Data breach: un approccio metodico per la corretta gestione delle violazioni dati - Cyber Security 360

ADEMPIMENTI PRIVACY

Data breach: un approccio metodico per la corretta gestione delle violazioni dati

Adottare un approccio metodico è fondamentale per una corretta gestione dei data breach: in questo senso, può tornare molto utile anche il nuovo servizio online di autovalutazione messo a punto dal Garante privacy. Ecco le regole da seguire

22 Gen 2021
B
Francesca Bassa

Avvocato, Partner bd LEGAL Studio legale, Delegata Federprivacy

P
Chiara Ponti

Avvocato, Legal Compliance e nuove tecnologie – Laureata anche in ISSR (TO)

La gestione di un data breach, cioè di una violazione dei dati personali, rappresenta uno dei principali adempimenti previsti dal GDPR ed è sicuramente l’obbligo più gravoso per le aziende: in questo senso, adottare un approccio metodico può senz’altro aiutare il titolare del trattamento nel suo percorso di raggiungimento della necessaria compliance al Regolamento UE.

Un valido aiuto per i titolari del trattamento arriva anche dal Garante Privacy, che ha messo online un utile strumento di autovalutazione (self assessment) per l’assolvimento degli obblighi in materia di notifica di una violazione dei dati personali all’Autorità di controllo e di comunicazione agli interessati.

Infine, può essere utile anche analizzare quanto successo in precedenti data breach in modo da evitare i possibili errori che hanno comportato la violazione dei dati personali.

L’approccio metodico aziendale nella gestione del data breach

Nell’ottica di strutturare un approccio metodico aziendale alla gestione di un data breach, è utile rappresentare anche soltanto in modo analitico un indice di procedura che può poi essere adattato ad ogni singola violazione di dati personali.

Innanzitutto, quando parliamo di data breach dobbiamo essere certi, previa accurata analisi, che si tratti effettivamente di una violazione di dati personali e che quindi abbia inciso sulla disponibilità, integrità e riservatezza (RID) di dati aventi natura personale, e non invece un mero incidente di sicurezza.

Spesso si verificano attacchi che in realtà non sono qualificabili come data breach. Per questi motivi, dal punto di vista operativo, sarebbe bene oltre che consigliato avere una “procedura integrata” che contempli, pur distinguendoli, tanto la gestione degli incidenti di sicurezza quanto quella del data breach.

Di seguito, un esempio di come se ne potrebbe strutturare una, attraverso l’indice che segue.

Attese le generalità, gli obiettivi e le responsabilità, sarebbe bene contemplare i seguenti paragrafi tali da sviluppare i seguenti contenuti circa la:

  • gestione degli eventi relativi alla sicurezza delle informazioni;
  • rilevazione e costituzione di un Team Crisi;
  • identificazione dell’evento;
  • valutazione dell’evento;
  • contenimento;
  • identificazione delle cause;
  • ripristino dei sistemi e della operatività;
  • verifica;
  • comunicazione/notifica.

Il servizio online del Garante per la notifica dei data breach

Alla Vigilia di Natale è uscita una nuova pagina del Garante per notificare le violazioni dei dati personali. Snellimento e semplificazioni sono i due ingredienti essenziali, conditi con una procedura di auto-valutazione.

Cosa cambia? Nulla, dal punto di vista del (normale) processo di notificazione: restano infatti le 72 ore entro le quali dover notificare, con le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679.

Nemmeno il modello per la notifica pare essere cambiato.

La vera novità, allora, risiede in un servizio aggiuntivo on line, come preannunciato da tempo, volto a supportare i titolari del trattamento negli adempimenti previsti in caso di accertato data breach.

In pratica, adoperando questo servizio, i titolari del trattamento possono accedere al modello di notifica al Garante e alla procedura di self assessment.

Nel dettaglio, quest’ultima la vera novità, consiste nel mettere a disposizione del titolare un format che consente:

  • un’auto-analisi finalizzata alla individuazione delle azioni da intraprendere in caso di presunto data breach;
  • un valido ausilio per il titolare nel processo di notificazione.

I principali provvedimenti del garante in materia di data breach

È utile, ora, segnalare quelli che sono stati i data breach pubblicati dalla Autorità Garante Privacy nel corso del 2020.

Visto l’annata peculiare, in considerazione della situazione di emergenza da coronavirus costituita come tristemente noto da due ondate (l’una di marzo, e l’altra, più recente, di ottobre), è utile suddividere l’elenco in due parti ivi segnalando il rispettivo trend avuto nel primo e secondo semestre.

I data breach nel primo semestre del 2020

Di seguito, rappresentiamo l’elenco dei provvedimenti emananti nel corso dei primi sei mesi del 2020.

PERIODOPROVVEDIMENTO
GennaioNei confronti di un noto Gestore telefonico, Provvedimento correttivo e sanzionatorio – 15 gennaio 2020[doc. web n.  9256486]
Nei confronti di un’Azienda Ospedaliera, Provvedimento correttivo e sanzionatorio – 23 gennaio 2020[doc. web n. 9269629]
Nei confronti di una Università, Provvedimento correttivo e sanzionatorio – 23 gennaio 2020 [doc. web n. 9269618]
MaggioNei confronti di un noto Ente Pubblico, Provvedimento – 14 maggio 2020[doc. web n. 9344061]
GiugnoNei confronti di una Società in ambito sanitario, Provvedimento del 18 giugno 2020, [doc. web n. 9451705]
Nei confronti di un noto Istituto bancario, Ordinanza ingiunzione. – 10 giugno 2020 [doc. web n. 9429195]

Da una recente newsletter dell’Autorità apprendiamo come da «un primo bilancio dell’attività ispettiva e sanzionatoria dell’Autorità nel primo semestre del 2020 registra intanto un notevole incremento delle entrate complessive derivanti dalle sanzioni che passano da 1 milione 223mila euro del primo semestre del 2019 a 7 milioni 108 mila euro, con un aumento del 481% Sono state effettuate, inoltre, iscrizioni a ruolo per un importo complessivo di 5 milioni 42 mila euro (+124%) a fronte dei 2 milioni 248mila euro del primo semestre 2019, che hanno riguardato trasgressori che non si sono avvalsi della facoltà di definizione agevolata prevista dal decreto legislativo n.101 del 2018

I data breach nel secondo semestre 2020

Con lo stesso spirito sopra riporta, riportiamo ora i provvedimenti che hanno caratterizzato invece gli ultimi mesi dello scorso anno.

PERIODOPROVVEDIMENTO
LuglioNei confronti di un’Azienda Sanitaria Locale, Provvedimento del 2 luglio 2020, [doc. web n. 9440096]
Nei confronti di un Comune, Provvedimento su data breach – 2 luglio 2020, [doc. web n. 9445732]
Nei confronti di una Fondazione, Provvedimento del 9 luglio 2020 [doc. web n. 9440117]
SettembreNei confronti di un Ente Ospedaliero, Provvedimento del 17 settembre 2020 [doc. web n. 9479364]
Nei confronti di una Società in ambito sanitario, Provvedimento del 17 settembre 2020 [doc. web. n.9479382]
Nei confronti di un Ospedale, Provvedimento del 17 settembre 2020 [doc. web n. 9661168]
OttobreNei confronti di una Università, Provvedimento del 1° ottobre 2020, [doc. web n. 9469345]

Le più conosciute violazioni dei dati occorse nel 2020

A mero scopo divulgativo, vediamo ora quali sono state le presunte violazioni più conosciute del 2020.

INPS

Ad inizio aprile, l’Istituto Nazionale Previdenza Sociale con la Comunicazione del 3 aprile 2020, ha informato «… gli utenti di avere prontamente notificato il data breach al Garante per la protezione dei dati personali e assicura che, fin dal momento in cui si è avuta conoscenza della possibilità che vi sia stata violazione di dati personali, sta assumendo tutte le misure atte a porre rimedio alla situazione di rischio, attenuare i possibili effetti negativi e tutelare i diritti e le libertà delle persone fisiche».

