Show
Data Breach significato, tipologie e conseguenzeViviamo in un mondo in cui i dati sono sempre più preziosi e importanti. I dati personali vengono raccolti da aziende, istituzioni e organizzazioni di ogni tipo per scopi commerciali, amministrativi o di ricerca. Ogni giorno ne generiamo miliardi: basti pensare alle informazioni che condividiamo sui social network, agli acquisti online, ai siti web che visitiamo. Questa enorme quantità di dati sensibili ha un valore inestimabile perché possono rivelare molto sulla nostra vita privata e sulla nostra identità. Per questo motivo, in un panorama in cui i cybercriminali sono in continuo agguato, la loro protezione è fondamentale perché il rischio di Data Breach è una minaccia sempre più concreta. Un data breach cos’è e come si verifica? Un Data Breach, ovvero una violazione dei dati, è un attacco informatico che ha come obiettivo la sottrazione di dati sensibili o informazioni riservate, come numeri di carte di credito, segreti commerciali o notizie relative alla sicurezza di un’azienda. Queste violazioni, oltre ad essere incidenti di cyber securitytra i più comuni e costosi, colpiscono aziende di ogni dimensione, settore e area geografica, con un conseguente danno alla reputazione a causa della percezione di un “tradimento della fiducia”. I danni di un Data Breach possono essere molto gravi sia per le vittime dirette che per l’azienda colpita. I dati sensibili rubati, infatti, possono essere utilizzati per compiere atti illeciti come frodi, phishing o altri crimini informatici. In alcuni casi, i cybercriminali possono anche chiedere un riscatto per non diffondere il materiale rubato o utilizzarlo per ricattare le vittime. Le violazioni dei dati possono avvenire in diversi modi: il più comune è la cosiddetta “forza bruta”, ovvero l’utilizzo di software che tentano di indovinare le password degli utenti per accedere ai loro account. In altri casi, i criminali informatici utilizzano tecniche di social engineering per ingannare le vittime e convincerle a fornire loro dati sensibili come password o numeri di carta di credito. Ad esempio, possono utilizzare email o messaggi di testo fasulli (phishing) che sembrano provenire da aziende legittime come banche o e-commerce, oppure possono rubare dati sensibili attraverso i cosiddetti “punti di accesso Wi-Fi non protetti”. Secondo le stime della ricerca Cost of a data breach 2022, condotta dal Ponemon Institute, Il costo medio di una violazione dei dati è aumentato del 2,6%, passando da 4,24 milioni di dollari nel 2021 a 4,35 milioni di dollari nel 2022. Le credenziali rubate o compromesse sono state responsabili del 19% delle violazioni. Il phishing è stato responsabile delle violazioni nel 16% dei casi. L’errata configurazione del cloud ha causato il 15% di violazioni. Le violazioni dei dati sono di vario tipo, tra cui:
Un Data Breach può avere diversi effetti negativi sull’azienda, tra cui:
Prevenzione e mitigazione del Data BreachPrevenire un Data Breach è possibile, ma occorre adottare delle precauzioni e seguire delle buone pratiche di sicurezza informatica. Innanzitutto, è importante utilizzare una password forte e unica per ogni account e abilitare l’autenticazione a due fattori (Two Factor Authentication – 2FA), Inoltre, bisogna dottare una strategia di sicurezza Defense In Depth (DiD) implementando più livelli di difesa per proteggere e mitigare un’ampia gamma di violazioni dei dati. Una strategia di sicurezza a più livelli comprende:
Seguire queste buone pratiche di sicurezza informatica può aiutare a prevenire o mitigare efficacemente un Data Breach, tutelando la reputazione dell’azienda e riducendo i danni economici. Data Breach GDPR: come rispondere alla violazione dei dati?Se dovesse avvenire un Data Breach, è importante attenersi alle linee guida del Regolamento UE 2016/679, meglio noto con l’acronimo GDPR (General Data Protection Regulation), per la notifica dell’incidente. La notifica deve essere effettuata dal titolare del trattamento (ad esempio: soggetto pubblico, impresa, associazione o professionista) al Garante per la protezione dei dati personali entro 72 ore dalla constatazione della violazione a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. Inoltre, se la violazione dati personali comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. Devono essere notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali, come il furto d’identità o il rischio di frode. Come inviare la notifica di Data Breach al Garante? A partire dal 1° luglio 2021, la notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità. In aggiunta, per semplificare gli adempimenti previsti per i titolari del trattamento, il Garante mette a disposizione anche un apposito strumento di autovalutazione (self assessment) che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza. Quali sono le sanzioni previste dal GDPR in caso di mancato rispetto della normativa?Esistono due livelli di ammende applicabili in caso di non conformità al GDPR da valutare in base agli elementi previsti dall’art. 83:
In più, ai sensi dell’articolo 84, i singoli Stati possono definire ulteriori sanzioni. Che cosa si intende per data breach?Una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.
Cosa non è data breach?“violazione della riservatezza”, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali; “violazione dell'integrità”, in caso di modifica non autorizzata o accidentale dei dati personali.
Quali eventi può comportare un data breach?I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità.
Che obbligo fa scattare il data breach?Il GDPR disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati.
|