Diventa Autore per CoreTech | Scopri di più
18/07/20 Avvocato Dalla Riva Blog
dell’Avvocato Gianluca Dalla Riva
Prima di preparare un DPA (Data Processing Agreement) ex art. 28 GDPR per un MSP (Managed Service Provider) chiedo sempre se è stata predisposta una procedura per prevenire attacchi social engineering specie nei rapporti con i loro clienti.
Non sempre la risposta è positiva e quindi sensibilizzo sul fatto che il livello di rischio di data breach da parte di un MSP dipende molto anche dal tipo di clientela.
Vi sono, infatti, MSP che trattano, per conto dei loro clienti, dati delicatissimi molto appetibili per la criminalità informatica. Per esempio, possono verificarsi situazioni in cui l’attacco di social engineering è indiretto perché è rivolto prima all’MSP, simulando di essere un cliente, oppure viceversa simulando ad un cliente di essere l’MSP, replicando correttamente le sue procedure, facendo cadere nella rete magari la segretaria del cliente, che non è preparata ad affrontare attacchi simili.
La mancanza di una corretta procedura di riconoscimento tra MSP e cliente, specie quanto le organizzazioni sono appena più strutturate, diventa una lacuna grave per un MSP, frutto evidente di una mancata analisi e gestione del rischio, che può portare non solo alla violazione della normativa privacy con relative gravi sanzioni, ma a danneggiare il cliente, trovandosi magari poi con una pesante richiesta di risarcimento danni.
Ecco perché suggerisco sempre di preparare una procedura di riconoscimento che può svilupparsi in varie modalità, che il cliente deve rispettare per ricevere il servizio: vedrai come verrà apprezzata quando capirà quali rischi gli evita!
Riassumendo, come MSP hai il dovere di tutelare i tuoi clienti anche da questo tipo di attacchi e se non l’hai fatto mettiti all’opera e prepara una procedura di riconoscimento che può essere pensata su livelli diversi, più si chiedono servizi delicati più la procedura deve essere rigida.
Questo costituisce anche una tua tutela legale nel caso poi il cliente subisca un attacco di social engineering da terzi, simulando di essere un MSP, perché non ha rispettato la tua procedura.
Tutto sommato si tratta di uno sforzo molto contenuto, ma eviti un problema molto grave che può diventare altrimenti un incubo da cui però non ci si sveglia.