Un’efficace strategia di gestione degli incidenti relativi alla sicurezza delle informazioni, e dei data breach in particolare, si gioca sull’equilibrio tra la riduzione dell'impatto degli incidenti e la loro elaborazione nel modo più efficiente possibile; un valido approccio si basa sullo sviluppo di un piano.
La EasyJet è stata oggetto di un sofisticato attacco hacker che ha violato i dati personali di circa 9 milioni di clienti. A renderlo noto, è stata la stessa compagnia aerea britannica low cost in un comunicato stampa. Trai dati a cui hanno avuto accesso i criminali informatici, vi sono gli indirizzi e-mail, i dettagli dei viaggi, ed i dati della carta di credito di 2.208 passeggeri.
Il tema del data breach ha assunto un’importanza crescente negli ultimi anni ed è ampiamente dibattuto. In questo articolo si esplora la problematica della differenza del concetto di data breach, come inteso dal Regolamento UE 2016/679 (GDPR), dalla ISO 27701:2019 e dalla ISO 27001:2013. Sono visioni non coincidenti, anche se in gran parte sovrapponibili, e da esse emergono spunti che ci permettono di migliorare la procedura di gestione di tali eventi.
L'adozione di un sistema di “alert” che avvisi l’utente che si sta inviando una mail a persone esterne all’organizzazione, in modo da intercettare eventuali usi impropri del campo “c.c.” è una funzione che potrebbe prevenire ed evitare molti dei data breach causati dall’errore umano in cui informazioni delicate vengono comunicate a una moltitudine di soggetti non autorizzate a conoscerle.
Il mese scorso era stata sanzionata dall’autorità francese per la privacy (CNIL) con una bacchettata da 400.000 euro, ma i guai sui dati personali sembrano non finire per la RAPT. Infatti, la società francese che gestisce gran parte dei trasporti a Parigi e un gran numero di linee nei quartieri e comuni periferici con autobus, metro, e tram, nei giorni scorsi è finita di nuovo sotto la lente per un data breach che ha visto mettere a repentaglio i dati di 57mila dipendenti.
A quattro anni dall’entrata in vigore del GDPR, può risultare interessante effettuare una analisi degli interventi delle Autorità Garanti per trarne delle indicazioni, delle lesson learned utili per i diversi attori per operare in maniera consapevole il trattamento dei dati personali. In questa sede si pone l’attenzione sul contesto della Pubblica Amministrazione, che svolge un ruolo primario nell’ecosistema privacy, sia per il rispetto dei diritti dei cittadini, sia per il ruolo propulsivo che può avere nei confronti della sfera privatistica delle nostre società.
I sistemi informatici del San Raffaele di Milano sono stati depredati a seguito di un “databreach” verificatosi nel marzo scorso. La notizia dell’intrusione fraudolenta arriva dal gruppo italiano LulzSec, noto alle cronache per scorribande di vario genere e in tempi recenti protagonista di una plateale campagna di smascheramento di pedofili che scambiavano materiale di pornografia infantile tramite canali Telegram.
I tredici archivi di dati personali apparsi sulla piattaforma di condivisione telematica Pastebin e attribuiti al circuito di carte di credito non si sa da dove saltino fuori. La loro genericità (non ci sono dati specifici che ne autentichino la provenienza) può lasciar presupporre che il presunto “data breach” non sia mai avvenuto, ma le dinamiche di diffida alla permanenza online dei file in questione e la soddisfazione nella pronta rimozione garantiscono una boccata d’aria agli immancabili complottisti.
Avevano detto che non era successo nulla. Qualche giornalista rasserenante aveva addirittura titolato “Attacco ransomware blocca Luxottica, ma la reazione è da manuale: ecco perché”. Impietosamente avevo preferito il mio “Luxottica pensi alla sicurezza dei suoi sistemi informatici invece che agli smart glasses”.
La ISO/IEC ha pubblicato una serie di documenti della serie ISO/IEC 27035 all’interno della famiglia ISO/IEC 27000; essi trattano della gestione degli eventi, degli incidenti e delle vulnerabilità della sicurezza delle informazioni, ampliando ed integrando i controlli relativi alla gestione degli incidenti contenuti nella ISO /IEC 27001.2022.
