GDPR nuovi standard obbligatori per i backup

Articoli Erik Goi today6 Luglio 2018 267

Background
share close

GDPR nuovi standard obbligatori per i backup: il 25 maggio 2018 la nuova normativa sul trattamento dei dati personali è entrata ufficialmente in vigore.

Questa normativa si porta dietro tutta una serie di punti da rispettare per essere in regola.
Questi punti purtroppo sono descritti in maniera generica e non dicono per filo e per segno come agire.
La normativa è davvero molto lunga da leggere, quindi in questo articolo ti riporterò solamente gli articoli che ci interessano.
In ogni caso, ecco il link diretto alla normativa estesa, nel caso tu ti voglia prendere la briga di leggerla tutta.
Ti farò un elenco dei punti che andremo ad approfondire più avanti nell’articolo, per comodità ti lascio una pratica tabella qui sotto

Articolo 32 del GDPR

L’articolo 32 è quello più interessante, in quanto è ciò che definisce come dovrebbe essere strutturato il backup.
Ora andremo a vedere punto per punto quali sono le misure che dovrai adottare per essere in linea con le nuove regolamentazione del GDPR.
Prima di tutto però ti spiegherò cosa ti costerà non aggiornarti alle nuove normative.

Le multe per chi non si adegua

Il GDPR, agli articoli successivi, invece, disciplina le ipotesi per cui è prevista l’applicazione di sanzioni amministrative pecuniarie e/o penali. Per quanto riguarda le prime esse possono raggiungere i 10 milioni di euro o, se superiore, il 2% del fatturato mondiale.

L’importo delle sanzioni amministrative pecuniarie può salire fino a 20 milioni di euro, o alternativamente, sino al 4% del fatturato mondiale dell’impresa. Come vedi è meglio adeguarsi.
Ed è meglio farlo nel miglior modo possibile.

Alcune statistiche

Il backup serve a salvare la tua azienda dalla chiusura a seguito di un attacco informatico, oppure di un virus (Cryptolocker o simili), ma ci sono anche i disastri ambientali come incendi, allagamenti, ecc..

Fra le imprese che hanno subito disastri con pesanti perdite di dati, circa il 43% non ha più ripreso l’attività, il 51% ha chiuso entro due anni e solo il 6% è riuscita a sopravvivere nel lungo termine. I disastri informatici con ingenti perdite di dati nella maggioranza dei casi provocano quindi il fallimento dell’impresa o dell’organizzazione, ragion per cui investire in opportune strategie di conservazione sicura del patrimonio dati diventa una scelta obbligata.

Questi dati fanno pensare, vero?

GDPR nuovi standard obbligatori per i backup: andiamo nel dettaglio di cosa devi fare per adeguarti al GDPR.

Cifratura dei dati

La prima cosa da fare è cifrare i dati oggetto del backup.
In realtà è una cosa che avresti già dovuto fare, anche senza che la nuova normativa lo dicesse esplicitamente.
Però, soprattutto nelle PMI (Piccole Medie Imprese), non sono mai stati adottati sistemi di backupall’altezza della situazione.

Pertanto, mente alcuni tuoi concorrenti che hanno già un sistema di backup del tutto automatico e sicuro si trovano già allineati con la nuova normativa, a te toccherà spendere un sacco di soldi per adeguarti.
Già perchè se prima l’unica paura era perdere tutti i tuoi dati e chiudere l’azienda, adesso c’è anche lo spauracchio delle multe mostruosamente alte che dovrai pagare nel caso dell’inosservanza della normativa.
Quindi partiamo dalla cosa più semplice, devi cifrare i dati che salvi.

Applicare la cifratura ai dati che salvi potrebbe non essere affatto semplice in quanto dipende tutto da come salvi i tuoi dati.
(Per sapere cos’è la cifratura puoi leggere questo mio articolo sul virus cryptolocker, il principio è lo stesso solo che la chiave di decrittazione rimane in mano tua)
Ad oggi la cifratura più sicura è la AES a 256 bit, che è una cifratura a parecchio sicura se si pensa che è adottata dal Governo americano dal 2002.

