Data Breach: rischi e gestione

Il termine inglese “data breach” in italiano si traduce in “violazione dei dati”. Riguarda sia il mondo della sicurezza informatica che i trattamenti analogici.
Il data breach è una violazione di sicurezza in cui dati sensibili, riservati o personali vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Questo può verificarsi in diverse circostanze, come la perdita accidentale, il furto, l’infedeltà aziendale o l’accesso abusivo.

Tipi di Data Breach

I data breach rappresentano la compromissione della sicurezza dei dati, esponendo informazioni sensibili. Questi incidenti variano da attacchi informatici a perdite non autorizzate anche involontarie, minacciando la privacy digitale.

1 – Perdita Accidentale e involontaria

Un esempio di data breach è la perdita accidentale di un supporto di archiviazione portatile contenente dati personali. In questo caso si può verificare una perdita di riservatezza e di disponibilità.

2 – Furto o rapina

Anche il furto di un notebook, tablet o smartphone (ma anche pen drive) può costituire un data breach, in mancanza di misure di sicuruezza come il backup e la crittografia.

3 – Infedeltà Aziendale

Si può verificare un data breach anche se un dipendente infedele, autorizzato a trattare i dati personali nell’ambito della sua mansione, utilizza tali dati al di fuori di quanto previsto.

4 – Accesso Abusivo o non autorizzato

Il data breach può anche verificarsi quando un soggetto tratta i dati personali senza alcuna autorizzazione violando i sistemi informativi tramite tecniche di hacking.

Conseguenze del Data Breach

Cosa succede in caso di data breach?

In caso di data breach ci sono tre possibili conseguenze

Perdita di riservatezza

La divulgazione o l’accesso ai dati da parte di terzi non autorizzati può comportare gravi violazioni della privacy.

Perdita di integrità

I dati potrebbero subire alterazioni non autorizzate che ne comprometterebbero l’affidabilità e l’accuratezza.

Perdita di disponibilità

I dati potrebbero risultare indisponibili temporaneamente o in modo permanente.

Data Breach: cosa fare in caso di violazione dei dati

In caso di violazione dei dati, è importante agire rapidamente per proteggere le persone dall’impatto che tale evento potrebbe avere sui loro diritti e sulle loro libertà

1 – Fase di Valutazione del Data Breach

Identificare i Dati Coinvolti

Comprendi quali dati sono stati violati, quali asset sono stati colpiti e quali potenziali danni aggiuntivi è possibile che si generino in futuro. Questa è la prima fase cruciale per affrontare l’accaduto.

Stabilire una Priorità

Individua un ordine di priorità e di criticità dei dati e dei servizi coinvolti. In alcuni casi, potresti dover interrompere alcuni servizi temporaneamente per contenere un eventuale attacco.

Scoprire l’Origine

Analizzare le violazioni, le relative cause ed i conseguenti effetti è molto importante per prevenire future ricorrenze e mitigare gli esiti derivanti.

2 – Fase di Risposta al Data Breach

Valutare l’Impatto

Misura l’entità dell’impatto sugli interessati del data breach. Questo ti aiuterà a determinare quali azioni sono necessarie per mitigare gli effetti indesiderati sulle persone e ove possibile porvi rimedio.

Copie Forensi

Esegui copie forensi dei sistemi coinvolti per raccogliere prove e identificare gli eventi occorsi.

Ripristinare e Proteggere

Lavora per ripristinare la riservatezza, l’integrità e la disponibilità dei dati mantenendo la resilienza dell’organizzazione e proteggendo le persone coinvolte.

3 – Fase di Notifica

Segnalare alle Autorità

In alcuni casi, potresti essere tenuto a segnalare l’incidente al Garante per la protezione dei dati personali e agli interessati. Valuta attentamente i rischi per le persone e lascia traccia delle attività effettuate ai fini dell’accauntability.

Esempi di violazioni dei dati personali

Nel mondo digitale in cui viviamo, diverse categorie di dati sono soggette a violazione che impattano sui numerosi ambiti della vita delle persone. Vediamo alcuni esempi suddividendoli in diverse sezioni.

Violazioni di dati finanziari

Dati delle Carte di Credito

Una delle categorie più comunemente soggetta a violazioni sono le informazioni finanziarie. Queste violazioni coinvolgono spesso i dati delle carte di credito, che sono un obiettivo allettante per i cybercriminali. Quando i dati delle carte di credito vengono compromessi, gli hacker possono effettuare transazioni non autorizzate, causando gravi danni finanziari.

Dati Bancari

Oltre alle carte di credito, anche i dati dei conti correnti sono a rischio. Le violazioni possono portare alla divulgazione di numeri di conto corrente e altre informazioni bancarie, consentendo agli attaccanti di accedere ai conti delle vittime o di effettuare frodi finanziarie.

Violazioni dei dati sanitari

Dati relativi alla salute delle persone

Un’altra area critica riguarda le violazioni di dati sanitari. Le informazioni sulla salute personale, come la storia clinica e le condizioni mediche, sono estremamente sensibili. Le violazioni in questo settore possono avere gravi conseguenze sulla vita delle persone coinvolte.

Dati sulla ricerca scientifica

Oltre alle informazioni personali sulla salute, i dati sulle malattie rare e sugli studi clinici sono estremamente delicati. Questi dati includono informazioni su epidemie, statistiche mediche e ricerche farmacologiche. La violazione di tali dati potrebbe avere effetti ancora più gravi sulle persone soggette a questi trattamenti che possono appartenere a categorie fragili e quindi l’impatto su di loro avrebbe effetti ancor più gravi.

Violazioni personali

Dati di Documenti di Identità

Le violazioni di dati personali, come i dati dei documenti di identità e i codici personali soo quelle più frequenti. Questi dati sono utilizzati per l’identificazione e l’autenticazione, e la loro compromissione può portare a gravi conseguenze nella vita quotidiana delle persone coinvolte.

Lista Clienti e Progetti Riservati

Anche le liste dei clienti ed informazioni aziendali riservate sono spesso bersaglio di attacchi informatici. La divulgazione di tali informazioni può consentire disagi e perdita dei diritti alle persone, facilitare pratiche di concorrenza sleale e danneggiare la reputazione aziendale.

Adempimenti previsti in caso di violazione dei dati: Come Proteggere le persone ed i loro dati

Il GDPR prevede l’obbligo di valutare le violazioni, i rischi per gli interessati e l’impatto sulla loro vita e se del caso la notifica all’autorità competente. Vediamo dunque dettagli di questi adempimenti e scopriremo come le aziende e la pubblica amministrazione devono operare in caso di una violazione dei dati personali.

Quali sono gli adempimenti previsti

In caso di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come ad esempio incendi, che determinano la perdita di riservatezza, di integrità e di disponibilità dei dati, è necessario seguire le previsioni del regolamento UE 2016/679.

Data Breach a società di servizi digitali come internet service provider e compagnie telefoniche

I fornitori di servizi sono soggetti particolarmente critici perché una violazione dei loro sistemi impatta sulle persone su larga scala, in quanto può riguardare interessati di cui sono titolari ma anche soggetti di cui sono responsabili del trattamento. In caso di violazione dei dati personali, essi devono effettuare diverse valutazioni e comunicazioni verso le società a cui erogano servizi e verso l’autorità competente.

Come Ridurre i Rischi e Prevenire i Data Breach

La prevenzione dei data breach è fondamentale. Occorrono specifiche e accurate valutazioni dei rischi e la previsione di misure di sicurezza e mitigazione di tipo legale, tecnologico e organizzativo. Le violazioni dei dati rappresentano una seria minaccia per la sicurezza delle informazioni, ma è possibile adottare misure per ridurre i rischi e prevenirle efficacemente.

1 – Consapevolezza

La prima difesa contro le violazioni dei dati è la consapevolezza. Assicurati che tutti i membri dell’organizzazione comprendano i rischi legati alla sicurezza dei dati e le loro responsabilità nella prevenzione delle violazioni.

2 – Politiche di sicurezza dei dati

Implementa politiche chiare e rigorose per la gestione dei dati, inclusi protocolli di accesso, condivisione e conservazione dei dati. Assicurati che siano rispettate e periodicamente revisionate.

3 – Formazione e sensibilizzazione

Fornisci formazione regolare al personale sull’importanza della sicurezza dei dati e sulle migliori pratiche per mantenerli al sicuro. Questo può aiutare a prevenire errori umani che portano a violazioni.

4 – Controllo degli accessi

Limita l’accesso ai dati solo alle persone che ne hanno bisogno per svolgere le proprie mansioni. Usa sistemi di autenticazione a più fattori per proteggere l’accesso a dati sensibili.

5 – Monitoraggio costante

Implementa sistemi di monitoraggio dei dati per rilevare eventuali attività sospette o tentativi di accesso non autorizzato in tempo reale. La tempestiva identificazione delle minacce è essenziale per una risposta efficace.

6 – Crittografia

Utilizza la crittografia per proteggere i dati sensibili, sia durante la memorizzazione che durante la trasmissione. Questa tecnologia può rendere i dati incomprensibili per chiunque non abbia l’autorizzazione corretta.

7 – Backup regolari

Esegui backup regolari dei dati importanti e conservali in luoghi sicuri. In caso di violazione, disporre di copie dei dati può ridurre l’impatto.

8 – Gestione delle vulnerabilità

Mantieni tutti i sistemi e il software aggiornati con le ultime patch di sicurezza per proteggerli da vulnerabilità note. Monitora costantemente i rapporti di sicurezza e risolvi tempestivamente eventuali problemi.

9 – Pianificazione della risposta

Prepara un piano di risposta alle violazioni dei dati che definisca chiarezza le azioni da intraprendere in caso di incidente. Questo aiuterà a ridurre il tempo di reazione e a limitare l’entità dei danni.

