Privacy, come gestire il data breach: le regole nelle Linee guida EDPB | Agenda Digitale

L'approfondimento

Privacy, come gestire il data breach: le regole nelle Linee guida EDPB

L’EDPB con le nuove linee guida sulla gestione del data breach offre un utile vademecum per far fronte alle violazioni dei dati: il documento include casi concreti di attacchi ransomware, per esempio verso ospedali o trasporti pubblici, e spiega in che modo comportarsi

25 Gen 2021
Marina Rita Carbone

Consulente privacy

Quali sono le tipologie di data breach, come funzionano gli attacchi ransomware, in che modo comportarsi per reagire a questi incidenti, in adeguamento al GDPR: le nuove linee guida EDPB sul data breach contemplano ogni aspetto delle violazioni spiegando passo per passo come farvi fronte. Indicazioni fondamentali per le aziende.

Le tipologie di data breach nelle Linee guida EDPB

Il “vademecum” si pone a corredo delle linee guida fornite nell’ottobre 2017 dal Gruppo di Lavoro 29 (o “WP29”) nelle quali si analizzava il testo normativo del GDPR nella parte riferita alle violazioni di dati personali o “data breaches” (Guidelines on Personal data breach notification under Regulation 2016/679, WP 250). Le Linee guida EDPB sono intitolate “Guidelines 01/2021 on Examples regarding Data Breach Notification” e, contrariamente alle precedenti, si occupano di analizzare alcuni dei più frequenti casi concreti di violazione dei dati, al fine fornire utili indicazioni al Titolare nella fase di analisi del breach e di valutazione della sua gravità. In apertura, EDPB, facendo espresso rimando a quanto contenuto nell’Opinione 03/2014 e nelle Linee Guida WP 250 del WP29, spiega come le violazioni di dati personali possano essere categorizzate secondo tre principi fondamentali:

DIGITAL EVENT, 18 MAGGIO
I Dati sono il nuovo petrolio! Scopri l'evoluzione di Cloud, AI, Sicurezza per la gestione del dato
  • Confidentiality breach: perdita di segretezza del dato, dovuta ad una disclosure accidentalee o ad un accesso da parte di soggetti non autorizzati;
  • Integrity breach: alterazione non autorizzata o accidentale dei dati personali (es: improvvisa modifica dei dati anagrafici di un cliente);
  • Availability breach: perdita accidentale o non autorizzata della disponibilità del dato personale (con distruzione dello stesso, nel caso più estremo).

Data breach, cosa deve fare il titolare

A fronte di tali possibili violazioni dei dati personali, al Titolare si fa onere di:

  • Documentare ogni breach di cui venga a conoscenza, ricomprendendo le informazioni connesse ai dati coinvolti, gli effetti del breach e le azioni di mitigazione intraprese;
  • Notificare il data breach al Garante Privacy, nel caso in cui la violazione dei dati possa comportare un rischio per i diritti e le libertà degli interessati coinvolti;
  • Comunicare il breach agli interessati, qualora vi sia la probabilità che la violazione comporti un rischio particolarmente elevato per i diritti e le libertà degli stessi.

Poiché le valutazioni in merito alla gravità del breach sono lasciate al Titolare, e non vi sono criteri univoci, all’interno del GDPR, per svolgere tale valutazione, l’EDPB ha ritenuto opportuno fornire degli esempi al fine di rendere più semplice e veloce la fase di analisi del rischio.

Come gestire gli attacchi ransomware

Le linee guida tengono conto delle conseguenze derivanti, in primo luogo, dagli attacchi ransomware, ossia tutti i casi nei quali un malware (ossia, un virus informatico maligno) cripta i dati contenuti nei sistemi informatici, rendendone impossibile il recupero o la visione se non a fronte del pagamento di un vero e proprio “riscatto” che consente di ottenere la chiave di decrittazione.

I casi presi in esame sono molteplici, ognuno correlato da una tabella riepilogativa che illustra le azioni da intraprendere ai sensi del disposto normativo del GDPR. Nel seguito, si prenderanno in analisi alcuni dei casi più rappresentativi proposti da EDPB.

Ransomware nel caso di dati correttamente criptati dall’azienda

Caso n. 1: il ransomware coinvolge dati personali correttamente criptati, relativi a clienti e dipendenti (una dozzina) senza attaccare altri computer o sistemi informatici, come le e-mail o i client di accesso. L’azienda dispone di un backup dei sistemi e la chiave di decrittazione non è stata compromessa dall’attacco informatico. In questo caso:

