Data Breach: l’importanza della sicurezza informatica
I recenti casi di data breach
È di questi giorni la notizia dell’attacco hacker c.d. “ransomware” subito da SIAE da parte del gruppo di cybercrime Everest, che avrebbe sottratto alla collecting circa 28mila file (per un totale di 60 gigabyte di dati) di associati fra cui dati di pagamento, carte d’identità, codici fiscali, brani musicali quasi tutti inediti, come anche confermato dalla stessa SIAE.
Il ransomware è un programma informatico dannoso che può “infettare” un dispositivo digitale (PC, tablet, smartphone, smart TV), bloccando l’accesso a o sottraendo tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.). L’obiettivo degli hacker che istallano questo tipo di programmi è quello di chiedere un riscatto (in inglese, “ransom”) per ottenere la restituzione dei dati o per impedire che essi vengano diffusi (si veda sul punto la scheda dell’Autorità Garante per la protezione dei dati personali disponibile al seguente link https://www.garanteprivacy.it/temi/cybersecurity/ransomware).
Nel caso di SIAE, l’attacco è iniziato con attività di phishing ovvero tramite invio di sms e messaggi whatsapp “esca” ad alcuni associati SIAE con i quali si chiedeva di rispondere per evitare di essere cancellati dall’associazione: alcuni degli associati hanno “abbocatto” rispondendo ai messaggi. In questo modo gli hacker hanno prima avuto accesso al sistema informatico della SIAE e successivamente hanno inviato all’associazione una email minacciando di pubblicare i dati sottratti sul darkweb, con richiesta di un riscatto di 3 milioni di euro in bitcoin (che SIAE ha dichiarato di non voler corrispondere).
Sempre recente è l’attacco subito dalla nota piattaforma di streaming di Amazon, Twitch. In questo caso, gli hacker hanno prima sottratto e poi diffuso un file torrent di oltre 125 gigabyte contenente moltissimi dati ed informazioni riservate relative alla piattaforma fra cui, ad esempio, il codice sorgente di Twitch e i compensi di alcuni creator. Ancora, ricorderanno sicuramente in molti il gravissimo data breach subito dalla Regione Lazio nell’agosto 2021, che ha paralizzato i sistemi informatici (utilizzati anche per la prenotazione dei vaccini anti-Covid19) per molti giorni.
Va purtroppo constatato che gli attacchi hacker sono significativamente aumentati durante la pandemia, ciò considerando l’utilizzo massivo di dispositivi digitali da parte di aziende che hanno adottato il sistema dello smart working: tali dispositivi sono potenzialmente più esposti al rischio di intrusioni non autorizzate. Secondo un recente studio della Commissione Europea sulla cybercriminalità, infatti, gli attacchi informatici in Europa nel 2020 hanno registrato un aumento del 75% rispetto al 2019.
Tra le vittime di data breach vanno menzionati non solo i colossi del digitale ma anche la pubblica amministrazione e aziende attive nel settore della sanità, ricerca e istruzione, servizi online, banking & finance, produttori di tecnologie hardware e software e infrastrutture critiche. Il rischio di attacco informatico incombe dunque su tutti i tipi di aziende, indipendentemente dalla loro grandezza.
Cos’è un data breach?
L’art. 4 del Regolamento generale sulla protezione dei dati n. 2016/679 (meglio noto come “GDPR”) definisce il data breach come la “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Si possono quindi distinguere tre tipi di data breach:
violazione di riservatezza, ovvero quando si verifica una divulgazione o un accesso a dati non autorizzato o accidentale;
violazione di integrità, ovvero quando si verifica un’alterazione di dati non autorizzata o accidentale;
violazione di disponibilità, ovvero quando si verifica perdita, inaccessibilità, o distruzione, accidentale o non autorizzata, di dati.
Ovviamente, la violazione può riguardare anche dati non di natura personale ma aventi parimenti natura riservata (si pensi a informazioni segrete aziendali, a dati di pagamento della società, etc.).
Le cause dei data breach
Le cause dei data breach sono molteplici, dagli eventi dolosi come gli attacchi hacker ad eventi accidentali o errori di natura umana. Ecco alcuni esempi:
credenziali deboli o rubate: una password debole (oppure una password forte ma non conservata in modo sicuro) può aumentare la vulnerabilità del dispositivo e agevolare l’intrusione non autorizzata da parte di hacker;
vulnerabilità delle applicazioni: l’utilizzo di hardware e/o software non aggiornati aumenta il rischio di attacchi;
eccessive autorizzazioni: le aziende devono limitare il più possibile gli accessi ai sistemi informatici mantenendoli costantemente aggiornati;
furto fisico e smarrimento: un dispositivo abbandonato, documenti cartacei riservati, file e altre proprietà fisiche vengono persi o rubati sono frequentemente causa di data breach;
errore umano: una divulgazione non intenzionale di dati può avvenire a causa di errori o negligenza dei dipendenti (che magari non sono stati adeguatamente formati dall’azienda).
Gli esempi sopra riportati, a loro volta, sono causati frequentemente da una cattiva gestione aziendale caratterizzata dalla mancanza di procedure interne, dalla presenza di fornitori esterni non adeguati, dall’assenza di rigide procedure di back up etc.
Quali sono i rischi di un data breach?
Le conseguenze di un attacco informatico per un’azienda possono essere estremamente dannose. Anzitutto, si consideri il rischio di perdita dei dati, che può essere temporanea o definitiva (soprattutto in caso di non adeguati sistemi di backup). Ancora, l’azienda può subire rilevanti perdite finanziarie (soprattutto nel caso di furto di dati di pagamento), oppure perdere importanti opportunità lavorative e, sicuramente, può subire un significativo danno alla reputazione aziendale.
A ciò si aggiunga che, nel caso in cui il data breach riguardi dati di natura personale, il Garante della Privacy può comminare sanzioni pecuniarie fino al 2% del fatturato mondiale annuo.
Cosa fare in caso di data breach?
L’azienda che ha subito una violazione di sicurezza che riguarda anche dati personali deve, in qualità di titolare del trattamento, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Sul sito del Garante è disponibile un’apposita procedura telematica, raggiungibile all’indirizzo https://servizi.gpdp.it/databreach/s/.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Qualora la violazione (anche ove non relativa a dati personali) sia stata causata da comportamenti illeciti o fraudolenti è opportuno procedere con la segnalazione agli organi di polizia (ad esempio Polizia Postale).
Come proteggersi dagli attacchi informatici?
Per limitare il più possibile il rischio di attacchi informatici vanno anzitutto implementate misure di sicurezza adeguate e aggiornate. L’art. 32 del GDPR prevede infatti l’obbligo per le aziende di adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, la pseudonimizzazione e cifratura, la capacità di assicurare su base permanente la riservatezza, integrità, disponibilità resilienza dei sistemi e dei servizi di trattamento, la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico, una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Questo comporta sicuramente un investimento sulla sicurezza informatica nonché periodici controlli sullo status dei sistemi aziendali
Si consiglia, poi, di curare il “fattore umano”, redigendo policy accurate sull’uso degli strumenti IT, da mantenere aggiornate, diffondendone la conoscenza all’interno dell’azienda nel modo più ampio possibile e monitorando l’effettiva adozione da parte di tutto il personale delle procedure stabilite.
Essenziale è poi la formazione periodica del personale.
Infine, è opportuno che le aziende verifichino sempre l’affidabilità dei propri fornitori esterni, predisponendo contratti adeguati e prediligendo ad esempio provider con certificazioni o che abbiano sottoscritto codici di condotta.