L’Autorità Garante italiana ha prima riacceso l’attenzione sul tema del data breach inserendolo fra gli oggetti delle propria attività ispettiva e successivamente ha prodotto un piccolo tool online per svolgere un Self Assesstment e individuare le azioni da intraprendere a seguito di una violazione di dati personali. A gennaio 2021 l’EDPB, il Garante europeo, con le Linee Guida 01/2021 dal titolo “Examples regarding Data Breach Notification” ha ulteriormente portato alla ribalta il tema delle violazioni di dati.
Il documento con 18 esempi passa in rassegna le casistiche più comuni in cui ogni organizzazione possa imbattersi, definendo per ognuna il livello di rischio, classificandola per violazione e indicando gli obblighi di documentazione, notifica e/o comunicazione come da art. 33 del GDPR.
In questo articolo passeremo in rassegna i 18 esempi sintetizzandoli e soprattutto il punto di vista delle Autorità garanti e le loro aspettative qualora accada una violazione di dati personali.
Indice degli argomenti
Ransomware: i quattro esempi di EDPB
I primi quattro esempi portati dalle Linee guida 01/2021 riguardano il cyber crime e nello specifico il ransomware. Il ransomware è un software dannoso progettato per negare l’accesso ai dati della vittima attraverso la crittografia. La chiave di decriptazione è consegnata dall’attaccante malevole previo pagamento di un riscatto solitamente in criptovaluta.
Caso 1: ransomware con corretto backup e senza esfiltrazione dei dati
Vittima: PMI manifatturiera
Il titolare adottava un ottimo sistema di crittografia e la chiave di crittografia non è stata violata durante l’attacco. Una società esterna effettua un’indagine sui log tracing in uscita dall’azienda (inclusa le e-mail) e conferma la non esfiltrazione dei dati.
I dati vengono ripristinati poche ore dopo l’attacco grazie a back up elettronici senza conseguenza sull’operatività aziendale.
Classificazione: violazione di disponibilità per poche ore.
Livello di rischio: basso
Solo obbligo documentale.
Data breach, come affrontarlo passo per passo: i consigli nelle linee guida EDPB
Caso 2: ransomware senza back up
Vittima: un’azienda agricola
Una società esterna effettua un’indagine sui log tracing in uscita dall’azienda (inclusa le e-mail) e conferma la non esfiltrazione dei dati. L’assenza di criptografia non garantisce comunque la certezza che non vi sia violazione della riservatezza, poiché i malware più sofisticati modificano i file di registro e rimuovono eventuali tracce d’esfiltrazione.
I dati personali interessati dalla violazione riguardano dipendenti e clienti, poche decine di individui in tutto. Nessuna categoria di dati particolari è stata coinvolta. Non vi era alcun backup elettronico e il ripristino è avvenuto manualmente da documentazione cartacea in 5 giorni lavorativi, comportando lievi ritardi nella consegna degli ordini. Il principale gap rispetto al caso 1 è l’assenza di un back up elettronico e la mancata protezione dei propri dati con crittografia.
Classificazione: violazione potenziale di riservatezza e disponibilità per 5 giorni.
Livello di rischio: alto
Obbligo documentale e di notifica al Garante.
Caso 3: ransomware con backup e senza esfiltrazione
Vittima: un ospedale
Una società esterna effettua un’indagine sui log tracing in uscita dall’azienda (inclusa le e-mail) e conferma la non esfiltrazione dei dati.
I dati personali interessati dalla violazione riguardano dipendenti e pazienti, nell’ordine delle migliaia di individui. Fra i dati violati vi sono dati particolari. La maggior parte dei dati è stata ripristinata in 2 giorni lavorativi e ha comportato notevoli ritardi nel trattamento dei pazienti con un intervento chirurgico annullato/posticipato e un abbassamento del livello di servizio per indisponibilità dei sistemi.
Classificazione: violazione potenziale di riservatezza e disponibilità per 2 giorni.
Livello di rischio: alto per elevata gravità dell’impatto e numero degli interessati coinvolti.
Obbligo documentale, di notifica al Garante e comunicazione agli interessati.
Caso 4: ransomware senza backup e con esfiltrazione
Vittima: un’azienda di trasporto pubblico.
L’indagine interna evidenzia che i dati sono stati esfiltrati.
I dati personali violati riguardano dipendenti e diverse migliaia di persone trasportate (es: acquisto di biglietti online). Oltre ai dati anagrafici, nella violazione sono coinvolti dati finanziari fra cui gli estremi delle carte di credito. Il backup elettronico è anch’esso colpito dal ransomware e crittografato dall’aggressore.
Classificazione: violazione di riservatezza e disponibilità.
Livello di rischio: alto.
Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali (es. bloccare le proprie carte di credito).
Esfiltrazione: due app e uno stuffing attack
Caso 5: esfiltrazione da un’app
Vittima: il sito web di un’agenzia di collocamento viene violato, attraverso lo sfruttamento di una vulnerabilità con SQL Injection.
L’attaccante ha avuto accesso a 1200 user-id/nickname (l’uso di una mail come user-id era sconsigliato) e password hashed con algoritmo robusto. Sebbene non siano stati coinvolti dati particolari, i dati contenevano informazioni considerevoli sfruttabili dall’attaccante (es: targeting con marketing, furto d’identità). Non è stata mantenuta una corretta igiene dell’ambiente IT attraverso l’aggiornamento continuo. Lo sviluppo non ha garantito alti standard di sicurezza come l’autentificazione forte, misure contro attacchi di forza bruta, tecniche di Escaping o Sanitizing. Non sono stati svolti audit periodici sulla sicurezza IT, valutazioni delle vulnerabilità e penetration test per rilevare in anticipo questi tipi di vulnerabilità e risolverli.
Classificazione: violazione di riservatezza e integrità.
Livello di rischio: alto.
Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali (es. bloccare le proprie carte di credito).
Caso 6: esfiltrazione da un’app
Vittima: sito web di cucina.
Il toolkit viene scoperto dopo un mese dall’installazione e permette all’attaccante di accedere ai dati caricati e archiviati sul webserver. Sono coinvolti 213 interessati.
Il titolare informa tutti gli utenti via e-mail invitandoli a cambiare password, soprattutto se la password era utilizzata anche per altri servizi. La comunicazione non era obbligatoria ma è stata sicuramente una corretta procedura di mitigazione. La violazione è stata in termini di riservatezza ma la modalità hashed di password e database comporta una sostanziale assenza di rischi per gli interessati. Non sono stati coinvolti dati particolari, né informazioni di contatto (es: indirizzi e-mail e numeri di telefono).
Classificazione: violazione di riservatezza.
Livello di rischio: basso.
Obbligo documentale.
Caso 7: stuffing attack
Vittima: Il sito web di una banca.
Attraverso script o tool l’attaccante prova ripetutamente le credenziali trafugate o acquisite nel dark web sperando che queste non siano state aggiornate. A causa di una vulnerabilità del sito web, l’aggressore ha avuto accesso a informazioni riguardanti 2.000 interessati (nome, cognome, sesso, data e luogo di nascita, codice fiscale, codici identificativi dell’utente), anche se la password utilizzata non era corretta o il conto corrente bancario non era più attivo. Secondo i controlli antifrode, nessuna transazione è stata eseguita dall’attaccante. Il centro operativo per la sicurezza della banca, allertato dall’elevato numero di richieste di accesso al sito web, ha disabilitato tempestivamente la possibilità di accedere al sito Web spegnendolo e forzando il ripristino della password degli account compromessi.
Classificazione: violazione di riservatezza.
Livello di rischio: alto con la possibilità del verificarsi di danni materiali (ad es. perdita finanziaria) e non materiali (ad es. furto di identità o frode)
Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali (es. bloccare le proprie carte di credito).
Human Factor: furto di dati dell’ex dipendente ed e-mail inviata per errore
Caso 8: esfiltrazione di data base clienti da ex dipendente
Vittima: azienda.
Durante il periodo di preavviso, il dipendente copia i dati aziendali dal database a cui è autorizzato ad accedere per svolgere il proprio lavoro. Mesi dopo aver lasciato il lavoro, utilizza i dati così acquisiti per contattare i clienti dell’azienda per proporre i servizi della nuova occupazione.
Classificazione: violazione di riservatezza.
Livello di rischio: medio. Sebbene l’unico obiettivo dell’ex dipendente sia fare direct marketing, il titolare non ha alcun tipo di rassicurazione sulle intenzioni del dipendente, pertanto non può valutare il rischio per gli interessati basso non essendo escluso un ulteriore e più grave abuso dei dati rubati.
Obbligo documentale e di notifica al Garante.
Caso 9: trasmissione accidentale di dati a una terza parte fidata
Vittima: assicurazione.
Un agente assicurativo riceve un file Excel via e-mail con i dati di due dozzine di clienti a cui non dovrebbe accedere. È vincolato dal segreto professionale ed è l’unico destinatario dell’e-mail. L’agente, come da Nomina, segnala senza indebito ritardo il breach e conferma la cancellazione dei dati in una dichiarazione scritta. Il Titolare ricevuta la segnalazione corregge il file (impostazioni di sicurezza e visualizzazione) e lo invia al ricevente corretto.
