30/01/2020
Attacchi informatici e data breach

Una delle maggiori tematiche emerse con particolare intensità successivamente all’entrata in vigore del GDPR, soprattutto a causa delle cospicue sanzioni che possono essere emesse in caso di non compliance, riguarda la cyber security: in questo articolo, nello specifico, andremo ad analizzare le declinazioni di attacchi informatici e identificazione/segnalazione di data breach.

I principali vettori di attacchi informatici, quindi le direzioni e i punti di ingresso dai quali provengono queste minacce, risultano essere diversi e di seguito se ne elencano alcuni:

  • Attacco dall’interno volontario, uno o più collaboratori aziendali decidono di “sabotare” l’attività aziendale con un attacco dall’interno;
  • Attacco dall’interno involontario, uno o più collaboratori aziendali, senza esserne a conoscenza e senza volontà di creare problematiche all’azienda, permette l’ingresso di un attacco informatico;
  • Hacker, soggetti che intendono dimostrare le vulnerabilità di un sistema informatico e dare prova delle loro capacità di trovare il punto di ingresso per semplice volontà personale;
  • Cyber criminali, soggetti che, dietro compenso, lanciano attacchi informatici;
  • Cyber attivisti, soggetti che lanciano attacchi informatici allo scopo di perseguire scopi sociali e/o politici;
  • Cyber terroristi, soggetti che lanciano attacchi per scopi simili agli attivisti, ma col fine ultimo di intimidire o danneggiare istituzioni pubbliche e governative.

Compresi quali posso essere i “protagonisti” degli attacchi informatici, vediamo ora quali sono le tipologie più diffuse e conosciute ad oggi:

  • Phishing, attacco incluso nell’allegato o nel link di una mail dove scaricato o cliccato permette l’ingresso dell’attacco nel computer dell’utente;
  • Malware, differenti tipologie di codice che infettano il computer compromettendone le funzionalità, ne ruba le informazioni e permette accessi non autorizzati;
  • Drive-By-Downloads, tipologia di malware che ha infettato un sito (non un computer come nel caso precedente) inserito in un allegato legittimamente scaricabile;
  • Denial-of-Service, tentativo di rendere inutilizzabile un computer o un network intranet aziendale;
  • Domain Shadowing, oscuramento del sito legittimo da un soggetto per reindirizzare i visitatori su un sito non protetto;
  • Malvertising, attacco contenuto in pubblicità online che, una volta cliccate, permettono l’ingresso dell’attacco all’interno del computer dell’utente.

Supponiamo ora, per fare un caso esemplificativo, che un soggetto lancia una attacco al nostro computer/network e riesce ad entrare creando diverse problematiche (accesso non autorizzato, non disponibilità dei dati, ecc…): in tal caso siamo di fronte ad una violazione dei dati personali, definita dall’art. 4 GDPR come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati“.

In questi casi, secondo il disposto dell’art. 33 GDPR, vi è obbligo di notifica della violazione al Garante entro le 72 dal momento in cui si è venuti a conoscenza della violazione stessa, ad eccezione del caso in cui la violazione non comporta rischi per diritti e libertà delle persone fisiche. La notifica al Garante deve contenere quelli che, senza necessità di scrivere qui l’elenco, sono le informazioni necessarie per la descrizione della violazione, dei rischi e delle azioni adottate per attenuare o, se possibile, annullare la violazione.

Infine, qualora la violazione comporti rischi elevati per i diritti e le libertà delle persone fisiche, il titolare del trattamento è obbligato a comunicare la violazione anche agli interessati che sono coinvolti nella violazione, ad eccezione che il titolare abbia implementato misure di sicurezza volte alla riduzione del rischio o la comunicazione comporti sforzi sproporzionati (Art. 34 GDPR).

SEI INTERESSATO AI NOSTRI SERVIZI?
Contattaci!
SCRIVICI E TI CONTATTEREMO NOI!