Go to Top

20 milioni di Euro o il 4% del fatturato mondiale annuo: ecco quanto può costare violare il GDPR

Quando si parla di sicurezza e violazione dei dati, molti manager aziendali che non hanno familiarità con questo argomento pensano immediatamente che la soluzione possa essere facilmente trovata: isolarsi dal mondo con una bella recinzione, piazzare videocamere ovunque e mettere una guardia all’ingresso. Tuttavia, questo non è certamente sufficiente, come hanno dimostrato molti casi e i più recenti attacchi ransomware. Oltretutto, non avere un processo di sicurezza dei dati sicuro è davvero rischioso se si pensa al fatto che mancano davvero pochi giorni all’arrivo del General Data Protection Regulation (GDPR).

Molto è già stato scritto in merito alle conseguenze che la normativa GDPR avrà sulle aziende. Negli ultimi due anni abbiamo pubblicato diversi articoli in questo blog sull’importanza di cancellare in sicurezza i dati personali di partner, clienti o altri individui che non siano necessari per il business o quando l’interessato ne richiede la cancellazione.

Tuttavia, il GDPR è molto di più di un semplice “diritto all’oblio”: si occupa anche di prevenire la perdita di dati da parte di tutte le aziende che fanno business all’interno dell’Unione Europea o da parte di aziende extra-UE che hanno rapporti con società europee.

A fine maggio dunque terminerà il periodo di introduzione durato due anni di questo nuovo regolamento.  L’articolo 32 del nuovo regolamento richiede alle aziende di “introdurre una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento dei dati personali all’interno dell’azienda”. L’implementazione di un’adeguata procedura vale non solo per l’elaborazione dei dati, ma anche per il processo di selezione e approvvigionamento delle soluzioni IT (sia software che hardware) in uso.

Per il processo di selezione, il GDPR richiede alle aziende di “mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio”. Tuttavia, i legislatori europei hanno anche stabilito che le soluzioni devono essere “all’avanguardia”: questo significa che i manager IT devono intraprendere tutte le misure necessarie per garantire che nessun dato personale possa uscire fuori dall’azienda. Secondo la nuova legge, infatti, alcune di queste misure necessarie potrebbero essere, per esempio:

  • la pseudonimizzazione e la cifratura dei dati personali,
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Un altro punto molto importante è stato implementato nell’articolo 32 del nuovo regolamento:

“Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.

In breve, l’articolo 32 richiede un’adeguata analisi dei rischi che possono derivare da una speciale procedura con una determinata tecnologia per i dati personali. Il dipendente responsabile deve effettuare una valutazione dell’impatto della protezione dei dati e verificare se una determinata procedura – in particolare quando si utilizza una nuova tecnologia – espone a un rischio piccolo o grande i diritti degli individui in relazione ai dati.

Una delle principali modifiche e aggiunte alle precedenti leggi nazionali degli stati membri, riguarda il fatto che ora le aziende devono riferire una perdita di dati entro 72 ore dal momento in cui questa si è verificata.

Inoltre, in caso di violazione, le sanzioni sono pesanti anche per l’utilizzo non autorizzato dei dati personali: sono previste multe fino a € 20 milioni o pari al 4% del fatturato mondiale totale annuo (a seconda di quale dei due sia maggiore) oppure sanzioni fino a € 10 milioni o il 2% del fatturato mondiale totale annuo (qualunque dei due sia maggiore).

Anche i dispositivi più piccoli o quelli trascurati possono portare a una perdita di dati!

Essere conformi al GDPR significa che i responsabili IT devono intraprendere tutte le misure necessarie per garantire che non si verifichi alcuna perdita di dati. Certo, ma si fa prima a dirlo che a farlo! La sicurezza dei dati rappresenta un problema da molto tempo, da prima che questa nuova legge europea entrasse in vigore. Ma ora, con pochi giorni a disposizione prima dell’entrata in vigore e le possibili sanzioni, sono in molti a preoccuparsi di aver dimenticato qualcosa…. Per esempio, le stampanti!

Ciò che molte persone dimenticano, o non sanno, è che anche una moderna stampante di rete può contenere o diffondere dati personali. Pertanto la vostra stampante potrebbe essere un obiettivo perfetto per un hacker, al fine di ottenere dati sensibili o correlati al business.

Uno dei migliori video creati per spiegare come funzionino hackeraggi del genere è stato prodotto da HP ed è interpretato dall’attore americano Christian Slater. In questo video spiega chiaramente come un eventuale attacco da parte di un hacker possa portare a una violazione di milioni di dati sensibili all’interno di un’azienda. La parte interessante del video è vedere come l’hacker Slater sia entrato facilmente in possesso di dati sensibili semplicemente utilizzando un’interfaccia USB di una moderna stampante di rete.

Nonostante lo scenario tipicamente hollywoodiano, l’idea di utilizzare una stampante o qualsiasi altro dispositivo hardware collegato alla rete per un hackeraggio è altamente plausibile. Bisogna poi considerare che, anche se la stampante non è collegata all’intera azienda, essa può conservare diverse informazioni sensibili. Ciò che molti ancora non sanno è che una stampante o una fotocopiatrice business potrebbe avere un hard disk interno in grado di archiviare gli ultimi documenti fino a che la memoria non è piena.

Queste premesse hanno quindi evidenziato chiaramente una grave pericolo alla sicurezza dei dati: quando un dispositivo del genere viene preso in leasing o noleggiato e il periodo di noleggio termina, questo disco dovrebbe essere svuotato in maniera sicura, altrimenti le informazioni personali sensibili potrebbero uscire dall’azienda che – in questo caso – ne sarà responsabile, come stabilito nel quadro del GDPR.

Pertanto, visto il poco tempo rimasto a disposizione, tutti coloro che sono attualmente impegnati nella gestione delle procedure di conformità al GDPR le policy aziendali, dovrebbero ricordarsi di verificare al più presto che anche le più comuni periferiche, come le stampanti, potrebbero contenere informazioni preziose da eliminare al più presto.

Non è ancora troppo tardi, ma il tempo passa…

Picture copyright: MichaelGaida / pixabay.com

https://pixabay.com/en/barbed-wire-video-camera-monitoring-1670222/

CC0 License

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *