search

Con data breach si fa riferimento a

1 annos fa
Commenti: 0
Visualizzazioni: 114

Con Data Breach si intende una violazione di sicurezza in cui dati sensibili, protetti o confidenziali sono copiati, trasmessi, visualizzati, rubati o usati da personale non autorizzato a farlo.

Show

In questa definizione rientra qualunque divulgazione di informazioni, intenzionale o meno, che sia oggetto di un attacco informatico o un trafugamento di dati dall'interno, anche al di fuori del mezzo digitale. Anche l'impossibilità di accesso ai dati, come avviene quando si subisce un attacco attraverso un ransomware, viene considerata una forma di Data Breach.

Il tipo di informazione che viene trafugata può essere di varia natura: dati finanziari quali numeri di carta di credito o dettagli bancari, dati sulla salute o qualunque altra informazione utile all'identificazione di una persona, oppure dati relativi alle proprietà intellettuali di un'azienda come formule, pratiche, processi, disegni, strumenti e qualunque altra informazione segreta che comporti un valore economico in quanto riservata, protetta e utile a mantenere o ottenere un vantaggio competitivo nel proprio mercato di riferimento.

Cosa fare in caso di Data Breach?

Il titolare del trattamento deve notificare la violazione al Garante per la protezione dei dati personali. La segnalazione deve avvenire entro 72 ore dal momento in cui il titolare del trattamento è venuto a conoscenza del Data Breach. Se la notifica dovesse giungere oltre questo termine, deve essere accompagnata dai motivi del ritardo.

Se la violazione comporta un rischio per i diritti delle persone i cui dati sono stati violati, il titolare deve darne comunicazione a tutti gli interessati, a meno che abbia già preso misure tali da riduree l'impatto del Data Breach.

Registro dei Data Breach

A prescindere dalla notifica effettuata al Garante, è compito del titolare del trattamento documentare tutte le violazioni dei dati personali. L'archivio dei Data Breach deve essere reso disponibile alle Autorità in caso di esigenze per effettuare verifiche sul rispetto della normativa.

Quali Data Breach vanno segnalati al Garante?

La notifica va effettuata quando un Data Breach provoca danni fisici, materiali o immateriali agli individui. A titolo di esempio, il Garante cita:

  • la perdita del controllo sui propri dati personali
  • la limitazione di alcuni diritti
  • la discriminazione
  • il furto d'identità
  • il rischio di frode
  • la perdita di riservatezza dei dati personali protetti dal segreto professionale
  • una perdita finanziaria
  • un danno alla reputazione
  • qualsiasi altro significativo svantaggio economico o sociale

Come effettuare la segnalazione di un Data Breach?

La segnalazione deve essere effettuata compilando l'apposito modulo allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951). Il modello va firmato digitalmente e spedito via PEC all'indirizzo oppure via posta elettronica ordinaria all'indirizzo . Nel caso in cui non si disponga di firma digitale, è possibile stampare e firmare il documento a penna, ma è necessario allegare una copia del documento di identità del firmatario.

Multe per un Data Breach

Oltre a poter prescrivere misure correttive per evitare altri episodi di Data Breach, il Garante può prevedere sanzioni pecuniarie fino a 10 milioni di Euro e in caso di aziende, fino al 2% del fatturato mondiale.

Fonte: garanteprivacy.it

Con data breach si fa riferimento a

Libro Cyber Security per Applicazioni Web

Hai trovato interessante l'articolo "Data Breach"? Acquista il libro Cyber Security per Applicazioni Web e accresci le tue competenze sulla Sicurezza Informatica.
Cyber Security per Applicazioni Web è un libro di Sicurezza Informatica applicativa dedicato a proteggere lo strato di frontend e il layer di integrazione con API REST.


Tempo di lettura stimato: 10'

Diciamo subito una cosa importante: qualsiasi azienda italiana, estera o marziana che ha delle informazioni su dei sistemi digitali avrà almeno una violazione dei dati personali all'anno. Vale a dire che ogni anno avrà almeno un Data Breach. Almeno uno è il caso dell’azienda che all'anno fa due fatture e una telefonata, perché l’azienda che ha un’attività normale avrà molteplici violazioni, di vario tipo e di varia gravità, ma le avrà. 


