Tag: data breach

Consulenza, Database, Formazione, GDPR, Internet, Sicurezza informatica

Security policy e rischi reali per i dati

Oggi tratteremo in questo articolo un argomento legato ai tanti aspetti della security policy e i rischi reali per i dati.

Il dipendente licenziato, arrabbiato con il suo ormai ex datore di lavoro, scaricò su una pen drive USB l’elenco di tutti i clienti che, nel corso degli anni si erano lamentati dei prodotti dell’azienda e lo offrì alla concorrenza. Sperava di essere assunto ma, in ogni caso, voleva danneggiare il suo precedente datore di lavoro.

Il socio con cui avevano condiviso anni di attività decise di mettersi in proprio e, dopo aver aperto la sua azienda, contattò tutti i clienti della società da cui si era staccato per offrire i suoi prodotti a prezzi decisamente più convenienti.

Durante la pausa pranzo, il consulente che si recava in visita verso i potenziali clienti, si fermò in un noto ristorante di campagna. Una volta qui, utilizzò la connessione del locale per inviare le copie dei contratti che aveva fatto firmare ma, a causa della scarsa protezione della rete, non si accorse di una mail ingannevole. Scaricò un ransomware che fece lo stesso percorso dei contratti e si accomodò nel server aziendale criptandolo. La successiva richiesta di riscatto in bitcoin che giunse ai vertici aziendali giunse anche alle orecchie di alcuni clienti. Questi, non ricevendo i prodotti e servizi del fornitore, avevano telefonato per chiedere spiegazioni date da una segretaria. Questa aveva ingenuamente comunicato come si trattasse “solo di un blocco del sistema a causa di un attacco informatico.”

I rischi del data breach

Potrei continuare con gli esempi ma credo che questi siano sufficienti per far capire non solo le possibili ed impensabili sfaccettature sotto cui si può presentare un data breach, ma anche come ormai non si possa pensare di ridurre la protezione dati solo ad un antivirus o ad un’informativa magari scaricata online o collocata su una piattaforma di un’azienda fornitrice. Evidente come sia ai confini dell’impossibile prevedere ogni possibile minaccia che corrono i dati di cui ogni azienda deve essere gelosa custode per evitarne la perdita e le conseguenze.

data breach

In tutti gli esempi sopra citati il Titolare del Trattamento, oltre a dover fronteggiare nei primi due casi le conseguenze del danno di immagine e dell’illecita concorrenza e nel terzo quello di decidere se cedere al riscatto o recuperare diversamente i dati, devono affrontare l’Autorità Garante cui il data breach deve essere riportato entro settantadue ore dal suo rilevamento. Andare a dichiarare l’accaduto è un dovere, sottrarsi al quale vuol dire già essere oggetto di una sanzione magari pesante e, inoltre, si sostanzia in una confessione di non essere stati in grado di prevenire l’accaduto.

Inutile sostenere la buona fede o il fatto inevitabile o, ancora, scaricare le colpe su dipendenti sleali, incapaci o altro. Le responsabilità ricadono in capo al Titolare che sarà chiamato a pagarne le conseguenze.

Conseguenze

Quali possono essere queste conseguenze?
Le sanzioni emesse dal Garante possono andare da una censura fino a poche migliaia di euro, ma quelle economiche potrebbero rivelarsi le meno dolorose.
Il procedimento e le necessarie attività di valutazione e adeguamento si risolvono in costi non solo economici ma anche in ore di attività sottratte alla produzione. Il Garante potrebbe imporre misure correttive che possono richiedere ulteriori costi se non addirittura lo stravolgimento di procedure operative e di fasi di lavorazione. Inoltre, non si dimentichi, è necessario informare gli interessati di quanto accaduto e in tal senso non è sufficiente un comunicato sulle pagine web aziendali. Ogni cliente deve ricevere una comunicazione dei rischi che corre a causa del data breach. Anche l’immagine di un’azienda potrebbe essere pregiudicata.

Quando si parla di sicurezza dei dati è necessario in ogni azienda un cambio di prospettiva rispetto al passato. A partire dalla consapevolezza ormai necessaria e che i dati sono un patrimonio aziendale fondamentale e non adeguarsi al GDPR può avere conseguenze addirittura disastrose.

contattaci
Formazione, GDPR, Sicurezza informatica, Social media

Banca dati: la cassaforte più importante di un’impresa

Banca dati: la cassaforte più importante di un’impresa. Vediamo attraverso questo articolo l’importanza di questa risorsa.

