce progressivamente, altrettanto non si può dire sulla capacità delle aziende di rispondere all’innalzamento del livello di rischio. Lo studio Cisco “Security Capabilities benchmark study” su 3600 professionisti della sicurezza (DPO e manager delle operazioni di sicurezza) in 26 paesi, tra cui l’Italia, ha messo in luce proprio la preoccupazione, non solo rispetto alle offensive degli hacker, ma soprattutto rispetto alla carenza di talenti specializzati in cybersecurity.
Sono sei i punti chiave sui quali impostare l’infrastruttura di rete:
Nell’Internet of things ci sono sensori che raccolgono, analizzano e comunicano dati. Sulla base di quelle informazioni si innescano poi delle azioni. Questo fa sì che proprio quei dati diventino il principale bersaglio di azioni malevole, studiate con l’obiettivo di entrare in possesso di informazioni sensibili. È evidente dunque che le responsabilità sui dati personali, imposte dal nuovo GDPR, si estendano anche all’internet delle cose.
Occorre pertanto considerare tutte le figure coinvolte nei processi IoT, dai fornitori ai fruitori:
Tutte queste persone coinvolte spesso e volentieri a loro insaputa condividono dati senza neppure conoscere le finalità di questa condivisione.
L’impossibilità e l’estrema difficoltà per l’individuo di avere consapevolezza di quanti e quali dati vengono trattati e condivisi da un dispositivo IoT genera ulteriori difficoltà:
Una recente ricerca ha rivelato che i dispositivi IoT sono diventati i principali obiettivi dei cyber criminali, superando i web and application services e i server di posta elettronica. Questo è dovuto al fatto che essi sono oggetti vulnerabili che permettono ai criminali azioni di sorveglianza e controllo su sistemi aziendali con conseguente compromissione e furto di dati personali. Qualche anno fa, ad esempio, sul mercato tedesco è stata bloccata la diffusione e la vendita di una bambola che era risultata essere vulnerabile e dunque facilmente preda di hacker tale per cui poteva essere usata per spiare i bambini come una sorta di cavallo di Troia.
La principale difficoltà è la gestione nelle interazioni tra dispositivi IoT e le persone con conseguente scambio di flussi automatici di dati personali che l’utente ha difficoltà a gestire. Se l’interessato non ha possibilità di controllare i propri dati personali come può esercitare in modo efficace quei diritti previsti nel GDPR? A questo proposito è fondamentale l’adozione da parte dei produttori dei principi di Privacy by Design e by Default.
Si basa sulla protezione della privacy dei dati personali fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi. E’ importante in tal caso tenere conto del tipo di dati trattati, in presenza di un trattamento che coinvolge i minori, ad esempio, gli obblighi dovranno essere più stringenti, in considerazione del fatto che il rischio è maggiore. Quando si utilizzano software e applicativi di aziende terze, queste ultime devono fare una valutazione del rischio dell’uso dell’applicativo affinché sia conforme al regolamento. Il titolare dovrà essere in grado di adottare e attuare misure tecniche e organizzative che tutelino i principi di protezione dei dati sin dalla progettazione oltre che in fase di esecuzione del trattamento.
Tale principio prevede che per impostazione predefinita, le imprese debbano trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tale fine. Occorre quindi progettare il sistema di trattamento dei dati in modo da non eccedere nella raccolta dati.
L’introduzione di questi due principi obbliga le imprese a predisporre una valutazione di impatto privacy ogni volta che si avvia un progetto che prevede il trattamento dei dati personali.
Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia