DATA BREACH
Home / Servizi / Data breach
DATA BREACH:
Tutti gli aggiornamenti in caso di violazione dei dati sensibili
Il "data breach" è una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Alcuni possibili esempi sono, l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati; - il furto o la perdita di dispositivi informatici contenenti dati personali; - la deliberata alterazione di dati personali; - l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; - la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità; la divulgazione non autorizzata dei dati personali.
Come adeguare il tuo sito web al GDPR?
Nessun problema con SAMM Servizi
Data breach: si tratta di “un incidente nella sicurezza durante il quale si assiste all’accesso a delle informazioni senza autorizzazione”. Come nel caso di Facebook, quindi, le informazioni di persone, aziende o altre organizzazioni, vengono rese pubbliche senza il consenso degli stessi utenti.
Come si vede dalla definizione, non è necessario che la violazione avvenga a causa di un cyber-attacco. Nell’esempio illustrato a inizio dell’articolo, il data breach si sarebbe verificato per l’incauto utilizzo dei dati da parte delle app di terze parti e non tanto per l’intento malevolo di alcuni criminali del web.
Il 51 per cento delle violazioni di dati avvenute finora nel 2019 proviene proprio da cyber-attacchi. Nel 2014 la percentuale si fermava al 21 per cento. La restante parte è causata invece da errori umani e da errori (glitch) dei sistemi.
Quando si verifica un data breach, vengono colpiti innanzitutto gli utenti, le cui informazioni talvolta sensibili, finiscono nello spazio pubblico, a disposizione di chiunque voglia farne uso (anche criminale). Vengono poi colpite duramente anche le aziende, innanzitutto dal punto di vista della reputazione. Ma ci sono anche costi importanti per recuperare le informazioni, come vedremo.
La violazione dei dati diventa sempre più diffusa. Sempre IBM ha calcolato che nel 2019 le aziende hanno il 29,6 per cento di probabilità di subire un data breach nel giro di due anni. Nel 2014, la cifra si fermava al 22.6 per cento.
Cause ed effetti
Abbiamo già accennato alle principali cause dei data breach, ma approfondiamo il tema, riportando le sei principali fonti di violazioni di dati, secondo il report di Verizon “2018 Data Breach Investigations Report”.
-
Hacking. La causa principale è dovuta all’azione di una mano criminale. Gli hacker, secondo Verizon, provano spesso a rubare le credenziali di accesso ai sistemi delle aziende private, con diversi stratagemmi: le trovano sul dark web, le trovano scritte negli uffici (occhio alle fotografie che pubblichiamo sui social dall’ufficio) oppure usano dei software per la generazione automatica di password. Effettuato l’accesso, gli hacker possono poi raccogliere tutte le informazioni che vogliono e lanciare altri attacchi ai sistemi aziendali.
-
Malware. Strettamente legati alle attività dei cyber criminali, i malware possono essere utilizzati per numerose attività illecite. Un esempio di malware è il cosiddetto RAM Scraper, che scansiona la memoria dei dispositivi digitali per raccogliere informazioni sensibili. Sono sistemi usati, per esempio, per scandagliare i POS. Un’altra forma di software malevolo sono i cosiddetti ransomware, che bloccano i dispositivi elettronici: gli hacker li sbloccheranno solo dietro pagamento di un riscatto (dall’inglese ransom).
-
Errore umano. Come accennato, non è detto che debba esserci una mano criminale dietro un data breach. Anche l’errore di un impiegato può portare a una violazione delle informazioni. Banalmente, inviare la mail alla persona sbagliata, con i dati sensibili di un’altra. Per Verizon l’errore umano è la terza causa di data breach.
-
Social engineering. Torniamo alle attività illecite. Il phishing è l’invio di email che sembrano all’apparenza identiche a quelle di aziende importanti (pensiamo alle Poste), che richiedono spesso agli utenti di ripristinare i dati del proprio account. In realtà i destinatari accedono a dei portali fasulli, inviando involontariamente le proprie informazioni. Attacchi molto pericolosi, soprattutto perché puntano spesso ad accedere a conti correnti e carte prepagate. Il pretexting è un’attività simile, ma condotta al telefono.
-
Accesso illecito dai dipendenti. Nelle aziende, spesso alcuni utenti hanno la possibilità di accedere ai dati dei propri colleghi e sottoposti, perché magari hanno un account con accesso privilegiato o superiore. Questo può risolversi in un data breach, in molti casi accidentale.
