Sicurezza e violazione dei dati: in allegato il modello notifica Data Breach
Una violazione dei dati è un incidente in cui le informazioni vengono rubate o prelevate da un sistema senza la conoscenza o l’autorizzazione del proprietario del sistema. Una piccola azienda o una grande organizzazione, il nostro istituto scolastico, può subire una violazione dei dati. I dati rubati possono riguardare informazioni sensibili, proprietarie o riservate come numeri di carte di credito, dati dei clienti, segreti commerciali o questioni di sicurezza nazionale. Nel caso della scuola, le informazioni possono riguardare dati anagrafici, dati di natura sanitaria o giudiziaria, con l’aggravante che molti di essi potrebbero riguardare l’identità, fatti o cose che riguardano minori.
Gli effetti della violazione dei dati
Gli effetti causati da una violazione dei dati – come scrive la famosissima agenzia Trend Micro Incorporated – possono manifestarsi sotto forma di danni alla reputazione dell’azienda bersaglio a causa di un percepito “tradimento della fiducia”. Le vittime e i loro clienti possono anche subire perdite finanziarie se i relativi documenti fanno parte delle informazioni rubate. Nel caso della scuola è evidente il danno che potrebbero subire le istituzioni scolastiche qualora i loro utenti (alunni e genitori) avessero violati i loro dati sensibili. Sulla base del numero di incidenti di violazione dei dati registrati tra gennaio 2010 e aprile 2020, le informazioni di identificazione personale (in inglese identificate con l’acronimo PII) sono state il tipo di record più rubato, mentre i dati finanziari della scuola (per la verità poco utilizzabili) sono stati di secondaria importanza.
Metodi di violazione osservati in tutti i settori
Il Liceo delle Arti di Trento e Rovereto “Vittoria-Bonporti-Depero” diretto brillantemente dalla Dirigente scolastico Prof.ssa Daniela Simoncelli si è posto il problema relativo ai Data Breach tanto da prevedere, giustamente come dovrebbe essere il Modello di notifica Data Breach. Ciò nasce dalla costatazione che la maggior parte delle violazioni dei dati è attribuita ad attacchi di hacking o malware. Altri metodi di violazione frequentemente osservati, suggerisce TMI, includono:
- Fughe di informazioni privilegiate: un individuo fidato o una persona di autorità con privilegi di accesso ruba i dati.
- Frode con carte di pagamento: i dati delle carte di pagamento (alcune ne scuole ne dispongono) vengono rubati utilizzando dispositivi fisici di scrematura.
- Perdita o furto: unità portatili, laptop, computer da ufficio, file e altre proprietà fisiche vengono perse o rubate.
- Divulgazione involontaria: a causa di errori o negligenza del personale scolastico (ATA o docenti, ma anche, spesso, personale ausiliario che viene a contato con dati “ultra sensibili”), i dati sensibili vengono esposti.
- Sconosciuto: in un numero limitato di casi, il metodo di violazione effettivo è sconosciuto o non divulgato
Fasi di una violazione dei dati secondo TMI
- Ricerca: L’attaccante, dopo aver scelto un bersaglio, cerca i punti deboli da sfruttare: dipendenti, sistemi o rete. Ciò comporta lunghe ore di ricerca da parte dell’attaccante e può comportare lo stalking dei profili dei social media dei dipendenti per scoprire che tipo di infrastruttura ha la scuola.
- Attacco: Dopo aver individuato i punti deboli di un obiettivo, l’attaccante stabilisce il contatto iniziale tramite un attacco basato sulla rete o sociale. In un attacco basato sulla rete, l’aggressore sfrutta i punti deboli dell’infrastruttura del bersaglio per istigare una violazione. Questi punti deboli possono includere, a titolo esemplificativo ma non esaustivo, SQL injection, sfruttamento della vulnerabilità e/o dirottamento della sessione. In un attacco sociale, l’aggressore utilizza tattiche di ingegneria sociale per infiltrarsi nella rete bersaglio. Ciò può comportare un’e-mail pericolosa inviata a un dipendente, creata su misura per attirare l’attenzione di quel dipendente specifico. L’e-mail può essere oggetto di phishing per ottenere informazioni, inducendo il lettore a fornire dati personali al mittente o essere accompagnata da un allegato malware impostato per essere eseguito al momento del download.
