GDPR, Legislazione UE e cancellazione sicura dei dati

L’impatto dello scandalo Snowden ha appesantito un bisogno già pressante per l’UE ovvero quello di aumentare la sicurezza minima delle reti delle organizzazioni e la protezione dei dati personali. Il grosso problema è trovare un modo per gestire le informazioni in modo efficiente e responsabile. Da informazioni governative di alto profilo ai dati della carta di credito di un acquirente Amazon, la rete è piena di dati confidenziali il cui volume cresce di giorno in giorno.

Senza dubbio siamo entrati in un’epoca definita dai Big Data (termine che riassume volumi di dati molto grandi, complessi e in rapida evoluzione) e non ci sono segni di rallentamento. Ogni secondo che passa vengono prodotti nuovi Big Data tanto che l’archiviazione, la gestione e la raccolta per scopi di attività di impresa è molto complessa – e il problema non è solo la mole dei dati ma anche la loro tipologia.

La sfida dei dati non strutturati

Nel passato, i dati erano tradizionalmente strutturati o archiviati in modo ordinato in un database. Ciò era possibile in quanto non esisteva una rete connessa a livello globale e le informazioni erano depositate fisicamente in un archivio o salvate digitalmente su dischi. Nell'era digitale questo sistema è scomparso e la crescente interazione digitale ha prodotto un’esplosione di dati non strutturati. 

Abbiamo assistito inoltre ad un proliferare di device (dagli smartphone agli iPad, a televisori e frigoriferi ad attivazione vocale) che sono tutti in grado di raccogliere e trasmettere dati. Sensori industriali e sistemi di telecamere a circuito chiuso contribuiscono ulteriormente alla produzione di volumi di dati così grandi e complessi da richiedere l’adozione di un nuovo approccio per l’archiviazione, la protezione e – laddove sono coinvolti i diritti individuali – l’eliminazione di tali dati nel momento in cui una persona desidera che siano cancellati.

Quanti dati ci sono là fuori?

Nessuno può dire quale sia esattamente il volume dei dati globali, ma alcune ricerche sostengono che il 90% dei dati mondiali sono stati generati negli ultimi due anni. Gli esperti azzardano cifre che arrivano a miliardi di unità d’informazione ogni giorno e la cifra aumenta all'aumentare degli utenti di computer e dispositivi mobili in tutto il mondo.

La nascita dei dispositivi portatili è stata senza dubbio il maggior generatore di dati. IBM afferma che oltre il 75% delle informazioni prodotte ogni giorno non è strutturata e proviene per la maggior parte da telefoni cellulari. La difficoltà della gestione di tale volume di dati è solo destinata a crescere; ci si aspetta infatti che il numero di dispositivi pro capite a connessione mobile raggiungerà 1.5 entro il 2020. A quel punto, nel mondo saranno state scaricate 268 miliardi di app, con un fatturato di oltre 69 miliardi di euro, rendendo le app uno degli strumenti più diffusi tra gli utenti globali. Secondo l’istituto di ricerca Gartner, gli utenti dei dispositivi mobili forniranno flussi di dati personalizzati ad oltre 100 app e servizi ogni giorno.

L’accumulo di dati, l’aumento degli attacchi malware e le fughe di informazioni hanno puntato i riflettori sull'importanza di una gestione efficace delle informazioni e sul bisogno di proteggere i dati.

Diritto alla cancellazione

In risposta alle sfide poste dalla gestione dei Big Data l’UE ha introdotto una nuova legislazione per combattere i futuri rischi per la sicurezza. Tra queste, il Regolamento Generale per la Protezione dei Dati (GDPR) che consolida il diritto degli individui alla cancellazione e all'oblio. La nuova legislazione è entrata in vigore nell'aprile di quest’anno e tutte le organizzazioni operanti all'interno dell’UE o che hanno rapporti con società degli stati membri dovranno conformarsi alle nuove regole entro il 25 maggio 2018.

Il GDPR è una normativa importante che intende armonizzare regolamenti diversi, come la Direttiva EU 95/46/CE per la protezione dei dati, aiutando le organizzazioni a comprendere le proprie responsabilità nell'amministrazione dei dati. Il GDPR  inoltre andrà a coprire aspetti importanti come la globalizzazione o gli sviluppi tecnologici più popolari come Facebook, Twitter e gli altri social media. La nuova legislazione prenderà in considerazione i nuovi modi di comunicare nell'era digitale – e le informazioni generate come conseguenza delle nostre interazioni con essi.

Organizzazioni sia del settore pubblico che privato dovranno provare che i dati siano stati eliminati in modo sicuro in osservanza dei nuovi criteri e dimostrare di essere integralmente responsabili del monitoraggio, revisione e verifica delle procedure di elaborazione. Dovranno mostrare la disponibilità a minimizzare l’elaborazione dei dati e la loro conservazione se non necessaria oltre ad incorporare controlli a protezione di tutte le attività connesse all'utilizzo dei dati.

Le aziende stanno prendendo coscienza di questa nuova responsabilità – soprattutto visti gli alti costi coinvolti in caso di non conformità. Le sanzioni sono molto severe, fino a 20 milioni di Euro o il 4% del fatturato globale in casi gravi. Molte imprese tuttavia non sono adeguatamente equipaggiate per l’esecuzione della cancellazione sicura. Potrebbero inoltre non cogliere appieno l’impegno richiesto ed i rischi coinvolti nella raccolta di grossi volumi di informazioni, oltre alle possibili conseguenze di una falla nella sicurezza.

Ora che le sanzioni in caso di non applicazione di queste norme UE sono diventate più severe, come possono le  imprese accertarsi di eliminare in modo sicuro dati che non gli è più permesso detenere? E quali altri pericoli si annidano in dati che non sono stati cancellati in modo sicuro, ma di cui non è più necessaria la conservazione?

Nessuno spazio ai compromessi

Grazie al nuovo GDPR, le organizzazioni saranno legalmente tenute alla cancellazione sicura dei dati nel caso in cui l’impresa svolga la sua attività all'interno dell’Unione Europea o intrattenga rapporti con aziende degli stati membri.

Prima ancora di seguire le linee guida però, le aziende dovranno valutare le proprie politiche interne e conoscere in modo adeguato la nuova legislazione in vigore. Sono in corso molti eventi indipendenti e congressi che mirano a educare in merito il canale IT e i leader delle imprese, quindi l’ignoranza non sarà una scusa valida.  Dopo questa prima fase di “educazione” sulla nuova norma si dovranno confrontare i processi in essere e le nuove regole e requisiti.

Le aziende dovranno adattare le politiche esistenti, i processi e gli strumenti per rispondere ai nuovi criteri e per poter lavorare con altre compagnie che siano al corrente di che cosa esige la nuova legislazione.

Guida alla cancellazione permanente dei dati

Le soluzioni la cancellazione sicura dei dati  a disposizione delle aziende sono molte e la scelta di un metodo piuttosto che un altro va basata sul tipo di supporto fisico da cui i dati devono essere cancellati.

Cancellazione Hard disk drive (HDD)

Esistono diversi tipi di supporti dati e tutti richiedono specifiche metodologie di intervento per l’eliminazione dei file. Per esempio nel caso di un disco rigido o Hard Disk Drive (HDD) la cancellazione definitiva può essere effettuata con un degausser. Questo strumento effettua la cancellazione tramite la demagnetizzazione di HDD, nastri ed ogni altro supporto magnetico, eliminando completamente i dati contenuti.

Le aziende possono anche decidere di utilizzare un software di cancellazione che rimuove i dati dall’HDD, sia esso un supporto singolo o un server.

In caso di cancellazione tramite degausser i dispositivi cancellati non potranno più essere utilizzati. Al contrario, in caso di utilizzo di soluzione software su dispositivi funzionanti questi potranno essere nuovamente utilizzati anche in seguito al processo di cancellazione.

Cancellazione Solid State Drives (SSD)

La cancellazione dai dischi allo stato solido o Solid State Drive (SSD) è un processo più complicato. A differenza dei supporti magnetici, gli SSD immagazzinano i dati elettronicamente e applicano complessi sistemi di gestione per distribuirli all’interno della memoria disponibile. Il flash controller di un SSD contiene inoltre dei componenti software invisibili al sistema e all'utente e non da ultimo non esiste un formato SSD standard, quindi le procedure di cancellazione per gli SSD variano anche in base a marca e modello del supporto.

I metodi di cancellazione tradizionali sono rischiosi per gli SSD. Per esempio, un degausser efficace su un HDD potrebbe non esserlo su un SSD poiché questo dispositivo utilizza circuiti integrati per la memorizzazione dei dati e le informazioni vengono programmate e cancellate elettricamente. Un campo magnetico non risulterebbe quindi efficace. Anche la distruzione fisica del supporto potrebbe lasciare qualche possibilità di recupero qualora i chip di memoria non venissero effettivamente distrutti.

Le aziende che vogliono rimuovere dati riservati da un SSD dovrebbero quindi utilizzare prodotti software specifici, assicurandosi che abbiano le caratteristiche adatte a rimuovere i dati da questi dispositivi. Non tutti i programmi di wiping infatti, efficaci su hard disk drive, lo sono anche su Solid State Drive.

Cancellazione Big Data / sistemi In-Memory (per esempio SAP HANA)

I sistemi In-memory sono costruiti con un’architettura specializzata che combina HDD tradizionali e memorie flash come memoria di massa. Ciò significa che cancellare un sistema grande abbastanza per contenere Big Data (ad esempio in seguito ad una dimostrazione pratica di funzionamento di un’installazione SAP HANA) è un’operazione complessa a causa dell’architettura del sistema. I singoli dispositivi non possono essere cancellati all’interno del server, in quanto i dati sono continuamente scambiati tra la memoria di massa e la cache.

Gli HDD e le memorie flash vanno pertanto estratti dal sistema in-memory e cancellati esternamente di modo che un ambiente sicuro e standardizzato garantisca la rimozione di tutti i dati. Successivamente i singoli drive possono essere completamente cancellati eseguendo ripetuti cicli di sovrascrittura.

Cancellazione Nastri magnetici

L’approccio più comune per la cancellazione sicura dei tape è la loro distruzione, o l’utilizzo di un degausser: il forte campo magnetico generato è in grado di distruggere tutte le strutture dei dati sul nastro. Le imprese che intendono eliminare i propri dati devono ricordarsi dei nastri provenienti da sistemi legacy.  Anche questi nastri contengono un gran numero di dati che è difficile eliminare in modo permanente a meno che gli stessi siano demagnetizzati o distrutti.

Visita il nostro sito web per ulteriori informazioni sulle diverse tecniche che assicurano la cancellazione permanente dei dati (andando oltre ogni possibilità di recupero) da computer e altri dispositivi elettronici.

Conclusione

Non ci sono motivi per cui una qualsiasi organizzazione debba essere colta impreparata nell'affrontare la nuova legislazione UE sulla sicurezza dei dati. Le multe per chi viene sorpreso a non applicare le nuove regole saranno severe tuttavia le conoscenze e le competenze per la cancellazione sicura dei dati sono disponibili e rappresentato la soluzioni per proteggere le imprese da future violazioni e pericolose sanzioni legali.