Sovranità e controllo dei dati, la linea Ue: iniziative e tecnologie - Agenda Digitale

privacy

Sovranità e controllo dei dati, la linea Ue: iniziative e tecnologie

Ogni dato che cediamo è un pezzo di noi che decidiamo di condividere con qualcun altro e dobbiamo assicurarci che l’altra parte meriti fiducia e ci dia la possibilità di avere sempre un controllo sui nostri dati. Ecco come si sta muovendo la Ue per garantire ad aziende e persone piena protezione dei dati

06 Mag 2021
Antonio La Marra

Istituto di informatica e Telematica - Consiglio Nazionale delle Ricerche

Fabio Martinelli

Istituto di informatica e Telematica - Consiglio Nazionale delle Ricerche

Paolo Mori

Istituto di informatica e Telematica - Consiglio Nazionale delle Ricerche

Andrea Saracino

Istituto di informatica e Telematica - Consiglio Nazionale delle Ricerche

Negli ultimi anni, l’Unione Europea ha dettato la linea a livello mondiale per quanto riguarda la privacy e la protezione dei dati, arrivando a definire degli schemi di sovranità dei dati – la cosiddetta data sovereignty – e un Regolamento per la protezione dei dati (GDPR).

L’obiettivo è quello di garantire ad aziende e persone pieno controllo dei dati che vengono generati e una condivisione sicura dei dati stessi, che riesca da una parte a proteggere la privacy, dall’altra ad abilitare nuovi prodotti e servizi che non possono essere realizzati proprio per via delle gravi implicazioni di privacy che si portano dietro.

Ma perché è così importante che le informazioni che forniamo vengano protette e gestite in maniera opportuna e soprattutto che siano sempre sotto il nostro controllo?

Facciamo il punto.

È realizzabile un cloud “sovrano”? Ci conviene? Ecco l’analisi dei pro e dei contro

Cosa sono, esattamente, i dati?

Sentiamo sempre più spesso parlare di dati, in relazione a diversi ambiti e a diverse azioni che tutti i giorni compiamo, dallo smartwatch che ci chiede se siamo d’accordo nel fargli raccogliere statistiche legate ai nostri movimenti, agli sport come il calcio o la Formula1 dove i dati e l’analisi dei dati sono diventati sempre più importanti. Ma cosa sono esattamente i dati?

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity

I dati sono la nostra proiezione nel mondo digitale. Quando pensiamo ai dati e alle tracce digitali che tutti i giorni lasciamo usando il telefono, aprendo la mail ecc.

Questi costituiscono le informazioni di noi stessi che condividiamo con un’altra parte (un’azienda, la pubblica amministrazione, il luogo di lavoro, gli amici e così via). Quello che facciamo rivela la nostra personalità molto più delle cose che pensiamo o che pensiamo di essere. Un vecchio adagio di Cambridge Analytica recitava: “con 1000 like ti conosciamo meglio di te stesso”. In ambito business i dati comprendono anche le misure di un processo produttivo o statistiche legate ai macchinari in funzione in una fabbrica.

I dati sono una medaglia a due facce: da un lato permettono alle aziende di offrire un’esperienza d’uso migliore, ad esempio anticipando la manutenzione per evitare di interrompere un processo produttivo, o mostrando la pubblicità più interessante; dall’altro lato sono la sorgente di una conoscenza profonda delle persone o dei processi aziendali, conoscenza che aspetta solo di essere estrapolata analizzando i dati. Proprio per la loro importanza, negli ultimi anni abbiamo assistito ad una serie di attacchi volti ad estrapolare o a bloccare l’accesso ai dati da parte di aziende e persone con lo scopo di ricattare i malcapitati o rovinarne la reputazione. Non poter accedere ai dati o non potersi fidare dei dati che si vedono a causa di un attacco, implica significative perdite economiche dovute al dover bloccare la produzione o tornare a lavorare in modalità “analogica”.

Il tentativo di carpire informazioni per conoscere meglio avversari o nemici c’è sempre stato nella storia sin dagli antichi greci: la digitalizzazione ha aumentato la quantità di dati e il numero di attori interessati ai dati, da poche persone selezionate (politici, generali, truppe) a potenzialmente tutti gli abitanti di un Paese, e reso questo processo molto più difficile da controllare, molto più facile da mettere in piedi e quindi molto più efficace.

Proprio per la loro sensibilità, il trattamento dei dati cioè come vengono raccolti, utilizzati, distrutti e come quindi viene gestito il loro ciclo di vita, è diventato un argomento sempre più rilevante.

