Quando si parla di “data breach” spesso si pensa solo a sanzioni di carattere pecuniario. Nella realtà, le conseguenze negative di una violazione dei dati personali vanno ben oltre l’applicazione delle multe che il legislatore europeo ha attivato come deterrenti. In questo articolo abbiamo individuato 3+1 conseguenze negative per il tuo business.

Cos’è un data breach e quando si verifica?

Un “data breach” secondo il GDPR (che tratta la materia agli articoli 33 e 34), è una violazione di sicurezza che comporta accidentalmente o in modo illecito

  • la distruzione
  • la perdita
  • la modifica
  • la divulgazione non autorizzata
  • l’accesso

ai dati personali trasmessi, conservati o comunque trattati.

 

A che punto sono le aziende nel processo di protezione dei dati avviato dal GDPR?

Secondo il Rapporto Clusit  2019 sulla Sicurezza ICT le organizzazioni italiane che stanno adottando processi di adeguamento al GDPR sono in crescita: il settore manifatturiero è quello che registra una maggiore accelerazione di questo processo, con un incremento delle aziende dal 42% all’87%.

Parallelamente, sono cresciuti anche i budget stanziati per le misure di adeguamento: mentre nel 2018 solamente nel 58% dei casi esisteva un budget dedicato, nel 2019 la percentuale ha raggiunto l’88%.

Al contrario, risultano ancora poche le aziende che dichiarano l’esistenza di un budget dedicato a misure di risposta agli eventi di sicurezza (come il data breach). Su questo aspetto poco più di metà delle aziende (51%) ha stanziato un budget, il 21% ha provveduto entro il 2019, mentre il 28% non lo prevede nemmeno per il futuro.

I numeri ufficiali parlano di una crescente sensibilità negli investimenti per la compliance normativa, mentre gli aspetti che riguardano le misure necessarie per prevenire, rilevare e segnalare un data breach sembrano passati in secondo piano e con essi anche il rischio di incorrere in multe e sanzioni.

 

Violazioni della Security: rischio percepito vs rischio reale

Secondo uno studio Marsh-Microsoft: Global Cyber Risk Perception, per il 64% delle aziende (europee) subire un attacco o un incidente di sicurezza sarebbe il primo motivo per aumentare la spesa in cybersecurity. Questo dato può essere letto in chiave di percezione del rischio: le aziende in pratica dichiarano che solo dopo aver subito un attacco avrebbero un forte incentivo ad adottare misure destinate alla mitigazione degli incidenti di sicurezza.

Eppure in Italia come in tutto il mondo, gli attacchi informatici sono in crescita. Nel Regno Unito secondo una ricerca Carbon Black, l’88% delle aziende sono state violate nel 2018. Ma non solo: il tempo medio per rilevare gli incidenti di sicurezza è molto lungo (206 giorni). Un lasso di tempo enorme, che espone le aziende alla potenziale compromissione di elevate quantità di dati.

Se da un lato la crescita degli attacchi spaventa relativamente le aziende, dall’altro anche le sanzioni previste dal GDPR non sembrano rappresentare un rischio altamente percepito. In Italia, fino ad oggi, delle sanzioni comminate dal garante solo il 9% è dovuta a Data Breach, mentre il 18% a insufficienti misure di sicurezza. Forse questi dati non risuonano ancora così importanti da far temere il rischio di una sanzione.

In conclusione, il rischio di ricevere una multa (per quanto salata) non è sentito dalle aziende e non sembra un incentivo sufficiente ad indirizzare le organizzazioni verso l’implementazione di misure atte a prevenire, rilevare e segnalare un data breach. 

Come gestire un data breach?

Scoprilo nell’infografica

Data Breach: le conseguenze per il business

Vediamo allora di capire quali sono le conseguenze negative a cui va incontro un’azienda che ha subito un Data Breach. Secondo quanto previsto dal GDPR l’importo delle sanzioni può arrivare fino a 20 milioni di Euro o, fino al 4% del fatturato mondiale annuo, se superiore.

Ma è tutto qui? O dietro la violazione dei dati di un’azienda si nascondono altri pericolosi rischi per la sopravvivenza del business?

Abbiamo individuato 3+1 conseguenze negative che potrebbero mettere in serie difficoltà le aziende:

1) Danno di reputazione

Oltre ad aver pagato le multe previste dalle normative a tutela dei dati personali, l’organizzazione deve affrontare il danno di reputazione, che nei casi di aziende quotate può amplificarsi portando importanti conseguenze negative sul valore dei titoli in borsa. La fiducia e la credibilità acquisite con anni di lavoro e investimenti sono infatti asset che una volta perduti possono essere difficili da riscostruire. Inoltre, spesso sottovalutati, costituiscono driver importanti di acquisizione di nuovi clienti: non è escluso che, una volta eroso il rapporto di fiducia stretto con i propri clienti, l’azienda debba rassegnarsi e accettare la perdita e/o la diminuzione di nuove opportunità di business.

2) Risarcimento dei danni agli interessati

Per comprendere l’entità potenziale del danno è necessario prendere in esame l’art. 82 del Regolamento. Il provvedimento gode di scarsa attenzione, ma è di fondamentale importanza per inquadrare le responsabilità che un data breach presuppone:

Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. Il legislatore intende mettere al centro delle sue preoccupazioni il soggetto che considera la parte debole (chi subisce il trattamento) e afferma così il diritto dell’interessato, quando danneggiato, di ottenere il risarcimento del danno subìto. Danno che potrà essere sia patrimoniale che non patrimoniale.

3) Indagini sull’incidente

Una volta subito un incidente, soprattutto in mancanza di adeguate tecnologie e competenze, l’azienda dovrà mettere in campo uno sforzo importante al fine di compiere le relative indagini. Questo può comportare: l’assunzione di una parte terza, l’impiego di ore di straordinario del proprio personale e più in generale un consistente impiego di energie in attività extra rispetto al core-business aziendale.

3+1)  Reiterazione del Data Breach

Sebbene non sia l’unica causa, i data breach sono spesso generati da attacchi informatici. In questo contesto un aspetto che viene sempre sottovalutato dalle aziende è quello relativo alla reiterazione della violazione: una volta entrati nel sistema aziendale gli hacker permangono anche per mesi all’interno dell’azienda prima di sferrare un reale attacco. A quel punto è difficile estirpare completamente la loro presenza dall’ecosistema aziendale. A livello tattico, gli hacker possono nascondere le loro tracce in un perimetro vastissimo da controllare, conservando il vantaggio di aver studiato nel dettaglio tutte le vulnerabilità dell’azienda.

In pratica, nel fronteggiare le conseguenze di un attacco, le aziende si trovano a compiere immensi sforzi per arginare i danni di una violazione della sicurezza, ma invece di vincere la guerra si devono accontentare di vincere solo una delle tante battaglie.

 

Come prevenire un Data Breach

Una violazione di sicurezza può assumere una scala talmente ampia da avere conseguenze disastrose per il business di un’azienda. Oggi, un’azienda che subisce un danno di reputazione avrà poche altre chance per sbagliare perché i clienti difficilmente saranno inclini a tollerare ulteriori situazioni di incertezza. Questo accade in un contesto di attacchi informaci persistenti che spesso possono essere facilmente reiterati. Per questo motivo le aziende devono ripensare gli investimenti in sicurezza informatica passando dalla costruzione di muri sempre più alti, all’adozione di tecnologie e competenze in grado di monitorare, correlare e identificare le minacce in tempo reale.

Come notificare un data breach al garante?

Scopri nell’infografica se la tua azienda è pronta ad affrontare una violazione dei dati personali

Share This