Vulnerabilità Microsoft Teams: l’inadeguata conoscenza del GDPR espone al rischio cyber
Microsoft Teams nel mirino hacker: quanto è importante il GDPR?
Con l’introduzione generalizzata dello smart working, il ricorso a numerose piattaforme online, per implementare il lavoro da remoto, si è reso ormai sempre più frequente e necessario. Non sorprende, dunque, che la recente popolarità acquisita da molte piattaforme e software di video conferenza abbiano costituito un immediato e facile bersaglio da parte degli hackers.
Dopo il caso che ha riguardato la piattaforma Zoom – a causa della pubblicazione, sul Dark Web, di un database contente le credenziali di accesso di numerosi utenti – , anche la piattaforma Microsoft Teams è stata posta sotto attacco. Microsoft Teams è una piattaforma di comunicazione che include molteplici funzionalità di chat, videoconferenza, archiviazione di file e integrazione delle applicazioni, ed è una delle piattaforme più utilizzate per la didattica da remoto.
I ricercatori di CyberArk avevano individuato una vulnerabilità nascosta. In particolare, essi avevano rilevato che vulnerabilità poteva essere sfruttata creando un collegamento o un file GIF predisposti ad-hoc. Nello specifico, per realizzare l’attacco si sfruttava un token Web JSON (“authtoken”), nonché un secondo “token skype”, adoperati per consentire agli utenti Teams e Skype di poter ricevere file immagine durante le chat.
Sebbene la vulnerabilità sia stata subito individuata ed opportunamente corretta dagli operatori di Microsoft Teams, il caso dimostra l’importanza del rispetto del GDPR e della cybersecurity.
L’impiego di tali risorse richiede comunque, da parte del Titolare del trattamento, il rispetto dei principi e delle regole imposte dal GDPR, in particolare:
- La sicurezza del trattamento, come previsto dall’art. 32 GDPR;
- L’implementazione di misure che garantiscano la privacy by default e by design;
- Il rispetto dei diritti dell’interessato;
Inoltre, ogniqualvolta tali piattaforme vengano utilizzate dai dipendenti pubblici o privati, un’adeguata conoscenza e formazione in materia di sicurezza informatica risulta essenziale: in effetti, il primo fattore di vulnerabilità dei sistemi – ivi compreso quello relativo alla data protection – è costituito dall’errore umano, causato da un’errata valutazione o da una scarsa percezione del problema e delle criticità conseguibili.
Tra questi, rientra anche il download di installer che, fraudolentemente, si spacciano per applicazioni molto conosciute come Zoom, Webex e Slack: questi, in realtà, contengono minacce adware “advertising supported software” (software sovvenzionato da pubblicità). Si tratta software che adoperano metodologie subdole, che possono determinare il trasferimento su un altro programma, al fine di provocarne con l’inganno l’installazione su PC, tablet o dispositivo mobile.
L’importanza della formazione e della consulenza specialistica come fattore di prevenzione
Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.
Per tali ragioni, Hedya presenta gli innovativi percorsi di formazione:
- “Smart working, Privacy e Cyber Security”;
- “La Protezione dei Dati Personali nei luoghi di lavoro pubblici e privati”.
I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.
Inoltre, Hedya propone:
- percorsi di formazione e aggiornamento;
- percorsi di approfondimento e perfezionamento;
- servizi di consulenza per verificare la conformità alla normativa rilevante in materia.
Si segnalano, per i percorsi formativi e di aggiornamento:
- Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per ottenere un’adeguata formazione in materia di gestione dei dati personali;
- Corso “DPO: DATA PROTECTION OFFICER”, per intraprendere un percorso professionale di elevata specializzazione per svolgere le funzioni tipiche del Data Protection Officer.
- Non da ultimo, risulta indispensabile formare l’amministratore di sistema attraverso il corso “Amministratore di sistema”, appositamente dedicato a tale figura.