Il 2020 è stato un anno da dimenticare sotto tanti punti di vista, anche per quanto riguarda la sicurezza dei dati. Proprio così: l’anno appena trascorso, in futuro, potrebbe essere ricordato anche per i data breach (violazione dei dati), il cui ripetersi continuo ha messo in ginocchio le strategie di data protection di tantissime aziende.

Durante il 2020 il numero complessivo dei data breach è infatti incrementato in modo iperbolico, per arrivare a circa 20 miliardi di record sottratti, con un aumento del 66% rispetto al 2019, e con un balzo in avanti pauroso rispetto al 2018, quando i record rubati attraverso i data breach erano stati solamente 2,3 miliardi.

Nei primi 4 mesi dello scorso anno il governo olandese ha subito un data breach che si è tradotto nella perdita di dati confidenziali di migliaia di cittadini, laddove il governo britannico ha perso i dati di circa 28 milioni di minorenni.  E questo per l’appunto solo nel primo quadrimestre del 2020, anno horribilis, quindi, anche per quanto riguarda la sicurezza dei dati.

Cosa significa Data Breach?

Cos’è un data breach? Rivediamo velocemente quella che è la definizione di data breach, che in italiano, come anticipato, possiamo tradurre semplicemente con “violazione dei dati”.

Un data breach indica per l’appunto una violazione della sicurezza, che comporta a sua volta il furto, la distruzione o la divulgazione di dati personali più o meno sensibili, compromettendone l’integrità, la riservatezza nonché in taluni casi la disponibilità. Cosa è possibile fare contro i data breach?

Data Breach: le debolezze

Stando a Gartner, nel 2020 sono stati investiti più di 120 miliardi di dollari in II Security. Eppure non mancano gli esempi di data breach, come abbiamo visto, i quali anzi possono essere quasi considerati come una normalità.

Come può accadere tutto questo? Semplice: le sole tecnologie non sono sufficienti a garantire la sicurezza totale dei dati, è necessario anche un maggiore impegno da parte degli utenti. Nella maggior parte dei casi il data breach è infatti il risultato di una compromissione di password e nome utente.

Le indagini effettuate negli ultimi tempi ci dicono per esempio che spesso gli utenti usano le email aziendali per registrarsi a portali terzi e che mediamente ogni impiegato possiede circa 200 diversi account sparsi per la rete. Nel momento in cui uno di questi account viene compromesso, le credenziali così raccolte possono essere impiegate per accedere ad altri account e VPN, anche mediante tecniche come il password spraying o il credential stuffing.

Aumentare consapevolezza e controlli

Ecco cosa bisogna fare contro i data breach: il primo passo per mettere le aziende al riparo dal rischio di sottrazione indebita dei dati è aumentare la cultura dei dipendenti, il secondo step è implementare una serie di controlli automatici resi possibili dalle ultime tecnologie del comparto.

Tutti gli utenti devono sapere che nessun account può essere mai considerato al 100% sicuro, che la sicurezza dei dati aziendali dipende anche e soprattutto dai comportamenti di tutti i dipendenti, e che spesso gli hacker non hanno bisogno di complicatissimi algoritmi per effettuare un data breach: potrebbe bastare la disattenzione di un singolo utente per mettere a repentaglio la rete.

A fianco degli investimenti in tecnologie di data protection e di software per la gestione della privacy è quindi necessario prevedere degli investimenti ulteriori anche nell’opportuna formazione delle risorse umane.

Data breach: GDPR e Accountability

Per garantire la tutela dei diritti e delle libertà fondamentali, nonché della dignità delle persone è necessaria una protezione dei dati di alto livello, la cui responsabilità, in base a quanto previsto dagli obblighi normativi, ricade sulle aziende.

Inoltre, come sappiamo, il Regolamento EU 2016/679 sulla protezione dei dati (GDPR) ha introdotto anche il concetto di Accountability: chi tratta dati personali deve farsi carico di tutti gli obblighi contenuti nel GDPR, ponendo l’accento sulla sostanza dell’adempimento.

Le organizzazioni, in quanto titolari del trattamento dei dati, devono pertanto essere pienamente consapevoli delle attività svolte, dei processi e degli obiettivi, nonché di tutti i soggetti esterni coinvolti in questo processo. Ne deriva la necessità di analizzare i flussi di dati, identificando di volta in volta la modalità di trattamento e la finalità, partendo dalla definizione delle figure addette alla protezione dei dati aziendali.

Si capisce quindi che l’adeguamento prima e il mantenimento poi di un efficace sistema di gestione della protezione dei dati è un’operazione che coinvolge tutti i processi aziendali, lungi dal tradursi in un insieme di singole attività autonome e tra loro indipendenti.