Lezioni dal caso Swisscom
La gigantesca fuga di dati di Swisscom è stata scoperta durante un controllo di routine. Utilizzando i diritti di accesso di un partner commerciale, i criminali informatici hanno avuto accesso a circa 800.000 dati di clienti. Cosa possono imparare le altre aziende da questo?
L'esperto di sicurezza informatica Marc Ruef, specializzato in darknet e relatore nella giornata di apertura della fiera della sicurezza, parla di una super-GAU. Swisscom ha invece sottolineato che il furto di dati "non riguarda dati personali che richiedono una protezione speciale". Sono stati rubati nomi, indirizzi, numeri di telefono e date di nascita di 800.000 clienti, principalmente dal settore della telefonia mobile. In nessun caso l'incidente ha interessato dati sensibili come password, dati di chiamata o di pagamento. Si tratta quindi per lo più di dati di contatto che sono disponibili pubblicamente o tramite i commercianti di indirizzi. Può essere vero, ma lascia comunque un retrogusto stantio.
Istruzioni per la gestione dei dati dei clienti
Secondo la Fondazione per la tutela dei consumatori (SKS), Swisscom minimizza l'incidente. Non può nascondere il fatto che le fughe di dati si ripetono e che non è possibile garantire una protezione completamente sicura nel trattamento dei dati dei clienti.
L'incidente è un motivo sufficiente per ricordare ancora una volta i punti più importanti della protezione dei consumatori, che sono centrali nella gestione dei dati dei clienti:
- SicurezzaLe aziende sono tenute ad applicare la massima sicurezza possibile nel trattamento dei dati dei clienti. Ciò vale anche nel caso in cui l'elaborazione dei dati venga affidata a terzi o nel caso in cui a terzi (ad esempio, partner commerciali) venga concesso l'accesso ai dati dei clienti.
- Economia dei datiI dati possono essere memorizzati/elaborati solo nella misura assolutamente necessaria per la fornitura di un servizio.
- Trasparenza e informazioneSi deve garantire che gli incidenti/le perdite vengano notati immediatamente e che i clienti interessati vengano informati senza indugio.
Anche la Protezione dei consumatori chiede una protezione dei dati più rigorosa. Secondo l'organizzazione, sta lavorando per garantire che i principi pertinenti siano inclusi nella revisione della legge sulla protezione dei dati. A quanto pare, i politici non sono consapevoli dell'importanza di questo aspetto, perché la revisione della protezione dei dati è stata messa in secondo piano dal comitato di politica governativa del Consiglio nazionale a gennaio, critica la SKS.
Che cosa ha fatto Swisscom?
Come misura immediata, scrive il provider di telecomunicazioni, gli accessi interessati dell'azienda partner sono stati bloccati. Inoltre, si stanno adottando varie misure interne per proteggere meglio l'accesso a tali dati personali da parte di terzi, che non sono particolarmente sensibili. Ciò avviene in particolare con le seguenti misure:
- L'accesso delle aziende partner è ora monitorato più da vicino e, in caso di attività insolite, scatta automaticamente un allarme e l'accesso viene bloccato.
- In futuro, le interrogazioni su larga scala di tutti i dati dei clienti saranno tecnicamente impedite.
- Inoltre, nel 2018 sarà introdotta l'autenticazione a due fattori per tutti gli accessi ai dati necessari da parte dei partner commerciali.
(rs)