In pratica, le violazioni di dati personali hanno comportato l’accesso ai dati personali di utenti rispettivamente:

  1. del portale da parte di terzi non autorizzati, dettato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato;
  2. richiedenti la erogazione del bonus per l’acquisto di servizi di baby-sitting (c.d. “Bonus baby sitting”), di cui all’art. 25 del d.l. 17 marzo 2020, n. 18, con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.

MailUp

A fine aprile, la nota Società tecnologica di cloud computing avrebbe comunicato ai suoi utenti/abbonati di aver «… registrato una temporanea indisponibilità di dati personali a causa di un subito attacco ransomware».

Molte aziende, clienti (e quindi Titolari del trattamento) che usufruiscono di tale servizio hanno dovuto aprire Team (virtuali visti i tempi) di Crisi, e verificare se notificare o meno al Garante l’attacco. In ogni caso, annotato nel Registro degli Incidenti allegato alla Procedura su rappresentata per somme basi. Per ulteriori approfondimenti, si rinvia a quanto già scritto, in proposito.

EasyJet

Nella seconda metà di maggio, la celebre compagnia aerea sarebbe stata oggetto di un sofisticato attacco informando tanto il Centro Nazionale della Sicurezza Informatica quanto l’Ufficio del Commissario per l’informazione (ICO) del Regno Unito.

Nella presunta violazione sarebbero stati coinvolti i seguenti dati:

  • nome
  • indirizzo e-mail
  • dettagli di viaggio per i voli easyJet o per le easyJet holidays prenotati tra il 17 ottobre 2019 e il 4 marzo 2020.

Non sono stati invece coinvolti i dati afferenti passaporto e carta di credito.

Per ulteriori approfondimenti, si rinvia a quanto già scritto al riguardo.

ENAC

Nella prima di luglio, l’Ente Nazionale per l’Aviazione Civile (Enac), pare che abbia subito un attacco di pirateria informatica con l’effetto di rendere non accessibili alcune informazioni contenute nei sistemi dell’Ente. Quest’ultimo, lo avrebbe infatti comunicato in una nota nella quale precisava che in ogni caso l’Ente «non conserva dati personali dei passeggeri che utilizzano il trasporto aereo, ma ha esclusivamente dati di traffico complessivi, relativi al numero dei passeggeri che transitano negli aeroporti nazionali

Nello specifico, per giorni i dipendenti non avrebbero potuto utilizzare la posta elettronica e gli archivi digitali contenente tutte le informazioni sui nomi dei passeggeri che volarono tra Italia ed il resto del mondo nel corso degli ultimi anni.

Garmin

Verso la fine di luglio, si sarebbe verificato altro attacco hacker con presunte violazioni su dati personali nei confronti di una nota società di servizi tecnologici anche per il fitness ed in particolare per i runner, mettendo fuori uso i sistemi per giorni interi. Per ulteriori dettagli si rimanda ad altro nostro articolo.

Enel

Verso la fine di ottobre, anche tale Ente è risultato sotto attacco ransomware, con in più una richiesta di “super riscatto”.

Rammentiamo ai lettori che Enel aveva già subito un attacco hacker a giugno, da altro ransomware.

Per ulteriori dettagli circa l’analisi tecnica effettuata al riguardo rimandiamo ad altro nostro articolo.

Gruppo Campari

Ad inizio dicembre, altro attacco ransomware; questa volta ai danni di questa Società molto forte nel settore del beverage. Anche in questo caso si è verificato un furto di dati con la «… tecnica della doppia estorsione, due terabyte di dati trafugati e la minaccia di pubblicarli se l’azienda non pagherà 15 milioni di dollari. Vediamo perché c’è un boom del fenomeno (Geox, