Articolo di Roberto Giovanni Loche
Negli ultimi anni, caratterizzati dalla crescita esponenziale del Cyber Crime, abbiamo sentito sempre più spesso parlare di Data Breach.
MA CHE COSA E’ UN DATA BREACH?
Il nuovo regolamento europeo in materia di protezione dei dati personali (GDPR) lo definisce come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati“.
Con il termine data breach si intende quindi un incidente di sicurezza in cui dati riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Solitamente il data breach si realizza con una divulgazione o vendita di dati riservati che possono comportare per le aziende danni operativi, finanziari e d’immagine.
QUALI POSSO ESSERE LE CAUSE?
Secondo il report 2020 Data Breach Investigations Report di Verizon le sei principali fonti di violazioni di dati in ordine di importanza sono:
- Hacking. Gli hacker, utilizzano diverse metodologie per ottenere le credenziali di accesso ai sistemi informatici delle aziende; usano dei software per la generazione automatica di password, le carpiscono con il Social Engineering, le cercano nel dark web. Effettuato l’accesso, gli hacker possono poi raccogliere tutte le informazioni che vogliono e lanciare altri attacchi ai sistemi aziendali.
- Errore umano. Le violazioni non sono sempre causate da qualcuno che agisce in modo fraudolento. Verizon ha scoperto che più di un incidente su cinque era il risultato di un errore commesso da un dipendente.
Gli errori più comuni riguardavano l’invio di informazioni sensibili alla persona sbagliata. Ciò potrebbe comportare l’invio di un’e-mail alla persona sbagliata, l’allegato del documento sbagliato o la consegna di un file a qualcuno che non dovrebbe avere accesso alle informazioni contenute. La seconda causa più comune di errore umano è stata l’errata configurazione, che in genere comporta la messa in linea di un database contenente informazioni sensibili senza limitazioni di password.
- Social Engineering. L’azione è simile al phishing ma in questo caso (pretexting ) i criminali contattano le vittime per telefono e, invece di duplicare il sito web di un’organizzazione legittima, cercano di convincere con dei pretesti il target prescelto (es. dipendente di un Azienda) a comunicare delle informazioni riservate (es. credenziali di accesso).
Una volta ottenute queste informazioni, i criminali possono commettere frodi, vendere i dati o contattare una terza parte come ad esempio la banca della vittima o un cliente e/o un fornitore dell’azienda.
- Malware . Strettamente legati alle attività dei cyber criminali, i malware possono essere utilizzati per numerose attività illecite. Un esempio di malware è il cosiddetto RAM Scraper, che scansiona la memoria dei dispositivi digitali per raccogliere informazioni sensibili. Sono sistemi usati, per esempio, per scandagliare i POS. Un’altra forma di software malevolo sono i cosiddetti ransomware, che bloccano i dispositivi elettronici: gli hacker li sbloccheranno solo dietro pagamento di un riscatto (dall’inglese ransom).
- Uso non autorizzato. Le organizzazioni trascurano costantemente la minaccia rappresentata da un membro del personale che utilizza le informazioni in modo improprio.
Ci sono due modi principali in cui ciò accade. Il primo è l’abuso dei privilegi, in cui i dipendenti utilizzano in modo improprio le informazioni a cui è stato concesso un accesso legittimo. Il secondo tipo comune di uso improprio dei privilegi è la cattiva gestione dei dati. Ciò si verifica quando le informazioni sensibili vengono copiate, condivise, consultate, rubate o altrimenti utilizzate da un dipendente non autorizzato a farlo.
- Azioni fisiche. Tendiamo a pensare che le violazioni dei dati siano il risultato della criminalità informatica, ma Verizon ha scoperto che un numero significativo di incidenti non coinvolge affatto la tecnologia.
La maggior parte degli incidenti fisici comporta il furto di documenti o dispositivi come laptop, telefoni e dispositivi di archiviazione. I dipendenti sono sempre più incoraggiati a lavorare da casa o in viaggio, ma se non tengono d’occhio i loro beni, un ladro opportunista potrebbe facilmente rubarli.
COME PROTEGGERE I DATI PERSONALI?
Nel passaggio dalla previgente disciplina del Codice della Privacy all’odierno GDPR il titolare del trattamento, perduto il rassicurante novero delle misure “minime” da adottare in caso di trattamento con strumenti elettronici (quelle previste dal Disciplinare Tecnico meglio noto come “Allegato B” al Codice della Privacy) è infatti oggi chiamato ad effettuare, in ottica di accountability, una analisi risk based per decidere le misure tecniche ed organizzative adeguate da attuare per proteggere i dati personali trattati.
Il GDPR non fornisce un elenco completo di misure adeguate, ma ne suggerisce alcune (art. 32,) come la pseudonimizzazione e la cifratura dei dati, la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico, l’implementazione di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure attivate al fine di garantire la sicurezza del trattamento.
GLI ADEMPIMENTI IN CASO DI DATA BREACH
Le policy previste dal GDPR in tema di data breach (inserite nell’art. 33-34 del GDPR) prevedono che il titolare del trattamento sia tenuto a notificare la violazione dei dati al Garante tranne che nel caso in cui “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche” (es. perdita di una chiavetta usb con dati cifrati). La notifica deve avvenire “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza” il titolare. Qualora la notifica non avvenga nelle 72 ore, il titolare dovrà precisare anche i motivi del ritardo.
CONCLUSIONI
Premesso che una sicurezza informatica aziendale garantita al 100% è un’utopia, è comunque sempre bene ricordare che non esiste protezione senza una “politica della security”, intesa come disegno strategico tale da definire e organizzare la riservatezza, disponibilità e integrità informatica gestendone tutti gli aspetti, da quelli tecnici a quelli di management e di business, incluse la confidenzialità e disponibilità dei dati.
Roberto Giovanni Loche
DPO e Cyber Consultant
cell. +39 331 291 7785
email rloche@rlsolutions.it