GDPR e antivirus, necessario che siano in accordo
Negli scorsi articoli del blog (se non li avete ancora letti li potete recuperare qui e qui) vi abbiamo diffusamente parlato dell'antivirus come primo ed essenziale strumento di difesa da malware, spyware e tutte le minacce che quotidianamente viaggiano in Rete e nuocciono gravemente al nostro business. Uno dei dilemmi più sentiti, però, riguarda la privacy. Come abbiamo già detto quando vi abbiamo parlato della DLP, le pratiche tese a minimizzare il rischio che i dati aziendali possano essere smarriti o rubati potrebbero entrare in conflitto con il diritto alla privacy del lavoratore. Ecco che si rende assolutamente necessario che GDPR, antivirus e sistemi di DLP siano in stretto accordo, per non esporre l'azienda a contestazioni che potrebbero essere molto onerose.
Avira VS GDPR
Di rapporto tra antivirus e GDPR si è parlato nell'estate 2020 con il "caso Avira". Avira è un antivirus tedesco da sempre al top della classifica per quanto riguarda i software per la sicurezza gratuiti. Leggero, poco invasivo e performante anche sui dispositivi più datati, promette protezione anche senza la versione a pagamento (che esiste ed è dotata di tool più completi anche per uso business). Come quasi tutti i programmi antimalware ha anche la versione mobile con app da scaricare ed è proprio questa ad essere finita sotto accusa. Tutte le applicazioni per smartphone al momento del download espongono il funzionamento nel dettaglio e soprattutto i permessi che sono necessari all'app stessa per funzionare. Cosa sono i permessi? In pratica, le porte che è necessario che restino aperte per permettere all'app di funzionare correttamente. Come ogni porta che rimane aperta, però, alla funzione precipua si affianca un rischio. È buona regola controllare sempre la lista dei permessi ogni qualvolta scarichiamo una qualsiasi app sui nostri dispositivi. A fronte di una gratuità sull'applicazione potremmo finire per concedere ai suoi sviluppatori più di quanto vorremmo in termini di accessi e privacy. L'app gratuita di Avira presenta esattamente questo "problema": per poter funzionare richiede 42 permessi e installa 15 tracker di terze parti. Questi ultimi servono a profilare l'utente, tenere traccia delle cronologie delle navigazioni per dedurne gusti, abitudini e luoghi frequentati allo scopo di offrire pubblicità mirate. Avira condivide i dati raccolti da questi tracker con Facebook, Google e con delle agenzie pubblicitarie. Inoltre, richiede l'accesso anche a microfono, videocamere, localizzazione GPS, rubrica, registro chiamate e scheda SD. Probabilmente un po' troppo per un'applicazione che dovrebbe difendere dalle intrusioni esterne e invece finisce per voler conoscere troppe cose dell'apparecchio che dovrebbe proteggere.
È sicuramente possibile andare a disabilitare questi permessi "eccessivi", ma non c'è alcuna garanzia che l'app non continui comunque il suo tracciamento e che soprattutto la protezione antivirus resti efficace. Il confine tra quanto serve al funzionamento e quanto invece a garantire un profitto nonostante la gratuità è molto sottile. Il dubbio, che Avira non ha mai chiarito, è quanto tutta questa attività sia effettivamente rispettosa del GDPR che, lo ricordiamo, è un regolamento europeo.
Attenzione agli antivirus gratuiti!
Avira non è il solo antivirus free che è caduto nella trappola del GDPR: in precedenza anche su Avast erano stati sollevati dei dubbi. Questo avrebbe dovuto far raggiungere una nuova consapevolezza ai produttori, se non altro che gli utenti sono più attenti e richiedono risposte più chiare. Il timore che questi siano solo due dei tanti casi c'è ed è sempre più concreto. Sotto la lente sono ancora gli antivirus gratuiti: sarebbero troppo invasivi e non proteggerebbero in realtà così tanto bene. Basti pensare che si aggiornano in media dalle 7 alle 10 volte in meno di un programma analogo a pagamento e non offrono alcun tipo di protezione proattiva. Nonostante il loro utilizzo sia sconsigliato in ambito business, continuiamo a vederne ancora troppi su pc e smartphone aziendali. L'antivirus deve proteggere la macchina, certamente, ma non deve ledere la privacy di chi la sta utilizzando. Questo è vero anche in caso si attuino delle policies di DLP centralizzate a livello aziendale. I software più avanzati garantiscono un alto livello di prevenzione da fughe e furti di dati, senza per questo regalare al datore di lavoro un tracciamento minuzioso dell'attività del dipendente. Avere sempre presente quali sono i confini che il GDPR impone di non dover superare è fondamentale perché abbiamo già visto come l'Italia sia ai primi posti in Europa per le sanzioni da violazione e i controlli continuano e sono sempre più accurati .Contattateci per un'analisi gratuita dei sistemi di protezione di cui la vostra azienda è dotata. Vi sapremo indicare come proteggere al meglio i vostri dati senza compromettere la privacy vostra e dei vostri collaboratori.