Blog : furto di dati personali

GLI ELEVATI RISCHI INFORMATICI NELLA GESTIONE DEI DATI PERSONALI TRATTATI DALLE AZIENDE: METODOLOGIE DI PREVENZIONE

GLI ELEVATI RISCHI INFORMATICI NELLA GESTIONE DEI DATI PERSONALI TRATTATI DALLE AZIENDE: METODOLOGIE DI PREVENZIONE

445 miliardi di dollari l’anno, secondo le stime della World Bank, è il costo degli attacchi informatici, pesando in maniera maggiore sulle 10 maggiori economie mondiali. Di questi attacchi il 31% è dovuto a incidenti riguardanti la sicurezza dei dati (fonte: www.bakerlaw.com), ovvero casi di phishing, attacchi hacker e malware, con forte impatto, principalmente, nel settore delle industrie farmaceutiche. A fronte di questi allarmanti dati le previsioni per il futuro non sembrano certo essere rosee; il costo del crimine informatico continuerà ad aumentare in maniera proporzionale all’aumento della connettività di aziende e privati.

Gli studi stimano che l’economia di Internet ogni anno genera tra 2.000 e 3.000 miliardi di dollari, una quota dell’economia globale che è destinata a crescere rapidamente, quota che viene ridotta circa del 15 % – 20 % dai crimini informatici. Il cybercrime produce rendimenti elevati a basso rischio e, relativamente, a basso costo per gli hacker, le violazioni rappresentano un costo sistematico per le imprese.

Ed è così che la questione della tutela della privacy in internet ha travolto tutti, dalle pubbliche amministrazione alle aziende fino ai singoli privati. L’8 giugno u.s. il sito LeakedSource ha rivelato di essere in possesso di circa 32 milioni di account twitter – ovvero indirizzi mail, username e password, in vendita nel dark web. I dati personali hackerati sui vari social e siti web vengono poi rivenduti dai pirati informatici, in un vero e proprio mercato nero dove ogni account viene venduto anche per meno di 1 dollaro.

I furti di dati personali oltre a rappresentare una perdita economica, sempre più di frequente, producono un considerevole danno d’immagine sul mercato per l’azienda “vittima”, come ad esempio accaduto alla Sony, la quale dopo aver subito un attacco hacker ha visto crollare il proprio titolo in borsa e, conseguentemente, la propria credibilità.

Il vero “dramma” per le aziende colpite o attentate è la sempre maggiore presenza di soggetti radicati nella stessa organizzazione aziendale che portano avanti indisturbati la loro opera di sottrazione di dati anche per anni. Proprio a riguardo, il report “The State of Cybersecurity and Digital Trust 2016” (scaricabile cliccando qui) realizzato per conto di Accenture da HfS Research, ha evidenziato che il 69% dei security manager intervistati ha dovuto fare i conti in azienda con furti di dati da parte di insider.

Ma oltre il danno la beffa! È così che, nel caso in cui una società subisca un furto di dati, questa potrebbe vedersi addirittura “imputata”, a norma di quanto previsto dal D.lgs. 231/01: il decreto in questione prevede la responsabilità dell’ente per un reato informatico commesso a suo vantaggio o nel suo interesse da parte di amministratori, dirigenti e/o dipendenti, noncuranti minimamente dei presidi di sicurezza assolutamente necessari per la protezione dei dati (adozione di misure minime e misure idonee, sia fisiche e sia logiche).

Nel caso, molto frequente, in cui l’autore materiale non venga individuato dalle autorità inquirenti, e quindi non potendosi dimostrare che l’autore abbia agito a suo vantaggio esclusivo, è la società stessa a vedersi attribuita la responsabilità.

L’azienda va protetta prima di tutto dall’interno, partendo da una sensibilizzazione dei dipendenti, i quali sovente incorrono in reati senza esserne pienamente coscienti, come nel caso di utilizzo di software non originali o del download di file da siti pirata: necessario rendere i propri dipendenti consapevoli dei rischi e di tutto quello che può rappresentare una minaccia alla sicurezza e alla stessa esistenza della società Occorre poi stabilire gradi di responsabilità all’interno della società in ordine al trattamento dei dati, ed adottare e portare a conoscenza di tutti i dipendenti una policy privacy che sia calata nella realtà aziendale.

il problema principale è la mancata presa di coscienza della portata del rischio in cui incorre l’azienda, da parte soprattutto degli stessi vertici: investire risorse nella sicurezza, dotarsi di un valido ed efficace Modello di Organizzazione Gestione e Controllo e formare i dipendenti appaiono essere per le aziende i mezzi più adeguati per tutelarsi sia dagli attacchi interni e sia da eventuali imputazioni per responsabilità ex D.lgs. 231/01.

Per ulteriori approfondimenti visitate un articolo molto interessante pubblicato su “altalex” cliccando qui.