Data Breach: non solo sanzioni
E’ possibile approntare adeguate difese tecniche, antivirus, cambio password, backup e quanto di meglio possa offrire il mercato, ma le tipologie di attacco usate dai pirati informatici possono manifestarsi con una fantasia degna di sceneggiatori holliwoodiani.
Riusciamo ad immaginare, ad esempio, le conseguenze di una mail inviata a tutti i vostri clienti con la quale, in prossimità di un pagamento, ricevono da un indirizzo email assolutamente riferibile alla vostra azienda un diverso Iban? Ipotesi meno improbabile di quanto si possa pensare e che sfrutta l’anello più debole della sicurezza aziendale: il fattore umano. Impiegati magari in smartworking attenti anche al figlio impegnato in didattica a distanza, una rete casalinga più debole, quindi meno protetta, di quella aziendale o l’uso del computer di lavoro per acquisti online o per navigare sui social ed ecco che il pagamento dovuto, magari anche di importo rilevante, finisce sul conto corrente alle Bahamas di questa moderna Banda Bassotti armata di tastiera.
Ecco perché una rigorosa applicazione degli strumenti messi a disposizione dal GDPR non è soltanto un obbligo di legge a cui adeguarsi, ma anche un preciso dovere di ogni imprenditore e professionista a fronte dei rischi in cui può incorrere e quelli che, oltretutto, fa a sua volta correre a clienti, fornitori, dipendenti e collaboratori.
Si tratta di attacchi sotto forma di social engineering, tipicamente tentativi sofisticati di impersonificazione, che possono derivare non solo da un precedente furto di dati, ma anche fattispecie in cui gli aggressori inducono il destinatario a rispondere e intrattenere corrispondenza in prossimità dell’esecuzione di una transazione. Spesso, addirittura, questo tipo di attacco non prevede l’invio di link o allegati dannosi, ma email “pulite”, del tutto legittime e normali in una prassi aziendale, contenenti solo del testo. Si stima infatti che il 98% degli attacchi informatici lanciati tramite email non contengano malware. I dati forse non sono attendibili, ma è verosimile che gli attaccanti usino forme più insidiose di altre che, ormai, è noto possano creare situazioni di pericolo.
All’interno di una multinazionale del settore tecnologico, per esempio, è stato individuato un attacco a numerosi dipendenti, durante il quale il cybercriminale aveva accuratamente impersonificato il loro dirigente diretto superiore in azienda, con il quale era maggiormente probabile che le vittime comunicassero. L’oggetto di ogni email includeva il nome del dipendente interessato e proveniva da un indirizzo Gmail apparentemente non correlato, ma con un nome di dominio molto somigliante a quello dell’executive. Non solo è stato identificato il tentativo di sostituzione di persona, ma anche che l’aggressore stava usando una parodia del legittimo indirizzo personale esterno del capo.
Ecco un’altra ragione che impone di prevedere rigorose discipline di controllo nell’applicazione del GDPR, ma anche procedure a cui attenersi in caso di data breach o di possibili attacchi dei quali, diversamente, se ne avrebbe conoscenza solo quando è troppo tardi. E il Garante potrebbe anche emettere un’ulteriore sanzione da aggiungere ai danni economici, probabilmente di immagine e con i propri clienti.