la guida

Data breach nella PA: possibili effetti e come prevenirli

I pochi casi di data breach di cui sono stati vittime i Comuni italiani finora, non devono portare a sottovalutare il pericolo. Ecco perché sarebbe un errore gravissimo e quali misure mettere in atto per prevenire i pericoli futuri che certamente arriveranno

05 Nov 2019
Alberto Varetto

Privacy Officer, Consulente sicurezza sul lavoro


A più di 17 mesi dall’entrata in vigore del GDPR, non tutte le Pubbliche amministrazioni italiane sono pronte a fronteggiare un data breach di notevoli dimensioni. Eppure il pericolo è evidente e potenzialmente immediato, pensando a quanti ospedali pubblici trattano dati sensibilissimi (radiografie, malattie pazienti, allergie ecc.) o anche a chi tratta dati in larga scala (piccolo o grande Comune che dal web permette pagamento IMU o Tari).

Come spesso accade in Italia, servirà un caso mediatico e un furto di milioni di account per portare alla reazione immediata degli organi competenti? Ci si renderà conto finalmente che la prevenzione e la sicurezza informatica non sono meri adempimenti, ma utili strumenti per la tutela dell’interesse collettivo?

Solo il tempo ci darà la risposta definitiva a tali dilemmi. I pochi casi in cui sono stati vittima i Comuni italiani, fino a ora, non devono portare a sottovalutare il pericolo, perché sarebbe un errore gravissimo: è certo che da qui ai prossimi anni, vi potranno essere attacchi informatici o casi di violazione di dati personali in ambito pubblico e sarà interessante capire come reagiranno i sistemi di sicurezza e i server interessati. Intanto, fotografiamo lo stato dell’arte.

Cos’è un data breach

Il termine inglese data breach in seguito all’entrata in vigore del Regolamento UE 2016/679 (GDPR) è divenuto estremamente conosciuto. Ma cosa si intende realmente per data breach? In italiano tale termine, è tradotto come violazione dei dati personali.

Una violazione, che come ci dice precisamente l’art. 4 GDPR, riguarda la sicurezza e che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Il titolare del trattamento (soggetto pubblico, impresa, associazione, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Un data breach è bene specificare, non è solo un evento doloso come un attacco informatico, ma può essere anche un evento accidentale come un accesso abusivo, un incidente (es. un incendio o terremoto), la semplice perdita di una chiavetta USB o la sottrazione di documenti con dati personali (furto di un PC di un dipendente o un fascicolo cartaceo perso, in cui vengono raccolti dati sensibili).

Data breach nella pubblica amministrazione

Negli ultimi tempi si è discusso molto, relativamente ad attacchi hacker e informatici. In realtà quello che avverrà nei prossimi mesi e certamente nei prossimi anni, sarà molto più devastante di quello che abbiamo potuto notare finora e in molti ambiti che fino ad adesso non sono ancora stati colpiti. Il riferimento è preciso e circoscritto: gli Enti locali e le Pubbliche Amministrazioni sono spesso risultate non pronte alle novità tecnologiche e in particolar modo, alla gestione di nuove procedure.

Non dimentichiamo che l’ex Ministro della Pubblica Amministrazione, Giulia Bongiorno, mise in risalto un problema non di poco conto.

“L’età media dei dipendenti statali è di 52 anni, 56 per i dirigenti. Per un paese che vuole fare la riforma digitale è un problema”.

Un problema di specializzazione

Queste furono le parole che espresse l’anno scorso e sintetizzano bene un problema attuale e futuro. Il problema, è bene sottolineare, non è solamente anagrafico, ma quanto di specializzazione, considerato il fatto che un impiegato o un dirigente assunto da tempo difficilmente sia propenso ad apprendere compiti molto differenti. Sarebbe certamente positivo l’assunzione di personale qualificato (informatico e giuridico principalmente), che abbia una certa esperienza in ambito privacy e cyber security e che segua corsi continuamente che possano aggiornare le proprie conoscenze. La prevenzione anche in questi ambiti, può risultare decisiva e può essere gestita solo e solamente con un personale qualificato e numeroso.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Il DPO (ossia il Data Protection Officer) non può certo bastare e anche i responsabili esterni, devono monitorare continuamente i dispositivi e conoscere esattamente l’organizzazione degli uffici dell’ente.

