Data Breach: l’importanza della prevenzione
Negli ultimi mesi abbiamo assistito alla denuncia di una serie di Data Breach, anche da parte di aziende di grandi dimensioni che si sono viste attaccare da pirati informatici.
I dati oggetto erano spesso dati molto importanti. Ad esempio, nel caso di Lycamobile, sono stati violati anche dati di carte di credito e documenti di identità.
Il Data Breach avviene quando un Titolare del trattamento subisce un attacco informatico in seguito al quale vengono rubati dati o questi vengono resi indisponibili. Ancora, può avvenire in seguito al furto di un device con dati personali o inviando una mail con una serie di indirizzi in copia conoscenza in chiaro.
Di recente sono particolarmente attivi i cosiddetti Ramsonware: attraverso di essi, i pirati informatici criptano intere banche dati e chiedono poi un riscatto per decriptare i dati. Sono state colpite molte società, anche di alto profilo. Naturalmente, non è possibile stimare la reale portata del fenomeno, in quanto non si possono conoscere le aziende che, al posto di denunciare, abbiano poi effettivamente pagato “il riscatto”.
Spesso, in caso di Data Breach, il GDPR prevede una segnalazione dello stesso alle autorità di controllo (il Garante privacy per l’Italia) e anche agli interessati i cui dati sono stati oggetto. Il tutto con notevoli danni di immagine per chi è costretto a tale denuncia. D’altronde, la denuncia ha lo scopo di permettere al soggetto, i cui dati sono stati oggetto di Data Brech, di limitare, laddove possibile, i danni.
È chiaro che, alla base della decisione di segnalarlo alle autorità e agli interessati, vi deve essere un’approfondita analisi, che tenga in considerazione elementi fondamentali quali, ad esempio, la valutazione delle conseguenze che il Data Breach potrebbe avere sugli interessati e le misure per contrastare dette conseguenze. Infatti, non sempre va denunciato ma vanno sempre analizzati, documentando in appositi documenti, i motivi delle decisioni intraprese. Il tutto anche per ottemperare al cosiddetto principio di accountability alla base del GDPR.
Ma come si può prevenire un Data Breach o, almeno, limitarne gli effetti?
La sicurezza informatica dei sistemi (dinamica che prevede prove anti intrusive per testare i sistemi) è sicuramente fondamentale ma non è l’unico elemento in gioco.
Molti avvengono, infatti, a causa di comportamenti umani non corretti, nonostante i sistemi abbiano un alto grado di protezione. Molti virus o software “spy” entrano nei sistemi informatici, non tanto per una carenza dei sistemi stessi, ma a seguito dell’apertura di un allegato sospetto da parte di un utente o per aver lasciato la postazione incustodita senza password o aver dimenticato un device in qualche luogo. Spesse volte, quindi, l’attacco avviene dall’interno, attraverso un inconsapevole complice ed è proprio la parola “inconsapevole” la chiave della prevenzione.
Quanto tempo dedicano gli imprenditori alla formazione dei propri dipendenti in materia di sicurezza?
Quante aziende programmano campagne di finte mail nocive per vedere quanti dei collaboratori le aprono, al fine di mirare la formazione, o prevedono sezioni pratiche in cui spiegano le conseguenze di comportamenti scorretti? Quanti aziende hanno un regolamento informatico realmente compreso dai collaboratori e che non sia solo un mero pezzo di carta?
La formazione e l’informazione sono aspetti fondamentali per la prevenzione e limitazione dei rischi, ma non si tratta di fornire informazioni iper tecniche (e quindi spesso non comprensibili), bensì banali e semplici indicazioni di buon senso.
Si può indicare di non lasciare i pc incustoditi in auto (con alta probabilità di furto), di spedire le e-mail inserendo il proprio indirizzo come destinatario e ponendo gli altri in copia conoscenza nascosta o, ancora, di non aprire mail sospette prima di aver interpellato i soggetti addetti alla gestione informatica e di salvare i documenti nei server o in cloud e non nei device.
Si deve far comprendere l’importanza del back up e del salvataggio dei documenti in cartelle soggette allo stesso. Ad esempio, un buon back up permette di rendere innocuo un Ramsomware, in quanto permette ripristinare i dati criptati senza conseguenze per il sistema.
In conclusione, considerando che i Data Breach saranno sempre più frequenti a causa dell’alto livello di informatizzazione delle aziende e che le conseguenze di un Data Breach dopo l’entrata del GDPR comprendono non solo sanzioni ma anche ingenti danni di immagine, si consiglia a tutte le aziende di intraprendere un piano di azione che preveda procedure, formazione e analisi dei rischi volti a evitare/limitare i Data Breach e le loro conseguenze.
Sono piccoli accorgimenti che però possono davvero evitare grandi problemi.
Lorenzo Baldanello
AEG Corporation
Studio legale VBS
MAG nr.6, novembre-dicembre 2019
