LA VIOLAZIONE DEI DATI O DATA BREACH

I tuoi dati sono in pericolo?
La protezione dei dati, ed arginare un’eventuale violazione di essi, dovrebbe essere un argomento di primaria importanza per qualsiasi azienda di qualsivoglia dimensione. Che tu sia un piccolo imprenditore o una società affiliata ad un più ampio gruppo multinazionale dovrai comunque assicurarti che i dati sensibili che custodisci siano protetti secondo i più alti standard qualitativi.
In questo articolo cercheremo di dare una definizione precisa della violazione dei dati personali. Nel fare ciò sarà possibile capire meglio cosa può comportare una breccia nel sistema di protezione delle informazioni, in termini di effetti e conseguenze.
Cos’è una violazione dei dati?
Per violazione dei dati si vuole intendere una situazione in cui i dettagli personali di un individuo vengono divulgati senza permesso, sia che si tratti di un hacker infiltrato nel sistema che di un individuo che agisce inconsapevolmente all’interno della propria compagnia.
Gli hacker possono attaccare un PC domestico o infiltrarsi direttamente nel mainframe di una grande azienda. Gli hacker utilizzano svariate tattiche di moltissimi tipi differenti tra loro per entrare in un sistema. Dall’invio di email che a prima vista parrebbero in ordine ma che in realtà celano virus e malware, all’attacco diretto del pacchetto dati, di più facile penetrazione.
L’hackeraggio di per sé non è tuttavia una violazione dei dati. Quindi cosa si intende per breccia nella protezione dei dati? Il rivelare al pubblico informazioni personali di un individuo consiste in una violazione, perciò esiste anche la possibilità che avvenga accidentalmente a causa di azioni involontariamente compiute per errore da parte di una persona o di un impiegato.
Ok ma nella pratica come possiamo riconoscerli? Ecco alcuni esempi.
Nel 2016, secondo ciò che viene riportato da Symantec, i dati più comunemente divulgati in modo volontario o non intenzionale sono appunto quelli personali. Nomi di persone, numeri di carte di credito ed altri identificativi sono stati così esposti. Dettagli sulle finanze personali sono parimente ben classificati nella graduatoria dei dati rubati o fuoriusciti, dando così un’idea delle informazioni più ricercate da hacker e cybercriminali.
Esempi più specifici e recenti inerenti l fuga di dati includono l’hackeraggio del sistema sanitario nazionale (NHS) del Regno Unito che ha portato all’esposizione pubblica delle cartelle cliniche di oltre 150.000 pazienti nel 2018. Nel 2020, Twitter ha dovuto informare via posta elettronica molti dei suoi clienti business che i loro dati personali erano stati compromessi. Nel 2017 Equifax si è dovuta scusare con i propri consumatori per averli erroneamente indirizzati su di un sito internet sbagliato attraverso il suo account ufficiale Twitter. La pagina web in questione era stata abilmente costruita da un utente fraudolento per ingannare gli altri e condividere con lui i loro dati sensibili.
Una notizia incoraggiante ci arriva però dai ricercatori del “Identity Theft Resource Center” (Centro di Ricerca sui Furti d’Identità): il numero di violazioni dei dati è calato drasticamente nel 2020, diminuendo di circa un terzo rispetto alle medie degli anni precedenti. Si pensa che la causa di tutto ciò sia l’innalzamento del livello di attenzione delle compagnie, a sua volta dovuto ai crescenti tentativi di frode telematica a tema Coronavirus. Così benché i truffatori non abbiamo diminuito i loro sforzi nel tentativo di infiltrare i vari sistemi, la nuova attitudine maggiormente vigile dei privati e delle aziende ha aiutato questi ultimi a proteggere meglio i loro dati.
Quali sono gli effetti e conseguenze di una violazione dei dati?
In molti paesi una violazione dei dati è un’evenienza che può ramificarsi in maniera estesa in termini di costi diretti ed indiretti. Quindi qual è precisamente il costo medio di una infrazione del genere? Secondo il Ponemon Institute i costi medi per un’azienda che si trovi a fronteggiare una fuga di dati sarebbero intorno ai $ 3.86 milioni. Ad ogni modo si tratta solo della parte finanziaria perché il danno a nome ed immagine della società risulta di gran lunga maggiore. Le perdite nel giro di affari di una compagnia legate ad una violazione dei dati sono una minaccia reale , è per questo che la protezione di essi ricopre un ruolo chiave all’interno dell’azienda. Le società vittima di un attacco informatico perdono la fiducia in loro riposta dai clienti, che preferiranno stringere accordi con altre ai loro occhi più sicure e con una migliore reputazione.
