Purtroppo, le violazioni dei dati personali avvengono con una certa frequenza. In caso di attacco che comporti la perdita, l'alterazione o la divulgazione non autorizzata di dati personali, le aziende hanno fino a 90 giorni di tempo per notificare l'accaduto agli utenti. In questo intervallo di tempo, le informazioni e le credenziali non protette possono essere utilizzate da malintenzionati per causare danni ingenti, ad esempio il furto di documenti e password personali, transazioni finanziarie illegali e il furto di tutti i dati identificativi.
Per questo motivo i servizi di monitoraggio sono ormai un elemento fondamentale della moderna sicurezza informatica. Se qualunque tipo di informazione viene esposta online a seguito di una violazione o di un attacco personale, i servizi di monitoraggio inviano più tempestivamente una notifica, consentendo di intervenire in tempo quasi reale.
Cosa fare in caso di violazione della privacy
Se un'azienda ti ha comunicato che le tue informazioni potrebbero essere state oggetto di una violazione di dati, è possibile che i tuoi dettagli personali si trovino già nel Dark Web o in un database a scopo di lucro gestito da utenti malintenzionati. Nella maggior parte delle violazioni della privacy, le prime 72 ore sono le più critiche. È quindi fondamentale chiedere all'azienda quando si è verificata la violazione, in modo da sapere per quanto tempo le informazioni possono essere rimaste in circolazione. Più a lungo le informazioni sono esposte, più opportunità hanno i criminali informatici di usarle a loro vantaggio.
Anche se sono passate più di 72 ore, seguire le corrette fasi di recupero dopo una violazione di dati personali è incredibilmente importante. Ecco una guida che illustra passo dopo passo tutte le misure da adottare se si ritiene di essere stati vittima di una violazione di dati personali.
1. Scoprire quali dati sono stati violati e verificare la disponibilità di aggiornamenti
2. Aggiornare le credenziali esposte
3. Iscriversi al servizio di autenticazione a due fattori
4. Monitorare tutti gli account
5. Proteggere la privacy dei dati finanziari
1. Scoprire quali dati sono stati violati e verificare la disponibilità di aggiornamenti
A volte le aziende non rivelano con esattezza quali clienti hanno subito il furto di informazioni o che tipo di dati è stato sottratto. Tuttavia, il fatto che la violazione dei dati non venga confermata non significa che tu non debba agire. Se un'azienda invia una notifica per comunicare che le tue informazioni potrebbero essere state esposte o se sei venuto a sapere dai media di una fuga di notizie, dovresti contattare l'azienda e chiedere che tipo di informazioni è stato interessato dalla violazione. Le forme più comuni di dati personali oggetto di furto sono:
- Password
- Nome
- Numero di telefono
- Indirizzo
- Dati delle carte di credito
- Numero di previdenza sociale
Modificare queste informazioni e/o verificare che siano sicure dopo una violazione della privacy può essere costoso, richiedere tempo o entrambe le cose. Si consiglia di procedere in ordine di priorità, in base alle informazioni esposte, e di verificare con l'azienda, telefonicamente o tramite il sito Web, la disponibilità di aggiornamenti sulla sicurezza relativi alla violazione.
2. Aggiornare le credenziali esposte
Se si ritiene che l'indirizzo e-mail o la password siano stati esposti, sia in combinazione che singolarmente, è bene cambiarli immediatamente. Se la password è già stata riutilizzata su più siti, è importante aggiornare tutti i vecchi account di accesso e iniziare a seguire una buona igiene delle password. Si consiglia di utilizzare una password complessa, di cui si parlerà dettagliatamente più avanti in questo articolo. In generale, è consigliabile avere più password e aggiornarle regolarmente (ogni 3-6 mesi).
Cercare di ricordare tutte le password è un modo piuttosto obsoleto di proteggere le proprie informazioni online. Il nostro consiglio è quello di utilizzare un gestore di password per tenere traccia di tutte quelle utilizzate.
3. Iscriversi al servizio di autenticazione a due fattori
Per raddoppiare la sicurezza online, è bene iscriversi al servizio di "autenticazione a due fattori", ovunque esista questa opzione. L'autenticazione a due fattori, chiamata anche "verifica in due passaggi" (o più brevemente "2FA"), è un ulteriore livello di sicurezza per gli account online, che richiede l'inserimento di un'informazione aggiuntiva per l'identificazione.
Queste informazioni di identificazione possono includere una "risposta segreta" aggiuntiva a una domanda, un collegamento sicuro inviato tramite e-mail o un codice di autenticazione inviato direttamente al telefono tramite SMS. In questo modo gli hacker non riuscirebbero ad accedere al tuo account nemmeno se fossero in possesso della tua e-mail e/o password.
4. Monitorare tutti gli account
Negli ultimi anni, gli hacker hanno adottato metodi sempre più efficaci. Una serie di credenziali esposte può essere facilmente sottoposta a controlli incrociati su molti siti Web, pagine di social media e iscrizioni/abbonamenti diversi. Se una delle tue password venisse duplicata tra le varie piattaforme, i criminali informatici potrebbero accedere rapidamente a informazioni del tuo profilo, da cui ottenere dati ancora più specifici, ad esempio indirizzi e-mail personali, numeri di telefono e persino un indirizzo fisico.
Ottenendo man mano l'accesso a un numero sempre maggiore di informazioni personali, gli hacker potrebbero anche riuscire ad accedere ai tuoi account più importanti, come quello dell'online banking, o addirittura al tuo computer e avrebbero la possibilità di causare danni personali elevati. Ecco perché è necessario tenere sotto controllo i propri account dopo una violazione dei dati, anche se è trapelata "solo" la password. Nei giorni e nelle settimane successive a una violazione, è importante osservare se si registrano attività insolite negli account, ad esempio nuovi acquisti, modifiche di password e accessi da posizioni diverse.
5. Proteggere la privacy dei dati finanziari
Se nel corso di una violazione dei dati sono trapelate informazioni di pagamento, è consigliabile chiedere all'istituto emittente di bloccare o sospendere immediatamente le carte e di inviarne una sostitutiva. Bloccando le carte, si impedisce che vengano effettuati nuovi acquisti con il numero di carta rubato, mentre alla carta sostitutiva verrà assegnato un nuovo numero che consentirà di continuare a effettuare i normali acquisti.
Anche se le informazioni di pagamento sono protette, è meglio impostare il monitoraggio del credito. In questo modo si verrà avvisati in caso di modifiche al rapporto di credito, ad esempio se qualcuno richiede un nuovo credito a tuo nome. Inoltre, se si ritiene che il proprio indirizzo, numero di previdenza sociale o altre informazioni private possano essere state violate, è bene ordinare una copia gratuita del rapporto di credito ed esaminarlo con attenzione. L'ideale sarebbe comunque farlo ogni 6-12 mesi.
Se si è certi che i dati finanziari siano stati esposti e si notano dei cambiamenti, è consigliabile prendere provvedimenti per congelare il credito. L'operazione non comporta alcun costo e impedirà ai malintenzionati di aprire nuovi conti correnti a tuo nome.
Come evitare le violazioni dei dati in futuro
Le abilità sempre maggiori dei criminali informatici rendono ancora più gravi le conseguenze del furto anche di una piccola parte delle informazioni personali. Anche solo con un indirizzo e-mail o una password, in alcuni casi i malintenzionati sono in grado di trovare dati più sensibili e importanti in pochissimo tempo. Inoltre, le violazioni dei dati delle grandi aziende non sono l'unico modo in cui le tue informazioni possono essere esposte. Le violazioni dei dati avvengono anche in ambienti pubblici (in genere tramite connessioni Wi-Fi non protette) o sul posto di lavoro (spesso a causa di una scarsa formazione del personale in materia di sicurezza informatica).
Pertanto, adottare misure proattive per proteggere le informazioni personali è essenziale nell'era moderna e ciò significa configurare una combinazione di servizi di monitoraggio e software anti-virus in modo che i dispositivi, la rete e gli account dispongano di un ulteriore livello di sicurezza contro gli hacker. Allo stesso modo, ogni utente può adottare diverse misure per ridurre al minimo il rischio di violazione dei dati personali. Ecco la nostra guida per prevenire le fughe di dati dai dispositivi personali o di lavoro.
