Mi vengo a trovare presso uno studio medico per motivi extra-professionali; vengono a sapere che mi occupo di dataprotection.
Intuisco che mi vorrebbero chiedere qualcosa, immagino si tratti di GDPR; la domanda infine salta fuori: ma noi dobbiamo avere un FireWall?
Lo studio medico “ha già fatto gli adeguamenti” con l’assistenza del consulente di una associazione di categoria.
Come spesso avviene quando si “fanno gli adeguamenti al GDPR” tramite fogli e checklist, ben pochi hanno idea di quello che stanno facendo ne del perché occorra farlo.
Come da copione, la formazione non viene fatta e vengono frettolosamente indicate le cose da fare, che non vengono motivate ne ben spiegate.
Con buona pace del concetto di accountability presente nel GDPR!
Un Titolare del Trattamento che abbia dati sanitari, deve mettere in atto tutte le misure di sicurezza che ritiene necessarie affinchè i dati personali conferitigli siano sicuri (art. 32 GDPR).
Il FireWall perimetrale costituisce una delle primarie misure di sicurezza della intera LAN di qualsiasi organizzazione; rimando alla apposita pagina per altri approfondimenti.
Inoltre, una ulteriore considerazione; tutte le LAN sono oggigiorno collegate ad Internet tramite una connessione ADSL o Fibra (definita fibra ma che in effetti è una VDSL) di un fornitore di connettività. Esso fornisce un apparato (router) in comodato d’uso, che diventa il Gateway di tutta la LAN, da e verso Internet.
Il router fornito dal provider viene telegestito da remoto (dai suoi tecnici), per aggiornamenti, configurazioni e diagnostiche; in pratica, soggetti terzi hanno accesso al dispositivo più importante della vostra LAN: il Gateway.
Non solo, ma dato che il router consente l’accesso per telegestione, e che talvolta si manifestano delle vulnerabilità che rendono possibile l’accesso a malintenzionati ai vari router dei providers, e di conseguenza a tutta la rete locale, capite bene che questo rischio non può essere sottovalutato, ne (a mio avviso) accettato.
Quindi, occorre che a valle del router del fornitore sia presente un valido e ben configurato FireWall, gestito dal Titolare del Trattamento, che impedisca ad eventuali terzi estranei, qualora riescano ad accedere al router, di operare anche nella rete locale.
Ovviamente la miglior misura consiste nel sostituire il router fornito in comodato con uno proprietario e gestito dal Titolare del Trattamento; il Border FireWall è comunque sempre necessario.
Invece l’argomento dei FireWall software (quelli installati sugli elaboratori) sarà oggetto di trattazione in un separato post.