Nell’anno appena terminato, abbiamo registrato un numero record di data breach ad infrastrutture informatiche; purtroppo l’Italia è in cima a questa classifica, con un elevatissimo numero di attacchi portati e – purtroppo – di breach occorsi.
Su tutti ricordiamo il devastante breach occorso a Westpole, cosi come la violazione dei dati sanitari avvenuta ad AUSL Modena, nella quale i dati personali sono stati esfiltrati e successivamente pubblicati nel dark web.
Abbiamo sperimentato come la complessità e l’estensione delle infrastrutture informative, la presenza di vulnerabilità e misconfigurazioni, il mutato panorama cyber – costellato di motivati gruppi malevoli ad elevata competenza tecnologica e capacità offensiva, la mancanza di adeguate misure di sicurezza, la cronica mancanza di controlli e vulnerability assessment, la inadeguata formazione dei dipendenti e la loro scarsa consapevolezza possono portare ad un data breach.
Ma cosa si intende esattamente per Data Breach?
Per Data Breach o Violazione dei Dati Personali si intende “una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Nell’immaginario comune – pensando ad un data breach – viene subito in mente che è l’evento avverso perpetrato da un soggetto malintenzionato – il famoso hacker black-hat – ai danni di un server aziendale o di un sito web; purtroppo esistono moltissimi casi – meno eclatanti ma altrettanto devastanti – nei quali si determina un data breach anche più grave, qualora per esempio venga smarrito/rubato un dispositivo contenente dati personali (notebook, smartphone, HD, pendisk, ecc), si invii per errore il risultato di una diagnosi ad un diverso paziente, incautamente aprendo un messaggio phishing contenente codice pericoloso, oppure si usino credenziali e/o password insicure per accedere a trattamenti di dati personali.
Ulteriori informazioni e specifiche linee guida sono disponibili sulla apposita pagina della Autorità Garante per la protezione dei dati personali.
Ma è possibile prevenire un Data breach?
Sappiamo bene che la sicurezza assoluta di un sistema informativo è irrealizzabile; inoltre una gran parte dei breach ha origine da un errore umano; da questa consapevolezza, la normativa di protezione, qualora si determini un evento avverso chiamato “Data Breach” oppure “Violazione di Dati Personali”, pone in capo a tutti i titolari del trattamento (GDPR artt. 33-34) obblighi – precedentemente al 2018 solo a carico di alcune specifiche organizzazioni.
Le attività immediate di valutazione del data breach
Qualora si determini un data breach, il Regolamento UE 679/2016 richiede al titolare del trattamento di effettuare attività immediate, in primis una seria valutazione dell’accaduto, onde stabilire con certezza se l’evento avverso abbia interessato dai personali e se questo determini un rischio – anche minimo – per i diritti e le libertà delle persone, alle quali tali dati si riferiscono.
La determinazione dell’effettivo livello di rischio, gravante sulle persone a causa della avvenuta violazione dei loro dati personali, si ottiene effettuando una seria procedura di valutazione del rischio derivante dal data breach.
Sulla base del livello del rischio calcolato, occorrerà azionare immediate misure di mitigazione, di messa in sicurezza dei sistemi colpiti e – ove ne ricorrano i presupposti – segnalare l’accaduto agli interessati, affinchè possano prendere provvedimenti per tutelarsi ed evitare ulteriori danni ed effetti deleteri a cascata, derivanti dal breach.
Anche qualora emergesse che il livello del rischio sia trascurabile, occorre affrontare in modo serio l’accaduto; dapprima facciamo presente che un data-breach rappresenta un forte campanello di allarme, certificante che le misure di sicurezza, e più in generale le misure di protezione e tutela dei dati personali in essere, sono insufficienti; a questo dovra essere posto immediato rimedio, anche per evitare che la violazione possa estendersi o essere reiterata, con effetti certamente più deleteri.
Come gestire e cosa fare a seguito di un effettivo data breach
La gestione di un data breach è una attività complessa e multidisciplinare, da svolgere con il supporto di professionisti esperti che sappiano come operare, al meglio ed in fretta. Dal momento che se ne avuta conoscenza, occorre comunicare alla autorità di controllo l’evento avverso entro 72 ore, indicando tutte le informazioni disponibili. Le attività di indagine sono cruciali, si pensi alla sola determinazione dell’accaduto, qualora il data breach abbia interessato molti sistemi opppure un sistema informativo complesso o estremamente ramificato.
Le competenze professionali necessarie per gestire correttamente un data breach
Per gestire correttamente ed in tempo utile un data breach, occorre un TEAM di professionisti con competenze multidisciplinari; dapprima occorre valutare se è realmente avvenuto un breach, i dati interessati dalla violazione, gli effetti avversi ed il loro livello a carico dei soggetti interessati; certamente occorrerà raccogliere evidenze, sempre con modalità rispettose delle corrette procedure di computer forensic, in quanto parallelamente dovranno anche essere fatte denunce presso le autorità preposte e perseguiti gli autori.
Inoltre – nella gran parte dei casi recenti – i dati vengono esfiltrati, cifrati e quindi resi indisponibili sui server oggetto di breach, chiesto un riscatto in criptovalute e – qualora non versato – pubblicati nel dark web come ritorsione; anche questo deve essere gestito professionalmente. In alcuni casi, è stato possibile decifrare i dati senza disporre delle chiavi private, e quindi senza pagare alcun ricatto (noi lo sconsigliamo assolutamente).
La gestione del data breach attiene anche alle complesse attività di valutazione degli aspetti giuridici, le comunicazioni alla autorità di controllo, agli investigatori, ai media ed agli interessati, qualora ne ricorrano i presupposti.
Se la vostra organizzazione ha subito una violazione di dati personali, sappiate che il nostro Team ha le competenze e l’esperienza per supportare aziende ed organizzazioni in ogni attività necessaria per una corretta gestione del data breach.
dove siamo e dove operiamo
Il nostro team ha base in centro Italia, tra TOSCANA ed UMBRIA, ma opera anche nelle Regioni ABRUZZO, EMILIA ROMAGNA, LAZIO, MARCHE, VENETO, LIGURIA, LOMBARDIA, PIEMONTE, VALLE D’AOSTA.
Siamo operativi con presenze giornaliere nelle zone di Alessandria, Aosta, Arezzo, Firenze, Genova, Grosseto, Livorno, Lucca, Massa-Carrara, Milano, Perugia, Pisa, Pistoia, Prato, Siena, Terni, Torino, Varese.
Contattateci per ogni informazione necessaria o per chiederci un primo sopralluogo urgente.