- Home
- Cybersecurity
- Come rispondere a un data breach?
Come rispondere a un data breach?
| Alessandro Sinibaldi | cybersecurity
#CybersecurityCafé
di Alessandro Sinibaldi, CERT-PA
Nello scorso numero, abbiamo visto cosa è un data breach, perché si verifica e quali contromisure possano essere messe in atto per evitarlo. Questa volta, invece, ci dedicheremo in particolare alla fase di risposta.
Nel momento in cui si verifica un incidente, o data breach, è importante muoversi in maniera coordinata e precisa, sulla base di responsabilità chiare e preventivamente definite, in modo da evitare di agire in modo potenzialmente nocivo in preda al panico. Un Data Breach Response Plan è un insieme di procedure e risorse che vengono messe in atto in occasione di un incidente allo scopo di:
- Rispondere all’emergenza e evitare ulteriori danni. In questa fase occorrerà raccogliere le informazioni sull’incidente, documentare tutto insieme a data e ora di accadimento, agire per priorità sulla base dell’analisi del rischio, comunicare con tutti gli Stakeholder diffondendo le informazioni necessarie, mettere in sicurezza le aree coinvolte e allertare se necessario le autorità
- Investigare le cause, preservando le evidenze in caso di un’ulteriore prosecuzione giudiziaria.
- Ripristinare i sistemi compromessi. Una volta creato il piano, esso andrà periodicamente verificato tramite opportuno audit.
Una Data Breach Policy è un documento in cui l’ente, sulla base della propria mission e dei dati trattati, rende nota la procedura da seguire per assicurare un approccio efficace e coerente alla gestione di data breach e incidenti di sicurezza. L’obiettivo della policy deve essere minimizzare il rischio associato con il breach e delineare le azioni da compiere per ridurre le perdite e ripristinare velocemente la normale operatività. Essa deve dichiarare prima di tutto a chi è applicabile (ad esempio, se l’ente è un’università, allo staff, agli studenti, ai consulenti e ai fornitori).
Tra gli argomenti che devono sicuramente comparire ci sono: i ruoli e le responsabilità, eventualmente con le indicazioni dell’orario di lavoro delle varie figure coinvolte e delle modalità di contatto (telefono, e-mail ecc.); le informazioni da raccogliere per dettagliare il breach (data e ora, nome di chi compila il rapporto, natura dell’informazione coinvolta e la sua sensibilità, descrizione dell’evento, impatto su cose e persone, estensione). Le procedure disciplinari o impatto giudiziario, quando applicabile, nel caso di cattivo comportamento accertato; le modalità di contenimento e ripristino; le contromisure in essere; le modalità di comunicazione verso l’interno dell’ente, le autorità, la stampa e eventuali terzi coinvolti) e infine le modalità di revisione della policy (ogni quanto tempo deve essere effettuata e con quale iter) e il template del report da compilare nel caso di data breach.
Nel caso in cui ci si dovesse accorgere di essere stati vittima di un data breach la prima cosa da fare è quella di non farsi prendere dal panico e agire in modo scomposto ma, anzi, applicare subito le procedure previste dalla policy. Relativamente al punto 6 del paragrafo precedente e cioè all’aspetto della comunicazione, il GDPR prevede espressamente l’obbligo di notifica da parte del titolare qualora si sia in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. In particolare, l’art. 33 impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza, e cioè nel momento in cui ha ragionevole certezza dell’avvenuto data breach. L’eventuale dolo da parte del titolare verrà valutato a posteriori qualora emerga dall’indagine la carenza di contromisure appropriate. L’obbligo di notifica tempestiva impegna anche il responsabile nei confronti del titolare, il quale verrà considerato a conoscenza nel momento in cui sarà avvenuta tale comunicazione. La notifica deve almeno (art. 33 GDPR):
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
L’Autorità di controllo a cui fare la notifica (via PEC all’indirizzo:
Oltre alla comunicazione della violazione all’autorità di controllo, il titolare dovrà anche provvedere a dare comunicazione senza ingiustificato ritardo al diretto interessato qualora il data breach sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Nel caso di furto di dati personali e/o sensibili gli autori del fatto, se si esclude un utilizzo diretto, possono decidere o di metterli in vendita sul mercato nero (verosimilmente il cosiddetto dark web) o di pubblicarli in chiaro, a fine dimostrativi, su siti spesso usati a questo fine come ghostbin.co o pastebin.com magari annunciandone la presenza su social network come Twitter.
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
-
il filo - 12/2019Editoriale
-
Agli eventi climatici estremi rispondiamo con dati e previsionicaffè scientifico
-
Il nuovo data centre europeo ECMWF a Bolognacaffè scientifico
-
Inside the forecastcaffè scientifico
-
CETEMPS: ecco come rispondiamo alle false informazioni sul climacaffè scientifico
-
Quanto è sicura la tua rete?servizi alla comunità
-
Identità digitali: ricerca e PA insieme verso nuovi standardservizi alla comunità
-
Scuola al futurola voce della comunità
-
Archivi storici europei: il futuro della memoriala voce della comunità
-
Aminavi: sulle tracce di un killer silenziosola voce della comunità
-
Online i nuovi siti dell’Osservatorio Nazionale Terremoti e dell’Osservatorio Etneo dell’INGVla voce della comunità
-
Computer quantistico: ricercatori italiani in prima filala voce della comunità
-
ExaNeSt, il supercomputer europeo “green”la voce della comunità
-
All’ENEA di Bologna il primo archivio universale dei codicila voce della comunità
-
Come cambiare la rete IP e vivere feliciosservatorio della rete
-
IPv6 cresce, obtorto (proto)colloosservatorio della rete
-
IPv6 nell’INFNosservatorio della rete
-
Addio e grazie per tutto il phishingcybersecurity
-
Intelligenza umana o artificiale? Per la sicurezza, meglio tutte e 2cybersecurity
-
Come rispondere a un data breach?cybersecurity
-
Data centre d’eccezionela nuvola della ricerca e istruzione
-
Una nuvola di esperienze con GARR Cloudla nuvola della ricerca e istruzione
-
Verso Horizon Europe: engagement, questo sconosciutointernazionale
-
Lezioni di musica a passo di SWINGinternazionale
-
Una collaborazione senza confiniinternazionale
-
La digitalizzazione? In UK è scontatainternazionale
-
Innovatori di domani: just do it!ieri, oggi, domani
Articoli nella rubrica
-
di Simona Venuti
-
di Alessandro Sinibaldi
-
di Giorgio Giacinto
Archivio GARR NEWS
- Numero 29 - anno 2023
- Numero 28 - anno 2023
- Numero 27 - anno 2022
- Numero 26 - anno 2022
- Numero 25 - anno 2021
- Numero 24 - anno 2021
- Numero 23 - anno 2020
- Numero 22 - anno 2020
- Numero 21 - anno 2019
- Numero 20 - anno 2019
- Numero 19 - anno 2018
- Numero 18 - anno 2018
- Numero 17 - anno 2017
- Numero 16 - anno 2017
- Numero 15 - anno 2016
- Numero 14 - anno 2016
- Numero 13 - anno 2015
- Numero 12 - anno 2015
- Numero 11 - anno 2014
- Numero 10 - anno 2014
- Numero 9 - anno 2013
- Numero 8 - anno 2013
- Numero 7 - anno 2012
- Numero 6 - anno 2012
- Numero 5 - anno 2011
- Numero 4 - anno 2011
- Numero 3 - anno 2010
- Numero 2 - anno 2010
- Numero 1 - anno 2009
- Numero 0 - anno 2009