Le violazioni vanno gestite seguendo le indicazioni del Regolamento Europeo 16/679 (GDPR) che ci dice come dobbiamo comportarci se si verifica un Data Breach, però prima bisogna sapere cos’è un Data Breach.

È da qui che dobbiamo partire, perché magari c’è stato un incidente, è capitato qualcosa, ma non è detto che sia una violazione dei dati personali.

C’è stato un incidente: è una violazione?

Le violazioni dei dati personali sono 6x2 – che non fa 12! – o sono accidentali oppure volontarie e sono di 6 tipi:

1. Accesso non autorizzato

Qualcuno non poteva vedere certe informazioni, ma le ha viste.

Esempio: spedisco per sbaglio la mail con la busta paga di Antonio a Giulia. È stato accidentale, non volevo farlo, ma è una violazione


2. Copia non autorizzata

Qualcuno ha preso dei dati che non poteva prendere e li ha copiati da un’altra parte.

Esempio: nel regolamento aziendale e nelle istruzioni agli addetti c'è scritto che non si devono copiare i dati e che bisogna usare il sistema repository in Cloud o quello aziendale - ogni azienda ha le sue modalità -, ma Antonio ha preso i dati e li ha copiati su una chiavetta USB. È una violazione.

3. Divulgazione non prevista

Qualcuno diffonde accidentalmente dei dati.

Esempio: Giulia pubblica sulla pagina Facebook dell’azienda le foto della cena aziendale di fine anno dove c'era Antonio visibilmente ubriaco, col cappellino da Babbo Natale, che inseguiva la segretaria. Non voleva fare un danno ad Antonio, non ha neanche visto che era ubriaco mentre scattava la foto, però è successo. Ha diffuso accidentalmente la foto di Antonio e questa è una violazione.

4. Modifica non autorizzata

Qualcuno ha modificato dei dati che non poteva modificare.

Esempio: anche se in azienda hanno detto che non si possono modificare i file di Excel condivisi in rete, io accedo, perché nessuno li ha bloccati, e cambio delle informazioni che secondo me non erano giuste. È una violazione.


5. Perdita d’accesso

Qualcuno perde delle informazioni, che non sono più disponibili.

Esempio: l'ufficio paghe ha zippato i CUD dei miei dipendenti, me li ha mandati con un sistema super sicuro e me li ha fatti scaricare. Io scarico i CUD sul mio disco e li zippo proteggendoli con una password, così nessuno può vederli, ma mi dimentico la password. Quindi ho i dati sul computer, ma non posso vederli. Succede. È normale. Ma è una violazione.

6. Cancellazione dei dati

Qualcuno cancella il file che conteneva delle informazioni che erano solo lì.

Esempio: ho una chiavetta USB con un file Excel dove archivio i dati dei miei clienti persone fisiche – nomi, cognomi, prodotti acquistati… - ma cancello per sbaglio il file e quindi anche i dati. È una violazione.

Questi 6 incidenti, se vengono commessi volontariamente, cambiano nel concetto e nel nome:

  1. l’accesso non autorizzato diventa spionaggio;
  2. la copia non autorizzata si chiama furto;
  3. la divulgazione non prevista si chiama diffusione;
  4. la modifica non autorizzata diventa una compromissione, per esempio: un hacker entra nell’area riservata del portale web dell'azienda, dove ogni cliente ha nome, cognome e link al sito aziendale, e cambia tutti i link sostituendoli con www.youporn.com così, chi clicca, finisce su YouPorn;
  5. la perdita d’accesso diventa una cifratura, per esempio: infetto volontariamente con il CryptoLocker il computer che contiene tutti i dati personali dei dipendenti;
  6. la cancellazione diventa distruzione volontaria.

Se si verifica una di queste cose, c’è stata una violazione e va gestita.

Come si gestisce una violazione dei dati personali?

Partiamo dall'inizio. Partiamo dagli articoli 33 e 34 del GDPR. Sono i due articoli del Regolamento europeo che cercano di indicarci come ci si deve comportare se si verifica una violazione dei dati personali:

  • l’articolo 33 riguarda la gestione interna dell’azienda e la gestione dei rapporti con il Garante;

  • l’articolo 34 riguarda la gestione con gli interessati, cioè con le persone di cui abbiamo i dati personali.

Il Data Breach va sempre registrato e se è il caso va notificato al Garante (articolo 33)

L’articolo 33 del GDPR, al punto 1, ci dice che, in caso di violazione dei dati personali, il titolare del trattamento notifica il Data Breach all’autorità di controllo competente entro 72 ore dal momento in cui ne viene a conoscenza, senza ritardo, qualora la violazione presenti un rischio per i diritti e la libertà delle persone fisiche.

Al punto 2 ci dice che i responsabili del trattamento – lo studio paghe, il commercialista, chi gestisce il software… -, in caso di violazione, non notificano al Garante, ma al titolare del trattamento.

Al punto 3 dice che, se decidi di notificare, il Garante ha bisogno di determinate informazioni: natura della violazione, l’ammontare approssimativo del numero di persone interessate, dati di contatto del responsabile della protezione dei dati, possibili conseguenze della violazione, misure adottate.

Al punto 4 dice che se non è possibile dare tutte le informazioni importanti subito, si possono fornire in fasi successive.

Al punto 5 dice che comunque bisogna documentare qualsiasi violazione, sia di tipo 1 (violazione che non presenta un rischio per i diritti e le libertà delle persone) che di tipo 2 (violazione che presenta un rischio per i diritti e le libertà delle persone): in sostanza che bisogna essere accountable, dimostrare accountability.

Essere accountable: cosa significa accountability

Accountability significa responsabilità, ma è un concetto anglosassone, quindi non è la responsabilità come la intendiamo noi in Italia. È un concetto che comprende: essere responsabili, competenti e consapevoli.
E come faccio a testimoniare la mia accountability? Fornendo delle prove.
Il titolare del trattamento deve essere in grado di produrre una serie di evidenze, tese a dimostrare che è competente, che è stato responsabile e che riesce a tenere in mano le redini del processo. Non è un pilota in balìa delle onde, che guida un motoscafo troppo potente e non lo sa gestire. Ha la patente nautica, ha la capacità e il know-how per affrontare il tipo di mare in cui sta navigando e lo dimostra col suo GPS, con i suoi strumenti, perché ha partecipato a 50 regate... Dimostra la sua capacità, fornendo prove, documentali o meno.

Per essere accountable, il titolare del trattamento deve documentare qualsiasi violazione nel registro, comprese le circostanze relative, le sue conseguenze, i provvedimenti adottati per porvi rimedio. Tale documentazione consente al Garante di verificare il rispetto del protocollo.

Perdi la chiavetta USB? Lo documenti.
L'antispam diffonde i dati dei tuoi clienti in rete? Lo documenti.
Hai preso il CryptoLocker? Lo documenti.

Guardi come è successo e cerchi di evitare che succeda di nuovo.
Perché il problema non è dichiarare la violazione. Se la dichiari non prendi la multa, la prendi per altri motivi!

Se l’azienda non prova l'accountability, lì sì che arriva la sanzione.

Quali violazioni comunicare al Garante?

Mica tutte. Vanno comunicate solo le violazioni di tipo 2: quelle che presentano un rischio per i diritti e le libertà delle persone. Ma come si definiscono? Come si calcolano? Chi lo decide che quella violazione ha un rischio alto? In Italia siamo nell’ambito del diritto romano. Siamo abituati ad avere il bastone: se fai così sei a posto. Con il Regolamento è tutto alla rovescia: è il titolare del trattamento che decide se notificare o no, poi il Garante verificherà, in una logica di accountability, se ha dato le evidenze corrette.

Per questo esistono delle metodologie.

L’ENISA (The European Union Agency for Cybersecurity) ha creato una metodologia per calcolare il rischio sulla libertà delle persone a fronte di una violazione. Questa metodologia si può applicare anche in azienda - noi l'abbiamo integrata nel software di PrivacyLab per rendere rapida, efficiente e veloce la gestione del Data Breach – e l’uso di questa metodologia aiuta a testimoniare il processo di accountability.

Quindi, se di fronte ad una violazione, il Garante chiede al titolare del trattamento: “Come hai fatto a decidere di non comunicare questa violazione?”
Il titolare può rispondere: “Ho documentato la violazione nel mio registro, ho preso le contromisure e ho verificato. Non ho notificato la violazione perché ho utilizzato un protocollo condiviso anche a livello europeo, da cui è emerso che il rischio per la libertà delle persone era basso. Non lo dico io. Lo dice uno strumento certificato.”

Perché non basta dire “Ho visto che era un rischio basso per i diritti delle persone e ho deciso che non dovevo comunicarlo.” Come lo provi? Si fa fatica a rendere testimoniabile questa cosa.

Non bisogna cadere nella tentazione di dire “secondo me questa misura è adeguata" perché non lo sai tu - titolare - non lo sa il Garante, non lo so io... non lo sa nessuno. La legge dice "Dammi evidenza di aver fatto il possibile" e solo applicando la procedura di gestione del Data Breach, in ottica di accountability, riesci a testimoniare il fatto di essere conforme al Regolamento.

Il Data Breach ha un rischio alto: va notificato al Garante

Se risulta che la violazione presenta un rischio alto, va notificata al Garante entro 72 ore e senza ulteriori ritardi. Va compilato un documento che descrive cosa è successo, quali sono state le conseguenze, quali misure sono state adottate e quelle che verranno adottate. La notifica viene poi spedita via PEC al Garante.

Punto.

Questa è la procedura per la notifica del Data Beach, ma il problema è quello che succede prima: l’azienda come fa a sapere che c’è stata una violazione?

Come sapere che c’è stata una violazione? Grazie ad un workflow intelligente e alla formazione

Come faccio a sapere di aver perso una chiavetta USB con i dati personali dei clienti? Come faccio a sapere che qualcuno ha preso le informazioni degli utenti dal sito internet della mia azienda? Perché arriva una segnalazione, e visto che un’azienda normale di segnalazioni ne avrà diverse durante l'anno, senza un workflow intelligente, un metodo agile per gestire e raccogliere le segnalazioni, si va ad imbarcare in un processo di gestione fine a sé stesso: riceve la mail, la mette nel CRM, la spedisce al responsabile del CED, aspetta la PEC… Ha bisogno di un sistema forte, semplice e veloce, perché ogni volta che si perde una chiavetta USB non serva un ingegnere termonucleare che impiega 4 ore a fare calcoli per stimare il rischio.
Diventa un problema organizzativo. Diventa un costo.

E serve la formazione.

Se non spiego cos'è una violazione agli addetti, anche se lascio il modulo per segnalare il Data Breach, l'addetto non metterà mai dentro niente, perché ha paura, perché se perde i dati magari rischia pure una nota di demerito. Io devo formare gli addetti e i responsabili esterni, devono sapere che cos'è una violazione, e segnalarla. La formazione è semplice. Ci vogliono 20 minuti.

Quando comunicare la violazione dei dati personali agli interessati (articolo 34)

Articolo 34 del Regolamento europeo: quando la violazione dei dati personali presenta dei rischi per i diritti e le libertà delle persone, va comunicata anche agli interessati. E questa cosa fa paura. Perché se dico ad un dipendente che tutti i suoi colleghi hanno visto la sua busta paga, è quasi certo che mi farà la rogna. Se dico ai miei clienti che i loro dati sono andati in giro per il web per colpa dell’antispam che uso, magari la consulenza la chiedono a qualcun altro.

Il danno reputazionale mi spaventa molto di più della sanzione.

In PrivacyLab abbiamo avuto alcuni esempi di questo tipo. Casi di grandi aziende di consulenza sulla sicurezza che, piuttosto che comunicare agli interessati che c'era stato un disastro con i dati in loro possesso, facevano tagliare la prima falange del dito dell'amministratore delegato!

Il danno alla reputazione potrebbe essere maggiore della possibile multa.

Come gestire la comunicazione agli interessati?

L’articolo 34 ci dice che il titolare del trattamento può non comunicare la violazione all'interessato quando:

1. Ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure vengono applicate ai dati personali. Se il titolare riesce a testimoniare questa cosa, registra la violazione, la comunica al Garante e può non comunicare nulla all'interessato. Ma deve dare evidenza di essere accountable.

2. Oppure, successivamente, ha adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e libertà. Qui è un po' più complicato, perché quando i buoi sono scappati sono scappati.

3. Detta comunicazione si può non fare, se richiede uno sforzo sproporzionato. Ma se richiede uno sforzo sproporzionato, va dichiarata pubblicamente. Quindi il Garante dirà “Mettiti su internet e fatti un bel video in cui dici a tutti "Signori, sono stato un coglionazzo." Così dai evidenza pubblica del fatto che hai sbagliato. Magari cerchiamo di evitare questa cosa… Ma come? Facendo attività preventiva.

Evito il danno alla reputazione se riesco a rendere testimoniabile, a fronte di un privacy-by-design che mi abbia dato un rischio residuale basso sul trattamento oggetto della violazione, della DPIA e di rischi residuali bassi e certificati, che ho fatto tutto il possibile.

Perché le violazioni succedono, a prescindere da quanto sono stato bravo.

Per concludere: il processo di gestione del Data Breach in 4 punti

La procedura di gestione del Data Breach tocca 4 punti:

1 - Formazione
Formo addetti e responsabili esterni.

2 - Registrazione
Documento tutte le violazioni.

3 - Valutazione
Valuto il tipo di violazione (tipo 1 o tipo 2) e quindi capisco se devo anche notificare alle autorità e agli interessati.

4 - Registro
Documento tutto quello che è successo, cosa ho fatto e cosa farò.

Ti è stata segnalata una violazione.

Chiediti: è davvero una violazione?
Risposta: no. Allora non bisogna fare nulla.
Risposta: sì. Devi approfondire.

Chiediti: è una violazione che lede i diritti e le libertà delle persone fisiche?
Risposta: no. Allora documenta l’incidente nel registro dei trattamenti come violazione di tipo 1.
Risposta: sì. Allora la violazione va notificata alle autorità e registrata come violazione di tipo 2.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Quando comunicare data breach?

Il Gdpr è in vigore e l'obbligo di segnalazione data breach entro 72 ore è l'obbligo più gravoso, secondo le aziende italiane, in un recente sondaggio di Idc.

Quali eventi può comportare un data breach?

I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità.

Quale norma del GDPR disciplina il data breach?

Le violazioni vanno gestite seguendo le indicazioni del Regolamento Europeo 16/679 (GDPR) che ci dice come dobbiamo comportarci se si verifica un Data Breach, però prima bisogna sapere cos'è un Data Breach.

Chi comunica il data breach?

Nel caso di data breach spetta al Titolare del trattamento, valutare e documentare la violazione e, nei casi previsti, attivarsi per effettuare la notifica al Garante privacy e la comunicazione agli interessati.

Data breach notifica

Articoli correlati

Come si scrive la data in una lettera
Come si scrive la data in una lettera

Come si calcola il giorno del concepimento
Come si calcola il giorno del concepimento

Quando è disposta la sospensione della patente
Quando è disposta la sospensione della patente

Recuperare conversazioni whatsapp di un altro numero
Recuperare conversazioni whatsapp di un altro numero

Pubblicità

ULTIME NOTIZIE

Ho perso 8 kg ma non si nota
1 annos fa . di SmolderingAdvert
Chi canta le canzoni di aladdin in italiano
1 annos fa . di DistinguishingUnderdog
Il siero si mette prima della crema
1 annos fa . di GallantSnack
Cosa fare il sabato sera con amici
1 annos fa . di IllegalComplexity
Un genitore può assumere un figlio come badante
1 annos fa . di CantankerousVictory
Case in vendita lago di bolsena capodimonte
1 annos fa . di KnittedComplexity
Un cane senza pedigree è di razza
1 annos fa . di Low-levelCrossroads
Come capire l età di un gatto randagio
1 annos fa . di MainstreamCrossover
Come si fanno le siringhe sulla pancia
1 annos fa . di TroubledBodyguard
Pane con semi di lino e girasole
1 annos fa . di FieryRiches

Pubblicità

Popoler

Pubblicità

Di

Legale

Aiuto

Sociale

homeendefrjakoptzhhiittr
Diritto d'autore © 2024 paraquee Inc.