Violazione dei dati personali – Data Breach – cos’è e gli adempimenti

Una violazione dei dati è una violazione della sicurezza, in cui dati sensibili, protetti o riservati vengono copiati, trasmessi, visualizzati, rubati o utilizzati da un individuo non autorizzato a farlo. Altri termini sono divulgazione non intenzionale di informazioni, fuga di dati, fuga di informazioni e fuoriuscita di dati.

Gli incidenti vanno da attacchi concertati da parte di individui che hackerano per guadagno personale o dolo, criminalità organizzata, attivisti politici o governi nazionali, alla sicurezza del sistema mal configurata o allo smaltimento incauto di apparecchiature informatiche usate o supporto di memorizzazione dati. Le informazioni trapelate possono variare da questioni che compromettono la sicurezza nazionale, a informazioni su azioni che un governo o un funzionario considera imbarazzanti e vuole nascondere. Una violazione intenzionale dei dati da parte di una persona a conoscenza delle informazioni, in genere per scopi politici, è più spesso descritta come una “fuga di notizie”.

Le violazioni dei dati possono riguardare informazioni finanziarie come i dettagli della carta di credito e di debito, i dettagli bancari, le informazioni sulla salute personale, le informazioni di identificazione personale, i segreti commerciali di società o la proprietà intellettuale. Le violazioni dei dati possono comportare dati non strutturati sovraesposti e vulnerabili: file, documenti e informazioni sensibili.

Le violazioni dei dati possono essere piuttosto costose per le organizzazioni con costi diretti (rimedio, indagini, ecc.) e costi indiretti (danni alla reputazione, sicurezza informatica per le vittime di dati compromessi, ecc.).

Molti Stati hanno approvato leggi sulla notifica di violazione dei dati, che richiedono a un’azienda che è stata oggetto di una violazione dei dati di informare i clienti e adottare altre misure per rimediare a possibili danni.

Data Breach. Definizione

Una violazione dei dati può includere incidenti come il furto o la perdita di supporti digitali come dischi rigidi o computer portatili con informazioni non crittografate, la pubblicazione di tali informazioni sul Web senza adeguate precauzioni per la sicurezza delle informazioni, il trasferimento di tali informazioni a un sistema che non è completamente aperto ma non è adeguatamente o formalmente accreditato per la sicurezza, come la posta elettronica non crittografata, o il trasferimento di tali informazioni ai sistemi informativi di un’agenzia possibilmente ostile, come una società concorrente o una nazione straniera, dove potrebbe essere esposta a tecniche di decrittazione più intensive.

La norma ISO/IEC 27040 definisce una violazione dei dati come: compromissione della sicurezza che porta alla distruzione, alla perdita, all’alterazione, alla divulgazione non autorizzata o all’accesso accidentale o illegale ai dati protetti trasmessi, archiviati o altrimenti elaborati.

La fiducia in caso di Data Breach

La nozione di ambiente affidabile è alquanto fluida. La partenza di un membro del personale di fiducia con accesso a informazioni sensibili può diventare una violazione dei dati se il membro del personale conserva l’accesso ai dati dopo la cessazione del rapporto di fiducia. Nei sistemi distribuiti, ciò può verificarsi anche con un’interruzione in una rete. La qualità dei dati è un modo per ridurre il rischio di violazione dei dati, in parte perché consente al proprietario dei dati di classificare i dati in base all’importanza e fornire una migliore protezione ai dati più importanti.

La maggior parte di tali incidenti pubblicizzati dai media riguarda informazioni private su individui, ad esempio numeri di previdenza sociale. La perdita di informazioni aziendali come segreti commerciali, informazioni aziendali sensibili e dettagli di contratti o informazioni governative non è spesso segnalata, poiché non vi è alcun motivo valido per farlo in assenza di potenziali danni ai cittadini privati ​​e la pubblicità su tale evento può essere più dannoso della perdita dei dati stessi.

