Cos’è una violazione dei dati personali

Le violazioni dei dati o data breach possono verificarsi in organizzazioni di qualsiasi dimensione, dalle piccole imprese alle grandi società. Possono riguardare informazioni sulla salute personale, informazioni di identificazione private, segreti commerciali o altre informazioni riservate.
Le esposizioni comuni alla violazione dei dati includono informazioni personali come numeri di carte di credito, di previdenza sociale, di patente e precedenti sanitari; nonché informazioni aziendali come elenchi di clienti e codice sorgente.
Se qualcuno che non è autorizzato a farlo visualizza dati personali o li ruba completamente, si dice che l’organizzazione incaricata di proteggere tali informazioni abbia subito un data breach. Se una violazione dei dati si traduce in un furto di identità o in una violazione degli obblighi di conformità del governo o del settore, l’organizzazione incriminata può essere soggetta a sanzioni, contenziosi, perdita di reputazione e persino la perdita del diritto di gestire l’attività.

I costi

Recenti casi di attualità parlano di data breach ai danni non solo di piccole e medie imprese ma anche di realtà come IBM e SAP che, proprio di recente, hanno visto esporre su server underground dati e credenziali personali di oltre 30mila tra dipendenti e collaboratori. Una piaga che si è inevitabilmente intensificata in seguito all’accelerazione verso il cloud e i servizi digitali scatenata dall’emergenza sanitaria e da una complessa ripartenza.
Secondo l’ultima edizione del report annuale “Cost of a data breach” realizzato da Ponemon Institute in collaborazione con IBM, emerge infatti che il costo medio globale delle violazioni dei dati ha raggiunto la cifra record di 4,35 milioni di dollari, con un aumento del 13% rispetto all’ultimo biennio. Una progressione che, secondo molti esperti, darà vita, soprattutto nel nostro Paese (l’Italia nel 2021 è stato il secondo Paese in Europa per valore delle sanzioni legate al mancato rispetto del GDPR proprio in materia di privacy e violazione dei dati) ad un aumento sostanzioso di prezzi di beni e servizi.

Cosa fare in caso di violazione dei dati personali

A livello legale, il GDPR (regolamento generale sulla protezione dei dati) dell’Unione Europea, entrato in vigore nel giugno 2018, richiede alle organizzazioni di notificare alle autorità una violazione entro 72 ore. Il GDPR non si applica solo alle organizzazioni con sede all’interno dell’UE, ma si applica anche alle organizzazioni con sede al di fuori dell’UE se offrono beni o servizi o monitorano il comportamento degli interessati dell’UE.
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di un’eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.  Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Il caso BeeCyber

Di fronte ad una situazione così delicata, Infor (realtà di eccellenza tutta italiana nel mercato dell’innovazione digitale) ha messo in campo una divisione ad hoc come BeeCyber: un team di esperti con una storia di eccellenza tecnologica lunga oltre 30 anni. Un mix straordinario di passato, presente e futuro che sta permettendo al team di BeeCyber di fare la differenza in maniera determinante sul territorio proprio in questa delicata fase di ripartenza.

«Lo spazio digitale diventa sempre più importante, decisivo per le imprese ma anche più complesso – ci racconta Massimo Germi, Cyber Security Manager at BeeCyber (Infor) -. Una complessità in termini tecnologici, strategici, manageriali. Noi ci stiamo proponendo come partner in grado di farsi carico di questa complessità perché conosciamo come pochi le imprese, il territorio e le richieste che queste realtà fanno proprio al digitale. Essere sicuri, avere sotto controllo i dati, non subire un data breach oggi vuol dire essere più competitivi e vincenti in un mercato semrpe più aggressivo. Per questo – continua il manager– abbiamo investito da tempo su competenze dedicate e sulla capacità di costruire soluzioni personalizzate, una sicurezza su misura».

