LA GUIDA PRATICA

Data breach e accidentalità di una violazione di dati: come prevedere e gestire un incidente

Non sempre un data breach è riconducibile alla condotta illecita di un soggetto non autorizzato per l’accesso ai dati riservati di un’azienda: a volte le cause di una violazione potrebbero essere “interne” e dovute magari all’errore di un dipendente. Ecco come prevedere un eventuale incidente

13 Lug 2020
C
Marco Catalano

Avvocato, Consulente privacy

Z
Alfredo Zallone

Avvocato, Consulente Privacy


Gestire correttamente un data breach significa anche analizzare le cause di un incidente e correggere eventuali errori procedurali che hanno di fatto reso possibile una violazione di dati. Non sempre, infatti, un data breach è colpa dei malintenzionati del web.

Gestire un data breach: analizzare il contesto

È assai frequente associare il termine data breach alla condotta di un soggetto non autorizzato che, violando le misure di sicurezza, accede in modo illegittimo ai dati personali contenuti, ad esempio, in un documento digitale. In questi casi l’hacker è il principale indiziato della violazione.

Eppure, l’esempio appena descritto rappresenta una delle svariate cause che potrebbero determinare una violazione di dati personali. Basti pensare ad un incidente informatico che determina la perdita di alcune cartelle di rete contenente materiale riservato del personale di un’azienda, oppure l’errore di un dipendente, commesso nel corso della propria mansione, che consente involontariamente la divulgazione di alcune informazioni confidenziali a terzi.

È bene ricordare sin da subito come la violazione di dati personali non sia altro che una tipologia di incidente di sicurezza in quanto, così come indicato dal Gruppo di lavoro ex. art. 29[1] nelle Linee Guida sul data breach[2] (nel prosieguo anche le “Linee Guida”): “mentre tutte le violazioni dei dati personali sono incidenti di sicurezza, non tutti gli incidenti di sicurezza sono necessariamente violazioni dei dati personali”.

Obiettivo dell’interprete sarà quello di appurare se l’incidente di sicurezza rappresenti anche una violazione di dati personali e di comprendere, in caso positivo, se la stessa abbia comportato una violazione di confidenzialità, integrità e disponibilità dei dati personali.

È bene chiarire sin da subito come l’accertamento della violazione dovrà tenere in considerazione non solo l’oggetto o le cause determinanti della stessa ma anche l’accidentalità o l’illiceità della condotta posta in essere dai soggetti coinvolti.

Tale concetto trova conferma nell’art. 4, comma 1, n. 12 del Regolamento UE n. 2016/679 (di seguito anche il “Regolamento”) che definisce la violazione dei dati personali come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

In conclusione, la violazione di dati che determina una divulgazione, modifica, accesso, perdita o distruzione dei dati personali può avvenire o accidentalmente (ad esempio per mero errore) oppure illecitamente, ossia per mezzo di una azione deliberata.

Le origini del data breach

Innanzitutto, è bene precisare come il data breach non sia una novità assoluta prevista dal Regolamento in quanto tale istituto era già presente e consolidato nella normativa vigente italiana ed europea.

In particolare, già la direttiva 2009/136/CE[3] aveva previsto la violazione di dati personali e l’obbligo di notifica dei data breach per i fornitori di servizi di comunicazione elettronica accessibili al pubblico, confluiti nell’art. 32-bis del Codice privacy, nella sua vecchia formulazione.

Il Garante per la protezione dei dati personali (di seguito il “Garante”) ha poi adottato nel tempo una serie di provvedimenti[4] che hanno esteso l’obbligo di comunicazione al Garante della violazione dei dati personali (derivanti da attacchi informatici, accessi abusivi, incidenti o eventi avversi, relativi a pubbliche amministrazioni) anche alle ipotesi di violazioni di sistemi per il trattamento di dati biometrici o sui dati ivi contenuti, e violazioni di dossier sanitari elettronici.

In tutti questi casi era stato sancito l’obbligo di comunicare al Garante, tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati. Il tutto, entro 24 ore – nel caso di società telefoniche e internet provider o trattamenti biometrici – o 48 ore – nel caso il data breach riguardasse dossier sanitario elettronico o amministrazioni pubbliche – a partire dal momento della conoscenza del fatto.

Se ne desume quindi che la violazione dei dati personali, già prima dell’entrata in vigore del Regolamento, non solo era stata oggetto di analisi a livello europeo e di provvedimenti specifici a livello nazionale ma anche che la stessa poteva essere causata da casi specifici quali attacchi informatici, accessi abusivi o incidenti.

Le cause degli incidenti ed errori nei data breach

Ma che cosa si intende per incidente? Solitamente il termine incidente si riferisce ad un fatto, non intenzionale, che viene improvvisamente a interrompere il procedere regolare di un’azione, il che può portare ad un errore.

Tale fatto, solitamente imprevedibile, può determinare un errore nei processi ordinari costituiti che potrebbe verificarsi per una molteplicità di fattori quali, ad esempio:

  • mancanza o assenza di procedure interne all’organizzazione in grado di regolamentare nel modo più opportuno un flusso di comunicazioni;
  • presenza di procedure specifiche interne all’organizzazione ma assenza di formazione specifica nei confronti dei soggetti preposti ad una determinata attività;
  • assenza di una nomina come soggetto autorizzato in grado di identificare i comportamenti opportuni da adottare nell’ambito di un processo aziendale;
  • negligenza da parte del dipendente nello svolgimento della propria mansione.

La domanda pertanto sorge spontanea: come prevedere questi incidenti? Sebbene tale quesito possa risultare troppo ampio e generalizzato, è lo stesso Regolamento a suggerire una risposta, invitando ciascun titolare del trattamento ad adottare continuamente un approccio responsabile (“accountability”) al trattamento eseguito al fine di mantenere un livello di compliance sempre adeguato alla nuova normativa in materia di protezione dei dati personali.

In tal senso, onde ridurre al minimo il concretizzarsi di un errore, appare fondamentale per ogni titolare del trattamento implementare sin da subito tutte le misure idonee ad anticipare ed evitare il suo verificarsi.

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Network Security

Il Considerando 87 del Regolamento dispone infatti che “È opportuno verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità di controllo e l’interessato […]”.

Inoltre, a rafforzare tale tesi, è bene menzionare le Linee Guida sopra richiamate le quali offrono alcuni esempi pratici nonché molti spunti utili da tenere in considerazione nell’ambito di una violazione dei dati personali causata da un errore.

Incidenti ed errori che possono configurare data breach: il caso INPS

I comportamenti accidentali che possono configurare una violazione di dati personali sono, teoricamente infiniti.

Basti pensare a casi concreti e banali in cui, nonostante l’adozione di misure di sicurezza adeguate e particolarmente stringenti, per puro caso o momentanea disattenzione, si smarriscono dispositivi, si inviano mail a persone che non dovrebbero riceverle o si confondono due persone omonime comunicando all’uno i dati dell’altro.

In tal senso, le stesse Linee Guida forniscono alcuni esempi concreti di incidenti, causati da errore, che determinano una violazione dei dati personali:

  • I dati personali di un gran numero di studenti vengono inviati per errore a una mailing list sbagliata con più di 1 000 destinatari”.
  • Una società di hosting di siti web che funge da responsabile del trattamento individua un errore nel codice che controlla l’autorizzazione dell’utente. A causa di tale vizio, qualsiasi utente può accedere ai dettagli dell’account di qualsiasi altro utente”.

Lo stesso vale nel caso in cui l’errore avviene in fase di programmazione o di configurazione di sistemi, il che causa a valle dei problemi nell’utilizzo che alle volte possono anche scaturire in data breach.

È questo il caso del noto data breach del sito INPS, avvenuto nella notte tra il 31 marzo ed il primo aprile.

Secondo i dati forniti dall’istituto[5] i data breach in realtà sono stati due e si sono verificati in occasione della presentazione delle richieste di erogazione di alcuni bonus a sostegno del reddito di cui al D.L. 18/2020, in un contesto sicuramente molto particolare: i tempi di predisposizione dei servizi erano particolarmente stretti e assolutamente non negoziabili (anche a causa della situazione di emergenza causata dalla Covid-19), e in tale circostanza un’enorme quantità di utenti avrebbe cercato di accedere al portale dell’istituto simultaneamente (c.d. “click day”).

Senza entrare nel dettaglio dei due eventi, evidenziamo alcuni aspetti utili ai nostri fini.

Il primo data breach si è configurato consentendo l’accesso a dati personali di utenti del portale del sito INPS, da parte di terzi non autorizzati, causato da una configurazione imperfetta delle funzionalità di caching del servizio CDN (Content Delivery Network).

L’INPS, infatti, al fine di garantire la fruibilità dei servizi e proteggere i sistemi da attacchi DDOS (Distributed Denial Of Service), ha deciso di affidarsi ad un soggetto esterno per il servizio di CDN. Questo servizio consiste nella messa a disposizione di una rete distribuita di server che permette agli utenti di caricare i contenuti di una pagina web più in fretta, togliendo carico dal server di origine del sito web.

La mattina del primo aprile, a causa dell’elevato numero di richieste, l’INPS rilevava che i suoi sistemi erano in forte sofferenza e che il servizio era “fortemente degradato”. Per fare fronte a questo problema, si affidava ad un servizio di CDN fornito da una società leader di mercato del settore.

Sin dal momento dell’attivazione, tuttavia si palesava un “anomalo funzionamento” dei meccanismi di caching del domino del portale, che causavano la replica di alcune anagrafiche presenti su di esso.

Non appena è stato rilevato il potenziale problema, circa 17 minuti più tardi, l’istituto ha provveduto al rollback sui propri server e ad erogare il servizio senza CDN.

Nel secondo caso il data breach ha riguardato i dati personali di utenti che hanno chiesto l’erogazione del bonus baby-sitting. In questo caso la violazione ha comportato la visualizzazione, modifica, cancellazione e invio all’Istituto di domande, contenenti anche dati personali di minori, alle volte anche disabili, da parte di terzi non autorizzati.

In sostanza l’INPS, a causa dei tempi molto ristretti per la predisposizione dei sistemi necessari per consentire agli utenti di presentare le domande, ha spiegato che ha dovuto parzialmente derogare agli ordinari collaudi di sicurezza applicativa normalmente effettuati per ogni sua applicazione.

Nella decisione relativa alle autorizzazioni per l’accesso alla procedura di richiesta, l’istituto ha deciso di concedere la possibilità di accesso con qualsiasi identità digitale, anche con il solo PIN semplificato (prime otto cifre), a prescindere dal proprio profilo autorizzativo.

L’implementazione della procedura di proposizione delle domande, tuttavia, non ha tenuto conto del fatto che molte altre categorie di utenti, “diverse dal cittadino (con PIN completo) e dal patronato” avrebbero potuto effettuare l’accesso, assimilandole ai patronati invece che al cittadino.

Ciò che è successo è che gli utenti che accedevano con il PIN semplificato e tutte le categorie che accedevano, diverse dal cittadino in propria persona e dai patronati, a prescindere dalla modalità di autenticazione, dal momento dell’apertura fino alle 11:48 del 2 aprile 2020, quindi un giorno e mezzo dopo l’apertura della procedura online, riuscivano a vedere e consultare la lista delle domande presentate dalla stessa categoria di utenti.

Ad esempio, chi aveva acceduto con il PIN semplificato, accedeva alla lista delle domande di chi aveva acceduto con PIN semplificato, i consulenti del lavoro accedevano alla lista di domande presentate da parte dei consulenti del lavoro, e così via.

Ciò che emerge dal quadro sopra indicato è che le due fattispecie di data breach sono state determinate da errori causati da un altro fattore comune che, come noto, è spesso cattivo consigliere: la fretta.

I ristrettissimi tempi richiesti all’INPS per implementare le procedure sono infatti stati il fattore che ha determinato l’impossibilità di effettuare tutti i test e le verifiche necessarie per valutare la efficacia delle misure di sicurezza organizzative e tecniche adottate.

