Tratto dallo speciale:

Ransomware & Co: come comportarsi in azienda in caso di violazione dati

di Alessandra Gualtieri

4 Agosto 2021 10:11

Guida operativa al data breach: direttive per aziende che subiscono violazioni di dati personali, anche in relazione ai dipendenti, con esempi pratici.

L’attacco hacker subito dai CED della Regione Lazio, nella forma del ransomware, riapre un capitolo delicato per la sicurezza informatica in Italia, dove a rischio ci sono non soltanto i servizi erogati in ambito pubblico e privato ma anche le informazioni personali di milioni di cittadini. Pensare che ancora oggi, nella maggior parte dei casi, nasca tutto da un errore umano sembra impensabile, quanto meno inaccettabile. Aprire un documento o una mail sospetta, cliccare su un link di phishing, in realtà può capitare a tutti, quel che che è incredibile è che a monte non esistano strutture e strumenti di protezione e backhup tali da respingere o contenere i danni.

=> Aziende italiane e PA sotto attacco ransomware

Gli strumenti per difendersi

Per violazione dei dati si intende un evento che comporta – in modo accidentale o volontario – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati. Un data breach non è necessariamente un attacco informatico, anzi statisticamente una violazione può essere determinata per ben altre ragioni, determinate da fonti umane, ingegneria sociale o che coinvolgono documenti cartacei.

Il 14 gennaio 2021 il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato le Linee Guida operative per la gestione della violazione dei dati, documento che espressamente va ad integrare le precedenti indicazioni adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017. Il profilo particolarmente pratico di questo indicazioni permette di valorizzarle sotto due fondamentali aspetti che le imprese pubbliche e private devono tener conto, strettamente connessi e conseguenziali. I suggerimenti operativi forniti permettono di agire su più livelli: prevenzione, reazione e valutazione sull’obbligo di notifica. Particolare attenzione va posta poi sotto il profilo dell’accountability (cioè della propria responsabilità). L’Autorità Garante ci ha fornito da tempo istruzioni e strumenti con cui operare: giustificarsi dicendo di non averli adottati in modo adeguato diviene sempre più difficile. Quindi, attenzione.

Le violazioni possibili

Il Comitato presenta una serie di esempi, sviluppati in diverse prospettive (tipologia e quantità di dati, contesto, rischio, ecc.), in modo da fornire un preciso quadro sulle attività che il titolare deve compiere a tutela della privacy dei soggetti interessati al data breach; i casi analizzati riguardano violazioni determinate da:

  • ransomware;
  • esfiltration (“fuoriuscita” di dati);
  • fonti umane;
  • ingegneria sociale;
  • furto o perdita di dispositivi;
  • furto o perdita di documenti cartacei.

Gli errori umani

Vale la pena soffermarsi sulle ipotesi che coinvolgono proprio i dipendenti. Il Comitato sottolinea come, essendo molto complesso prevenire le varie tipologie di violazioni (proprio perché possono derivare non soltanto da un comportamento malevolo, ma anche solo accidentale o erroneo), il titolare potrebbe prevedere una specifica clausola nel contratto, o nelle istruzioni interne, che vieti alcune specifici comportamenti particolarmente rischiosi ovvero inserisca vincoli nel caso in cui il dipendente non faccia più parte dell’azienda.  Le Linee Guida indicano anche quali siano, sulla base dell’esperienza, le mancanze più frequenti che si riscontrano nelle aziende e che determinato appunto violazioni dei dati:

  • omessa cifratura;
  • non corretta gestione dell’autenticazione degli utenti a siti web;
  • politiche password deboli;
  • errore nell’invio di mail ai destinatari sbagliati o invio con un allegato sbagliato;
  • mancanza di consapevolezza dei rischi da parte dei dipendenti;
  • poca formazione adeguata;
  • errore umano.

Ma poiché il documento ha come principale obiettivo quello di essere di aiuto e supporto alle imprese titolari del trattamento il Board indica, sia pur in modo meramente esemplificativo, svariate misure di sicurezza che possono essere adottate e che qui di seguito andiamo a sintetizzare:

  • istruzioni puntuali al personale su come inviare le email;
  • inserimento by default degli indirizzi nel campo bcc quando una email abbia più destinatari;
  • richiesta di una ulteriore conferma nell’invio della mail a più destinatari che non siano stati inseriti nel campo bcc;
  • organizzazione di una sessione di formazione sugli incidenti più frequenti derivanti dagli errori più comuni;
  • disattivazione del completamento automatico durante la scrittura di una email.
  • adottare adeguate misure di criptazione dei dati e di gestione delle password, soprattutto quando il trattamento ha ad oggetto dati sensibili o finanziari;
  • mantenere costantemente aggiornati i sistemi e tenere traccia di tali aggiornamenti, di modo da poter dimostrare la compliance con il principio di accountability;
  • fare ricorso a strumenti di autenticazione “forti” (ad esempio l’autenticazione a due fattori) e adeguate policy di gestione e aggiornamento delle password;
  • condurre audit e assessment periodici per verificare la costante adeguatezza delle misure;
  • mantenere aggiornate le copie di backup in modo assicurarsi la possibilità di procedere rapidamente al recovery dei dati e delle informazioni;
  • adottare piani di disaster recovery e business continuity.

=> Privacy: linee guida e modello

Il Garante Privacy ha rinnovato il sistema di notifica telematica del data breach a cui si può accedere direttamente tramite il sito dell’Autorità. Ma ciò che è più importante tenere bene a mente è che il modello di comunicazione, tra le varie indicazioni, richiede al titolare quali misure di sicurezza erano già operative e quali intende predisporre. Misure di sicurezza che oggi, con l’emanazione delle Linee Guida in commento, conosciamo e che pertanto, sebbene il documento non abbia valore di legge, il titolare ha l’obbligo di verificare e predisporre a tutela dei dati. Nei Considerando del Regolamento leggiamo infatti che una violazione può comportare danni fisici, materiali o immateriali per le persone fisiche i cui dati sono stati violati come ad esempio discriminazione, furto d’identità, danni reputazionali, perdite finanziarie, perdita di riservatezza dei dati personali protetti da segreto professionale ecc.

__________

Avv. Emiliano Vitelli