DATA BREACH 4 - Che fare in caso di data breach?

Il Regolamento Europeo nell’articolo 33 impone che “…in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.” Il successivo articolo richiede inoltre che “Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.”

Da qui emerge che il legislatore ha voluto dare una grande importanza ad ogni forma di violazione, sia per l’evento in sé, sia per le conseguenze critiche che possono coinvolgere l’interessato. Emerge inoltre la necessità, da parte del titolare del trattamento, di reagire in tempi rapidi, salvo dare spiegazioni di un eventuale ritardo.

Appare evidente la necessità di affrontare il problema della gestione del rischio di violazione con approccio olistico su due piani diversi ma integrati: da una parte una infrastruttura tecnica di protezione proattiva, basata su proposte ampie e dettagliate di un mercato che sta raggiungendo la maturità, pur nella complessità e dinamicità del contesto operativo; dall’altra una cultura aziendale finalizzata a proteggere l’anello debole della catena di difesa: il personale. Quanto più si riesce a delegare la protezione a strumenti automatici perimetrali, tanto maggiore emerge l’intrinseca debolezza del personale, a qualsiasi livello, sia interno che esterno all’azienda.

I processi di ingegneria sociale, descritti magistralmente da Kevin Mitnick nel preistorico 2002, sono ancora validi, in quanto l’evoluzione degli strumenti è di gran lunga più veloce dell’atavica inerzia che caratterizza gli esseri umani. Bisogna acquisire la mentalità per la quale lavorare su dati o, ancor più, su dati personali, richiede la stessa attenzione della guida di un’automobile, consapevoli che ogni errore può fare incorrere in incidenti di impredicibile gravità.

Lo stesso Rapporto Clusit 2018 sulla Sicurezza ICT in Italia conferma che nel 2017 si è assistito alla diffusione ormai endemica di attività cybercriminali “spicciole” (…) per esempio le quotidiane campagne di estorsione realizzate tramite phishing e ransomware, che hanno colpito moltissime organizzazioni e cittadini italiani, a dimostrazione che tanto si deve ancora fare sul fronte della cultura aziendale per arginare data breach a diversi livelli.

Natale Castelliti