Come spiegano Diego Dimalta, co-Founder di BSD Legal & Privacy Week e Antonio Longhitano, co-Founder Attitude & Privacy Week in questo articolo, le organizzazioni che subiscono un data breach sono obbligati a dichiarare la violazione entro 72 ore, ore cruciali per limitare i danni che ne conseguono.
Scopriamo qual è il “segreto” per scongiurare gravi ripercussioni derivanti da un data breach.
Buona lettura!
Data Breach? O ne sei vittima o non lo sai. Ma se non si possono evitare si può correre ai ripari con una comunicazione tempestiva e puntuale
Gli attacchi hacker aumentano in maniera esponenziale anno dopo anno e sono in larga maggioranza attacchi con conseguenze gravi. Per contrastarli servono sistemi informatici cybersecurity by design, serve formazione a tutti i livelli aziendali e azioni precise e immediate, al di là degli obblighi della GDPR.
26 miliardi di record e 12 terabyte di dati: sono i numeri di “Mother of all breaches” (MOAB), ovvero la recente violazione di dati più vasta della storia, secondo quando risulta agli specialisti di Cybernews e al ricercatore di sicurezza informatica Bob Dyachenko. I dati frutto di violazioni hanno riguardato informazioni personali; credenziali d’accesso; dati finanziari o provenienti da social media come Tencent, Weibo, Twitter e MySpacei, Linkedin o da servizi di intrattenimento e giochi come Deezer, Zynga e MyFitnessPal. Questa violazione non solo evidenzia la vulnerabilità di tante (grandi) aziende o entità governative globali, ma anche la preoccupazione rispetto al potenziale uso malevolo che si può fare di tali dati. Cambiare tutte le password dei servizi compromessi sarebbe la prima cosa da fare ma spesso accade che le comunicazioni delle aziende coinvolte siano tardive, causando di fatto molti danni.
Una comunicazione tempestiva e trasparente per evitare guai maggiori
Nella notte tra il 31 luglio e il primo agosto del 2021, il sistema sanitario della Regione Lazio ha tremato a causa di un grave data breach che ha compromesso la sicurezza dei dati personali di milioni di assistiti. Il copione è dei più banali: un ransomware che viola il portatile di un dipendente, con conseguenze devastanti: blocchi alle prenotazioni, a pagamenti, ritiro dei referti e registrazione delle vaccinazioni. Le indagini condotte dal Garante per la Privacy hanno rivelato gravi violazioni da parte della Regione e di LAZIOcrea, la società responsabile dei sistemi informativi, in particolare per lavorare su sistemi obsoleti e senza le adeguate misure di sicurezza per prevenire e rilevare tempestivamente violazioni dei dati. Le sanzioni sono ammontate a 271mila euro per LAZIOcrea, e a 120mila euro per la Regione Lazio. Una storia che insegna che la comunicazione nei data breach è la chiave.
La “tassa sui dati” e tutti i modi per evitarla
Qualcuno la definisce la “tassa sui dati” e nel 2023 è ammontata a 1,78 miliardi di euro (+14% anno su anno) per le imprese europee. È il valore delle multe emesse dalle authority del Vecchio Continente per violazione del Gdpr, secondo l’ultimo “GDPR and Data Breach Survey” di DLA. In media sono state notificate 335 violazioni giornaliere dal 28 gennaio 2023 al 27 gennaio 2024, rispetto alle 328 durante lo stesso periodo dell’anno scorso. Ma è interessante anche il dato sulle notifiche di data breach, che nel 2022, dopo quattro anni consecutivi di crescita ha segnato un calo: 109.000 violazioni dei dati personali contro le 120.000 del 2021. Un cambiamento forse attribuibile a maggior cautela dei soggetti coinvolti a comunicare l’accaduto, per paura di indagini, sanzioni e richieste di risarcimento. Se così fosse sarebbe un grave errore. Perché comporterebbe l’assunzione di un ulteriore rischio, in termini reputazionali, anche più grave di quello economico che comporta una violazione dei dati.
E allora, se è fondamentale adottare potenti forme di cybersecurity e investire per adeguarle alle evoluzioni della tecnologia, ma anche valorizzare la formazione del personale che spesso è il punto di ingresso dei malware (anche banalmente attraverso l’email), è altrettanto importante per le aziende dotarsi di un piano di gestione della crisi con al centro un fattore chiave: una comunicazione trasparente, verso il garante ma anche verso ogni altro stakeholder. Un sistema di gestione della crisi da data breach è necessario per tutti, perché i data breach sono di fatto ineluttabili.