I responsabili esterni, che possono essere di varia natura (es. commercialisti, avvocati o informatici) il più delle volte sono società che gestiscono solitamente da remoto il lato tecnico/informatico degli uffici. Per adempiere correttamente ai propri doveri dovrebbero continuamente controllare i server, non solo da remoto, ma anche in loco, i computer e le postazioni degli impiegati (obbligando i dipendenti a cambiare mensilmente password, a non aprire allegati sospetti o palesemente fake, ad aggiornare sempre l’antivirus ecc).

Il problema della sicurezza informatica nei comuni

Altra preoccupazione esistente ormai da tempo nelle PA italiane, riguarda la sicurezza informatica e la criticità riscontrata in molteplici siti di Comuni italiani e degli enti locali in generale. Secondo uno studio condotto dall’osservatorio di Federprivacy il 47% dei siti dei Comuni analizzati risultano basati sul vecchio protocollo “http”, venendo dunque etichettati come siti “non sicuri” dai principali browser, Chrome e Firefox in testa. Il pericolo dunque di un data breach è concreto.

Ricordo nuovamente che può essere informatico (hacker che sfrutta falla e ruba dati all’interno del sito istituzionale) e può anche essere di natura non informatica. Il danno può essere devastante e i Sindaci, in qualità di Titolari del trattamento del comune devono necessariamente tenerne conto. Sempre secondo lo studio realizzato da Federprivacy i dati di contatto del DPO sono una volta su tre assenti (esattamente il 36% risultano non esserci nei vari siti dei Comuni analizzati). Ciò è una palese violazione dell’art. 37 del GDPR che prevede l’obbligo di pubblicazione dei dati di contatto (solitamente sono indicati nome, cognome, e-mail e pec del DPO).

Gli effetti letali di un data breach a un ente pubblico

Prepararsi oggi a un possibile data breach, porsi i problemi che potrebbe causare (sia da un lato economico, ma soprattutto dal punto di vista della perdita dei dati di un numero considerevole di persone), sarebbe corretto e sacrosanto. Non si può certo paragonare un data breach che coinvolga una piccola azienda con un grande Ente pubblico, in quest’ultimo caso gli effetti sarebbero letali. Immaginiamo una violazione dei dati personali che riguardi un importante Comune italiano (es. Napoli, Milano o Roma). Un virus che penetri nei computer di uno o più dipendenti dei suddetti enti locali. Immaginiamo anche che siano violate password e username di milioni di cittadini.

Se poi ci aggiungiamo che potrebbero essere violati non solo i dati Comuni (nome, cognome, residenza), ma che l’hacker si possa essere impossessato di dati sensibili (religione, invalidità, referti medici ecc.) o giudiziari, si può capire immediatamente gli effetti catastrofici che potrebbe avere un attacco informatico simile. Il titolare del trattamento, nel caso dei Comuni il Sindaco, deve dunque prevedere ed essere molto vigile sui propri dipendenti: gli effetti in termini economici possono essere molto pesanti. Certamente non si deve ridurre al solo aspetto economico, oltre la pesante sanzione imposta dal Garante, il titolare del trattamento potrebbe essere costretto a risponderne in sede civile o penale. L’interessato danneggiato potrebbe subire un danno di natura non patrimoniale (caso Marriott: hacker entrato in possesso di allergie di milioni persone, anche di molti politici importanti) o difficilmente sanabile.

Data Breach avvenuti e poco dibattuti in ambito pubblico

Sui mezzi di stampa e in generale in molti media nazionali, essenzialmente pochissimo spazio è stato dedicato a casi di data breach avvenuti nel territorio italiano e nel resto d’Europa. A dire la verità invece, ci sono stati dei casi già abbastanza gravi e avvenuti proprio in alcune PA in Italia e altri potrebbero ancora avvenire.

