Data Breach, sempre più attacchi nell’era della pandemia
Procedura da implementare a difesa dei nostri dati personali
I nostri dati personali immessi in internet fanno gola a molti soggetti, non è un segreto professionale di noi consulenti, lo sappiamo bene che le big dell’informatica sono avide di queste preziose informazioni, ma non dobbiamo dimenticare, che esistono dei criminali in rete, ovvero gli hacker, che con le loro azioni illegali, cercano senza autorizzazione di sottrare dati tramite accesso abusivo e nascosto per poi richiedere riscatti per avere indietro i dati oppure per venderli nel deep/dark web ai migliori offerenti. La scoperta di queste violazioni impone ai Titolari del trattamento di attivare delle procedure e notificare l’accaduto a differenti soggetti, se sei interessato ad approfondire la materia continua a leggere l’articolo per scoprire quello che il Regolamento europeo per la protezione dei dati (chiamato anche GDPR) impone di seguire, non parleremo di un semplice cambio password, ma vedremo vari punti tra cui la notifica della violazione dei dati personali.
Cos’è il data Breach
Il termine anglofono del regolamento indica una violazione di sicurezza dei dati personali, che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, danni fisici ad apparecchiature, la divulgazione non autorizzata o l’accesso ai dati trasmessi, conservati o comunque trattati, quindi una possibile violazione con relativi possibili effetti negativi per i soggetti coinvolti. Una violazione di queste informazioni può compromettere la riservatezza, l’integrità o la disponibilità di dati personali, ossia dei tre principi importanti che devono essere presi in considerazione quando si parla di protezione e sicurezza di dati informatici (acronimo RID). Il regolamento prevedere che i dati personali possano essere trattati solamente da persone con un accesso autorizzato da parte del titolare del trattamento, le figure dell’incaricato interno o il responsabile del trattamento. Titolare del trattamento è colui che ha l’obbligo di impostare le opportune misure di sicurezza ma anche le misure e tecniche organizzative adeguate alla protezione dei dati personali.
Queste violazioni possono essere le più molteplici e spesso leggendo le notizie su internet alcune sembrano delle storie di fantasia, ma invece sono reali ed i pericoli per i diritti di libertà sono molteplici. Dalle e-mail di fantomatici principi africani che bloccano i pc e richiedono un pagamento per ottenere una decifratura autorizzata, a chiavette usb lasciate nei tavoli che una volta inserite infettano i pc, dispositivi mobili (laptop e smartphone) rubati e privi di minime misure di sicurezza, lo smarrimento di tali dispositivi mobili, perdita o modifica accidentale di file contenenti dati personali, fino a problemi di natura funzionale dovute alle più svariate cause che possono portare alla distruzione o perdita oppure diffusione di dati che dovrebbero essere segreti, certamente non una diffusione autorizzata. Sarebbe impossibile elencare tutte le possibili cause di data breach, ma il minimo comune denominatore nella maggior parte dei casi è l’errore umano, per questo è sempre fondamentale pianificare una formazione in modo tale da sensibilizzare le persone coinvolte sul tema del controllo dei dati personali.
Recentemente i casi che hanno trovato posto nelle cronache nazionali ed internazionali hanno visto i casi dell’ospedale San Raffaele di Milano, la linea di voli low cost EasyJet, il sito INPS e quello alla catena di supermarket Morrisons. Possiamo vedere da questa breve lista come questi incidenti possono colpire i più disparati settori. I data breach si differenziano anche per la loro dimensione. I più grandi breach della storia hanno numeri incredibili, parliamo dei casi MySpace (360 milioni account violati) del 2008 e della catena alberghiera Marriot, il gruppo alberghiero più grande al mondo (500 milioni di dati rubati) con gravi pericoli anche le libertà fisiche.
Cosa fare in caso di violazione dei dati personali
In presenza di un Data Breach è necessario intraprendere una valutazione delle azioni da prendere, in linea con la normativa europea, ovvero delle procedure, volte a identificare e contenere la violazione ed i possibili effetti negativi. Adesso vediamo nel dettaglio questi passaggi fondamentali per la tutela dei soggetti coinvolti nel Breach. Iniziamo affermando che la sicurezza assoluta per le informazioni in rete non esiste, gli incidenti possono accadere, l’importante è garantire un adeguato livello di sicurezza e saper agire correttamente in caso di violazione dei dati e possiamo identificare 5 fasi, ovvero:
- rilevazione della violazione
- gestione della violazione
- analisi della violazione
- notifica all’autorità competente
- (eventuali) comunicazioni agli interessati
- registrazione delle violazioni
In primo luogo, vediamo che la rilevazione della violazione è la prima attività da compiere, ovvero è necessario comprendere che tipo di breach abbiamo subito (furto, intrusione, distruzione ecc.). Esistono strumenti che rilevano i pericoli provenienti dall’esterno, ma come accennato in precedenza, non si deve dimenticare dei pericoli provenienti dall’interno alle aziende per mezzo di errori umani che alterano la sicurezza del sistema informatico.
Dopo aver rilevato la presenza di un Data Breach è necessario attivare una valutazione tecnica della violazione, in modo tale da ridurre e/o eliminare la falla che ha permesso l’intrusione/violazione con opportune misure correttive. Attraverso un controllo competente è possibile analizzare le tecniche organizzative utilizzate e comprendere cosa ha portato ad una violazione della sicurezza.
Terminata la valutazione tecnica è necessario valutare i danni che sono derivati da questo evento, le conseguenze della violazione. L’analisi della violazione è molto importante in quanto ogni evento di questo tipo è diverso ed unico rispetto gli altri in quanto i dati compromessi possono essere sia personali ma anche non personali, un conto è se la violazione ha interessato un limitato numero di persone, diverso se ha le dimensioni come i casi Marriot e MySpace, differente inoltre è se i dati riguardano informazioni comuni oppure informazioni particolari/sensibili. Notiamo bene come avere precise informazioni sulla violazione dopo il breach è di fondamentale importanza per impostare le azioni correttive.
In seguito, è necessario valutare se fare una segnalazione / comunicazione al Garante per la protezione dei dati personali ed alle persone interessate. Questo punto è molto importante e ne parleremo in maniera più dettagliata di seguito in un capitolo dedicato.
Ultima fase è quella della registrazione della violazione nell’apposito registro, in modo da creare uno storico e dare evidenzia di tutte le informazioni acquisite nelle fasi precedenti.
Queste sono le fasi necessarie in una procedura di data breach.
Processo di notificazione
L’articolo 33 del Regolamento europeo UE 679/2016 prescrive al titolare del trattamento dei dati personali di effettuare una notifica di violazione, riportando i dettagli della violazione subita al Garante della privacy. Questa comunicazione deve avvenire entro 72 ore dalla conoscenza della violazione dei dati personali. C’è una eccezione a questo obbligo, ovvero quando è impossibile che tale evento possa causare danni agli interessati.La notifica al Garante deve presentare precise caratteristiche:
- una descrizione della violazione della riservatezza dei dati personali, possibilmente indicando la tipologia di dati violati ed il numero di interessati coinvolti;
- indicare il nome del Responsabile della protezione dei dati (Data protection officer o DPO) se nominato oppure di un riferimento interno che possa dare maggiori informazioni;
- Indicazioni delle possibili conseguenze del breach;
- indicazioni in merito alle contromisure adottate o proposte come rimedio alla violazione e per ridurre le conseguenze.
Il data breach se comporta dei rischi per i soggetti interessati impone un ulteriore obbligo, ovvero quello di avvisare del fatto le persone coinvolte quando è presente un rischio elevato per le loro libertà. Questo è previsto dall’art. 34 GDPR.
Il contenuto della documentazione è simile a quella che deve essere rivolta al Garante per la protezione dei dati personali, obbligo che scatta quanto è possibile collegare il dato ad una persona fisica identificata. il suggerimento è quello di utilizzare una comunicazione meno formale e di spiegare alle persone quello che è successo e le contromisure adottate, questa è una metodologia della gestione della violazione dei dati personali responsabile.
Quali sono i rischi conseguenti a un data breach
I rischi conseguenti ad una violazione della riservatezza dei dati possono essere molteplici, ma ne evidenzierei due in particolare, entrambi di natura economica, diretta ed indiretta.
La conseguenza di natura economica diretta può derivare dal fatto che l’autorità di controllo, a seguito della notifica all’autorità ed accertamenti eseguiti con l’ausilio del nucleo speciale della Guardia di Finanza, può evidenziare delle inadempienze e può irrogare una sanzione, che ricordiamo può assumere valori anche molto elevati (fino a 20 milioni o il 4% del fatturato mondiale dell’anno precedente).
La conseguenza economica indiretta ricade sulla reputazione, i soggetti interessati (cioè clienti generalmente) che potrebbero perdere fiducia nei confronti della società e rivolgersi ad altri più attenti ai diritti e libertà fisiche.
Ecco che tutte queste considerazioni fanno notare quanto sia importante prende seriamente questo tema, e non dobbiamo sottovalutare questi attacchi pensando che la propria società non subirà mai una violazione, perché i criminali sono sempre molto attivi, anche nel periodo di lockdown, e come evidenziato in precedenza l’errore umano è una modalità di breach frequente.