Le vie del data breach sono infinite. Possiamo davvero ancora pensare che siano sufficienti un antivirus e una security policy?
Un dedalo di possibilità, un’infinità di rischi
Il dipendente licenziato, arrabbiato con il suo ormai ex datore di lavoro, scaricò su una pen drive USB l’elenco di tutti i clienti che, nel corso degli anni, si erano lamentati dei prodotti dell’azienda. Lo offrì quindi alla concorrenza. Sperava di essere assunto ma, in ogni caso, voleva danneggiare il suo precedente datore di lavoro.
Il socio con cui avevano condiviso anni di attività decise di mettersi in proprio. Dopo aver aperto la sua azienda, contattò tutti i clienti della società da cui si era staccato. Offrì loro i suoi prodotti a prezzi decisamente più convenienti.
Durante la pausa pranzo, il consulente che si recava in visita verso i potenziali clienti, si fermò in un noto ristorante di campagna. Utilizzò la wi-fi del locale per inviare le copie dei contratti che aveva fatto firmare ma, a causa della scarsa protezione della rete, non si accorse di una mail ingannevole. Questa scaricò un ransomware che fece lo stesso percorso dei contratti e si accomodò nel server aziendale, criptandolo. La successiva richiesta di riscatto in Bitcoin non giunse solo ai vertici aziendali ma anche ad alcuni clienti. Clienti che, non ricevendo i prodotti e servizi del fornitore, avevano telefonato per chiedere spiegazioni. Ingenuamente una segretaria aveva comunicato come si trattasse “solo di un blocco del sistema a causa di un attacco informatico.”
Ancora pensiamo che la sicurezza si riduca ad un anitivirus?
Potrei continuare con gli esempi ma credo che questi siano sufficienti per far capire due punti:
- le possibili ed impensabili sfaccettature sotto cui si può presentare un data breach;
- come ormai non si possa pensare di ridurre la protezione dati solo ad un antivirus o ad un’informativa (security policy) magari scaricata online o collocata su una piattaforma di un’azienda fornitrice.
Evidente come sia ai confini dell’impossibile prevedere ogni possibile minaccia che corrono i dati di cui ogni azienda deve essere gelosa custode per evitarne la perdita e le conseguenze.
In tutti gli esempi sopra citati il Titolare del Trattamento, oltre a dover fronteggiare nei primi due casi le conseguenze del danno di immagine e dell’illecita concorrenza e nel terzo quello di decidere se cedere al riscatto o recuperare diversamente i dati, devono affrontare l’Autorità Garante cui il data breach deve essere riportato entro settantadue ore dal suo rilevamento. Andare a dichiarare l’accaduto è un dovere, sottrarsi al quale vuol dire già essere oggetto di una sanzione magari pesante e, inoltre, si sostanzia in una confessione di non essere stati in grado di prevenire l’accaduto.
Inutile sostenere la buona fede o il fatto inevitabile o, ancora, scaricare le colpe su dipendenti sleali, incapaci o altro. Le responsabilità ricadono in capo al Titolare che sarà chiamato a pagarne le conseguenze.
Quali possono essere queste conseguenze?
Le sanzioni emesse dal Garante possono andare da una censura fino a poche migliaia di euro, ma quelle economiche potrebbero rivelarsi le meno dolorose.
Il procedimento e le necessarie attività di assessment e adeguamento si risolvono in costi non solo economici ma anche in ore di attività sottratte alla produzione; il Garante potrebbe imporre misure correttive che possono richiedere ulteriori costi se non addirittura lo stravolgimento di procedure operative e di fasi di lavorazione. Inoltre, non si dimentichi, è necessario informare gli interessati di quanto accaduto e in tal senso non è sufficiente un comunicato sulle pagine web aziendali. Ogni cliente deve ricevere una comunicazione dei rischi che corre a causa del data breach. Anche l’immagine di un’azienda potrebbe essere pregiudicata.
Per approfondire > Data breach: la guida pratica dell’EDPB per le notifiche e gestione del rischio (soprattutto quello umano)
Quando si parla di sicurezza dei dati è necessario in ogni azienda un cambio di prospettiva rispetto al passato. A partire dalla consapevolezza ormai necessaria e che i dati sono un patrimonio aziendale fondamentale e non adeguarsi al GDPR può avere conseguenze addirittura disastrose.
