Il fattore umano nei Data Breach: il comportamento dei dipendenti critico per il GDPR

Nonostante tutte le misure di sicurezza tecniche implementate in un sistema, il fattore umano continuerà sempre a rivestire un ruolo fondamentale per i rischi di violazione dati.

Da una parte, vi sono le violazioni accidentali: specialmente nelle routine del lavoro, lo svolgimento quotidiano di operazioni di trattamento aumenta la probabilità che si verifichino errori. E mentre, per certi versi, l’utilizzo di determinate tecnologie informatiche può ridurre l’incidenza d’errore, per altri continuerà ad avere valore l’acronimo “PEBKAC” ("Problem Exists Between Keyboard And Chair", ovvero "Il problema sta fra la tastiera e la sedia") diffuso tra gli informatici.

Vi sono poi le violazioni intenzionali, non sempre facilmente distinguibili dall’errore, elemento di ambiguità che rende particolarmente difficile per un Titolare del trattamento valutare con precisione le caratteristiche e i rischi delle violazioni di dati collegate al fattore umano.

Come mitigare il rischio di Data Breach collegati al fattore umano?

Secondo le più recenti linee guida dell’EDPB (attualmente in consultazione pubblica), la parola chiave è prevenzione, la quale non può realizzarsi senza adeguati programmi di formazione e sensibilizzazione del personale sugli obblighi di privacy e sicurezza. In questo frangente, può essere particolarmente utile ricordare ai dipendenti i più comuni errori e le strategie per evitarli, magari trasmettendo l’importanza di una banale politica di “clean-desk” per l’ordine di file e documenti. L’ideale è che le buone pratiche configurino un insieme di vere e proprie procedure operative (che, tra l’altro, si prestano bene a regolari audit per la valutazione continua della loro efficacia).

Passando alle misure più tecniche, troviamo le politiche di controllo degli accessi, che potrebbero prevedere misure di autenticazione più rigide per l’accesso a dati sensibili (ad esempio, registrandone tutti gli accessi, da consentire, eventualmente, solo previa specifica motivazione).

Altre misure si focalizzano poi sulla prevenzione di possibili azioni malevole dei dipendenti: la disabilitazione degli account aziendali nel momento in cui un utente abbandona l’organizzazione dev’essere certamente tempestiva, ma è possibile anche monitorare (attraverso segnali di alert) insoliti flussi di dati tra server e postazioni di lavoro degli impiegati, per gestire con immediatezza i casi di esfiltrazione. Altri suggerimenti riguardano la gestione delle interfacce input/output da BIOS (per bloccare/sbloccare l’uso di USB o altri supporti) e la disabilitazione delle funzioni di stampa schermo nel sistema operativo.

Ma cosa occorre considerare, qualora il Data Breach si sia già verificato, per stabilire la necessità di notificarlo al Garante, o di comunicarlo agli interessati?

I due esempi riportati nelle Linee guida dell’EDPB si concentrano su quantità e qualità dei dati violati, ma soprattutto sull’intenzionalità della violazione.  Analizziamoli nel dettaglio.

1. Esfiltrazione dati da parte di un ex-dipendente

Il primo caso ipotizza l’utilizzo di dati aziendali per finalità personali da parte di un ex dipendente, dopo aver copiato i contatti del database clienti, nel suo periodo di preavviso (quando era autorizzato all’accesso per svolgere il proprio lavoro).

Si descrive pertanto un caso di esfiltrazione dati partita dall’interno, che intacca unicamente la riservatezza dei dati.

Tipicamente, casi di questo genere coinvolgono quantità tutto sommato contenute di dati, di natura non sensibile (principalmente dati di contatto utilizzati per finalità commerciali). Confermando queste premesse, il rischio conseguente alla violazione potrebbe essere valutato come relativamente basso, poiché le conseguenze dirette si limitano al marketing dell’ex-dipendente. Tuttavia, è impossibile escludere altri abusi. Insomma, un elemento che assume sostanziale rilevanza è proprio l’intenzione malevola dell’azione dell’ex dipendente.

Come attenuarne gli effetti negativi? Impedire queste violazioni è difficile: le limitazioni all’accesso possono ostacolare il lavoro che il dipendente è tenuto a svolgere. Purtroppo, anche le opzioni risolutive sono scarse. Il campo d’azione potrebbe limitarsi al monitoraggio dei flussi di dati per intervenire tempestivamente nei casi sospetti. Nella circostanza ipotizzata, sarà necessaria un'azione legale immediata nei confronti dell'ex-dipendente. Per tentare di prevenire casi analoghi futuri, poi, l’azienda può considerare di ridurre le possibilità di accesso ai dipendenti che abbiano già segnalato l’intenzione di lasciare il lavoro, e assicurarsi di aver inserito nel contratto d’assunzione una clausola che vieti azioni come quella descritta.

In termini di obblighi di gestione della violazione, per l’esempio si considera obbligatoria la notifica al Garante ex Art. 33 GDPR. Le linee guida, d’altronde, pongono l’accento anche sul vantaggio derivante dal dare informazione sulla fuga di dati anche agli interessati, affinché ne siano messi al corrente direttamente dalla società piuttosto che dall'ex dipendente che cercherà di contattarli.

2. Trasmissione involontaria di dati a terzi di fiducia

Scenario totalmente diverso, ma in cui si intacca sempre la riservatezza dei dati, è rappresentato dalla trasmissione involontaria di dati a un terzo di fiducia (es. un responsabile esterno coperto anche da segreto professionale), nata da un errore umano causato da disattenzione e dall’uso improprio degli allegati e-mail.

Anche in questo caso occorre considerare qualità e quantità di dati trasmessi erroneamente: la presenza di soli dati non sensibili, possibilmente in quantità ridotta, potrà portare a escludere qualsiasi impatto sugli interessati; ad attenuare i rischi, inoltre, il fatto che l’errore venga segnalato direttamente dal destinatario della comunicazione (come dovrebbe essere obbligato a fare, nel rispetto degli accordi con i Responsabili del trattamento), e la ricezione di una sua conferma scritta che i dati ricevuti sono stati cancellati, a dimostrazione e garanzia della sua affidabilità.

In circostanze simili, sarà sufficiente documentare la violazione nel registro dei Data Breach, senza procedere con altre azioni di notifica.

È comunque importante considerare le possibili soluzioni per ridurre errori simili in futuro. Si ribadisce quindi l’importanza della formazione in tema di protezione dati (constatando che un banale controllo dei file prima dell’invio può evitare circostanze fastidiose). Tuttavia, non potendo eliminare il rischio di disattenzione degli operatori, una misura più efficace potrà essere la sistematica riduzione degli scambi di allegati via e-mail, optando per sistemi alternativi, come piattaforme dedicate per trasmettere documenti.