Sempre di più assistiamo a violazioni malevole dei Dati online, sempre di più dobbiamo prestare attenzione alla sicurezza informatica, sempre di più è meglio prevenire che pagare.
Sempre di più è necessario prestare attenzione al GDPR Regolamento UE 2016/976.
Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
Da www.wired.it 21/01/20198
I 773 milioni di email violate venduti a “pacchetti” da 45 dollari
Poco dopo la notizia della diffusione di Collection#1, raccolta di più di 773 milioni di indirizzi email trapelati da vari siti hackerati nel tempo, Brian Krebs della KrebsOnSecurity … ha scritto: Collection#1 potrebbe essere parte di una serie di dati raccolti da altri breach online, poiché qualcuno ha ammassato tutti questi dati e ora li sta rendendo accessibili ad attori malevoli per soli 45 dollari”.
Da www.agi.it 21/01/2019
Ci sono anche indirizzi email del governo tra quelli hackerati in Collection#1
Dopo alcuni giorni di estrazione dati (ancora parziale) è possibile confermare che all’interno di Collection#1 vi sono presenti email governative
…
Sì, anche email afferenti a sezioni del governo Italiano sono presenti all’interno di Collection#1. Sì, il rapporto con le unità competenti è già attivo su vari fronti. Sì, molti dati non sono recenti ma circa l’80% dei dati presenti in alcune cartelle di Collection#1 sono inediti. Ma iniziamo con ordine.
Il 17 Gennaio, Troy Hunt pubblica sul suo blog l’individuazione di una nuova “collection” (base dati con all’interno credenziali di ignare vittime) denominata Collection#1 (il nome parte dalla struttura dei dati stessi). All’interno della collection vi sono numerosi account fuoriusciti illegalmente da sistemi vulnerabili online oppure da campagne di phishing ai danni di comuni cittadini o da sempre piu frequenti installazioni di Malware direttamente sui PC delle vittime che, restando in ascolto localmente, rubano credenziali appena battute su tastiera.
…
Cosa dice il Garante della Privacy? Una sintesi:
https://www.garanteprivacy.it/regolamentoue/databreach
Cosa è una violazione dei dati personali (data breach)?
Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Alcuni possibili esempi:
- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
- il furto o la perdita di dispositivi informatici contenenti dati personali;
- la deliberata alterazione di dati personali;
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
- la divulgazione non autorizzata dei dati personali.
COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
…
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.
CHE TIPO DI VIOLAZIONI DI DATI PERSONALI VANNO NOTIFICATE?
Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.
Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.