La
cifratura dei dati costituisce uno degli strumenti più
efficaci per contrastare il cybercrime. Ma che cos’è esattamente e come funziona? Come mai in seguito all’avvento del
GDPR è divenuta così centrale?
La cifratura è un sistema basato essenzialmente sulla
crittografia, ovvero un processo che si serve di un
algoritmo di codifica (che opera su un insieme di caratteri trasformandolo) e di una
chiave-password segreta, necessaria alla decodifica dei dati.
La
segretezza è il requisito indispensabile di ogni sistema di crittografia dei dati.
Crittografia dei dati: come funziona?
La cifratura dei dati rappresenta una procedura senz’altro trasparente per l’utente e allo stesso modo è in grado di proteggere l’informazione offrendo elevati standard di sicurezza.
Si capisce come questo contribuisca a elevare il
grado di sicurezza e protezione dei dati: il sistema di cifratura infatti è pensato appositamente per rendere illeggibile un messaggio a chi non possiede la chiave di decodifica dello stesso.
Ma perché la crittografia oggi ha assunto un
ruolo tanto importante? Nell’era di internet assistiamo alla proliferazione senza precedenti di notizie e informazioni, anche (e soprattutto) sensibili. In maniera direttamente proporzionale aumentano le possibilità che subiscano
attacchi e/o vengano trafugate. Per queste ragioni l’introduzione di sistemi complessi capaci di garantire un alto livello di riservatezza dei dati è ancora più necessaria e strategica.
La crittografia dei dati così come la conosciamo oggi è ancora materia “plastica”, costantemente in evoluzione e capace di affinarsi grazie all’incedere tecnologico.
Rischi e Vantaggi della cifratura dei dati
La
vulnerabilità di un sistema di cifratura dati, nell’ottica di un hacker/attacco informatico, può risiedere principalmente in due fattori: la
password e i
backup.
La password è l’
unica chiave che permette di decifrare i dati; va da sé che debba essere conosciuta solo dall’utente. Se qualcuno entrasse in possesso della stessa sarebbe in grado di attivare e disattivare senza problemi il sistema e quindi di accedere a tutti i dati in chiaro. La sicurezza di tutta l’infrastruttura crollerebbe come un castello di sabbia.
La seconda potenziale criticità è rappresentata dai
backup dei dati. Anch’essi, infatti, andrebbero cifrati o, in ogni caso, messi su un supporto cifrato. In alcuni casi, infatti, vi sono utenti che dapprima si premurano di criptare il file system (o il supporto) ma che, successivamente, replicano i dati di backup in chiaro su altri supporti, vanificando tutto.
Il
vantaggio indiscusso di un sistema di cifratura dei dati è quello di innalzare una vera e propria barriera a protezione della privacy, in grado di respingere anche attacchi molto violenti. Ciò permette un livello di protezione dei dati, propri, dei propri clienti e dei propri contatti, che non ha eguali nel panorama tecnologico moderno.
Come abbiamo detto, il nucleo del sistema di crittografia dei dati è la
password, che permette la decodifica dei dati criptati in maniera da renderli intellegibili al destinatario. Si tratta di un passaggio cruciale: in fase di scelta è necessario prestare la
massima accortezza nel generare la password, stando ben attenti a sceglierne una originale, secretandola e rendendola mediamente complessa.
I moderni sistemi operativi (Windows, Mac, GNU/Linux) permettono di cifrare il file system, ossia di
occultare tutti i dati all’interno del sistema (foto, video, documenti, cronologia, posta elettronica). Tipicamente è possibile sbloccare la cifratura digitando la password/codice di accesso al
device, riportando i dati in chiaro. Ciò è molto prezioso in caso di furto o perdita del telefono o computer portatile: se i dati sono cifrati, infatti, e il soggetto che ha sottratto il dispositivo non è a conoscenza della password, non sarà in grado di accedere in alcun modo ai contenuti.
Cifratura dei dati al tempo del GDPR
Con l’entrata in vigore del nuovo
Regolamento europeo sulla protezione dei dati personali, la crittografia è diventata di colpo uno degli ambiti della cyber security più citati, applicati e temuti sia nelle pubbliche amministrazioni, sia nelle aziende private. D’altronde l’
articolo 32 del Regolamento è piuttosto esplicito: tra le misure tecniche che il titolare o il responsabile del trattamento devono attuare, al fine di garantire la sicurezza dei dati personali trattati, viene menzionata proprio la cifratura dei dati personali.
Lo stesso GDPR prevede che il titolare (o il responsabile) dovrebbe
valutare i rischi inerenti al trattamento attuando misure per limitarli, come appunto la cifratura o la "
pseudonimizzazione", che prevede che le informazioni siano conservate in una forma che impedisce l'identificazione dell'utente.
Nel GDPR dunque, l’approccio è basato sul concetto di
rischio del trattamento, sottolineando come sarà cura e responsabilità del titolare del trattamento individuare le
misure di sicurezza più adatte alla protezione dei dati personali. La scelta della cifratura a garanzia di questo principio sarà il frutto di una valutazione dei rischi preventiva (
modus operandi indicato dal GDPR) e non più dall’entrata in vigore di qualche decreto legge.
Per ulteriori informazioni sui nostri servizi relativi alla cifrature dei dati, leggi anche
Servizi di Data Encryption