Incidenti di sicurezza: le tempistiche di notifica nelle normative europee (e perché oggi le aziende faticano a rispettarle)
Negli ultimi anni il quadro normativo europeo in materia di cybersecurity e protezione dei dati sta evolvendo…
Interessato alle soluzioni di sicurezza di Axitea?
Autore
Redazione Axitea
Se si parla di GDPR, i luoghi comuni ormai sono tantissimi e variegati! Come comunemente facciamo per qualsiasi novità, più passa il tempo più l’interpretazione di regole e normative diventa colorata. Parlandone in giro è ormai normale sentir dire che: “Il Garante Privacy non fa più multe o sono una leggenda”, “Tanto non vengono proprio da me a cercare problemi”, “Se arriva la finanza ha già tanto altro da controllare e non arriverà mai alla Security”, “Le multe le fanno solo in Germania”.
Ecco, a proposito di questo, nei giorni scorsi si è diffusa la notizia della maxi multa di 660.000€ a Morele.net da parte dell’autorità polacca. Sì, non tedesca o inglese, ma polacca! La cosa più interessante è che la società aveva denunciato un data-breach a seguito di una segnalazione di un loro cliente, per cui i dati dei loro utenti erano stati violati ed era partita una campagna di phishing verso di loro. L’autorità ha aperto un’inchiesta e ha scoperto che le misure adottate per la protezione dei dati erano inadeguate rispetto al fattore di rischio individuato, in particolare non sono stati rispettati tre fattori base previsti nel GDPR:
- Integrità e Confidenzialità: la normativa dice che i dati personali devono essere elaborati garantendone una sicurezza adeguata anche contro il trattamento non autorizzato, la perdita, la distruzione o il danno.
- Monitoraggio delle potenziali minacce: le aziende devono mettere in atto controlli di sicurezza e di privacy, ma devono essere maggiormente rigorosi nei processi di memorizzazione o di elaborazione dei dati personali.
- Consenso al trattamento: l’azienda deve dimostrare che è stata autorizzata esplicitamente al trattamento dei dati personali da parte del proprio cliente/utente.
L’azienda polacca in questione è stata sanzionata proprio perchè non ha messo in atto tutte le misure necessarie in base alla sua capacità, sia economica che tecnologica, e alla tipologia di dati trattatati. Ogni azienda dovrebbe affidarsi a specialisti per valutare il fattore di rischio presente e adottare tutte le misure necessarie per mitigarlo ed essere nelle condizioni migliori, in base anche alle proprie esigenze, per rispondere a eventuali richieste delle autorità e perchè no… vivere più tranquilli!
Interessato alle soluzioni di sicurezza di Axitea?
Gli ultimi approfondimenti
Sistemi di lettura targhe (ANPR), tecnologia per il controllo accessi veicolare e la sicurezza aziendale
La gestione degli accessi veicolari è un pilastro della sicurezza fisica in aziende, siti produttivi, parcheggi aziendali…
Ottimizzazione dei processi industriali: come migliorare efficienza, qualità, decision making e sicurezza
In uno scenario competitivo complesso come quello italiano, caratterizzato da filiere produttive articolate, costi di produzione in…
Adversary in the Middle (AitM), una minaccia evoluta che bypassa anche l’autenticazione multi fattore (MFA): il caso studio
Negli ultimi anni il phishing è diventato sempre più sofisticato, ma oggi assistiamo a un’evoluzione ancora più…