News & Media

Opinioni

Best practices per la gestione di un data breach.

Mi è recentemente capitato di assistere una società italiana coinvolta in un caso di data breach a seguito di un attacco alla rete IT aziendale, realizzato tramite il ransomware BitLocker 3.0.

Gli effetti dell’attacco sono stati, per la cliente, spiazzanti: in un tempo brevissimo, tutte le informazioni aziendali sono state criptate; i sistemi IT sono stati gravemente compromessi (compresi posta elettronica, firewall, VPN, backup, etc…); l’azienda è rimasta paralizzata per circa una settimana e ha dovuto investire ingenti risorse per svolgere accurate indagini forensi e per farsi assistere da consulenti esperti che le permettessero di ritornare operativa al più presto.

Inoltre, dopo pochi giorni, la società è stata informata che i dati aziendali erano stati copiati, esfiltrati e, qualora non avesse pagato un riscatto di valore elevato, potenzialmente resi disponibili a chiunque sul web.

È noto che, nel corso degli ultimi anni, lo scenario sopra descritto ha coinvolto un numero crescente di società, soprattutto PMI: gli attacchi compromettono i dati personali di tutti gli stakeholders aziendali; spesso implicano, inoltre, l’esfiltrazione dei dati e la minaccia della loro pubblicazione sul dark web se non viene pagato un riscatto, con seri rischi di compromissione della riservatezza delle informazioni aziendali che, se rese pubbliche, possono avere gravi ripercussioni sulla reputation stessa dell’impresa.

Le statistiche sugli attacchi ransomware alle aziende italiane negli ultimi anni mostrano una crescita allarmante del fenomeno: guardando agli ultimi tre anni, il 58% delle aziende italiane è stato colpito da un attacco ransomware (con una percentuale di successo pari a circa il 44%), con il 57% di queste aziende che ha visto almeno un’altra impresa all’interno della propria supply chain cadere vittima dei cybercriminali.

Anche il Rapporto Clusit 2023, curato dall’Associazione Italiana per la Sicurezza Informatica, conferma una costante crescita degli attacchi ransomware a danno delle aziende di tutto il mondo e di quelle italiane, in particolare.

Queste statistiche devono indurre, quindi, ogni impresa a non sopravvalutare la propria capacità di resistenza e resilienza, posto che la domanda da porsi non è “cosa fare se…” ma “cosa fare quando…”, dato che, in uno scenario simile, dobbiamo dare per scontato che nessuno possa dirsi realmente al sicuro da incidenti di sicurezza, più o meno gravi.

Diventa, quindi, fondamentale per le imprese – soprattutto per le PMI, che sono le più vulnerabili – dotarsi di misure di sicurezza efficaci e di piani di risposta agli incidenti di sicurezza.

Al fine di predisporre un’adeguata procedura di gestione di un eventuale data breach, le aziende devono, perlomeno, considerare i seguenti aspetti:

  1. valutazione immediata dell’attacco: al primo sospetto di un data breach, è cruciale che l’azienda identifichi chi deve essere immediatamente coinvolto per effettuare un’analisi tempestiva dei propri sistemi IT, determinare l’entità della violazione e verificare i dati coinvolti dalla violazione;
  2. piano di comunicazione e di trasparenza: è fondamentale informare tempestivamente le Autorità competenti (Garante per la Protezione dei Dati Personali, Polizia Postale, etc…) e tutti gli interessati coinvolti nell’incidente, come prescritto, oltretutto, dagli articoli 33 e seguenti del GDPR. È, inoltre, importante coinvolgere, laddove opportuno, la propria filiera, per conservare la fiducia sul mercato e non incorrere in sanzioni;
  3. adozione di misure di contenimento: è indispensabile adottare tempestivamente misure tecniche ed organizzative di contenimento del danno (isolamento dei sistemi infetti, sospensione temporanea di alcune operazioni on-line, istruzioni agli incaricati, etc…), per prevenire ulteriori perdite;
  4. procedure di recupero dei dati e dei sistemi: occorre aver chiaro, fin da subito, chi deve fare che cosa, dove sono le informazioni rilevanti, come ripristinare i backup, etc… In merito a questi ultimi, è importante ricordare che i backup non devono essere collegati alla rete aziendale perché i ransomware sono capaci di comprometterli, se i database non sono isolati. L’utilizzo di backup recenti e affidabili è fondamentale per ripristinare i sistemi rapidamente, riducendo, di conseguenza, l’impatto operativo per l’azienda;
  5. revisione e rafforzamento delle misure di sicurezza: dopo un attacco, oltre ad aggiornare il proprio Registro dei trattamenti annotando l’incidente, è vitale rivedere e potenziare le misure di sicurezza IT, prevedendo aggiornamenti regolari, sviluppando un piano di formazione del personale e svolgendo valutazioni periodiche della sicurezza;
  6. piani di risposta agli incidenti: predisporre ed aggiornare periodicamente un piano di risposta agli incidenti ben definito e testato consente, inoltre, all’impresa di reagire in modo efficace ed organizzato in caso di futuri attacchi, evitando che la scoperta della violazione ingeneri panico e disorientamento all’interno dell’organizzazione aziendale.

I passaggi sopra descritti devono, naturalmente, essere attentamente valutati da ciascuna azienda tenendo conto delle proprie caratteristiche, con l’aiuto di consulenti affidabili e preparati, sia sotto il profilo tecnico sia sotto il profilo legale.

Affidarsi, infatti, a consulenti esperti è il miglior investimento che un’azienda possa fare per prevenire futuri attacchi, rafforzare le proprie difese e, nella malaugurata ipotesi di incidente, minimizzare i danni, evitando sanzioni e conservando la propria reputation sul mercato.

La presente Newsletter ha il solo scopo di fornire aggiornamenti e informazioni di carattere generale. Non costituisce pertanto un parere legale né può in alcun modo considerarsi come sostitutiva di una consulenza legale specifica.

La presente Newsletter ha il solo scopo di fornire aggiornamenti e informazioni di carattere generale. Non costituisce pertanto un parere legale né può in alcun modo considerarsi come sostitutiva di una consulenza legale specifica.
Per chiarimenti o informazioni potete contattare l’autore oppure il Vostro Professionista di riferimento all’interno dello Studio.

Alessandro Ronchi, Of Counsel
E: a.ronchi@nmlex.it
T.:+39 02 6575181

Pubblicato il:

Iscriviti alla newsletter

Copyright Nunziante Magrone Studio Legale Associato | P.IVA 06080161000 | Privacy policy | Cookie policy | Note legali |