Per prevenire un data breach servono tempo e calma, seguendo un vademecum per far fronte alle violazioni dei dati, nel rispetto del GDPR. Importante è effettuare l’analisi dei rischi, adottare un piano di azione, svolgere monitoraggio, training e formazione, fare audit frequenti, controllare i log e assicurare i rischi.
Privacy e cyber security sempre più centrali nelle operazioni di M&A: gli aspetti da considerare
Innanzitutto è necessario definire una policy aziendale, seguita da un’organizzazione e formazione dei dipendenti con scadenze certe. Successivamente, bisogna valutare periodicamente le vulnerabilità tramite l’aiuto di consulenti esterni o autonomamente. Per effettuare test di social engineering, si devono ottenere le opportune autorizzazioni. Il costante monitoraggio, aggiornamento dei sistemi e la redazione di una politica rigida sulla gestione delle password richiedono ulteriore attenzione. Infine, è necessario definire i comportamenti “fisiologici” di sistemi e rete monitorando e analizzando il traffico e le performance di rete e sistemi, effettuare l’analisi dei log, e verificare l’efficienza dei backup.
I sette punti della gestione e prevenzione di un data breach
L’iter migliore per gestire e prevenire un data breach si suddivide in sette punti fondamentali:
- innanzitutto non bisogna aspettare che l’incidente, ma avviare una politica di monitoraggio continuo;
- avviare un processo decisionale e di gestione in situazioni di tranquillità;
- rendere gli incidenti parte delle attività, del budget, delle policy di sicurezza: in altre parole valutare, ridurre e gestire i rischi;
- ridurre i costi;
- definire i processi definiti, evitando attacchi di panico o improvvisazione;
- pianificare una gestione con compagnie assicurative;
- individuare partner esterni.
Data breach e principio di accountability nel GDPR
Il GDPR sottolinea l’importanza del principio dell’accountability (responsabilizzazione) dei titolari e dei responsabili del trattamento e l’adozione di procedure e politiche che tengano conto del rischio di un determinato trattamento di dati personali sui diritti e le libertà degli interessati.
La prevenzione richiesta al titolare ed al responsabile del trattamento dal GDPR per affrontare i sempre più frequenti casi di data breach non è del tutto una novità. Infatti, già con la normativa precedente si prevedevano misure di sicurezza, ma un livello minimo. Oggi invece l’attenzione è più alta e la prevenzione è sempre più forte se si considera la crescita esponenziale dei reati informatici, che rappresentano una minaccia crescente sia per il business delle aziende sia per i diritti e le libertà fondamentali degli individui.
Le quattro modalità in cui avvengono i data breach
Sfortunatamente la criminalità informatica è un settore sempre più redditizio per gli aggressori e continua a crescere, con “fatturati” da capogiro, campagne mirate e pianificate ed un immerso sottobosco di tool di attacco software ed hardware, unitamente a migliaia di “black forum” dove avviene lo scambio e la compravendita di dati, informazioni e strumenti di attacco.
I cyber criminali cercano informazioni personali per rubare denaro, compromettere l’identità o vendere informazioni su questi forum, presenti sia sulla “normale” rete Internet, ma anche e soprattutto sul Deep e sul Dark Web.
Le violazioni dei dati possono verificarsi per una serie di motivi, anche accidentali, ma gli attacchi mirati sono generalmente effettuati in questi quattro modi:
- sfruttando le falle di sistema;
- attraverso password deboli;
- la modalità drive-by download;
- attacchi malware mirati.
Le vulnerabilità di sistema
Un software obsoleto può creare una falla che consente all’aggressore di accedere sia ai sistemi collegati alla rete Internet che a quelli attestati sulla Intranet dell’organizzazione vittima, ed eventualmente anche di introdurre malware sulla rete aziendale interna per sottrarre dati.
Password deboli
Le password utente deboli e insicure sono più facili da indovinare
per i cyber criminali, soprattutto se composte in maniera semplice o “debole”. Questa modalità di attacco viene semplificata – e molto – dall’analisi degli utenti e password contenuti proprio nei data breach, soprattutto quelli pubblici.
Drive-by download
È possibile scaricare involontariamente un virus o un malware
semplicemente visitando una pagina web compromessa (ed ovviamente, infettata). Un drive-by download in genere sfrutta un browser, un’applicazione o un sistema operativo che non è aggiornato o ha una falla di sicurezza non nota.
Attacchi malware mirati
Gli aggressori utilizzano le tattiche di spam e spear phishing per cercare di indurre l’utente a rivelare le credenziali dell’utente, scaricare allegati di malware (o ransomware, come recentemente sta accadendo, in maniera davvero copiosa, in Italia) o indirizzare gli utenti verso siti Web vulnerabili. L’email è un modo comune per far sì che il malware finisca sul computer.
Misure preventive da adottare per limitare i rischi di data breach
Al fine di meglio organizzare la procedura di data breach, bisogna strutturare e monitorare costantemente i ruoli e le attività da svolgere. Il primo passo per costruire una procedura efficiente di data breach consiste nell’assegnare ruoli specifici a tutti i potenziali interessati: questi devono essere dotati di competenza, esperienza, responsabilità e autorità.
Successivamente dovranno essere monitorate le vulnerabilità e i rischi, e ricercare soluzioni e processi per mitigare i rischi. Infine, la figura del DPO o del referente interno per le attività di privacy, è fondamentale per ricevere le notizie di possibili incidenti, per valutarli e documentarli in collaborazione con il titolare o responsabile del trattamento.
Sebbene il titolare del trattamento sia, come definito dall’articolo 4, punto 7 del Regolamento Ue 679/2016, “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”, il responsabile del trattamento svolge un ruolo importante nel cooperare con il titolare del trattamento ed il responsabile privacy
interno o DPO, per adempiere ai propri obblighi in materia di notifica delle violazioni.
L’articolo 28, paragrafo 3 “dispone che il trattamento da parte di un responsabile del trattamento è disciplinato da un contratto o da un altro atto giuridico, e precisa, alla lettera f), che il contratto o altro atto giuridico deve prevedere che il responsabile del trattamento “assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento”.
L’articolo 33, paragrafo 2 “chiarisce che se il titolare del trattamento ricorre a un responsabile del trattamento e quest’ultimo viene a conoscenza di una violazione dei dati personali che sta trattando per conto del titolare del trattamento, il responsabile del trattamento deve notificarla al titolare del trattamento senza ingiustificato ritardo”.
Il regolamento non fissa un termine esplicito entro cui il responsabile del trattamento deve avvertire il titolare del trattamento, salvo specificare che deve farlo “senza ingiustificato ritardo”. Di conseguenza, il gruppo di lavoro raccomanda al responsabile del trattamento di effettuare la notifica al titolare del trattamento tempestivamente, fornendo successivamente le eventuali ulteriori informazioni sulla violazione di cui venga a conoscenza.
Ciò è importante per permettere al titolare del trattamento di soddisfare l’obbligo di notifica all’autorità di controllo entro 72 ore.
Linee guida dell’ENISA nella prevenzione dei data breach nella UE
Un utile supporto nella valutazione è fornito dal documento della European Union Agency for Network and Information Security (ENISA) “Recommendations for a methodology of the assessment of severity of personal data breaches, 2013.” L’ENISA ha messo anche a disposizione degli utenti un tool per la notificazione da parte dei titolari alle competenti autorità di controllo. Lo scopo di ENISA è quello di aiutare l’UE e i paesi membri dell’UE ad essere adeguatamente preparati a prevenire, rilevare e reagire ai problemi di sicurezza dell’informazione.
Fra le sue mission, rientrano:
- L’organizzazione dei esercitazioni di crisi informatiche in tutta Europa;
- L’assistenza per lo sviluppo di strategie nazionali di sicurezza informatica;
- La promozione della cooperazione fra le squadre di pronto intervento informatico e lo sviluppo di capacità.
Nel 2013 l’ENISA ha pubblicato uno studio che include delle linee guida in materia di data breach che mirano a sensibilizzare su come prepararsi adeguatamente ad un’eventuale violazione dei dati; come rilevare e valutare un data breach; come notificare l’avvenuta violazione al soggetto interessato e all’autorità competente.
Per la valutazione della gravità della violazione possono essere utilizzati alcuni criteri quantitativi, quali:
- Data Processing Context (DPC) che valuta la criticità dei dati coinvolti nella violazione;
- Ease of Identification (EI) che determina il grado di facilità nell’individuazione dell’identità degli individui coinvolti nella violazione;
- Circumstances of breach (CB) che quantifica le specifiche circostanze della violazione classificate secondo tre tipologie di data breach ovvero perdita di riservatezza, integrità e disponibilità.