Data Breach. Minacce interne e esterne

Coloro che lavorano all’interno di un’organizzazione sono una causa significativa di violazioni dei dati. Le stime delle violazioni causate da errori accidentali del “fattore umano” sono circa il 20% dal rapporto sulle indagini sulla violazione dei dati 2021 di Verizon. La categoria delle minacce esterne include hacker, organizzazioni di criminali informatici e attori sponsorizzati dallo stato. Le associazioni professionali per i gestori di risorse IT lavorano in modo aggressivo con i professionisti IT per istruirli sulle migliori pratiche di riduzione del rischio per le minacce interne ed esterne alle risorse IT, al software e alle informazioni. Sebbene la prevenzione della sicurezza possa deviare un’alta percentuale di tentativi, alla fine un aggressore motivato troverà probabilmente un modo per entrare in una determinata rete. Una delle prime 10 citazioni John Chambers, ex Ceo di Cisco afferma: “Esistono due tipi di società: quelle che sono state violate e quelle che non sanno di essere state violate“. L’agente speciale dell’FBI per le operazioni speciali informatiche Leo Taddeo ha avvertito alla televisione di Bloomberg: “L’idea che tu possa proteggere il tuo perimetro sta cadendo nel dimenticatoio e il rilevamento ora è fondamentale“.

Violazione dei dati medici

Alcune celebrità si sono ritrovate vittime di violazioni dell’accesso alle cartelle cliniche, anche sia su base individuale, che parte di una violazione molto più ampia. Data la serie di violazioni dei dati medici e la mancanza di fiducia dell’opinione pubblica, alcuni paesi hanno emanato leggi che richiedono l’adozione di misure di salvaguardia per proteggere la sicurezza e la riservatezza delle informazioni mediche in quanto condivise elettronicamente e per conferire ai pazienti alcuni importanti diritti per monitorare le proprie cartelle cliniche e ricevere notifiche per la perdita e l’acquisizione non autorizzata di informazioni sanitarie. Gli Stati Uniti e l’UE hanno imposto notifiche obbligatorie di violazione dei dati medici. Le violazioni denunciate di informazioni mediche sono sempre più comuni negli Stati Uniti.

Nel settore sanitario, a più di 25 milioni di persone è stata rubata l’assistenza sanitaria, con il furto di identità di oltre 6 milioni di persone e il costo vivo delle vittime è vicino a 56 miliardi di euro. Le cause che portano a ciascuna violazione, ad esempio attacco interno, frode con carta di pagamento, dispositivo portatile smarrito o rubato, malware e invio di un’e-mail alla persona sbagliata (DISC). Ciò dimostra che molti degli errori comuni che portano a una violazione dei dati sono gli esseri umani che commettono errori consentendo agli hacker di sfruttarli ed eseguire un attacco.

Data Breach più famosi

  • Boeing, dicembre, dati rubati a 382.000 dipendenti, è il 2006
  • La perdita dei dati dello stato dell’Ohio e del Connecticut nel 2007 da parte di Accenture
  • Horizon Blue Cross e Blue Shield del New Jersey, gennaio, persi i dati di 300.000 membri
  • Nell’aprile 2011, Sony ha subito una violazione dei dati all’interno del proprio PlayStation Network. Si stima che le informazioni di 77 milioni di utenti siano state compromesse.
  • Nell’agosto 2014, quasi 200 fotografie di celebrità sono state rubate dagli account iCloud di Apple e pubblicate sul sito Web della scheda immagini 4chan.
  • Scandalo sui dati di Facebook e Cambridge Analytica a marzo. 2018
  • Quora ha segnalato una violazione dei dati che ha colpito i dati dei suoi 100 milioni di utenti. 2018
  • 2019 a maggio sono stati esposti i dati personali di circa 139 milioni di utenti del servizio di progettazione grafica Canva , inclusi nomi reali degli utenti, nomi utente, indirizzi e informazioni geografiche e hash delle password
  • Violazione dei dati di Microsoft Exchange Server 2021