«Proprio la piaga dei data breach con le conseguenze in termini normativi e anche di investimenti per il recupero e il ripristino dei dati – racconta Massimiliano Belletti, Senior Cybersecurity Sales Engineer at BeeCyber (Infor) – è un tema che sta aiutando le imprese a capire che la security non è una questione meramente tecnologica, ma chiama in causa il business e il futuro stesso di una azienda. Ecco perchè, proprio in tema di gestione e protezione dei dati serve un approccio che parta dall’analisi della “postura” generale di una azienda, bisogna capire, studiare abitudini, processi, modalità di lavoro e condivisione delle informazioni. Solo così nasce la migliore soluzione e soprattutto il miglior servizio di sicurezza per una azienda. Che non è necessariamente il migliore in senso assoluto a livello tecnologico ma è sicuramente il migliore per quella specifica realtà di business. Questo è il nostro modo di sfidare l’allarme data breach e di aiutare le imprese ad evitare guai come quelli che stanno certificando tanti casi di cronaca recente».

Come avvengono i data breach

Le tipologie di violazione dei dati sono piuttosto varie ma possono quasi sempre essere attribuite ad una vulnerabilità o ad una lacuna nella “postura” di sicurezza che i criminali informatici utilizzano per accedere ai sistemi o ai protocolli dell’organizzazione. Quando ciò accade, il rischio finanziario della perdita di dati può essere devastante. Secondo l’ “Internet Crime Report” del Federal Bureau of Investigation del 2021, le organizzazioni hanno perso 6,9 miliardi di dollari nel 2021 a causa della criminalità informatica in tutto il mondo. Gran parte di questa perdita è dovuta a violazioni dei dati.
Osservando l’attuale panorama informatico, le potenziali cause di una violazione dei dati possono includere quanto segue:

• Fuga o esposizione accidentale di dati: errori di configurazione o errori di valutazione nella gestione dei dati possono creare opportunità per i criminali informatici.
• Dati in movimento: i dati non crittografati possono essere intercettati mentre ci si sposta all’interno di una rete locale aziendale, in una rete geografica o in transito su uno o più cloud.
• Malware, ransomware o Structured Query Language (SQL): l’accesso a sistemi o applicazioni apre la porta a malware e attività correlate al malware, come SQL injection.
• Phishing: sebbene il phishing utilizzi spesso malware per rubare dati, può anche utilizzare altri metodi per raccogliere informazioni che possono essere utilizzate per accedere ai dati.
• Denial of Service (DDoS) distribuito: gli attori delle minacce possono utilizzare un attacco DDoS come un modo per distrarre gli amministratori della sicurezza per accedere ai dati utilizzando metodi alternativi. Inoltre, le modifiche da parte dell’azienda per mitigare un attacco possono portare a configurazioni errate che creano nuove opportunità di furto di dati.
• Registrazione delle sequenze di tasti: questa forma di software dannoso registra ogni sequenza di tasti immessa in un dispositivo informatico e la utilizza per rubare nomi utente e password da cui è possibile accedere ai dati.
• Password indovinate: quando sono consentiti tentativi illimitati di password o accettate password semplici, è possibile utilizzare strumenti di cracking delle password per accedere a sistemi e dati. Per aiutare gli utenti a gestire password complesse, gli strumenti di gestione delle password sono un modo per mantenere le password organizzate e protette centralmente.
• Violazione della sicurezza fisica: l’accesso a una posizione fisica o a una rete in cui sono archiviati dati sensibili può causare gravi perdite o danni all’azienda.
• Card skimmer e intrusione nei punti vendita: una minaccia incentrata sull’utente legge le informazioni sulla carta di credito o di debito che possono essere utilizzate in seguito per infiltrarsi o aggirare le misure di sicurezza.
• Hardware perso o rubato: un hardware lasciato incustodito o non sicuro offre un modo semplice e poco tecnologico per rubare i dati.
• Ingegneria sociale: i criminali informatici manipolano gli esseri umani per ottenere l’accesso non autorizzato ai sistemi o ai processi di cui sono in possesso. Queste minacce tendono a concentrarsi sugli strumenti di comunicazione e collaborazione e, più recentemente, sul furto di identità sui social media
• Mancanza di controlli di accesso: i controlli di accesso mancanti o obsoleti sono un ovvio punto di ingresso che può portare a una violazione di un sistema con l’ulteriore minaccia di movimento laterale. Un esempio di mancanza di controlli di accesso è la mancata implementazione dell’autenticazione a più fattori (MFA) su tutti i sistemi e le applicazioni.
• Backdoor: qualsiasi metodo non documentato per ottenere l’accesso, intenzionale o non intenzionale, è un ovvio rischio per la sicurezza che spesso porta alla perdita di dati.
• Minaccia interna: numerosi incidenti di sicurezza informatica provengono da utenti interni che hanno già accesso o conoscenza di reti e sistemi. Questo è il motivo per cui il monitoraggio delle azioni degli utenti è così fondamentale.

Come prevenire la violazione dei dati e i data breach

I manager di BeeCyber spiegano che non esiste uno strumento di sicurezza o di controllo in grado di prevenire completamente le violazioni dei dati. I mezzi più ragionevoli per prevenire le violazioni dei dati coinvolgono pratiche di sicurezza di buon senso e nozioni di base sulla sicurezza, come le seguenti:

• Istruire i dipendenti sulle best practice di sicurezza dell’organizzazione.
• Condurre valutazioni di vulnerabilità continue.
• Implementare un piano di backup e ripristino dei dati.
• Aggiornare la propria BYOD (bring your own device), e le politiche di sicurezza dei dati.
  Condurre penetration test.
• Implementare una protezione antimalware.
• Usare password complesse e passphrase.
• Implementare l’autenticazione a più fattori e garantire modifiche periodiche della password.
• Applicare costantemente le patch software e gli aggiornamenti necessari su tutti i sistemi.

Sebbene questi passaggi aiutino a prevenire le intrusioni in un ambiente, gli esperti di sicurezza delle informazioni incoraggiano anche la crittografia dei dati sensibili, sia in locale che nel cloud. In caso di intrusione nell’ambiente, la crittografia impedisce agli attori delle minacce di accedere ai dati effettivi.

Fonte: Sergente Lorusso

Un’attività ampia e articolata

Va premesso che il ruolo del Garante prevede un’attività molto ampia che non riguarda esclusivamente le novità introdotte dal GDPR, ma anche altre tematiche come i rischi della Rete e il cyberbullismo, la sicurezza cibernetica, il telemarketing, la lotta al riciclaggio, ecc. ecc. A giocare un ruolo di primo piano è da diverso tempo il telemarketing selvaggio e diversi sono stati i provvedimenti emessi nei confronti di operatori impegnati nelle proposte di servizi finanziari, contratti energetici e telefonici.

I numeri del 2017

Nel 2017 sono stati adottati 573 provvedimenti collegiali, oltre ad aver dato riscontro a ben 6000 reclami e segnalazioni. I settori interessati sono stati: marketing telefonico, credito al consumo, videosorveglianza, concessionari di pubblico servizio, recupero crediti, settore bancario e finanziario, assicurazioni lavoro, giornalismo, enti locali, sanità e servizi di assistenza sociale. 41 sono state le comunicazioni di notizie di reato all’autorità giudiziaria, nella maggior parte dei casi per mancata adozione di misure minime di sicurezza e protezione dei dati e trattamento illecito. 507 le violazioni amministrative, in buona parte riguardanti il trattamento di dati senza consenso, la diffusione di dati su Internet da parte della P.A., il telemarketing, oltre all’omessa o inadeguata informativa agli utenti sul trattamento dei loro dati, la mancata adozione di misure di sicurezza e l’omessa esibizione di documenti al Garante.

Ispezioni e sanzioni

Ma veniamo ai numeri più interessanti, ossia quelli che più dovrebbero far riflettere le aziende circa la loro posizione nei confronti del GDPR. Nel 2017 sono state effettuate 275 ispezioni in numerosi e delicati settori, sia nell’ambito pubblico che privato (in quest’ultimo emergono società operanti nella “sharing economy”, imprese di vendita a domicilio, società che offrono servizi di informazioni commerciali o svolgono attività di telemarketing locate in Albania). Ne sono scaturite sanzioni amministrative per circa 3 milioni 800 mila euro, valore che segna un +15% rispetto al 2016.

