Cosa sono i dati PII (Personally Identifiable Information)?

L'acronimo PII sta per Personally Identifiable Information, in Italiano informazioni di identificazione personale, e rappresenta tutti quei dati in grado di identificare in modo univoco gli utenti, per questo molto appetibili e a rischio di furto da parte dei cybercriminali. Sono considerati dati sensibili, perché possono venire utilizzati ad esempio per i furti di identità.

Esempi di PII possono essere semplicemente il nome, l'indirizzo, e la data di nascita dell'utente, o nei casi peggiori: nome e cognome, indirizzo, codice fiscale e dati bancari. Nei data breach, i dati PII sono uno dei bersagli principali dei cybercriminali, per via del loro valore quando vengono messi in vendita nei marketplace del dark web.

Le informazioni appena viste, sono soltanto un piccolo esempio, ma la lista è ben più lunga. Qualsiasi informazione che permetta di identificare in modo univoco una persona può essere considerata un dato PII. Sono proprio questi i dati che le aziende hanno a cuore proteggere dagli attacchi dei cybercriminali.

È importante distinguere tra dati PII sensibili e dati PII non sensibili. I primi sono regolati da specifiche norme di conformità e devono essere protetti da rigidi standard in tema di sicurezza informatica, stabiliti dagli enti regolatori. Dati estremamente sensibili, come ad esempio il codice fiscale o i dati bancari, richiedono standard di sicurezza molto elevati per proteggerli dagli attacchi.

Come nel caso della definizione dei dati PII, anche per i dati sensibili non esiste una definizione ben definita che li contraddistingua. Un buon metodo è determinare se l'informazione è disponibile pubblicamente o se invece è un dato che non può essere trovato ad esempio sull’elenco telefonico o su un database pubblico. I numeri di cellulare possono essere privati ma i nomi e i numeri di telefono pubblici non sono considerati dati privati. Il nome e l'indirizzo email di un dipendente trovati in un elenco aziendale non sono considerati dati sensibili, al contrario il numero di telefono privato del dipendente e il suo indirizzo di residenza sono invece considerati sensibili.

Gli standard di regolamentazione definiscono il modo in cui i dati sensibili devono essere conservati e trasferiti. I dati sensibili devono infatti essere crittografati quando archiviati e trasferiti in rete. I dati archiviati su hard disk o su database vengono definiti dati a riposo, “data at rest”. I dati trasferiti all'interno della rete aziendale o in rete vengono definiti dati in movimento “data in motion”. Entrambi sono vulnerabili agli attacchi e richiedono l'adozione delle migliori soluzioni di difesa in termini di sicurezza informatica per proteggerli.

Altri dati sensibili protetti da normative

Oltre ai dati PII, anche i dati sanitari protetti (PHI) e le informazioni bancarie sono regolamentati da severi standard e vanno adeguatamente protetti come stabilito dalle seguenti normative: l'Health Insurance Portability and Accountability Act (HIPAA) supervisiona i dati sanitari e definisce gli standard di sicurezza informatica per medici, ospedali, dentisti, compagnie assicurative, e molto altro.

Vari enti regolano le informazioni finanziarie, come il PCI-DSS, il Financial Industry Regulatory Authority (FINRA), Sarbanes-Oxley (SOX), e altri. Violare tali standard può portare a sanzioni milionarie, quindi è fondamentale conformarsi alle normative per proteggere i dati sensibili.

Il Regolamento generale sulla protezione dei dati (GDPR) definisce il modo in cui le aziende devono trattare i dati PII. Esso fornisce le linee guida su cosa è considerato dato PII e cosa deve essere fatto per archiviare, proteggere, e eliminare tali dati. La checklist GDPR offre alle aziende un modo per capire se stanno seguendo la strada giusta nella gestione dei personally identifiable information.

