Please enable JS

Blog

Cos’è il Data Breach e quali sono i rischi

Data breach e digitalizzazione: siamo davvero consapevoli dei rischi che corriamo

Nov 07/Alice Bellini
Cos’è il Data Breach e quali sono i rischi

Qui sul Blog di Beamat abbiamo spesso parlato dell’importanza della digitalizzazione e di quelle che sono le nuove normative europee riguardo alla privacy.

In generale, sui canali d’informazione, se ne parla spesso e altrettanto spesso tali normative vengono percepite come inutilmente complesse, atte solo a complicare il lavoro dei professionisti dei vari settori interessati, dalla sanità alla pubblica amministrazione passando per qualsiasi altra realtà lavorativa.

In realtà non è affatto così. Data la moltitudine di persone e professionisti che non percepiscono il grande rischio che può comportare l’entrata in possesso nelle mani sbagliate dei Big Data e dei dati personali in generale, questa riforma si rivela più necessaria che mai, come anche un’attenta analisi e riflessione di quelli che sono i rischi del Data Breach.

Cos’è il Data Breach

Partiamo dalla base e cioè dal capire di cos’è il Data Breach. Questo termine, che viene chiaramente dall’inglese, può essere tradotto in Italiano come “Breccia Dati”.

Ogni volta che noi immettiamo un’informazione in un computer, collegato attraverso una rete interna o pubblica (intranet o internet) ad altri dispositivi ITC, la rendiamo un dato. Questo dato viene custodito all’interno di un contenitore di dati, chiamato server, che attraverso determinati software, ossia programmi e applicazioni di vario genere, o semplici codici di lettura, permettono non solo di accedervi, ma anche di archiviare e categorizzare tali dati, inviarli e modificarli. Insomma, di poterli utilizzare a seconda delle proprie necessità.

Con la crescita delle reti e il loro utilizzo sempre più diffuso è aumentata la quantità di dati immessi nei server, generando un vero e proprio pozzo inestimabile di informazioni che, tutte insieme, si chiamano Big Data. In un primo momento, quando internet e intranet non erano regolamentate da nessuna legge, questi dati venivano scambiati e trattati senza considerarli di reale e fondamentale importanza. Nella stragrande maggioranza dei casi venivano mercificati: venduti ad aziende che ne avevano bisogno per fini commerciali e pubblicitari, oppure ad enti che si occupavano di statistiche e monitoraggi su larga scala.

Ma ora che la digitalizzazione ha inglobato ogni aspetto della nostra vita e dati di ogni genere, anche i più sensibili e privati, vengono immessi su questi server, il bisogno di proteggerli attraverso norme di sicurezza ben precise è diventato di fondamentale importanza.

Un Data Breach è quindi una breccia attraverso questi sistemi di sicurezza. Si tratta di un incidente di sicurezza in cui i dati sensibili, protetti o riservati contenuti in un server vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato.

Ma non è tutto. Un Data Breach prevede la divulgazione pubblica, solitamente attraverso internet stesso, di questi dati, immettendoli in un ambiente privo di sicurezza e, pertanto, accessibili a chiunque abbia il desiderio di consultarli o impossessarsene. In altri casi, più rari ed eccezionali, i dati vengono eliminati o compromessi, così da non essere più accessibili, utilizzabili o esistenti.

Dunque basta rendere ancor più sicuri tali software e il gioco è fatto? Non esattamente

Cos’è il Data Breach e quali sono i tipi di data breach

I tipi di Data Breach

Ovviamente, non tutti i Data Breach avvengono nello stesso modo, per le stesse ragioni e, soprattutto, non tutti sono intenzionali.

Per sommi capi si può dire che un Data Breach può essere definito in base a quattro principali tipologie:

  • Incidente involontario - Un malfunzionamento di un server o di un software, ossia i così detti bug, oppure un’errata immissione di un dato da parte di un dipendente, come anche lo smarrimento di un dispositivo contente dati riservati;
  • Furto - Avviene quando un dispositivo contente dati sensibili viene fisicamente rubato
  • Infedeltà aziendale - Si tratta di un Data Breach causato da un soggetto autorizzato all’accesso e alla manipolazione degli stessi dati che, abusando della propria autorizzazione, se ne appropria per poi renderli pubblici. Molto famoso in merito è il caso Snowden di qualche anno fa
  • Accesso abusivo - Si tratta di un furto meno fisico, ovvero quando un soggetto non autorizzato riesce ad accedere, spesso da remoto, a dati protetti, facendoli propri e divulgandoli pubblicamente, oppure compromettendoli. In gergo comune è anche detto hackeraggio.

A loro volta, i dati violati con un Data Breach possono essere di vario genere:

  • Sanitario - Informazioni sulla salute personale dei pazienti o sullo staff di una struttura sanitaria, ma anche in merito a progetti di ricerca e statistiche;
  • Finanziario - Accesso o clonazione di carte di credito, conti correnti, e dati finanziari di ogni genere;
  • Proprietà industriale - Qui nasce anche la famosa concorrenza sleale e in generale si tratta di dati riguardanti segreti aziendali e commerciali, liste clienti e/o dipendenti, indagini di mercato, strategie di marketing e dati sensibili di un’azienda;
  • Personale - Dati come il documento di identità o il passaporto, i codici personali e informazioni sensibili di simil genere;
  • Giuridico - Dati riguardanti processi giuridici, informazioni rispetto a indagini e indagati, programma testimoni e dati in generale riguardanti l’ambito giuridico e istituzionale.