Ovviamente se il tuo “backup” consiste nella tua segretaria che copia dei file in una chiavetta USB, sappi che dovresti rivedere completamente il modo in cui salvi i dati perchè rischi davvero molto.
Se, invece, ti avvali di qualche programma per effettuare il backup, tra le opzioni dovresti trovarne una per la cifratura.

Attenzione!

In molti software di backup non professionali o gratuiti, esiste solo l’opzione per comprimere i backup e proteggerli con password.
Sappi che non è la stessa cosa e, oltretutto, rischi ancora di più.
Perché dovresti rischiare di più con la compressione del backup? Perchè di per se la compressione rischia di corrompere i dati che comprime.
Se invece ti avvali di uno script per effettuare il backup dei tuoi dati, implementare la cifratura dei dati che copia potrebbe essere abbastanza complesso e non posso spiegartelo in questo articolo in quanto non so che linguaggio è stato usato per creare questo script.

Per cifrare i dati ti servirà una password, per la cronaca dovrebbe essere complessa. Evita quindi il nome dei tuoi figli o la tua data di nascita.
Dovresti usare una password di almeno 10 caratteri di lunghezza che contenga: lettere maiuscole, lettere minuscole almeno 3 numeri e 2 caratteri speciali.
Non perdere la password altrimenti tutti i tuoi dati li potrai considerare persi. Insieme alla password dovresti ottenere anche un file creato dal programma stesso.
Questo file è la chiave che serve a decifrare il tuo backup, esatto come hai intuito potrai decifrare il tuo backup usando la chiave (ovvero il file generato) o la password.

Garanzia di riservatezza, integrità, disponibilità e resilienza dei sistemi.

Il secondo punto dell’articolo 32 del GDPR prevede, come da titolo la garanzia di riservatezza, integrità, disponibilità e resilienza dei sistemi.
GDPR nuovi standard obbligatori per i backup. Vediamo cosa vogliono dire e come dovresti adeguarti:

  • garanzia di riservatezza: i dati che salvi non devono essere accessibili a chiunque nella tua rete, ma solo a chi li deve utilizzare.
  • integrità: i dati devono rimanere sempre integri, per l’appunto. Nel senso che devono essere il più possibile al sicuro da corruzioni dovute a cause esterne (quali virus, guasti, ecc)
  • disponibilità: I dati devono essere sempre disponibili per chi li deve usare. Non deve esistere uno scenario per cui con un semplice virus non si possa accedere o non si possano usare i dati.
  • resilienza: i dati devono essere salvati e protetti da qualsiasi cosa possa capitare loro. Dall’attacco informatico, al virus, al guasto fino alla calamità naturale (che può essere un semplice incendio, un’alluvione, ecc)

Leggendo questi punti credo che tu abbia iniziato a sudare freddo.
Purtroppo ho una pessima notizia da darti: non esiste un modo fai da te per essere conforme a questi punti!
GDPR nuovi standard obbligatori per i backup: mentre fino ad inizio anno potevi “giocartela” in vari modi, adesso il GDPR ti impone di adeguarti a questi punti, non scende nello specifico del come devi fare, basta che il risultato sia raggiunto.

Lo scenario che conosco

Il 99% dei miei clienti, era in una situazione per cui l’unico sistema di salvataggio che avevano adottato era un disco, o peggio ancora, una chiavetta USB collegata (24h su 24) al PC.
Purtroppo con questo tipo di dispositivi non è possibile adeguarsi a nessun punto, vediamoli con ordine:

  • riservatezza: la chiavetta non è riservata, ovvero non posso decidere io chi può leggere il suo contenuto e chi no
  • integrità: un disco usb o una chiavetta non garantiscono alcuna integrità, in quanto qualsiasi guasto porta alla perdita dei dati contenuti al loro interno
  • disponibilità: le periferiche usb sono le prime ad essere attaccate da virus o malware, pertanto non garantiscono alcuna disponibilità dei dati e, soprattutto, non garantiscono la multi utenza
  • resilienza: questo è il punto più critico di tutti, la chiavetta o il disco usb sono completamente esposti  ad ogni tipo di di attacco, virus o calamità.

