NEWS

 

Che differenze ci sono tra "data leak" e "data breach"?

Nel lessico della sicurezza informatica e della compliance GDPR, i termini "data breach" e "data leak" vengono spesso usati come sinonimi. Si tratta però di un errore concettuale che ha ricadute pratiche significative, in particolare rispetto agli obblighi di notifica, alla valutazione del rischio e alla gestione documentale degli incidenti. In questo articolo si vuole affrontare la differenza, in realtà più profonda di quello che non risulterebbe in prima battuta, tra i due concetti.

(Nella foto: l'Ing. Monica Perego, docente al Corso di alta formazione per Data Manager)

Il data breach e le proprietà RID - Il data breach è una violazione che colpisce le proprietà RID (Riservatezza, Integrità, Disponibilità) che caratterizzano i dati; si tratta di un concetto più ampio di quanto comunemente percepito. Il GDPR lo definisce come” qualsiasi violazione della sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali”. Per esempio, un attacco ransomware che cifra i database aziendali è un data breach da perdita di disponibilità, anche nel caso in cui nessun dato fosse uscito dall’organizzazione. La modifica non autorizzata ed involontaria di un registro di pazienti è un data breach da violazione di integrità. L’esfiltrazione di dati da parte di un dipendente infedele è un data breach da perdita di riservatezza. Tutti e tre gli scenari attivano, in presenza delle condizioni previste dall’art. 33 e 34 GDPR, l’obbligo di notifica al Garante e, se del caso, agli interessati.

Il data leak “solo” una questione di riservatezza - Il data leak — letteralmente "fuga di dati" — è invece un evento specificamente orientato alla sola dimensione della riservatezza. Si tratta di una fuoriuscita di informazioni verso soggetti non autorizzati, tipicamente causata non da un attacco diretto, ma dall’impostazioni errate nei sistemi informatici o software che possono portare a vulnerabilità, errori umani o esposizioni involontarie. Ad esempio, una porta aperta verso l’esterno, un file condiviso con permessi errati, una email inviata al destinatario sbagliato. Anche in questo caso, se si verificano le condizioni di cui sopra è necessario procedere con la notifica al Garante ed eventualmente agli interessati.

La differenza tra data breach e data leak - La distinzione tra data breach e data leak non è solo terminologica. Il data leak, per definizione, non implica alterazione né indisponibilità dei dati; i dati rimangono intatti e accessibili al titolare o al responsabile, ma sono stati esposti. In ottica privacy e GDPR, il data leak configura sempre e comunque un data breach — poiché integra la violazione della riservatezza — ma non viceversa; un data breach può esistere senza alcuna fuga di dati verso l’esterno. Distinguere correttamente i due concetti ha implicazioni operative su più livelli.

Relativamente alla valutazione del rischio, come indica l’art. 33 GDPR, la tipologia di violazione incide direttamente sulla probabilità e gravità del danno per gli interessati. Un data breach da perdita di disponibilità in un sistema di backup, per cause tecniche, potrebbe non generare alcun rischio per le persone fisiche; un data leak di dati sanitari di pazienti oncologici su un forum pubblico, sia pure per un tempo limitato, al contrario, richiede la notifica sia all’autorità di controllo sia agli interessati.

Sul piano della documentazione interna, come prevede l’art. 5, par. 2 in materia di accountability, ogni incidente va registrato con precisione, indicando la natura della violazione, le categorie di dati coinvolte e le conseguenze probabili. Una classificazione inadeguata e/o incompleta espone l’organizzazione a contestazioni in sede ispettiva.

Sul piano della risposta all’incidente, le contromisure appropriate differiscono. Un data breach da ransomware richiede ripristino da backup; un data leak richiede innanzitutto la chiusura del vettore di esposizione, la mappatura dei soggetti che potrebbero aver avuto accesso e la valutazione dell’impatto sugli interessati oltre che quelli reputazionale e legale.

Conclusioni - La corretta qualificazione degli eventi di sicurezza è il presupposto per una risposta efficace. Confondere un data leak con un data breach o, peggio, non riconoscere un breach da perdita di disponibilità come tale, significa rischiare di adottare misure inadeguate e di violare gli obblighi di accountability che il GDPR pone in capo ai titolari del trattamento. Una gestione matura della privacy parte proprio dalla precisione del linguaggio.

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Articoli correlati

Prev L’hotel che fa una fotocopia del vostro documento d’identità rispetta la privacy?

Galleria Video

Siamo tutti spiati? il presidente di Federprivacy a Cremona 1 Tv

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza