Cyber security e studi legali, gli accorgimenti necessari e quelli utili per non avere una Rete smagliata

Il malware attacca gli obiettivi bersaglio servendosi del tuo studio legale? Attenzione allora: è il momento di verificare lo stato della sicurezza cibernetica del tuo pc e delle tue connessioni. Prova a individuare gli ambiti “di rischio” propri del tuo studio (per esempio quanti computer hai in rete); accertati di aver installato e/o aggiornato il programma antivirus; chiedi una consulenza qualificata e fidata ad un tecnico informatico che ti proponga soluzioni proporzionate ai tuoi bisogni; non aprire link contenuti in email che- anche se ricevute da account qualificati- presentano anomali nel testo; e – per inciso- se sei in un aeroporto, evita di collegarti con il tuo studio tramite la rete wi-fi a disposizione dei viaggiatori.

Perché altrimenti senza averne consapevolezza potresti aprire le porte a un male intenzionato digitale e in caso di data breach potresti risponderne nei confronti dei tuoi clienti; anche penalmente.

Nei giorni scorsi abbiamo letto su tutti i giornali i primi risultati della indagine Eye Pyramid condotta dalla Procura di Roma. Quello che ha colpito di più Avvocato 4.0 è stato apprendere che il software malevolo ( il malware Eye Pyramid, appunto, da cui l’indagine a carico dei fratelli Occhionero prende il nome) è stato inviato da solitamente innocui (anzi qualificatissimi) e ignari account di conosciuti e stimati studi legali.

E così abbiamo deciso di indagare questo aspetto, avvalendoci di professionisti esperti nell’ambito informatico e giuridico-forense quali l’avvocato Rocco Panetta di NCTM e il professore aggiunto al Mip del Politecnico di Milano Gabriele Faggioli.

L’obiettivo è quello di fornire qualche utile indicazione in modo che l’indagine Eye Pyramid diventi occasione per acquisire maggiore consapevolezza di cosa significhi svolgere la professione forense in un sistema digitale.

Inoltre, in considerazione del fatto che ormai è vincolante ed operativo per l’avvocato l’obbligo di sottoscrivere una polizza assicurativa, Simona Andreazza (legale, esperta in Lloyds) ci spiegherà come verificare che anche il cyber risk venga coperto (Come assicurare lo studio legale dal rischio di data breach).

“Cyber security: verifica il tuo profilo di rischio e pianifica le misure di sicurezza” – Rocco Panetta NCTM click to Twitter



Avvocato Rocco Panetta

Equity partner in NCTM studio legale, esperto di Internet, privacy e cybersecurity

Già dirigente del garante per la privacy

“Senza dubbio il mondo forense non ha ancora acquisto la piena consapevolezza dei rischi che ciascun avvocato corre se non è adeguatamente attrezzato in cybersecurity”, conviene con noi Rocco Panetta.

“L’analisi della lista degli studi legali dai cui account sono partite le mail con il malware Eye Pyramid dimostra che non si tratta di grandi studi legali associati, organizzati come aziende e come tali più sensibili al tema della sicurezza; ma di studi molto qualificati ma di dimensioni ridotte.

In generale possiamo dire che uno studio di 10 – 15 avvocati difficilmente riesce ad acquisire questa consapevolezza: ma questo è un passaggio essenziale per evitare ingenuità, come aprire una email pirata e scaricare un file infetto. Non solo. La normativa sulla Privacy- peraltro in corso di aggiornamento- richiama specifiche responsabilità per il professionista legale”.



CONSIGLI UTILI

Il primo consiglio che Panetta suggerisce è quello di sottoporre ad analisi il proprio profilo di rischio. “Ogni studio deve verificare il proprio livello di rischio, che dipende dal tipo di clientela e quindi dal vantaggio che i cyber criminali avrebbero dal violarne i segreti. Consiglio in secondo luogo di fare un uso sobrio dei social network e di non passare senza cautele dalla scrittura di un atto alla scrittura di un post sui socials. Voglio dire che occorre provvedere a una certa pulizia delle proprie azioni, limitando il rischio di commistioni. Occorre mettere in rete solo i pc necessari e presidiarli con password controllate, in modo da limitare la vulnerabilità delle rete verso l’esterno; e avviare una politica di aggiornamento delle misure di sicurezza, i firewall, i filtri, gli antivirus. Oggi tutti i sistemi operativi dispongono di propri software anti-virus che si auto-installano; è un obbligo di legge dal 1999, dai tempi della prima legge sulla privacy. Ma occorre avere cura di procedere con l’aggiornamento ogni qualvolta la macchina lo richieda”, avverte ancora l’avvocato di NCTM. “E’ necessario anche accertarsi riguardo le funzioni di filtraggio del proprio server provider di account di posta e non lasciare languire vecchi account non più utilizzati”.

Se il tuo studio ha dimensioni medio- grandi, sarebbe anche opportuno utilizzare tipi particolari di software di “monitoraggio” e predizione rispetto a vulnerabilità dei tuoi strumenti ICT rispetto ad un attacco dall’esterno. “Il controllo deve essere attivo, e proattivo insomma, e non solo passivo ed ex post”, evidenzia Panetta.

Un buon consulente può aiutare. “Meglio con una doppia competenza o due consulenti che si parlino ed integrino le loro competenze a vicenda: tecnico-informatica e giuridica- legale; ma che soprattutto coniughino alla competenza tecnica l’attenzione a proporzionare le misure alla specifica realtà di studio”.

LE CONSEGUENZE PER L’AVVOCATO IN CASO DI DATA BREACH

Le conseguenze di eventuali crisi in studio o di una attività – inconsapevole- dell’avvocato trasformatosi in “provocatore digitale” possono arrivare ad essere molto gravi.

“Ci sono tre aspetti da tener presente”, specifica Panetta. “Uno è collegato all’osservanza delle regole in materia di privacy e relative responsabilità, civili, amministrative e penali; vi è poi la responsabilità deontologica collegata all’obbligo di riservatezza ed esercizio diligente del mandato; e infine vi è la responsabilità contrattuale che deriva dal mandato professionale. Anche se questa leva della responsabilità contrattuale non è utilizzata frequentemente, il mandato comunque espone l’avvocato al rischio d dover risarcire il danno subito dal cliente”.

L’aspetto che preoccupa di più è legato alla normativa privacy. “Meraviglia il fatto che ancora oggi- dopo quasi 18 anni dal varo della prima legge- via sia una quasi totale ignorantia legis da parte di tutti gli operatori. Faccio un esempio concreto: la procura di Roma ha spiccato il mandato di arresto per i fratelli Occhionero basandosi sulla contestazione dei reati di procacciamento di notizie concernenti la sicurezza dello Stato, accesso abusivo al sistema informatico aggravato e intercettazione illecita di comunicazioni informatiche o telematiche. Non ha contestato invece alcuna delle fattispecie disciplinate dal codice Privacy. La ragione è quella della prevalenza del reato più grave, ma al tempo stesso colpisce l’assenza di un dibattito e di una consapevolezza dell’esistenza di tali strumenti di tutela”.

Misure repressive che possono essere attivate anche dal cliente. “In caso di data breach di cui viene a conoscenza o anche senza un episodio scatenante, il cliente può rivolgersi allo studio esercitando il diritto di accesso e se non ottiene risposta entro 15 giorni, può rivolgersi al garante per la privacy che apre un procedimento di verifica sul trattamento dei dati personali, compreso l’aspetto della loro messa in sicurezza; la procedura può concludersi anche con sanzioni pecuniarie molto gravi. Inoltre, se la risposta dell’avvocato non soddisfa il cliente, quest’ultimo può presentare una querela attivando un procedimento penale e se risulta che l’avvocato non ha attivato le diligenti misure di sicurezza (per esempio l’antivirus) rischia anche il carcere”, avverte Panetta.

“Il fatto che per gli avvocati operi l’autorizzazione generale del garante che li esonera dal chiedere il consenso ogni qualvolta trattino dati sensibili non significa che siano esenti dagli altri obblighi previsti dalla legge, tra cui l’adizione delle misure di sicurezza elencate dall’allegato B del codice privacy (per inciso, non aggiornate dal 1999!)”.

IL REGOLAMENTO EUROPEO DATA PROTECTION

Il quadro tra circa due anni si irrigidirà di più. “Il nuovo regolamento europeo sulla Data protection (c.d. GDPR- General Data Protection Regulation, ndr ) si applicherà anche agli avvocati: la sanzioni previste potranno arrivare sino al 4% del loro fatturato annuo e gli obblighi di data breach notification al Garante e alla clientela dovranno essere adempiuti in un lasso temporale molto stretto, di poche ore, con tutte le conseguenze organizzative che possiamo immaginare.”

