Rubati da un dipendente i dati di 500.000 clienti di un’assicurazione sanitaria

Sono molteplici i modi in cui un’azienda può subire un data breach. Può accadere che:

• hackers si approprino da remoto di interi database sfruttando vulnerabilità informatiche;
• ladri si intrufolino nelle pertinenze fisiche aziendali e asportino archivi o supporti di memoria;
• un incidente informatico esponga i dati al pubblico;
• un dipendente distratto divulghi per errore un file critico.

Quello che è accaduto a Bupa (British United Provident Association, società non-profit di assicurazione sanitaria) è un evento diverso, con un sapore quasi vintage: un impiegato s’è semplicemente rivenduto i dati. Il dipendente in questione ha copiato e asportato dolosamente (si suppone, al fine di condividere con terzi) informazioni relative a ben 547.000 contraenti di polizze assicurative internazionali. Ovviamente, il soggetto è stato prontamente licenziato.

I dati oggetto di appropriazione indebita sono: dati anagrafici, recapiti di contatto, numero di membership all’associazione. Nessun dato sanitario né finanziario sarebbe stato, pertanto, prelevato. Ma tanto basta a suscitare fondati timori per possibili furti di identità e usi illeciti delle stesse.

La società britannica – quando ancora sembrava che il breach fosse limitato a 108.000 clienti, stima successivamente quintuplicata stando alla BBC – ha tempestivamente pubblicato la notizia sul proprio sito con tanto di video di scuse del Managing Director della Global Division il quale ha precisato che i clienti interessati dal problema saranno tutti individualmente avvisati. Il comunicato di Bupa contiene anche suggerimenti pratici per permettere alle “vittime” del data breach di riconoscere o evitare nei prossimi tempi possibili frodi o episodi di phishing.

Quale morale si può trarre da questa notizia? Per prevenire i data breach è giusto adottare misure di sicurezza fisiche ed informatiche (per contrastare intrusioni o incidenti) ed agire sulla formazione del personale (per abbattere il margine d’errore individuale), ma non bisogna dimenticare un’attenta selezione della risorse umane.