Data Breach: i nuovi scenari

Secondo il rapporto Clusit 2021 il numero degli attacchi cyber è in costante aumento negli ultimi anni.
Tutti gli studi che si occupano del tema del data breach hanno portato alla medesima conclusione: qualsiasi azienda italiana che tratti informazioni in formato digitale avrà almeno una violazione dei dati personali all'anno, ogni anno avrà almeno un Data Breach. Inoltre, se si tiene in considerazione che la pandemia legata al COVID-19 sta “intensificando” il passaggio allo smart working e alla digitalizzazione delle imprese, talvolta in maniera disordinata, il rischio di subire un attacco si fa sempre più elevato.

Preliminarmente occorre capire bene cos’è un data breach: un data breach non è altro che una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati che comporta la riservatezza, l’integrità o la disponibilità di dati personali.

L’azienda che subisce un data breach dovrà:

1. Ripristinare il proprio business il prima possibile, qualora il data breach sia dovuto ad un attacco che abbia impattato sull’operatività aziendale oltre che sulla protezione dei dati personali, cercando di rispettare tempi di RTO (Recovery Time Objective) e RPO (Recovery Point Objective) più brevi possibili, in base alla tipologia di business.  A tal fine dovrà essere attivato il piano di business continuity, cioè l’insieme di procedure che guidano l’organizzazione nella risposta, ripresa e ripristino del business a seguito di una sua interruzione. In particolare, è necessario attivare anche un sottoinsieme del piano di business continuity, ovvero il piano di disaster recovery e/o cyber event recovery, cioè l’insieme di procedure che guidano l’organizzazione nel recupero dei servizi IT (applicazioni, dati, hardware, comunicazioni elettroniche, etc.) indispensabili per la continuità operativa.
2. Occuparsi degli aspetti di compliance, tra i quali:

• notificare l'evento al Garante entro 72h dalla conoscenza dell’incident (salvo alcuni casi, che si identificano dopo una specifica analisi del rischio da svolgere al momento);
• comunicare l’evento agli interessati senza ritardo (ad eccezione di casi determinati);
• documentare l’evento in un apposito registro delle violazioni da fornire al Garante in caso di accertamenti, contenente tutti i casi di violazione occorsi e le potenziali minacce cui l’azienda può andare incontro al fine di consentire al Titolare di implementare tutte le misure tecniche necessarie.

Data la tempestività necessaria all’esecuzione degli adempimenti, è di fondamentale importanza che le attività da svolgere siano adeguatamente documentate in una procedura chiara, consolidata e documentata.  Infatti, la figura del Data Protection Officer, per quanto fondamentale, non è sufficiente a garantire la corretta gestione di un Data Breach – situazione emergenziale, la quale richiede la collaborazione di una pluralità di soggetti preparati e formati sia a proposito della normativa sia sulle procedure interne.   

Per quanto riguarda i rapporti con il Garante, ai sensi dell’art. 39 del GDPR, il DPO è il punto di riferimento. Egli si occupa di “fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento” e di “informare e fornire consulenza al titolare del trattamento”.

Il DPO è un grande alleato per una gestione efficace e tempestiva dei data breach, soprattutto se si considera che l’azienda si trova in una situazione caratterizzata da:

1. Urgenza: la notifica al Garante deve avvenire entro 72 ore successive e l’eventuale comunicazione agli interessati deve avvenire senza ritardo;
2. Necessità di competenze di analisi: per valutare se notificare al Garante e/o comunicare agli interessati è necessario:

• effettuare una analisi del rischio relativa ai diritti e alle libertà degli interessati;
• conoscere le procedure che il Garante per la Protezione dei Dati Personali richiede;
• documentare adeguatamente la notifica.

A seguito delle considerazioni di cui sopra è doveroso domandarsi: cosa rischia un’azienda/organizzazione se non gestisce correttamente un data breach?

1. Sanzioni interdittive: il Garante può bloccare le attività relative ai trattamenti illegittimi (es. può impedire la profilazione degli utenti, oscurare siti internet, etc.);
2. Sanzioni pecunarie: in caso di mancato adempimento della normativa in materia di data breach, sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o fino al 2% del fatturato totale annuo globale;
3. Danni reputazionali: oggi la reputazione dell’azienda è strettamente connessa alla sua capacità di garantire un’adeguata protezione dei dati personali che le sono affidati.

Un importante strumento per la valutazione della gravità dei data breach è costituito dalle Linea guida 1/2021 dell’EDPB, basate su un approccio costituito dall’analisi di casi pratici di violazioni di dati.

Ad esempio, è descritto il caso di un furto di identità effettuato ad opera di un malintenzionato che contatti il call center di un servizio, fingendosi un cliente e chiedendo la modifica dell’indirizzo di fatturazione. Il caso in esame si sofferma sull’importanza delle misure preliminari, e quindi sull’approccio proattivo che un’organizzazione deve avere per far fronte alle nuove sfide del mercato e della tecnologia. Il caso in esame presenta un alto livello di rischio, poiché i dati di fatturazione possono fornire informazioni sulla vita privata dell'interessato (abitudini quotidiane, contatti, etc.) e conseguentemente possono provocare danni materiali di elevata importanza (si pensi al caso di uno stalker che si appropria dell’indirizzo della vittima designata). Risulta dunque fondamentale implementare un sistema di autenticazione a più fattori, come ad esempio l’invio tramite mail di una richiesta di conferma al vero cliente che ha sottoscritto il contratto.

Una volta subito un data breach, reagire correttamente e tempestivamente è fondamentale. Una manciata di ore per effettuare notifiche obbligatorie, analisi dei rischi per i diritti e le libertà degli interessati, analisi degli impatti per l’organizzazione, individuazione delle misure di sicurezza in atto e di quelle implementabili.

Aspetti di cybersecurity e di compliance si fondono, in una situazione emergenziale e potenzialmente a grande impatto reputazionale.

Tali caratteristiche del data breach impongono di sottolineare l’importanza delle seguenti fasi:

1. Prepararsi al breach: prima del breach, è necessario implementare una serie di procedure documentate ed aver proceduto alla formazione del personale. Oltre a ciò, è indispensabile avere una panoramica dei sistemi informativi utilizzati, dei dati contenuti in essi e delle misure di sicurezza adottate;
2. Reagire al breach: a seguito del breach, sarà necessario mettere in moto tempestivamente quanto stabilito nella fase 1.  Le figure coinvolte e il DPO, nei modi e nelle forme stabiliti dalle procedure, dovranno procedere alle notifiche obbligatorie e alle analisi necessarie.
    

In ognuna delle due fasi, l’assistenza di specialisti del settore è di fondamentale importanza e può comportare grandi differenze in sede sanzionatoria.