Wind Tre dovrà comunicare per iscritto agli oltre 5mila clienti di aver subito un attacco informatico lo scorso 20 marzo che ha consentito di visualizzare e acquisire in chiaro le user id e le password necessarie per l’accesso al loro profilo online e al rischio di furto dati fra cui nominativo, codice fiscale, numero di telefono, mail, indirizzo e fatture degli ultimi sei mesi per chi li ha richiesti. 

Lo ha stabilito con estremo ritardo il Garante Privacy nel suo provvedimento n. 226 dell’11 maggio scorso. Se queste sono le prove tecniche di GDRP e gestione del data breach iniziamo male. Nel mondo interconnesso di oggi nessuno, neanche il Garante Privacy si può permettere di essere lento in particolare quando la questione riguarda il furto di dati personali. Tempestività è una delle parole chiave del GDPR per la gestione di un breach ed è chiaro che è mancata, 1 mese e mezzo non è certo un indicatore di tempestività.
L'altro concetto chiave è "digital investigation"; l'ispezione del garante ha accertato come i dati dei 5000 clienti fossero presenti in un file generato nel corso di un intervento tecnico che per errore non era stato cancellato a termine delle operazioni ed era divenuto oggetto di furto. Purtroppo però non ha chiarito come e da dove "ignoti" si siano potuti introdurre nei sistemi di Wind Tre per poter sottrarre quel file.

Le aziende, anche nelle più grandi, continuano a concentrarsi esclusivamente sull’aspetto tecnologico di difesa informatica, la cyber difesa, falsamente rassicurati dal marketing  di vendor e consulenti cyber, si illudono di non poter essere attaccati e di non correre rischi.

Troppo spesso questa falsa sicurezza fa si che si scelga di non si predisporre nè di formare team dedicati alla gestione degli incidenti, che abbiamo le competenze e gli strumenti per il monitoraggio, la tracciatura, indagine e raccolta delle digital evidence per un'analisi forense di un attacco informatico.
Un Team CSIRT oltre a monitorare la sicurezza aziendale e monitorarne eventuali compromissioni, deve essere in grado di dare seguito ad una indagine forense su un data breach o un leak per eventualmente poter avviare la tutela legale e assicurativa nel post incidente.

 

Joomla templates by a4joomla