L’art 5 del Regolamento sulla protezione dei dati personali prevede che il titolare del trattamento debba osservare i principi applicabili e deve essere in grado di comprovarlo, incluso l’obbligo di “trattare dati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.
Essendo molto simile ad uno schema di qualità, seppur la traduzione in lingua italiana riporti il termine “verifica” e “sorveglianza” del Regolamento, in lingua inglese il testo riporta il termine audit tipica attività propedeutica ad una certificazione di qualità.
Esistono molti modi per effettuare un audit, che dovrebbe essere imparziale e che dovrebbe essere condotto con l’unica finalità di raccogliere evidenze (conformità o non conformità) in modo da poter implementare le opportune misure correttive per migliorare il sistema di gestione privacy.
Come facciamo a verificare le misure di sicurezza in modo responsabile e documentato in ossequio del principio cardine del GDPR dell’accountability?
Bugfixing, azienda specializzata in cybersecurity e in soluzioni per il GDPR, lancia il servizio Webscan ossia una scansione delle vulnerabilità di terza parte con validità di audit, imparziale e focalizzata sul discovery delle vulnerabilità che potrebbero essere sfruttate da un hacker per iniziare un attacco.
Sono infatti molte le tecniche note, spesso utilizzate dagli hackers in quanto quasi mai sono messe in pratica delle “buone prassi” di sicurezza.
Campi di accesso a proprio profilo con credenziali esposte ad attacchi di “brute force”, senza alcun capcha capace di bloccare la generazione automatizzata di password, espone il sito al rischio che un malintenzionato possa entrare a nome di un iscritto (pensiamo a un social network, un forum, un sito ecommerce …) e compiere a sui discapito azioni illegali, o ancor peggio nessuna prevenzione alla forza bruta potrebbe permettere l’accesso al pannello di amministrazione e quindi di riuscire a manomettere l’intero sito, di modificare i contenuti, di pubblicare finte pagine di pagamento via carta di credito o di sfruttare lo spazio dell’hosting per pubblicare materiale illecito da condividere.
Manca spesso il certificato SSL (https:// ) che è necessario per stabilire una connessione univoca (e crittografata) tra il visitatore e il sito web, evitando di essere intercettati.
Ma sono spesso presenti bugs nel codice di programmazione che i cybercriminali possono fruttare per leggere il database (e quindi anche i dati personali) o per iniettare codice malevolo capace di infettare i visitatori.
Il penetration test Webscan è necessario per dimostrare l’atteggiamento responsabile al quale deve seguire un’azione dei mitigazione dei rischi “riparando” il sito dagli errori riscontrati.