Una definizione: cos’è il data breach e quali sono gli obblighi per le imprese
Esiste in capo ai titolari del trattamento dei dati l’obbligo di comunicare entro 72 ore una violazione della sicurezza, il cosiddetto data breach. L’obbligo è contenuto nel Regolamento (UE) 2016/679, la famosa GDPR, che lo prevede per ogni “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Sono violazioni, per esempio, l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati; il furto o la perdita di dispositivi informatici contenenti dati personali; la deliberata alterazione di dati personali; l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità; la divulgazione non autorizzata dei dati personali.
Quando questa violazione avviene è già troppo tardi, ma le 72 ore che seguono sono cruciali per cercare di limitare i danni. Bisogna rapidamente fare la Raccolta delle informazioni; l’Analisi delle segnalazioni e valutazioni dell’evento; la Notifica al Garante e ogni comunicazione agli interessati; la Registrazione e segnalazione nel registro dei data breach; e l’Analisi dei danni post violazione.
Nessuno è salvo: il data breach come norma
L’attacco hacker deve essere vissuto come ineluttabile. La maggior parte delle aziende ne è consapevole e si è dotata di strutture informatiche avanzate. Ma non basta. Siamo nell’era in cui la tecnologia evolve in maniera rapidissima e invenzioni dirompenti come AIGen possono abilitare nuove minacce informatiche rispetto a cui è difficile essere preparati.
I numeri dell’ultimo rapporto Clusit parlano chiaro. Nel 2023 sono stati analizzati 2.779 incidenti gravi a livello globale: un dato che restituisce una fotografia nettamente peggiorativa rispetto ai dodici mesi precedenti (+12%) e una parabola inesorabilmente ascendente. Mensilmente, è stata rilevata una media di 232 attacchi, con un picco massimo di 270 nel mese di aprile, che rappresenta anche il valore massimo misurato negli anni. Ma ciò che è peggio è che nell’81% dei casi la gravità degli attacchi è elevata o critica.
In questo contesto, il nostro Paese appare sempre più nel mirino dei cyber criminali: lo scorso anno in Italia è andato a segno l’11% degli attacchi gravi globali mappati dal Clusit (era il 7,6% nel 2022), per un totale di 310 attacchi, dato che marca una crescita del 65% rispetto al 2022. Oltre la metà degli attacchi – il 56% – ha avuto conseguenze di gravità critica o elevata. Con uno sguardo agli ultimi cinque anni, emerge inoltre che oltre il 47% degli attacchi totali censiti in Italia dal 2019 si è verificato nel 2023.
Le infrastrutture generalmente obsolete dell’Italia (siamo nella top ten al riguardo) sono come un invito ai cyber criminali. Il passaggio allo smart working ha inoltre aperto le porte a dati aziendali in maniera estensiva e non sicura, rendendo i dipendenti punti vulnerabili.
Per sconfiggere i più evoluti hacker IT ci vuole il controllo umano
La comunicazione diretta e puntuale nelle prime 72 ore della crisi diventa uno scudo contro la tempesta digitale. Il panico deve essere trasformato in una strategia lucida e precisa non solo per informare ma anche per difendere la reputazione aziendale. Gli hacker violano i dati per chiedere riscatti e quindi hanno ogni interesse a rendere noto il fatto in assenza del pagamento; pertanto, comunicando per primi li si mette in una posizione di debolezza. Bisogna sicuramente fare controlli sui device utilizzati (soprattutto da chi fa smartworking) ma più che sugli strumenti per cui è possibile creare un cordone di sicurezza simile a quello che c’è in azienda va prestata molta attenzione alla formazione e sul corretto comportamento che il lavoratore from home deve tenere. La formazione deve fornire strumenti per riconoscere mail potenzialmente pericolose e focalizzarsi sulla modalità di trattamento di queste interazioni sospette, che vanno interrotte fino a una positiva verifica analogica dell’identità del mittente.
Bisogna investire in IT e in assicurazioni contro il rischio informatico. Sembra banale ma è necessario ricordarlo nel Paese del “si è sempre fatto così” e “a me non succede”, che porta gli investimenti a stazionare nell’intorno del 17,8% del Pil contro la media Europea del 21,9% (dati Istat) e la quota di assicurazione all’1,9% contro il 4.6% della media Ocse (dati Ivass-banca d’Italia). Ed è davvero ora di chiudere questi gap.
Appuntamento con il data breach alla PrivacyWeek24
Si discuterà di queste tematiche durante PrivacyWeek24 Privageddon – La battaglia dei regolamenti, che si terrà a Milano dal 27 al 31 maggio. Un evento in cui si cercherà di capire come cogliere le opportunità e fare buon uso dei nuovi strumenti a nostra disposizione, sapendo però anche gestire i rischi legati alla sicurezza dei dati e al rispetto di normative sempre più complesse e interconnesse tra loro.
di Diego Dimalta, co-Founder di BSD Legal & Privacy Week e Antonio Longhitano, co-Founder Attitude & Privacy Week
