Con Data Breach si intende un incidente informatico, di natura colposa o dolosa, che coinvolge informazioni digitali. Lo stesso Regolamento Europeo 2016/679 (GDPR) in materia di protezione di dati personali fornisce una definizione di Data Breach agli articoli 33 e 34 definendolo come:
“una violazione di sicurezza – accidentale o illecita - che causa la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati personali conservati o trattati.”
Si pensi infatti che un data breach può essere causato da un hacker, quindi una persona esterna all’organizzazione, ma per nostra statistica, in oltre l’80% dei casi il data breach è causato da errore umano (ad esempio la trasmissione o il deposito di un file un un luogo non sicuro) o da comportamenti scorretti di dipendenti e collaboratori (white collar crime).
L’Italia è coinvolta in casi di data breach? Certamente, sì. La sensibilità delle imprese italiane è ancora bassa ma sono stati resi noti diversi data breach che hanno portato all’interruzione della produzione, difficoltà nel gestire i contatti con i clienti, diffusione di dati, diffusione di credenziali di accesso. E’ inoltre da considerare che molti data breach non vengono comunicati e che di alcuni ci si rende conto anche a decine di mesi di distanza. Sicuramente i numeri sono ben più elevati di quanto riportato nelle statistiche, siano esse di istituti universitari, associazioni informatiche o di imprese.
La garanzia della sicurezza di un sistema informatico non è raggiungibile al 100%. Alle aziende infatti viene richiesto dallo stesso legislatore di scegliere in autonomia un adeguato sistema di sicurezza in relazione alla riservatezza, tipologia e volume dei dati trattati. Le linee Guida di Agid per la Pubblica Amministrazione, possono essere un utile punto di riferimento per implementare misure di sicurezza minime/standard/avanzate e verificare il gap positivo o negativo rispetto alla vostra azienda.
Per prevenire un data breach bisogna lavorare bene nelle fasi iniziali del processo di individuazione delle misure di protezione adeguate, di cui abbiamo recentemente proposto uno schema. E’ infatti già possibile evidenziare vulnerabilità di sicurezza macroscopiche che con estrema probabilità potrebbero essere sanate con costi contenuti. Per essere pronti a reagire in caso di attacco informatico è invece utile utilizzare gli esiti delle fasi di censimento dati e analisi dei rischi per implementare efficacemente (a basso costo) sistemi di Forensic Readiness.
Come si valuta il rischio derivante dal data breach?
Possiamo distinguere tre macro-categorie di data breach:
1. “Confidentiality Breach”, in caso di divulgazione o accesso accidentale/abusivo ai dati;
2. “Availibility Breach”, se si verifica una perdita/distruzione accidentale o non autorizzata di dati;
3. “Integrity Breach”, in caso di modifica non autorizzata o accidentale di dati.
L’analisi del breach deve permettere una valutazione del rischio effettivo di diffusione del dato, anche in funzione delle misure di sicurezza adottate, della tipologia dei dati trattati e del grado di identificabilità delle eventuali persone fisiche coinvolte. Da questa stima ne consegue la definizione delle priorità di azione.
Un valido processo di valutazione del data breach si articola nelle seguenti fasi:
• Individuare e definire una scala di valori di criticità in relazione alle differenti tipologie di dati raccolti o trattati dalle infrastrutture IT aziendali;
• Individuare i punti di vulnerabilità a cui sono esposti i dati;
• Valutare il rischio e l’impatto del data breach in relazione alle misure di sicurezza adottate;
• Avviare le azioni di risposta in funzione del tipo di data breach subito e degli investimenti necessari per l’impiego delle risorse necessarie.
È obbligatorio notificare l’avvenuta violazione dei dati?
Il GDPR stabilisce il dovere di notifica di eventuali violazioni entro 72 ore, ove possibile senza ingiustificato ritardo, dal momento in cui si è venuti a conoscenza della violazione, salvo che sia improbabile che la violazione rappresenti un rischio per i diritti e le libertà delle persone fisiche. Il regolamento non dispone di fatto nessun obbligo di notifica.
Il Garante della Privacy lo scorso 30 gennaio ha pubblicato i numeri che riguardano l’applicazione, da maggio a dicembre, del nuovo Regolamento Europeo ed emergono 4.704 reclami e segnalazioni su possibili violazioni di dati (+39,3% rispetto allo stesso periodo 2017) e 630 casi confermati di notificazioni di data breach. Risulta, quindi, prioritario per aziende e PA un urgente adeguamento al GDPR.
In tal senso, è necessario adottare un modello di analisi del data breach per valutare il rischio e la necessità di notificare l’avvenuta violazione agli interessati e al Garante; dunque, delineare un processo aziendale interno per rispondere e prevenire, ancor prima, gli incidenti informatici.
In particolare, un processo di analisi del data breach si articola in 4 fasi:
1. Preparazione;
2. Reazione;
3. Comunicazione;
4. Registro.
Come comunicare correttamente il data breach?
Verificata la probabilità di rischio per gli interessati, qualora questa risulti elevata, si dovranno informare gli stessi senza ingiustificato ritardo, cioè entro 72 ore dal momento in cui l’azienda è venuta a conoscenza del data breach.
Valutare correttamente la necessità di comunicazione è di fondamentale importanza, una comunicazione non necessaria potrebbe comportare un danno d’immagine/reputazionale non necessario.
Le linee guida stabiliscono che:
• devono sempre essere privilegiate modalità di comunicazione diretta (email, SMS...);
• il contenuto deve essere evidente e trasparente;
• è necessario tener conto delle diversità linguistiche e dei formati alternativi di visualizzazione.
Tuttavia, nel Regolamento si stabilisce che è possibile procedere con una comunicazione pubblica qualora la segnalazione diretta richieda oneri eccessivi per i titolari.
Come si conclude il processo di data breach?
L’articolo 33 del GDPR prescrive che i Titolari di trattamento documentino le violazioni di dati subite, dettagliando le circostanze, l’impatto, le conseguenze e i provvedimenti adottati. La remediation e il processo continuo di miglioramento nella sicurezza del trattamento del dato è il fine ultimo del legislatore e la ratio della norma.