1.9.10

La fotocopiatrice moderna: un colabrodo di dati

Perchè un hacker dovrebbe impiegare ore e ore del suo tempo cercando di penetrare i sistemi di una rete aziendale per carpirne i dati più sensibili e confidenziali, quando, con molto meno tempo e meno rischi di essere individuati, basta proporre un rimpiazzo economicamente vantaggioso di una fotocopiatrice?

Da poco meno di una decina d'anni, la maggior parte delle fotocopiatrici è dotata di un hard disk interno che, con l'opzione di default, consente la copia di ogni singola pagina fotocopiata e restituita all'utente su carta.

Un interessante servizio della CBS illustra come è possibile accedere ai dati anche attraverso dei casi pratici: lo potete seguire qui http://www.cbsnews.com/video/watch/?id=6412572n

Una troupe della CBS ha seguito l'attività di un'azienda di smaltimento di materiale tecnologico che rileva fotocopiatrici usate: nei due casi illustrati, migliaia di documenti, contenenti dati confidenziali di cittadini statunitensi, Social Security Number, cartelle cliniche con referti ospedalieri, nominativi di persone indagate dalla polizia,

E' comunque da notare che tutti i maggiori produttori di macchine fotocopiatrici rendano disponibili componenti per la cancellazione sicura o la codifica dei dati conservati su disco: tali componenti richiedono un'ulteriore spesa dell'ordine di qualche migliaio di dollari, rendendo spesso l'investimento su una fotocopiatrice estremamente oneroso.

Per mitigare questo genere di rischi, si possono adottare accorgimenti come l'impiego di meccanismi di codifica o cancellazione sicura e/o contrattualizzare un processo di dismissione che comprenda la rimozione e la distruzione del disco interno o quantomeno la sua cancellazione sicura.
E' inoltre opportuno considerare questo genere di potenziali fughe di dati all'interno dell'attività di risk assessment.

Infine, il Garante della Privacy, nel provvedimento del 13 ottobre 2008, dal titolo "Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali" dispone di

adottare idonei accorgimenti e misure, anche con l'ausilio di terzi tecnicamente qualificati, volti a prevenire accessi non consentiti ai dati personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a essere:

a. reimpiegate o riciclate, anche seguendo le procedure di cui all'allegato A);

b. smaltite, anche seguendo le procedure di cui all'allegato B).

Tali misure e accorgimenti possono essere attuate anche con l'ausilio o conferendo incarico a terzi tecnicamente qualificati, quali centri di assistenza, produttori e distributori di apparecchiature che attestino l'esecuzione delle operazioni effettuate o che si impegnino ad effettuarle."

Nessun commento: