Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Data breach: difficile credere sia sempre colpa solo dei cybercriminali.

Stefano Gazzella : 22 Dicembre 2023 08:28

Subire un attacco informatico e un conseguente data breach può capitare? Certamente. Esistono dei fattori da dover considerare per ritenere la propria postura di sicurezza come adeguata? Anche qui: certamente. Ciò non toglie alcuna responsabilità all’azione dei cybercriminali, ma non si può escludere che in alcuni casi la vittima non abbia adottato un approccio risk-based nel predisporre le proprie contromisure di sicurezza.

Facendo qualche passo indietro, ciò che caratterizza il buon esito di un attacco informatico può essere sintetizzato facendo riferimento a quattro fattori principali: opportunità, capacità e motivazione dell’attaccante, vulnerabilità. Quando si intende agire in modo preventivo sui rischi, ciò su cui deve focalizzare l’attenzione e la massima priorità è ovviamente un intervento sui fattori controllabili lasciando che gli ulteriori compongano il quadro d’insieme e consentano una migliore comprensione sistematica.

Capacità e motivazione dell’attaccante sono fattori su cui non è possibile intervenire ma che possono essere comunque oggetto di previsione con un’analisi di contesto. Per quanto riguarda invece l’opportunità, è possibile svolgere un’azione parziale con un ragionamento strategico che può riguardare l’organizzazione stessa dei dati e che deve contemplare anche una domanda fondamentale:

Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011  per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Se tutti i miei layer di sicurezza dovessero fallire, qual è il “bottino” per il cybercriminale?

Non serve seguire pedissequamente il criterio della Legge di Murphy per cui se qualcosa può andar male lo farà, ma declinarlo in modo opportuno. E dunque avere cognizione del livello massimo di compromissione che si può subire. Fatto ciò, è possibile svolgere dei ragionamenti volti alla riduzione dell’impatto che possono comprendere anche decisioni in ordine ad una minore quantità di dati custoditi, al coinvolgimento di terze parti e ulteriori misure che andranno, di fatto, ad intervenire sulle conseguenze del data breach.

Ciò che è più controllabile dall’organizzazione che svolge un’analisi dei rischi è invece lo stato delle vulnerabilità che però richiede richiede un continuo riesame, come peraltro è chiarito dall’art. 32 GDPR che contempla fra le misure esemplificative di sicurezza anche:

[…] una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.[…]

L’efficacia delle misure di sicurezza messa alla prova dal data breach

Attenzione però a non incorrere in un errore che definire cognitivo è un eufemismo. Ritenere infatti che subire un data breach dimostri di per sé l’inadeguatezza delle misure di sicurezza predisposte e dunque costituisca in modo automatico una violazione è un modo manieristico per rendere manifesta la propria profonda ignoranza della materia e dei più elementari concetti di gestione del rischio. La fallacia logica è infatti quella del “Post hoc, ergo propter hoc” o “correlation implies causation” per gli anglofoni, per cui si ritiene che una successione temporale di eventi ne determini un rapporto di causalità.

Vero è che nel momento in cui una misura di sicurezza fallisce, siamo tutti certi che a livello retorico si può argomentare tutto e il contrario di tutto. Ma quel che contano sono i fatti e gli obblighi cogenti. La norma, ma più in generale ogni buona pratica, prevede che l’adeguatezza delle misure venga valutata secondo un giudizio prognostico preventivo, che è l’esito di un processo decisionale che comprende delle fasi di individuazione e valutazione dei rischi e delle contromisure, con accettazione finale di un rischio residuo.

Un conto però è il mancato intervento nell’individuazione e risoluzione di una vulnerabilità, un altro sarà la sproporzione fra capacità dell’attaccante e difensore. E qui interviene, in soccorso, una corretta postura che abbia contemplato il fallimento di ogni layer di sicurezza e di conseguenza esponga al minore danno possibile l’organizzazione e gli interessati cui sono riferiti i dati personali.

Un metro di valutazione è inoltre nella gestione dell’evento di violazione: dal remediation plan, alla comunicazione interna ed esterna nei confronti degli stakeholder.

Una questione di responsabilità

Gestire una violazione dei dati personali è infatti una questione di responsabilità, tanto a livello di governance che sul fronte operativo. Una corretta comunicazione interna con un linguaggio condiviso, così come l’esistenza di procedure chiare e controllate sono elementi imprescindibili perchè le policy vengano adottate secondo criteri di effettività che caratterizzano le relative istruzioni e procedure.

E nel caso in cui il data breach per l’appunto capiti, l’assunzione di responsabilità è imprescindibile ma va ben oltre un “Ci scusiamo per il fatto occorso”, ma richiede un’azione diretta nell’immediato a provvedere alla migliore tutela possibile per gli interessati (ad esempio con una comunicazione corretta e tempestiva ai sensi dell’art. 34 GDPR, se del caso e l’adozione di misure di mitigazione) ma anche ad un’azione programmatica per quell’approccio di tipo lesson learned che, sul piano pratico, comporta l’adozione di misure affinché vengano eliminati o ridotti attraverso interventi di gestione quei fattori che hanno contribuito all’evento di violazione.

Altrimenti, sarà una storia destinata a ripetersi. E non può essere sempre colpa soltanto dei cybercriminali.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.
Visita il sito web dell'autore