Il nuovo DPCM del 24 ottobre, nell’affrontare il nuovo innalzamento del livello di emergenza Covid, ha imposto alle Pubbliche Amministrazioni di predisporre un piano che preveda il 75% dell’organico posto in smart working. Al tempo stesso, il Premier ha consigliato a tutto il settore privato, per quanto possibile, di tendere alle medesime percentuali.
L’imponente ricorso al lavoro agile ripropone la necessità di prestare attenzione al tema della sicurezza informatica e del corretto trattamento dei dati. Due temi diventati sempre più interconnessi. Tematiche sentite anche a livello europeo: nel mese di ottobre dedicato alla Cybersecurity, l’Agenzia Europea Enisa ha lanciato la campagna #thinkb4youclick (pensa prima di cliccare, n.d.r.) per promuovere il consapevole utilizzo degli strumenti elettronici e di Internet.
Attività che trovano eco nel percorso di sensibilizzazione del Garante Privacy: la recente pubblicazione della scheda in materia di ransomware si aggiunge alle altre campagne informative in materia di phishing e corretta gestione delle password (documenti tutti reperibili nella sezione del sito web del Garante “Cybersecurity”).
Il Garante introduce il problema sottolineando come l’emergenza Covid sembri essere affiancata da un pericoloso “contagio digitale”, alimentato da malintenzionati che diffondono software “malevoli”. Tale considerazione assume maggiore rilevanza nel contesto del nuovo, pesante ricorso allo smart working cui si sta ritornando in questi giorni.
Un dipendente che lavora d remoto, oltre ad essere tutelato sotto il profilo giuslavoristico, deve essere formato e reso consapevole delle modalità di utilizzo degli strumenti elettronici in relazione alle specifiche scelte tecnico-informatiche adottate dalla propria azienda.
Adottare adeguate politiche di gestione degli apparati tecnologici non è soltanto un adempimento collegato alla responsabile costruzione di un sistema di gestione privacy, ma è soprattutto uno strumento che permette ai dipendenti e all’azienda di lavorare in sicurezza determinando la corretta individuazione delle reciproche responsabilità.
=> Sicurezza IT: soluzioni B2B per i lavoro a distanza
Sicurezza IT in smart working
Molteplici sono i consigli pratici che possono essere appresi da questa documentazione fornita dall’Autorità, soprattutto in relazione allo smart working.
Il ransomware è un programma che può “infettare” un dispositivo digitale (PC, tablet, smartphone, smart TV), bloccando l’accesso a tutti o alcuni dei suoi contenuti (foto, video, file, ecc.) per poi chiedere un riscatto (“ransom”) da pagare per “liberarli”. Ma come difendersi?
La prima e più importante forma di difesa è la consapevolezza e la prudenza. Occorre evitare di aprire messaggi provenienti da soggetti sconosciuti o con i quali non si hanno rapporti e, in ogni caso, se si hanno dubbi, non si deve cliccare su link o banner sospetti e non si devono aprire allegati di cui si ognora il contenuto.
Anche se i messaggi provengono da soggetti a noi noti, è comunque bene adottare alcune piccole accortezze. Ad esempio:
- non aprire mai allegati con estensioni “strane” (ad esempio, allegati con estensione “.exe” sono a rischio, perché potrebbero installare applicazioni di qualche tipo nel dispositivo);
- – non scaricare software da siti sospetti (ad esempio, quelli che offrono gratuitamente prodotti che invece di solito sono a pagamento);
- scaricare preferibilmente app e programmi da market ufficiali, i cui gestori effettuano controlli sui prodotti e dove è eventualmente possibile leggere i commenti di altri utenti che contengono avvisi sui potenziali rischi;
- se si usa un pc, si può passare la freccia del mouse su eventuali link o banner pubblicitari ricevuti via e-mail o presenti su siti web senza aprirli (così, in basso nella finestra del browser, si può vedere l’anteprima del link da aprire e verificare se corrisponde al link che si vede scritto nel messaggio: in caso non corrispondano, c’è ovviamente un rischio).
È inoltre utile:
- installare su tutti i dispositivi un antivirus con estensioni anti-malware;
- mantenere costantemente aggiornati il sistema operativo oltre che i software e le app utilizzati più spesso;
- utilizzare sistemi di backup che salvino (anche in maniera automatica) una copia dei dati (sono disponibili soluzioni anche libere e gratuite per tutti i sistemi operativi). Con un corretto backup, in caso di necessità, si potranno così ripristinare i dati contenuti nel dispositivo, quantomeno fino all’ultimo salvataggio.
Vale la pena, in conclusione sottolineare, che questo attacco si fonda sostanzialmente sulla poca attenzione che le imprese hanno per la difesa dei propri dati. È infatti evidente che se il sistema attaccato viene duplicato in luogo sicuro non v’è alcuna necessità di pagare un riscatto.
In ogni caso qualora l’evento colpisca anche dati personali è sempre opportuno valutare con esperti informatici e legali se sussistono le circostanzi per procedere alle opportune notifiche al Garante e/o agli interessati.