I dati di 16.000 persone legate al Parlamento europeo sono stati esposti online. A dare notizia del data breach è stata la società di sicurezza informatica Shadowmap. I file scoperti dagli esperti di cybersecurity contengono dati come password, descrizioni di posti di lavoro e altre informazioni personali contenute in un portale internet all'interno del dominio del Parlamento Ue.
Quando si verifica un data breach (purtroppo sempre più spesso) lo stress degli addetti ai lavori può toccare livelli da burnout, a partire dal Chief Information Security Officer (CISO) che è il primo su cui tutti i colleghi vanno di solito a puntare il dito. Tanto è vero che se questa figura che si occupa di sicurezza informatica è sempre più ricercata nel mercato del lavoro, d’altra parte la sua durata media di permanenza in un’azienda è di soli 18 mesi.
Pianificare una procedura di data breach e poi essere in grado di gestire correttamente una violazione di sicurezza che può compromettere dati personali e la salute dei sistemi informativi è fondamentale per non incorrere in quel “panico di organizzazione” che altrimenti rischia di ottenere effetti paralizzanti e finanche aggravare l’evento occorso. Con conseguenze e impatti negativi tanto per l’organizzazione quanto per gli interessati coinvolti.
Negli ultimi mesi abbiamo assistito sulle pagine di cronaca a un susseguirsi di notizie su furti di dati, attacchi hacker e divulgazioni di database pieni di password. Di conseguenza è aumentata come mai prima la percezione e di conseguenza il timore che i propri dati personali possano essere persi, modificati o divulgati senza autorizzazione. In altre parole, che accada quello che il GDPR 16/679 definisce data breach o più semplicemente in italiano una violazione dei dati personali.
Il recente "Cost of a Data Breach Report 2020" di Ponemon, lo studio che coinvolge oltre 500 organizzazioni che hanno subito violazioni di dati, ha restituito alcuni dati interessanti sul fenomeno e come si è sviluppato quest’anno. Partiamo dai numeri da prima pagina: rispetto allo scorso anno il costo medio per Data Breach non ha subito grosse variazioni, passando da 3,92 milioni di dollari a 3,86.
Per prima cosa è fondamentale dare un’occhiata a quanto avvenuto l’anno scorso. Oltre alle difficoltà già presenti, il 2020 è stato un anno orribile dal lato “data protection” alla luce del numero record di furti di credenziali e sottrazioni di informazioni personali. Il numero complessivo fa tremare i polsi: 20 miliardi di record sottratti nel solo 2020, con un incremento del 66% rispetto al 2019. Incredibilmente, si tratta di un aumento di 9 volte rispetto al valore “basso” del 2018, in cui erano stati sottratti (solo) 2,3 miliardi di record.
Nel 2017 sono state riscosse sanzioni amministrative per circa 3 milioni 800 mila euro, pari ad un complessivo 15% in più rispetto al 2016, mentre le comunicazioni di notizie di reato all'autorità giudiziaria sono state 41, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati e trattamento illecito. Sono alcuni dei risultati dell’attività del Garante per la protezione dei dati personali diffusi alla Camera in occasione della presentazione della Relazione annuale sull'attività svolta lo scorso anno.
Nell’ultimo anno le notifiche di violazioni dei dati personali richieste dal Gdpr sono aumentate del 66% nei principali paesi dello Spazio Economico Europeo. Ad evidenziarlo, è un’analisi di Linklaters.
Il crescente numero di attacchi hacker ed incidenti informatici degli ultimi tempi richiede alle aziende di farsi trovare pronte e organizzate a gestire i data breach in modo efficace. Organizzato per il 29 maggio 2024 il Corso 'Il Data Breach: pianificazione e gestione prima, durante e dopo l’evento’ patrocinato da Federprivacy con la docenza di Monica Perego.
Dal 25 maggio 2018, in virtù del disposto degli articoli 33 e 34 del Regolamento UE 2016/679, imprese, enti pubblici e professionisti devono notificare al Garante le violazioni della sicurezza - informatica e non - da cui possano derivare danni per le persone fisiche cui si riferiscono i dati. La Circolare 2/2018 di Federprivacy propone soluzioni ad alcuni casi pratici.