Classificazione: violazione di riservatezza.
Livello di rischio: basso.
Solo obbligo documentale.
Furto o perdita di tablet, notebook, documenti cartacei
Caso 10: furto di materiale criptato
Vittima: asilo nido.
Vengono rubati due tablet, crittografati e spenti.
I dati non erano sul dispositivo ma su un’app, protetta da password complessa, sempre accessibili per il Titolare. Da remoto il titolare procede a cancellare il contenuto del tablet.
Classificazione: violazione nessuna grazie agli accorgimenti del titolare.
Livello di rischio: basso.
Obbligo documentale.
Caso 11: furto di materiale non criptato
Vittima: società di servizi.
Il notebook di un dipendente viene rubato. Conteneva nomi, cognomi, sesso, indirizzi e date di nascita di oltre 100.000 clienti. L’accesso al disco rigido del notebook non era protetto da password. I dati personali sono stati ripristinati dai backup giornalieri.
Classificazione: violazione di riservatezza.
Livello di rischio: alto
Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali.
Caso 12: furto di documenti cartacei con dati particolari
Vittima: struttura di riabilitazione per tossicodipendenti.
Un registro cartaceo è stato rubato. Il registro conteneva dati sulla salute dei pazienti. I dati sono stati archiviati solo su carta e non è presente alcun backup. Il registro non era conservato in un cassetto o in una stanza chiusi a chiave, nessun regime di controllo degli accessi né altre misure di salvaguardia della documentazione cartacea erano in atto.
Classificazione: violazione di riservatezza, integrità e disponibilità.
Livello di rischio: alto.
Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali.
Invio di posta per errore: fattura, allegati, e-mail
Caso 13: invio di fattura alla persona sbagliata
Vittima: azienda di vendita al dettaglio.
Due ordini con bolle di accompagnamento vengono inviate erroneamente a destinatario sbagliato. Contenevano dati personali (nome, indirizzo, articolo acquistato).
Classificazione: violazione di riservatezza.
Livello di rischio: basso, non essendo un errore sistemico.
Obbligo documentale.
Caso 14: L’allegato è sbagliato
Vittima: Pubblica Amministrazione.
Per errore, viene allegato a una e-mail un documento contenente i dati di oltre 60.000 persone in cerca di lavoro (nome, indirizzo e-mail, indirizzo postale).
Classificazione: violazione di riservatezza.
Livello di alto, per l’elevato numero.
Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali.
Caso 15: dati particolari inviati per sbaglio
Vittima: ente di formazione.
L’elenco dei partecipanti a un corso che si svolge in un hotel per 5 giorni viene inviato per errore ai 15 partecipanti al corso invece che all’hotel.
L’elenco contiene nomi, indirizzi e-mail e preferenze alimentari dei 15 partecipanti, di cui 2 sono intolleranti al lattosio.
Classificazione: violazione di riservatezza.
Livello di rischio: basso in quanto la violazione non dovrebbe comportare alcun danno.
Obbligo documentale.
Caso 16: l’allegato è sbagliato
Vittima: assicurazione.
Per posta ordinaria viene inviata la rateizzazione della polizza auto, contenete nome e indirizzo del contraente, numero di immatricolazione del veicolo, tariffe assicurative, chilometraggio annuo approssimativo e data di nascita del contraente.
Classificazione: violazione di riservatezza.
Livello di rischio: basso essendo un caso isolato.
Obbligo documentale e di notifica al Garante.
Social engineering: 2 esempi
Caso 17: furto d’identità
Vittima: società di telecomunicazioni.
Il contact center riceve una telefonata da una persona, che si dichiara essere un cliente, e richiede la modifica dell’indirizzo di posta elettronica per le fatturazioni. L’operatore richiede la convalida dell’identità come da procedura chiedendo alcuni dati personali (dati fiscali e indirizzo di posta). Il mese successivo il legittimo cliente contatta l’azienda, chiedendo spiegazioni sul perché non abbia ricevuto la fatturazione al suo indirizzo e-mail e perché il contact center rifiuti le sue chiamate.
I dati di fatturazione forniscono informazioni sulla vita privata dell’interessato (ad es. abitudini, contatti), potrebbero portare a danni materiali (ad es. stalking, rischio per l’integrità fisica), frodi o attraverso le informazioni ottenute acquisirne altre violando ad esempio altre misure di autenticazione in altre situazioni.
Classificazione: violazione di riservatezza.
Livello di rischio: alto.
Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali.
Caso 18: e-mail esfiltrate
Vittima: ipermercato.
Dopo 3 mesi ci si rende conto che alcuni account di posta elettronica erano stati modificati.