Il tool di notifica dell’ENISA
ENISA in collaborazione con l’Autorità Garante per la protezione dei dati personali tedesca ha sviluppato un tool per notificare ogni eventuale violazione di dati personali all’Autorità competente. Tramite questo strumento i titolari del trattamento, possono completare e trasmettere ogni eventuale notifica di data breach all’autorità garante, mostrando al contempo una valutazione specifica sulla gravità della violazione.
Il tool può essere utilizzato per ogni tipologia di dati oggetto di violazione, oltre che in ogni settore, sia pubblico che privato. Questo oltre la possibilità di allegare la prova digitale del breach acquisita secondo i dettami dell’informatica forense, e la relazione del DPO/titolare sulla natura della violazione, le categorie di interessati, le conseguenze e i rimedi.
L’analisi dei rischi
Analizzare i rischi potrebbe consentire la prevenzione di un data breach. Tre anni dopo la piena applicazione del GDPR, le violazioni dei dati con conseguente notifica al Garante sono sempre maggiori, sottolineando e confermando gli effetti del Regolamento europeo in Italia. Oggi si contano più di mille casi confermati di notifica di violazione dei dati personali, dato importante per le aziende che ancora non hanno intrapreso le attività per l’adeguamento al GDPR.
Training e formazione
Inoltre è necessario creare all’interno dell’azienda un livello di formazione e consapevolezza adeguati tra le persone autorizzate al trattamento e prevedere un processo di segnalazione specifico al gruppo designato per la procedura di data breach da parte dei dipendenti e dei processor.
La formazione deve essere approfondita attraverso corsi di aggiornamenti periodici, policy sul trattamento dei dati personali adeguati e sulle modalità di utilizzo della strumentazione informatica.
La consapevolezza invece deve essere trasmessa tramite un forte commitment dei vertici aziendali nelle attività di trattamento e quindi nella volontà da parte del Titolare del trattamento di far adottare nei processi aziendali i principi di privacy-by-default e privacy-by-design ai sensi del GDPR.
Inoltre è necessario stabilire i ruoli e le responsabilità dei processor di cui si avvale il titolare del trattamento. Infatti, nelle clausole contrattuali o nelle nomine, devono essere presenti delle garanzie a supporto dell’attività di detection e reazione al data breach. In caso contrario, tutto il processo è semplicemente inutilizzabile e la reazione al breach inattuabile.
Controllare i log
Le vulnerabilità dei sistemi informatici possono derivare dall’utilizzo di molte piattaforme tra loro diverse, seguite da uno scarso monitoraggio per l’analisi dei log rispetto al tempo a disposizione. Il log, termine informatico, è un file costituito da un elenco cronologico delle attività svolte da un sistema operativo, da un database o da altri programmi, generato per permettere una successiva verifica.
La gestione dei log è fondamentale per tutte le aziende, che utilizzano tanti server, applicazioni, strumenti e programmi, per avere un controllo sempre più veloce ed aggiornato.
Attraverso i log si individua sempre una traccia; infatti, chi cerca di violare i sistemi lascia traccia dei propri movimenti, soprattutto quando chi attacca i sistemi informatici cerca di attaccare più sistemi.
L’attività di monitoraggio dei log produce, quindi, informazioni utili per l’azienda sotto molteplici profili perché può servire a:
- determinare se un problema è da considerare effettivamente una vulnerabilità;
- migliorare l’analisi, la riproduzione e la risoluzione di problemi;
- aiutare a testare nuove caratteristiche dei sistemi in una fase di sviluppo.
Monitoraggio degli endpoint
Un altro aspetto fondamentale, ma poco tenuto in considerazione dalle imprese, è il monitoraggio degli endpoint tramite uno specifico programma. Per endpoint si intende ogni dispositivo che si collega con la rete locale: personal computer, portatili, dispositivi mobili e quelli connessi. Negli ultimi anni le imprese hanno adottato la nuova formula di smart working ovvero permettere ai dipendenti di effettuare il proprio lavoro anche da casa.
