Gestire Violazione Dati
Negli ultimi mesi, abbiamo registrato un numero record di violazioni di dati personali a danno di infrastrutture informatiche, anche critiche o sanitarie; purtroppo l’Italia è tra le nazioni più colpite, con un rilevante numero di attacchi sferrati e – purtroppo – di violazioni di dati personali effettuate. Abbiamo purtroppo sperimentato come la complessità e l’estensione delle infrastrutture informative, insieme ad un mix di inadeguate – o mancanti – misure di sicurezza, vulnerabilità e misconfigurazioni, panorama cyber – costellato di motivati gruppi malevoli – anche nation sponsored – ad elevata competenza tecnologica e capacità intrusiva, mancanza di controlli e vulnerability assessment, inadeguata o assente formazione dei dipendenti e scarsa consapevolezza, possono realizzare le condizioni che concretizzano una violazione di dati personali (Data Breach nella lingua inglese).
Ma COSA SI INTENdE PER VIOLAZIONE DEI DATI PERSONALI?
La vigente normativa di protezione dati, al Regolamento UE 679/2016 definisce Violazione dei Dati Personali come “una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Quindi si determina una violazione di dati personali qualora venga meno una delle sottostanti e necessarie condizioni di riservatezza, integrità e disponibilità del dato personale, trattato in una infrastruttura informativa (ma non solo).
è possibile prevenire una violazione di dati personali?
Chi opera nel settore Information Tecnology sa bene che la sicurezza assoluta di un sistema informativo è irrealizzabile; da questa cruda realtà, la normativa di protezione pone con forza l’accento sulla responsabilizzazione di Titolari e Responsabili del trattamento, al fine di adottare consolidati processi di valutazione e gestione del rischio, atti a ridurre la probabilità (e quindi non a prevenire del tutto) che si determini l’evento avverso. Da questo ne consegue l’adozione di attività proattive di minimizzazione del rischio inerente ai trattamenti svolti, e delle misure tecniche e organizzative (anche – ma non solo – di sicurezza informatica) che il titolare valuta di dover adottare per ridurre gli impatti potenziali a carico dei diritti e delle libertà degli interessati (coloro ai quali si riferiscono i dati personali oggetto di trattamento). Tra le più importanti misure (rilevato che gran parte dei breach ha origine da un errore umano) la formazione di una solida consapevolezza di tutte le funzioni organizzative a contribuire alla protezione dei dati.
Cosa Fare a seguito di una Violazione di Dati Personali?
Il legislatore europeo, dalla consapevolezza che un DATA BREACH può purtroppo determinarsi in qualunque momento, per molteplici cause, ha previsto – nella normativa di protezione dei dati personali – obblighi in capo a tutti i titolari e responsabili del trattamento (GDPR artt. 33-34) qualora si determini un evento avverso denominato “Data Breach” oppure “Violazione di Dati Personali”, che – precedentemente al 2018 – erano solo a carico di alcune specifiche organizzazioni.
LE ATTIVITÀ IMMEDIATE da azionare dopo UNA VIOLAZIONE DI DATI
Qualora si riscontri – o anche solo si sospetti – che sia occorsa una violazione di dati personali, il Regolamento UE 679/2016 (RGPD o GDPR) richiede al titolare (o al responsabile) del trattamento di effettuare attività immediate, in primis una seria valutazione dell’accaduto, onde stabilire con certezza se l’evento avverso abbia interessato dati personali ed – in subordine – se questo determini un rischio – anche minimo – per i diritti e le libertà delle persone, alle quali tali dati si riferiscono. La determinazione dell’effettivo livello di rischio, gravante sulle persone a causa della avvenuta violazione dei loro dati personali, si ottiene effettuando una seria procedura di valutazione del rischio, in funzione specialmente delle modalità della violazione e dal numero dei soggetti coinvolti.
