Cosa si intende per Data Breach? La violazione dei dati personali si traduce nella distruzione, perdita, modifica, divulgazione non autorizzata dei dati.
Cause ed esempi di violazione dei dati più comuni
Un Data Breach può compromettere la riservatezza, l’integrità o la disponibilità dei dati riservati. Inoltre, può causare gravi conseguenze per i dipendenti sul posto di lavoro e per l’integrità della società stessa.
Alcuni esempi possibili:
- L’accesso o l’acquisizione di dati da parte di terzi non autorizzati;
- Il furto o la perdita di dispositivi informatici contenenti dati personali;
- La modifica deliberata dei dati personali;
- L’impossibilità di accedere ai dati per via di cause accidentali o attacchi esterni, virus, malware, ecc.;
- La perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
- La divulgazione non autorizzata di dati personali.
Di fronte all’elevato numero di attacchi informatici, è importante richiamare l’attenzione delle amministrazioni pubbliche e delle imprese.
È necessario che investano nella sicurezza e che forniscano assistenza, in particolare, per difendersi da ransomware e violazione dei dati.
I Data Breach più rilevanti nel 2021
Significativo a questo proposito è il numero di Data Breach notificati nel 2021 da enti pubblici e privati: sono 2071 (con un aumento anche del 50 per cento rispetto al 2020), molti dei quali legati alla diffusione di dati sanitari che hanno portato anche a sanzioni.
Gli interventi dell’Autorità in questo settore hanno coinvolto anche grandi piattaforme social come Facebook e LinkedIn.
Ci sono stati 72 pareri resi dal Collegio su atti normativi e amministrativi e hanno riguardato l’assistenza sanitaria; fiscalità; giustizia; istruzione; digitalizzazione della pubblica amministrazione; e funzioni di interesse pubblico.
Vi sono state 12 segnalazioni di reati alle autorità giudiziarie, riguardanti violazioni che hanno coinvolto: lavoratori in smart working; accesso non autorizzato a sistemi informatici o telematici; trattamento illecito dei dati; false dichiarazioni; e il non-rispetto degli ordini del Garante.
Nel 2021 sono state effettuate 49 ispezioni, dopo essere state colpite dall’emergenza pandemica. Le ispezioni effettuate, anche con il contributo dell’Unità Speciale della Guardia di Finanza per la Tutela della Privacy e la Frode Tecnologica, hanno riguardato diversi settori, sia pubblici che privati: in particolare la fatturazione elettronica; fornitori di database; videosorveglianza domestica; database reputazionali; marketing e profilazione; violazione dei dati; e la consegna di cibo.
Come prevenire un Data Breach
Garantire la sicurezza di un sistema di informazione non è raggiungibile al 100%. Le società sono tenute dal legislatore stesso a scegliere autonomamente un sistema di sicurezza adeguato in relazione alla riservatezza, al tipo e al volume dei dati trattati.
Le Linee Guida dell’Agid per la Pubblica Amministrazione possono essere un utile punto di riferimento per implementare misure di sicurezza minime/standard/avanzate e verificare il gap positivo o negativo rispetto alla propria azienda.
Per prevenire una violazione dei dati è necessario lavorare bene nelle prime fasi del processo di identificazione delle misure di protezione appropriate.
D’altra parte, per essere pronti a rispondere in caso di un attacco informatico, è utile utilizzare i risultati del censimento dei dati e le fasi di analisi del rischio per implementare efficacemente (a basso costo) sistemi di Forensic Readiness.
Le conseguenze per le aziende
Il 93% degli attacchi dura meno di un minuto, ma la maggior parte delle aziende impiega diverse settimane prima di scoprirlo. Nel frattempo, la violazione dei dati, se i dati non sono ben protetti, può portare a conseguenze preoccupanti. Ecco cosa rischia un’azienda se non protegge adeguatamente i propri dati:
- Perdite economiche
Piuttosto comune è la minore produttività per le aziende con conseguente significativa perdita di entrate.
- Danno reputazionale
Il danno può influire anche sui guadagni a lungo termine: coloro che cadono vittime della violazione dei dati difficilmente ripongono la loro fiducia nel marchio in questione, quindi diffondono la loro opinione ai propri colleghi e amici. Una buona reputazione aziendale, una volta persa, diventa difficile da recuperare.
- Perdita della proprietà intellettuale
L’obiettivo di un attacco non sono solo i dati privati di un cliente o di un dipendente, ma anche informazioni aziendali riservate come strategie, piani, idee di design, ecc.
Le aziende più sensibili al furto di proprietà intellettuale sono le imprese di costruzione e produzione, ma nemmeno le piccole imprese sono sicure.
- Costi nascosti
Gli ovvi costi dovuti alla perdita di entrate sono solo una parte del complesso. Tra le spese da contabilizzare vi sono:
- Le sanzioni amministrative più o meno ingenti da pagare;
- La responsabilità giuridica nei confronti degli interessati;
- La possibilità che gli hacker compiano azioni dannose contro gli utenti hackerati e anche contro i loro contatti.
L’incident management team
Un modo per le organizzazioni di mitigare i rischi e i costi di una violazione dei dati è quello di preparare una strategia per la gestione e la risposta a tali eventi. In poche parole, preparasi all’eventualità.
La ricerca condotta dall‘Istituto Ponemon indica una possibile riduzione del costo di una violazione dei dati fino al 35% per quelle organizzazioni che hanno un team di gestione degli incidenti e un piano di gestione che è soggetto a revisione periodica.
La composizione del team dipende in primo luogo dal contesto organizzativo (ad esempio, dimensioni, risorse e competenze) ma può anche variare in base alla natura e alle circostanze della violazione. In alcune circostanze, il supporto di esperti esterni (ad esempio, avvocati, specialisti forensi, ecc.) può essere utile o necessario.
È quindi importante che le organizzazioni identifichino le competenze di cui possono aver bisogno e come possono organizzare tali servizi quando necessario.
Scrivi un commento