I rischi di un data breach: dal furto di identità, al pericolo di vita.

Benvenuti alla puntata numero 87 di Cronache Digitali! Come sempre la puntata è disponibile anche in Podcast, cliccando qui.

🙏

Ricordo che questo blog ed il podcast, sono gratuiti ed "indipendenti", ovvero senza alcuna sponsorizzazione e vengono realizzati nel mio tempo libero. Se vuoi sostenermi in questo progetto divulgativo, con un piccolo contributo (quasi simbolico!) puoi farlo iscrivendoti ad un piano a pagamento, che tra l'altro puoi annullare quando vuoi (e comunque riceverai sempre gli aggiornamenti!)

I rischi di un data breach.

Nel mio blog (e podcast) ho da sempre raccontato come un data breach - ovvero un furto di informazioni a danno di una azienda che li detiene - possa comportare gravi conseguenze per gli interessati.

Conseguenze che sappiamo essere nella maggior parte legate al furto di identità. Ovvero, i criminali informatici responsabili del furto, hanno l'opportunità di "assumere" l'identità di una delle vittime i cui dati sono all'interno del data breach, per poi compiere ulteriori attività illecite.

Come, ad esempio, utilizzare servizi di terze parti senza autorizzazione, oppure effettuare acquisti o prenotazioni a nome di qualcun altro.

Una buona notizia dal Lussemburgo.

Partiamo con le buone notizie: la commissione per la protezione dei dati del Lussemburgo, ha da poco annunciato i dati relativi al 2021.

49 i casi rilevati di violazione del GDPR, che hanno portato un totale di 319.500 Euro di multe. Segnalo anche che Amazon, che ha sede proprio in Lussemburgo, fu multata nel luglio 2021 per mancato rispetto delle norme europee sulla protezione dei dati, con una multa record di 746 milioni di Euro, poi sospesa nel dicembre dello stesso anno dopo il ricordo di Amazon stessa. Ma questa è un altra storia...

333 le violazioni segnalate nel 2021, in calo rispetto alle 379 dell'anno precedente, il 2020. 512 i reclami di cittadini, invece, che ritenevano che i loro diritti o le leggi GDPR non fossero stati rispettati.

Perché questa è una buona notizia? Innanzitutto perché sembra che il 2021 sia leggermente migliorato rispetto al 2020 sul fronte delle violazioni tra segnalate e riscontrate. Ovviamente stiamo analizzando un piccolissimo campione: quindi possiamo solo sperare che questa tendenza sia confermata.

Un altro motivo per cui questa è una buona notizia, risiede a mio avviso nel fatto che sembra che le persone, singoli individui o piccole comunità, stiano piano piano prendendo coscienza dell'importanza dei propri dati e del fatto che oggi ci sono strumenti per poter aprire un reclamo, un contenzioso, per far valere i propri diritti.

In Italia, il Garante per la Protezione dei Dati Personali, ricordo che mette a disposizione dei cittadini molti strumenti per poter informarsi ed accedere alle piattaforme che permettono di aprire un reclamo. Dateci un occhiata e non sottovalutatele.

Un data breach può mettere in pericolo la vita di una persona?

Purtroppo sì. Come riportato in un interessante articolo su Bleeping Computer, alcuni agenti segreti della polizia australiana sono stati esposti a causa di un data breach. Ma vediamo cosa è successo.

Un gruppo attivista chiamato Guacamaya, ha fatto trapelare più di 5 TB di dati sottratti al governo colombiano. In questi dati, tra documenti classificati, email, comunicazioni personali, erano presenti i dettagli di 35 operazioni che la Polizia Federale Australiana aveva messo in campo per cercare di bloccare i cartelli della droga colombiana che operano in Australia.

Questo significa che alcune delle identità segrete del personale di polizia australiano siano state compromesse. Le autorità australiane sono immediatamente corse ai ripari per tutelari i propri agenti.

Questo caso è emblematico del fatto che la diffusione di informazioni non adeguatamente protette, possa avere conseguenze imprevedibili e a volte anche molto pericolose.

Subire un data breach: dichiaralo o tacere?

Vediamo ora un altro aspetto relativo sempre ai data breach, del quale ho trovato un interessantissimo articolo che vi consiglio di leggere (link): il giornalista parte da una domanda.

Quando un autorità locale o centrale viene colpita da un data breach, quanto di deve o può dire ai cittadini?

A prima vista può sembrare sciocco porsi una domanda del genere perché in GDPR indica quali siano i casi in cui è dovuta una comunicazione agli interessati. Il problema, nell'atto pratico, è che l'interpretazione di queste norme è in qualche modo soggettiva. Il Garante dice quanto segue:

fonte: sito del garante dei dati personali.

Ed aggiunge:

Ma cosa significa "rischio per i diritti e le libertà delle persone fisiche"? E "rischio elevato"?

Da quanto abbiamo visto e per quello che sappiamo su come possono essere utilizzati i dati rubati nel mondo del cyber crime, a mio parare, c'è sempre un rischio dei diritti e delle libertà delle persone fisiche e questo è sempre un rischio elevato. Punto.

La realtà però è diversa. Ho raccontato spesso di furti di informazioni verso la Pubblica Amministrazione, soprattutto quella locale, più indifesa. Ma, per quanto ne so, nella maggior parte dei casi i cittadini non sono stati avvertiti, oppure il messaggio è stato limitato ad un laconico banner sul sito istituzionale.

L'articolo a cui mi riferivo prima, affronta la questione sotto due punti di vista: il primo, quello dei sostenitori della "trasparenza" che dicono che tutto deve essere comunicato quando una PA subisce un data breach. I secondi, ovvero chi si occupa delle infrastrutture IT e della security che invece sostiene che tali eventi non devono essere pubblicizzati perché possono fornire ulteriori informazioni ai cyber criminali.

In Georgia, ad esempio, una recente legislazione ha posto forti limiti a ciò che il Governo locale deve condividere sugli incidenti informatici.

C'è probabilmente un equilibrio da mantenere, ma certo è una questione interessante da approfondire. Quando un ente governativo subisce un attacco, comunicarlo velocemente potrebbe in qualche modo "invitare" altri attori criminali a focalizzarsi su quel bersaglio.

C'è da dire anche che oggi, però, gli attacchi vengono rivendicati apposta dalle gang criminali anche per questo motivo, di conseguenza, forse, questa è più una certezza che un rischio.

A proposito di data breach non comunicati: l'attacco alla chiesa Chiesa di Gesù Cristo dei Santi degli Ultimi Giorni.

E' stato rese noto solo alcune settimane fa, ma nel mese di Marzo scorso la Chiesa di Gesù Cristo dei Santi degli Ultimi Giorni, presente in più di 170 nazioni nel mondo, con oltre 16 milioni di fedeli (fonte Wikipedia), ha subito un data breach che - a quanto comunicato - contiene i dati personali degli iscritti e dei dipendenti.

Questo post è solo per gli iscritti

Iscriviti ora per leggere il post e far parte della community. E' gratis, veloce e sicuro.

Iscriviti ora Hai già un account? Accedi

I rischi di un data breach: dal furto di identità, al pericolo di vita.

I rischi di un data breach.

Una buona notizia dal Lussemburgo.

Un data breach può mettere in pericolo la vita di una persona?

Subire un data breach: dichiaralo o tacere?

A proposito di data breach non comunicati: l'attacco alla chiesa Chiesa di Gesù Cristo dei Santi degli Ultimi Giorni.

Questo post è solo per gli iscritti

Guarda i post pubblici

Ransomfeed: monitorare gli attacchi informatici. Un progetto Made in Italy.

Scansioni di Stato e Bitcoin rubati (dentro una confezione di popcorn).

Cosa è successo al cellulare di Liz Truss? Storie di cyber security, nel nuovo Podcast Cronache Digitali!

Uber colpita da un attacco informatico. Come limitare i rischi dei gamer. Ancora LastPass.

Iscriviti per ricevere i nuovi post.