Attacchi ransomware: gestire correttamente il data breach per evitare sanzioni dal garante e perdita di fiducia degli interessati. 

Attacchi ransomware: che cosa sono?

Il ransomware è un software dannoso. Il nome deriva da ransom (riscatto)+ware: letteralmente il software del riscatto. Infatti un ransomware, se riesce ad accedere nei sistemi, può svolgere due azioni dannose: 

• bloccare l'accesso al sistema
• criptare i file 

In entrambi i casi il proprietario del sistema perde l'accesso e il controllo dei dati. Da qui la richiesta di riscatto: gli attaccanti chiedono soldi in cambio dello sblocco del sistema o del ripristino dei file criptati.

Attacchi ransomware e la doppia estorsione 

La novità degli ultimi anni è il fatto che gli attaccanti hanno iniziato a far precedere la fase di criptazione dei file da una fase antecedente detta la fase di esfiltrazione dei dati. In questa fase l'attaccante individua e raccoglie i dati dal sistema, quindi li copia in un sistema terzo sotto il suo controllo. Procede quindi a criptare i file rimanenti. A questo punto il proprietario dei dati non solo non può più accedere ai dati presenti nel sistema, ma sa anche che i dati in chiaro (leggibili quindi) sono stati copiati e sono in disponibilità dell'attaccante. Il riscatto quindi raddoppia: una somma per riportare in chiaro i file, una somma per non vedere pubblicati dati sensibili.

Dipende anche da questa evoluzione nelle tattiche di attacco il fatto che, ormai, tutti gli attacchi ransomware sono da considerarsi anche databreach. Con un attacco ransomware andato a segno infatti, il titolare del trattamento perde l'accesso e il controllo dei dati (che perdono integrità e riservatezza).

Attacchi ransomware e GDPR

Arriviamo ora al centro della questione: in caso di attacco ransomware, cosa occorre fare nel rispetto delle previsioni del GDPR? 

• art. 33 del GDPR:
  l'azienda deve essere in grado di notificare il data breach entro le 72 dalla scoperta. La notifica della violazione deve:
  • descrivere la natura del data breach;
  • contenere i dati di contatto del DPO;
  • rendere chiari i possibili rischi derivanti dal data breach;
  • elencare le misure adottate o che il titolare adotterà per mitigare / impedire ulteriori violazioni. 

• art. 34 del GDPR:
  l'aziende deve verificare, nei limiti del possibile, i "confini" della violazione dei dati e valutare quando e come informare gli interessati. Informare gli interessati non risponde soltanto all'obbligo di trasparenza, ma è anche una indicazione pratica. Vanno informati per consentire loro di minimizzare le conseguenze del data breach. 

Per approfondire > Ransomware e data breach: pubblicati i dati rubati a Ferrari e GSE

Quando non serve comunicare il breach: le specifiche dell'art 34 GDPR

L'art. 34 del GDPR specifica i casi in cui, invece, non è necessario comunicare l'attacco all'interessato. Questi casi sono 3: 

• il titolare del trattamento ha messo in atto le misure tecnico-organizzative adeguate. L'attenzione di questo paragrafo si concentra in particolare "sulle misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura";
• il titolare ha in seguito adottato misure utili a scongiurare il rischio di lesione dei diritti e delle libertà degli interessati;
• nel caso in cui comunicare a tutti gli interessati il data breach "richiederebbe sforzi sproporzionati". In questo caso è sufficiente una comunicazione pubblica.

Attacchi ransomware: quando e come comunicare il data breach? 

Per chiudere questa veloce panoramica è necessaria la lettura di un altra parte del GDPR: in dettaglio del considerando 86. Questo considerando fornisce ulteriori e specifiche indicazioni rispetto al dovere di comunicare le violazioni dei dati personali. A partire da un fatto: il titolare del trattamento deve notificare il breach senza indebito ritardo, soprattutto se

 "questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie".

Queste comunicazioni dovrebbero essere effettuate:

"non appena ragionevolmente possibile e in stretta collaborazione con l’autorità di controllo e nel rispetto degli orientamenti impartiti da questa o da altre autorità competenti".

Data breach e comunicazioni: le linee guida EDPB

Come accaduto anche per altre parti del GDPR, l'EDPB ha integrato le previsioni del GDPR interpretando una serie di articolo del Regolamento: ne ha ricavato le linee guida 01/2021, con le quali sono fatti esempi concreti di notifica di data breach. Ecco alcuni esempi: 

• attacco ransomware colpisce dati criptati a riposo: non vi sono categorie di dati particolarmente sensibili coinvolti. Il backup è adeguato, i dati non sono stati esfiltrati (l'ultimo punto è assai difficile da stabilire N.d.r). 
  • non serve la notifica al Garante né alcuna comunicazione agli interessati. I dati possono essere ripristinati velocemente. 

• attacco ransomware senza esfiltrazione di dati, senza adeguato backup e senza criptazione dei dati a riposo
  • la notifica al Garante è necessaria, ma non serve comunicare il breach agli interessati. Conta il tempo necessario al ripristino dei dati. Gli interessati vanno invece avvisati se il loro contributo è necessario per ripristinare i dati criptati. 

• attacco ransomware con backup e senza esfiltrazione contro una struttura ospedaliera
  • la notifica al Garante è necessaria perché i dati violati sono di particolare sensibilità (dati medico sanitari). E' necessaria anche la comunicazione agli interessati, soprattutto se il ripristino dei dati non può avvenire celermente determinando un ritardo nel trattamento dei pazienti.

Qui le linee guida complete