Imprese e GDPR, intervista a Alberto Crivelli di A10 Networks

Imprese e GDPR, intervista a Alberto Crivelli di A10 Networks

Alberto Crivelli, Country Manager di A10 Networks Italia, ci racconta la vision aziendale in rapporto al GDPR e alle implicazioni per partner e imprese.

- L’entrata in vigore del GDPR ha ricordato alle imprese l’importanza della privacy e del corretto trattamento dei dati. A un anno dall’introduzione della normativa quale considerazioni potete fare?
La normativa del GDPR ha reso indispensabili l’utilizzo di tecnologie e soluzioni per assicurare la protezione dei dati. Noi come A10 Networks, società specializzata in Secure Application Services, abbiamo fin da subito supportato le aziende al fine di fornire loro gli strumenti necessari a difendere i propri dati da intrusioni malevole che possono comportare la violazione dei dati personali del cliente e conseguentemente le sanzioni previste dal GDPR. Oggi infatti, dopo circa un anno, il Garante Privacy ha dichiarato che in Italia, le segnalazioni e i reclami sono aumentati del 30% rispetto allo stesso periodo dell’anno passato, a dimostrazione del fatto che la consapevolezza dei propri diritti in materia di privacy è aumentata notevolmente.

A nostro parere, esistono però ancora molte criticità, soprattutto nel caso di piccole e medie imprese che faticano ancora a rispettare i termini di conformità, nonostante il rischio di incorrere in sanzioni. Questo è principalmente dovuto ad una cattiva informazione che induce a credere che le norme del GDPR non abbiano alcun impatto sul proprio business. Molto, infatti, c’è ancora da fare: proteggere i dati attraverso la garanzia della qualità, la verifica dell’origine ed il controllo sugli utilizzi non significa soltanto essere ligi alla regola, ma anche investire consapevolmente sulla resa per la propria azienda. Per queste ragioni, A10 Networks offre una gamma altamente specializzata di soluzioni volte alla difesa dei propri dati dagli attacchi DDoS (Distribuited Denial of Service), da attacchi nascosti nel traffico crittografato e da attacchi diretti ai server web.

- Secondo il Vs. punto di osservazione, le imprese hanno beneficiato dall’introduzione del GDPR? Perché?
I vantaggi che si sono registrati hanno riguardato per lo più le grandi realtà che si sono immediatamente allineate alla nuova normativa, sostenendone gli importanti costi di adeguamento e registrando oggi un saldo netto dei benefici ottenuti. Ciò che continua però a preoccupare molti sono i problemi legati alla sicurezza dei dati. Come A10, infatti, assicuriamo servizi evoluti a tutte le imprese per potersi difendere nel modo più semplice possibile.

Uno tra questi è senza dubbio la Mappa DDoS Threat Intelligence per aiutare le imprese a visualizzare il panorama delle minacce DDoS e prepararle all’eventuale, successiva, ondata di attacchi DDoS. Questa mappa, in altre parole, permette di individuare l’esatta provenienza dei futuri attacchi DDoS e basandosi sulla piattaforma A10 composta dalle soluzioni DDoS Threat Intelligence e Thunder TPS, le aziende possono agire proattivamente in loro difesa. La capacità di difendersi da attacchi malevoli è diventata ormai la necessità di tutte le aziende che vogliono tutelare il loro business e non incorrere in danni rilevanti.

- In riferimento al Vs. parco clienti: come si sono comportate le aziende in materia di privacy e compliance? Quali feedback avete ricevuto? Quali richieste di supporto?
La reazione immediata, e più comune, è stata quella di analizzare in maniera molto approfondita le informazioni fornite dai componenti delle architetture di sicurezza. Il GDPR ha fornito lo spunto per manutenere, aggiornare e controllare in maniera costante e continua le proprie infrastrutture di sicurezza e non solo. In particolare, abbiamo registrato un incremento massiccio dell’utilizzo del nostro tool di analytics Harmony Controller al fine di estrarre informazioni e report relativi allo stato di funzionamento degli applicativi pubblicati e protetti dai nostri apparati.

- Come hanno reagito i partner in rapporto alle opportunità di interazione coi clienti e di business generate dal GDPR? Cosa avete fatto per stimolare la loro crescita in questo momento particolare?
Come A10 Networks cerchiamo di stimolare costantemente i nostri partner rispetto a qualsiasi nuova opportunità di interazione con i clienti e di business. A tal fine, tra le altre cose, ci stiamo impegnando molto sul fronte della ricerca e dell’informazione attraverso i report trimestrali elaborati da A10 Networks Security Research che forniscono un punto di vista inedito sulle tecniche di attacco DDoS, tracciando ed elencando a livello globale le principali sorgenti di weapons DDoS utilizzabili per attacchi tipo reflection.

La Threat Intelligenze utilizzata per produrre i report è una risorsa inestimabile che permette a A10 Networks di rafforzare proattivamente le difese dei propri clienti. La capacità, infatti, di potersi difendere sia da attacchi già noti che da quelli nuovi è fondamentale. Ma è altresì importante conoscere dove sono localizzati i weapons potenzialmente utilizzabili. A tal fine, A10 Networks, insieme a partner esperti nell’individuazione delle minacce DDoS, analizza i dati emersi dalle varie indagini, traccia le attività dei bot-herder e scansiona la rete per individuare tutti i possibili weapons in tempo reale. In questo modo viene creato un database aggiornato delle minacce che include milioni di indirizzi IP dietro ai quali si celano possibili weapons DDoS.

- Quali soluzioni proponete per semplificare la gestione della privacy e la compliance in ottemperanza alla normativa?
Il processo di digital transformation che ormai tutte le realtà aziendali stanno affrontando legato al tema della sicurezza e protezione dei dati rende di fondamentale importanza disporre di un’infrastruttura applicativa altamente fruibile e sicura. Come A10 siamo fortemente impegnati anche sul tema della containerizzazione delle applicazioni e di come garantirne la sicurezza nel cloud.

Un esempio di questo impegno è costituito dalla soluzione A10 Secure Service Mesh per applicazioni disponibili nel sistema open-source di orchestrazione e gestione di container Kubernetes. Nella sua essenza A10 Secure Service Mesh è una soluzione in grado di proteggere le informazioni crittografando in modo trasparente il traffico tra i micro-servizi, senza richiedere la modifica delle applicazioni. Quello che ne consegue è un più alto livello di sicurezza ed elevate prestazioni per le applicazioni.

- Cosa fate per assicurare la disponibilità di prodotti e soluzioni per i clienti che seguano l’impronta del “privacy-by-design” e “security-by-design”?
Il principio di privacy by design, contemplato dal GDPR, si presenta come un principio fondamentale e sarà la chiave del futuro non solo in ambito privato, ma assumerà il ruolo di requisito essenziale anche nell’ambito degli appalti pubblici. Imponendo tale principio l’adozione (da parte del titolare del trattamento dati) di misure tecniche ed organizzative finalizzate a tutelare i dati da trattamenti illeciti, per le aziende è diventato essenziale fornirsi di strumenti adeguati a garantire l’assoluta tutela dei dati sensibili.

Una qualsiasi intrusione malevola potrebbe infatti comportare una violazione dei dati protetti, per questa ragione A10 Networks, azienda leader nel mercato della Security Application, offre soluzioni ottimizzate per i dispositivi ad alte prestazioni al fine di garantire protezione dai continui attacchi DDoS. A10 One-DDoS Protection prevede infatti una detection “Full Spectrum” che permette di contrastare i più sofisticati attacchi alle reti, spesso rivolti contro le applicazioni e i servizi particolarmente critici delle aziende. La soluzione utilizza tecniche di Machine Learning per analizzare il traffico lecito e stabilire le opportune e molteplici soglie, al superamento delle quali, consente di attivare gli allarmi ed impostare automaticamente le opportune contromisure. Così facendo, assicuriamo una struttura di protezione integrata che permetta di evitare ogni forma di interferenza nella rete, garantendo il rispetto degli obblighi imposti dal GDPR.