Data rubati, nasce una nuova task force interdipartimentale: gli obiettivi

Gli ultimi data breach hanno spinto il Garante per la protezione dei dati personali ad istituire una task force interdipartimentale per tutelare le banche dati

Foto di Donatella Maisto

Donatella Maisto

Esperta in digital trasformation e tecnologie emergenti

Dopo 20 anni nel legal e hr, si occupa di informazione, ricerca e sviluppo. Esperta in digital transformation, tecnologie emergenti e standard internazionali per la sostenibilità, segue l’Innovation Hub della Camera di Commercio italiana per la Svizzera. MIT Alumni.

Pubblicato: 11 Novembre 2024 12:02

Data rubati, nasce una nuova task force interdipartimentale: gli obiettivi
Fonte: 123RF

L’accesso abusivo alle banche dati istituzionali è sicuramente un problema diffuso che va affrontato con immediatezza e al contempo con sistematicità. Gli ultimi data breach, tenendo conto tuttavia che le indagini sono ancora in corso, potrebbero metterci di fronte, concretamente, alla presenza di un mercato dei dati personali che andrebbe ad incidere negativamente sul nostro sistema democratico, minandolo.

La task force sui data breach

“Il fenomeno degli accessi abusivi alle banche dati pubbliche e private è da sempre all’attenzione del Garante per la protezione dei dati personali – afferma il Garante Pasquale Stanzione – e negli anni è stato oggetto di numerosi provvedimenti volti ad innalzare le misure di sicurezza sia da un punto di vista tecnico che organizzativo”.

I recenti casi di data breach, ossia accessi non autorizzati ai database della Pubblica amministrazione per l’esfiltrazione di dati, richiedono il coinvolgimento di settori di competenza per identificare nell’immediatezza le azioni da intraprendere a garanzia delle banche dati.
Vengono, altresì, definite misure di sicurezza, tecniche e organizzative, adeguate riguardo agli accessi da parte del personale autorizzato, con uno sguardo attento al complesso delle operazioni svolte dagli incaricati della loro gestione e manutenzione. Rimangono sempre rilevanti le attività ispettive nei confronti di società già individuate.

Monitoraggio costante dei database

“Negli ultimi anni, dalle segnalazioni ricevute, risulta un incremento del fenomeno collegato alla rivendita di informazioni riservate presenti nelle banche dati pubbliche da parte di società private – afferma il Garante – che, anche avvalendosi di agenzie di investigazione privata, offrono servizi di ‘informazioni investigate’ a chiunque ne abbia interesse, anche attraverso opachi meccanismi di reperimento dei dati”.

Il Garante sottolinea che il fenomeno degli accessi abusivi ai database è da sempre monitorato, laddove sono state adottate misure per migliorarne la sicurezza. Tuttavia, si rileva che il fenomeno è in aumento e va a legarsi indissolubilmente con la vendita di dati riservati da parte di società private, che utilizzano anche investigazioni private per offrire servizi di informazioni a chi ne è interessato.

Difendere i dati personali

Difendere i dati personali e le infrastrutture dove sono trattati e conservati è un valore di portata costituzionale, di cui tutti ne beneficiano. Il potere risiede dove si trovano le informazioni. Nel corso degli anni, l’Autorità Garante ha fornito numerose indicazioni per la protezione dei dati personali contenuti nelle grandi banche dati, suggerendo diverse misure di sicurezza tecniche e organizzative e, soprattutto, il periodico monitoraggio della loro efficacia.

Tra le misure consigliate vi sono:

  • predisporre sistemi di allerta efficaci che rilevino anomalie negli accessi e nelle operazioni, contribuendo a scoprire vulnerabilità potenzialmente sistemiche
  • evitare la duplicazione di banche dati per limitare il perimetro di vulnerabilità a cui esse sono esposte
  • prevenire violazioni analoghe a quelle recenti è un’esigenza e un obiettivo a lungo termine, vista la consapevolezza del valore nevralgico che la protezione dei dati personali riveste per la tenuta del sistema democratico
  • agire con interventi e investimenti strutturali e mirati per rafforzare la consapevolezza sul tema e innalzare la sicurezza delle infrastrutture e dei sistemi dove sono trattati e conservati i dati personali diventa una necessità, forte anche della rilevanza di garantire la tenuta dell’assetto democratico del Paese.

Le pubbliche amministrazioni debbono essere supportate per arginare e ridurre le devianze diffuse, così come diventa prioritario un cambiamento culturale verso una consapevolezza più profonda della centralità della protezione dei dati, diritto fondamentale sancito dagli articoli 16 TFUE e 8 CDFUE, la cui tutela richiede un rafforzamento delle Autorità di vigilanza. La tutela dei dati personali deve tornare al centro di investimenti necessari nel pubblico come nel privato.

Cybercrime, un trend che preoccupa

Il Rapporto Clusit, edizione I semestre 2024,inizia con una panoramica degli incidenti di sicurezza più significativi avvenuti a livello globale nel primo semestre del 2024, confrontandoli con i dati raccolti negli anni precedenti. L’analisi degli attacchi in Italia è completata dalle rilevazioni e segnalazioni della Polizia Postale.
A questi dati si aggiunge un approfondimento sulla evoluzione della Cybersecurity in ambito manifatturiero/industriale, con i dati di settore tratti dalle ultime rilevazioni Clusit al 30 giugno 2024. Completa lo speciale Manufacturing un articolo sul Regolamento Macchine e la Cybersecurity nel settore manifatturiero, a cura di CAST.

Nel rapporto si evidenzia che il numero di attacchi che hanno colpito il settore Energy & Utilities andati a buon fine è raddoppiato in 4 anni, tra il 2018 ed il 2022. Nel 2023 si nota finalmente una importante flessione rispetto al 2022 (-15%). Il 2024 vede solo nel primo trimestre più della metà del numero di incidenti verificatisi nell’intero anno precedente.
Preoccupa il trend, che se dovesse confermarsi, potrebbe riportare il dato 2024 ai picchi del 2022 o addirittura al numero più rilevante di sempre nel settore. A livello mondiale, Europa ed Americhe si dividono equamente l’80% dei casi esaminati, con un’importante riduzione degli incidenti in Asia ed una forte crescita in Africa.

Il malware è la principale causa di incidente, rappresentando ben il 60% delle tecniche di attacco nel 2023 ed il 96% nel 2024. Resta estremamente rilevante il numero di casi che hanno come “punto di ingresso” la presenza di vulnerabilità (13% nel 2022, 11% nel 2023).

Nel 2023 due terzi degli attacchi andati a buon fine hanno provocato impatti critici, mentre la somma di impatti Critical e High rappresenta ben il 90% del campione. Quindi, confrontando questi dati con il numero totale degli incidenti, il 2023 è stato un anno che ha visto una flessione del numero di incidenti, ma non degli impatti.

Sommando le gravità Critical e High, gli impatti sono peggiorati sia nel 2023 che nel 2024. Rispetto al preoccupante aumento della tendenza 2024, per la prima volta, invece, si osserva una flessione degli impatti Critical, per quanto la gravità High resti assolutamente preoccupante. Il cybercrime si conferma la causa principe, anno su anno, degli incidenti nel settore.