Italiano
The article 33 of the Regulation EU 679/2016 states that in the case of a personal data breach, the controller shall without undue delay notify the personal data breach to the supervisory authority competent.
From the companies and the professionals’ point of view, it is therefore necessary to adopt technical and organizational measures to understand, in the shortest time possible, if a personal data breach has occurred. This aspect must be part of a plan that starts from a risk evaluation and from the identification of the personal data that could be the subject of “data breach”, in order to identify and implement a data management and control system.
Nevertheless, if a company suffers a “data breach”, who is damaged, is the person who has provided this company with its personal data.
Therefore, anyone can be the victim of a data breach so it is important to protect our virtual identities activating all the security measures offered by the services to which we are registered.
In this regard, I also recommend a check on the website HaveIBeenPwned (https://haveibeenpwned.com/), which collects a database of accounts that are present in the main data breaches.
L’articolo 33 del Regolamento UE 679/2016 impone al titolare del trattamento la notifica della violazione di dati personali (data breach) all’autorità di controllo competente.
Da un punto di vista delle aziende e dei professionisti è quindi necessario adottare misure tecniche e organizzative utili a comprendere, nel più breve tempo possibile, se sia avvenuta una violazione dei dati personali trattati. Tale aspetto deve rientrare in un più complesso piano di adeguamento che parta da una valutazione del rischio e dall’identificazione dei dati personali che potrebbero essere oggetto di “data breach”, arrivando a individuare e implementare un sistema di gestione e controllo dei dati.
Vi è ovviamente il rovescio della medaglia: se una azienda subisce un “data breach”, chi viene colpito è la persona fisica che ha fornito a questa azienda i suoi dati personali. Chiunque può essere quindi vittima di un data breach: basti pensare a tutti i servizi online cui abbiamo conferito, più o meno volontariamente, i nostri dati personali.
Negli ultimi anni diverse aziende, nazionali e internazionali, hanno subito importanti data breach. Tra i più rilevanti Equifax, società di credito americana, e Yahoo!, noto colosso di servizi Internet. Il sito web Breach Level Index (https://breachlevelindex.com/) raccoglie un elenco aggiornato delle principali vittime di data breach a livello mondiale, indicando per ciascuna la data e la modalità con cui è avvenuta la violazione, nonché la quantità e il tipo di dati coinvolti. Viene inoltre indicato il grado di rischio, ovvero quanto questi dati possono essere utili per ottenere informazioni o danneggiare la persona fisica coinvolta attraverso, ad esempio, furti di identità o di denaro.
Le credenziali di accesso ai servizi online (username a password) sono, tra i dati personali, quelli più tradizionalmente interessanti per un “attaccante”. A livello personale, quindi, è utile comprendere se qualche azienda presso cui abbiamo creato una nostra identità virtuale (“account”) sia stata vittima di data breach e se questo abbia coinvolto le nostre credenziali di accesso. Questo non significa che le nostre credenziali o la nostra identità sia stata violata dall’attaccante, ma che le nostre credenziali presso quel servizio sono potenzialmente utilizzabili da un attaccante.
Come fare quindi a verificare? Il sito web HaveIBeenPwned (https://haveibeenpwned.com/) raccoglie un database ricercabile di account che sono presenti all’interno dei principali e noti data breach. La ricerca avviene semplicemente inserendo il proprio indirizzo di posta elettronica, e il sito fornisce una lista delle aziende violate dove è presente l’indirizzo ricercato.
Cosa fare se un nostro indirizzo email risulta presente in un data breach? In questo caso è utile modificare la password di accesso allo specifico servizio (e a tutti i servizi dove abbiamo utilizzato la stessa password del sito violato…)
Come proteggere le nostre identità virtuali? Per diminuire il rischio o comunque tenere sotto controllo accessi non desiderati ai nostri account, è utile attivare tutte le misure di sicurezza offerte dai vari servizi a cui siamo registrati. Tra questi, sicuramente, le notifiche attraverso email o SMS quando avvengono nuovi accessi e l’autenticazione a 2 fattori, ovvero la necessità, per accedere a un servizio, di utilizzare sia una password sia un codice one-time, generato per ogni sessione. L’autenticazione a 2 fattori viene implementata dai servizi online, tipicamente, attraverso l’invio di un messaggio SMS contenente un codice da inserire per effettuare l’accesso. Tale funzionalità, già utilizzata da ciascuno di noi per l’accesso ai sistemi più critici come ad esempio l’home banking, è attivabile anche sui principali servizi dove conserviamo informazioni personali. Il sito web TurnOn2FA (https://www.turnon2fa.com/) raccoglie le istruzioni per attivare l’autenticazione a 2 fattori sui principali servizi utilizzati a livello mondiale (es. Google, Facebook, Apple, Instagram, Twitter, PayPal, ecc.).
Mattia Epifani
CEO di REALITY NET – System Solutions, azienda di consulenza informatica con sede a Genova, dove si occupa di Digital Forensics, Forensic Readiness, Mobile Security e Incident Response
mattia.epifani@realitynet.it
