Tecnologia

Data breach: cosa fare per prevenire il furto di dati

Con ‘data breac’ si identifica una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Il Data Breach può essere compiuto nei confronti di un individuo privato ma, nella maggior parte dei casi, è perpetrato nei confronti di un’azienda con lo scopo di rubare o compromettere i dati personali in suo possesso.  

La normativa sulla privacy attualmente in vigore prevede che, in presenza di determinate condizioni, l’azienda abbia l’obbligo di mettere in atto un piano di emergenza per gestire eventuali data breach. Il fine prioritario è la prevenzione, ma viene anche regolamentato il percorso da seguire in caso si subisse un furto di dati.

Quando si verifica un data breach, vengono colpiti per primi gli utenti interessati. Questo perché le loro informazioni, spesso dati sensibili, dopo essere state trafugate vengono messe a disposizione di chiunque voglia farne uso. Ma vengono a subire ingenti danni sono anche le aziende. Si tratta di danni su più fronti:

  • La reputazione dell’azienda viene inevitabilmente compromessa;
  • Le aziende colpite dovranno affrontare costi importanti, sia per pagare le sanzioni sia per recuperare le informazioni: Si è calcolato che, nel solo 2019, il costo medio per una azienda colpita da una violazione dei dati, è stato addirittura di 3.92 milioni di dollari. È una cifra davvero da capogiro! Va però tenuto in considerazione il fatto che i cyber-criminali puntano primariamente alle grandi aziende e, col loro giro di affari, è facile raggiungere subito grandi cifre. Non sono esenti da danni, però, nemmeno le medie e piccole imprese. Secondo un’analisi di IBM, il costo medio di una violazione è di  204 dollari per impiegato in aziende con almeno venticinquemila dipendenti.

Le principali fonti di violazione di dati

Secondo il report di Verizon “2018 Data Breach Investigations Report”, le principali fonti di violazioni di dati, sono:

  • Hacking, Gli hacker compiono azioni criminali nel tentativo di rubare le credenziali di accesso ai sistemi delle aziende private e impadronirsi dei dati sensibili in esso conservati
  • Malawere, è importante avere un buon sistema di sicurezza sempre aggiornato ed essere forniti dei necessari Servizi e Tools in Cloud che permettono di gestire gli adempimenti previsti dal Reg. Europeo sulla protezione dei Dati Personali. Proprio come quelli forniti da PrivacyLab.
  • Social engineering, Il phishing altro non è che l’invio di email (all’apparenza identiche a quelle di aziende importanti) che però fingendo di chiedere agli utenti di ripristinare i dati del proprio account, entrano in possesso delle informazioni di chi casca nella loro trappola.  Questo perché, i malcapitati destinatari della mail truffa, si ritrovano loro malgrado ad accedere a dei portali fasulli, inviando le proprie informazioni.
  • Errore umano, per quanto possa sembrare difficile, è invece un’eventualità da tenere in considerazione. Una buona formazione del personale dipendente può aiutare a scongiurare questo pericolo.
  • Accesso illecito da parte dei dipendenti, per quanto sia difficile da credere, può succedere ed essere la causa di fughe di dati davvero ingenti.
  • Azioni fisiche, catastrofi come incendi, allagamenti, crolli o terremoti possono rovinare irrimediabilmente non solo la struttura, ma anche i dispositivi informatici che conservano i dati sensibili.

Quali norme mettere in atto per prevenire il Data Breach?

Ogni azienda che tratti dati sensibili ha l’obbligo di pianificare una buona strategia di emergenza da mettere in atto per evitare la compromissione dei dati sensibili in suo possesso o, peggio, il loro furto.  

Adottare misure preventive per contrastare il fenomeno del Data Breach è un atto doveroso nei confronti dei propri clienti (e dipendenti), ma anche un modo per risparmiare.

Sarà fondamentale dotare l’azienda con un sistema di sicurezza informatica adeguato in grado di scongiurare a priori l’evenienza di una situazione di Data Breach. Il secondo, basilare, step consiste nell’assicurarsi un costante e aggiornato backup dei dati sensibili a rischio. Si tratta semplicemente di una copia informatica dei dati sensibili da proteggere e va conservata in un luogo diverso da quello dove sono sistemati i PC.

Questo per evitare che entrambe le tipologie di dispositivi vengano danneggiate in caso di incendi o allagamenti o altre tipologie di danni fisici alla struttura che li ospita. Un backup offsite dei dati, ossia di una copia su un dispositivo esterno a quelli dell’azienda, è spesso una tattica trascurata ma ha un’importanza fondamentale.

La tutela dei dati, oltre a garantire la sicurezza ai diretti interessati, è anche una lungimirante pratica che consente di risparmiare parecchio! Basti pensare che, in caso di eventi in cui si verifichi un furto o una compromissione dei dati trattati, l’azienda può subire sanzioni pari al 2% del fatturato, fino a 10 milioni di euro.

Data Breach: quali sono gli obblighi aziendali in caso di furto di dati?

Il titolare del trattamento dei dati in caso di attacchi informatici, accessi abusivi, incidenti (come incendi, allagamenti o altre calamità), perdita, distruzione o diffusione indebita dei dati trattati, ha l’obbligo di informare:

  • il garante della privacy
  • gli interessati

La comunicazione deve essere effettuata entro 72 ore.  Quando il Data Breach mette a repentaglio i diritti e la libertà dei diretti interessati, il titolare ha l’obbligo di fornirgli informazioni chiare e precise indicazioni su come muoversi per poter limitare i danni.

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali. Ad esempio, può predisporre un registro che consentirà poi all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.