Data breach aziendale, come limitare i danni nelle prime 72 ore

Il GDPR (Regolamento UE 2016/679) definisce il Data Breach come una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati.

Per una PMI (Piccole e Medie Imprese), le prime 72 ore dopo la scoperta di una violazione dei dati rappresentano il discrimine tra una crisi gestita e un disastro reputazionale e sanzionatorio. In questo lasso di tempo è necessario seguire uno specifico “protocollo tecnico“, che determina l’efficacia della mitigazione del rischio ed il rispetto di quanto previsto dalla normativa.

Il regolamento GDPR prevede un protocollo rigido suddiviso in 3 obblighi principali per il titolare del trattamento:

Notifica all’Autorità Garante (Art. 33)

Se la violazione presenta un rischio per i diritti e le libertà delle persone (ad esempio furto di identità), il titolare deve notificare l’evento al Garante per la Protezione dei Dati Personali.

• Tempistica: entro 72 ore dal momento in cui ne viene a conoscenza. Se la notifica avviene in ritardo, va fornita una motivazione.
• Contenuto minimo:
  • Natura della violazione e categorie di dati/interessati coinvolti.
  • Nome e contatti del DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati... (Data Protection Officer).
  • Probabili conseguenze della violazione.
  • Misure adottate o proposte per rimediare e attenuare i danni.

Comunicazione agli Interessati (Art. 34)

Se il rischio per le persone è valutato come elevato, il titolare deve comunicare l’accaduto direttamente agli interessati coinvolti.

• Tempistica: senza ingiustificato ritardo.
• Eccezioni: la comunicazione non è obbligatoria se:
  • I dati erano protetti da misure tecniche (es. cifratura) che li rendono inintelligibili.
  • Il titolare ha adottato misure successive che hanno scongiurato il rischio elevato.
  • La comunicazione individuale richiederebbe uno sforzo sproporzionato (in questo caso si procede con una comunicazione pubblica, come un avviso sul sito web).

Registro delle Violazioni

A prescindere dalla gravità o dall’obbligo di notifica, ogni azienda deve tenere un registro interno di tutti i data breach subiti. Questo documento deve includere le circostanze, le conseguenze e i provvedimenti adottati, e deve essere messo a disposizione del Garante in caso di ispezione.

Sanzioni previste

Il mancato rispetto di questi obblighi può portare a sanzioni pesanti (Art. 83):

• Sanzioni amministrative: fino a 10 milioni di euro o fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
• Responsabilità civile: Il diritto degli interessati di richiedere il risarcimento del danno (materiale o immateriale).

Scenario pratico

Ipotizziamo di ricevere un attacco RansomwareUn attacco ransomware è un tipo di malware che blocca l'accesso ai file o ai sistemi informatici, crittografandoli, e richiede un riscatto (ransom) in criptovalute per ripristinarli. Leggi, ovvero un malware che prende in ostaggio i dati o i dispositivi, crittografando file o bloccando l’accesso ai sistemi di un’azienda. I dati diventano inaccessibili e c’è il rischio che gli hacker abbiano accesso al database dei clienti, che può contenere:

• Dati anagrafici (nomi, cognomi, codici fiscali).
• Dati particolari (ad es: sanitari come referti, diagnosi, terapie in corso).
• Dati finanziari (coordinate bancarie per i pagamenti).

Considerando la presenza anche dei dati particolari (sanitari), il rischio è elevato (possibile furto d’identità o danno alla salute), quindi la notifica al Garante e la comunicazione agli interessati sono obbligatorie.

Cosa deve fare l’Azienda (Titolare del Trattamento)

L’azienda deve agire tempestivamente seguendo l’apposito protocollo. Possiamo riassumere la cronologia di azioni da intraprendere come di seguito:

