Oltre al sistema Terra-Luna, sono noti migliaia di asteroidi noti come Near-Earth Objects (NEO). Queste rocce attraversano periodicamente l’orbita terrestre e formano un vicino sorvolo della Terra. Nel corso di milioni di anni, alcuni addirittura si sono scontrati con la Terra, causando estinzioni di massa. Non c’è da stupirsi quindi perché il Center for Near Earth Object Studies (CNEOS) della NASA sia dedicato al monitoraggio degli oggetti più grandi che occasionalmente si avvicinano al nostro pianeta.

Se studi l’astronomia, probabilmente hai familiarità con il concetto di NEO, che sono oggetti che potrebbero colpire la terra e potenzialmente causare un evento di estinzione. Per gli MSP, le violazioni dei dati possono avere lo stesso effetto sulle loro attività come i NEO possono avere sulla Terra. L’ obbligo del regolamento generale sulla protezione dei dati (GDPR) di indagare e segnalare violazioni dei dati entro una finestra di 72 ore può far sentire le violazioni dei dati altrettanto minacciose in termini di potenziali danni.

Il testo del GDPR può sembrare vago quando si tratta della parte di notifica della violazione dei dati. Tuttavia, ciò che possiamo dire con certezza è che, ad un certo punto, probabilmente avrai un cliente che ti chiede di aiutarlo a soddisfare i requisiti di risposta alla violazione dei dati del GDPR. Potrebbero anche non avvicinarti: potresti essere tu a scoprire la potenziale violazione. Di conseguenza, è importante conoscere le procedure sulle violazioni dei dati da seguire.

Statistiche e fatti chiave sulla segnalazione di violazioni dei dati

Ai sensi dell’articolo 33 del GDPR, le informazioni richieste ai sensi del GDPR per la segnalazione di una violazione dei dati includono:

  • La natura della violazione
  • Il nome / i dettagli di contatto del responsabile della protezione dei dati dell’organizzazione
  • Le probabili conseguenze della violazione
  • Le misure adottate o proposte dal titolare del trattamento per far fronte alla violazione e mitigarne gli effetti negativi

Ciò significa che dovrai determinarli nel miglior modo possibile dopo aver scoperto una violazione e, se necessario, riferire alle autorità entro la finestra di 72 ore.

Preoccupato per la scadenza di 72 ore? Bene, qui ci sono due statistiche che sono ancora più preoccupanti:

  • Sono necessari in media 191 giorni per identificare una violazione dei dati
  • Meno del 19% delle violazioni dei dati viene rilevato automaticamente

Fortunatamente, la finestra dei rapporti di 72 ore inizia dal momento in cui l’organizzazione viene a conoscenza della violazione. Tuttavia, è piuttosto difficile indagare su una violazione dei dati verificatasi settimane o mesi prima; ricorda che 191 giorni è il tempo medio impiegato per identificare una violazione. Quindi, dal punto di vista della risposta agli incidenti, prima viene rilevata la potenziale violazione, meglio è.

Queste statistiche dipingono un quadro piuttosto cupo dello stato attuale del rilevamento, dell’indagine e della risposta della violazione dei dati. Il GDPR richiederà agli MSP di indagare e rispondere a tutte le violazioni dei dati, e ciò potrebbe essere reso più difficile se non spostano l’ago di rilevamento da 191 giorni a tre più vicini. Per avere una possibilità di combattere per affrontare questa sfida, sono necessari preparazione, strumenti e “un piano”.

In termini di preparazione, consulta le serie di post sul blog della Guida rapida alle strategie GDPR:

Blog 1 – Fornire formazione sulla sicurezza ai dipendenti dei clienti

Blog 2 – Protezione della posta e whitelisting delle applicazioni

Blog 3 – Gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’hard disk…

Blog 4 – le tecnologie di difesa dell’endpoint

Queste strategie potrebbero forse aiutarti a prevenire del tutto le violazioni dei dati dei clienti, ma la strategia principale per gli MSP dovrebbe in primo luogo ridurre sostanzialmente il rischio potenziale di una violazione dei dati dei clienti.

Comprensione delle minacce

Nonostante i tuoi migliori sforzi, un incidente di sicurezza può accadere a un cliente in un istante attraverso un semplice attacco di social engineering, errata configurazione o malware non rilevato. Anche un attacco ransomware potrebbe rientrare nella categoria di una violazione dei dati, il GDPR lo definisce come “una violazione della sicurezza che porta alla distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata o accesso a dati personali, trasmessi, memorizzato o altrimenti elaborato. ” Il ransomware potrebbe rientrare nella categoria “perdita di dati”.