Per saper gestire e avere a che fare con ciascuna di queste situazioni, ma soprattutto per poterle prevenire, l’Unione Europea ha varato una riforma che entrerà in vigore a Maggio del 2018 e che renderà obbligatorio l’aggiornamento professionale di ogni dipendente di ogni azienda, pubblica o privata che sia, in merito alla manipolazione di dati personali e sensibili e dei relativi strumenti implicati nel processo. In altre parole, riguardo alla tutela della privacy nei vari settori lavorativi.

Nonostante tutto, il Data Breach continua spesso ad essere percepito come un accadimento improbabile e poco pericoloso, fin tanto che non accade nel quotidiano e se ne dimostrano gli incredibili danni che è in grado di causare a realtà di ogni genere, fin anche nel privato di ognuno.


Facciamo un esempio

Il Data Breach all’Agenzia delle Entrate: cosa è accaduto

Il 27 settembre 2017 un Data Breach è avvenuto all’Agenzia delle Entrate. Nello specifico, si è verificato un bug nel sistema che ha permesso a tutti i soggetti abilitati ad operare sul portale Entratel, indistintamente dal loro essere realmente autorizzati o meno, di consultare i dati dello spesometro e delle liquidazioni IVA di qualsiasi contribuente. Tutto quello che dovevano fare era digitare il suo codice fiscale. Nel caso si fosse intermediari abilitati, è stato anche possibile accedere ai dati relativi a tutti i suoi assistiti.

A non aver funzionato è il sistema su cui si basa la fatturazione elettronica

Il sistema, non conoscendo i limiti temporali di tale Data Breach, è stato momentaneamente bloccato nel tentativo di arginare i danni. Nel mentre i Presidenti della Commissione di Vigilanza sull’Anagrafe Tributaria, Portas e dell’Authority Italiana per la protezione dei dati personali hanno cercato di porre rimedio all’accaduto.

Già nel 2008 era avvenuta la diffusione illegittima dei dati relativi alle dichiarazioni dei redditi online, rendendo questo episodio non isolato e dimostrando la fondamentale importanza della protezione dei dati in ogni settore. Tant’è che già all’epoca l’Autorità Garante dei Dati Personali aveva imposto all’Agenzia delle entrate una serie di misure di sicurezza, sia a livello tecnologico che organizzativo, volte ad aumentare i livelli di sicurezza degli accessi all’Anagrafe Tributaria. Ma evidentemente queste misure non sono state sufficienti, poiché norme e regolamentazioni più efficaci e precise sono tuttora necessarie.

Nonostante la gravità di questi avvenimenti, poco se n’è parlato sulle pagine di cronaca italiana e, in generale, la pubblica opinione si è rivelata piuttosto indifferente rispetto all’accaduto, come se si trattasse di qualcosa di poco grave o pericoloso.

A cosa è dovuta questa mancanza di interesse e attenzione?

Cos’è il Data Breach e come proteggersi dai data breach

L’Alfabetizzazione Digitale

In Italia ciò che manca è un’adeguata alfabetizzazione digitale che permetta di comprendere non solo l’importanza della protezione dei dati e della privacy in ambito telematico e digitale, ma in generale l’importanza dell’impiego delle tecnologie e del digitale nei processi di vita quotidiana e nei processi lavorativi di ogni settore.

In altre parole, uno sviluppo adeguato della cultura digitale, che non riguardi però solamente l’utilizzo di un dispositivo ITC, ma una vera e propria alfabetizzazione rispetto a quelli che sono i processi digitali e informatici. A partire dalle normative che regolamentano e regolamenteranno in futuro le nostre vite personali e professionali, a quelli che sono i rischi di una digitalizzazione sprotetta.

Visti ancora come fantascientifici, questi rischi si possono tradurre infatti in conseguenze molto pratiche e alle quali tutti possiamo relazionarci: perdita di soldi in un conto in banca, licenziamento o mancata assunzione, frode, mancata assistenza sanitaria, mancata tutela della privacy personale e di quella dei propri cari.

Capire che la sicurezza dei propri dati è traducibile nella sicurezza della propria vita è un passo fondamentale da compiere al fine di essere protetti e poter agire nella sicurezza totale, di sé e degli altri, sia sul piano personale che su quello professionale.

Le notizie

Cookies

In base alla normativa in materia di privacy applicabile Beamat S.r.l., titolare del trattamento dei dati acquisiti tramite il presente sito, informa l’utente che tale sito web utilizza cookie di profilazione di terze parti al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate nell'ambito della navigazione in rete. La prosecuzione della navigazione, compreso lo scroll ed il click su elementi del sito, equivale a consenso. Per maggiori informazioni, anche in ordine ai cookies tecnici utilizzati dal sito, e per negare il consenso all’installazione dei singoli cookie è possibile consultare l’informativa cookies completa l’informativa cookies completa.