23/06/2021
Riconoscere un data breach: dalla teoria alla pratica
Come tutelare i nostri dati nell’epoca dell’Industria 4.0, attraverso la formazione 4.0
L’Industria 4.0, fortemente incentivata dal Legislatore, porta con sé inevitabilmente la digitalizzazione dei dati in maniera massiva.
Se da un lato questo processo agevola una modalità di lavoro completamente svincolata dai concetti spazio/tempo, dall’altro comporta una serie di punti di attenzione; uno dei più sensibili è sicuramente la perdita del dato stesso, sia perché non correttamente salvato dall’operatore, ma anche e soprattutto perché soggetto ad attacchi cyber.
Diventa pertanto fondamentale conoscere e gestire tutti i processi attraverso un approccio cyber-sicuro.
Il concetto di cybersicurezza, già adottato ed enfatizzato dal Regolamento Europeo 2016/679, diventa ora vero e proprio argomento normativo.
Il Consiglio dei ministri, su proposta del Presidente Mario Draghi, ha infatti approvato un Decreto Legge che introduce l'Agenzia per la cybersicurezza nazionale, dando il via ad una vera svolta epocale in termini di privacy.
Il provvedimento completa la strategia di cyber resilienza nazionale, necessaria in un contesto di forte evoluzione tecnologica legata alla Industria 4.0 e alla conseguente digitalizzazione di massa del dato.
Il decreto istituisce inoltre un comitato interministeriale per la cybersicurezza “con funzioni di consulenza, proposta e deliberazione in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico”.
Ma come possiamo diventare sensibili alla cybersicurezza? Sicuramente attraverso la conoscenza del concetto e l’applicazione dello stesso nei casi reali, sia di gestione del dato che di prevenzione e gestione del data breach.
Non a caso infatti il progetto Industria 4.0 viaggia di pari passo con la formazione 4.0, che forma i lavoratori (e anche gli imprenditori!) e li aiuta in quel processo evolutivo che porta ad un nuovo e diverso approccio alle attività lavorative, un approccio per l’appunto 4.0.
Quando parliamo di cybersicurezza e data breach siamo spesso propensi a pensare che non siano problematiche connesse al nostro quotidiano, legandole a realtà ben più grandi e organizzate; tuttavia la realtà ci pone davanti ad uno scenario completamente diverso, come esemplificato anche dall’ European Data Protection Board (EBDP).
Il Comitato Europeo per la Protezione dei Dati (EDPB), il 14 gennaio 2021, ha infatti emesso un documento contenente le Linee guida 01/2021 dal titolo “Examples regarding Data Breach Notification”, consultabili fino al 2 marzo, per aiutare i responsabili del trattamento dei dati a decidere come gestire le violazioni, spiegando quali fattori sono da tenere in considerazione durante la valutazione del rischio e presentando un inventario dei casi di notifica di data breach ritenuti più comuni (come ransomware, sottrazioni di dati e dispositivi e documenti cartacei smarriti o rubati).
Il documento contiene inoltre 18 casi concreti che passano in rassegna le casistiche più frequenti in cui ogni organizzazione possa imbattersi, definendo per ognuna il livello di rischio, classificandola per violazione e indicando gli obblighi di documentazione, notifica e/o comunicazione come da art. 33 del GDPR.
I primi quattro esempi riguardano il cyber crime e nello specifico il ransomware.
Il ransomware è un software dannoso progettato per negare l’accesso ai dati della vittima attraverso la crittografia. La chiave di decriptazione è consegnata dall’attaccante malevole previo pagamento di un riscatto solitamente in criptovaluta.
L’esempio concreto
Ransomware senza back up
Vittima: un’azienda agricola
Una società esterna effettua un’indagine sui log tracing in uscita dall’azienda (inclusa le e-mail) e conferma la non esfiltrazione dei dati.
L’assenza di criptografia non garantisce comunque la certezza che non vi sia violazione della riservatezza, poiché i malware più sofisticati modificano i file di registro e rimuovono eventuali tracce d’esfiltrazione.
I dati personali interessati dalla violazione riguardano dipendenti e clienti, poche decine di individui in tutto. Nessuna categoria di dati particolari è stata coinvolta. Non vi era alcun backup elettronico e il ripristino è avvenuto manualmente da documentazione cartacea in 5 giorni lavorativi, comportando lievi ritardi nella consegna degli ordini. Il principale gap rispetto al caso 1 è l’assenza di un back up elettronico e la mancata protezione dei propri dati con crittografia.
Se da un lato questo processo agevola una modalità di lavoro completamente svincolata dai concetti spazio/tempo, dall’altro comporta una serie di punti di attenzione; uno dei più sensibili è sicuramente la perdita del dato stesso, sia perché non correttamente salvato dall’operatore, ma anche e soprattutto perché soggetto ad attacchi cyber.
Diventa pertanto fondamentale conoscere e gestire tutti i processi attraverso un approccio cyber-sicuro.
Il concetto di cybersicurezza, già adottato ed enfatizzato dal Regolamento Europeo 2016/679, diventa ora vero e proprio argomento normativo.
Il Consiglio dei ministri, su proposta del Presidente Mario Draghi, ha infatti approvato un Decreto Legge che introduce l'Agenzia per la cybersicurezza nazionale, dando il via ad una vera svolta epocale in termini di privacy.
Il provvedimento completa la strategia di cyber resilienza nazionale, necessaria in un contesto di forte evoluzione tecnologica legata alla Industria 4.0 e alla conseguente digitalizzazione di massa del dato.
Il decreto istituisce inoltre un comitato interministeriale per la cybersicurezza “con funzioni di consulenza, proposta e deliberazione in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico”.
Ma come possiamo diventare sensibili alla cybersicurezza? Sicuramente attraverso la conoscenza del concetto e l’applicazione dello stesso nei casi reali, sia di gestione del dato che di prevenzione e gestione del data breach.
Non a caso infatti il progetto Industria 4.0 viaggia di pari passo con la formazione 4.0, che forma i lavoratori (e anche gli imprenditori!) e li aiuta in quel processo evolutivo che porta ad un nuovo e diverso approccio alle attività lavorative, un approccio per l’appunto 4.0.
Quando parliamo di cybersicurezza e data breach siamo spesso propensi a pensare che non siano problematiche connesse al nostro quotidiano, legandole a realtà ben più grandi e organizzate; tuttavia la realtà ci pone davanti ad uno scenario completamente diverso, come esemplificato anche dall’ European Data Protection Board (EBDP).
Il Comitato Europeo per la Protezione dei Dati (EDPB), il 14 gennaio 2021, ha infatti emesso un documento contenente le Linee guida 01/2021 dal titolo “Examples regarding Data Breach Notification”, consultabili fino al 2 marzo, per aiutare i responsabili del trattamento dei dati a decidere come gestire le violazioni, spiegando quali fattori sono da tenere in considerazione durante la valutazione del rischio e presentando un inventario dei casi di notifica di data breach ritenuti più comuni (come ransomware, sottrazioni di dati e dispositivi e documenti cartacei smarriti o rubati).
Il documento contiene inoltre 18 casi concreti che passano in rassegna le casistiche più frequenti in cui ogni organizzazione possa imbattersi, definendo per ognuna il livello di rischio, classificandola per violazione e indicando gli obblighi di documentazione, notifica e/o comunicazione come da art. 33 del GDPR.
I primi quattro esempi riguardano il cyber crime e nello specifico il ransomware.
Il ransomware è un software dannoso progettato per negare l’accesso ai dati della vittima attraverso la crittografia. La chiave di decriptazione è consegnata dall’attaccante malevole previo pagamento di un riscatto solitamente in criptovaluta.
L’esempio concreto
Ransomware senza back up
Vittima: un’azienda agricola
Una società esterna effettua un’indagine sui log tracing in uscita dall’azienda (inclusa le e-mail) e conferma la non esfiltrazione dei dati.
L’assenza di criptografia non garantisce comunque la certezza che non vi sia violazione della riservatezza, poiché i malware più sofisticati modificano i file di registro e rimuovono eventuali tracce d’esfiltrazione.
I dati personali interessati dalla violazione riguardano dipendenti e clienti, poche decine di individui in tutto. Nessuna categoria di dati particolari è stata coinvolta. Non vi era alcun backup elettronico e il ripristino è avvenuto manualmente da documentazione cartacea in 5 giorni lavorativi, comportando lievi ritardi nella consegna degli ordini. Il principale gap rispetto al caso 1 è l’assenza di un back up elettronico e la mancata protezione dei propri dati con crittografia.