Non a caso la corretta traduzione in italiano del database è banca dati: in banca si tengono le cose preziose, i valori, forse anche i ricordi importanti. Oggi per un’azienda i dati personali sono un valore fondamentale non certo perché il GDPR impone di trattarli e conservarli come tali. Ma piuttosto perché sono un asset fondamentale per l’organizzazione e la gestione di ogni azienda: piccola o grande che sia.

Numeri di telefono, mail, indirizzi di clienti e fornitori sono niente se pensiamo a che cosa consideriamo oggi “dato personale”, sia dalla legge che dagli analisti. Questi infatti li usano per migliorare le performance aziendali sia per programmare strategie e futuro. Per dati, in questo contesto, non parliamo quindi solo di mere schede anagrafiche. Ma piuttosto di tutto quell’insieme di elementi che sono sempre più indispensabili in una economia di mercato sempre più globale e digitale.

I dati, una risorsa vitale

Già per qualcuno, forse, un like su un post della pagina aziendale dice molto di più del nome di chi lo ha messo. La provenienza geografica dei follower di un personaggio politico o dello spettacolo è essenziale per decidere dove promuovere di più, o di meno la sua presenza. Per un’azienda che produce qualsiasi prodotto lo scoprire che in una data città c’è un calo di vendite e un contestuale aumento di commenti social negativi su un dato prodotto diventa essenziale scoprire il perché. E di conseguenza poter inviare un sondaggio agli interessati è di assoluta vitale importanza.

Il problema è che per poterlo fare oggi il consumatore deve avere preventivamente autorizzato l’utilizzo della sua mail per ricevere le domande. Inoltre deve essere anche consapevole di averlo fatto.

Questo è soltanto uno degli aspetti disciplinati dal GDPR. Il Regolamento Europeo in vigore dal 2016 e che dal 25 maggio 2018 dovrebbe trovare piena applicazione da parte di ogni azienda e professionista. Se non si adempie a ciò, anche il semplice detenere numeri di telefono e anagrafiche configura trattamento illecito di dati personali. Per giunta sanzionabile a livello economico da parte del Garante con cifre anche a sei zeri, oltre che con misure interdittive quali, ad esempio, la chiusura di un sito internet che ha una privacy e una cookie policy non conformi alla disciplina. Magari che l’hanno copiata da internet ritenendo che siano tutte uguali come quando era possibile acquistare contratti prestampati in cartoleria.

Banca dati: la cassaforte più importante di un'impresa.

Il rischio di data breach

Per ogni singolo dato e per ogni forma di trattamento il GDPR impone che venga raccolto uno specifico consenso informato. Inoltre che anche la forma di manifestazione del consenso venga conservata insieme ai dati.

Ma che cosa accade quando una cassaforte viene scassinata dai soliti ignoti o dalla Banda Bassotti di turno che, oggi, invece di essere dei simpatici imbranati sono degli hacker di primissimo livello?

Quello che la norma definisce data breach, inoltre, non è solo la perdita di dati a causa dell’attacco di un hacker che cripta i database aziendali e chiede un più o meno pingue riscatto per restituirli. Data breach è anche la perdita accidentale di un computer o di una memory portatile. In queste ipotesi, che sappiamo non essere un semplice rischio, bisogna prendere le misure necessarie non solo a recuperare i dati prima di perdere definitivamente una parte dell’efficienza aziendale, ma anche avere previsto una procedura per avvisare la propria clientela e i fornitori dei rischi che corrono.

Riusciamo ad immaginare, ad esempio, le conseguenze di una mail inviata a tutti i vostri clienti con la quale, in prossimità di un pagamento, ricevono da un indirizzo mail assolutamente riferibile alla vostra azienda, con cui si comunica un diverso iban? Ecco perché il GDPR deve essere applicato: non solo per proteggere quel valore aziendale che sono i dati, ma anche per proteggere voi stessi.


Avvocato Gianni Dell’Aiuto

contattaci
Formazione, Internet, Sicurezza informatica

Password e passphrase: cosa cambia?

Differenze tra password e passphrase: cos’è la passphrase e cosa cambia dalla password?

Sappiamo tutti quanto è di vitale importanza scegliere password sicure per gestire i nostri account online. Eppure quando ci ritroviamo ad impostare le password durante la fase di registrazione, l’utente finisce con dare poca importanza alla combinazione di numeri e parole che useremo.

