Da diversi anni a questa parte, è entrata nella nostra quotidianità la terminologia del GDPR, ossia il Regolamento per il Trattamento dei Dati Personali. Tra le parole che sono ormai di uso comune e che questo testo ha messo in primo piano c’è la parola data breach.
Nelle prossime righe, oltre a vedere in generale che cosa significa, cercheremo di capire assieme quali sono le principali tipologie.
Cos’è un data breach?
Prima di entrare nel vivo delle tipologie di data breach esistenti, vediamo bene di cosa si parla quando si chiama in causa questa espressione. Lo facciamo prendendo direttamente “in prestito” la definizione del Regolamento Europeo. Ecco tutti i dettagli:
“Una violazione di sicurezza – accidentale o illecita – che causa la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati personali conservati o trattati”
Queste parole, prese dagli articoli 33 e 34 del GDPR, ci permettono di aprire una parentesi doverosa. Quale di preciso? Quella relativa al fatto che non sempre il data breach è frutto di un attacco hacker. Anche se l’immaginario collettivo non considera questa situazione, in molti casi alla base della violazione c’è un “semplice” errore umano.
Per capire meglio la situazione facciamo presente che si parla a tutti gli effetti di data breach quando una chiavetta USB con dati aziendali viene lasciata da un dipendente in un luogo non sicuro. Detto questo, possiamo entrare nel vivo delle tipologie di data breach.
Quanti tipi di data breach esistono?
Quando si verificano, i data breach possono essere inclusi in diverse categorie. La discriminante è legata al livello di rischio a cui sono esposti i dati oggetto di violazione. Ecco tutti i dettagli in merito:
- Confidentiality breach: in questo caso, si ha a che fare con una divulgazione accidentale dei dati o con un accesso abusivo ad essi.
- Availibility breach: in questo frangente, si chiama in causa una situazione in cui si ha a che fare con un perdita o una distruzione accidentale dei dati violati. Sotto al cappello in questione, è possibile includere anche le situazioni in cui la distruzione viene concretizzata senza avere alcuna autorizzazione.
- Integrity breach: quest’ultima tipologia di data breach riguarda i casi in cui si ha a che fare con la modifica dei dati portata avanti senza autorizzazione o in maniera accidentale.
Gli esperti che si occupano di analizzare i data breach, prendono innanzitutto in considerazione un rischio specifico, ossia quello di diffusione dei dati oggetto di valutazione.
In questi casi, viene fuori davvero l’esperienza del consulente a cui ci si è rivolti. Chi conosce bene la Data Protection, una materia in continua evoluzione che ha letteralmente sconvolto il mondo professionale di avvocati e informatici, sa bene che, in sede di analisi del data breach, è cruciale essere in grado di definire il valore e la criticità dei vari dati raccolti dall’azienda e violati.
Essenziale è anche essere in grado di individuare i livelli di vulnerabilità a cui i dati violati sono esposti. Si potrebbe andare avanti ancora tanto a parlare degli aspetti essenziali da cogliere per gestire al meglio un data breach, a prescindere dalla sua tipologia. In questo novero troviamo anche l’impatto sulla base delle misure di sicurezza adottate.
Con queste informazioni in mano, si può avviare un’adeguata procedura di risposta. Questo significa, innanzitutto, procedere all’informazione degli interessati senza giustificato ritardo. In sede di comunicazione, vanno considerate sia le modalità di comunicazione – che devono essere possibilmente dirette – ma anche i contenuti della stessa, che devono essere importanti all’evidenza e alla trasparenza, senza mai dimenticare le differenze linguistiche.