IL Data Breach
Nell’ultimo periodo, abbiamo registrato un numero record di violazioni di dati personali a danno di infrastrutture informatiche; purtroppo l’Italia è tra le nazioni più colpite, con un rilevante numero di attacchi sferrati e – purtroppo – di violazioni di dati personali riuscite. Abbiamo sperimentato come la complessità e l’estensione delle infrastrutture informative, inadeguate – o mancanti – misure di sicurezza, la presenza di vulnerabilità e misconfigurazioni, il mutato panorama cyber – costellato di motivati gruppi malevoli – anche nation sponsored – ad elevata competenza tecnologica e capacità offensiva, la cronica mancanza di controlli e vulnerability assessment, la inadeguata formazione dei dipendenti e la loro scarsa consapevolezza, possono realizzare le condizioni che determinano una violazione di dati personali (Data Breach in inglese).
cosa è un data breach
Il Regolamento UE 679/2016 definisce DATA BREACH – Violazione dei Dati Personali nella definizione italiana – come “una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Quindi si determina un Data Breach (breccia nei dati) quando vengono meno le condizioni di riservatezza, integrità e disponibilità del dato personale trattato con uno strumento, in generale di tipo elettronico o informatico.
Come Prevenire un DATA BREACH?
Chi si occupa di information technology sa bene che la sicurezza assoluta di un sistema informativo è irrealizzabile; da questo banale assunto, la normativa di protezione pone con forza l’accento sulla responsabilizzazione di Titolari e Responsabili del trattamento, al fine di adottare consolidati processi di valutazione e gestione del rischio tesi a ridurne la probabilità che si verifichi l’evento avverso.
Da questo ne consegue l’adozione di attività proattive di minimizzazione del rischio inerente ai trattamenti svolti, e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per ridurre gli impatti potenziali a carico dei diritti e delle libertà degli interessati (coloro ai quali si riferiscono i dati personali oggetto di trattamento). Tra le più importanti misure (rilevato che gran parte dei breach ha origine da un errore umano) la formazione di una reale consapevolezza di tutte le funzioni organizzative a contribuire alla protezione dei dati.
Cosa Fare a seguito di un DATA BREACH
Il legislatore europeo, dalla consapevolezza che un DATA BREACH può determinarsi in qualunque momento, ha previsto – nel RGPD – obblighi in capo a tutti i titolari e responsabili del trattamento (GDPR artt. 33-34) qualora si determini un evento avverso denominato “Data Breach” oppure “Violazione di Dati Personali”, che – precedentemente al 2018 – erano solo a carico di alcune specifiche organizzazioni.
Le Attività Immediate a seguito di un DATA BREACH
Qualora si determini – o anche solo si sospetti – che sia occorso un DATA BREACH, il Regolamento UE 679/2016 richiede al titolare (o al responsabile) del trattamento di effettuare attività immediate, in primis una seria valutazione dell’accaduto, onde stabilire con certezza se l’evento avverso abbia interessato dati personali ed – in subordine – se questo determini un rischio – anche minimo – per i diritti e le libertà delle persone, alle quali tali dati si riferiscono. La determinazione dell’effettivo livello di rischio, gravante sulle persone a causa della avvenuta violazione dei loro dati personali, si ottiene effettuando una seria procedura di valutazione del rischio derivante dalle modalità della violazione e dal numero degli interessati coinvolti.
Sulla base del livello del rischio risultante, occorrerà azionare immediate misure di mitigazione, segnalare l’accaduto alla Autorità di Controllo e – qualora ne ricorrano le condizioni – anche agli interessati, affinchè essi possano prendere provvedimenti urgenti per tutelarsi ed evitare ulteriori danni ed effetti deleteri in cascata. Il caso classico sono la diffusione – in genere nel dark web – delle loro credenziali di accesso, che debbono essere bloccate e/o sostituite prontamente. Anche qualora emergesse che il livello del rischio sia trascurabile, occorre affrontare in modo serio l’accaduto, sopratutto evitando di nascondere il breach.
Affrontare correttamente un DATA BREACH
La peggiore cosa da fare in caso di DATA BREACH è far finta di niente; sappiamo per esperienza che le conseguenze sono imprevedibili, specialmente a carico delle persone i cui dati personali sono stati oggetto di violazione. Abbiamo visto che nei casi di esfiltrazione (che avviene quasi sempre nei breach da ransomware) i dati sono sempre pubblicati nel dark web, spesso anche se il titolare ha pagato il riscatto in cryptovaluta.
Il nostro TEAM propone la gestione completa del DATA BREACH
come abbiamo compreso, affrontare seriamente un data breach necessita di un team formato da validi professionisti dotati di expertise specialistiche e competenze multidisciplinari
AREE DI COMPETENZA DEL TEAM
Queste pagine sono offerte quale contenuto informativo e di approfondimento in merito all’importante tematica relativa alla violazione di dati personali o data breach; il loro scopo è di rendere maggiormente consapevoli titolari e responsabili del trattamento sull’importanza di affrontare il data breach in modo coerente con la normativa di protezione dei dati personali, al fine di limitarne gli effetti avversi per titolari e responsabili del trattamento, ma soprattutto per i soggetti interessati, ai quali afferiscono purtroppo i dati oggetto del breach.