In nostro aiuto arrivano i vari servizi online che offrono delle linee guida obbligatorie da seguire quando si creano delle password, come:

  • Lunghezza minima 12 caratteri
  • Presenza di almeno un numero e un carattere speciale
  • Presenza di un carattere maiuscolo

Molti siti suggeriscono anche quanto sia “forte” la password che si sta creando, suggerendo se migliorarla o se invece si tratta di una password sicura. Ma creare e poi ricordare tutte queste password diventa molto rapidamente un peso. In un sondaggio online effettuato nel 2017 su 1000 utenti internet in Europa, si è scoperto che il 70% dispone di almeno 10 account online differenti.

Come creare una passphrase: il modo più semplice per password sicure

Proteggere la propria navigazione in rete significa prendere misure di sicurezza adeguate sia nel caso si creino account online, sia quando si visitano siti internet. Da un lato possiamo proteggerci usando una rete VPN sicura, che ci permette di navigare protetti grazie una crittografia a 256 bit e cambiando il nostro indirizzo IP.

Password e passphrase: cosa cambia?

Dall’altro lato, quando apriamo un nuovo account online dobbiamo:

  • Assicurarci di essere su un sito sicuro (è importante anche la presenza del classico “lucchetto verde” nella barra degli indirizzi, ovvero la connessione HTTPS);
  • Scegliere un indirizzo email che utilizzate quotidianamente;
  • Inserire tutti i dati richiesti, ma occhio ai termini e condizioni (spesso spuntando le giuste caselle si può evitare di accettare l’invio di email promozionale, se non ci interessa);
  • Scegliere una password inviolabile.

In questo ultimo punto, potete fare affidamento sulla tecnica della passphrase: un modo per creare password a prova di hacker che sono al tempo stesso facili da ricordare.

Come prima cosa, scegliete una frase che vi riguardi. Per esempio, il vostro piatto di pasta preferito: “Il mio piatto di pasta preferito è la carbonara.” Adesso, prendiamo solo le lettere iniziali delle parole presenti nella nostra frase.

Ci ritroveremo quindi con “Impdppèlc”. Poi mettiamo in maiuscolo la prima lettera e l’ultima di questa frase rimasta, aggiungendo anche almeno un carattere speciale e tre numeri. Proseguendo con l’esempio, ci ritroveremo con: “LmpdppèlC-874”.

Come vedete, in giusto un paio di passaggi siamo partiti da una frase semplice, come quella indicante il vostro piatto di pasta preferito, e siamo arrivati invece a creare una password sicura. Basta insomma davvero poco, per evitare di usare password troppo semplici e poco sicure.

L’importanza di cambiare password

Infatti, con il passare del tempo diventa sempre più facile craccare le password. Prendendo come esempio la password “security1”, nel 2000 ci volevano 3 anni e 10 mesi per riuscire a craccarla. Nel 2016, il tempo richiesto invece è calato a circa 3 mesi. Più passa il tempo, più le tecniche di furto password diventano performanti (complice i balzi in avanti della tecnologia e della velocità dei processori).

Cambiare password però non significa “riciclare” password vecchie, bisogna sempre inventarne di nuove (e soprattutto, mai usare la stessa password per più account). Non bisogna mai sottovalutare questa misura di sicurezza: più passa il tempo, più ci si espone al rischio del furto della password.

Noi possiamo prendere tutte le misure di sicurezza possibili:

  • Installare un antivirus sempre aggiornato;
  • Non aprire mai email sospette;
  • Usare reti VPN per proteggere la propria connessione;
  • Utilizzare Adblock o altri sistemi per fermare pubblicità invasive e/o dannose;
  • Non cliccare mai su link che non conosciamo.

Però c’è sempre un fattore che non possiamo controllare: i servizi o piattaforme dove ci registriamo con un account. Dai Social ai siti di e-Commerce, dalle piattaforme di Home Banking fino ai forum o blog. Tutti questi servizi/portali web archiviano le nostre password e indirizzi email, oltre a svariati dati personali.

E sfortunatamente gli hacker prendono spesso di mira i server di queste compagnie, rubando costantemente una ingente mole di dati ogni anno (i cosiddetti “data breach”). Probabilmente anche il vostro indirizzo email potrebbe essere già stato “compromesso”, ovvero sottratto durante uno o più data breach.