Le implicazioni legali sono altresì ampie. Le società hanno per legge l’obbligo di possedere un apparato di sicurezza che li protegga da tentativi di infrazione. Con il sempre maggior numero di dati conservati via cloud e all’interno del loro stesso mainframe, le aziende vanno in contro ad un rischio crescente di vulnerabilità ad un attacco informatico. Prima di custodire informazioni personali in maniera elettronica esse dovranno quindi essere in grado di tenerli al sicuro.
Come prevenire eventuali situazioni di violazione dei dati? Esistono delle linee guida da seguire?
Quindi, tenendo bene in mente tutto quello che è stato detto in precedenza, cosa possono fare i singoli per fare in modo che nessuno si appropri mai delle loro generalità? Cosa le aziende per fermare sul nascere un furto di fascicoli e documenti? Capire la definizione di violazione dei dati è il requisito fondamentale per imparare a prevenirla, ma restano ancora molti passi da percorrere prima di essere sicuri dell’ottenimento della maggiore protezione possibile. Recenti esempi e statistiche mostrano come non si debba mai abbassare la guardia. Le aziende devono continuamente cercare nuove maniere di rendere più efficiente la loro sicurezza online. Ecco ora alcune norme a cui si dovrebbero attenere persone e società per un corretto approccio alla cyber security, in modo tale da essere sicuri di avere le giuste “armi” a difesa delle loro informazioni più preziose.
- Utilizzo di password “forti”:
L’uso di password complesse è uno dei metodi più efficaci contro gli attacchi informatici agli account ed alle aree utente. Può essere di grande aiuto l’utilizzo di un sistema di password management così da avere a disposizione le password più potenti senza doverle ricordare. Una password debole è il miglior lasciapassare per gli hacker che traggono vantaggio dalla prevedibilità di parole o frasi di facile intuizione. Usare una password composta da lettere, numeri, e punteggiatura rende la stessa meno soggetta a decriptazione.
- Utilizzo di software di sicurezza:
Parte integrante di ogni struttura di protezione online è l’utilizzo di un potente software di sicurezza che aiuti a semplificare il duro lavoro dietro alla schermatura dei dati. Assicuratevi di installare un programma che sia tanto capiente quanto facile da usare. Qualora non fosse facile da usare si correrebbe il rischio di non utilizzo o utilizzo scorretto. In entrambi i casi il software risulterebbe inutile quindi fate in modo che sia lineare e semplice da seguire.
- Monitoraggio e notificazione di un intrusione:
Il possesso di procedure che assicurino la protezione dei dati è importante nonché obbligatorio per le attività come stabilito dall’UE nel Regolamento Generale sulla Protezione dei Dati (RGPD, in inglese General Data Protection Regulation). Inoltre il saper identificare una notifica di intrusione nel sistema e conoscere come gestirla è essenziale. Un corretto protocollo per l’evenienza andrebbe insegnato a tutti gli impiegati di una società.
- Cultura aziendale:
Uno dei benefici maggiori alla cybersecurity di una società e avere una cultura aziendale che promuova la resilienza online. Educate correttamente i vostri impiegati e voi stessi in materia di violazione dati. Facendo ciò darete alle persone la conoscenza che serve loro per motivarli a seguire le vostre direttive in materia di sicurezza dati. La cultura aziendale deve promuovere l’ammissione di colpa in caso di una violazione causata dalle proprie azioni, eventuali insabbiamenti peggiorerebbero solamente la situazione nonché la portata del danno.
- Imparare dagli errori commessi in precedenza:
Seppure mai desiderati gli incidenti e le brecce nel sistema di protezione dei dati possono sempre capitare, anche involontariamente. Bisogna sempre fare tesoro delle esperienze passate ed imparare dagli errori sottolineati dalla violazione. Provare a domandarsi dove una persona, o un’azienda, avrebbe potuto fare meglio; oppure cosa mettere a posto affinché tutto non si ripeta. Una procedura di pulizia completa finalizzata al miglioramento della sicurezza online è ciò che ci vuole dopo un’eventuale breccia.
In conclusione, che benefici possiamo trarre dalla prevenzione alla violazione dei dati?
Il solo ammontare dei costi relativi ad un violazione di dati di media entità dovrebbe dare abbastanza motivi agli imprenditori per implementare la ristrettezza del protocollo riguardo le misure di sicurezza online. In assenza di tutto questo, il danno economico e ed alla reputazione inflitto può essere rilevante e causare pericolo a coloro i cui dati vengono rubati o divulgati. Sebbene richieda un dispendio di tempo notevole, la costruzione di un efficiente sistema di cybersecurity porta benefici proporzionati agli sforzi compiuti.