Cosa ci attendiamo per il 2018?

Sicuramente una situazione drasticamente diversa la si attende per il report che riporterà i dati del 2018. È atteso un aumento sia del numero delle ispezioni sia delle sanzioni amministrative fondamentalmente per due motivi: ovviamente da un lato il Garante deve dimostrarsi ricettivo e attivo rispetto alle nuove disposizione dettate dal GDPR e di conseguenza intensificare i controlli; dall’altro lato con buona probabilità aumenteranno le segnalazioni da parte di privati che nel corso degli ultimi mesi hanno acquisito sempre maggiore consapevolezza circa i loro diritti.

Sara Avanzi

Noyb.eu ha quindi chiesto alle autorità di Francia, Belgio, Germania e Austria di multare le due aziende secondo le regole previste dal GDPR, ossia il 4% del fatturato annuale che, in questo caso risulterebbe una cifra folle (qualche miliardo di euro per ambedue le compagnie). Entrambi hanno ovviamente contestato le accuse risponendo in maniera pressoché analoga: “Abbiamo implementato sicurezza e privacy nei nostri prodotti dai primi stadi embrionali e ci impegniamo ad essere compatibili con il GDPR EU” è la dichiarazione rilasciata da un portavoce di Google. Molto similmente Erin Egan, chief privacy officer di Facebook ha commentato: “Negli ultimi 18 mesi, abbiamo adottato misure per aggiornare i nostri prodotti, le nostre politiche e i nostri processi per fornire agli utenti una trasparenza e un controllo significativo dei dati su tutti i servizi che forniamo nell’UE”.

Marco Serico

Antonio Trajani, presidente del Parlamento Europeo, ha posto la sua preoccupazione riguardo alle vicine elezioni europee che si terranno tra un anno, evidenziando le necessità di un quadro di regole per il mercato digitale atte alla protezione dei dati personali e dei diritti d’autore. Zuckerberg ha quindi risposto assicurando di aver raddoppiato il numero delle persone che lavorano nel settore sicurezza della sua azienda. “Inoltre -ha proseguito Zuckerberg- con il nuovo Regolamento europeo le persone avranno più controllo sulle loro informazioni personali. Non abbiamo avuto una visione abbastanza ampia delle nostre responsabilità, ma adesso stiamo migliorando la sicurezza della nostra piattaforma”.

Nonostante le rassicurazioni del n.1 di Facebook, gli eurodeputati hanno chiesto un’ulteriore conferma di adeguamento da parte della società, al fine di assicurarsi che un caso simile al Cambridge Analytica (vedi articoli precedenti) non si ripeti in futuro. Il CEO di Facebook ha elegantemente risposto: “Non saremo mai perfetti nel garantire la sicurezza, ma stiamo facendo grandi progressi in questo senso. Ci saranno molte elezioni importanti in Europa quest’anno e l’anno prossimo, dalla Slovenia alla Svezia alla Polonia e ovviamente le elezioni europee: è una nostra priorità evitare che qualcuno possa interferire come è accaduto per la Russia nelle elezioni americane. La compagnia si sta impegnando nel rimuovere spam che servono per scopi economici, fake account e nel gestire le persone che postano informazioni false involontariamente e in questo senso stiamo lavorando con dei fact-checker [persone che si occupano della veridicità di fatti e informazioni, ndr] esterni. Facebook si sta attrezzando per rispettare il regolamento europeo sulla privacy fin dalla data della sua entrata in vigore, ovvero il 25 maggio”.

Come afferma lo stesso Zuckerberg, non ci sarà probabilmente mai la certezza assoluta che i nostri dati digitali siano al sicuro, specialmente quando caricati in piattaforme online come i social network. Adeguamenti quali il GDPR sono senz’altro passi importanti e necessari affinché i dati siano trattati in maniera opportuna onde evitare situazioni, probabilmente limite, come il caso Cambridge Analytica, a oggi il più grande data breach mai visto.

Marco Serico

La maggior parte delle organizzazioni ha implementato misure tecniche complete in tema di cyber security e protezione dei dati, ma non mancano giorno dopo giorno nuove violazioni ai danni di milioni di utenti. Attacchi sempre più “sofisticati” vengono operati da hacker che hanno imparato a eludere anche i più arditi sistemi di difesa. Non è esagerato pensare che ogni organizzazione debba operare basandosi sul presupposto che l’infrastruttura IT sia costantemente sotto attacco e che potenzialmente sia già stata compromessa in diversi modi. Senza contare che i tempi previsti per la notifica della violazione, secondo il GDPR, sono di appena 72 ore secondo una prassi ben precisa. È pertanto necessario che le organizzazioni si dotino di soluzioni tecnologiche in grado di fornire visibilità sull’intera rete, in modo da rilevare e identificare la portata di una compromissione e consentire una risposta rapida ed efficace. È essenziale che le aziende continuino a investire nella previsione e prevenzione delle minacce, concentrandosi anche sull’acquisizione di capacità avanzate di rilevamento degli incidenti e risposta 24/7.

Dotandosi delle persone, dei processi e dei controlli tecnologici appropriati, è possibile proteggere l’azienda al meglio da violazioni dei dati accidentali o dolose. L’implementazione di una roadmap di correzione e la protezione di tutti i dati personali consentono di ridurre le probabilità e i potenziali effetti negativi di una violazione dei dati. Le sanzioni per il mancato adeguamento al GDPR sono risapute, ma non è ancora molto chiaro che una violazione dei dati ha conseguenze di ampia portata sotto forma di contrazione del fatturato, danno di immagine, riduzione della produttività e così via.

In tutto questo quadro, un aspetto di cui bisogna essere ben consapevoli è che la cyber security si muove a velocità altissima per rimanere al passo con gli hacker che sviluppano costantemente nuove tattiche per violare le difese. Cyber security significa essenzialmente prevedere e prevenire le violazioni, rilevare quelle che si verificano e reagire in modo intelligente per minimizzarne l’impatto. In concreto si tratta di combinare le competenze umane con software dedicati, elementi che vanno a migliorarsi reciprocamente: dietro ogni attacco c’è una persona e per questo motivo anche alla base della difesa ci vogliono delle persone in grado di pensare come farebbe un hacker, reagire alle situazioni come la tecnologia non sa fare e istruire la tecnologia automatizzata per farla diventare sempre più intelligente.

Sara Avanzi

Cerchiamo di essere ancora più chiari: questa cosa dell’essere adempienti non deve spaventare i piccoli imprenditori che dovranno attuare una serie di misure proporzionalmente inferiore rispetto a quelle di una grande azienda (meno male!). È dunque opportuno che i piccoli imprenditori rispettino la regola Sapere-Intervenire-Mantenere-Provare.

• Sapere: significa che devono avere ben chiari i principi del GDPR e la situazione della propria azienda (e dei propri trattamenti) rispetto ai requisiti del GDPR.
• Intervenire: significa implementare le azioni necessarie, in relazione alla propria situazione. Una prima e basilare attività da compiere sarà quella di adeguare l’informativa sulla privacy in base ai principi del nuovo regolamento e, non da meno, fare un minimo di formazione ai propri collaboratori sulle regole del GDPR e sulle procedure aziendali per essere conformi.
• Mantenere: come accennato in precedenza, il GDPR non richiede solo il semplice adempimento di oneri burocratici (redigere nuovi documenti ecc.) ma impone di proteggere i dati che vengono trattati. Per cui oltre a “predicare bene”, bisognerà “razzolare altrettanto bene”: i titolari dovranno fare in modo che le procedure vengano rispettate e che ogni novità aziendale sia studiata fin dall’inizio in conformità con il GDPR. Un semplice esempio: la nostra piccola attività assume un nuovo dipendente; qualunque sia la sua mansione egli dovrà essere messo subito a conoscenza delle regole da seguire e degli strumenti per farlo.
• Provare: significa che il titolare (compreso quello piccolo) in qualunque momento sia necessario dovrà essere in grado di documentare di aver seguito le regole sopracitate e di stare trattando i dati personali altrui in conformità al nuovo regolamento.

Sara Avanzi