La geolocalizzazione è una tecnologia che utilizza i dati acquisiti dal computer o dal dispositivo mobile di un individuo per identificarne o descriverne l’effettiva posizione fisica. Grazie a questo strumento è possibile raccogliere due tipi di dati: informazioni attive su utente/dispositivo e correlazione di ricerca/dati basata su server passivi, incrociando i dati tra loro per creare il risultato più accurato sulla posizione fisica.
Con il numero di utenti di smartphone in continua crescita e oltre due milioni di app disponibili nei marketplace Android e iPhone, la presenza di questa tecnologia continuerà ad aumentare.
I dati di geolocalizzazione hanno diversi utilizzi, ognuno dei quali può essere adattato a particolari app, ambienti o imprese. Questi usi comprendono attualmente la localizzazione, l’applicazione di restrizioni di accesso basate sulla posizione geografica, la prevenzione di frodi e l’analisi del traffico di rete dei singoli dispositivi. La diffusione di queste tecnologie e la loro crescente domanda pone problematiche relative alla sicurezza delle informazioni, spesso private e/o sensibili, a esse associate. È quindi importante essere particolarmente consapevoli dei problemi relativi alla sicurezza e alla privacy per poter utilizzare gli strumenti di geolocalizzazione in modo responsabile.
I rischi
Grazie alla tecnologia di localizzazione, l’esperienza dell’utente può essere personalizzata in modo unico, il che fa gola a esperti di marketing, rivenditori, enti governativi, Forze dell’Ordine, avvocati e, sfortunatamente, criminali. Con la crescita del bacino di utenza di questi servizi e l’aumento di app che sfruttano tali tecnologie sui dispositivi mobili, la prospettiva di attacchi criminali diventa sempre più preoccupante.
Un esempio: le grandi aziende di solito archiviano dati posizionali su server remoti. Tramite tali informazioni, è possibile identificare la posizione fisica e il computer di un utente. L’uso del GPS su un computer o dispositivo mobile e i tag di geolocalizzazione su immagini e video possono rivelare anche informazioni personali come indirizzi di casa, lavoro e scuola e un itinerario giornaliero. Un criminale informatico può quindi estrarre informazioni personali (ad es. Numeri di carta di credito e numeri di identificazione governativa) utilizzando processi di social engineering, malware, keylogger e meccanismi di minaccia persistenti per rubare l’identità di un utente.
Ma c’è di più: i fattori di rischio nell’utilizzo della tecnologia di geolocalizzazione si estendono ben oltre il singolo individuo.
Dal punto di vista aziendale, i dati relativi alla posizione presentano un rischio unico. Ad esempio, questo tipo di informazioni potrebbero offrire un vantaggio competitivo ad altre imprese rispetto a una data azienda. La conoscenza del fatto che un gruppo di dirigenti si trovi in una data posizione potrebbe costituire una divulgazione non autorizzata di informazioni commerciali riservate, relative per esempio a una fusione, un’acquisizione o simili. Questo tipo di violazione può influire su reputazione, forza del marchio e rendiconti finanziari di un’azienda vittima.
Per i dipendenti, invece, esiste il rischio che i loro datori di lavoro utilizzino i dati di geolocalizzazione per monitorarli durante e al di fuori dell’orario di lavoro.
Potrebbe anche esserci un motivo giustificabile, ad esempio identificare e localizzare dipendenti assenteisti, ma tale pratica potrebbe anche estendersi in una zona grigia, come il monitoraggio delle attività ricreative di un dipendente perché il datore di lavoro ritiene che possano influenzare negativamente la sua produttività o la reputazione aziendale. Le imprese che raccolgono e/o utilizzano i dati di geolocalizzazione hanno quindi un compito difficile: bilanciare le preoccupazioni relative alla privacy e all’uso etico di tali informazioni con le sfide e le opportunità offerte da questo settore in costante crescita.
Come prevenire i rischi
Si può mitigare il rischio relativo alle tecnologie di geolocalizzazione in due modi: attraverso le protezioni tecnologiche e attraverso l’utente.
Le imprese, innanzitutto, non dovrebbero considerare la privacy come un ostacolo normativo da saltare, ma come una forma di tutela della propria clientela. Ciascuna azienda deve perciò aderire a tutte le normative, linee guida e standard applicabili del settore.
Dovrebbero inoltre essere implementati nell’ambito dei servizi di geolocalizzazione misure di controllo appropriate. Ad esempio, il sistema operativo e i software che sfruttano questa tecnologia dovrebbero essere aggiornati periodicamente, le patch dovrebbero essere implementate tempestivamente e i backup dei sistemi dovrebbero essere eseguiti regolarmente.
Inoltre, dovrebbero essere istituiti programmi di comunicazione, formazione e sensibilizzazione per addestrare l’utente, lo sviluppatore e altre parti che raccoglieranno o utilizzeranno i dati alla tutela degli stessi.
Infine, dovrebbe essere istituita una struttura di monitoraggio e comunicazione per gestire in modo proattivo eventuali problemi e violazioni.
Oltre alle misure di sicurezza implementate presso l’impresa che fornisce i servizi di geolocalizzazione, sono gli utenti a svolgere un ruolo chiave nella salvaguardia delle loro informazioni personali. Come primo passo, questi dovrebbero identificare all’interno dell’applicazione o del servizio come disabilitarli e comprendere le reali capacità di questa tecnologia. Inoltre, gli utenti dovrebbero tenersi aggiornati e aumentare la consapevolezza propria e dei propri cari relativamente alla gestione dei dati di geolocalizzazione: le azioni di familiari, amici e colleghi potrebbero rivelare informazioni basate sulla posizione che si potrebbero voler mantenere private.
Ad esempio, le funzionalità di codifica dei social media possono identificare inavvertitamente un individuo e divulgare i dati di geolocalizzazione a questi associati. Man mano che gli utenti diventano più consapevoli e comprendono i relativi rischi, inizieranno a riflettere attentamente prima di pubblicare o taggare i contenuti sui social. Ciò richiederà uno sforzo collaborativo tra imprese e utenti e un cambiamento nel comportamento di tutti per tutelare la prova privacy in un mondo sempre più digitale.
Sei interessato ad altri contenuti di cyber security?
Continua a seguire il blog targato Musa Formazione e scopri il corso di Ethical Hacker & Security Manager per diventare un esperto di cyber security.
Alla prossima!