La gestione della comunicazione di un data-breach

Indice

Il ritorno dall’estate riapre la questione della sicurezza informatica e, con essa, quella inerente la gestione dei data-breach. In questi mesi abbiamo avuto modo di constatare diverse reazioni agli attacchi hacker da parte di aziende e istituzioni: c’è chi si è attivato prontamente con una comunicazione efficace verso gli utenti finali e le istituzioni (cosa tra l’altro prevista dal GDPR art. 33), e chi invece ha fatto finta di nulla sperando che la faccenda andasse nel dimenticatoio.

Prima di procedere chiariamo brevemente che cosa è un data-breach: si tratta di una falla nei sistemi informativi e non riguarda necessariamente l’accesso ai dati personali. Un data-breach va segnalato al Garante della Privacy quando esso interessa la banca-dati contenente i dati personali degli utenti. Se l’hacker non riesce ad accedere ad alcun dato personale, la notifica non va effettuata ma il caso è comunque di rilevanza poiché la violazione c’è stata.

La gestione dei data-breach va gestita quindi su almeno due fronti: quello interno interessa il reparto tecnico e organizzativo, quello esterno interessa gli utenti finali. Per ciò che riguarda l’ambito interno è opportuno attivarsi subito per individuare le cause che hanno permesso il data-breach e intervenire prontamente per risolverle. Queste azioni coinvolgono il personale, i ruoli definiti e le responsabilità identificate per ciascun membro dell’organizzazione.

Per ciò che riguarda l’ambito esterno è necessario effettuare quanto prima una comunicazione che informi compiutamente e correttamente tutti gli utenti. Su questo aspetto molte aziende si sono rivelate carenti, complice forse l’inesperienza o la mancata consapevolezza dei rischi e degli obblighi. Facciamo quindi chiarezza su questi punti utilizzando le regole di comunicazione dell’Emergency & Disaster Analysis Group.

Il comunicato stampa…

Il comunicato stampa deve rispondere in modo diretto, sintetico ed efficace alle seguenti domande:

  • Che cosa è successo?
  • Cosa significa ciò che è successo per gli utenti finali?
  • Cosa sta facendo l’organizzazione per far fronte al data-breach?

Tre semplici domande a cui, normalmente, non dovrebbe essere difficile rispondere. È chiaro che molte aziende si preoccupano del danno d’immagine e commettono l’errore di omettere informazioni che invece possono essere molto utili e se le omissioni venissero poi scoperte sarebbe peggio. La comunicazione di un data-breach segue le regole di comunicazione di qualsiasi altra crisi, è quindi necessario:

  • Essere onesti circa l’attacco e l’eventuale sottrazione di dati.
  • Essere tempestivi nella comunicazione.
  • Essere concisi.
  • Mettere a disposizione un indirizzo per gli utenti che vogliono informazioni.
  • Mantenere un atteggiamento positivo e mostrarsi collaborativi nei confronti delle autorità preposte.

Questi sono alcuni degli aspetti essenziali per gestire correttamente la comunicazione di un data-breach. Uno degli elementi sopra riportati di cui si sottovaluta l’importanza, è la tempestività. Molti data-breach sono stati comunicati con ritardi inaccettabili (talvolta di settimane se non mesi); il motivo di questo ritardo è da ricercarsi in due fattori: il primo di natura culturale, secondo il quale si ritiene più “furbo” darne comunicazione ritardata. È importante capire che ciò non è più possibile dal punto di vista normativo, nemmeno giustificando l’inadeguatezza tecnologica.

Il secondo motivo è di natura tecnologica: ci sono sistemi informativi che non sono dotati di opportuni sistemi di tracciamento dati e, di conseguenza, non sono in grado di garantire contromisure adeguate per rilevare tempestivamente la falla. La normativa su questo è chiara e inequivocabile: l’utente che eroga il servizio deve adeguare il proprio sistema informativo per garantire tutte le contromisure tecnologiche atte a proteggere le informazioni che vengono memorizzate e gestite. Si parla quindi di segmentazione del dato, cifratura, tracciamento e, più in generale, monitoraggio del flusso informativo. Comunicare correttamente gli esiti di un data-breach non è quindi un’opzione facoltativa ma obbligatoria, sancita dalla legge e regolamentata in tutti gli aspetti.

Il tempo è un fattore importante

È altresì vero che un’azienda potrebbe aver bisogno di qualche giorno per identificare e perimetrare l’intero patrimonio informativo oggetto di data-breach. In tal caso è raccomandabile creare un’apposita sezione informativa sul sito a cui rimandare gli utenti avvertendoli con una mail e assicurarsi di mantenere la pagina aggiornata almeno una volta al giorno. Questo garantirà agli utenti finali una buona comunicazione e la rassicurazione che l’azienda si sta davvero adoperando in merito alla gestione dell’attacco. Le lungaggini però non saranno ammesse perché gli utenti finali difficilmente amano essere presi in giro.

Cosa può fare l’utente finale? Senza dubbio ha il diritto di scrivere all’azienda per chiedere informazioni in merito alla condizione dei propri dati, chiedendo che sia comunicato lo stato di sicurezza degli stessi e chiedendo di essere informato circa l’eventuale e potenziale accesso/sottrazione/rimozione/alterazione da parte degli hacker. L’azienda deve rispondere e questo è molto importante da sapere perché l’utente, in caso di mancata risposta, può effettuare un reclamo all’autorità di controllo. Questo è sancito dall’articolo 15 (Diritto di accesso dell’interessato) comma F del GDPR che prevede “il diritto di proporre reclamo a un’autorità di controllo”.

In conclusione, la trasparenza ed il buon senso sono, in linea generale, il miglior atteggiamento da mantenere nei confronti dei propri utenti coinvolti e delle autorità. L’azienda può far ricorso a strumenti social come fonte di divulgazione ma poiché molti utenti potrebbero non avere gli account per leggere le notifiche o essere esperti dello strumento, si raccomanda di utilizzare il proprio sito web. Se questo non fosse disponibile, allora è opportuno utilizzare un canale social quale Twitter o analoghi.

Comunicare efficacemente un data-breach è fondamentale e l’impiego degli strumenti social può fare davvero la differenza. Dopo molti attacchi gli analisti di sicurezza freelance e gli appassionati si raccolgono attorno alle comunicazioni degli hacker e ne analizzano tutti gli aspetti: la rivendicazione, il dump dei dati contenenti informazioni e tabelle. Tali comportamenti, salvo palesi violazioni della normativa, andrebbero “utilizzati a proprio vantaggio” come ausilio e riscontro all’operato svolto dai tecnici interni. Per essere maggiormente chiari, è come se dei volontari aiutassero la Protezione Civile durante un intervento di soccorso. La rete è sicuramente uno spazio sconfinato ma all’interno ci sono anche numerose persone qualificate che possono offrire il loro aiuto anche a titolo gratuito. 

Ciò che sicuramente non è raccomandabile è di operare in antitesi alla legge: omettendo, minimizzando o falsificando le conseguenze del data-breach. Si tratta di una questione legale ma anche culturale e prima si comprenderanno i benefici del corretto comportamento, e più efficaci saranno le azioni di comunicazione.

Riferimenti bibliografici