- Password complesse e MFA
- Mantenere il software aggiornato
- Eseguire il backup dei dati regolarmente
- Aggiornare la rubrica degli indirizzi e-mail
- Utilizzare URL sicure
- Esaminare i controlli di accesso
- Formare i dipendenti
Password complesse e MFA
Come si è detto, alla base della sicurezza informatica c'è una password complessa che viene cambiata regolarmente (ogni 3-6 mesi). Una password complessa è in genere composta da almeno 8 caratteri. Noi ne consigliamo 10-12. Dovrebbe essere una combinazione di lettere, numeri e simboli (se consentiti). Non includere mai informazioni personali nelle password, ad esempio i nomi dei genitori, dei figli, degli animali domestici o la data di nascita. I criminali informatici cercano questo tipo specifico di informazioni tra gli account dei social media nel tentativo di forzare la password. Alcuni dispongono addirittura di app speciali che consentono loro di combinare parole chiave sulla tua vita con date importanti della tua vita per cercare di indovinare la tua password. È importante cercare di non utilizzare le stesse password per più account, ma una serie di password diverse. Allo stesso modo, è bene acconsentire ai criteri di sicurezza per l'autenticazione a due fattori, se previsti. Ti consigliamo anche di utilizzare un gestore di password per archiviare le diverse modifiche.
Mantenere aggiornato il proprio software
Spesso le grandi aziende forniscono patch di sicurezza e modifiche essenziali tramite gli aggiornamenti software. Per questo motivo è importante mantenere aggiornato tutto il software di lavoro e personale e assicurarsi di utilizzare la versione più recente di un programma per evitare di esporre eventuali exploit vulnerabili. Quando è possibile, si consiglia di abilitare tutti gli aggiornamenti automatici del software.
Eseguire il backup dei dati regolarmente
Per evitare la perdita permanente di dati e informazioni importanti, ti consigliamo di tenere un backup dei dati personali su un'unità esterna o riposto in un luogo sicuro. Il backup regolare dei dati evita di dover tenere le informazioni costantemente archiviate sul dispositivo e consente di accedere ai dati persi anche dopo la violazione iniziale.
Aggiornare la rubrica degli indirizzi e-mail
Sia che si lavori in ufficio, da casa o in viaggio, è sempre prudente chiedere ai clienti di comunicare se cambiano l'indirizzo o altri dati di contatto. Allo stesso modo, è bene chiedere loro periodicamente se hanno subito violazioni personali. Entrambe le misure impediranno a soggetti malintenzionati di accedere alle tue informazioni utilizzando l'identità rubata a un collega/cliente o perpetrando una truffa di phishing.
Utilizzare URL sicure
È un aspetto essenziale dell'igiene IT generale per tutti gli utenti di oggi. Se si riceve un collegamento da un collega o da un'origine esterna, aprire solo le URL che iniziano con HTTPS. Allo stesso modo, quando si visitano siti Web online, è importante verificare che sulla sinistra della barra di ricerca del browser sia presente un lucchetto che indica l'affidabilità del sito.
Esaminare i controlli di accesso
Con il diffondersi dello smart working, è evidente la necessità di accedere a una gamma più ampia di software e autorizzazioni. Tuttavia, questo non vale per tutti. Se si è preoccupati per le violazioni della sicurezza sul portatile di lavoro, rivolgersi al reparto IT per rafforzare i controlli di accesso.
Formare i dipendenti sulle best practice
La protezione dei dati non è solo una responsabilità del reparto IT, ma anche tua e dei tuoi colleghi. Ecco perché è essenziale essere sempre aggiornati sulla formazione in materia di sicurezza informatica dell'azienda e avere accesso alle risorse giuste in caso di violazione, come le best pratice per l'invio di informazioni personali tramite e-mail e le corrette convenzioni di denominazione dei documenti, per poter creare facilmente una traccia cartacea digitale. Chiedere al reparto IT o al proprio responsabile il piano di risposta appropriato qualora dovesse accadere il peggio e assicurarsi di segnalare immediatamente qualsiasi attacco o tentativo sospetto.
Le violazioni dei dati sono purtroppo diventate una consuetudine nel mondo digitale moderno. Molte delle nostre informazioni personali vengono archiviate e condivise online, spesso con aziende di cui sappiamo ben poco. Quindi, la prossima volta che farai acquisti online o ti chiederai se iscriverti a un nuovo servizio digitale o a un nuovo sito Web, pensaci due volte prima di riutilizzare una password o di condividere le tue informazioni più private.
Articoli e collegamenti correlati:
- Cos'è una violazione della sicurezza e come la si può evitare?
- Che cos'è il footprint digitale?
- Che cosa sono i software di gestione delle password? Sono sicuri?
- Con quale frequenza è bene cambiare le password online?
Prodotti correlati: