Data breach e calcolo del rischio: come costruire il proprio Severity Calculator - Cyber Security 360

GDPR

Data breach e calcolo del rischio: come costruire il proprio Severity Calculator

Il calcolo del rischio è necessario in caso di data breach e solitamente consiste in una mera stima soggettiva fatta sul momento, suscettibile di essere sottostimata o sovrastimata dalle circostanze del momento: grazie ad un Severity Calculator (un normale foglio Excel), diverrà oggettivo e specifico

04 Mag 2021
S
Manuel Angelo Salvi

DPO GRC Team

Immaginiamo di essere rimasti vittima di un data breach. Fingiamo per un secondo che ci abbiano rubato il notebook. Oppure di avere accidentalmente inviato una mail con dati personali a un indirizzo sbagliato. O, peggio ancora, accendendo il PC sul terminale compare la scritta: “your file are encrypted”, a caratteri cubitali rossi.

“72 ore per agire”, che potrebbe essere il titolo di una pellicola hollywoodiana, è quanto abbiamo a disposizione per capire cosa è successo e procedere agli adempimenti secondo gli articoli 33 e 34 del GDPR.

Superato il panico inziale, cosa fare? Se non siamo esperti di data protection, una mano ce la può dare il sito del Garante. Se invece siamo esperti, avremo la nostra procedure e le idee ben chiare sul da farsi.

In entrambi i casi avremo un bel grattacapo da risolvere, dovendo calcolare il rischio del breach sui diritti e le libertà degli interessati.

E per farlo, a poco servono i soliti metodi qualitativi a mappa di calore, mentre è utile illustrare l’approccio quantitativo, consigliato dal Garante Privacy italiano.

Cosa fare in caso di data breach

Superato il panico, per non sbagliare facciamo un salto sul sito del Garante.

Il nuovo servizio telematico dedicato al data breach, dal nome Notifica di una violazione dei dati personali potrebbe essere d’aiuto e facilitarvi nella valutazione dell’evento.

La schermata, pulita e di ottima usabilità, si presenta con tre grandi icone.

La prima, un’icona a forma di lucchetto, permette l’accesso ad un’area informativa con FAQ e linee guida già pubblicate, ottime per comprendere dinamiche e fattispecie del data breach.

La seconda, un’icona con ingranaggio, permette l’accesso ad un semplice questionario con domande a risposta vincolata, che ci guiderà nell’autovalutazione della violazione. Ognuna delle cinque domande, presenta esempi e descrizioni chiarificatrici.

Chi scrive ha simulato la compilazione, prefigurando lo scenario peggiore e in pochi clic ha ottenuto l’esito.

La terza, un’icona con un penna, permette l’accesso al modello di notifica al Garante, un PDF online modificabile per la redazione della stessa.

Ma torniamo per un momento all’ipotetico data breach di cui siamo stati vittima.

Giunti sulla pagina del garante, cliccheremo sulla seconda icona e a spron battuto compileremo le facili domande che via via ci si presentano. Le domande che incontreremo nella compilazione, poche e piuttosto semplici, sono le seguenti:

  1. Si è verificato un incidente di sicurezza che ha comportato la perdita di riservatezza, integrità o disponibilità di dati?
  2. L’incidente di sicurezza ha coinvolto dati personali?
  3. Sei titolare o responsabile del trattamento?
  4. È probabile che la violazione presenti un rischio per i diritti e le libertà degli interessati?
  5. La violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche?

Personalmente reputo la quarta domanda di non di facilissima risposta.

Cosa risponderete a: “È probabile che la violazione presenti un rischio per i diritti e le libertà degli interessati?”.

Data breach e calcolo del rischio

In caso di violazione di sicurezza, dolosa o accidentale, interna o esterna, il Titolare del trattamento come detto deve, entro 72 ore, svolgere un’analisi dell’accaduto e in accountability decidere una serie di elementi di non facile definizione.

Il primo elemento da verificare sarà valutare se vi sia stata perdita di riservatezza, ovvero divulgazione e/o accesso non autorizzato di dati personali, rispondendo alla domanda: “vi è stata violazione della privacy?”.

Il GDPR, però, come ben sappiamo, non si occupa semplicemente di privacy ma bensì di protezione dei dati, che oltre alla riservatezza include anche integrità e disponibilità del dato.

In primissima istanza, quindi, dovremo capire anche se vi è stata perdita d’integrità, ovvero modifica e/o manomissione di dati personali; e perdita di disponibilità, ovvero perdita e/o distruzione di dati personali.

