GDPR e smart-working: (forse) incompatibili per molte aziende

Sicurezza Informatica e GDPR
Condividi sui tuoi social:

Si fa tanto parlare del GDPR (General Data Protection Regulation) la nuova normativa di riferimento per la protezione dei dati aziendali, un sistema di regolamento che prevede peraltro sanzioni molto pesanti per le aziende che non dovessero mostrarsi conformi a quanto previsto, ma che rischia di porre una definitiva ‘pietra tombale’ sulla possibile diffusione dello smart-working, o come si diceva un tempo il telelavoro.

Sicurezza Informatica e GDPRSe prendiamo la ricerca di Senzing e ripresa dal CorriereComunicazioni, a livello europeo oltre il 50% delle aziende non sarebbe in condizioni di rispondere alle prescrizioni previste dal GDPR, figuriamoci come sono messe le aziende in Italia, nel baratro. 

Ma se alla fine, un’azienda arrivasse pure a corrispondere ai criteri imposti dalla nuova legge, potrebbe sicuramente riuscire a farlo nell’ambito dei propri ‘confini’ fisici, ovvero presso la propria sede, dove grazie a server ridondati, sistemi di backup automatico, firewall fisici e software e connessioni ‘blindate’ avrebbe la possibilità di garantirsi una sufficiente compliance al GDPR. La cosa diventa molto diversa se parliamo di persone che per lavorare dal proprio domicilio hanno la necessità di essere collegati alla rete aziendale, qui i rischi si moltiplicano, perchè, innanzi tutto dovrebbero dotarsi di una VPN (Virtual Private Network) ovvero un sistema che connette direttamente e rende riconoscibile con diversi livelli di criptazione i dati trasmessi da e per l’azienda, ma nella sostanza, stante il digital divide del nostro ‘belpaese’ tutto finirebbe comunque su una rete pubblica, ovvero questi dati finirebbero con il correre su una connessione di un provider di servizi internet, insieme a tutti gli altri, ci sarebbero comunque delle ‘porte aperte’ tra le varie connessioni e viene da sè che ognuna di queste rappresenta una vulnerabilità potenziale che riduce il livello di sicurezza in modo direttamente proporzionale al numero di accessi esterni attivi, ci spostiamo quindi già in un’area grigia di ‘parziale sicurezza’ o di ‘potenziale insicurezza’.

Premesso che il GDPR è stato recepito in Italia con una legge composta di 99 articoli, numerose circolari attuative ed  interpretative, perchè ovviamente una legge scritta in italiano non può essere immediatamente intelleggibile ad una persona di normali capacità intellettuali, ma necessita di una interpretazione… ma lasciamo perdere.

Si allontana quindi l’orizzonte di poter avere un incremento della diffusione dello smart working? Il mio parere personale è sicuramente affermativo a questa domanda, almeno per un’azienda che volesse essere 100% in linea con le prescrizioni del GDPR, questo, sempre a mio avviso, per il fatto che la normativa ha superato due limiti ad oggi insormontabili:
1) le condizioni dell’infrastruttura di veicolazione dei dati (la rete delle connessioni adsl)
2) il livello di evoluzione tecnologica delle dotazioni fisiche e logiche della rete
se è vero quanto rilevato dalla società di ricerche Pierre Audoin Consultants (PAC) condotta intervistando i responsabili IT di circa 500 aziende che nel 57% dei casi ha lamentato il livello di obsolescenza raggiunto dalle dotazioni hardware e software in Italia.

Accennavo a diversi temi e problematiche analoghe anche nell’articolo relativo alla diffusione dell’Industry4.0 altro argomento ‘caldo’ e potenzialmente oggetto di fragilità di sistema, se consideriamo che l’attacco hacker del Maggio 2017, cui accennerò anche in seguito, nel sistema sanitario britannico pare (da alcune informazioni trapelate ai media) abbia fatto breccia a partire dai computer non aggiornati e connessi in rete per la gestione delle apparecchiature di diagnostica per immagini (TAC, RMN, e simili)

Aggiungiamo che sono sicuro, seppur si tratti di una personale speculazione, che intervistando i titolari delle PMI italiane, è altamente probabile che la maggior parte di loro non abbia una reale consapevolezza di cosa sia e cosa comporti veramente un adeguamento al GDPR e che queste aziende sono circa il 90% del tessuto economico produttivo nazionale e nella polverizzazione di questa realtà sono insiti elementi di flessibilità ma anche di fragilità a fronte di dimensioni, pur sempre nell’ambito della Media Impresa, di gran lunga inferiori rispetto alle omologhe europee.

Questa situazione non potrà che influire negativamente nell’ordine di una diffusione dello smart-working arrivando ad ingerire anche nell’ambito dell’organizzazione del lavoro, in ogni forma di flessibilità, ci si è forse resi conto della frangibilità di un sistema, ma forse la cura è talmente forte da rischiare di mettere a repentaglio la salute del paziente, fermo restando il fatto che le prime ad avere problemi di adeguamento sono le pubbliche amministrazioni locali che sono indietro anni luce per quanto dotazione informatica, competenze interne e sistemi, non è un caso che uno dei maggiori attacchi hacker su scala internazionale, nel maggio del 2017, sia avvenuto nelle pubbliche amministrazioni di mezzo mondo sfruttando le back-doors ed i mancati aggiornamenti di sicurezza dei sistemi.

Ricordo sempre la massima di Eugene Howard Spafford, docente americano di scienze e tecnologie informatiche, che disse “The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards – and even then I have my doubts” ovvero “L’unico sistema veramente sicuro è quello spento, gettato in una colata di cemento, sigillato in una stanza rivestita da piombo e protetta da guardie, ma anche in quel caso ho i miei dubbi”.