- Esfiltrare: Una volta all’interno della rete, l’aggressore è libero di estrarre dati dalla rete dell’azienda. Questi dati possono essere utilizzati per ricatto o cyberpropaganda. Le informazioni raccolte da un utente malintenzionato possono anche essere utilizzate per eseguire attacchi più dannosi sull’infrastruttura del bersaglio.
Migliori pratiche per le istituzioni scolastiche
TMI fa bene a suggerire le migliori partiche per le aziende e per i dipendenti. Le riportiamo certi che possa essere utile a chi governa una istituzione scolastica.
- Patch sistemi e reti di conseguenza. Gli amministratori IT devono assicurarsi che tutti i sistemi della rete siano aggiornati e aggiornati per impedire agli aggressori di sfruttare le vulnerabilità in software senza patch o obsoleti.
- Educare e imporre. Informa i tuoi dipendenti delle minacce, addestrali a prestare attenzione alle tattiche di ingegneria sociale e introduci e/o applica linee guida su come gestire una minaccia se incontrata.
- Implementare misure di sicurezza. Crea un processo per identificare le vulnerabilità e affrontare le minacce nella tua rete. Esegui regolarmente controlli di sicurezza e assicurati che tutti i sistemi connessi alla tua rete aziendale siano presi in considerazione.
- Crea contingenze. Mettere in atto un efficace piano di ripristino di emergenza. In caso di violazione dei dati, ridurre al minimo la confusione essendo pronti con le persone di contatto, le strategie di divulgazione, le misure di mitigazione effettive e simili. Assicurati che i tuoi dipendenti siano a conoscenza di questo piano per una corretta mobilitazione una volta scoperta una violazione.
Migliori pratiche per i dipendenti
TMI fa bene a suggerire le migliori partiche anche per i dipendenti (docenti, ATA, ausiliari). Le riportiamo integralmente, anche in questo caso, certi che possa essere utile a chi governa una istituzione scolastica.
- Tieni traccia delle tue ricevute bancarie. Il primo segno di compromissione è trovare strani addebiti sul tuo account che non hai effettuato.
- Non credere a tutto ciò che vedi. L’ingegneria sociale depreda i creduloni. Sii scettico e vigile.
- Sii consapevole di ciò che condividi sui social media. Non lasciarti trasportare. Se possibile, non rivelare troppo di te sul tuo profilo.
- Proteggi tutti i tuoi dispositivi. Questi dispositivi includono laptop, dispositivi mobili e dispositivi indossabili. Assicurati che siano protetti da un software di sicurezza sempre aggiornato.
- Proteggi i tuoi account. Utilizza un indirizzo e-mail e una password diversi per ciascuno dei tuoi account. Puoi scegliere di utilizzare un gestore di password per automatizzare il processo.
- Non aprire e-mail da mittenti sconosciuti. In caso di dubbio, elimina le e-mail dall’aspetto sospetto senza aprirle. Cerca sempre di verificare chi è il mittente e il contenuto dell’e-mail prima di aprire qualsiasi allegato.
Il modello di notifica “Data Breach”
Scrive il “Garante per la protezione dei dati personali” che “I titolari di trattamento di dati personali (dunque, anche le scuole, ndr) sono tenuti a notificare al Garante le violazioni dei dati personali (data breach) che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, anche nell’ambito delle comunicazioni elettroniche, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati. La notifica non deve includere i dati personali oggetto di violazione (es. non fornire i nomi dei soggetti interessati dalla violazione). Si ricorda che chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice in materia di protezione dei dati personali (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante), salvo che il fatto non costituisca più grave reato”. In allegato il modello messo a disposizione degli utenti e dei dipendenti dal Liceo delle Arti di Trento.