L'autorità di controllo per la protezione dei dati danese ha recentemente rilevato che due comuni, quello di Gladsaxe e quello di Hørsholm non garantiscono un livello adeguato di sicurezza dei dati come richiesto dal Gdpr, a seguito della notifica di due rispettivi data breach rischiamo adesso di essere sanzionati.
Unicredit è stata colpita il 21 ottobre 2018 da un tentativo di Data Breach per forzare il sistema di online banking, notificato al Garante Privacy il giorno successivo, che ha interessato i dati personali di ben 731.519 REB (codice identificativo per l’accesso ai servizi di banca multicanale) dei suoi correntisti. Un tentativo di intrusione che secondo la banca è stato sventato e che, sempre secondo quanto comunicato da Unicredit ai clienti interessati, avrebbe potuto carpire nome, cognome, codice fiscale, NDG (codice identificativo cliente) e appunto REB.
I dati di 16.000 persone legate al Parlamento europeo sono stati esposti online. A dare notizia del data breach è stata la società di sicurezza informatica Shadowmap. I file scoperti dagli esperti di cybersecurity contengono dati come password, descrizioni di posti di lavoro e altre informazioni personali contenute in un portale internet all'interno del dominio del Parlamento Ue.
Quando si verifica un data breach (purtroppo sempre più spesso) lo stress degli addetti ai lavori può toccare livelli da burnout, a partire dal Chief Information Security Officer (CISO) che è il primo su cui tutti i colleghi vanno di solito a puntare il dito. Tanto è vero che se questa figura che si occupa di sicurezza informatica è sempre più ricercata nel mercato del lavoro, d’altra parte la sua durata media di permanenza in un’azienda è di soli 18 mesi.
Pianificare una procedura di data breach e poi essere in grado di gestire correttamente una violazione di sicurezza che può compromettere dati personali e la salute dei sistemi informativi è fondamentale per non incorrere in quel “panico di organizzazione” che altrimenti rischia di ottenere effetti paralizzanti e finanche aggravare l’evento occorso. Con conseguenze e impatti negativi tanto per l’organizzazione quanto per gli interessati coinvolti.
Negli ultimi mesi abbiamo assistito sulle pagine di cronaca a un susseguirsi di notizie su furti di dati, attacchi hacker e divulgazioni di database pieni di password. Di conseguenza è aumentata come mai prima la percezione e di conseguenza il timore che i propri dati personali possano essere persi, modificati o divulgati senza autorizzazione. In altre parole, che accada quello che il GDPR 16/679 definisce data breach o più semplicemente in italiano una violazione dei dati personali.
Il recente "Cost of a Data Breach Report 2020" di Ponemon, lo studio che coinvolge oltre 500 organizzazioni che hanno subito violazioni di dati, ha restituito alcuni dati interessanti sul fenomeno e come si è sviluppato quest’anno. Partiamo dai numeri da prima pagina: rispetto allo scorso anno il costo medio per Data Breach non ha subito grosse variazioni, passando da 3,92 milioni di dollari a 3,86.
Con tre sanzioni di 10mila euro ciascuna, irrogate rispettivamente alla Regione Molise, alla Società Molise dati, e a Engineering ingegneria informatica S.p.A., il Garante privacy ha definito i procedimenti aperti dopo l’intrusione nel Portale regionale FSE verificatasi tra novembre e dicembre 2022.
Per prima cosa è fondamentale dare un’occhiata a quanto avvenuto l’anno scorso. Oltre alle difficoltà già presenti, il 2020 è stato un anno orribile dal lato “data protection” alla luce del numero record di furti di credenziali e sottrazioni di informazioni personali. Il numero complessivo fa tremare i polsi: 20 miliardi di record sottratti nel solo 2020, con un incremento del 66% rispetto al 2019. Incredibilmente, si tratta di un aumento di 9 volte rispetto al valore “basso” del 2018, in cui erano stati sottratti (solo) 2,3 miliardi di record.
Nel 2017 sono state riscosse sanzioni amministrative per circa 3 milioni 800 mila euro, pari ad un complessivo 15% in più rispetto al 2016, mentre le comunicazioni di notizie di reato all'autorità giudiziaria sono state 41, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati e trattamento illecito. Sono alcuni dei risultati dell’attività del Garante per la protezione dei dati personali diffusi alla Camera in occasione della presentazione della Relazione annuale sull'attività svolta lo scorso anno.