Fortunatamente, gli attacchi di ransomware sono piuttosto evidenti e stanno diventando più facili da correggere, poiché gli strumenti di backup, le migliori pratiche e la tecnologia di sicurezza si sono sempre più concentrati su questa minaccia. Per la stragrande maggioranza degli MSP, gli attacchi ransomware sono probabilmente l’unico incidente di sicurezza che dovranno affrontare. Gli ultimi numeri suggeriscono che il 91% degli attacchi informatici e le risultanti violazioni dei dati iniziano con un attacco di posta elettronica di phishing e, di questi attacchi, il 93% è costituito da payload di ransomware. ,

Per quasi tutti gli altri incidenti di sicurezza, sarà probabilmente necessario esaminare il tipo di violazione dei dati e il tipo di contatti che potrebbero esserci stati tra i criminali informatici. Ciò può includere la determinazione della natura della violazione dei dati o l’identificazione di quali dati sono stati rubati, manomessi o distrutti permanentemente. Potrebbe anche essere necessario determinare se i criminali informatici hanno contattato il cliente o i suoi clienti. In tal caso, potresti avere a che fare con una questione di applicazione della legge, in quanto è possibile che venga fatto un tentativo di estorsione o di ricatto contro il tuo cliente.

Tipi di incidenti di sicurezza

Un errore di sicurezza che porta a una violazione dei dati (diverso dal ransomware, che è ovviamente un problema di disponibilità dei dati) può essere generalmente assegnato in una delle tre seguenti categorie:

  • Divulgazione non autorizzata delle informazioni personali dell’interessato
  • Manomissione o alterazione dei dati personali dell’interessato da parte di una parte non autorizzata
  • Negazione dell’accesso ai dati personali dell’interessato

Pertanto, se i criminali informatici “Bothan” rubano i piani alla “Morte Nera” della tua azienda e i registri del personale imperiale o i registri dei clienti imperiali non fossero inclusi o influenzati in alcun modo, la buona notizia è che il GDPR potrebbe non essere pertinente, anche se i piani della “Morte Nera” erano il lavoro della tua azienda.

Se ritieni che i dati personali degli interessati siano stati potenzialmente influenzati dalla violazione dei dati, dovrai determinare il livello di danno e le conseguenze della violazione. La guida GDPR di SolarWinds MSP può aiutarti a orientarti nella giusta direzione per comprendere la gravità della situazione e il potenziale impatto dei dati rubati.

Successivamente, è tempo di aiutare il cliente a determinare quale linea di condotta intraprendere. Potrebbe essere necessario apportare modifiche a processi, procedure e tecnologia e potrebbe essere necessario contattare i clienti che sono stati interessati, se necessario. Una volta noto che sono stati coinvolti dati personali, è meglio essere estremamente meticolosi nella documentazione e nell’azione. Potrebbe essere necessario che l’Autorità di vigilanza della propria area venga informata della violazione, pertanto è consigliabile disporre della documentazione di tutti i propri sforzi in buona fede.

Cosa aspettarsi durante un incidente con violazione dei dati

In qualità di MSP – e possibilmente primo soccorritore di una situazione di violazione dei dati – tutto il lavoro svolto verrà esaminato attentamente. Ma se stai al fianco del tuo cliente documentando ed eseguendo la dovuta diligenza, è improbabile che la notifica di violazione di 72 ore provochi un evento di estinzione per il tuo cliente.

E’ molto importante poter controllare il processo di gestione di un Data Breach per qualsiasi MSP, piuttosto che subirlo con tutte le conseguenze negative del caso.

N4B SRL ti invita a conoscere il tool di gestione Data Breach di Privacylab per poter offrire un servizio adeguato ed efficiente ai propri clienti. Contattaci per saperne di più.

FONTE: Solarwinds MSP BLOG

Bibliografia:

1. “Gli astronomi si esercitano in risposta a un asteroide assassino”, Universo oggi. https://www.universetoday.com/137789/astronomers-practice-responding-killer-asteroid/ (consultato a novembre 2017).

2. “Notifica di violazione dei dati ai sensi del GDPR: problemi da considerare”, Browne Jacobson LLP. https://www.brownejacobson.com/training-and-resources/resources/legal-updates/2016/03/data-breach-notification-under-the-gdpr-issues-to-consider (accesso novembre 2017).

3. “Art. 33 GDPR: Notifica di una violazione dei dati personali all’autorità di controllo ”, Intersoft Consulting. https://gdpr-info.eu/art-33-gdpr/ (consultato a novembre 2017).

4. “Studio del costo della violazione dei dati del Ponemon Institute 2016”, IBM e Ponemon Institute. https://www.ibm.com/security/data-breach/index.html (consultato a novembre 2017).

5. “Il divario nella detenzione della violazione dei dati e le strategie per colmarlo”, Infocyte. https://www.infocyte.com/breach-detection-gap-conf (consultato a novembre 2017).

6. “Articolo 4: Definizioni GDPR dell’UE”, SecureDataService. https://www.privacy-regulation.eu/en/4.htm (consultato a novembre 2017).

7. “Rapporto sulla suscettibilità e sulla resilienza del phishing aziendale”, PhishMe. https://phishme.com/enterprise-phishing-susceptibility-report (consultato a novembre 2017).

8. “Rapporto sui malware Q1 2016”, PhishMe. https://phishme.com/project/phishme-q1-2016-malware-review/ (consultato a novembre 2017).

Questo documento è fornito a solo scopo informativo e non deve essere considerato come una consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE può essere applicato a te e alla tua organizzazione. Ti invitiamo a lavorare con un professionista legalmente qualificato per discutere del GDPR, di come si applica alla tua organizzazione e del modo migliore per garantire la conformità. SolarWinds MSP non rilascia alcuna garanzia, espressa o implicita, né si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di tali informazioni.