Nello scorso anno, abbiamo registrato un numero record di violazioni di dati personali ad infrastrutture informatiche; purtroppo l’Italia è in cima a questa classifica, con un elevatissimo numero di attacchi portati e – purtroppo – di violazioni di dati personali occorse.
Su tutti ricordiamo il devastante breach occorso a Westpole con effetti domino verso 1.300 enti pubblici nazionali, cosi come la violazione dei dati sanitari avvenuta ad AUSL Modena, nella quale i dati personali sono stati esfiltrati e successivamente pubblicati nel dark web.
Abbiamo sperimentato come la complessità e l’estensione delle infrastrutture informative, la presenza di vulnerabilità e misconfigurazioni, il mutato panorama cyber – costellato di motivati gruppi malevoli – anche nation state – ad elevata competenza tecnologica e capacità offensiva, la mancanza di adeguate misure di sicurezza, la cronica mancanza di controlli e vulnerability assessment, la inadeguata formazione dei dipendenti e la loro scarsa consapevolezza possono portare ad un data breach.
Ma cosa si intende esattamente per violazione di dati personali?
Il Regolamento UE 679/2016 definisce Violazione dei Dati Personali (Data Breach) come “una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Nell’immaginario comune – pensando ad un data breach – viene subito in mente che è l’evento avverso perpetrato da un soggetto malintenzionato – il famoso hacker black-hat – ai danni di un server aziendale o di un sito web; purtroppo esistono moltissimi casi – meno eclatanti ma altrettanto devastanti – nei quali si determina un data breach anche più grave, qualora per esempio venga smarrito/rubato un dispositivo contenente dati personali (notebook, smartphone, HD, pendisk, ecc), si invii per errore il risultato di una diagnosi ad un diverso paziente, incautamente aprendo un messaggio phishing contenente codice pericoloso, oppure si usino credenziali e/o password insicure per accedere a trattamenti di dati personali.
Ulteriori informazioni e specifiche linee guida sono disponibili sulla apposita pagina della Autorità Garante per la protezione dei dati personali.
Ma è possibile prevenire una violazione di dati personali?
Sappiamo bene che la sicurezza assoluta di un sistema informativo è irrealizzabile; inoltre una gran parte dei breach ha origine da un errore umano; da questa consapevolezza, la normativa di protezione attuale, qualora si determini un evento avverso denominato “Data Breach” oppure “Violazione di Dati Personali”, pone in capo a tutti i titolari del trattamento (GDPR artt. 33-34) obblighi specifici che – precedentemente al 2018 erano solo a carico di alcune organizzazioni.
LE Attività immediate di valutazione della violazione di dati personali
Qualora si determini un data breach, il Regolamento UE 679/2016 richiede al titolare del trattamento di effettuare attività immediate, in primis una seria valutazione dell’accaduto, onde stabilire con certezza se l’evento avverso abbia interessato dai personali e se questo determini un rischio – anche minimo – per i diritti e le libertà delle persone, alle quali tali dati si riferiscono.
La determinazione dell’effettivo livello di rischio, gravante sulle persone a causa della avvenuta violazione dei loro dati personali, si ottiene effettuando una seria procedura di valutazione del rischio derivante dal data breach.
Sulla base del livello del rischio risultante, occorrerà azionare immediate misure di mitigazione e segnalare l’accaduto agli interessati, affinchè possano prendere provvedimenti per tutelarsi ed evitare ulteriori danni ed effetti deleteri a cascata. Il caso classico sono la diffusione delle loro credenziali di accesso, che debbono essere bloccate o sostituite prontamente.
Anche qualora emergesse che il livello del rischio sia trascurabile, occorre affrontare in modo serio l’accaduto; dapprima facciamo presente che un data-breach rappresenta un forte campanello di allarme, certificante che le misure di sicurezza, e più in generale le misure di protezione e tutela dei dati personali in essere, sono insufficienti; a questo dovra essere posto immediato rimedio, anche per evitare che la violazione possa estendersi o essere reiterata, con effetti certamente più deleteri.
come gestire una violazione di dati personali?
La gestione di una violazione di dati personali è una attività complessa e multidisciplinare, da svolgere con il supporto di professionisti esperti che sappiano come operare, al meglio ed in fretta. Dal momento che se ne avuta conoscenza, occorre comunicare – entro 72 ore – alla autorità di controllo l’evento avverso, indicando tutte le informazioni disponibili. Le attività di indagine sono cruciali, si pensi alla sola determinazione dell’accaduto, qualora il data breach abbia interessato molti sistemi opppure un sistema informativo complesso e/o estremamente esteso e distribuito, oppure che interessa molti soggetti.
Le molteplici competenze necessarie per gestire una violazione di dati
Per gestire correttamente ed in tempo utile una violazione di dati, occorre un TEAM di professionisti con competenze multidisciplinari; dapprima occorre valutare se è realmente avvenuto un breach, i dati interessati dalla violazione, gli effetti avversi ed il loro livello a carico dei soggetti interessati; certamente occorrerà raccogliere evidenze, sempre con modalità rispettose delle corrette procedure di computer forensic, in quanto parallelamente dovranno anche essere fatte denunce presso le autorità preposte e perseguiti gli autori.
Inoltre – nella gran parte dei casi recenti – i dati vengono esfiltrati, cifrati e quindi resi indisponibili sui server oggetto di breach, chiesto un riscatto in criptovalute e – qualora non versato – pubblicati nel dark web come ritorsione; anche questo deve essere gestito professionalmente; in alcuni casi è stato anche possibile decifrare i files senza pagare alcun riscatto (noi lo sconsigliamo sempre).
La gestione della violazione di dati attiene anche alle complesse attività di valutazione degli aspetti giuridici, le interlocuzioni verso l’Autorità di Controllo, le comunicazioni ai media ed agli interessati (qualora ne ricorrano i presupposti), le interazioni con gli organismi di indagine e la magistratura.
Se la vostra organizzazione ha subìto una violazione di dati personali, sappiate che il nostro Team ha le competenze e l’esperienza per supportare ogni azienda durante una corretta gestione del data breach.
dove siamo e dove operiamo
Il nostro team ha base in centro-Italia, tra TOSCANA ed UMBRIA, ed opera anche nelle Regioni ABRUZZO, EMILIA ROMAGNA, LAZIO, MARCHE, VENETO, LIGURIA, LOMBARDIA, PIEMONTE, VALLE D’AOSTA.
Siamo operativi con presenze giornaliere nelle zone di Alessandria, Aosta, Arezzo, Firenze, Genova, Grosseto, Livorno, Lucca, Massa-Carrara, Milano, Perugia, Pisa, Pistoia, Prato, Siena, Terni, Torino, Varese.
Contattateci per ogni informazione necessaria o per richiedere le prime attività urgenti.