Uno dei servizi più efficienti per scoprire se la propria email è stata vittima di un data breach è haveibeenpwned: basta inserire il proprio indirizzo e scoprire subito se l’indirizzo email inserito risulta coinvolto in uno o più data breach. Cambiare però regolarmente password ci permette di proteggere sempre i nostri account ed indirizzi email, anche in caso che i nostri dati (o parte di essi) ci vengano sottratti durante un data breach.

Come gestire le proprie password?

Ammettiamolo: quanti di noi ricorrono a carta e penna per scriversi il PIN del proprio bancomat? O quanti di noi scrivono le password del proprio account su qualche post-it o su una pagina di un’agenda?

È normale, gestire tanti account online può diventare difficile, considerando che poi ogni account dovrebbe disporre di una password sicura e differente. Sconsigliamo caldamente di scrivere “in chiaro” le proprie password su un file Word sul proprio computer, o anche salvarle sul proprio telefono.

Archiviare le proprie password con il tradizionale metodo di carta e penna può sempre tornare utile, salvo adottare le dovute misure di sicurezza: assicuratevi di non scriverle su post-it volanti, ma in un’agenda tenuta in un posto sicuro che solo voi conoscete in casa.

Altrimenti potreste fare affidamento su un Password Manager, un software che si occupa di immagazzinare e tenere al sicuro le vostre password. Come per esempio LastPass, un Password Manager compatibile con tutti i browser, che da poco ha cominciato a collaborare con il servizio VPN di ExpressVPN, offrendo 1 mese di prova gratuita della rete virtuale più veloce in circolazione.

contattaci
Database, Formazione, GDPR, Internet, Sicurezza informatica

Attacco hacker: violati i server TIM

Da ieri, alcuni utenti stanno ricevendo una comunicazione direttamente da TIM. Al prossimo accesso a MyTIM saranno obbligati a cambiare la password del loro account, a causa dell’attacco di hacker che hanno violato i server dell’azienda. Questo ha costretto di fatto i clienti a cambiare le loro credenziali di accesso.

La comunicazione

L’attacco ha portato alla sottrazione dei dati degli utenti. E così, in via precauzionale, TIM ha preferito bloccare gli account coinvolti. Accedendo alla pagina principale dell’Area Privata di MyTIM costoro devono seguire le procedure per la reimpostazione della password.

Qui la comunicazione inviata dall’operatore via mail ai clienti.

Gentile Cliente,

desideriamo informarti che, a fronte delle attività di controllo di sicurezza sui nostri sistemi, sono state rilevate attività anomale, svolte da parte di soggetti terzi ignoti, che potrebbero mettere a rischio la riservatezza delle tue credenziali di accesso a MyTIM.

Per tua tutela e per garantire la sicurezza delle tue informazioni, stiamo provvedendo a disabilitare in via precauzionale le tue credenziali MyTIM, utilizzate anche per l’accesso ad alcuni servizi TIM correlati (TIM Party, TIM Personal), rendendo obbligatorio il cambio password al primo accesso all’Area privata MyTIM, da effettuare al seguente indirizzo https://mytim.tim.it/auth/recupero-password.html

Se hai già provveduto a modificare la password successivamente alla disabilitazione, ti consigliamo di valutarne la struttura ai fini di una maggiore sicurezza e nel caso di eseguire la procedura di modifica della stessa in occasione del prossimo accesso a MyTIM ed alla tua casella di posta elettronica. Al riguardo, riteniamo opportuno raccomandarti di non utilizzare più la vecchia password, né una simile, nonché di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online, qualora coincidente o simile a quella precedentemente utilizzata su MyTIM.

Con l’occasione ti ricordiamo, quali misure idonee a prevenire abusi o frodi, di custodire accuratamente e non divulgare mai sul web le credenziali di autenticazioni a portali o sistemi, utilizzare password “strutturate” (es. composte da numeri, lettere maiuscole e minuscole, caratteri speciali) da cambiare periodicamente, di fare attenzione ad azioni di phishing, di aggiornare periodicamente il software sul tuo PC e cellulare e di utilizzare un Antivirus.

La compromissione delle credenziali di autenticazione potrebbe infatti comportare l’accesso da parte di terzi a servizi online ai quali ti sei registrato, con conseguente perdita di controllo sui tuoi dati personali, possibile acquisizione fraudolenta di informazioni che ti riguardano o anche eventuali situazioni di furto di identità.