È notizia recente di un’indagine avviata dall’Autorità Garante della privacy, in tema di esami medici. Tutto è partito da una scoperta fatta da “Greenbone Networks”, società tedesca di sicurezza informatica, che tra luglio e settembre ha analizzato le misure di protezione di numerosi database medici.

La scoperta di quasi 6 milioni di radiografie, salvate con una serie di dati personali e anche sensibili, come nome e cognome del paziente e motivo dell’esame, su server non protetti, dovrebbe suscitare clamore. In questo caso un data breach, potrebbe facilmente configurarsi (fortunatamente non è ancora avvenuto grazie all’avvio delle tempestive indagini), in un ambito peraltro come quello medico, certamente uno dei più delicati in assoluto. Il caso dovrebbe dunque, causare una reazione di sconcerto sia da parte degli interessati, ma anche dei titolari dei trattamenti che ai sensi del GPDR sono i veri responsabili di tutto quello che avviene nell’ente o nell’impresa.

Un altro caso abbastanza recente di data breach, avvenne in Piemonte. Il 14 Giugno 2018 il comune di Fiano (vicino a Torino), sul proprio sito istituzionale diede immediato avviso di un attacco informatico. Venne specificato che si trattava di un malware derivante da un messaggio di posta elettronica, che giunse ad uno dei computer del Comune. Tale messaggio riportava stralci di comunicazioni pregresse tra gli uffici dell’Ente, dando alla e-mail una parvenza di veridicità. Il messaggio riportava la richiesta di visionare un file .doc allegato. Una volta aperto l’allegato, il file invitava l’utente ad attivare le macro, per permettere di leggere il documento in quanto creato con una versione precedente di Microsoft Word. L’attivazione delle macro avviava una connessione verso un server remoto, dal quale veniva scaricato un software in grado di raccogliere informazioni, specialmente password e dati di accesso, e di aprire una backdoor sulla macchina infettata.

Il virus fu rimosso integralmente. Inoltre, era stato effettuato l’upgrade dell’antivirus presente sul sistema, il quale attualmente risulta aggiornato ed efficace. I sistemi oggetto di violazione, ovvero gli indirizzi e-mail erano stati integralmente ripristinati. Grazie al tempestivo intervento, in questo comune piemontese non vi fu un caso di data breach devastante e paragonabile a casi celebri di società private (es. Wind, Google, Linkedin-Microsoft), però è anche chiaro che i danni furono ugualmente ingenti.

In altri casi in alcuni Comuni del napoletano, esattamente Massa Lubrense e Sant’Agnello, non vi furono dei veri e propri data breach. Tuttavia degli hacker penetrarono nei siti istituzionali e potenzialmente avrebbero potuto facilmente entrare in possesso di dati comuni e sensibili.

I pochi casi in cui sono stati vittima i Comuni italiani, fino a d’ora, non devono in ogni caso portare a sottovalutare il pericolo, perché sarebbe un errore gravissimo. Dietro i dati personali, esiste un vero mercato, a volte anche nero e oscuro. Non è un mistero che dietro ci può essere del business e i casi Facebook, Yahoo e Google dovrebbero far riflettere tutti attentamente. Ancor di più, chi tratta in larga scala milioni di dati ogni giorno e da questo punto di vista anche le PA devono porsi seriamente il problema.

Cosa fare per evitare problemi futuri

Il Comune o la PA dovrebbe prevedere preventivamente una procedura per contrastare una violazione dei dati personali e dunque non porsi il problema a giochi ormai avvenuti. Fondamentale è la tenuta ordinata di un apposito registro, che raccolga puntualmente tutti i data breach avvenuti (anche quelli non notificati al Garante). Il registro dei data breach dunque, deve essere continuamente aggiornato e messo a disposizione del Garante qualora l’Autorità chieda di accedervi.

Ai sensi del celebre art. 33 GDPR, il titolare del trattamento deve documentare tutte le violazioni di dati personali subite, tramite un apposito registro delle violazioni. Il registro dovrà contenere:

  • data e ora della violazione;
  • informazioni dettagliate sulla violazione;
  • conseguenze della violazione (quantità dei dati personali e degli interessati coinvolti dalla violazione);
  • eventuale data e ora della notifica della violazione all’autorità di Garante;
  • cause e provvedimenti adottati in seguito alla violazione dei dati.

Formazione continua, policy e regolamenti precisi

Oltre che una tenuta ordinata del registro contenente tutte le violazioni, il titolare del trattamento deve offrire ai propri dipendenti (che siano dirigenti, impiegati o anche non dipendenti ad es. DPO) una corretta e continuativa formazione.

Anche all’interno dell’ente o della PA, si deve predisporre la partecipazione a dei corsi o convegni, in cui si spieghi cos’è una violazione dei dati. Lasciare semplicemente gli strumenti disponibili negli uffici, non risolve affatto il problema. L’addetto, non conoscendo le procedure, non inserirà mai nulla all’interno di tali moduli, per la paura di sbagliare, magari temendo di rischiare pure una nota di demerito, in caso di errore di compilazione. Bisogna certamente formare gli addetti e i responsabili esterni, che devono sapere che cos’è una violazione, e come segnalarla. La formazione è semplice e non costosa. È anche vero che gli enti locali più vicini ai cittadini (Comuni), spesso non hanno le risorse per affrontare delle spese ulteriori e proprio per questo le Regioni dovrebbero intervenire e fornire gli strumenti adeguati (attraverso dei finanziamenti relativi a programmi sulla prevenzione, sulla sicurezza informatica e non solo).

Il Comune dovrebbe dotarsi di policy e regolamenti precisi ed imporre ai propri dipendenti un comportamento adeguato. È impensabile ad oggi, l’uso di USB non cifrate o peggio l’abbandono di PC accesi senza password aggiornate. Attraverso l’uso di responsabili individuati, che avrebbero un compito di controllo sull’attività degli uffici, sarebbe chiaramente semplice poter constatare il comportamento dei propri impiegati.

Oltre che da una policy aziendale, il comune dovrebbe adottare altre misure più tecniche, che riguardano l’aspetto informatico. Possono così essere sintetizzate:

  • rimozione di virus da tutto il parco clienti tramite scansioni antivirus;
  • provvedere al cambio delle password di tutte le e-mail presenti nell’ufficio o azienda;
  • valutare il cambio di password degli utenti che hanno accessi con privilegi;
  • richiedere al provider e-mail di creare un record Sender Policy Framework (SPF) al dominio al fine di poter controllare eventuali flussi anomali di messaggi in uscita;
  • aggiornare regolarmente il software antivirus e fare in modo di essere dotato di programma adeguato e al passo con i tempi;
  • installare e gestire una configurazione firewall;
  • evitare di utilizzare i valori predefiniti forniti dal produttore per password del sistema;
  • crittografare la trasmissione dei dati su reti pubbliche e aperte a terzi;
  • sviluppare sistemi sicuri, ossia privacy-by-design e privacy-by-default;
  • fondamentale è la protezione dei dati presenti negli archivi digitali e fisici;
  • implementare costantemente le misure di controllo degli accessi;
  • limitare l’accesso ai dati al personale solo a chi ne ha realmente bisogno;
  • limitare l’accesso fisico ai dati;
  • monitoraggio regolare delle reti e test frequenti;
  • assegnare un ID univoco a ogni persona dotata di accesso informatico;
  • registrare e monitorare tutti gli accessi alle risorse di rete e ai dati;
  • devono essere adottati software per la gestione delle vulnerabilità;
  • adottare criteri per la protezione delle informazioni.

WHITEPAPER
Chief operating officer: come bilanciare sicurezza informatica e responsabilità operative
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA

LinkedIn

Twitter

Whatsapp

Facebook

Link

Articolo 1 di 2