Il GDPR distingue tra le aziende con più di 250 dipendenti e quelle con meno dipendenti. La checklist indica alle aziende il modo in cui devono crittografare i dati a riposo e quelli in movimento. La crittografia è il primo metodo per anonimizzare i dati quando vengono trasmessi. Anche se i cybercriminali dovessero violare la rete aziendale, la crittografia renderebbe i dati inutilizzabili per i malintenzionati.

Standard di sicurezza sui personally identifiable information in Europa

Altri standard di sicurezza informatica vigilano sui dati degli utenti appartenenti all'unione europea. Le aziende devono non soltanto implementare le più efficaci misure di sicurezza per proteggere i dati dei propri utenti, ma devono anche fornire loro un modo facile per sapere come tali dati vengono utilizzati e richiederne la cancellazione se lo desiderano. Gli utenti devono anche potersi liberamente opporre alla raccolta e all'utilizzo dei propri dati.

Se un'azienda è tenuta al rispetto del GDPR, è fondamentale che conosca perfettamente tutto ciò che prevede la normativa, perché i requisiti sono diversi da quelli di altri standard. Ad esempio il GDPR stabilisce che i cookies possono essere considerati dati PII. La legge distingue tra PII e identificativo personale. Un identificativo personale in aggiunta a un pacchetto di informazioni personali permetterà ai cybercriminali di identificare una persona a partire da informazioni personali di base. Ad esempio, disponendo soltanto del nome “Mario Rossi”, gli hacker non potranno fare un gran che, ma in combinazione ad esempio con i dati di geolocalizzazione, possono restringere il campo riuscendo ad identificare l'utente.

Gli standard emanati dai vari organi regolatori permettono di proteggere in modo adeguato i dati sensibili e rappresentano un ottimo punto da cui partire quando si stabiliscono le policy di sicurezza e sull'utilizzo dei dati. Tuttavia ogni azienda avrà poi le proprie esigenze e implementerà le proprie strategie di difesa in base ai propri requisiti.

Ad esempio, le normative HIPAA e PCI-DSS impongono alle organizzazioni l'utilizzo del protocollo SSL/TLS (HTTPS) per trasferire dati sensibili, oltre alla crittografia dei dati sensibili archiviati nei database. Tuttavia, l'azienda dovrà definire delle strategie per l'accesso interno ai dati, il backup, l'archiviazione, e stabilire chi all'interno dell'organizzazione può accedere ai dati PII. Se gli utenti accedono ai dati PII da remoto, dovranno utilizzare una VPN e l'autenticazione multifattore (MFA).

Gli attacchi phishing e social engineering sono comunemente utilizzati per i furti di identità. È perciò fondamentale che i dipendenti delle aziende ricevano un'adeguata formazione contro i pericoli del phishing e del social engineering, affinché imparino a riconoscere un attacco e segnalarlo prontamente. Anche conoscere le normative sulla protezione dei dati e chi può accedervi dovrebbe rientrare nella formazione dei dipendenti. Per arginare gli attacchi phishing possono essere utilizzate inoltre soluzioni specifiche, come filtri email, impostazione del DMARC, SPF, e software basati su DNS per bloccare contenuti pericolosi.

Strategie di sicurezza informatica per proteggere i dati sensibili

Le strategie di sicurezza informatica devono essere aggiornate regolarmente, almeno annualmente, ma alcune aziende scelgono di farlo anche più di frequente. In caso di incidente, si ha l'opportunità di correggere ciò che non ha funzionato a livello di strategia di difesa, ma soltanto dopo che la violazione è avvenuta. Rivedere e tenere aggiornate le proprie tecnologie e strategie di difesa aiuterà i responsabili del reparto informatico a identificare e correggere eventuali vulnerabilità nelle proprie infrastrutture e sistemi.

I dati PII, PHI, ePHI, e PFI (Informazioni finanziarie di identificazione personale) costituiscono vari tipi di dati digitali che vanno tutti protetti fisicamente e virtualmente. Il primo passo è identificare tutti i modi in cui l'azienda raccoglie dati, capire a quali standard in tema di gestione dei dati si deve conformare, e infine mettere in atto le adeguate strategie di difesa.