Al momento vi scrivo attraverso la soluzione Microsoft 365 che utilizziamo nel nostro Studio, quindi, almeno dalle parti del mare salentino il pesante data breach che ha investito Microsoft a livello internazionale non si è fatto sentire.
Chiariamo subito una cosa, pur se sembrerebbe non ascrivibile a un attacco hacker – il malfunzionamento pare derivi, infatti, da un software di cybersicurezza, “Crowdstrike”, usato da molte aziende ed amministrazioni, che, per un errore di configurazione, in queste ore non si starebbe aggiornando correttamente, generando interruzioni di servizi a livello internazionale – un episodio del genere è qualificabile come una violazione di dati (quindi, un data breach). Va, infatti, considerato data breach – secondo la definizione del GDPR – qualsiasi “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Anche l’indisponibilità (speriamo assolutamente) momentanea di accesso a dati (personali), causata da un malfunzionamento di un sistema (in questo caso, peraltro, su larga scala), va considerato come un (a mio avviso grave) data breach.
E il primo elemento che in questa vicenda non può che farci riflettere è proprio il paradosso per cui una violazione di dati sia probabilmente attribuibile a una soluzione che dovrebbe prevenire le violazioni di sicurezza (e i tempi della digitalità sono lastricati di buone intenzioni che devono fare i conti con l’imprevedibilità dei sistemi su cui si poggiano le nostre azioni).
Il fatto che si tratti evidentemente di una violazione di dati personali secondo il Gdpr comporta l’attivazione di una serie di azioni di comunicazione da parte dei tantissimi titolari coinvolti (PA, aziende, professionisti) che dovranno gestire questa violazione, garantendo trasparenza informativa verso le Autorità e gli interessati coinvolti. E speriamo che l’assistenza di Microsoft verso i titolari coinvolti nel data breach sia doverosamente efficace e pervasiva.
Questo episodio, come tanti altri che ormai coinvolgono tutti, anche i grandi big player, insegnano quanto sia importante portare avanti l’innovazione digitale non solo affidandola a sterili ed entusiastici proclami, guardandone solo gli effetti positivi sulla nostra esistenza, ma valutando bene anche le fragilità su cui tale innovazione è oggi poggiata. Fragilità che si riverberano anche sulla tenuta dei nostri sistemi democratici quando sistemi ormai essenziali di comunicazione, anzi di esistenza digitale, sono ormai affidati da tempo in modo stabile a un oligopolio digitale saldamente in mano a imperatori di dati (i nostri), che quando subiscono attacchi hacker, o anche solo dei semplici malfunzionamenti, mettono in crisi a livello mondiale imprese e PA che fanno affidamento su di essi.
Per questo l’Europa negli ultimi anni sta cercando di porre degli argini a questo strapotere e soprattutto sta cercando di investire da una parte su una consapevolezza diffusa per gli utenti di questi servizi, e dall’altra su regole rigide da osservare per i grandi player a presidio di nostri diritti e libertà fondamentali, che sono sistematicamente messi a dura prova dalla odierna digitalità che viviamo ogni giorno.
Le nuove regole dell’Intelligenza Artificiale servono a questo, in bene e in male. Perché i sistemi di Intelligenza Artificiale di cui si parla ossessivamente in questi giorni sono solo il frutto evoluto di sistemi, infrastrutture e centri di potere che hanno le loro radici ben piantate su territori extra Ue.
L'articolo Perché il down di Microsoft non è un attacco hacker ma c’è violazione di dati. Ora trasparenza proviene da Il Fatto Quotidiano.
