LA GUIDA PRATICA

Gestire la comunicazione di un data breach: consigli pratici e linee guida

Nello gestire la comunicazione di un data breach è utile mantenere, nei confronti dei propri utenti coinvolti e delle autorità, un atteggiamento basato sulla trasparenza e sul buon senso. Ecco i consigli pratici per reagire al meglio ad una violazione di dati personali

23 Ott 2019
L
Edoardo Limone

Cyber Security Expert

La sicurezza informatica in azienda rimane una questione sempre aperta e, con essa, quella inerente a come gestire la comunicazione di un data breach.

In questi mesi abbiamo avuto modo di constatare diverse reazioni agli attacchi hacker e alla conseguente violazione di dati personali da parte di aziende e istituzioni: c’è chi si è attivato prontamente con una comunicazione efficace verso gli utenti finali e le istituzioni (cosa tra l’altro prevista dal GDPR art. 33), e chi invece ha fatto finta di nulla sperando che la faccenda finisse nel dimenticatoio.

Prima di procedere chiariamo brevemente che cosa è un data breach: si tratta di una falla nei sistemi informativi e non riguarda necessariamente l’accesso ai dati personali. Un data breach va notificato al Garante della Privacy quando esso interessa la banca dati contenente i dati personali degli utenti. Se l’hacker non riesce ad accedere ad alcun dato personale, la notifica non va effettuata ma il caso è comunque di rilevanza poiché la violazione c’è stata.

Gestire la comunicazione di un data breach: le regole da seguire

La gestione dei data breach va gestita quindi su almeno due fronti: quello interno interessa il reparto tecnico e organizzativo, quello esterno interessa gli utenti finali.

WHITEPAPER
Sicurezza garantita per le tue applicazioni: ecco i 5 passaggi chiave da rispettare
Sicurezza
Software

Per ciò che riguarda l’ambito interno è opportuno attivarsi subito per individuare le cause che hanno permesso il data breach e intervenire prontamente per risolverle. Queste azioni coinvolgono il personale, i ruoli definiti e le responsabilità identificate per ciascun membro dell’organizzazione.

Per ciò che riguarda l’ambito esterno è necessario effettuare quanto prima una comunicazione che informi compiutamente e correttamente tutti gli utenti. Su questo aspetto molte aziende si sono rivelate carenti, complice forse l’inesperienza o la mancata consapevolezza dei rischi e degli obblighi.

Facciamo quindi chiarezza su questi punti utilizzando le regole di comunicazione dell’Emergency & Disaster Analysis Group.

Il comunicato stampa deve rispondere in modo diretto, sintetico ed efficace alle seguenti domande:

  1. che cosa è successo?
  2. cosa significa ciò che è successo per gli utenti finali?
  3. cosa sta facendo l’organizzazione per far fronte al data-breach?

Tre semplici domande a cui, normalmente, non dovrebbe essere difficile rispondere. È chiaro che molte aziende si preoccupano del danno d’immagine e commettono l’errore di omettere informazioni che invece possono essere molto utili e se le omissioni venissero poi scoperte sarebbe peggio.

La comunicazione di un data breach segue le regole di comunicazione di qualsiasi altra crisi, è quindi necessario:

  1. essere onesti circa l’attacco e l’eventuale sottrazione di dati;
  2. essere tempestivi nella comunicazione;
  3. essere concisi;
  4. mettere a disposizione un indirizzo per gli utenti che vogliono informazioni;
  5. mantenere un atteggiamento positivo e mostrarsi collaborativi nei confronti delle autorità preposte.

Questi sono alcuni degli aspetti essenziali per gestire correttamente la comunicazione di un data breach.

Tempestività nel gestire la comunicazione di un data breach

Uno degli elementi sopra riportati di cui si sottovaluta l’importanza, è la tempestività. Molti data breach sono stati comunicati con ritardi inaccettabili (talvolta di settimane se non mesi). Il motivo di questo ritardo è da ricercarsi in due fattori: il primo di natura culturale, secondo il quale si ritiene più “furbo” darne comunicazione ritardata. È importante capire che ciò non è più possibile dal punto di vista normativo, nemmeno giustificando l’inadeguatezza tecnologica.

