Siti web in tilt e spettro data breach: Incendio per uno dei più grandi datacenter d’Europa.

Un devastante incendio verificatosi a Strasburgo ha distrutto uno dei datacenter più grandi d’Europa, quello di proprietà di Ovh, azienda di web hosting leader nel settore con 1,5 milioni di clienti nel mondo. Nella notte tra il 9 e il 10 marzo la società francese ha comunicato che le fiamme avevano colpito tre dei quattro edifici di sua proprietà. Anche se fortunatamente non ci sono state vittime, centinaia di siti sono andati in tilt, compresi anche molti di aziende e ed italiani che evidentemente si appoggiavano ai server ospitati negli edifici andati a fuoco.

Come ha raccomandato su Twitter lo stesso fondatore della Ovh, Octave Klaba, mentre l’azienda sta lavorando incessantemente per cercare di riattivare i server negli edifici andati a fuoco, i clienti sono invitati ad “attivare il Disaster Recovery Plan per la salvaguardia dei propri dati”, facendo temere che chi invece non avesse previsto una tale procedura per il recupero dei propri i dati potrebbe aver perso tutto il proprio patrimonio fatto di informazioni.

In attesa di vedere gli sviluppi sulle operazioni di ripristino in corso, l’incendio che si è abbattuto sul datacenter della Ovh ricorda quanto sia fondamentale per le aziende “preparare la guerra in tempi di pace” mettendo a punto un efficace “Disaster Recovery Plan”, ovvero quell’insieme di azioni, strategie e misure tecnologiche ed organizzative necessarie al ripristino di infrastrutture, sistemi e persino singoli dati a fronte di emergenze o eventi che ne hanno intaccato la normale operatività.

A fuoco il datacenter Ovh a Strasburgo

Tra le misure ricomprese in un piano di recupero dei dati in caso di disastro, c’è naturalmente un efficiente sistema di backup, che però da solo non è sufficiente, perché il fatto di avere una copia dei dati ha di per sé scarso valore se poi non si riesce a utilizzarli rapidamente in una più ampia strategia di “business continuity”.

Oltre alla salvaguardia del patrimonio e all’importanza della continuità operativa delle attività aziendali, si aggiungono anche gli oneri che il Gdpr pone in capo ai titolari del trattamento in tema di data breach. Infatti, anche se spesso tali eventi sono riconducibili ad attacchi hacker o alla carenza di misure informatiche che espongono indebitamente i dati degli interessati, in realtà ai sensi dell’art.4 del Regolamento UE 2016/679 configura una violazione della sicurezza dei dati personali quella “che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Ciò significa che la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità, costituisce a tutti gli effetti una situazione di data breach soggetta agli adempimenti degli articoli 33-34 del Gdpr riguardanti la notifica all’autorità di controllo entro 72 ore dal momento in cui ne il titolare ne viene a conoscenza, e quando la violazione comporta un rischio elevato per i diritti delle persone, anche la comunicazione a tutti gli interessati coinvolti.

Ovh, azienda di web hosting leader nel settore

Le violazioni di dati personali che devono essere obbligatoriamente notificate sono tutte quelle che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali, come ad esempio la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

Tutti motivi per cui, la Ovh adesso non dovrà fronteggiare solo l’ira di enti ed aziende clienti per il disservizio, ma per evitare sanzioni fino a 10 milioni di euro o fino al 2% del proprio fatturato totale annuo mondiale dovrà anche dimostrare all’autorità di controllo di aver adottato tutte le misure tecniche ed organizzative adeguate per garantire e dimostrare la propria conformità al Gdpr.

 

Fonte: Federprivacy.org