Scegliere più password diverse

TIM coglie inoltre l’occasione per invitare gli utenti a considerare la robustezza della password scelta. E inoltre le giuste modalità di utilizzo. Quella nuova non deve essere troppo simile a quella vecchia (poiché, altrimenti, sarebbe facilmente indovinabile). Cosa fondamentale, deve anche essere possibilmente unica.

Infatti adoperando una password presso più servizi, associata al medesimo indirizzo email, chi riesce a impossessarsene può accedere a tutti i servizi ad essa connessi.

server tim dati rubati

I dati rubati dagli autori dell’attacco non includono informazioni relative ai pagamenti. Tuttavia ciò non significa che il furto non avrà ulteriori conseguenze. E’ facile, per esempio, prevedere che presto inizierà una campagna di phishing che li sfrutterà.

TIM al momento non ha indicato il numero degli utenti coinvolti nella violazione dei server, che pare non essere stata per ora rivendicata.

Data Breach

La comunicazione non è delle migliori che il cliente pagante si potrebbe aspettare. In effetti è sempre colpa dell’hacker di turno, considerando che TIM sottolinea anche il fatto di sentirsi parte lesa nella vicenda. L’unico problema è che, avendo i dati dei clienti, il loro lavoro, oltre a erogare servizi telefonici, deve anche essere quello di proteggere tali dati.

Come gli esperti insegnano, in questi casi di crisi, ci si aspetta per lo meno delle scuse. Quest’ultime inesistenti nella loro comunicazione. Perché che lo si voglia o no, la colpa è anche del gestore (TIM) che non ha lavorato abbastanza bene per proteggere la propria struttura.

Nel rispetto della normativa vigente, TIM dichiara di aver comunicato informazioni sull’attacco hacker al Garante Privacy, tramite l’invio di una notifica formale.

contattaci
Formazione

Altro furto di dati: questa volta tocca alla De Agostini.

“Gentile Utente,
Con la presente ti informiamo che siamo venuti a conoscenza di una possibile violazione dei dati personali (un cosiddetto “data breach”) presenti nel portale “deascuola.it”. Stiamo svolgendo accurate indagini interne, tuttavia non possiamo escludere un eventuale data breach che potrebbe comportare eventuali furti d’identità, attività di phishing o l’accesso non autorizzato al portale o ad altri siti Internet in cui sono state utilizzate le medesime username e password utilizzate nel portale”.

Last Year 'Worst on Record' for Breaches, Data Exposure – Channel Futures

Nel rispetto della disciplina dettata dal GDPR, peraltro sembrerebbe in ritardo nel rispetto dei tempi previsti dalla norma, ma questo sarà oggetto di indagini da parte del Garante, la casa editrice ha avvertito la sua utenza che i loro dati personali sono stati oggetto di furto da parte di un anonimo attaccante, hacker non etico. Sono pertanto a rischio anche i computer degli utenti che, a loro volta, potrebbero essere oggetto non solo di phishing, ma anche di accessi abusivi laddove le credenziali di accesso usate per il sito della De Agostini fossero le stesse usate per altri portali. La stessa De Agostini nella sua comunicazione informa di avere resettato le password di tutti utenti e, stante il tono della comunicazione, sorge un dubbio che le password e gli altri dati di accesso non fossero stati criptati. Sarebbe di estrema gravità se così fosse in quanto è verosimile che tramite questi dati si possa risalire alle identità anche di minori, indirizzi e quant’altro.

Sembra che la vicenda sia giunta all’attenzione pubblica solo dopo la pubblicazione su Twitter di uno screenshot tratto dal darkweb con il quale un anonimo, forse lo stesso hacker, offriva in vendita ben 250.000 combinazioni di mail e password. Un vero e proprio tesoro non solo per aspiranti truffatori o ladri di identità ma anche eventuali pedofili che potrebbero accedere ai dati di bambini.

