GDPR: se WannaCry fosse arrivato nel 2018

Secondo Trend Micro gli effetti di WannaCry avrebbero avuto ripercussioni maggiori se fosse arrivato l’anno prossimo, ovvero dopo la piena entrata in vigore del GDPR.


WannaCry e GDPR sono due novità legate all’information technology molto discusse in questo periodo. Il primo è uno degli ultimi, nonché più pericolosi ransomware, ovvero quei software malevoli che infettano computer di tutto il mondo cifrandone i dati e rendendoli quindi inutilizzabili. Il secondo è il nuovo regolamento europeo sulla privacy, che entrerà pienamente in vigore il prossimo giugno.

Spesso sono tematiche trattate in modo separato, ed anche a prima vista potrebbe sembrare che non abbia molto senso parlare di WannaCry riferito al GDPR. Tuttavia Trend Micro, una nota firma della sicurezza informatica, propone una sua visione di questo accostamento, affermando che un attacco simile a quello di WannaCry potrebbe penalizzare moltissime aziende che finirebbero per ritrovarsi non conformi al nuovo regolamento.

=> GDPR: più efficienza per i professionisti IT

Il “panico che ha generato” WannaCry, infatti, non si fermerebbe all’inutilizzabilità dei dati, ma avrebbe ripercussioni sulla conformità alla norma. Potrebbero essere applicate le sanzioni, peraltro molto significative, per una violazione dei dati personali.

L’articolo 4.12 afferma infatti, scrive Trend Micro, che:

“Per violazione di dati personali si intende una violazione della sicurezza che porta alla distruzione, alla perdita, all’alterazione accidentale o illegale, alla divulgazione non autorizzata o all’accesso a dati personali trasmessi, memorizzati o altrimenti trattati”.

Di conseguenza l’attacco di WannaCry dovrebbe essere almeno considerato come accesso illegale, che come conseguenza successiva determina una perdita o distruzione di dati.

Anche l’articolo 5.1 contribuisce ad enfatizzare la problematica, poiché:

“I dati personali devono essere: elaborati in modo da garantire la sicurezza dei dati personali, inclusa la protezione contro l’elaborazione non autorizzata o illegale e contro perdite, distruzioni o danni accidentali, utilizzando adeguate misure tecniche o organizzative (integrità e confidenzialità)”.

=> Privacy UE, le nuove regole Marketing

Risulta quindi evidente che la mancata applicazione della patch, nel caso specifico la Windows SMB (CVE-‎2017-0144), ha consentito agli attaccanti di iniettare un file ransomware nei sistemi infettati e crittografare i file con 176 diverse estensioni, inclusi quelli utilizzati da Microsoft Office, database, file archivio, file multimediali e diversi linguaggi di programmazione. Tra questi ci sono sicuramente stati, per alcune aziende, file che contengono informazioni regolate dal GDPR.

In quest’ottica, effettivamente, malware, ransomware, altre analoghe minacce di sicurezza e GDPR intrecciano i loro cammini e, a partire dal prossimo giugno, potrebbero risultare sempre più appaiate.

Fonte: Trend Micro.

X
Se vuoi aggiornamenti su GDPR: se WannaCry fosse arrivato nel 2018

inserisci la tua e-mail nel box qui sotto:

Ho letto e acconsento l'informativa sulla privacy

Acconsento al trattamento di cui al punto 3 dell'informativa sulla privacy