Il verificarsi dell’incidente e della perdita di uno o più dei citati elementi ha un suo peso specifico, che dovrebbe essere valutato e divenire fattore di calcolo per la valutazione del rischio del data breach.

Il secondo elemento da verificare sarà capire quali tipologie di dati personali siano stati coinvolti e se fra questi vi siano dati personali appartenenti a categorie particolari (art. 9 GDPR), o che coinvolgano dati personali relativi a condanne penali e reati (art. 10 GDPR) e a minori (art. 8 GDPR) e/o soggetti fragili.

Il terzo elemento sarà capire se la violazione comporti un rischio per gli interessati.

Il calcolo del rischio nel contesto del data breach

Il rischio nel GDPR è tema importantissimo.

La parola rischio all’interno del Regolamento 679/2016 compare ben 81 volte, fra forma singolare (51) e forma plurale (30):

  1. vi è un rischio inerente cui il GDPR chiede di porre rimedio attraverso i concetti di accountability (art. 5), privacy by design e by default (art. 25), misure di sicurezza (art. 32);
  2. vi è un rischio residuo (art. 24 comma 2);
  3. vi è un rischio specifico ricadente sull’interessato a seguito un breach (art. 33).

Le linee guida WP250 “Guidelines on Personal data breach notification under Regulation 2016/679”, rivista nel febbraio 2018 e quindi non più recentissima ma comunque valida, suggerisce di considerare diversi fattori, tra cui:

  1. il tipo di violazione (es. errore umano, ransomware, furto del dispositivo);
  2. la natura dei dati personali (es: credenziali di accesso, dati finanziari, dati comportamentali);
  3. il carattere particolare del dato (es: appartenenza politica, dati sanitari, tendenze sessuali);
  4. il volume dei dati personali (es: un singolo dato associato all’interessato, numerosi dati incrociati fra loro che offrono una dettagliata profilazione dell’interessato);
  5. la facilità di identificazione delle persone fisiche (es: solo nome, nome e cognome, Codice fiscale);
  6. la gravità delle conseguenze per le persone fisiche (il furto di identità, perdite finanziarie, discriminazione);
  7. le caratteristiche particolari dell’interessato (minore, soggetto fragile);
  8. le caratteristiche particolari del titolare del trattamento (società di servizi, centro disintossicazione, associazione LDGB);
  9. il numero di persone fisiche interessate (es: decine, centinaia o migliaia di interessati).

Torniamo quindi alla domanda chiave: come calcolo il rischio inserendo nel computo tutti i fattori fin qui visti?

Come calcolare il rischio

Il metodo più comunemente utilizzato per la stima del rischio è quello basato su Heat Map (mappe di calore) o a matrice.

In pratica si valuta attraverso una stima soggettiva, su scale valoriali solitamente da 1 a 4 dove 1 equivale a valore basso, 2 medio basso, 3 medio alto, 4 alto, quale sia la probabilità e quale sia l’impatto.

Il metodo qui descritto è definito metodo qualitativo, offre il vantaggio della semplicità e dell’immediata percezione del livello di rischio, pecca in termini di analiticità ed oggettività del rischio.

È un buono strumento per una stima iniziale ma assolutamente inadeguato per una valutazione oggettiva di un data breach.

E quindi come calcolare il rischio per un data breach?

Ce lo dice il Garante, suggerendoci quale punto di partenza il documento dal titolo Raccomandazioni in merito a una metodologia di valutazione della gravità di una violazione dei dati personali, redatta da ENISA, Agenzia Europea per la sicurezza Informatica, che nel resto dell’articolo chiamerò per brevità “Severity Metodology”.

Il documento non è recentissimo, ma è reso attuale dall’endorsement del Garante all’interno del servizio telematico dedicato al data breach, “Notifica di una violazione dei dati personali” di recente attivazione. Ne raccomando la lettura a tratti rivelatrice.

Il documento parte dal presupposto che il rischio sia una relazione matematica fra tre fattori e corrisponda alla seguente equazione:

SE = DPC x EI + CB.

dove:

  1. SE sta per Severity traducibile con gravità della violazione e corrispondente al rischio che l’articolo 33 GDPR, ci chiede di valutare in accadimento di una violazione.
  2. DPC sta per Data Processing Context e si riferisce al contesto dell’organizzazione all’interno del quale avviene la violazione.
  3. EI sta per Easy of Identification e si riferisce alla facilità con cui l’identità delle persone può essere dedotta dai dati coinvolti nella violazione.
  4. CB sta per Circumstances of the breach e valuta le circostanze specifiche della violazione, correlate al tipo di breach, inclusa principalmente la perdita di sicurezza dei dati violati, nonché qualsiasi intento dannoso coinvolto.

L’impostazione analitico matematica iniziale del Severity Metodology non si affievolisce durante il proseguo della lettura del documento e anzi ne viene acuita, dando l’impressione al lettore che il calcolo della gravità sia un mero gioco computazionale.

Travolto dalla logica matematica del documento ho aperto un file Excel per tenere traccia degli elementi e mi sono ritrovato diverse ore dopo ad avere un foglio di calcolo esaustivo, che mi sono permesso di chiamare, un po’ pomposamente, Severity Calculator.

Data breach e calcolo del rischio: il Severity Calculator

Immaginiamo per un secondo di valutare il nostro breach con il classico metodo a matrice poc’anzi descritto. Ipotizziamo di aver stimato a caldo, nel bel mezzo dell’agitazione post violazione, valori più bassi di quanto sarebbe stato opportuno fare.

Poi immaginiamoci di fronte a un solerte agente del Nucleo Speciale Privacy, qualche mese o anno dopo, intenti a spiegare le nostre ragioni in accountability sulla sottostima del rischio durante il breach.

La mappa di calore, probabilmente, di fronte al Garante o a chi farà le sue veci, potrebbe scottarci fra le mani.

Il Severity Calculator, al contrario, è oggettivo e specifico, non lascia spazio alle interpretazioni o le riduce sensibilmente, abbatte notevolmente la discrezionalità e soprattutto da evidenza del percorso valutativo. La struttura rigida del documento redatto da ENISA ridurrà drasticamente la nostra libertà d’accountability, offrendoci al qual tempo, in fase di contestazione, appigli e giustificativi di elevata caratura.

Come si compone il Severity Calculator

Il Severity Calculator è un foglio Excel di facile realizzazione e si compone di tre sezioni corrispondenti ai tre fattori di calcolo dell’equazione di severity.

Il primo fattore: Data Processing Context (DPC)

Come da lettura della Severity Metodology, appare subito chiaro che il primo passo è valutare quali siano i dati personali coinvolti, che nel documento vengono suddivisi in quattro macro categorie:

  1. dato comune: ha un livello di gravità pari a 1 che può essere incrementato fino a 4, quando a causa di determinate caratteristiche dell’individuo (es. gruppi vulnerabili, minori), le informazioni possono divenire critiche mettendone a repentaglio la sicurezza personale (es: dati identificativi digitali di minore in rete);
  2. dato comportamentale: ha un livello di gravità pari a 2 incrementabile a 3, quando il volume di “dati comportamentali” e/o le caratteristiche del titolare possono permettere la profilazione dell’individuo, esponendo informazioni dettagliate sulla sua vita e/o abitudini quotidiane. Valore che salirà a 4 qualora tale profilo potesse rivelare o far dedurre dati particolari;
  3. dato finanziario: ha un livello di gravità pari a 3 che potrebbe essere aggravato o diminuito dalle circostanze. Il valore scenderà ad esempio a 1 quando la natura del set di dati non fornirà alcuna comprensione sostanziale delle informazioni finanziarie dell’individuo (es. il fatto che una persona è il cliente di una determinata banca senza ulteriori dettagli);
  4. dato particolare: ha un livello di gravita di 4 diminuibile fino 1 quando la natura dei dati non fornisce una comprensione sostanziale delle informazioni o i dati possono essere raccolti facilmente attraverso fonti pubblicamente disponibili (es: combinazione di informazioni da ricerche web quali l’appartenenza politica).

Ognuna delle quattro categorie ha un punteggio di gravità iniziale e quattro possibili livelli, che ne aumentano o riducono la gravità.

Nel foglio Excel che si sta andando a costruire avremo quattro diverse elementi, ciascuno con i quattro possibili valori lungo la scala da 1 a 4.

Inserendo una semplice funzione max.valori(….) il foglio Excel pescherà, fra i possibili valori da noi assegnati, solo quello massimo generando un valore puntuale per il fattore DPC.

Il secondo fattore: Easy of Identification (EI)

In questo caso avremo sei macro categorie:

  1. dati anagrafici (es. nome e/o cognome)
  2. dati identificativi (es. numeri di documenti quali codice fiscale, passaporto o carta d’identità)
  3. numero di telefono
  4. e-mail
  5. immagini
  6. codici/alias/iniziali

Ognuna di queste sei categorie avrà quattro livelli di facilità d’identificazione: trascurabile (punteggio 0,25), limitata (punteggio 0,5), significativo (punteggio 0,75), massima (punteggio 1).