10 – Collaborazione con esperti

Considera di collaborare con esperti di sicurezza informatica o consulenti esterni per valutare e migliorare costantemente le tue misure di sicurezza dei dati. La prevenzione delle violazioni dei dati richiede uno sforzo costante e la consapevolezza che le minacce possono evolversi nel tempo. Tuttavia, adottando queste strategie e mantenendo una cultura di sicurezza dei dati in tutta l’organizzazione, è possibile ridurre significativamente i rischi e proteggere le informazioni sensibili.

Uno standard importante da seguire è l’ISO 27040, che fornisce linee guida per evitare episodi di data breach. Questo standard copre aspetti di minacce, vulnerabilità e controlli associati a scenari di archiviazione tipici.

Domande Frequenti sul Data Breach

Per proteggere i dati finanziari, è consigliabile utilizzare password complesse, attivare l’autenticazione a due fattori e monitorare regolarmente i conti bancari per rilevare attività sospette.

In Italia, la protezione dei dati personali è disciplinata dal Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea 2016/679 e dal D.Lgs. 196/2003 poi novellato dal D.Lgs. 101/2018, detto Codice Privacy.

Se sospetti di essere stato coinvolto in una violazione di data breach, dovresti contattare immediatamente l’azienda o l’organizzazione coinvolta e seguire le loro indicazioni per proteggere i tuoi dati.

Le conseguenze legali per i cybercriminali possono includere multe significative e pene detentive, a seconda della gravità della violazione e delle leggi locali.

Puoi rimanere aggiornato sulla sicurezza informatica seguendo blog e risorse online dedicate, partecipando a webinar e corsi di formazione, e unendoti a comunità di esperti del settore.

Se non si rispettano gli adempimenti previsti dall’art.33 del GDPR, prima elencati, si possono subire sanzioni finanziarie significative.

Dal 2018 si è passati da una previgente norma prescrittiva all’attuale analisi dei rischi e all’implementazione di misure IDONEE a mitigare i rischi identificati. Tuttavia alcune misure di sicurezza consigliate includono la crittografia dei dati, la formazione del personale e la sorveglianza continua dei sistemi.

Il responsabile della protezione dei dati personali in un’azienda è il titolare del trattamento, ai sensi dell’art. 4 del GDPR.

È necessario premettere che la traduzione del regolamento europeo 2016/679 dalla lingua inglese all’italiano ha creato non pochi malintesi relativamente al termine ”responsabile”. Infatti troviamo che il termine “processor” di cui all’art. 28 è stato tradotto con “responsabile del trattamento” ed anche il famoso “data protection officer”, citato all’art. 37 corrisponde al “responsabile della protezione dei dati”.
Bene, o per meglio dire male, in quanto ai non addetti ai lavori potrebbe apparire chiaro che la responsabilità in caso di violazioni ricada su questi soggetti, cosiddetti responsabili.
Invece è vero il contrario. Questi “responsabili” in caso di violazioni non sono imputabili dell’accaduto, in quanto le responsabilità, ovvero gli impegni, riguardano direttamente il titolare del trattamento che è il soggetto, persona fisica o giuridica che determina le finalità e i mezzi del trattamento di dati personali.

Il Responsabile della Protezione dei Dati (acronimo italiano RPD), ovvero il Data Protection Officer (acronimo in inglese DPO), i cui compiti sono descritti all’art. 39 del GDPR, deve informare, fornire consulenza e pareri al titolare del trattamento, sorvegliare che egli osservi le previsioni della normativa vigente in materia di protezione dei dati personali e fungere da punto di contatto con l’autorità di controllo e verso tutti gli interessati.

Il Garante riceve le notifiche di violazione dai titolari e valuta l’eventuale violazione delle prescrizioni della normativa vigente in materia di protezione dei dati personali. Ciò potrebbe includere la richiesta di azioni correttive e l’imposizioni di eventuali sanzioni di natura amministrativa.

A meno che sia improbabile che una violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, il GDPR impone ad ogni titolare, nel caso indicato, di notificare l’accaduto all’Autorità Garante Privacy. In questi casi non notificare l’incidente comporta una violazione del Regolamento Europeo ed una possibile sanzione il cui valore dipende dall’entità, dimensione e contesto della violazione stessa e del titolare.

Per proteggere i dati sensibili dalla perdita accidentale, è consigliabile utilizzare sistemi di crittografia e implementare procedure di gestione dei dati sicure.

Se sospetti un data breach, dovresti immediatamente isolare il problema, effettuare una valutazione completa e informare le autorità competenti, se necessario.

Le copie forensi sono fondamentali per raccogliere e cristallizzare elementi di prova informatici. Possono essere utilizzate per comprendere l’entità di ciò che è accaduto, identificare le vulnerabilità e migliorare la sicurezza dei sistemi.