Attacchi informatici in azienda
l data breach sono attacchi informatici che hanno come scopo la violazione dei dati personali. Possono essere causati da errori umani, da guasti tecnici o da azioni illecite da parte di dipendenti o di terzi.
Ogni azienda dispone di una grande quantità di dati personali, a volte anche di dati sensibili, relativi ai dipendenti, ai clienti, ai fornitori, ma anche dati quali password e credenziali di accesso, strategie commerciali, piani finanziari. Queste informazioni, se divulgate a terzi o se alterate o perse, possono arrecare gravi danni all’impresa in termini finanziari, reputazionali e di rallentamenti provocati alle attività lavorative.
Data breach significato
L’art.4 del Regolamento 2016/679 definisce il data breach come “una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
La violazione dei dati personali può riguardare:
- la riservatezza, quando vengono divulgate informazioni personali senza autorizzazione o in modo accidentale;
- la disponibilità, quando i dati personali sono andati persi o comunque non sono più accessibili;
- l’integrità, nel caso in cui i dati personali sono alterati senza il necessario consenso.
GDPR data breach: cosa fare in caso di violazione dei dati personali
In caso di violazione dei dati personali sono previsti adempimenti sia a carico del titolare del trattamento che a carico del responsabile del trattamento (art.33 del Regolamento 2016/679).
Il titolare del trattamento è tenuto a notificare la violazione dei dati personali al Garante della privacy, tramite apposita procedura telematica. La notifica deve essere fatta, senza ingiustificato ritardo, entro 72 ore dal momento in cui egli ne è venuto a conoscenza. Se la notifica viene effettuata oltre le 72 ore è necessario che essa sia accompagnata dai motivi del ritardo.
Unica eccezione prevista a tale obbligo è il caso in cui è improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Infine, il titolare del trattamento, sia nel caso in cui è tenuto alla notifica al Garante che in caso contrario, deve documentare le violazioni dei dati personali. A tal fine può, ad esempio, predisporre un apposito registro. La documentazione ha come scopo quello di permettere alle Autorità di effettuare eventuali verifiche sul rispetto della normativa.
Il responsabile del trattamento, che viene a conoscenza di un’eventuale violazione, è tenuto a informarne tempestivamente il titolare in modo che possa attivarsi.
Data breach GDPR: comunicazione agli interessati
Nel caso in cui la violazione comporti un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei (art.34 del Regolamento 2016/679).
La comunicazione non è necessaria nei seguenti casi:
- quando il titolare del trattamento ha messo in atto misure tecniche e organizzative adeguate di protezione e queste misure erano state applicate ai dati personali oggetto di violazione. Si tratta, in particolare, di quelle misure che servono a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, come ad esempio la cifratura;
- nel caso in cui il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
- qualora la comunicazione richiederebbe degli sforzi sproporzionati. In questi casi si deve procedere con una comunicazione pubblica o con una misura simile.
Come proteggere i dati aziendali
Nessuna azienda può pensare di essere completamente al riparo da cyber attacchi. Pertanto è necessario implementare tutte quelle misure che possono contribuire a migliorare la sicurezza informatica e a ridurre il rischio di data breach.
Scegliere password complesse, cambiarle spesso, usare l’autenticazione a due fattori sono tra le pratiche più comuni, ma non per questo meno importanti, da adottare per proteggere i dati aziendali.
Altre misure utili consistono nell’uso di sistemi di crittografia dei dati, di antivirus sempre aggiornati, di software antimalware, di IDS (Intrusione Detection System) e di firewall.
Formare adeguatamente il personale è innanzitutto un obbligo previsto dall’art.29 del Regolamento 2016/679, ma è anche necessario in quanto, spesso, la violazione dei dati nasce da disattenzioni o da comportamenti non adeguati da parte dei dipendenti. La formazione deve essere estesa a tutti i livelli aziendali, in modo che ogni membro dell’organizzazione sia consapevole dell’importanza della sicurezza dei dati e comprenda i meccanismi di funzionamento delle minacce informatiche. La riduzione dei cyber risks passa attraverso la creazione di una cultura aziendale basata sulla sicurezza dei dati.
Analizzare, ad intervalli regolari, le infrastrutture IT permette di individuare possibili situazioni a rischio e di adottare in modo tempestivo le azioni correttive.
Poiché i rischi informatici non possono mai essere completamente eliminati è bene predisporre un Incident Response Plan in modo tale che, in caso di data breach, l’azienda sia in grado di rispondere in maniera tempestiva all’attacco subito riducendone al minimo le conseguenze negative.
Infine può essere utile predisporre un’adeguata copertura assicurativa che permetta di coprire le spese necessarie per il ripristino dei dati, le perdite derivanti dall’interruzione dell’attività, nonché i costi legati ad eventuali richieste di risarcimenti da parte di terzi.