Per questo le aziende sono entrate in contatto con sempre più numerosi endpoint. Ormai quasi tutte le persone fisiche utilizzano un numero sempre maggiore di dispositivi di proprietà, sia per attività personali che professionali, e dunque si riesce ad avere una sicurezza sempre più limitata su questi dispositivi che, di norma, non hanno le protezioni di sicurezza fondamentali: occorre considerare che, crescendo la “superficie di attacco”, maggiore è il rischio di compromissione dei dati aziendali.
Le azioni di risposta a un data breach
Un errore da non commettere, però, è quello di investire quasi tutte le
risorse aziendali nella sola fase di prevenzione, dedicando poche o nulle risorse al monitoraggio ed alle azioni di risposta in seguito ad un data breach.
Invece è importante sostenere ed investire risorse e tempo in egual misura nella prevenzione, monitoraggio e azioni di risposta al data breach.
Il GDPR impone alle aziende di redigere un rapporto dettagliato delle eventuali violazioni subite allo scopo di adottare le migliori contromisure in funzione delle vulnerabilità emerse.
Se, dunque, la fase di prevenzione è imprescindibile, altrettanto importante sarà:
- conservare le prove, per valutare le conseguenze di ogni azione intrapresa;
- conoscere i propri limiti;
- documentare azioni e risultati per essere preparati a spiegarli in caso di necessità.
Dunque, si può facilmente evincere che i vantaggi che scaturiscono da una corretta costruzione delle attività riguardano essenzialmente la tutela del know-how e del patrimonio informativo aziendale, una maggiore efficienza nell’innovazione, la tutela e l’aumento della reputazione aziendale, la riduzione dei rischi e lo sfruttamento commerciale dei danni.
Le linee guida dell’European Data Protection Board (EDPB)
Il Comitato europeo per la protezione dei dati (EDPB) ha recentemente adottato le Linee guida 1/2021 relative a esempi di violazioni di dati personali.
Il Comitato ricorda che per violazione dei dati personali, ai sensi dell’art. 4 del GDPR, si intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Una violazione può comportare danni fisici, materiali o immateriali per le persone fisiche i cui dati sono stati violati come per esempio discriminazione, furto d’identità, danni reputazionali, perdite finanziarie, perdita di riservatezza dei dati personali protetti da segreto professionale eccetera.
Nonostante le conseguenze possano essere molteplici, si tende a catalogare una violazione in base alla sua natura distinguendo così:
- una perdita di confidenzialità (diffusione/accesso non autorizzato o accidentale);
- una perdita di integrità (modifica non autorizzata o accidentale);
- una perdita di disponibilità (impossibilità di accesso, perdita, distruzione non autorizzata o accidentale).
Le attuali linee guida adottate nella prima metà del mese di gennaio 2021 intendono arricchire i contenuti di quanto già pubblicato a ridosso della piena applicabilità del GDPR, fornendo esempi pratici maggiormente dettagliati.
Data breach, il servizio del Garante Privacy
Inoltre il nostro Garante per la protezione dei dati personali recentemente ha creato un servizio telematico per supportare i titolari del trattamento negli adempimenti previsti in caso di Data Breach.
La procedura di autovalutazione
Collegandosi alla pagina sopra indicata gli utenti potranno accedere al modello di notifica al Garante e alla procedura di auto-valutazione (self assessment) che aiuta il titolare nell’assolvimento degli obblighi in materia di notifica di una violazione dei dati personali all’autorità di controllo e di comunicazione di una violazione dei dati personali all’interessato.
In particolare l’autovalutazione per individuare le azioni da intraprendere a seguito di una violazione dei dati personali è uno strumento, messo a disposizione di ciascun titolare del trattamento di dati personali che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.
Mediante alcuni semplici quesiti, il titolare viene guidato nell’assolvimento degli obblighi in materia di «Notifica di una violazione dei dati personali all’autorità di controllo» (art. 33 del Regolamento (UE) 2016/679 o art. 26 del D.Lgs. 51/2018) e di «Comunicazione di una violazione dei dati personali all’interessato» (art. 34 del Regolamento (UE) 2016/679 o art. 27 del D.Lgs. 51/2018).
Questo strumento è da considerarsi esclusivamente quale ausilio al processo decisionale del titolare del trattamento e non rappresenta il pronunciamento dell’Autorità Garante sull’applicazione del Regolamento (UE) 2016/679 o del D.Lgs. 51/2018. Le stesse informazioni fornite durante il suo utilizzo non saranno conservate.