“La cyber security è un fatto di salute pubblica” – Gabriele Faggioli MIP click to Twitter

D’altra parte occorre fare i conti , come ha evidenziato la Clusit – l’Associazione che ha come obiettivo statutario la promozione della sicurezza informatica – con la consapevolezza che “la cyber security è un fatto di salute pubblica”. Una piccola smagliatura del sistema mette potenzialmente a rischio milioni di dati. Sarebbe imbarazzante per uno studio legale giustificare ai clienti la sottrazione di dati, magari anche sensibili, in caso di data breach, per esempio.

Abbiamo raggiunto il professore aggiunto al MIP e responsabile scientifico dell’Osservatorio Information Security & Privacy Gabriele Faggioli lo scorso 17 gennaio a Milano, in occasione di un partecipatissimo convegno organizzato dall’Osservatorio proprio sui nuovi adempimenti di tema di Data protection; adempimenti che diverranno vincolanti anche per i legali a maggio 2018.

In attesa di dedicare al regolamento europeo un approfondimento su Avvocatoquattropuntozero, ecco cosa ci ha detto Faggioli in questa intervista-video “rubata” in un momento di intervallo dei lavori. Si parla di pericolo cryptolocker, di sicurezza dei servizi offerti ai clienti come fattore differenziante e dell’opportunità delle specifiche certificazioni in cyber security.

(clicca sull’immagine per visualizzare il video)

Tutelare la cyber security dello studio legale è anche un fatto di reputazione click to Twitter

IL GLOSSARIO DI BASE DI CYBER SECURITY

Per orientarci nel vocabolario digitale, abbiamo preparato un glossario delle parole che è utile conoscere.

Consigliamo inoltre di navigare periodicamente sul sito del Cert nazionale, struttura che fa parte della architettura nazionale di cyber security, istituzionalmente votata a fornire supporto a imprese e cittadini, con azioni non solo di sensibilizzazione e formazione ma anche di prevenzione e intervento in caso di attacchi cibernetici. Nel suo sito (www.certnazionale.it) sono infatti pubblicate linee guida e alert sulla sicurezza dei protocolli, dei software etc etc.


QUALCHE DATO SUGLI INTERVENTI DI CYBER SECURITY DEL CERT NAZIONALE

Qualche dato per inquadrare il fenomeno degli attacchi e/o segnalazioni in materia di cyber sicurezza subiti dal sistema aziendale e privato in Italia in base ai dati forniti alla commissione Difesa della Camera dei deputati da Rita Forsi, Responsabile del CERT Nazionale presso dell’Istituto superiore delle comunicazioni e delle tecnologie dell’informazione (ISCOM).

Attualmente sono oltre 500 i soggetti, tra operatori e internet service provider di varia dimensione, contattati dal CERT nazionale nel corso del tempo, con una copertura di oltre il 95 per cento dello spazio di indirizzamento italiano.

In relazione al progetto europeo Advanced Cyber Defence Center (ACDC) che raccoglie il numero di eventi verificatisi ogni giorno e provenienti da tutto il mondo: il numero dei report inviati nel 2015 è di 4.300, mentre è di circa 1.600 già nel primo quadrimestre 2016.

Per quanto riguarda le campagne reattive, anch’esse avviate dal 2015, Forsi ha avvisato che queste si sono arricchite nel corso del tempo di nuove fonti informative affidabili e hanno riguardato siti web o singole macchine compromesse. Fra le molte news pubblicate sul sito web del CERT nazionale, circa 40 sono dedicate al ransomware e alle numerose varianti perché, come è noto, questo malware si replica, cambiando natura, con una velocità impressionanti. In particolare, le compromissioni più ricorrenti sono quelle relative a botnet note o dal target specifico, come Cutwail, Kelihos, Asprox e Lethic, che sono botnet utilizzate per inviare spam di vario genere, in molti casi vettori di phishing o di altro malware più specifico, per esempio, per il furto di credenziali nel settore bancario.

(Altalex, 23 gennaio 2017. Articolo di Claudia Morelli)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *