Cos’è un data breach: cause, effetti e norme di legge sulle violazioni dei dati personali

Data Breach

Data Breach: quando i dati personali di milioni di persone vengono esposti al pubblico. Ecco cosa sono, come si verificano e cosa fare quando vengono violate le informazioni private dei nostri utenti.

Quando utilizziamo Facebook o altri social media, spesso autorizziamo altre app ad accedere alle nostre informazioni personali, che abbiamo condiviso sul social. Non sempre queste applicazioni (identificate con il termine di app di terze parti) rispettano degli stringenti parametri sulla nostra privacy.

Ecco che ad aprile di quest’anno, due servizi di terze parti – Cultura Colectiva e At The Pool – hanno portato alla esposizione pubblica di 540 milioni di stringhe di informazione personali di utenti Facebook, attraverso i server di Amazon.

È questo quello che in gergo tecnico viene definito un data breach, una violazione dei dati. Si tratta di un problema ormai globale, che interessa anche aziende più piccole rispetto ai colossi di Facebook. Perché ormai noi tutti utilizziamo Internet per qualunque attività, anche aziendale (pensiamo al cloud computing). E malgrado questo ci offra tanti vantaggi, se non stiamo attenti siamo anche esposti a numerosi rischi.

Scopriamo insieme di più sul tema.

Che cosa si intende con data breach

Vediamo innanzitutto una descrizione più precisa di data breach

Secondo Norton, si tratta di un incidente nella sicurezza durante il quale si assiste all’accesso a delle informazioni senza autorizzazione”. Come nel caso di Facebook, quindi, le informazioni di persone, aziende o altre organizzazioni, vengono rese pubbliche senza il consenso degli stessi utenti. 

Come si vede dalla definizione, non è necessario che la violazione avvenga a causa di un cyber-attacco. Nell’esempio illustrato a inizio dell’articolo, il data breach si sarebbe verificato per l’incauto utilizzo dei dati da parte delle app di terze parti e non tanto per l’intento malevolo di alcuni criminali del web.

Detto questo, secondo IBM dietro i data breach c’è spesso la mano di hacker interessati alle informazioni riservate. Il 51 per cento delle violazioni di dati avvenute finora nel 2019, secondo l’azienda, proviene proprio da cyber-attacchi. Nel 2014 la percentuale si fermava al 21 per cento. La restante parte è causata invece da errori umani e da errori (glitch) dei sistemi.

Quando si verifica un data breach, vengono colpiti innanzitutto gli utenti, le cui informazioni talvolta sensibili, finiscono nello spazio pubblico, a disposizione di chiunque voglia farne uso (anche criminale). Vengono poi colpite duramente anche le aziende, innanzitutto dal punto di vista della reputazione. Ma ci sono anche costi importanti per recuperare le informazioni, come vedremo.

La violazione dei dati diventa sempre più diffusa. Sempre IBM ha calcolato che nel 2019 le aziende hanno il 29,6 per cento di probabilità di subire un data breach nel giro di due anni. Nel 2014, la cifra si fermava al 22.6 per cento.

Cause ed effetti

Abbiamo già accennato alle principali cause dei data breach, ma approfondiamo il tema, riportando le sei principali fonti di violazioni di dati, secondo il report di Verizon “2018 Data Breach Investigations Report”.

  1. Hacking. La causa principale è dovuta all’azione di una mano criminale. Gli hacker, secondo Verizon, provano spesso a rubare le credenziali di accesso ai sistemi delle aziende private, con diversi stratagemmi: le trovano sul dark web, le trovano scritte negli uffici (occhio alle fotografie che pubblichiamo sui social dall’ufficio) oppure usano dei software per la generazione automatica di password. Effettuato l’accesso, gli hacker possono poi raccogliere tutte le informazioni che vogliono e lanciare altri attacchi ai sistemi aziendali.
  2. Malware. Strettamente legati alle attività dei cyber criminali, i malware possono essere utilizzati per numerose attività illecite. Un esempio di malware è il cosiddetto RAM Scraper, che scansiona la memoria dei dispositivi digitali per raccogliere informazioni sensibili. Sono sistemi usati, per esempio, per scandagliare i POS. Un’altra forma di software malevolo sono i cosiddetti ransomware, che bloccano i dispositivi elettronici: gli hacker li sbloccheranno solo dietro pagamento di un riscatto (dall’inglese ransom).
  3. Errore umano. Come accennato, non è detto che debba esserci una mano criminale dietro un data breach. Anche l’errore di un impiegato può portare a una violazione delle informazioni. Banalmente, inviare la mail alla persona sbagliata, con i dati sensibili di un’altra. Per Verizon l’errore umano è la terza causa di data breach
  4. Social engineering. Torniamo alle attività illecite. Il phishing è l’invio di email che sembrano all’apparenza identiche a quelle di aziende importanti (pensiamo alle Poste), che richiedono spesso agli utenti di ripristinare i dati del proprio account. In realtà i destinatari accedono a dei portali fasulli, inviando involontariamente le proprie informazioni. Attacchi molto pericolosi, soprattutto perché puntano spesso ad accedere a conti correnti e carte prepagate. Il pretexting è un’attività simile, ma condotta al telefono.
  5. Accesso illecito dai dipendenti. Nelle aziende, spesso alcuni utenti hanno la possibilità di accedere ai dati dei propri colleghi e sottoposti, perché magari hanno un account con accesso privilegiato o superiore. Questo può risolversi in un data breach, in molti casi accidentale. 
  6. Azioni fisiche. Ebbene sì, la violazione dei dati può avvenire anche offline. Secondo Verizon, il 10 per cento dei data breach avviene fuori dalla Rete. Un esempio è la clonazione della carta di credito che può avvenire in un bancomat.