Sulla base del livello del rischio risultante, occorrerà azionare immediate misure di mitigazione, segnalare l’accaduto alla Autorità di Controllo e – qualora ne ricorrano le condizioni – informare gli interessati, affinchè essi possano prendere provvedimenti urgenti per tutelarsi ed evitare ulteriori danni ed effetti deleteri in cascata. Il caso classico sono la diffusione – in genere nel dark web – delle loro credenziali di accesso, che debbono essere bloccate e/o sostituite prontamente. Anche qualora emergesse che il livello del rischio sia trascurabile, occorre affrontare in modo serio l’accaduto, soprattutto evitando di nascondere il breach.
Cosa accade se non si Gestisce la Violazione di Dati Personali?
La peggiore cosa da fare in caso di una Violazione di Dati Personali è NON FARE NULLA o trascurarne gli effetti; sappiamo per esperienza che le conseguenze sono imprevedibili, specialmente a carico delle persone i cui dati personali sono stati oggetto di violazione. Abbiamo sperimentato che nei casi di esfiltrazione (come ormai si determina quasi sempre nei breach da ransomware) i dati sono sempre pubblicati nel dark web, spesso anche qualora il titolare abbia pagato il riscatto in cryptovaluta. Anche per questo, noi sconsigliamo sempre di pagare qualsiasi somma: oltre ad essere illegale, si contribuisce ad alimentare le attività criminali delle Cyber Gangs!
Come Gestire una violazione dei dati personali in modo adeguato?
Il Nostro Team può gestire tutti gli aspetti di una violazione di dati personali
RACCOLTA
EVIDENZE
la prima fase è relativa alla raccolta delle evidenze informatiche, effettuata con metodologie computer forensic che preservano e garantiscono la validità forense delle acquisizioni.
VALUTAZIONE
PRELIMINARE
la seconda fase è la valutazione preliminare di evidenze, testimonianze e timeline eventi, onde determinare se il breach è occorso, quali effetti ha avuto sui dati e la loro portata,
GESTIONE
VIOLAZIONE
nella terza fase occorre azionare immediate misure di mitigazione degli effetti e risoluzione delle cause alla base del breach, oltre alle interazioni con gli altri soggetti deputati alla gestione.
COMUNICAZIONI
GPDP – INTERESSATI
in base alle risultanze delle tre fasi precedenti, se del caso, occorre comunicare l’evento al GPDP e, ove ne ricorrano i presupposti, informare gli interessati.
PER UNA CORRETTA E SERIA GESTIONE DI UNA VIOLAZIONE DI DATI PERSONALI, AFFIDATEVI AD UN TEAM COSTITUITO DA CONSOLIDATI PROFESSIONISTI CERTIFICATI, DOTATI DI EXPERTISE E COMPETENZE MULTIDISCIPLINARI
AREE DI COMPETENZA DEL NOSTRO TEAM
NORMATIVA
in primis, occorre una solida conoscenza giuridica, della normativa di protezione dati e degli standard internazionali e best practices di settore.
LEGALE
una violazione di dati determina quasi sempre profili di responsabilità verso terzi, e talune condotte illecite possono determinare risvolti penali.
ORGANIZZATIVA
occorre azionare in tempi brevissimi una collaudata serie di attività parallele, le quali debbono essere bene organizzate nei dettagli.
TECNOLOGICA
competenza tecnologica ed informatica sono primarie nell’affrontare un data breach, in quanto la componente ICT è sempre predominante e complessa.
PER INFORMAZIONI ED OGNI ALTRA RICHIESTA RELATIVA
AD UNA VIOLAZIONE O EVENTUALI NECESSITÀ DI GESTIONE
Queste pagine sono realizzate ed offerte quale contributo informativo e di approfondimento in merito all’importante tematica relativa alla violazione di dati personali; il loro scopo è di rendere maggiormente consapevoli titolari e responsabili del trattamento sull’importanza di affrontare e gestire la violazione di dati in modo consapevole e coerente con la normativa di protezione dei dati personali, al fine di limitarne gli effetti avversi – non solo per titolari e responsabili del trattamento – ma soprattutto a danno dei soggetti interessati, ai quali afferiscono purtroppo i dati fatti oggetto della violazione.