Ripristino tempestivo della disponibilità e dell’accesso dei dati in caso di incidente fisico o tecnico

Questo punto è tanto importante per il GDPR quanto dovrebbe esserlo per te.
Si parla della velocità con la quale si riescono a recuperare i dati e ad essere nuovamente operativi a seguito di un incidente fisico o tecnico (intesi come guasti o perdite di dati accidentali).
Questo è fondamentale, pertanto oltre a salvare i tuoi dati dovresti anche farlo in modo organizzato, una buona cosa sarebbe usare una cartella differente per ogni giorno di salvataggio.

In questo modo se usi il formato AAAA-MM-GG (ovvero 2020-01-05, per farti un esempio pratico) oltre ad avere tutte le cartelle disposte in ordine crescente o decrescente, sarà anche molto più veloce ripristinare i dati e scegliere cosa ripristinare e cosa no.
Per quanto riguarda invece il punto in cui si parla di guasti, beh in questo caso devi sperare che il guasto sia su uno dei tuoi pc e non sul tuo sistema di salvataggio dati, in quanto se usi ancora qualche periferica usb per il salvataggio dati sei praticamente sull’orlo del burrone.
Tieni conto che i sistemi più evoluti sono in grado di riparare da soli i guasti in attesa dell’intervento tecnico.

GDPR nuovi standard obbligatori per i backup: livelli di sicurezza adeguati

Un adeguato livello di sicurezza per evitare la distruzione, la perdita, la modifica, la divulgazione non autorizzata e l’accesso in modo accidentale o illegale dei dati personali trattati
Questo è un altro punto molto importante, per non dire FONDAMENTALE per il tuo sistema di salvataggio.
Cercherò adesso di riassumerti quel titolone in parole semplici ma soprattutto brevi.

Il tuo sistema di salvataggio deve essere costruito in modo che nessuno possa cancellare o modificare dei dati, che nessuno possa acquisire alcuni dati e divulgarli, che i dati non vadano persi e che non sia possibile accedere a tali dati in modo accidentale o illegale.
Ti stanno dicendo che ti serve Fort Knox. Solo chi è autorizzato entra, ed anche se sei autorizzato ad entrare e cancelli dei file, questi devono essere recuperabili.

Anche in questo caso, purtroppo, non c’è molto da fare se non hai un Sistema di Backup completo e studiato apposta.
I metodi fai da te non sono assolutamente in grado di stare dietro alle richiesta del Garante della Privacy.
Ti spiego ugualmente cosa servirebbe, così almeno riesci a farti un’idea sul perchè non sia applicabile al metodo che stai utilizzando ora (sempre che tu ne stia utilizzando uno).

Gestire gli utenti

Tutti gli utenti che devono avere accesso ai dati devono essere provvisti di un proprio nome utente ed una propria password.
Questo fa si che si possa anche decidere chi può vedere cosa, sembra banale ma in caso di furto delle credenziali di accesso non saranno esposti tutti i dati ma solo la parte accessibile a quel determinato utente.
Se invece si tenta un accesso senza conoscere le credenziali di un utente i dati saranno completamente illeggibili.

Il sistema dovrà reagire ad una cancellazione in modo opportuno, ovvero il dato cancellato dovrà essere disponibile per il ripristino, ed in ogni caso ci dovranno essere delle copie dei giorni precedenti dello stesso file.
Questo evita la distruzione e la perdita dei dati. Per quanto riguarda la modifica, invece, sarà possibile modificare dei dati solo se si dispone delle credenziali di accesso corrette e con i dovuti permessi.