  • Le misure di prevenzione consigliate da EDPB sono la corretta gestione delle patch dei sistemi informatici e l’utilizzo di un sistema di rilevamento malware efficace, oltre all’utilizzo di un backup separato. Il personale deve, inoltre, essere correttamente formato al fine di permettere la tempestiva rilevazione della presenza del malware.
  • La valutazione del rischio del breach dovrà tener conto della possibilità che il malware abbia infettato altri sistemi senza, tuttavia, lasciarne traccia nei log di sistema. Nel caso di specie, poiché i dati sono correttamente criptati, il rischio connesso alla perdita di confidenzialità del dato è ridotto al minimo.
  • Nella fase di valutazione dell’impatto e della gravità del breach, il rischio maggiore per i diritti e le libertà degli interessati sarà costituito dalla perdita di disponibilità del dato personale, non essendo possibile, per l‘hacker, accedere al contenuto dei dati, in quanto criptati. L’utilizzo di un sistema di backup che consente di ripristinare i sistemi in poche ore abbatte fortemente anche tale profilo di rischio. In assenza di un sistema di backup, il titolare dovrà acquisire nuovamente i dati.
  • Le vulnerabilità che hanno consentito al malware di accedere ai sistemi dovranno essere analizzate e risolte.

Nel caso di specie, il rischio complessivo connesso al breach sarà minimo o assente, con obbligo per il Titolare di prenderne nota all’interno di un apposito registro.

Ransomware che cripta i dati senza esfiltrarli

Caso n. 2: il ransomware cripta i dati personali contenuti sul computer dell’azienda, relativi a clienti e dipendenti, senza esfiltrarli. Il Titolare, poiché privo di sistemi di backup, reinserisce manualmente i dati recuperandoli dal materiale cartaceo contenuto in archivio. Il ripristino dei dati occupa 5 giorni lavorativi e comporta dei ritardi di minore entità nella consegna degli ordini ai clienti. In questo caso:

  • Non essendoci stata una esfiltrazione dei dati, il rischio connesso alla perdita di disponibilità e riservatezza del dato è minimo, se non nullo. Nel caso in cui, invece, non sia possibile escludere una esfiltrazione dei dati, il rischio legato alla perdita di disponibilità e riservatezza sarà maggiore;
  • Dovrà essere condotta una analisi dei log del firewall per poter comprendere le vulnerabilità sfruttate dal malware e porvi rimedio;
  • La gravità dell’assenza di un backup informatico dovrà essere parametrata alle conseguenze derivanti dall’assenza di disponibilità del dato. Nel caso di specie, poiché il ripristino dei dati è da ritenersi parziale (per via della perdita dei metadati relativi agli ordini dei clienti) è da considerarsi necessaria la notifica al Garante del breach;
  • Se la perdita di dati comporta dei ritardi nei pagamenti e nelle consegne che portano a perdite di natura finanziaria per i clienti i cui dati sono stati compromessi, dovrà anche prendersi in considerazione la possibilità di informarli del breach. Informare gli interessati del breach potrà consentire anche di collaborare per ripristinare i dati persi;

Nel caso di specie, il rischio complessivo connesso al breach sarà presente ma non elevato, con obbligo per il Titolare di prenderne nota all’interno di un apposito registro e di notificare quanto avvenuto al Garante privacy. Il Titolare dovrà anche implementare i propri sistemi informatici, al fine di mitigare il rischio connesso ad un nuovo breach di eguale entità.

Il ransomware in ospedale

Caso n. 3: il sistema informatico di un ospedale è oggetto di ransomware, che comporta la criptazione di una percentuale significativa di dati personali, senza esfiltrazione. I dati personali coinvolti dal breach si riferiscono a dipendenti e pazienti, nell’ordine delle migliaia. I dati sono ripristinati tramite un backup informatico, ma ciò comporta l’impossibilità di accedervi per 2 giorni lavorativi. Il ritardo accumulato a causa del blocco informatico porta a ritardi di maggiore entità nella cura dei pazienti, alla cancellazione o al rinvio di alcuni interventi, nonché a una diminuzione del livello di qualità generale del servizio di assistenza al paziente.

Il caso preso in esame, come ovvio, comporta rischi ben maggiori rispetto a quelli analizzati sinora, in quanto il breach coinvolge dati sanitari di primaria importanza nella cura del paziente:

  • Innanzitutto, la quantità di dati personali e degli interessati dei quali si verifica l’assenza di disponibilità, ha un impatto elevato e sostanziali su questi ultimi. Inoltre, sebbene non sia stata rilevata un’esfiltrazione, non può escludersi anche una perdita del requisito di confidenzialità del dato;
  • Il tipo di violazione, la natura e la sensibilità dei dati coinvolti, oltre che, come detto, la quantità degli stessi, comporta per i diritti e le libertà degli interessati un rischio particolarmente elevato, essendo stato necessario attendere 2 giorni lavorativi per il ripristino tramite backup dei dati. Nel mentre, la struttura si trovava nell’impossibilità di operare su quei dati, eventualità che, per una struttura ospedaliera, comporta ingenti conseguenze sotto il profilo diagnostico e terapeutico;

Si considera necessario, nel caso di specie, porre in essere, in aggiunta a tutte le attività di studio delle vulnerabilità e risoluzione delle stesse, oltre che di potenziamento delle misure di sicurezza del sistema informatico, comunicare quanto avvenuto sia al Garante Privacy che ai pazienti coinvolti nel breach (ossia tutti i pazienti in cura presso l’ospedale nel periodo di indisponibilità dei sistemi). Potrebbe non ritenersi necessario comunicare il breach a quei pazienti che non sono stati in cura presso la struttura ospedaliera da oltre venti anni, in applicazione dell’eccezione di cui all’art. 34 par. 3 lett. c). L’attacco ransomware e i suoi effetti dovranno essere, quindi, resi pubblici.

