Numeri di telefono, indirizzi e-mail, indirizzi postali e, in alcuni casi, numeri di identificazione del veicolo.
Sono i dati personali che sono stati rubati ai contatti e clienti di Volkswagen, la nota casa automobilistica tedesca.
L’accesso non autorizzato e il conseguente furto di ben 3,3 milioni di dati, è stato registrato nell’aprile del 2019, ma scoperto solo un anno dopo, nel maggio del 2021.
Oltre alla Volkswagen è recente anche la conferma di McDonald’s che dichiara di aver subito il furto di alcuni dati appartenenti a dipendenti e clienti in diversi paesi, tra cui Stati Uniti, Corea del Sud e Taiwan.
Sono tutti casi di data breach, ovvero di una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Dagli esempi sopracitati, possiamo comprendere come chiunque può essere a rischio di una furto di dati: dai singoli utenti alle imprese di alto livello, fino alle istituzioni governative.
Le violazioni possono essere classificate in base ai seguenti tre principi:
- violazione della riservatezza (Confidentiality Breach) in caso di divulgazione dei dati personali o accesso non autorizzato o accidentale agli stessi;
- violazione dell’integrità (Integrity Breach), in caso di modifica non autorizzata o accidentale dei dati personali;
- violazione della disponibilità (Availibility Breach), in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.
Per valutare un data breach ci si affida ad un progetto, creato seguendo le seguenti azioni :
- individuare e definire una scala di valori di criticità in relazione alle differenti tipologie di dati raccolti o trattati dalle infrastrutture IT aziendali;
- individuare i punti di vulnerabilità a cui sono esposti i dati;
- valutare il rischio e l’impatto del data breach in relazione alle misure di sicurezza adottate;
- avviare le azioni di risposta in funzione del tipo di data breach subito e degli investimenti necessari per l’impiego delle risorse necessarie.