Prima denuncia di attacchi informatici entro 24 ore e, a seguire, notifica completa entro 72 ore: sono questi alcuni degli obblighi specifici, in caso di data breach, previsti dallo schema di decreto legislativo di recepimento della direttiva UE 2022/2555 (nota con l’acronimo NIS 2) licenziato, in via preliminare, del consiglio dei ministri del 10/6/2024.
Per leggere l'articolo integrale devi effettuare il login!
Con il recente provvedimento n. 255 del giorno 8 giugno 2023, l'Autorità Garante per la protezione dei dati personali si è espressa su un caso di data breach riguardante dati sanitari di circa 1000 pazienti trattati da una ASL. Un gruppo di hacker aveva utilizzato un sofisticato ransomware progettato per crittografare i dati della ASL e richiedere un riscatto in bitcoin per gli strumenti di decrittazione.
Per leggere l'articolo integrale devi effettuare il login!
Privacy e cibersicurezza a braccetto. Ma si applica il ne bis in idem delle sanzioni in caso di data breach. Le imprese e le pubbliche amministrazioni, tenute agli adempimenti di cibersicurezza, devono anche osservare gli obblighi del Gdpr, tra cui la notifica del data breach al Garante della privacy.
Per leggere l'articolo integrale devi effettuare il login!
In tutto il mondo, compresa l'Italia, i paesi si stanno dotando di un'app di tracciamento del contagio del coronavirus e si è aperto un dibattito sulla privacy e la sicurezza. E proprio in questi giorni, una delle applicazioni proposte al governo olandese, Covid19 Alert!, ha subito un 'data breach', cioè una esposizione di dati. Mentre il Liechtenstein sperimenta anche un braccialetto elettronico.
L’Università di Maastricht ha rivelato di aver pagato il riscatto di 30 bitcoin (pari a oltre 200mila euro) richiesto dagli hacker che hanno crittografato alcuni dei suoi sistemi critici a seguito di un attacco informatico che ha avuto luogo il 23 dicembre 2019.
Cosa accade agli esiti degli esami medici ai quali tutti noi ci sottoponiamo più o meno regolarmente? La prassi prevede la conservazione dei documenti in un ambiente sicuro, accessibile solo al diretto interessato e al personale autorizzato per finalità inerenti la cura delle patologie, anche in considerazione della natura sensibile dei dati. In verità le modalità attuate da ospedali e cliniche risultano essere spesso poco in linea con quanto vorrebbero le buone pratiche legate alla sicurezza e alla privacy dei pazienti.
A seguito di una denuncia da parte della ong noyb, il cui è fondatore è l’attivista Max Schrems, l’Autorità Garante per la protezione dei dati di Malta (Information & Data Protection Commissioner) ha inflitto una sanzione di 65.000 euro alla C-Planet, una società del settore informatico che aveva raccolto illegalmente i dati personali del 98% degli elettori maltesi, comprese le loro preferenze politiche, senza adottare adeguate misure di protezione dei dati. Successivamente la C-Planet non aveva neanche comunicato una violazione dei dati né agli utenti né all’autorità di controllo.
Oltre 5,8 milioni di radiografie, salvate con una serie di dati personali molto sensibili, come nome e cognome del paziente e motivo dell’esame, su server non protetti. E accessibili via internet anche a curiosi non autorizzati. È questa la scoperta fatta in Italia da Greenbone Networks, società tedesca di sicurezza informatica, che tra luglio e settembre ha analizzato le misure di protezione di 2.300 database medici, scoprendo che quasi uno su quattro, 590 per la precisione, è accessibile online. Offrendo a occhi indiscreti, o peggio, a malintenzionati, 24 milioni di dati relativi a pazienti da 52 Paesi nel mondo.
È LinkedIn l’ultimo bersaglio colpito dai pirati informatici, che sono riusciti ad appropriarsi di un enorme archivio di dati personali di circa 500 milioni di utenti del social network professionale per eccellenza, i quali sono stati loro malgrado trattati come merce svenduta a prezzi di saldo su un popolare forum di hacking.
Il numero esponenziale di attacchi hacker e degli incidenti informatici degli ultimi tempi ha letteralmente creato un perenne stato di allarmismo nelle aziende che sono alle prese con la prevenzione e la gestione dei data breach. Per dare supporto a DPO e addetti ai lavori che devono affrontare tali delicate situazioni preparandosi in anticipo senza lasciare spazio ad alcuna improvvisazione, nell’ambito delle proprie attività formative Federprivacy ha organizzato il Corso 'Il Data Breach: pianificazione e gestione prima, durante e dopo l’evento’.