Nel primo caso, non aver avuto il tempo per testare in modo adeguato i servizi di CDN ha comportato per l’INPS l’impossibilità di prevedere il funzionamento anomalo che si è poi verificato.

Nel secondo caso, sempre a causa dei ristrettissimi tempi a disposizione, l’INPS per effettuare “tutte le attività del ciclo di vita del software” ha dovuto derogare ai propri standard di sicurezza e ha deciso di “gestire il profilo autorizzativo attraverso controlli applicativi in deroga agli standard di controllo autorizzativo”, senza poter procedere agli ordinari collaudi di sicurezza.

A prescindere dagli errori che hanno portato ai data breach, l’INPS ha sicuramente commesso un errore di diversa natura nel determinare che agli interessati non si dovessero comunicare le violazioni di dati personali.

Infatti, su tale punto il Garante ha rilevato che le violazioni in questione sono suscettibili di presentare un rischio elevato per i diritti e le libertà degli interessati, precisando che le stesse abbiano causato “la perdita di controllo da parte degli interessati sui dati personali che li riguardano, la limitazione dei loro diritti, invasioni della sfera privata, disagio psicologico, discriminazione, nonché il possibile utilizzo dei dati degli interessati a scopo di phishing o, in ogni caso, per fini non autorizzati o illeciti.”.

È sempre necessaria la notifica al Garante o la comunicazione agli interessati?

Ultimo aspetto che assume rilevanza nei casi di data breach determinati da errore concerne la valutazione del titolare del trattamento circa la notifica all’autorità di controllo nonché il rischio per le persone fisiche derivante dalla violazione stessa e l’eventuale comunicazione agli interessati.

In tal senso le Linee Guida, riprendendo il classico esempio in cui i dati personali vengano inviati accidentalmente all’ufficio sbagliato di una società o a un’organizzazione fornitrice utilizzata frequentemente, forniscono le seguenti indicazioni: “In entrambi i casi, dato che il titolare del trattamento ha una relazione continuativa con tali soggetti e potrebbe essere a conoscenza delle loro procedure, della loro storia e di altri dettagli pertinenti, il destinatario può essere considerato “affidabile”. In altre parole, il titolare del trattamento può ritenere che il destinatario goda di una certa affidabilità e può ragionevolmente aspettarsi che non leggerà o accederà ai dati inviati per errore e che rispetterà le istruzioni di restituirli. Anche se i dati fossero stati consultati, il titolare del trattamento potrebbe comunque confidare nel fatto che il destinatario non intraprenderà ulteriori azioni in merito agli stessi e restituirà tempestivamente i dati al titolare del trattamento e coopererà per garantirne il recupero”.

Per le ragioni appena spiegate, il Gruppo di lavoro ex. art. 29 sostiene non solo che l’affidabilità del destinatario possa “neutralizzare” la gravità delle conseguenze della violazione ma anche che “La probabilità che detta violazione presenti un rischio per le persone fisiche verrebbe però meno, quindi non sarebbe più necessaria la notifica all’autorità di controllo o alle persone fisiche interessate”.

In conclusione, sebbene l’errore possa essere imprevedibile, avvenire per puro caso o per semplice disattenzione, è opportuno ricordare che una costante formazione del personale e la presenza di procedure o istruzioni adeguate e sempre aggiornate all’interno di ogni organizzazione possano sicuramente ridurre il rischio di verificazione dello stesso.

NOTE

  1. Ormai noto come European Data Protection Board.
  2. Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679, versione emendata e adottata in data 6 febbraio 2018. WP250rev.01
  3. Poi recepita nel Codice privacy con il D.lgs. 69/2012, e successivamente ulteriormente modificato con il D.lgs. 101/2018, che ha abrogato la definizione di violazione di dati personali in quanto già presente nel Regolamento.
  4. Si veda: Violazioni di dati personali – Gli adempimenti previsti (infografica), Garante Privacy.
  5. Secondo quanto indicato dal Garante nel proprio Provvedimento del 14 maggio, Doc. web. 9344061.
WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Privacy

@RIPRODUZIONE RISERVATA

Articolo 1 di 3