Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Data breach e comunicazione agli interessati: gli errori più comuni

Stefano Gazzella : 7 Ottobre 2022 08:00

Autore: Stefano Gazzella

Per quanto nella gestione di un data breach il silenzio sia un’indecenza, anche svolgere delle comunicazioni inesatte, incomplete e generalmente non conformi alle prescrizioni dell’art. 34 GDPR è una delle worst practices tristemente diffuse che vanno ad impattare sugli interessati.

Potendo purtroppo ricorrere ad un ampio e vario catalogo di incidenti di sicurezza – per lo più derivanti da minacce di tipo ransomware – in costante aggiornamento, è stato possibile riscontrare una vera e propria Hall of Shame delle peggiori scelte in tale ambito. Il tutto viene dettato dalla volontà di allontanare ogni responsabilità che si pone in palese conflitto con quel principio di accountability che presiede l’azione del titolare del trattamento anche e soprattutto nella gestione dei momenti critici, in cui deve sempre essere orientata alla ricerca della migliore tutela possibile per l’interessato andando così ad integrare l’azione di damage control.

Ma quali sono gli errori più ricorrenti e comuni? Ecco un sintetico podio rappresentativo, cui sicuramente se ne possono aggiungere altri per frequenza e gravità d’impiego.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Eccessiva genericità nella descrizione dell’evento. Quante volte si assiste ad un comunicato del tipo: “I nostri sistemi sono stati oggetto di un attacco”, senza alcuna specifica circa le sorti dei dati compromessi? Se l’attacco ha esfiltrato dei dati, o se c’è stata una minaccia di pubblicazione degli stessi, è bene che gli interessati potenzialmente coinvolti ne siano consapevoli affinché possano adottare in autonomia degli accorgimenti a protezione.

Certo, è possibile che alcuni dettagli emergano solo in corso di investigazione, ma molto spesso il comunicato iniziale è destinato a non trovare alcun aggiornamento e dunque continua ad esprimere quell’originario sentore di indeterminata vaghezza.

Sminuire l’accaduto. Molto spesso la chiosa dei comunicati consiste in un “Non ci sono evidenze circa la compromissione di dati sensibili”, “I sistemi saranno presto ripristinati” o “La violazione è stata oggetto di denuncia alle autorità competenti”, il cui effetto al più può consistere nel fornire una parvenza di rassicurazione e dunque va a ridurre o distorse la percezione di rischio degli interessanti. Nel peggiore dei casi può essere sintomatico di una grave mancanza di consapevolezza da parte dell’organizzazione nella gestione dei rischi.

Non indicare le conseguenze della violazione. Omissione altrettanto ricorrente riguarda l’indicazione delle probabili conseguenze della violazione dei dati personali, spesso figlia di una volontà all’origine di mantenere la comunicazione vaga o di voler sminuire l’accaduto. Eppure, è altrettanto grave dal momento che produce l’effetto di rendere impossibile all’interessato di comprendere la portata dei pericoli cui può essere esposto. Oppure è un elemento indiziario circa l’incapacità dell’organizzazione di comprendere la portata del data breach e poter efficacemente predisporre delle misure di contenimento e mitigazione.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

BitLocker sotto Attacco! Una nuova tecnica consente movimenti laterali eludendo i controlli
Di Redazione RHC - 04/08/2025

Attraverso la funzionalità Component Object Model (COM) di BitLocker, gli aggressori possono mettere in atto una tecnica innovativa di pivoting, finalizzata all’esecuzione di codice malevo...

14,5 miliardi di dollari rubati a LuBian! E’ il più grande furto di criptovaluta della storia
Di Redazione RHC - 04/08/2025

Nel dicembre 2020, il mining pool cinese LuBian, che all’epoca occupava quasi il 6% della capacità totale della rete Bitcoin, è stato vittima di un attacco la cui portata è stata...

Le Aziende Falliscono per il ransomware! Einhaus Group chiude, ed è un monito per tutti
Di Redazione RHC - 04/08/2025

Ne avevamo parlato con un articolo sul tema diverso tempo fa redatto da Massimiliano Brolli. Oggi la sicurezza informatica non è più un’opzione né un valore accessorio: è un...

Scarafaggi Cyborg: a Singapore la prima produzione in serie di scarafaggi cyborg al mondo
Di Redazione RHC - 04/08/2025

Scienziati della Nanyang Technological University, insieme a colleghi giapponesi, hanno creato la prima linea robotica al mondo per la produzione in serie di scarafaggi cyborg. Ciò ha permesso di...

L’IA ha fame di Energia! Al via HyperGrid, il più grande complesso nucleare privato
Di Redazione RHC - 03/08/2025

Fermi America ha firmato un memorandum d’intesa con Hyundai Engineering & Construction (Hyundai E&C) per progettare e costruire la parte nucleare di un progetto infrastrutturale energet...