Attacchi ransomware e privacy

La cybersecurity è un tema molto importante, è stato affrontato nel dettaglio con Giacomo, potete approfondire l’argomento cliccando qui.

Un problema che sta avendo un incremento medio del 40% ogni mese è quello dei ransomware. Problema molto grande anche dal punto di vista della privacy.

Guarda il video completo in cui Cristian spiega nel dettaglio l’argomento cliccando qui.

Data breach

Spesso e volentieri nel cifrare i dati li sottraggono anche, si verifica così il problema del data breach. 

L’attaccante sottrae i dati oppure li visualizza anche se non ha il permesso. Ricorda che entro 72 ore l’azienda è tenuta a comunicare al garante della privacy che ha subito un attacco. Andranno poi fatte le valutazione per capire quanto è stato fatto per scongiurare che ciò avvenisse e cosa è stato fatto per risolvere il problema.

Un problema molto importante è quello dei dati delle aziende clienti: vengono sottratti dei dati che spesso riguardano persone fisiche (quello che viene tutelato dal GDPR). 

Cosa posso fare per mettermi in sicurezza?

Dobbiamo affrontare sia una compliance di carattere burocratico (compilare adeguate informative, registro dei trattamenti, eventuali valutazioni di impatto), sia una compliance da un punto di vista tecnologico per adottare le contromisure necessarie affinché i dati possano essere correttamente trattati.

I dati delle persone fisiche

Un aspetto importante che in molti sottovalutano è che i dati delle persone fisiche contengono riferimenti a dati medici oppure a dati giudiziari. Dati che richiedono un'attenzione durante il trattamento.

Molte aziende non si accorgono di avere dei dati così sensibili, per esempio, parrucchieri ed estetisti sono i più esposti. Qualora raccogliessero allergie e intolleranze dei clienti relativamente ai prodotti utilizzati sono dati di carattere medico. Per questi tipi di dati è necessario prestare più attenzione tecnologica e burocratica.

Attacchi a doppia estorsione

Un problema rilevante che sta emergendo nell’ultimo anno e mezzo è quello degli attacchi double extortion. Un ransomware mi attacca, mi cifra il disco e mi sottrae i dati del cliente. 

Dopo aver pagato il riscatto per avere la chiave di cifratura e riavere indietro i dati mi viene chiesto un secondo riscatto. Gli attaccanti sono in possesso dei dati dei miei clienti (persone fisiche) e se non pago i malintenzionati contattano tutte queste persone per informarle dell’attacco e quindi a loro volta i clienti possono chiedere il risarcimento del danno.

Oltre al doppio riscatto rischio di vedere una pretesa risarcitoria da parte degli interessati al trattamento che possono chiedermi il conto del fatto che io non abbia trattato in modo adeguato i dati.

Se la vostra azienda teme di non essere conforme al GDPR e non sa di cosa stiamo parlando ti consiglio di contattarci per darti delle indicazioni gratuite su che cosa sia necessario fare per essere compliant e avere una sicurezza in più anche a livello infrastrutturale della vostra impresa.

Utilizzi una password sicura? Scopri come crearne una a prova di hacker!