Tutte le aziende pubbliche e private sono chiamate a mettere in atto misure di Data Breach Management che consentano loro di monitorare rapidamente le effrazioni digitali e attuare azioni preventive, proprio per diminuire i rischi di violazioni dei dati. Questo perché le violazioni dei dati possono verificarsi a causa dei motivi più disparati, che spaziano dall’errore umano alle attività malevoli di criminali informatici, passando per gli errori dei sistemi informatici.
Definizione Data Breach Management
“Un Data Breach è un incidente di sicurezza che ha come conseguenza la diffusione, la distruzione, la perdita o la modifica non autorizzate di dati confidenziali. Tali violazioni possono avvenire durante la conservazione, la trasmissione ovvero durante il trattamento effettuato sui dati stessi” (fonte CERT-PA, struttura della Agenzia per l’Italia Digitale - AGID).
Le conseguenze di una violazione sono correlate a perdite finanziarie e quasi sempre perdita della fiducia dei consumatori. Quindi qualsiasi organizzazione deve prevenire questi rischi, implementando un processo di Data Breach Management, che consiste nella emissione di una policy, stesura di procedure e implementazione di strumenti atti a gestire il verificarsi di un incidente, ma principalmente, a prevenirne l’occorrenza.
Normativa per il Data Breach Management e suo obbligo di notifica
L’espressione Data Breach è utilizzata negli articoli 33 Notifica all’Autorità di Controllo, 34 notifica agli interessati, del General Data Protection Regulation (GDPR - regolamento (UE) 2016/679). In Italia il GDPR è stato recepito con il Decreto Legislativo 10 agosto 2018 n. 101.
Tutte le indicazioni per il trattamento del Data Breach sono disponibili sul sito apposito del Garante. Parte integrante della Data Breach Management è la data breach notification disciplinata dalle linee guida in materia di notifica delle violazioni di dati personali - WP250, definite in base alle previsioni del Regolamento (UE) 2016/679.
L’obbligo di notifica di un Data Breach è previsto anche dalla Direttiva NIS 2016/1148 (Network and Information Security), approvata nel 2016 che stabilisce anche l’adozione di misure organizzative e tecniche, atte a realizzare ambienti digitali sicuri e affidabili in Europa. Fra queste anche misure che rientrano nel Data Breach Managent. La normativa punta alla riduzione significativa del rischio conseguente a incidenti dei servizi essenziali. In Italia è stata recepita col Decreto Legislativo 18 maggio 2018, n.65, pubblicato sulla Gazzetta Ufficiale n. 132 del 9 giugno 2018 ed entrato in vigore il 24 giugno 2018.
Data Breach Management
Implementare policy e procedure di Data Breach Management significa pianificare la gestione di una violazione dei dati. È preferibile farlo in anticipo, piuttosto che improvvisare durante una emergenza, ai fini della efficacia ed efficienza dell’azione. Solitamente il piano di Data Breach Management deve tenere conto dei processi aziendali di ciascuna organizzazione e dei suoi bisogni. Il piano dovrebbe contenere almeno quattro sezioni: una chiara spiegazione di ciò che costituisce una violazione dei dati, per consentire l’immediata identificazione della situazione sia se sospetta sia se confermata; le modalità di segnalazione interna della violazione, identificando il ruolo di ogni operatore, addetto e responsabile ad ogni livello e il tipo di report informativo con il tipo di dati da includere; le modalità di risposta ad una violazione dei dati, per contenere, rimediare e recuperare una violazione; identificare chiaramente le responsabilità del team di Data Breach Management (fonte PDPC GOV).
Per individuare un Data Breach senza inutili ritardi è operativamente necessario agire su tre fronti: attuare il monitoraggio del traffico digitale in entrata e in uscita per i siti Web, i database in relazione ad attività anomale di rete; attuare il monitoraggio fisico delle aree sensibili aziendali (data center e sale server); utilizzare del software di rilevamento delle intrusioni in tempo reale per individuare senza ritardi attività, attacchi e accessi di utenti non autorizzati.
In presenza di un incidente le azioni di un Data Breach Management dovrebbe seguire l’approccio C.A.R.E. che consiste in Contain, Assess, Report ed Evaluate. Quindi, si tratta di Contenere i danni e prevenire future compromissioni, effettuare un assessment delle perdite, stilare un Report dell’accaduto verso i referenti interni e le autorità esterne competenti (Garante e organi Istituzionali preposti) ed infine effettuare una valutazione per il miglioramento che introduca gli elementi correttivi sia al processo di Data Breach Management, sia agli strumenti informatici, eliminando le vulnerabilità e le cause dell’effrazione.
La prevenzione
Le attività preventive per scongiurare il verificarsi di un incidente informatico richiedono la periodica valutazione dei rischi e la definizione (ex-novo se non presenti o rivalutazione se già implementate), nel corso del tempo, di adeguate misure di tipo tecnologico, fisico e organizzativo all’interno dell’azienda (fonte CERT PA). Per essere certi di non dimenticare nessun aspetto della sicurezza si possono seguire le norme certificative secondo gli standard ISO/IEC 27001 e ISO/IEC 27040, rispettivamente dedicate ai requisiti di sicurezza e qualità dei sistemi di gestione della sicurezza informatica e del sistema di storage security. Queste misure di sicurezza e qualità possono integrare e in parte attuare quanto stabilito all’articolo 32 del GDPR (misure di sicurezza per la protezione dei dati personali n.d.r.).
Si ricorda che non esiste la sicurezza del 100% di abbattimento dei rischi, ma l’implementazione di prassi basilari di sicurezza, in accordo alla valutazione periodica dei rischi, può scoraggiare gli attaccanti a causa dei maggiori costi da affrontare per dotarsi di sofisticati mezzi di attacco.