Il secondo fattore è di natura tecnologica: ci sono sistemi informativi che non sono dotati di opportuni sistemi di tracciamento dati e, di conseguenza, non sono in grado di garantire contromisure adeguate a rilevare tempestivamente la falla.

La normativa su questo è chiara e inequivocabile: l’utente che eroga il servizio deve adeguare il proprio sistema informativo per garantire tutte le contromisure tecnologiche atte a proteggere le informazioni che vengono memorizzate e gestite.

Si parla quindi di segmentazione del dato, cifratura, tracciamento e, più in generale, monitoraggio del flusso informativo. Comunicare correttamente gli esiti di un data breach non è quindi un’opzione facoltativa ma obbligatoria, sancita dalla legge e regolamentata in tutti gli aspetti.

Informare gli utenti del data breach

È altresì vero che un’azienda potrebbe aver bisogno di qualche giorno per identificare e perimetrare l’intero patrimonio informativo oggetto di data breach.

In tal caso è raccomandabile creare un’apposita sezione informativa sul sito a cui rimandare gli utenti avvertendoli con una mail e assicurarsi di mantenere la pagina aggiornata almeno una volta al giorno. Questo garantirà agli utenti finali una buona comunicazione e la rassicurazione che l’azienda si sta davvero adoperando in merito alla gestione dell’attacco.

Le lungaggini però non saranno ammesse perché gli utenti finali difficilmente amano essere presi in giro.

Cosa può fare l’utente finale? Senza dubbio ha il diritto di scrivere all’azienda per chiedere informazioni in merito alla condizione dei propri dati, chiedendo che sia comunicato lo stato di sicurezza degli stessi e chiedendo di essere informato circa l’eventuale e potenziale accesso/sottrazione/rimozione/alterazione da parte degli hacker.

L’azienda deve rispondere e questo è molto importante da sapere perché l’utente, in caso di mancata risposta, può effettuare un reclamo all’autorità di controllo. Questo è sancito dall’articolo 15 (Diritto di accesso dell’interessato) comma F del GDPR che prevede “il diritto di proporre reclamo a un’autorità di controllo”.

Conclusioni

In conclusione, la trasparenza ed il buon senso sono, in linea generale, il miglior atteggiamento da mantenere nei confronti dei propri utenti coinvolti e delle autorità.

L’azienda può far ricorso a strumenti social come fonte di divulgazione ma poiché molti utenti potrebbero non avere gli account per leggere le notifiche o essere esperti dello strumento, si raccomanda di utilizzare il proprio sito web. Se questo non fosse disponibile, allora è opportuno utilizzare un canale social quale Twitter o analoghi.

Comunicare efficacemente un data breach è fondamentale e l’impiego degli strumenti social può fare davvero la differenza.

Dopo molti attacchi gli analisti di sicurezza freelance e gli appassionati si raccolgono attorno alle comunicazioni degli hacker e ne analizzano tutti gli aspetti: la rivendicazione, il dump dei dati contenenti informazioni e tabelle. Tali comportamenti, salvo palesi violazioni della normativa, andrebbero “utilizzati a proprio vantaggio” come ausilio e riscontro all’operato svolto dai tecnici interni. Per essere maggiormente chiari, è come se dei volontari aiutassero la Protezione Civile durante un intervento di soccorso. La rete è sicuramente uno spazio sconfinato ma all’interno ci sono anche numerose persone qualificate che possono offrire il loro aiuto anche a titolo gratuito.

Ciò che sicuramente non è raccomandabile è operare in antitesi alla legge: omettendo, minimizzando o falsificando le conseguenze del data breach.

Si tratta di una questione legale ma anche culturale e prima si comprenderanno i benefici del corretto comportamento, e più efficaci saranno le azioni di comunicazione.

Riferimenti bibliografici

  1. General Data Protection Regulation (GDPR)
  2. Global Security Sciences (GSS)

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr