Perché un data breach è un evento molto grave e come ci si protegge.
Non usare la stessa password per più siti, perché se venisse scoperta su un sito, potrebbe essere utilizzata anche sugli altri. I tuoi dati personali (compresi username e password) potrebbero essere trafugati attraverso un Data Breach.
Alla base di un furto di dati (Data breach) c'è spesso una vulnerabilità del sistema informatico: privilegi di accesso eccessivi, errori di programmazione, software non aggiornato, ... che permettono ai criminali hacker di accedere al sistema e trafugare dati riservati.
Si dice Data Breach la diffusione - intenzionale o non intenzionale - di informazioni protette o private/confidenziali.
Una fuga di dati (Data leak) non richiede un attacco informatico. Generalmente deriva da pratiche di sicurezza dei dati scadenti o da azioni o inerzie accidentali da parte di un individuo (custodia insufficiente dei dati, perdita di dispositivi personali contenenti dati riservati, errori umani nel trattamento dei dati, scarsa preparazione degli incaricati al trattamento, ...).
Una fuga di dati (data leak) si verifica quando i dati sensibili vengono accidentalmente esposti fisicamente, su Internet o in qualsiasi altra forma, inclusi dischi rigidi o laptop persi. Ciò significa che un criminale informatico può ottenere l'accesso non autorizzato ai dati sensibili senza sforzo.
Mettiti alla prova con il gioco del "Data Breach or Data Leak"
Le sanzioni per l'azienda possono essere molto pesanti, possono arrivare fino a 10 milioni di Euro o, nel caso di multinazionali, fino al 2% del fatturato totale annuo mondiale.
In questi casi la prima cosa da fare è sicuramente agire immediatamente rafforzando le difese per mettere al riparo i dati da ulteriori rischi di sicurezza ed evitare ulteriori danni.
In seconda battuta va valutato rapidamente se esiste la probabilità che “la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. In questo caso è necessario procedere con la notifica al Garante, secondo quanto previsto dall’articolo 33 del Regolamento Ue sulla protezione dei dati n. 2016/679, RGPD. Per fare la notifica ci si collega al sito del garante e si compila il modulo on line.
C’è poi un altro articolo dell’RGPD (art. 34) che obbliga ad informare la persona danneggiata dalla violazione, se tale informazione non è di dominio pubblico. Ad esempio se ad una banca rubano le password con cui i clienti si collegano al conto on line, i clienti ovviamente rischiano che qualcuno si appropri del contenuto del conto corrente, è logico quindi che i clienti della Banca debbano essere avvisati subito (in questo caso ad esempio, per un cambio urgentemente di credenziali e riferimenti relativi al c/c).
Immediato pensare alla perdita di credibilità e al danno di immagine.
Considerare gli aspetti di sicurezza e privacy già in fase di progettazione di un nuovo servizio o prodotto.
Applicare le misure minime di sicurezza ICT emanate dall'AgID e previste nel GDPR.
Definire le procedure da seguire nel trattamento dei dati personali e sensibili per evitare perdite di dati accidentali causati da un errore umano.
Lo stesso livello di sicurezza deve essere richiesto alle società fornitrici di servizi.
Prevedere ruoli e procedure da attivare in caso di Data Breach per avere tempi di reazione rapidi ed efficaci.
Formare le persone sul tema del Data Breach e del Data Leak per sensibilizzare l'attenzione sui corretti comportamenti, riducendo le possibilità di fuga di dati a causa di un errore umano.
L’uso della stessa o di poche password ovunque mette in pericolo tutti i tuoi account utente quando la tua password viene compromessa in un Data Breach. I cyber criminali sanno bene che la maggior parte delle persone riutilizza le proprie password. Quando riescono a rubarne una, la proveranno su molti account utente. Quando utilizzi password univoche, non possono accedere agli altri tuoi account.
L’autenticazione a due fattori è una seconda barriera oltre alla password che protegge il tuo account utente. Rende molto più difficile per i criminali utilizzare le credenziali utente rubate. Se il sito consente l'autenticazione a due fattori, scegli questa opzione.
Utilizzare tante password complesse rende difficile la memorizzazione. Considera l'utilizzo di un password manager per un semplice accesso e una più facile memorizzazione.