La Severity Metodology offre spiegazioni puntuali che guidano il compilatore e suggeriscono le possibili valutazioni, riducendo lo scarto valutativo e di conseguenza anche la contestabilità del giudizio in sede ispettiva da parte del Garante.

La facilità d’identificazione è definita dal documento trascurabile, relativamente ai dati anagrafici, quando il nome e cognome è particolarmente diffuso fra la popolazione nazionale (es. Mario Rossi) e massima quando nome e cognome siano associati ad altri elementi quali ad esempio data di nascita e indirizzo e-mail.

Relativamente all’immagine suggerisce una facilità d’identificazione trascurabile quando l’immagine è non chiara o sfocata (es. CCTV da lontano) e massima quando l’immagine è in alta risoluzione e sono presenti altre informazioni identificanti (es: appartenenza a un gruppo specifico rilevabile dall’immagine).

Nel nostro foglio Excel, che si sta andando a costruire, quindi avremo 6 diverse elementi, cada uno con i 4 possibili valori lungo la scala da 0,25 a 1.

Inserendo una semplice funzione di somma, il foglio excel aggregherà i diversi valori assegnati, che saranno quindi moltiplicati con il valore precedentemente rilevato per il fattore DPC.

Il terzo fattore: Circumstances of the breach (CB)

In questo caso avremo quattro macro categorie, che definiscono le circostanze del breach: riservatezza, integrità, disponibilità, intenti malevoli.

Riservatezza, Integrità, Disponibilità hanno tre livelli di gravità della circostanza: con assegnazione di punteggi nullo, di 0,25 oppure di 0,5. L’intento malevole ha un unico valore aggravante pari a 0,5.

La Severity Metodology suggerisce che qualora la riservatezza del dato sia stata violata da un numero conosciuto di persone, il fattore aggravante sarà di 0,25 mentre se il numero è sconosciuto il fattore aggravante sarà di 0,5. In questo passaggio sembra conformarsi al concetto di comunicazione e diffusione presente nel GDPR.

Il documento se l’integrità è recuperabile assegna un valore di 0,25, qualora non lo sia il valore sale a 0,5.

Se la disponibilità viene meno in via temporanea, perché ripristinabile attraverso un backup, il valore è di 0,25, qualora sia definitiva è di 0,5.

Se il breach è consequenziale a un atto intenzionale viene assegnato un valore aggravante di 0,5, ad esempio nel caso di un dipendente che condivide intenzionalmente i dati di un cliente su un sito pubblico.

Nel foglio Excel che si sta andando a costruire avremo quattro diverse elementi con la relativa assegnazione di punteggio.

Attraverso semplici formule quindi la nostra equazione si autocompilerà sotto i nostri occhi attribuendo ad ogni fattore il giusto valore.

Conclusioni

In caso di data breach è necessario notificare al Garante (art. 33 GDPR) “a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche” mentre “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato” si deve procedere a comunicazione agli interessati.

Il calcolo del rischio è quindi necessario.

Solitamente il calcolo del rischio è una mera stima soggettiva fatta sul momento e quindi suscettibile di essere influenzata dalle circostanze del momento, sottostimando o sovrastimando il rischio dell’avvenimento.

La Linea guida 01/2021 offre 18 esempi di data breach con le valutazioni di EDPB, ne abbiamo discusso in un articolo e anche fra colleghi esperti di GDPR, e ciò che ci è parso evidente è che anche a mente fredda è facile sottostimare il rischio senza uno strumento puntuale e oggettivo cui fare riferimento.

Il mio personalissimo consiglio è di utilizzare per il calcolo del rischio post data breach un metodo il più analitico e oggettivo possibile, che faccia riferimento a metodologie o modelli sostenuti da soggetti incontrovertibili, quali ad esempio ENISA e EDPB, affinché in fase di contestazione la vostra accountability sia rafforzata da autorevoli pareri. Tenete inoltre traccia dei ragionamenti fatti ed evidenza oggettiva dell’analisi svolta.

Un sistema qual è il Severity Calculator oltre che essere oggettivo e specifico, non lascia spazio alle interpretazioni o le riduce sensibilmente, abbatte notevolmente la discrezionalità e soprattutto da evidenza del percorso valutativo.

Clicca qui e iscriviti al webinar sull'industrial security

@RIPRODUZIONE RISERVATA

Articolo 1 di 5