Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità dei dati stessi: questa prende il nome di Data Breach.
I dati sono sempre più al centro dell’interesse del cyber-crime, che si tratti di informazioni sensibili sottratte, attacchi ransomware o configurazioni errate.
Indice dei contenuti:
Data Breach: di cosa si tratta?
Come definito nell’articolo 4, c. 12 del Regolamento UE 679/2016, si definisce Data Breach “ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Il Data Breach comporta, quindi, una compromissione dell’integrità dei dati personali o della loro riservatezza.
Quando si verifica il Data Breach?
Le violazioni che si possono verificare con un Data Breach sono diverse, affinché si possano distinguere è opportuno individuare tre macro-aree.
Confidentiality Breach. Si tratta della tipologia più comune, che avviene con un accesso non autorizzato, accidentale o abusivo. Tra gli errori più comuni, ad esempio, figura l’invio della busta paga a una persona diversa da quella di riferimento: è stata un’azione accidentale, ma è comunque da considerarsi una violazione.
Availibility Breach. Si verifica in caso di perdita o distruzione di dati. Sebbene possa risultare una violazione singolare, si incorre nel Data Breach quando si presenta la perdita della possibilità di accedere a un servizio o nell’eliminazione di dati sulla pendrive contenente documenti importanti, non reperibili in altre modalità.
Integrity Breach. in caso di modifica non autorizzata o accidentale di dati. In questo caso, il Data Breach prende forma quando un soggetto terzo, senza autorizzazione, entra a contatto con i dati personali ed effettua una modifica.
Due data breach del 2023
Anche nel 2023, le violazioni dei dati hanno continuato a rappresentare una minaccia significativa per aziende di tutte le dimensioni.
1. Uber:
Nel 2023 Uber ha subito una massiccia violazione che ha compromesso i dati di 57 milioni di utenti e driver. L’attacco è stato opera di un hacker che ha sfruttato una vulnerabilità nel software di autenticazione multi-fattore (MFA) di Uber.
L’attacco ha avuto un impatto significativo sulla reputazione di Uber e ha portato a un’indagine da parte della Federal Trade Commission (FTC). Uber ha preso diverse misure per migliorare la sua sicurezza informatica, ma l’attacco ha evidenziato la necessità di una maggiore attenzione alla sicurezza del MFA.
2. LastPass:
A novembre 2023, LastPass, un gestore di password, ha subito una violazione dei dati che ha compromesso i dati di 33 milioni di utenti. L’attacco è stato opera di un hacker che ha ottenuto l’accesso ai sistemi di LastPass attraverso un attacco di phishing.
L’attacco ha avuto un impatto significativo sugli utenti di LastPass, che hanno dovuto cambiare tutte le loro password. LastPass ha preso diverse misure per migliorare la sua sicurezza informatica, ma l’attacco ha evidenziato la necessità di una maggiore attenzione alla sicurezza dei gestori di password.
Cosa fare in caso di Data Breach?
Quando si verifica il Data Breach è opportuno effettuare un iter di intervento che verte principalmente sulla valutazione e sulle successive comunicazioni all’ente di riferimento.
Quando si verifica una violazione dei dati, occorre anzitutto valutare se comunicare o meno il Data Breach all’autorità Garante. La comunicazione deve essere riferita dal titolare del trattamento dei dati personali, in modo che si possa inoltrare il percorso di risoluzione migliore per le parti in causa.
Nella condizione in cui il titolare ha preso atto che vi siano dei rischi concreti per i diritti e la libertà di persone fisiche, allora questi dovrà inoltrare la notifica al Garante entro e non oltre le 72 ore dal momento in cui ne è venuto a conoscenza. Sarà poi l’Autorità a definire i metodi migliori di intervento e le condizioni da applicare per ripristinare lo status quo.
Inoltre, se la violazione comporta un rischio rilevante, il titolare dovrà comunicare tali violazioni ai soggetti interessati seguendo i canali più idonei. La comunicazione può avvenire secondo le modalità che il titolare preferisce; ad esempio, se il numero di soggetti coinvolti fosse ristretto è possibile effettuare la comunicazione in modo diretto.
Superate le 72 ore e nella condizione in cui il titolare non comunichi la violazione, il GPDR potrebbe inoltrare sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo.
Tutela preventiva
Spesso le aziende si accorgono di quanto sia importante tutelare i dati personali solo quando si verificano episodi di Data Breach.
Affinché si possa applicare un atteggiamento preventivo è molto importante che vi sia una adeguata formazione in materia di sicurezza. Per quanto i Data Breach possano sembrare inevitabili, in realtà si presentano nella gran parte dei casi a causa di errori umani accidentali.
La formazione dei dipendenti è fondamentale per incrementare il livello di sicurezza informatica e la gestione degli imprevisti in contesto aziendale; allo stesso modo, cambiare la password periodicamente, utilizzare sistemi di protezione a due fattori, identificare potenziali malware ed email phishing sono azioni che possono essere molto utili per ridurre al minimo le potenziali violazioni.
Analisi del Data Breach
Identificare, o per meglio dire valutare, le violazioni è indispensabile per riuscire a comunicare in modo rapido l’attività sospetta all’autorità Garante. La valutazione del Data Breach si può così articolare:
- definizione del grado di criticità, relativamente alla quantità e all’importanza dei dati trattati, ed eventuale comunicazione al Garante, tramite un’apposita procedura telematica resa disponibile nel portale dei servizi online dell’Autorità;
- Individuazione dei punti di vulnerabilità e di risoluzione del problema. Effettuate analisi e comunicazione, diventa essenziale comprendere quale possa essere il percorso di risoluzione. L’autorità Garante comunicherà le condizioni migliori di intervento stabilendo le possibili sanzioni pecuniarie e le modalità d’intervento più veloci per risolvere la problematica.
- Considerazione sulle misure di sicurezza adottate a violazione avvenuta;
- Possibilità di effettuare ulteriori investimenti in un’ottica di rafforzamento delle misure di sicurezza.
Data Breach: quanto può incidere un servizio di hosting e cloud?
La prevenzione, in molti casi, è una delle soluzioni più efficaci. L’infrastruttura IT incide sulla probabilità che determinati episodi vengano a verificarsi.
In questo senso, l’impegno di Shellrent è particolarmente attivo: presidiamo reti e infrastrutture IT mediante un’attività che si sviluppa attorno alla gestione e al monitoraggio da remoto delle risorse. Effettuiamo operazioni di controllo del traffico dei dati attraverso l’aggiornamento firewall, il mantenimento delle regole IPS/IDS e di individuazione di possibili vulnerabilità.
I nostri servizi sono security oriented, prevendendo una politica di backup by default e l’opportunità di abbinare Disaster Recovery, una soluzione affidabile e sicura. Come funziona? Ogni backup viene copiato all’interno di un Cloud Storage, uno spazio di archiviazione esterno localizzato in un diverso datacenter. Da qui potrai consultare, eliminare e ripristinare i backup, impostando a tua scelta la retention.