Data breach: le istruzioni dei Garanti privacy Ue per gestire le violazioni di dati

Il Garante della Privacy - Gdpr - Reg. UE 679/2016
 
Tratto da www.garanteprivacy.it
 
 
Adottate le nuove linee guida, avviata una consultazione pubblica europea
 
 
 

Come procedere in caso di attacchi ransomware, di esfiltrazione di dati, di perdita o furto di dispositivi e documenti cartacei? A questa e ad altre domande rispondono le linee guida, adottate dall’Edpb (Comitato europeo per la protezione dei dati), per aiutare imprese e pubblica amministrazione ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio.

Le “Guidelines 01/2021 on Examples regarding Data Breach Notification”, approvate nella riunione plenaria del 14 gennaio scorso, si basano sull’analisi dei casi più significativi di violazione dei dati – affrontati dai Garanti privacy nazionali, incluso quello italiano – subiti da banche, ospedali, medie imprese, municipalità, società che offrono servizi online di vario genere.

Sul documento l’Edpb ha avviato una consultazione pubblica per un periodo di sei settimane (fino al 2 marzo 2021).

Le linee guida presentano, per ciascuna casistica, esempi di buone o cattive pratiche, raccomandano modalità di identificazione e valutazione dei rischi (evidenziando i fattori che meritano particolare considerazione), indicano in quali casi chi tratta i dati deve notificare la violazione all’Autorità Garante e, se necessario, informare le persone coinvolte.

Tra le mancanze più frequenti ricordati dalle Linee guida vi è, ad esempio, l’omessa cifratura dei dati che consente a chi li acquisisce in maniera fraudolenta di consultare informazioni riservate. Potrebbe facilitare violazioni anche la non corretta gestione dell’autenticazione degli utenti a siti web, magari a causa dell’utilizzo di password deboli o conservate in chiaro. Nel settore bancario, potrebbe causare enormi danni l’impiego di identificativi di sessione all’interno degli indirizzi web degli utenti, informazioni che facilitano l’accesso illecito a contenuti che dovrebbero rimanere protetti. Drammatiche potrebbero essere le conseguenze di un attacco ransomware (un virus informatico che rende inservibili i dati fino al pagamento di un eventuale riscatto) ai referti e ad altri documenti dei pazienti di un ospedale, a meno che la struttura sanitaria non abbia provveduto a effettuare un backup separato dei dati. Non bisogna sottovalutare anche i problemi che può causare una semplice e-mail spedita ai destinatari sbagliati.

Il testo, che integra e aggiorna gli orientamenti già forniti negli anni passati dal Gruppo “Articolo 29”, proprio per offrire un contributo concreto a imprese e Pa, analizza anche le misure adottate dai titolari del trattamento, prima di aver subito un data breach, per prevenire o attenuare i rischi di una potenziale violazione dei dati. E propone una lista di misure di prevenzione ai vari problemi rilevati.

27 Gennaio 2021

Software non aggiornato, quanto mi costi?

Tratto da LineaEDP
Autore: Redazione LineaEDP – 04/12/2020
 
 
Secondo un’indagine Kaspersky, le PMI con software obsoleti subiscono il 53% in più di danni economici in caso di violazione dei dati
 
 
 
 

Secondo un recente report di Kaspersky intitolato: “How businesses can minimize the cost of a data breach”, in caso di violazione dei dati le enterprise europee che utilizzano tecnologie obsolete subiscono il 23% delle perdite economiche in più rispetto alle aziende che aggiornano i propri software in modo tempestivo.

Per le PMI la differenza è ancora più netta, arrivando fino al 53%. Avere in uso software datati e non aggiornati è un problema abbastanza comune tra le imprese, infatti, quasi la metà delle organizzazioni europee (44%) utilizza almeno una tecnologia obsoleta nelle proprie infrastrutture.

Tutti i software presentano qualche vulnerabilità ma patch e aggiornamenti regolari possono minimizzare il rischio che vengano sfruttate. Per questo motivo si consiglia sempre agli utenti di installare le ultime versioni dei software non appena queste vengono rilasciate, anche se a volte richiedono molto tempo alle imprese.

Tenuto conto che in Europa il 44% delle aziende utilizza almeno una qualche forma di tecnologia obsoleta risulta fondamentale che le imprese diano la priorità al rinnovo dei software e si dimostrino disposte a investire per ottenere un risparmio economico sul lungo termine.

Software e OS non aggiornati: le perdite in euro

Nel caso in cui a subire una violazione dei dati sia un’impresa che utilizza tecnologia obsoleta come ad esempio sistemi operativi non aggiornati, vecchi software e dispositivi mobile non supportati, la perdita economica si attesta a 753.500 euro, il 23% in più dei costi per le aziende con tecnologie completamente aggiornate la cui perdita è di 610.000 euro. Guardando alle PMI con tecnologia obsoleta il danno economico totale è di 86.000 euro, ovvero il 53% in più rispetto ai 56.000 euro delle PMI che hanno installato tutti gli aggiornamenti necessari.

Tra le ragioni che vengono fornite per giustificare il mancato aggiornamento delle tecnologie, quella più comunemente segnalata è l’incompatibilità degli aggiornamenti con i software aziendali (46%). Questa motivazione può essere molto importante per le organizzazioni che sviluppano software internamente per soddisfare le loro esigenze o quando si utilizzano applicazioni molto specifiche con supporto limitato. Gli altri motivi segnalati appaiono più concreti: i dipendenti spesso si rifiutano di lavorare utilizzando le nuove versioni dei software (46%). In alcuni casi, le tecnologie non vengono aggiornate perché appartengono ai membri della C-suite (25%).

Come sottolineato in una nota ufficiale da Sergey Martsynkyan, Head of B2B Product Marketing di Kaspersky: «Qualsiasi costo aggiuntivo può rivelarsi un problema per le aziende, soprattutto in questo periodo. La situazione economica mondiale è instabile a causa della pandemia ed è prevista una diminuzione degli investimenti nel settore IT e nella cybersecurity. Per questo motivo nel report di quest’anno “IT Security Economics” abbiamo voluto indagare come le aziende possano ridurre i danni in caso di incidenti di sicurezza informatica. Il report argomenta in modo approfondito l’importanza della questione legata ai software obsoleti. Anche se è impossibile sbarazzarsene da un giorno all’altro, esistono alcune misure da prendere per minimizzare il rischio. Le imprese non solo possono risparmiare denaro, ma possono anche evitare altre potenziali conseguenze – il che è cruciale per qualsiasi azienda».

Come risparmiare denaro e ridurre i rischi di data breach

Per risparmiare denaro e ridurre al minimo il rischio di violazione dei dati come conseguenza delle vulnerabilità dei software, Kaspersky suggerisce di adottare le seguenti misure:

  • Assicurarsi che l’azienda utilizzi l’ultima versione dei sistemi operativi e delle applicazioni scelte, abilitando le funzionalità di autoaggiornamento in modo che il software sia sempre aggiornato.
  • Se non è possibile aggiornare il software si consiglia, insieme ad altre misure, di gestire questo vettore di attacco separando in modo intelligente i nodi vulnerabili dal resto della rete.
  • Attivare la funzione di vulnerability assessment e di gestione delle patch della soluzione di protezione degli endpoint. In questo modo è possibile eliminare automaticamente le vulnerabilità nel software dell’infrastruttura, installare le patch in modo proattivo e scaricare gli aggiornamenti essenziali del software.
  • È importante aumentare la consapevolezza riguardo la sicurezza e le competenze pratiche in materia di sicurezza informatica per i manager IT, in quanto sono in prima linea quando si tratta di aggiornamenti dell’infrastruttura informatica. Un corso di formazione online sulla cybersecurity può essere d’aiuto.
  • I sistemi IT critici e le tecnologie dei sistemi operativi devono essere sempre protetti indipendentemente dall’eventuale disponibilità di aggiornamenti dei software. Questo vuol dire che dovrebbero consentire solo attività prestabilite dai sistemi. KasperskyOS supporta questo concetto, conosciuto anche come cyber-immunity, che viene utilizzato per costruire sistemi IT secure by design.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

11 Dicembre 2020

Data breach: l’importanza di identificarli

Tratto da BitMAT
Autore: Redazione BitMAT – 27/11/2020
 
 
Rilevarli proattivamente consente alle PMI di subire il 40% di danni finanziari in meno
 
 
Data breach: l'importanza di identificarli
 

Il modo in cui viene divulgato un data breach e le perdite finanziarie totali subite da un’organizzazione sono strettamente legati. I risultati del nuovo report di Kaspersky dal titolo How businesses can minimize the cost of a data breach indicano che, nel caso di violazione dei dati, le PMI che scelgono di informare volontariamente i propri stakeholder e clienti subiscono una perdita economica del 40% in meno rispetto alle aziende le cui violazioni vengono comunicate direttamente dai media. La stessa tendenza è stata riscontrata anche nelle grandi imprese.

Non informare in modo tempestivo i clienti in merito ad un possibile data breach, comporta ripercussioni finanziare e danni reputazionali gravi. Tra i casi che hanno avuto grande risonanza ricordiamo, ad esempio, Yahoo! che è stato multato e giudicato negativamente per non aver informato gli investitori di aver subito una violazione dei dati e Uber che è stato multato per aver nascosto un incidente simile.

L’indagine di Kaspersky, che si basa su un sondaggio a livello globale fatto su 5.200 professionisti che operano in ambito IT e cybersecurity, evidenzia come le aziende che prendono in mano la situazione e comunicano proattivamente gli incidenti informatici solitamente riescono a limitare i danni. In media si stima che le perdite subite da una PMI che comunica apertamente un data breach ammontino a 93 mila dollari, mentre chi lascia che la notizia dell’incidente trapeli attraverso i media subisce in media un danno economico pari a 155 mila dollari. Lo stesso vale per le enterprise. Infatti, le grandi aziende che informano volontariamente i propri clienti riguardo una possibile fuga di dati subiscono il 28% in meno di danni economici rispetto a chi lascia ai media il compito, rispettivamente 1.134 milioni di dollari contro 1.538 milioni.

Dall’indagine è emerso, inoltre, che solo il 46% delle aziende ha rivelato un data breach in modo proattivo. Il 30% delle aziende che ha subito un furto di dati ha preferito non comunicarlo pubblicamente. Quasi un quarto (24%) delle aziende ha provato a nascondere l’incidente ma senza successo. Anche nei casi in cui le aziende riescono a non far trapelare l’incidente questo si rivela comunque un approccio non corretto. Queste aziende si sottopongono al rischio di subire perdite peggiori nel caso in cui l’incidente venga rivelato in un secondo momento. Inoltre, il sondaggio ha dimostrato che i rischi sono particolarmente elevati per quelle aziende che non riescono a individuare tempestivamente un attacco. Il 29% delle PMI che ha impiegato più di una settimana a identificare la violazione subita, si è ritrovato a leggere sui media la notizia dell’attacco. Questo dato è quasi il doppio rispetto alle aziende che hanno rilevato tempestivamente l’incidente (15%). Il trend è confermato anche per le grandi imprese, rispettivamente il 32% e il 19%.

“Una divulgazione proattiva da parte dell’azienda può aiutare a ribaltare la situazione a proprio favore, andando oltre al semplice impatto economico. Se i clienti ricevono le informazioni direttamente dall’azienda, sono più inclini a dare fiducia al brand. Inoltre, l’azienda potrebbe cogliere l’occasione per informare i propri clienti su ciò che possono fare per non subire perdite. Così facendo, le aziende avrebbero anche la possibilità di raccontare la vicenda dal proprio punto di vista, condividendo con i media informazioni corrette e affidabili, anziché lasciare a fonti esterne il compito di descrivere la situazione e rischiare che lo facciano in modo non corretto”, ha commentato Yana Shevchenko, Senior Product Marketing Manager di Kaspersky.

Per ridurre la possibilità di subire conseguenze disastrose in seguito ad una violazione dei dati, Kaspersky suggerisce alle aziende di mettere in atto queste misure preventive:

  • Per il rilevamento avanzato delle minacce a livello di endpoint aziendale, l’indagine, la ricerca proattiva delle minacce e una risposta rapida, si consiglia di implementare soluzioni EDR, Endpoint Detection and Response
  • Oltre alla protezione degli endpoint, le imprese dovrebbero implementare una soluzione di sicurezza di livello aziendale in grado di rilevare le minacce avanzate sulla rete e che sia anche dotata di threat intelligence
  • Per rispondere in modo tempestivo ad un attacco informatico, è opportuno avere una prima linea di difesa composta da un Incident Response Team (IRT) interno all’azienda e delegare la gestione di problemi più complessi a professionisti esterni.
  • Introdurre un programma di formazione per i dipendenti con l’obiettivo di educarli a riconoscere un incidente informatico e informarli su quali comportamenti adottare, come ad esempio contattare immediatamente il dipartimento di sicurezza informatica dell’azienda.
  • Prendere in considerazione la possibilità di organizzare una formazione specifica per tutte le parti coinvolte nella gestione delle conseguenze di una violazione dei dati, compresi gli specialisti della comunicazione e il responsabile della sicurezza IT.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

4 Dicembre 2020

Violazioni di dati personali (data breach) – Regolamento (UE) 2016/679

Il Garante della Privacy - Gdpr - Reg. UE 679/2016
 
Tratto da www.garanteprivacy.it
 

COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. 

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. 

Alcuni possibili esempi: 

– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

– il furto o la perdita di dispositivi informatici contenenti dati personali;

– la deliberata alterazione di dati personali;

– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; 

– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

– la divulgazione non autorizzata dei dati personali.

COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?

Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi. 

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. 

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. 

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

CHE TIPO DI VIOLAZIONI  DI DATI PERSONALI VANNO NOTIFICATE?

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali. 

Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.

CHE INFORMAZIONI DEVE CONTENERE LA NOTIFICA AL GARANTE?**

La notifica deve contenere le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951).

Qualora si utilizzi per la notifica il modello allegato al provvedimento, è necessario scaricarlo sul proprio dispositivo e successivamente procedere alla sua compilazione.

COME INVIARE LA NOTIFICA AL GARANTE?

La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it *** oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.

L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

LE AZIONI DEL GARANTE

Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale

* Consultare sempre le procedure aggiornate che il Garante Privacy pubblica sul suo sito.

27 Ottobre 2020