Sei mesi per scoprire l’attacco informatico

Indice

Sei mesi per scoprire l’attacco informatico. Sarebbe questo il tempo attraverso il quale un’azienda, in media, riuscirebbe ad accorgersi della lesione subita dalla propria piattaforma digitale.

Il dato viene fuori dall’ultimo report realizzato da FireEye ed in tempi di GDPR 2016/679 la notizia non è per nulla confortante.

Difatti, il regolamento sulla protezione dei dati personali dedica parte della sua normativa al fenomeno del data breach ossia, la perdita, totale o parziale, delle informazioni personali dell’interessato custodite nei server di una data azienda.

All’art.33 del suddetto regolamento è fatto obbligo al titolare del trattamento di notificare al Garante nazionale il breach subito qualora, a seguito di una valutazione condotta dallo stesso titolare, fossero in pericolo i diritti e le libertà della persona fisica. Il termine entro il quale tale notifica dovrebbe essere effettuata è di 72 ore a partire dal momento della scoperta della violazione o, come chiarito dal WP29 in una sua Guideline, dal momento in cui la violazione sarebbe stata conoscibile al titolare se, e questo è un grandissimo “se”, avesse attivato le corrette misure tecniche ed organizzative al fine della prevenzione/gestione degli attacchi informatici (art.32 GDPR).

Che il pericolo nel web sia ormai di casa è palese, che chiunque, PA, azienda privata o singolo individuo, debba concretamente allinearsi in un percorso di educazione digitale è banale da affermare, ma che sia immediato scovare una minaccia, invece, lo è di meno. Sarebbe infatti ancora tutto da decifrare il concetto di “conoscibilità” del breach che versa in capo al titolare del trattamento.

Il GDPR 2016/679 individuerebbe tra le misure tecniche finalizzate a scongiurare o limitare la portata del data breach la pseudonimizzazione e la cifratura dell’informazioni. Sappiamo, però, anche grazie all’ultimo report del Clusit quanto gli attacchi informatici siano all’ordine del giorno e come questi mutino in continuazione la loro forma, rendendosi irriconoscibili anche ai più esperti del settore.

Quindi, per quanto un’azienda possa assestarsi in un regime di corretta cybersecurity, vivrebbe comunque nella costante paura del giorno in cui colpirà l’attacco, dovendo poi, sommare i costi del danno materiale a quelli derivanti dal “danno d’immagine”. Infatti, il GDPR 2016/679 all’art 34. imporrebbe la comunicazione della violazione subita all’interessato qualora la propria piattaforma di sicurezza venisse ritenuta non adeguatamente configurata alla protezione delle informazioni.

Per questo motivo, ad opinione di chi scrive, nonostante le normative internazionali tendino sempre più verso il sacrosanto principio della responsabilizzazione dell’azienda/PA (accountability), l’occhio andrebbe aperto anche verso l’enorme difficoltà nell’affrontare un breach o un mero attacco informatico. Questione, quest’ultima, raccontataci, a cadenza quasi settimanale, dai vari report condotti sull’argomento. E, quindi, probabilmente 72 ore per scoprire e rimediare ad un data breach, probabilmente, saranno davvero troppo poche.