Ransomware e trasporti pubblici

Caso n. 4: l’attacco ransomware coinvolge i server di una società che si occupa di trasporti pubblici. I dati vengono quindi criptati, rendendone impossibile la visualizzazione e l’utilizzo, ed emerge che gli stessi sono oggetto anche di esfiltrazione. I dati coinvolti appartengono a dipendenti e clienti, e tra questi, oltre ai dati anagrafici, vi sono anche i dati delle carte di identità e dati finanziari (come i dati della carta di credito eventualmente utilizzata per acquistare i biglietti online). Anche il file di backup è stato criptato dall’hacker, rendendo quest’ultimo inutilizzabile.

Nel caso in esame, si appalesa, in primis, la mancanza, da parte del Titolare, di azioni di monitoraggio e aggiornamento delle misure di sicurezza dei sistemi informatici nel corso del tempo, in quanto un sistema di backup correttamente progettato dovrebbe impedirne l’accesso dal sistema principale, al fine di evitarne la corruzione al pari degli altri sistemi. Inoltre:

  • Vi è una perdita sia della disponibilità che della confidenzialità dei dati, in quanto l’hacker potrebbe aver modificato e/o copiato i dati dal server della società titolare. Per tale ragione, il rischio connesso al breach è da ritenersi elevato.
  • La quantità e la tipologia di dati coinvolti (dati anagrafici, numeri delle carte di identità, dati delle carte di credito) aumenta ulteriormente il rischio complessivo per i diritti e le libertà degli interessati, in quanto sono stati oggetto di attacco anche i dati delle carte di credito.
  • L’impossibilità di recuperare i dati aumenta ancor di più la gravità e l’impatto del breach;
  • I danni causati ai diritti e alle libertà degli interessati potrebbero essere sia materiali (perdite di natura finanziaria) che immateriali (furto di identità o frode).

Alla luce di quanto esposto, il Titolare dovrà obbligatoriamente prendere nota del breach, notificare quanto avvenuto al Garante e provvedere alla tempestiva comunicazione della violazione e delle sue conseguenze anche a tutti gli interessati coinvolti, sia individualmente (nel caso in cui abbia disponibilità dei dati di contatto dei propri clienti) che pubblicamente (ad es. per mezzo di un avviso sul sito web della società).

Data breach, le misure più efficaci

EDPB, infine, fornisce un elenco non esaustivo delle possibili misure di mitigazione del rischio che il Titolare può adottare in caso di attacco ransomware:

  • Mantenere sempre aggiornati i firmware, i sistemi operativi e i software presenti sui server, i dispositivi client, i componenti attivi della rete, nonché tutti gli ulteriori dispositivi che operano sulla stessa linea di rete. L’aggiornamento periodico dei sistemi consentirà la riduzione delle vulnerabilità di sistema;
  • Progettare e organizzare i sistemi informatici in modo tale da segmentare e isolare i sistemi e le reti contenenti i dati, al fine di evitare che il malware si propaghi all’interno delle strutture o verso sistemi esterni all’azienda;
  • Avere una procedura di backup aggiornata, sicura e testata. I dispositivi utilizzati per i backup a lungo termine e per quelli a medio termine devono essere tenuti separati l’uno dall’altro, oltre che rispetto a terze parti;
  • Dotarsi di un efficace software anti-malware;
  • Dotarsi, altresì, di un firewall e di un sistema di detenzione e prevenzione delle intrusioni;
  • Formare i dipendenti in merito ai metodi di riconoscimento e prevenzione degli attacchi IT;
  • Identificare rapidamente il tipo di malware per vedere le conseguenze dell’attacco ed essere in grado di adottare tempestivamente le giuste misure di mitigazione del rischio;
  • Inoltrare o replicare tutti i log a un server di log centrale;
  • Utilizzare forme forti di criptazione o di autenticazione, in particolare per gli accessi amministrativi ai sistemi IT, come l’autenticazione a due fattori, oltre ad sistema di gestione delle password;
  • Istituire un team di risposta e gestione degli incidenti informatici (CSIRT – Computer Emergency Response, CERT – Computer Emergency Response Team) all’interno dell’azienda o, ove ciò non fosse possibile;
  • Dotarsi di piani di risposta agli incidenti informatici (Response Plan, Disaster Recovery Plan e Business Continuity Plan) e assicurarsi che gli stessi siano testati e aggiornati;
  • Svolgere una revisione delle misure di sicurezza a seguito di un attacco informatico.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3