Data breach: anche gli studi professionali devono gestirne il rischio
Il data breach è una problematica che al giorno d’oggi, complice il progresso tecnologico in nuovi settori, si è sviluppata in molti ambiti. Questo fattore ci fa rendere conto quanto anche gli studi professionali non siano esenti dal rischio di hackeraggio. Per saperlo combattere è necessario:
- individuare e circoscrivere cosa si intende con questo termine;
- analizzare dei meccanismi di prevenzione e soluzione;
- dare all’utente una maggior consapevolezza di ciò a cui va incontro.
Scopriamolo insieme!
Indice
Che cos’è un data breach
Il data breach è una violazione di sicurezza che causa, in modo illecito o accidentale, la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o trattati.
In questa definizione entrano quindi in gioco tre differenti aree lese:
- riservatezza: diffusione o accesso non autorizzato/accidentale;
- integrità: modifica non autorizzata/accidentale;
- disponibilità: impossibilità di accesso o distruzione non autorizzata/accidentale.
In base al GDPR, General Data Protection Regulation, tale violazioni devono essere notificate entro le 72 ore successive alla scoperta. L’eventuale ritardo dovrà essere motivato. Deve inoltre contenere:
- accurata descrizione della violazione dei dati personali compresi. E quindi categorie, interessati in questione, numero di registrazioni dei dati personali in questione;
- comunica di nome e dati di contatto del responsabile della protezione dei dati;
- descrizione delle conseguenze derivate dalle violazioni;
- proposta di adozione di determinate misure per porne rimedio.
Il protocollo di risposta un modo coerente, sistematico e proattivo per gestire tali problematiche coinvolgenti dati personali. Per la soluzione si può richiedere assistenza a fornitori di servizi quali call center e sistemi di monitoraggio.
Possibili data breach negli studi professionali
I casi più comuni di data breach per quanto riguarda gli studi professionali sono:
- perdita o furto di dispositivi informatici contenenti dati personali;
- diffusione o distruzione accidentale di dati causata da errori nell’uso dei sistemi di gestione. E quindi configurazione sbagliata, cancellazione accidentale, mancati aggiornamenti;
- acquisizione o accesso di dati da parte di terzi non autorizzati, tra cui principalmente hacker.
Ad oggi, per risolvere tale problematica, è stato creato un sistema di autovalutazione.
Se il professionista, ove aver scoperto la problematica, ritiene che l’incidente rechi un alto rischio per la sicurezza dei dati deve:
- comunicarlo ai singoli utenti colpiti, a meno che gli stessi non abbiano già provveduto a cifrare i dati;
- valutare il livello di danni fisici, materiali o immateriali;
- comprendere natura, sensibilità e volume dei dati coinvolti;
- valutare se i terzi in possesso dei dati stessi possano combinarli con altri ed abusarne;
- possibilmente identificare e comprendere l’intenzione delle persone coinvolte.
Dopo che il professionista ha valutato e preso decisioni a seguito della violazione può procedere con la notifica al Garante nelle 72 ore successive.
Prevenzione e gestione degli episodi
Per prevenire, gestire e risolvere episodi di data breach è necessario:
- effettuare test periodici per controllare la validità del protocollo;
- ottenere una copertura assicurativa;
- tenere un registro di casi;
- indagare ed individuare natura e portata della violazione;
- sviluppare e mantenere i sistemi;
- accertare che la sicurezza sia costruita all’interno delle operazioni di sistema;
- impedire perdita, modifica utilizzo erroneo di dati dell’utente;
- proteggere riservatezza, autenticità ed integrità dei dati;
- mettere in sicurezza attività di progetto e supporto alle attività;
- rispettare i canoni di adeguatezza;
- evitare il mancato rispetto delle e i requisiti di sicurezza;
- rendere l’utente consapevole delle possibili difese;
- applicare il principio del minimo privilegio per quanto riguarda l’accesso ai dati;
- adottare politiche di patching dei sistemi;
- crittografare i dati sensibili;
- utilizzare l’autenticazione a due fattori;
- porre grande attenzione alla sicurezza fisica.
Nello specifico, per un’efficace prevenzione è necessario utilizzare un modello di sicurezza informatica che individui:
- sicurezza attiva;
- sicurezza passiva;
- safety;
- reliability.
Gli effetti dei possibili guasti dei server possono inoltre raggiungere livelli pari a:
- nessun effetto;
- rischio trascurabile;
- significativo;
- elevato;
- catastrofico.
L’ importanza della consapevolezza nell’utente finale
L’ utente finale deve essere consapevole delle varie tipologie di minacce ad oggi presenti. Tra i principali dobbiamo ad esempio citare di certo il molto diffuso crimeware. Questi descrive le infezioni da malware ed attacchi relativi. Nello specifico il ransomware è un tipo di malware molto rischioso che:
- limita l’accesso del dispositivo;
- lo infetta;
- richiede un riscatto da pagare per rimuovere la limitazione;
- a volte blocca del tutto il sistema.
Un altro eventuale caso di data breach può essere provocato dall’insider misuse, un abuso dei privilegi da parte di chi dell’organizzazione, ha ottenuto fiducia. Il responsabile ha accesso a dati sensibili e li utilizza a suo vantaggio tramite abusi.
O ancora la problematica derivante dal Web app attacks, ovvero la raccolta di credenziali rubate dai dispositivi dei clienti e, attraverso queste, l’accesso alle applicazioni web.
Come abbiamo visto insieme, la gran parte delle vittime di data breach sono studi professionali ed aziende pubbliche. Il 75% delle modalità d’attacco sono inoltre legate alla email.
Diventa quindi necessario educare l’utente a un’attenzione particolare alle misure di prevenzione degli attacchi;
- custodire la proprietà intellettuale su cui si fonda un business.
- loggare tutte le richieste di navigazione;
- investire in soluzioni che aiutino a gestire ed analizzare questo tipo di dati alla ricerca di possibili segni di compromissione.
Scopri i nostri Master e corsi di alta formazione