Procedura data breach: perché è essenziale e come realizzarla

Cosa rischia l’impresa senza data breach policy o dotata di una policy lacunosa? Quali elementi essenziali dovrebbe includere? Nell’articolo di oggi vediamo alcune regole per la gestione di questo fondamentale adempimento.  

Dati allarmanti

Vi sono diversi profili da considerare e che enfatizzano la delicatezza della questione: quello sanzionatorio, ovvero dei rischi derivanti dal mancato adeguamento alle norme in materia di protezione dei dati personali, e quello più ampio, relativo alla cybersecurity e alla cd. “business continuity” dell’impresa. 

Concentrandoci sul primo, è bene evidenziare come sia difficile stimare l’ammontare complessivo delle sanzioni comminate a seguito di Data Breaches. Possiamo però affermare con certezza che ci troviamo nell’ordine dei milioni di euro. Solo in Italia, nel corso del 2021 sono pervenute all’Autorità più di 1.300 notifiche di violazioni ai sensi dell’art. 33 del GDPR o dell’art. 26, D.lgs. n. 51/2018, trasmesse da titolari del trattamento pubblici (circa nel 30% dei casi) e privati (nel 70% dei casi). Dall’entrata in vigore del GDPR il totale ammonta a 5.879 notifiche, cui sovente sono seguite ordinanze di ingiunzione.

In molti casi, le Data Protection Authorities europee hanno rilevato violazioni nel contesto di indagini su reclami o segnalazioni degli interessati. Le piattaforme di analisi comparativa delle sanzioni parlano di oltre 1,5 milioni di euro di sanzioni comminate proprio per il mancato rispetto degli obblighi di notifica all’Autorità e di comunicazione agli interessati (artt. 33 e 34).

Un Data Breach espone quindi l’impresa a potenziali ingiunzioni sia nel caso in cui si decida di notificare la violazione all’Autorità di controllo competente, sia nel caso in cui il titolare del trattamento decida (consapevolmente o meno) di non procedere in tal senso. 

Killshot per l’impresa 

• Agosto 2019: la clinica “Wood Ranch Medical” in California subisce un ampio attacco ransomware che compromette i dati di quasi 6.000 pazienti, salvati sui server e sui sistemi di backup. Le informazioni non risultano ripristinabili e l’FBI raccomanda di non pagare i cybercriminali. L’organizzazione si trova quindi costretta alla chiusura permanente delle attività nel dicembre 2019.
• Ottobre 2019: “The Heritage Company”, una società di telemarketing con sede nell'Arkansas (USA) viene colpita da un ransomware. Il virus informatico blocca i server aziendali e prende in ostaggio tutti i dati, paralizzando completamente le attività dell’impresa. Il pagamento del riscatto non basta a sbloccare la situazione, così come le procedure di recovery dei dati, che si mostrano insufficienti. L’incidente informatico si trasforma in un disastro finanziario e l’azienda è costretta a licenziare più di 300 dipendenti.
• Ottobre 2020: “Vastaamo”, una clinica di psicoterapia privata finlandese annuncia che il database dei pazienti in cura presso la clinica è stato violato. I pirati informatici autori dell’attacco richiedono un riscatto di 40 bitcoin (ai tempi equivalenti a circa 450.000 euro) minacciando la pubblicazione di centinaia di cartelle cliniche e di dati personali e particolari dei pazienti (nomi completi dei pazienti, indirizzi di casa, numeri di previdenza sociale e perfino gli appunti dei terapisti e dei medici per ogni sessione di cura). Gli interessati sono più di 30.000. Migliaia di dati appartenenti non solo a pazienti, ma anche a famigliari e terapisti, vengono diffusi. In seguito alla violazione l’Autorità Garante finlandese sanziona Vastaamo per 608.000 euro. La società viene costretta a dichiarare il fallimento con una decisione del tribunale distrettuale di Helsinki di febbraio 2021.
• Maggio 2022: il “Lincoln College”, storica scuola privata con sede nell'Illinois (fondata nel 1865), annuncia la chiusura definitiva a seguito di un attacco ransomware. Prima di questo attacco, la scuola era riuscita a sopravvivere a due guerre mondiali, la Grande Depressione, un incendio e al COVID-19.

Il secondo profilo di rischio per l’impresa consiste quindi nelle minacce cyber, che possono avere conseguenze devastanti per l’attività di impresa, come dimostrano i casi sopracitati. Secondo la National Cyber Security Alliance degli Stati Uniti, il 60% delle piccole imprese fallisce sei mesi dopo un attacco informatico. Il dato è preoccupante, soprattutto se consideriamo che le PMI sono la vera e propria struttura portante del sistema produttivo italiano, generando oltre il 70% del fatturato del nostro Paese e contribuendo a impiegare oltre l’81% dei lavoratori. 

Perché dotarsi di una data breach policy

Diverse sono le ragioni per cui ogni organizzazione moderna dovrebbe dotarsi di una procedura per la gestione di eventuali violazioni di dati personali (Data Breaches). 

1. Prevenire

La policy costituisce un elemento chiave per sensibilizzare e formare il personale circa i rischi connessi ad una violazione. Affiancare la pubblicazione della procedura ad un corso di formazione specifico sul tema rappresenta sicuramente la migliore prassi. Il fattore umano, infatti, costituisce la principale vulnerabilità di impresa. 