Le modifiche introducevano regole tali per cui ogni e-mail contenente determinate espressioni (es. “fattura”, “pagamento”, “bonifico bancario”, “autenticazione carta di credito”, ” i dettagli del conto bancario”) fosse inoltrata a un indirizzo e-mail esterno.
L’aggressore, fingendosi un fornitore, dopo aver richiesto la modifica dei dettagli del conto bancario del fornitore, ha inviato diverse fatture false, con i nuovi dettagli di pagamento.
Classificazione: violazione di riservatezza.
Livello di rischio: alto.
Obbligo documentale, di notifica al Garante e comunicazione agli interessati per cautelarsi da danni materiali.
L’analisi del contesto
L’impressione che ho avuto leggendo il documento EDPB è che il metro di giudizio nel valutare i data breach, così come il punto di vista diverga anche di molto da quello di coloro che quotidianamente dovrebbero adempiervi. Vuoi per la giovinezza della norma, vuoi per la mancanza di piena consapevolezza della stessa, temo esistano troppi punti di vista in materia di data breach, quando l’unico punto di vista che realmente ha valore è quello dell’Autorità Garante, soprattutto se l’obiettivo è evitare di ricevere un provvedimento sanzionatorio.
Gli Imprenditori e il management privato sono sovente attenti prevalentemente alla continuità operativa e alla disponibilità del dato. Si cautelano soprattutto con cloud e backup. L’incendio di OVH e le Linee guida 01/2021 dimostrano che ciò non basta, poiché per il GDPR non basta certo garantire solo la disponibilità.
Inoltre, gli imprevisti sono sempre dietro l’angolo, vuoi per un evento imprevedibile o quasi (l’incendio della tua server farm) vuoi perché il cyber criminale ha criptato anche le coppie di back up. Le Pubbliche Amministrazioni spesso per carenza di fondi o mancanza di know how trascurano tutto ciò che sta sotto l’Art. 32 del GDPR sia essa infrastruttura tecnologica o Human factor. Le recenti sanzioni a diverse strutture sanitarie, INPS, Regione Lazio, MISE dimostrano che molto ancora c’è da fare.
Talvolta i colleghi DPO, vuoi per percorso formativo, vuoi per carenza di skills tecnico informatiche, in un mondo iper-digitalizzato quale è quello di oggi, non approfondiscono i reali flussi dei dati all’interno delle infrastrutture ITC e i rischi ivi connessi, limitandosi a rendere puntualmente adempiuta solo la sovrastruttura documentale e formale. Il Colonello Menegazzo del Nucleo Speciale Privacy della G.D.F., negli incontri pubblici ove partecipa, non perde occasione di ripetere che dopo 21 anni di privacy formale è giunta l’ora della Privacy sostanziale. Francesco Modafferi componente dell’Ufficio del Garante solo poco giorni fa in un incontro tenuto dall’Istituto Italiano Privacy, in un breve sfogo che a tratti mi è sembrato un manifesto del suo pensiero, ha detto “non se ne può più di DPO che fanno Informaticucce e Policy da scaffale”…. “io mi aspetto che in fase ispettiva accanto al DPO vi sia sempre l’AdS”.
L’importanza della collaborazione
Guido Scorza componente dell’Ufficio del Garante ha snocciolato recentemente gli inpietosi numeri relativi alle notifiche di data breach fatte al Garante. Nello stesso periodo in Germania le notifiche alle autorità preposte sono state prossime alle 100.000 mentre in Italia sono state poco più di 4.000.
La tendenza tutta italiana di non notificare nella speranza di farla franca e una generale mancanza di cultura sul tema sono probabilmente le principali motivazioni allo scarsissimo uso del vincolo di notificare al Garante.
Scorza ha sottolineato l’importanza in materia di Privacy di un approccio collaborativo sottolineando che l’assenza di una forbice stringente fra un minimo e un massimo per ogni infrazione, offre al Garante una discrezionalità massima e i fattori attenuanti potrebbero divenire straordinariamente importanti in termini di riduzione della sanzione di cui sono certi solo i massimali (20.000 di euro oppure il 4% del fatturato globale).
Conclusione
Per chiudere, un’attenta lettura non tanto di questo sintetico articolo ma della stessa linea guida è necessario così come affidarsi a figure professionali e qualificate.
È necessario ricordarsi sempre che la data protection poggia su tre diversi percorsi professionali distinti, raramente riscontrabili in un’unica persona, riconducibili all’ambito legale per gli aspetti formali e normativi, all’ambito organizzativo-gestionale per la ri-progettazione dei flussi informativi interni e il coinvolgimento del personale, all’ambito IT per la cyber-security.