Cosa si intende per sovranità dei dati

Con sovranità dei dati si intende la possibilità di controllare i dati che appartengono alle persone a livello nazionale, proprio perché i dati che produciamo, in quanto parte di noi stessi e di quello che facciamo, ci appartengono e abbiamo il diritto di disporne. Definire delle politiche di sovranità dei dati serve a limitare il traffico di dati che vengono raccolti, analizzati e venduti (condivisi) all’insaputa degli utenti. In pochi sanno infatti che tutte le applicazioni “gratuite” che usiamo sui nostri smartphone sono in realtà degli enormi estrattori di informazioni della nostra vita (di recente anche Facebook è stato definito come un servizio a pagamento, dove la moneta sono i dati che condividiamo). Come avviene con i materiali preziosi che vengono estratti e venduti, così avviene anche per i nostri dati e per la nostra privacy al fine di mostrarci pubblicità sempre più precise che servano poi a conoscerci meglio. È insomma un circolo continuo che si alimenta con la nostra attenzione e con il tempo che passiamo a utilizzare i vari servizi.

Nel caso delle aziende il discorso non è diverso. Ogni dispositivo che entra in azienda, ogni applicazione che un dipendente usa, colleziona dati e informazioni riguardo il contesto in cui quella persona si muove, rendendo molto più semplice, ad esempio, estrarre informazioni che possano poi servire per attacchi di ingegneria sociale. Riuscire a controllare i dati è una delle barriere di protezione che le aziende devono mettere in piedi per una buona cybersecurity-posture.

Dati digitali, ecco come il controllo può tornare nelle mani degli utenti

Un’altra motivazione che ha portato all’adozione di politiche di data sovereignty è che, nel momento in cui i dati delle persone di una nazione vengono salvati altrove, i Paesi esteri possono richiederne accesso senza dover notificare il Paese d’origine. Se la nazione in cui i dati vengono salvati ha una diversa accezione di privacy o un governo non democratico, è ovviamente un problema enorme perché aumentano le informazioni che si riescono a raccogliere sulle persone. Infine, molte nazioni hanno leggi diverse sulla protezione della privacy, ecco perché non averne un controllo diretto potrebbe esporre i dati dei cittadini di una nazione ad occhi indiscreti.

Molte grandi aziende contestano e hanno contestato l’adozione di strategie di data sovereignty in quanto limitano l’accesso e l’utilizzo del cloud o non permettono, ad esempio, di salvare i dati di cittadini europei in server situati in altri posti del mondo a un costo più basso o perché limitano le possibilità di backup dei dati.

L’iniziativa Gaia-X sul cloud europeo

Di recente l’Unione Europea ha lanciato un’iniziativa volta a disegnare il volto del prossimo cloud europeo, chiamata Gaia-X. L’idea è quella di favorire una collaborazione attiva tra aziende diverse per portare sul mercato servizi innovativi basati sui dati. Dati che ovviamente vengono protetti e gestiti seguendo le policy stabilite dall’Unione Europea e dalle varie parti per favorire una collaborazione. Un po’ quello che succede normalmente nelle aziende, dove alle leggi statali viene di solito affiancato un regolamento interno che va a gestire eventuali conflitti. La tecnologia che è alla base di Gaia-X e che permette di avere un controllo continuo del contesto in cui i dati si muovono è chiamata Data Usage Control.

“A priori data usage control”: una risposta tecnologica per le lacune privacy post Gdpr

Il data usage control

Il data usage control è una tecnologia innovativa che permette di definire delle politiche di utilizzo dei dati e di garantire agli owner dei dati un controllo continuo. Diversi progetti europei e dell’EIT (European Institute of Technology) sono stati realizzati partendo da questa tecnologia e nel 2018 è nata una startup chiamata Security Forge che si occupa di ingegnerizzare e commercializzare soluzioni basate sul data usage control. Nell’ambito del progetto EIT l’idea era quella di garantire che alcuni filmati generati dalle telecamere a circuito chiuso potessero essere visibili solo sotto determinate condizioni e che, per esempio, nel momento in cui un operatore prova a registrare il filmato che vede sullo schermo, il video streaming venga interrotto e l’amministratore venga notificato.

Conclusioni

Viviamo in un mondo connesso, dove per ottenere un’adeguata esperienza d’uso abbiamo bisogno di condividere dati ed informazioni, è però fondamentale che le informazioni che forniamo vengano protette e gestite in maniera opportuna e soprattutto che siano sempre sotto il nostro controllo. Ogni dato che forniamo è un pezzo di noi che decidiamo di condividere con qualcun altro e dobbiamo assicurarci che l’altra parte meriti la fiducia che gli stiamo dando e che ci dia la possibilità di avere sempre un controllo sui nostri dati.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4