Turchia: prima di lasciare il posto di lavoro dal centro di ricerca clinica un dipendente asporta informazioni sensibili di 10.000 pazienti
Le aziende investono sempre più risorse in cybersicurezza per proteggere i loro dati, ma non sempre chi li viola è un hacker, e non sempre chi se ne appropria è un malintenzionato che attacca dall’esterno. Anzi, più del 50% delle organizzazioni intervistate nell’ambito di uno studio di Cyber Security Researcher hanno confermato che gli attacchi che hanno subìto a danno dei propri sistemi informatici sono avvenuti dall’interno. Ne è un esempio il caso di un dipendente del reparto IT di un centro di ricerca clinica per la diagnosi di malattie genetiche rare, che prima di lasciare il suo posto di lavoro ha copiato tutte le informazioni sensibili di 10.000 pazienti sia adulti che bambini.
(Nella foto: Nicola Bernardi, presidente di Federprivacy)
A dare notizia del data breach è stata l’autorità di controllo turca (KVKK) che, secondo quanto previsto dalla Legge nazionale sulla protezione dei dati personali n. 6698/2016, nei giorni scorsi ha pubblicato un comunicato stampa per rendere nota la violazione, commessa da un dipendente che aveva approfittato dei privilegi del proprio account di cui ancora godeva nonostante si apprestasse a terminare il rapporto di lavoro con la società Intergen, facendo man bassa di tutti i dati delle migliaia di interessati coinvolti e riguardanti le loro informazioni sanitarie e i dati genetici, ma anche comunicazioni con gli utenti, registrazioni audiovisive, transazioni finanziarie relative alla prestazioni mediche, nonché informazioni legali e relative alla gestione del rischio.
Mentre l’autorità per la protezione dei dati turca prosegue nelle indagini del caso, nel frattempo da fonti qualificate si apprende che sono stati avviati procedimenti giudiziari e amministrativi nei confronti della persona che ha compiuto il grave furto di dati a danno del centro di ricerca clinica, che da parte sua ha provato a minimizzare l’accaduto, affermando che tutto sommato il numero degli interessati coinvolti è limitato in confronto ad altre situazioni in cui le violazioni riguardano milioni di utenti, e che purtroppo qualunque dipendente infedele "può copiare tali dati su un CD o su una memoria flash", come una comune chiavetta USB.
I cosiddetti casi di ”insider threats” (minacce interne) come quello verificatosi di recente in Turchia costituiscono un fenomeno in costante crescita, e infatti lo stesso studio menzionato all’inizio evidenzia che il 27% delle organizzazioni conferma di aver registrato un aumento di frequenza dei casi negli ultimi anni per vari motivi, tra cui il desidero di vendetta per fatti accaduti durante il rapporto lavorativo, o lo spionaggio industriale in favore di competitor disposti a pagare bene pur di entrare in possesso di informazioni particolarmente riservate.
Anche se non è possibile eliminare del tutto i rischi di furti di dati personali da parte di dipendenti infedeli, occorre comunque prestare molta attenzione nella gestione di casi di minacce interne, perché sia il Gdpr che molte normative di molti paesi extra UE che stanno ricalcando il Regolamento europeo prescrivono che i data breach vengano notificati generalmente entro 72 ore all’autorità di controllo competente (e nei casi più gravi devono essere informati anche gli interessati), e in caso di ispezioni o di richieste di informazioni da parte del Garante, il titolare del trattamento ha l’onere di dover dimostrare di avere diligentemente messo in atto misure tecniche e organizzative adeguate per garantire che il trattamento dei dati sia stato effettuato in conformità alla normativa in materia. Motivo per cui è fondamentale mettere a punto precise procedure interne, formando e istruendo dovutamente gli addetti e richiedendo loro di sottoscrivere un impegno a mantenere la riservatezza e la confidenzialità sui dati che sono autorizzati a trattare per conto dell’azienda.