Un sistema serio funziona così

In un buon sistema di backup si potranno decidere nel dettaglio i permessi degli utenti, ti faccio un esempio (GDPR nuovi standard obbligatori per i backup: meglio semplificare)

  • A : può vedere tutti i file e può modificarli
  • B : può vedere tutti i file, ma non ne può modificare nessuno
  • C : può vedere tutti i file, ma può modificarne solo una parte
  • D : può vedere parte dei file e può modificare quelli che vede
  • E : può vedere una parte dei file ma non può modificarli

Quello sopra è un esempio veloce di come si possono impostare i permessi in un Sistema di Backup efficiente e controllato.
Come puoi immaginare i rischi sono ridotti al minimo.

Disaster Recovery

Questo è un bonus che non è presente in nessuno dei due articoli che ti ho citato in precedenza, ma che è ben presente nel GDPR.

Il Disaster Recovery, come fa intuire il suo nome, è proprio l’atto di studiare un sistema che permetta di recuperare tutto a seguito di un disastro di qualunque genere.
È una casualità abbastanza remota: si parla di incendi, trombe d’aria, alluvioni, terremoti e cose del genere. Però, siccome ne va del futuro della tua azienda, devi essere sul pezzo. E devi avere un sistema che ti protegga anche da eventi di una simile portata.

Il miglior modo per mettersi al riparo da situazioni come queste è: avere un backup decentralizzato. Cioè un secondo salvataggio di supporto un un’altra tua sede (possibilmente lontana dalla prima).
Se non è possibile, bisogna affidarsi ad altri sistemi. Oggi il più diffuso è il cloud, ma anche qui bisogna fare estrema attenzione.

Cloud pro e contro

Il cloud sta vivendo un periodo di  forte crescita grazie alle linee internet sempre più veloci, che permettono di caricare grandi quantità di dati in tempi relativamente brevi.


Ma il GDPR è molto chiaro anche su questo. Anche i servizi cloud devono adeguarsi alla nuova normativa pertanto se si trovano fuori dalla comunità europea è molto probabile che non lo siano.
Se il servizio cloud non è conforme tu ne pagherai le conseguenze.
Pertanto sarebbe opportuno usarne uno in Europa, che sia sicuro, certificato e conforme alla normativa.

Articolo 33 del GDPR

Questo articolo è in realtà molto semplice. Il responsabile del trattamento dei dati ed il titolare del trattamento (che nel caso delle PMI sono la stessa persona, ovvero il titolare) dovrà:
accertarsi di quanti e quali dati siano stati sottratti:

  • informare i diretti interessati
  • informare gli organi competenti

Per il primo punto, bisogna che il sistema di backup sia in grado (oltre ad arginare il più possibile eventuali accessi indesiderati) di tenere traccia di tutti i dati che vengono “trafugati”.


Il GDPR prevede che le modalità di contatto dei diretti interessati siano le più dirette ed immediate possibili (SMS o messaggi diretti). Perchè in questo caso vince la tempestività.

Gli organi competenti sono da valutare caso per caso. Nel caso il data breach avvenga su territorio nazionale bisognerà informare l’autorità garante di quello Stato. Cosa che è valida per la quasi totalità delle PMI.

GDPR nuovi standard obbligatori per i backup: conclusioni

Come avrai certamente capito, adeguarsi non è più una scelta ma un obbligo a livello europeo.
Le sanzioni sono davvero elevate e la regolamentazione, nonostante lasci molto spazio di manovra, non permette di usare cavilli per evitare l’adeguamento.
Il 70% degli obblighi, però, è in favore della tua azienda. Adeguando il tuo sistema di salvataggio o adottandone uno ex novo ti metti automaticamente al riparo dalla chiusura e dalle multe.
Quello che è certo è il bisogno di avere un sistema pronto, semplice, reattivo e conforme.

Come sempre, ti invito a lasciare un commento qui sotto ed a seguirmi sulla mia pagina Facebook.

Se invece vuoi una consulenza a 360° per verificare che il tuo attuale sistema di backup  e la tua rete non siano vulnerabili ad attacchi od a perdite di dati richiedi la consulenza approfondita.

Scritto da: Erik Goi

Rate it