1. DATA BREACH:
DIETRO LE QUINTE DI UN ATTACCO INFORMATICO
Gli obblighi del GDPR in caso di Data Breach
Webinar - 29 aprile 2020
Webcast: https://youtu.be/mfOFz2-M1zE?t=508
2. Dott. Adriano Bertolino, DPO 29/04/2020
CHI SONO?
DOTT. ADRIANO BERTOLINO
Data Protection Officer (DPO)| Consulente della Privacy
Consulente e formatore in materia di protezione dei dati personali
Dal 2001 mi occupo di consulenza tecnico-giuridica e formazione in materia di
protezione dei dati personali per Pubbliche Amministrazioni ed Imprese.
Relatore in numerosi convegni e seminari di approfondimento sul tema della
privacy e sicurezza dei dati personali in eventi nazionali ed internazionali.
Data Protection Officer e Consulente Privacy per Gruppi Imprenditoriali e Enti
della Pubblica Amministrazione.
Lead Auditor ISO/IEC 27001:2013 (Sistemi di Gestione della Sicurezza delle Informazioni)
Delegato Regionale Sicilia
Occidentale ASSO DPO
it.linkedin.com/in/adrianobertolino
@adrybertolino
www.adrianobertolino.it
info@adrianobertolino.it
Certificato TÜV Italia n° CDP_272
conforme ISO/IEC 17024:2012
n° 004 Reg. Cepas
SH124-SH162
4. Dott. Adriano Bertolino, DPO 29/04/2020
Cos’è un Data Breach?
«violazione dei dati personali»:
la violazione di sicurezza che comporta accidentalmente o in
modo illecito la distruzione, la perdita, la modifica, la
divulgazione non autorizzata o l'accesso ai dati personali
trasmessi, conservati o comunque trattati;
R.I.D. = RISERVATEZZA, DISPONIBILITA’, INTEGRITA’
5. Dott. Adriano Bertolino, DPO 29/04/2020
Security Incident vs Data Breach
Security Incident
Data Breach
6. Dott. Adriano Bertolino, DPO 29/04/2020
Riconoscere un Data Breach
TIPO DI BREACH DEFINIZIONE
DISTRUZIONE
“violazione della
disponibilità”
I dati personali, non sono più nella disponibilità del titolare, né di altri.
PERDITA
“violazione della
disponibilità”
I dati personali, non sono più nella disponibilità del titolare, ma potrebbero
essere nella disponibilità di Terzi (lecitamente o illecitamente).
MODIFICA
“violazione
dell’integrità”
I dati personali, sono stati irreversibilmente modificati, senza possibilità di
ripristinare lo stato originale.
DIVULGAZIONE NON
AUTORIZZATA
“violazione della
riservatezza”
I dati personali, sono trasmessi a Terze parti senza il consenso dell’interessato o
in violazione di norme e/o regolamenti aziendali.
ACCESSO NON
AUTORIZZATO
“violazione della
riservatezza”
I dati personali, sono stati resi disponibili, anche temporaneamente, a persone
non autorizzate ad accedere al dato secondo principio di pertinenza e non
eccedenza, o secondo i regolamenti aziendali.
8. Dott. Adriano Bertolino, DPO 29/04/2020
Alcuni Data Breach in Italia
05/11/2019
• Prefettura di Napoli: 400 Users mail nomi num di telefono;
• Associazione Nazionale Polizia di Stato: 2904 password in chiaro e Admin password in MD5;
• Camera dei Deputati: hacked e deface, +400 Database + XSS;
• Istituto Grandi Infrastrutture: Password Admin in chiaro;
• Ordine Avvocati Grosseto: Password Admins in MD5
• Ordine avvocati Arezzo: Password Admins in MD5
• Ordine avvocati Perugia: 2538 entries Users and email
• UDAI Avvocati sez. Bari: +400 Users email e password;
• Istituto Nazionale Tributaristi: 200 email, nomi, numeri di telefono.
9. Dott. Adriano Bertolino, DPO 29/04/2020
PRINCIPALE CAUSA DI DATA
BREACH DI DATI PERSONALI?
MANCANZA DI
CONSAPEVOLEZZA
Dati Personali NOTI:
• Email e Documenti
• Elenchi e Prospect
• Clienti e Fornitori
• Collaboratori
Dati Personali SOMMERSI:
• Copie su pendrive o cloud non gestiti
• Post-it su monitor
• Device personali (smartphone)
• Dati da spazzatura
• Accessi locali e remoti incustoditi
10. Dott. Adriano Bertolino, DPO 29/04/2020
Costo di un Data Breach
Il costomedio di un DataBreach del2019 è di circa € 3,4 milioni per Incident
Il costo di una singola violazione:
> 1 milione record di dati persi = circa € 36 milioni
> 50 milioni di record persi = circa € 300 milioni
L’importo è costituito da 4 categorie:
1.Rilevamento ed escalation (31,1%)
2.Risposta post-violazione (27,3%)
3.Notifica (5,4%)
4.Perdita d’Affari (36,2%)
11. Dott. Adriano Bertolino, DPO 29/04/2020
Costo di un Data Breach
La probabilità che un'organizzazione subisca una
violazione dei dati nei prossimi due anni è di circa il 30%.
+ 1,3% rispetto al 2018;
+ 6,6% rispetto al 2017
Dati Infosec
LA QUESTIONE NON E’ SE AVRO’ UN DATA BREACH, MA QUANDO!!!
12. Dott. Adriano Bertolino, DPO 29/04/2020
L’ANELLO DEBOLE…
ANTIVIRUS NON
AGGIORNATO
MASSIMA
PROTEZIONE
VULNERABILITA’
FORMAZIONE NON
EFFETTUATA
DATA
BREACH
13. Dott. Adriano Bertolino, DPO 29/04/2020
COME AFFRONTARE UN DATA BREACH?
Misure di sicurezza adeguate
per prevenire gli incidenti
• Accessi non autorizzati o illeciti;
• Perdita o distruzione dei dati ;
• Danni accidentali;
Policy Incident Management
• Definire ruoli e responsabilità;
• Procedure di risposta all’evento e
contromisure;
• Tempi di reazione per affrontare,
valutare e risolvere l’incidente di
sicurezza:
Il Titolare del trattamento è responsabile della compliance di ogni trattamento
effettuato e deve essere in grado di comprovarlo («accountability»)
14. Dott. Adriano Bertolino, DPO 29/04/2020
ELEMENTI DELLA PROCEDURA
PER IL DATA BREACH
RILEVAMENTO VALUTAZIONE CONTENIMENTO
RISOLUZIONE REGISTRAZIONE NOTIFICA
15. Dott. Adriano Bertolino, DPO 29/04/2020
MISURE TECNICHE PER UN DATA BREACH
I DATI DEI LOG POTREBBERO AIUTARE A DETERMINARE
Fonte Causa Attore
UTILIZZO DI TECNOLOGIE DI LOG ANALYSIS
Definire alert specifici in base ai log raccolti
STRUMENTI E TECNICHE DI LOG MANAGEMENT
Data flow Software
16. Dott. Adriano Bertolino, DPO 29/04/2020
Notifica del Data Breach
In caso di data breach (violazione dei
dati personali) il Titolare dovrà
comunicare entro 72 ore al Garante
l’evento
E
Se tale violazione comporti elevati
rischi per i diritti e le libertà degli
interessati andrà comunicato
tempestivamente anche a questi.
17. Dott. Adriano Bertolino, DPO 29/04/2020
Sanzioni: € 10.000.000 o, il 2%
• art. 8: consenso del minore
• art. 11: elaborazione che non richiede identificazione
• art. 25: Privacy by design and by default
• art. 26: Contitolarità
• art. 27-28: Rappresentanti di titolariresponsabili del
trattamento non stabiliti nell'UE
• art. 26 -29 e 30: rispetto prescrizioni di nomina,
autorizzazione e tenuta adeguata documentazione
• art. 31: cooperazione con l'autorità di controllo
• art. 32: Sicurezza dei dati
• art. 33: Notifica di violazioni
all'autorità di controllo
• art. 34: Comunicazione di
violazioni agli interessati
• art. 35: valutazione dell'impatto sulla protezione dei
dati
• art. 36: consultazione preventiva
• art. 37-39: Nomina DPO
• art. 41 (4): monitoraggio dei codici di condotta
approvati
• art. 42: certificazione
• art. 43: organismi di certificazione
18. Dott. Adriano Bertolino, DPO 29/04/2020
IL PERICOLO PIÙ GRANDE…?
PERDITA DI CREDIBILITÀ SUL MERCATO
BRAND REPUTATION
19. Dott. Adriano Bertolino, DPO 29/04/2020
Costruzione o
consolidamento della
fiducia con gli
stakeholder
Innovazione
tecnologica nella
sicurezza dei dati
aziendali
Crescita economica da
brand
Differenziazione dai
competitor in base
alla compliance
COMPLIANCE GDPR = OPPORTUNITÀ