Cybersecurity & Privacy

Un data breach e un insospettabile colpevole

Scritto da Cristiano Pastorello | May 10, 2023 12:09:00 PM

Una notizia condivisa su Facebook ha attirato la mia attenzione. Un’azienda di un paese europeo ha preso una stampante-fotocopiatrice a noleggio e, all’accensione, si è trovata inondata di fogli e fascicoli contenenti dati riservatissimi di uno studio legale. Cause e date, nomi e cognomi, fatti di ogni genere avrebbero potuto diventare di pubblico dominio. Cosa ci suggerisce questo fatto?

La storia di questa macchina da ufficio per certi versi fa quasi sorridere: chissà quali succosi segreti avrà saputo quell’imprenditore o quel dipendente che ha raccolto le stampe rimaste memorizzate nella macchina presa a noleggio.

Il colpevole della violazione dei dati è quindi una macchina da ufficio!

Sì... però...

Se il mio nome fosse stato in quelle carte riservate, lo studio legale che non ha cancellato i dati e il fornitore della stampante avrebbero passato sicuramente dei brutti 5 minuti e, probabilmente, conseguenze anche più serie, come una denuncia

Perché?

 

Prima riflessione

Viviamo in un mondo di dati: è così da molti anni, la differenza è che oggi più che mai le tecnologie informatiche sono talmente integrate tra loro e connesse con il mondo che il rischio di data breach è altissimo.

Come abbiamo già detto in questo articolo il Data Breach, con l'entrata in vigore del GDPR, prevede l'obbligo di notifica. Di conseguenza l'azienda che subisce la violazione deve notificarla al garante ed essere pronta a dimostrare di aver protetto in modo ottimale i dati raccolti e trattati.

 

Seconda riflessione

La violazione dei dati non ha sempre una causa interna. Mi spiego meglio, si verifica un breach anche nel caso in cui un dipendente venga derubato del cellulare di servizio o del computer con, all'interno, i dati dei clienti.

Subire un furto non è certo colpa del dipendente, ma l'azienda dovrà dimostrare di aver fatto di tutto per proteggere i dati all'interno delle dotazioni informatiche date al dipendente per lavorare.

Lo stesso può dirsi per un caso come quello della stampante-fotocopiatrice: lo studio legale che ha subito la violazione, perché non ha formattato i dati? E perché non ci ha pensato, eventualmente, il fornitore?

 

Terza riflessione

Il Data breach, o la violazione, è un evento che può capitare in mille modi. Perciò è importante allenarsi a pensare in modo più "clinico". 

Nel caso specifico, lo studio legale che ha noleggiato la macchina avrebbe potuto prevedere nel contratto di fornitura che una volta scaduto il termine noleggio,  sarebbe dovuta essere resettata dal fornitore, per una garanzia in più. Può infatti succedere che all'interno dello studio legale non ci siano esperti di memoria informatica, avvocati ed assistenti probabilmente non si aspettavano che i file inviati in stampa potessero rimanere memorizzati. Un tecnico invece, quindi il fornitore, dovrebbe saperlo.

Come primo passo nella giusta direzione, scarica gratuitamente la checklist della compliance GDPR pensata per i titolari del trattamento.