Fin qui le cause. Ma quali possono essere le conseguenze di una violazione dei dati?

Per i privati, le conseguenze possono essere sia finanziarie che personali. Come abbiamo visto, molti hacker provano ad accedere in tutti i modi ai conti correnti e alle carte di credito delle persone, utilizzando diversi mezzi. Dal punto di vista personale, c’è il rischio di lasciare che degli sconosciuti violino la nostra intimità. Sui nostri smartphone abbiamo ormai di tutto: dagli scatti con le nostre famiglie, alla posta personale, fino ai messaggi privati. Non deve essere piacevole sapere che qualcuno ha avuto accesso a tutte queste informazioni senza il nostro consenso.

Per le aziende, secondo IBM, le conseguenze dei data breach sono almeno di due tipi. Innanzitutto finanziarie. 

Nel 2019, il costo medio per un’organizzazione colpita da una violazione dei dati è stata di 3.92 milioni di dollari. La cifra è enorme perché ovviamente i cyber-criminali puntano principalmente alle grosse aziende. Non mancano però le conseguenze per le imprese più piccole. Sempre IBM spiega che il costo medio di una violazione è pari a 204 dollari per impiegato, per aziende con almeno 25mila dipendenti. Per imprese tra i 500 e i mille impiegati, tale costo sale fino a 3.533 dollari.

C’è poi da considerare il costo reputazionale di un data breach. Quanto vi fidereste di un’azienda che permette la violazione delle vostre informazioni personali? Secondo IBM, le aziende colpite possono perdere in media 1.42 milioni di dollari per ogni attacco. Lo studio ha anche sottolineato un’anomala perdita di consumatori del 3,9 per cento in seguito alle violazioni della privacy. 

Bisogna infine considerare i tempi di recupero per i dati che possono essere andati persi o danneggiati in seguito a un attacco. IBM stima che le conseguenze deleterie dei data breach possono arrivare anche dopo più di due anni dalla violazione. 

Il data breach nel GDPR

Abbiamo parlato in molte occasioni del GDPR (per esempio qui) il nuovo Regolamento generale sulla protezione dei dati dell’Unione Europea, entrato in vigore lo scorso anno. La norma prevede delle indicazioni specifiche per i data breach, in particolare sul comportamento da mettere in campo da parte delle aziende colpite.

Nello specifico, il regolamento parla di data breach in caso di distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trasmessi, conservati o comunque trattati. Quindi la definizione è in questo caso più ampia.

Cosa devono fare le aziende “colpite” dalla violazione o che comunque l’hanno provocato accidentalmente?

Innanzitutto devono inviare una notifica al Garante della Privacy, entro 72 ore dalla scoperta del breach. Quando la violazione comporta un rischio elevato per i diritti delle persone, allora l’obbligo di comunicazione si estende a tutti gli interessati.

In via preventiva, il Titolare del trattamento – l’azienda o professionista che per qualunque ragione raccoglie dati con il consenso degli interessati – deve poi adottare un preciso “Protocollo di risposta”. Si tratta di una procedura esatta da mettere in campo qualora si verificassero episodi di distruzione o perdita dei dati, mettendo insieme il lavoro dei dipartimenti aziendali coinvolti nel problema, ma anche le strutture pubbliche preposte, come i ministeri, le aziende sanitarie, il Garante della Privacy e così via.

Per maggiori informazioni sulla cybersecurity, leggi anche: Sicurezza online: 10 consigli per proteggersi da hacker e “furti”