Nelle ultime settimane sono aumentate le segnalazioni di Data Breach da parte delle organizzazioni che hanno subito violazioni di sicurezza. Scopriamo perché il fenomeno va imputato principalmente all'introduzione del GDPR (il nuovo Regolamento Generale sulla protezione dei dati personali).
I casi illustri di Data Breach
18 luglio 2018: viene reso noto come Movistar, uno dei principali operatori Telco spagnoli, abbia subito una violazione di sicurezza a causa di una vulnerabilità nei propri sistemi tecnologici. I dati relativi a milioni di utenti sono stati involontariamente esposti online a chiunque avesse un minimo di conoscenza tecnica. A causa di un malfunzionamento legato agli indirizzi (URL) dinamici, infatti, è stato possibile raccogliere le informazioni personali di ciascun cliente di Movistar semplicemente variando manualmente alcuni parametri.
Il caso Movistar non è però l’unico esempio di data breach avvenuto nelle ultime settimane. Nell’ultimo periodo, infatti, le notizie relative alle violazioni di sicurezza sono all’ordine del giorno, e aumentano a ritmo vertiginoso. Solo per citare qualche esempio, si pensi ai recenti casi:
- LabCorp, azienda statunitense di diagnostica medica, che il 16 luglio ha dichiarato di stare investigando rispetto ad “attività sospette” che potrebbero aver messo a rischio i dati sulla salute di migliaia di pazienti;
- Adidas, che ha comunicato - in data 29 giugno - di aver subito una violazione dei dati di contatto e delle password di alcuni milioni di clienti dello store online statunitense;
- NHS, il Servizio sanitario nazionale del Regno Unito, che ha subito un data breach e la conseguente compromissione delle informazioni di milioni di pazienti.
Data Breach e GDPR
Sebbene la crescita del numero di notizie sia preoccupante, il fenomeno rappresenta la prima evidente conseguenza dell’era GDPR. Con l’effettiva applicabilità della nuova normativa in materia di protezione dei dati, infatti, è diventato obbligatorio informare l’Autorità in caso di perdita o violazione di informazioni personali entro 72 ore dalla scoperta.
Già nel 2017 emergeva chiaramente dalle Ricerche dell’Osservatorio Information Security & Privacy un sensibile incremento della consapevolezza delle aziende rispetto al tema della protezione dei dati imputabile al GDPR. Il progressivo aumento delle segnalazioni e delle notizie riguardanti possibili violazioni, conferma che l’attenzione al tema è ai massimi storici. Il General Data Protection Regulation sta già dando i suoi frutti: rappresenta per le aziende un’occasione per smuovere investimenti, per disegnare nuovi ruoli organizzativi, per mettere in campo strumenti e metodologie in grado di supportare in sicurezza la trasformazione digitale, che riguarda tutti noi, nella doppia veste di consumatori ed utenti professionali.
Alessandro Piva e Giorgia Dragoni - Osservatorio Information Security & Privacy