1. Rilevazione e Contenimento (Ore 0-12): appena ricevuto l’alert, coinvolgere subito il team IT e il DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati... (Data Protection Officer). Il team IT deve isolare il perimetro, ovvero i server colpiti, per evitare che il virus si propaghi, evitando di spegnere le macchine per non perdere informazioni utili in sede di accertamento.
2. Valutazione (Ore 12-24): mentre l’IT lavora al contenimento, il DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati... deve avviare l’analisi del rischio. Non tutte le violazioni richiedono la notifica al Garante, occorre quindi capire cosa è stato rubato o criptato e, se riguarda anche i dati “particolari” (sanitari), la soglia di allerta è elevata
3. Notifica al Garante (Entro 72 ore): compilare il modulo di notifica online sul sito del Garante della Privacy. Occorre descrivere l’accaduto, specificando nel dettaglio quali sono le categorie di interessati (se ci sono minori o soggetti vulnerabili) e indicando le misure di sicurezza adottate o che si stanno adottando. In tale occasione la PMI deve dimostrare di aver agito mitigando il rischio (ad esempio un reset forzato di tutte le password di dominio e dei permessi sospetti).
4. Comunicazione agli interessati: se l’analisi rileva un rischio elevato, la PMI deve comunicare la violazione direttamente agli interessati. Inviare una mail, un SMS o una lettera a tutti gli utenti coinvolti spiegando chiaramente cosa è successo e cosa devono fare. Il linguaggio deve essere semplice, ma tecnico quanto basta per dare istruzioni operative (es. “occorre cambiare la password anche su altri siti su cui è utilizzata la stessa”). Spesso le PMI cercano di nascondere l’accaduto, ma una notifica proattiva e trasparente è la miglior difesa in caso di ispezione successiva.
5. Documentazione: l’Art. 33 del Regolamento UE 2016/679 impone di documentare qualsiasi violazione, anche quelle non notificate. 

Occorrerà quindi aggiornare il Registro dei Data Breach con tutti i dettagli tecnici e le azioni intraprese. Chi ha rilevato cosa? Quali account sono stati compromessi? Se c’è stata una violazione di credenziali personali, ecc.

Blumatica GDPR ti aiuta a gestire al meglio l’emergenza 

In una PMI, la documentazione può essere spesso lacunosa e le 72 ore corrono veloci!

L’utilizzo di un software gestionale come Blumatica GDPR consente di trasformare un obbligo caotico in un processo guidato e documentato.

Il software permette di effettuare tutti i passaggi logici e tecnici in maniera veloce e di avere sempre aggiornata tutta la documentazione obbligatoria prevista dal Regolamento GDPR, infatti sarà possibile effettuare:

Censimento dell’evento

All’interno del modulo ” Data Breach”, la prima cosa da fare è creare una nuova scheda incidente, indicando in maniera guidata:

• Data e ora della scoperta, fondamentale per il calcolo delle 72 ore.
• Descrizione dell’evento: indicare se si tratta di perdita di riservatezza (furto dati), disponibilità (ransomwareUn attacco ransomware è un tipo di malware che blocca l'accesso ai file o ai sistemi informatici, crittografandoli, e richiede un riscatto (ransom) in criptovalute per ripristinarli. Leggi) o integrità (dati alterati).
• Asset coinvolti: è possibile selezionare dal menu degli archivi informatici tutti i software/hardware già censiti per l’azienda in esame ed indicare quali server o database sono stati colpiti.
• Persone colpite e tipologie di dati coinvolti
• Analisi della gravità, per capire se procedere anche alla notifica al Garante e alla comunicazione agli interessati
• Misure tecniche applicate

Generazione della Documentazione

Una volta inseriti tutti i dati in maniera guidata, il software popola automaticamente i modelli predefiniti. Questo ti risparmia di scrivere tutto da zero sotto stress e di avere aggiornato il registro delle violazioni come previsto dalla normativa.

Audit e Azioni Correttive

Il software Blumatica GDPR ti permette di creare Audit per analizzare e monitorare la violazione. Consente infatti di indicare:

• Azioni di mitigazione: Identificare i responsabili che si occuperanno del contenimento e scrivere cosa è stato fatto per fermare la falla (es. “Sostituzione firewall”, “Reset password”).
• Tracking temporale: Blumatica tiene traccia di quanto è stato analizzato, di quali erano i trattamenti e gli asset in azienda e quali le misure attuate, utile per dimostrare la “accountability” (responsabilizzazione) in caso di ispezione futura.

In sintesi

Nelle prime 72 ore, la PMI non deve solo contenere i danni interni ma deve gestire la violazione dei dati. Il danno economico di una sanzione o di una causa civile per danni morali, spesso supera di gran lunga il costo del ripristino tecnico.

I principali vantaggi di usare Blumatica GDPR rispetto a file Word sparsi sono:

• Correlazione: il software contiene già tutti i trattamenti all’interno dei registri e “sa” già quali sono collegati a quel server che ha subito la violazione, risparmiandoti di cercare le informative correlate.
• Archivio Storico: in caso di controllo della Guardia di Finanza, si avrà tutto lo storico dell’incidente (analisi, decisioni del DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati... e azioni intraprese) ben organizzato.

Ricordate: il Garante non sanziona (solitamente) l’azienda perché ha subito un attacco, ma perché non era preparata a gestirlo o ha tentato di minimizzarlo senza seguire i protocolli adeguati.

Scopri Blumatica GDPR!

Cristina Feola

Senior R&D Engineer