When and how to notify a data breach - Privacy Compliance Hub

E’ l’ennesima e forse inutile conferma di come vi sia troppa leggerezza e disattenzione da parte delle aziende nella protezione dei dati della loro utenze, vale a dire dei clienti che, a loro volta, non dimentichiamolo, sono gli stessi che mettono la loro vita in piazza sui social; tuttavia è preciso dovere di chi per la propria attività necessita dei dati dell’utenza di proteggerli adeguatamente e, in questo caso, sembra proprio non sia stato fatto e suona stonata la parte della comunicazione agli utenti con cui De Agostini dichiara che “La nostra società presta da sempre la massima attenzione alla tutela della privacy dei propri utenti ed il nostro team IT è al lavoro da ieri per analizzare i problemi legati al leak e risolverli nel più breve tempo possibile

Che il pericolo di vedere i nostri dati oggetto di furto non ci deve far distogliere però gli occhi anche dalle piccole realtà. È di pochi giorni fa la notizia di una farmacia di Varese che ha dovuto chiudere per ripristinare il proprio sistema informativo vittima anch’esso di un attacco che aveva portato al furto dei dati dei propri clienti per il rilascio dei quali era stato chiesto un riscatto. Anche in questo caso dati di minori e quelli relativi alle patologie per le quali i clienti acquistavano medicinali che potrebbero andare in mano di chiunque, magari di un venditore di cure palliative.

Queste due vicende richiamano l’attenzione sulla necessità da un lato per le aziende di applicare il Regolamento Europeo in materia di protezione dati personali, ma anche per tutti gli utenti della rete di porre in essere quei minimi accorgimenti di non usare password deboli quali date di nascita o la consueta serie di numeri da uno a nove. Il furto di dati sembra sia adesso il crimine più redditizio che si possa commettere. Impariamo a difenderci.

Come difendersi?

Non solo la De Agostini, ma anche colossi mondiali come Google e Microsoft sono stati messi a dura prova nelle ultime settimane.

Per la tua azienda offriamo un’analisi accurata e una valutazione della sicurezza informatica mediante un penetration test, una simulazione di un attacco informatico, per capire le vulnerabilità aziendali e intervenire prima che sia troppo tardi.

Se problemi non vuoi, chiama Enjoy!

contattaci
GDPR, Sicurezza informatica

Come prepararsi ad un Data Breach

Partiamo da una certezza: prima o poi una perdita di dati si verificherà: è inevitabile e deve essere messo in conto e, a quel punto per ogni azienda o professionista lo scenario non è certo dei migliori, specialmente se non è stata prevista una procedura di intervento.

Il data breach non è un’attività che termina con il recupero dei dati, magari dopo aver pagato un riscatto in bitcoin, ma qualcosa di più complesso di cui è bene essere consapevoli ad iniziare dal fatto che si verificherà.

Non sto parlando solo di un attacco hacker che viene portato a buon fine, ma di altre possibili forme di perdita di dati che possono accadere: dalla perdita di un cellulare o di una pen drive o un dipendente che lascia in autogrill il tablet; dal virus che ci fa scomparire una parte della memoria nell’hard disk al ransomware.

Adesso però che avete fatto i datti i debiti scongiuri e le macumbe del caso andiamo a rivedere se al momento in cui vi siete adeguati al GDPR (perché vi siete adeguati, vero?) avete anche individuato le procedure da attivare nel caso in cui la vostra segretaria, magari distratta dal social, ha scaricato la mail che ha consegnato il databese dei vostri clienti ad un ricattatore al quale, con l’appoggio della polizia postale, avete deciso di non pagare il riscatto.

Adesso oltre a prendervela con la segretaria e ringraziare il backup dei dati (perché avete un sistema di backup, vero?) dovete semplicemente informare il Garante dell’accaduto e tutti i vostri contatti che da questo scivolone potrebbero subire qualche danno o pregiudizio. Certo, una misura del genere dovrebbe essere stata prevista al momento della definizione della privacy policy, perché siete consapevoli che il Garante deve essere avvertito senza indugio e comunque non oltre settantadue ore dall’evento; e sapete anche che non è consigliato scrivere del data breach sul vostro sito aziendale di quanto accaduto.

Prescindendo dall’autogol che sarebbe in termini di danno di immagine il Garante ha detto che non è sufficiente limitarsi a dire online che avete avuto un piccolo problema di perdita dati ma che i vostri clienti non corrono rischi; devono solo cambiare la password di accesso.

Un data breach a luci rosse mette in pericolo 330000 utenti

Non funziona così: è necessario ai sensi del Regolamento informare le persone i cui dati sono stati esposti a un possibile rischio, di che cosa effettivamente possa loro accadere adesso che i loro dati anche solo di contatto possono essere finiti in mano ad una delle disgrazie peggiori di quest’epoca: un call center che ha poco rispetto per la privacy delle persone e preferisce chiamarle a casa dopo le otto di sera perché “almeno siamo sicuri di trovare qualcuno a cui sottoporre le nostre offerte e sconti speciali!” 

Se avete predisposto un sistema di gestione privacy adeguato alla vostra struttura e alla tipologia di dati che dovete trattare è possibile che il Garante limiti le sue decisioni ad una sanzione leggera quali una censura o un avvertimento: l’equivalente di un cartellino giallo che offre una seconda opportunità.

Ma se venisse rilevato che non avete posto in essere quantomeno le misure minimali di protezione o intervento, le conseguenze potrebbero andare da una sanzione ad almeno quattro zeri che, per un’impresa anche di medie dimensioni, non sono proprio noccioline.

Qualcuno potrebbe pensare che in caso di data breach sia meglio quindi far finta di niente e che il Garante non se ne accorge di sicuro. Il problema è che potrebbe “fare la spia” uno dei vostri clienti che, magari, ha scoperto i suoi dati on line. A quel punto dovrete fare i conti anche con l’omessa denuncia. La protezione dati non è solo una questione di antivirus, ma anche di atti, documenti, informative, lettere di incarico e procedure. Non è meglio parlarne prima?
Avv. Gianni Dell’Aiuto

contattaci
GDPR

Data Breach: non solo sanzioni

E’ possibile approntare adeguate difese tecniche, antivirus, cambio password, backup e quanto di meglio possa offrire il mercato, ma le tipologie di attacco usate dai pirati informatici possono manifestarsi con una fantasia degna di sceneggiatori holliwoodiani.

Riusciamo ad immaginare, ad esempio, le conseguenze di una mail inviata a tutti i vostri clienti con la quale, in prossimità di un pagamento, ricevono da un indirizzo email assolutamente riferibile alla vostra azienda un diverso Iban? Ipotesi meno improbabile di quanto si possa pensare e che sfrutta l’anello più debole della sicurezza aziendale: il fattore umano. Impiegati magari in smartworking attenti anche al figlio impegnato in didattica a distanza, una rete casalinga più debole, quindi meno protetta, di quella aziendale o l’uso del computer di lavoro per acquisti online o per navigare sui social ed ecco che il pagamento dovuto, magari anche di importo rilevante, finisce sul conto corrente alle Bahamas di questa moderna Banda Bassotti armata di tastiera.

Ecco perché una rigorosa applicazione degli strumenti messi a disposizione dal GDPR non è soltanto un obbligo di legge a cui adeguarsi, ma anche un preciso dovere di ogni imprenditore e professionista a fronte dei rischi in cui può incorrere e quelli che, oltretutto, fa a sua volta correre a clienti, fornitori, dipendenti e collaboratori.

Data breach, tutte le insidie dello smart working - Riskmanagement360

Si tratta di attacchi sotto forma di social engineering, tipicamente tentativi sofisticati di impersonificazione, che possono derivare non solo da un precedente furto di dati, ma anche fattispecie in cui gli aggressori inducono il destinatario a rispondere e intrattenere corrispondenza in prossimità dell’esecuzione di una transazione. Spesso, addirittura, questo tipo di attacco non prevede l’invio di link o allegati dannosi, ma email “pulite”, del tutto legittime e normali in una prassi aziendale, contenenti solo del testo. Si stima infatti che il 98% degli attacchi informatici lanciati tramite email non contengano malware. I dati forse non sono attendibili, ma è verosimile che gli attaccanti usino forme più insidiose di altre che, ormai, è noto possano creare situazioni di pericolo.

All’interno di una multinazionale del settore tecnologico, per esempio, è stato individuato un attacco a numerosi dipendenti, durante il quale il cybercriminale aveva accuratamente impersonificato il loro dirigente diretto superiore in azienda, con il quale era maggiormente probabile che le vittime comunicassero. L’oggetto di ogni email includeva il nome del dipendente interessato e proveniva da un indirizzo Gmail apparentemente non correlato, ma con un nome di dominio molto somigliante a quello dell’executive. Non solo è stato identificato il tentativo di sostituzione di persona, ma anche che l’aggressore stava usando una parodia del legittimo indirizzo personale esterno del capo.

