Security policy e rischi reali per i dati
Oggi tratteremo in questo articolo un argomento legato ai tanti aspetti della security policy e i rischi reali per i dati.
Il dipendente licenziato, arrabbiato con il suo ormai ex datore di lavoro, scaricò su una pen drive USB l’elenco di tutti i clienti che, nel corso degli anni si erano lamentati dei prodotti dell’azienda e lo offrì alla concorrenza. Sperava di essere assunto ma, in ogni caso, voleva danneggiare il suo precedente datore di lavoro.
Il socio con cui avevano condiviso anni di attività decise di mettersi in proprio e, dopo aver aperto la sua azienda, contattò tutti i clienti della società da cui si era staccato per offrire i suoi prodotti a prezzi decisamente più convenienti.
Durante la pausa pranzo, il consulente che si recava in visita verso i potenziali clienti, si fermò in un noto ristorante di campagna. Una volta qui, utilizzò la connessione del locale per inviare le copie dei contratti che aveva fatto firmare ma, a causa della scarsa protezione della rete, non si accorse di una mail ingannevole. Scaricò un ransomware che fece lo stesso percorso dei contratti e si accomodò nel server aziendale criptandolo. La successiva richiesta di riscatto in bitcoin che giunse ai vertici aziendali giunse anche alle orecchie di alcuni clienti. Questi, non ricevendo i prodotti e servizi del fornitore, avevano telefonato per chiedere spiegazioni date da una segretaria. Questa aveva ingenuamente comunicato come si trattasse “solo di un blocco del sistema a causa di un attacco informatico.”
I rischi del data breach
Potrei continuare con gli esempi ma credo che questi siano sufficienti per far capire non solo le possibili ed impensabili sfaccettature sotto cui si può presentare un data breach, ma anche come ormai non si possa pensare di ridurre la protezione dati solo ad un antivirus o ad un’informativa magari scaricata online o collocata su una piattaforma di un’azienda fornitrice. Evidente come sia ai confini dell’impossibile prevedere ogni possibile minaccia che corrono i dati di cui ogni azienda deve essere gelosa custode per evitarne la perdita e le conseguenze.
In tutti gli esempi sopra citati il Titolare del Trattamento, oltre a dover fronteggiare nei primi due casi le conseguenze del danno di immagine e dell’illecita concorrenza e nel terzo quello di decidere se cedere al riscatto o recuperare diversamente i dati, devono affrontare l’Autorità Garante cui il data breach deve essere riportato entro settantadue ore dal suo rilevamento. Andare a dichiarare l’accaduto è un dovere, sottrarsi al quale vuol dire già essere oggetto di una sanzione magari pesante e, inoltre, si sostanzia in una confessione di non essere stati in grado di prevenire l’accaduto.
Inutile sostenere la buona fede o il fatto inevitabile o, ancora, scaricare le colpe su dipendenti sleali, incapaci o altro. Le responsabilità ricadono in capo al Titolare che sarà chiamato a pagarne le conseguenze.
Conseguenze
Quali possono essere queste conseguenze?
Le sanzioni emesse dal Garante possono andare da una censura fino a poche migliaia di euro, ma quelle economiche potrebbero rivelarsi le meno dolorose.
Il procedimento e le necessarie attività di valutazione e adeguamento si risolvono in costi non solo economici ma anche in ore di attività sottratte alla produzione. Il Garante potrebbe imporre misure correttive che possono richiedere ulteriori costi se non addirittura lo stravolgimento di procedure operative e di fasi di lavorazione. Inoltre, non si dimentichi, è necessario informare gli interessati di quanto accaduto e in tal senso non è sufficiente un comunicato sulle pagine web aziendali. Ogni cliente deve ricevere una comunicazione dei rischi che corre a causa del data breach. Anche l’immagine di un’azienda potrebbe essere pregiudicata.
Quando si parla di sicurezza dei dati è necessario in ogni azienda un cambio di prospettiva rispetto al passato. A partire dalla consapevolezza ormai necessaria e che i dati sono un patrimonio aziendale fondamentale e non adeguarsi al GDPR può avere conseguenze addirittura disastrose.