Cifratura dati e GDPR: il piano B da considerare

 

Cifratura dati, GDPR e file sensibili: parliamo chiaro sulle tecniche crittografiche per proteggere i dati personali e aziendali. Quale conviene?

 

Torniamo sull’argomento cifratura dati e GDPR. Sebbene tutti coloro che si occupano di cybersecurity si preoccupano di non far cifrare i dati – per approfondimenti rimandiamo qui – è la cifratura dei file sensibili e del database il vero  fiore all’occhiello della sicurezza.

Le azioni cui facciamo riferimento rientrano nel cosiddetto piano B: ovvero quello che si dovrebbe mettere in campo se, nonostante tutte le difese, si viene colpiti e “bucati”.

A tal proposito, il GDPR, all’articolo 32, parla chiaro:

[…] il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

  • la pseudonimizzazione e la cifratura dei dati personali […]

 

La cifratura dati è, quindi, una delle poche indicazioni chiare del GDPR, che va oltre il principio di accountability. Non ci addentreremo nelle conseguenze sul fronte della responsabilità – che sono sempre dettagliate nell’articolo 32 – bensì ci concentreremo sull’applicabilità di questa normativa alle realtà più complesse.

 

CIFRATURA DEI DATI PERSONALI: QUANDO SI APPLICA?

Ora, è impensabile e assurdo pensare di cifrare tutto. Il buon senso ci dice di valutare la cifratura dei dati personali su almeno quattro basi:

 

  1. Ogni volta che si hanno dati sensibili o giudiziari;
  2. Ogni volta che si hanno dati ritenuti “importanti” per la propria azienda/organizzazione;
  3. Ogni volta che si hanno dati “critici” (es. i redditi dei dipendenti);
  4. Ogni volta che si hanno dei dati in cloud.

 

Detto ciò, le soluzioni da valutare per la cifratura sono diverse e bisogna innanzitutto capire come si possono cifrare i dati.

 

CIFRATURE PER PROTEGGERE I DATI: QUALE CONVIENE?

 

Come cifrare i dati? Ecco quattro tecniche crittografiche per la protezione dei dati:

  • In primo luogo, possiamo chiedere a chi scrive le applicazioni di rielaborarle cifrando i dati alla fonte, nell’applicativo stesso. Ipotesi risolutiva ma, nella realtà, impossibile da percorrere.

 

  • La soluzione più semplice, che tutti i venditori di storage millantano, è il disk encription. Se questa soluzione può avere senso sui PC portatili, è del tutto inutile sugli storage e sui server, perché può essere utilizzata solo nell’ipotesi in cui “rubino” la SAN o i server; teoria remota, sicuramente più lontana di un attacco ransomware. Infatti, una volta che lo storage è acceso, i dati sono per forza in chiaro, altrimenti non sarebbe possibile accedervi.

 

  • La terza soluzione riguarda prettamente i database: si tratta di cifrare, per esempio, una colonna dell’RDBMS. Se si attiva questa funzionalità è facile che le applicazioni rallentino in modo significativo il loro funzionamento. Inoltre, quasi tutti i DB vendor (Oracle, Microsoft ecc.) hanno la possibilità di attivare la feature: un’attività che, al di là del costo, ha il difetto di mettere la chiave di cifratura dentro il database, con il risultato che chi riesce a saccheggiare l’RDBMS, ruba anche la chiave di cifratura.

 

  • Ultima possibilità è la cifratura dei file sensibili e quando parliamo di file intendiamo anche i documenti di database. Per intenderci: è come mettere un sacchetto intorno al database, lasciando aperto il buco di entrata per non bloccare le query. Se qualcuno ruba il database, o i file della share del file server, ruba dei bit e non dei dati, perché la chiave di cifratura, in questo caso, è fuori dal database o dal server. Inoltre, questa soluzione non ha effetti sulle performance dell’applicazione o dell’accesso ai file.

 

La scelta chiave di tutto il processo di attivazione è quindi separare le chiavi di cifratura dai dati.

Rimane poi il dilemma della decisione: è meglio comprare i prodotti che servono o acquistare un servizio di cifratura dati? È presto detto: la soglia di entrata di questi progetti in acquisto supera i 60K, mentre l’acquisto di un servizio parte da 6K a server, indipendentemente dalla dimensione del DB o delle share da cifrare.

Il mercato, lo diciamo da tempo, va sempre più verso una security as a service e anche questo servizio si allinea alla tendenza.

 

Giuseppe Mazzoli
Amministratore Unico di 3CiME Technology

Condividi

Video in evidenza

Cifratura dei dati – Dove e come criptare i dati?