Ecco un’altra ragione che impone di prevedere rigorose discipline di controllo nell’applicazione del GDPR, ma anche procedure a cui attenersi in caso di data breach o di possibili attacchi dei quali, diversamente, se ne avrebbe conoscenza solo quando è troppo tardi. E il Garante potrebbe anche emettere un’ulteriore sanzione da aggiungere ai danni economici, probabilmente di immagine e con i propri clienti.

contattaci
GDPR

Le definizioni del GDPR

Per fare chiarezza sul GDPR (Regolamento Europeo 679/2016) sulla protezione dei dati personali, e comprenderne l’importanza, è opportuno soffermarsi su alcune tra le più importanti definizioni che vengono date all’art. 4 per chiarirle. La norma prescrive che le definizioni sono previste “ai fini del presente regolamento.”

Per dato personale si intende ogni informazione relativa ad una persona fisica identificata o identificabile (l’Interessato, sempre ai fini del regolamento) vale a dire colui che è identificabile direttamente o indirettamente mediante elementi quali il nome, un numero di identificazione, i dati relativi all’ubicazione, l’identificativo online ovvero uno o più elementi caratterizzanti la sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. In sintesi ciascun dato riferibile alla persona, ivi comprese le sue preferenze nella navigazione, i click sui social e le scelte di vita quali quelle alimentari, religiose, sessuali e così via. Un’ampia gamma di elementi.

GDPR corso gratuito sulla nuova 'Data Protection'

Il trattamento ai fini del GDPR consiste in tutte le operazioni compiute anche mediante processi automatizzati applicate a dati personali quali la loro raccolta, l’organizzazione, la conservazione, la modifica, la consultazione, l’uso nonché la loro comunicazione con qualsiasi forma o mezzo di trasmissione o di messa a disposizione, fino alla cancellazione e distruzione.

Particolare aspetto assume, nell’era digitale, caratterizzata dall’e-commerce, la profilazione, attività indispensabile specialmente per le aziende che operano in rete per conoscere i propri clienti e poter sottoporre le proposte migliori, cioè quelle con maggiori possibilità di essere accolte. Questa operazione, ormai demandata agli algoritmi, si sostanzia in qualsiasi forma di trattamento automatizzata per valutare gli aspetti personali relativi a una persona fisica, quali analizzare o prevedere le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti. Precisiamo che per questa forma di trattamento il Titolare deve ottenere, come del resto per tutte le altre, un espresso specifico consenso.

Il Titolare del trattamento è la persona fisica o giuridica, ovvero l’autorità che determina le finalità e i mezzi del trattamento di dati personali. In sostanza è la persona, l’azienda o l’ente che detiene i dati dell’Interessato e, in quanto tale, su di lui incombono gli obblighi di protezione, conservazione e quant’altro dei dati. Logico che su questa figura incombe anche l’obbligo di predisporre la disciplina della loro raccolta, conservazione, protezione e così via fino alla distruzione dei dati.

Figura diversa dal Titolare è quella del responsabile del trattamento, cioè la persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento. In un’azienda potrebbe essere un commercialista o un consulente del lavoro, non organico alla struttura, e che per conto della stessa maneggia i dati di dipendenti, clienti, fornitori per gli scopi del suo lavoro.

Fondamentale è il consenso dell’interessato. Laddove la base per il trattamento dati non sia un obbligo di legge o altra previsione, per poter disporre dei dati di un cliente o anche solo di un navigatore di internet che chiede un preventivo, il Titolare dovrà ottenere una manifestazione di volontà libera, specifica, informata e inequivocabile da parte dell’interessato, con cui manifesti l’assenso al mediante una dichiarazione o azione positiva inequivocabile. Niente silenzio assenso quindi, per nessuna ipotesi e via ad informative precise, esaustive, chiare ed inequivocabili.

Il Data Breach, o violazione dei dati personali, consiste in qualsiasi evento che violi la sicurezza dei dati, sia che ciò avvenga accidentalmente o in modo illecito. Distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati trattati da terzi, configurano Data Breach che deve essere segnalato senza indugio, e comunque entro settantadue ore dalla sua conoscenza, al Garante.

Ultime voci di questa rapida, e non esaustiva carrellata, sono i dati genetici, quelli cioè relativi a caratteristiche genetiche ereditarie o acquisite della persona e che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, compresi quelli che risultano anche dall’analisi di un campione biologico della persona fisica in questione e i dati biometrici, vale a dire i dati personali ottenuti mediante un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.
Avv. Gianni Dell’Aiuto – Consulente privacy e DPO

contattaci