2. Gestire la violazione in accountability

La policy consente all’impresa di attuare un piano di gestione della violazione o della sospetta violazione. Il piano di gestione comprende tutti gli step necessari per fare in modo che quando ci si trovi in presenza di una violazione o di una sospetta violazione, tutti i soggetti coinvolti sappiano come comportarsi e siano pronti ad intervenire. In questo modo il titolare del trattamento può dimostrare di aver attuato misure organizzative tali da garantire che il trattamento dei dati viene effettuato conformemente al GDPR (art. 24) ed in sicurezza (art. 32).

3. Valutare la violazione e adempiere agli obblighi normativi

Valutare la violazione significa capire quali sono le conseguenze concrete per l’attività di impresa e sui diritti e le libertà delle persone fisiche eventualmente coinvolte. Questo permette all’organizzazione di definire la gravità del rischio e, di conseguenza, di determinare se risulta o meno necessario effettuare la notifica all’Autorità di controllo entro 72 ore dalla violazione e agli interessati senza ingiustificato ritardo (obblighi di cui agli artt. 33 e 34 GDPR).

4. Mitigare

Qualora il breach si sia effettivamente verificato, la policy dovrebbe supportare l’organizzazione nell’implementazione di un mitigation plan, ovvero di un piano per mitigare le conseguenze negative derivanti dalla violazione stessa. Il piano di mitigazione dovrebbe comprendere tutte le azioni presenti e future da attuare (short term / long term programs), sia in termini di conformità alle norme, sia in termini di sicurezza fisica o informatica. 

Ad esempio, in seguito ad un ransomware, il mitigation plan potrebbe prevedere:

• per la conformità short term, la predisposizione, un aggiornamento o revisione del regolamento sul corretto utilizzo degli strumenti aziendali;
• per la conformità long term, una campagna di formazione al personale sui principali rischi cyber, programmata a cadenza periodica in modo da mantenere l’attenzione sempre alta;
• per la sicurezza short term, un Vulnerability Assessment infrastrutturale su tutti gli IP esposti su internet;
• per la sicurezza long term, la pianificazione di backup più frequenti su sistemi / server che possono essere scollegati fisicamente dalla rete.

Oltre a questi punti essenziali vale sempre la pena ricordare che l’attenzione alla tutela dei dati personali costituisce un valore aggiunto per l’impresa. Policy di questo tipo mostrano la responsabilizzazione del titolare ed il suo impegno a garantire la protezione dei diritti e delle libertà delle persone fisiche. Questo aspetto è estremamente attuale e rappresenta il futuro delle strategie di digital marketing (come dimostra l’ultimo spot di Apple, con i dati degli utenti messi all’asta).

Come sviluppare una procedura

Come abbiamo visto sono diversi gli aspetti da considerare quando si sviluppa una policy per la gestione di eventuali violazioni dei dati personali. 

In sintesi, la policy dovrebbe avere il seguente contenuto minimo: 

• Ambito di applicazione. La policy dovrebbe specificare a quali soggetti si applica (ambito di applicazione soggettivo) e in quali casi e situazioni (ambito di applicazione oggettivo). 
• La definizione di Data Breach. Oltre al GDPR, la policy dovrebbe almeno far riferimento alle indicazioni dell’Autorità Garante per la protezione dei dati personali (vedi la relativa area tematica del sito istituzionale), alle Linee guida del WP29 sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679 (WP250), alle Linee guida 01/2021 dell’EDPB contenenti esempi riguardanti la notifica di Data Breach. Le Autorità concorrono nel fornire esemplificazioni utili, che possono servire per chiarire al personale il concetto di violazione dei dati personali. 
• Le altre definizioni utili. Per rendere la procedura facilmente comprensibile a tutto il personale è buona prassi ricordare le principali definizioni utili e richiamare i principi fondamentali del GDPR che devono essere seguiti in tutte le attività di trattamento e qualora si verifichi una violazione. 
• Gli step di gestione. Al personale vanno spiegati chiaramente gli step da seguire qualora si dovesse verificare una violazione. A tal fine si consiglia di sviluppare un allegato dedicato alla raccolta di informazioni utili sull’accaduto, in modo da facilitare l’operato del dipendente che si trovi nella posizione di dover comunicare al titolare un breach o sospetto tale. 
• Il Team Privacy. Sempre al fine di facilitare la gestione della violazione, è bene individuare un responsabile o, meglio, un gruppo di soggetti dotati di competenze eterogenee (giuridiche e informatiche), che si occupino della valutazione dell’accaduto. Il responsabile o il Team dovrebbero essere adeguatamente preparati e pronti alla gestione della violazione, o quantomeno supportati da consulenti esperti. 

La teoria non basta

Nella fase di valutazione dell’accaduto, l’esperienza risulta infatti essenziale. Seppure le citate Linee guida delle principali Autorità di riferimento in materia di privacy ci vengano in aiuto in tal senso, le casistiche che si possono verificare sono molteplici. 

Pensiamo, ad esempio, ai principali rischi cyber individuati nel report periodico dall’ENISA, Agenzia Europea in materia di cybersecurity. Attacchi DDoS (Distributed Denial of Service), Phishing, accessi abusivi ai sistemi, Ransomware e malware in generale, rappresentano solo alcune delle principali minacce cui va incontro l’impresa ogni giorno. 

A questi si aggiungono i rischi fisici per la sicurezza. Tale complesso quadro va conosciuto e gestito con la consapevolezza delle migliori prassi applicabili e l’esperienza di violazioni accadute e gestite con successo.

Il nostro team di consulenti, oltre ad essere costantemente formato ed aggiornato sui maggiori threat per l’impresa, ha supportato nella gestione e nella risoluzione di importanti data breach, interfacciandosi direttamente con l’Autorità Garante.

Affidati al nostro team, contattaci senza impegno per avere una valutazione delle principali esigenze della tua impresa.