È uno degli eventi più temuti da aziende e professionisti: subire un cyber attacco può infatti generare danni ingenti
Protezione dati informatici - Consulenti privacy

Al danno “diretto” per l’operatività e le casse dell’azienda può aggiungersi sia un danno “reputazionale”, dovuto agli obblighi di notifica al Garante ed agli interessati i cui dati sono stati compromessi; sia un danno “indiretto” arrecato dalle sanzioni eventualmente comminate dall’Autorità di controllo che dovesse accertare il mancato rispetto del GDPR e delle misure di sicurezza richieste dalla normativa privacy.

Protezione dati informatici - Consulenti privacy

Dall’inizio della pandemia di Covid-19, complice anche l’incremento dello smart working (1.827.792 smart-workers del 2020 contro i 570.000 del 2019), il cyber crime è aumentato in maniera esponenziale, rendendo imprescindibile un’attività di cyber & privacy assessment a prevenzione degli attacchi informatici (abbiamo parlato qui delle linee guida per uno smart working sicuro”). È comunque bene ricordare che un data breach non è solo quello conseguente ad un attacco informatico, ma anche quello dovuto ad una perdita di dati in seguito ad errore o infedeltà del personale.

Ma cosa fare quando le misure non sono state adottate oppure si sono rivelate insufficienti e l’attacco informatico all’azienda è comunque andato a segno?

A fare chiarezza ci ha penso l’EDPB (Comitato europeo per la Protezione dei Dati) con la pubblicazione di linee guida che vanno a completare quelle già emanate Working Party 29 in tema di data breach (3 ottobre 2017 – WP250), introducendo raccomandazioni orientate alla pratica.

Le linee guida distinguono preliminarmente tre gradini di “intervento” che l’azienda “deve salire” a seconda della gravità della violazione:

  1. Livello base: è il minimo comune denominatore, che si realizza anche nel caso di violazioni anche più semplici (come, ad esempio, l’errore di invio di una e-mail contenente dati personali). In tali casi dovrà essere compilato un registro interno con indicate le circostanze dell’incidente, le contromisure adottate e i motivi per cui non si è ritenuto di procedere alle attività di cui ai livelli successivi.
  2. Livello intermedio: la violazione presenta un rischio per le libertà e i diritti delle persone coinvolte. Dovrà quindi essere effettuata una notifica al Garante Privacy, come disposto dall’art. 33 del GDPR.
  3. Livello elevato: la violazione presenta un rischio elevato per le libertà e i diritti delle persone coinvolte. Dovrà essere effettuata la comunicazione a tutti gli interessati coinvolti ai sensi dell’art. 34 del GDPR.

Stabiliti questi criteri generali, le linee guida offrono spunti pratici relativamente alla gestione di accadimenti ricorrenti in azienda che possono generare un data breach. Vediamone alcuni:

L’errore di invio di una e-mail: la fattura al cliente sbagliato
EDPB prende in esame il classico caso di un errore nell’invio delle fatture a due clienti (invertite rispetto ai destinatari corretti). È evidente che in questa ipotesi – generalmente – non sono coinvolti dati particolari e non vi sono particolari rischi per i diritti e le libertà degli interessati, consentendo al titolare del trattamento di fermarsi al “livello base” nella scala del rischio sopradescritta. Tuttavia, l’EDPB ci ricorda che anche questa è una violazione rilevante ai sensi della normativa GDPR, la quale andrà elencata nel registro interno dei data breach, indicando che per mitigare il rischio si è proceduto all’invio delle ricevute corrette chiedendo ai destinatari di eliminare quelle inviate per errore.
Le linee guida sottolineano l’importanza della formazione dei dipendenti, i quali andranno sicuramente sensibilizzati su alcune “best practices”, come ad esempio l’utilizzo del “ccn” per gli invii multipli o l’impostazione del software per la gestione delle email in modo da avere un breve lasso di tempo per annullare l’invio anche una volta che lo stesso è stato confermato.

La perdita di documenti informatici: ho lasciato la borsa del PC all’Autogrill!
Nell’ipotesi di smarrimento o furto di un dispositivo informatico, come un laptop, ci sono numerose variabili da prendere in considerazione che incidono sulla valutazione del livello di rischio e sull’adozione delle conseguenti misure.
Ad esempio, lo smarrimento o la sottrazione di un laptop non crittografato contenente dati di clienti avrà un livello di rischio almeno “intermedio” (se non “elevato”, a seconda del tipo di dato), determinando la necessita di notificare il data breach al Garante ed eventualmente anche agli interessati.
Al contrario, lo smarrimento o la sottrazione di un laptop sottoposto ad una crittografia di livello avanzato e protetto da una password forte sarà classificabile come “livello base” di rischio, non destando particolari preoccupazioni dal punto di vista privacy (senza dunque necessita né di notifica né di comunicazione se i dati sono recuperabili e i dispositivi sottratti sono protetti adeguatamente).
L’EDPB suggerisce in tal senso di attivare la crittografia su tutti i dispositivi facilmente asportabili e di proteggerli con una password forte, attivando inoltre funzioni che consentano di individuare la posizione del dispositivo rubato ed utilizzando VPN per le connessioni da mobile al server, salvando esclusivamente su quest’ultimo i dati (e non sui dispositivi mobili). Ovviamente rimangono caldamente consigliate le pratiche che tutti conosciamo: chiusura dei dispositivi quando ci si allontana dalla postazione, salvaschermo con richiesta di login in caso di inattività, ecc.

L’attacco ransomware: l’incubo di ogni azienda
Come ricordato in premessa, da quanto è iniziata la pandemia di Covid-19 gli attacchi ransomware sono aumentati del 715% (fonte: ENISA – Threaht Landscape Report 2020), complice l’aumento vertiginoso dello smart working e dell’utilizzo delle reti VPN.
Nell’attacco ransomware un codice malevolo (ad esempio ricevuto via e-mail e aperto) crittografa i dati personali e successivamente l’aggressore chiede al titolare il pagamento di un riscatto (spesso in criptovaluta, es. BITCOIN) in cambio del codice di decrittazione.
Cosa fare se succede?

  • La prima verifica che l’EDPB suggerisce di fare è quella di controllare che l’hacker non abbia estratto i dati dallo stesso crittografati. Se ci è riuscito si ricade purtroppo in un problema di illecita comunicazione (e possibile diffusione) del dato, con l’ovvia attribuzione di un “alto livello” di rischio e la necessità di notificare la violazione sia al Garante che agli interessati.
    Tali comunicazioni, invece, potrebbero non essere necessarie nel caso in cui sia possibile dimostrare che l’attaccante non ha potuto “accedere” ai dati, ad esempio perché questi erano già crittografati all’origine dal titolare del trattamento e la chiave non è stata compromessa nell’attacco.
  • In quest’ultima ipotesi il titolare dovrà allora verificare se l’attacco ha causato o meno una perdita di dati. Se la data restoration è possibile in breve tempo senza richiedere una nuova raccolta dei dati dagli interessati o da terzi (grazie ad un sistema di backup efficiente), sarà allora possibile evitare la notifica al Garante, segnalando l’attacco ransomware unicamente nel registro aziendale interno dei data breach.
    Se invece il sistema di backup non ha funzionato a dovere, determinando il prolungarsi dell’indisponibilità dei dati, si potrebbe ricadere in uno scenario di rischio di tipo “intermedio”, rendendo opportuna la comunicazione al Garante, oppure addirittura “elevato” se i dati coinvolti sono di tipo “particolare”, necessitando dunque della notifica anche agli interessati.

Ma quali sono le misure di sicurezza “consigliate” per evitare un attacco ransomware?

In realtà ci sono molti accorgimenti da valutare, tra i quali sicuramente troviamo l’aggiornamento costante dei sistemi operativi, la progettazione di sistemi informatici per segmenti isolati, l’adozione di procedure di backup, la crittografia dei dati presenti nel sistema, l’adozione di antivirus e firewall efficaci, la predisposizione di apposite misure di sicurezza per lo smart working, l’adozione del principio del “privilegio minimo” (consentendo accesso unicamente ai dati di specifico interesse per ciascun collaboratore, escludendo gli altri), la limitazione della possibilità di utilizzo di dispositivi esterni (ad esempio: USB/CD/DVD ecc.) sui computer aziendali e, infine, l’imprescindibile formazione dei dipendenti affinché siano in grado di riconoscere queste minacce e ne sappiano contenere i danni nell’evenienza in cui accadano.

Verifica di essere a norma di privacy - Consulenti privacy