GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/735/01.jpg
giovedì 6 luglio 2023
di GDPRlab.it
Attacchi ransomware: gestire correttamente il data breach per evitare sanzioni dal garante e perdita di fiducia degli interessati.
Il ransomware è un software dannoso. Il nome deriva da ransom (riscatto)+ware: letteralmente il software del riscatto. Infatti un ransomware, se riesce ad accedere nei sistemi, può svolgere due azioni dannose:
In entrambi i casi il proprietario del sistema perde l'accesso e il controllo dei dati. Da qui la richiesta di riscatto: gli attaccanti chiedono soldi in cambio dello sblocco del sistema o del ripristino dei file criptati.
La novità degli ultimi anni è il fatto che gli attaccanti hanno iniziato a far precedere la fase di criptazione dei file da una fase antecedente detta la fase di esfiltrazione dei dati. In questa fase l'attaccante individua e raccoglie i dati dal sistema, quindi li copia in un sistema terzo sotto il suo controllo. Procede quindi a criptare i file rimanenti. A questo punto il proprietario dei dati non solo non può più accedere ai dati presenti nel sistema, ma sa anche che i dati in chiaro (leggibili quindi) sono stati copiati e sono in disponibilità dell'attaccante. Il riscatto quindi raddoppia: una somma per riportare in chiaro i file, una somma per non vedere pubblicati dati sensibili.
Dipende anche da questa evoluzione nelle tattiche di attacco il fatto che, ormai, tutti gli attacchi ransomware sono da considerarsi anche databreach. Con un attacco ransomware andato a segno infatti, il titolare del trattamento perde l'accesso e il controllo dei dati (che perdono integrità e riservatezza).
Arriviamo ora al centro della questione: in caso di attacco ransomware, cosa occorre fare nel rispetto delle previsioni del GDPR?
Per approfondire > Ransomware e data breach: pubblicati i dati rubati a Ferrari e GSE
L'art. 34 del GDPR specifica i casi in cui, invece, non è necessario comunicare l'attacco all'interessato. Questi casi sono 3:
Per chiudere questa veloce panoramica è necessaria la lettura di un altra parte del GDPR: in dettaglio del considerando 86. Questo considerando fornisce ulteriori e specifiche indicazioni rispetto al dovere di comunicare le violazioni dei dati personali. A partire da un fatto: il titolare del trattamento deve notificare il breach senza indebito ritardo, soprattutto se
"questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie".
Queste comunicazioni dovrebbero essere effettuate:
"non appena ragionevolmente possibile e in stretta collaborazione con l’autorità di controllo e nel rispetto degli orientamenti impartiti da questa o da altre autorità competenti".
Come accaduto anche per altre parti del GDPR, l'EDPB ha integrato le previsioni del GDPR interpretando una serie di articolo del Regolamento: ne ha ricavato le linee guida 01/2021, con le quali sono fatti esempi concreti di notifica di data breach. Ecco alcuni esempi:
Qui le linee guida complete
giovedì 5 dicembre 2024
Leggi tutto...lunedì 2 dicembre 2024
Leggi tutto...lunedì 25 novembre 2024
Leggi tutto...
CONDIVIDI QUESTA PAGINA!