-
Azioni fisiche. Ebbene sì, la violazione dei dati può avvenire anche offline. Secondo Verizon, il 10 per cento dei data breach avviene fuori dalla Rete. Un esempio è la clonazione della carta di credito che può avvenire in un bancomat.
Fin qui le cause. Ma quali possono essere le conseguenze di una violazione dei dati?
Per i privati, le conseguenze possono essere sia finanziarie che personali. Come abbiamo visto, molti hacker provano ad accedere in tutti i modi ai conti correnti e alle carte di credito delle persone, utilizzando diversi mezzi. Dal punto di vista personale, c’è il rischio di lasciare che degli sconosciuti violino la nostra intimità. Sui nostri smartphone abbiamo ormai di tutto: dagli scatti con le nostre famiglie, alla posta personale, fino ai messaggi privati. Non deve essere piacevole sapere che qualcuno ha avuto accesso a tutte queste informazioni senza il nostro consenso.
Per le aziende, secondo IBM, le conseguenze dei data breach sono almeno di due tipi. Innanzitutto finanziarie.
Nel 2019, il costo medio per un’organizzazione colpita da una violazione dei dati è stata di 3.92 milioni di dollari. La cifra è enorme perché ovviamente i cyber-criminali puntano principalmente alle grosse aziende. Non mancano però le conseguenze per le imprese più piccole. Sempre IBM spiega che il costo medio di una violazione è pari a 204 dollari per impiegato, per aziende con almeno 25mila dipendenti. Per imprese tra i 500 e i mille impiegati, tale costo sale fino a 3.533 dollari.
C’è poi da considerare il costo reputazionale di un data breach. Quanto vi fidereste di un’azienda che permette la violazione delle vostre informazioni personali? Secondo IBM, le aziende colpite possono perdere in media 1.42 milioni di dollari per ogni attacco. Lo studio ha anche sottolineato un’anomala perdita di consumatori del 3,9 per cento in seguito alle violazioni della privacy.
Bisogna infine considerare i tempi di recupero per i dati che possono essere andati persi o danneggiati in seguito a un attacco. IBM stima che le conseguenze deleterie dei data breach possono arrivare anche dopo più di due anni dalla violazione.
Il data breach nel GDPR
Abbiamo parlato in molte occasioni del GDPR (per esempio qui) il nuovo Regolamento generale sulla protezione dei dati dell’Unione Europea, entrato in vigore lo scorso anno. La norma prevede delle indicazioni specifiche per i data breach, in particolare sul comportamento da mettere in campo da parte delle aziende colpite.
Nello specifico, il regolamento parla di data breach in caso di distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trasmessi, conservati o comunque trattati. Quindi la definizione è in questo caso più ampia.
Cosa devono fare le aziende “colpite” dalla violazione o che comunque l’hanno provocato accidentalmente?
Innanzitutto devono inviare una notifica al Garante della Privacy, entro 72 ore dalla scoperta del breach. Quando la violazione comporta un rischio elevato per i diritti delle persone, allora l’obbligo di comunicazione si estende a tutti gli interessati.
In via preventiva, il Titolare del trattamento – l’azienda o professionista che per qualunque ragione raccoglie dati con il consenso degli interessati – deve poi adottare un preciso “Protocollo di risposta”. Si tratta di una procedura esatta da mettere in campo qualora si verificassero episodi di distruzione o perdita dei dati, mettendo insieme il lavoro dei dipartimenti aziendali coinvolti nel problema, ma anche le strutture pubbliche preposte, come i ministeri, le aziende sanitarie, il Garante della Privacy e così via.
Iscriviti al nostro Workshop per comprendere gli adempimenti della Normativa Privacy
Per avere un'idea chiara sulla Normativa Privacy, organizziamo regolarmente dei Workshop al quale é possibile partecipare e godere di benefici concreti nella comprensione della normativa e nel compiere i primi passi per adeguarsi.
Adeguarsi consente di evitare sanzioni e soprattutto di ottimizzare processi che coinvolgono tutti i settori e collaboratori aziendali: a fine Workshop inoltre si ricevono:
-
la disciplinare,
-
la check-list
-
l'attestato di partecipazione.
Se vuoi avere più informazioni visita la pagina dedicata al Workshop o contattaci per ogni ulteriore chiarimento fosse necessario.
Per maggiori informazioni sui nostri servizi, vai ai Contatti
Ci occupiamo di tutti servizi legati all'adeguamento di imprese, artigiani e professionisti alla normativa sulla Privacy.
Per avere più informazioni o chiarimenti su un servizio specifico o una serie di servizi, mettiti in contatto con noi e verrai ricontattato al più presto.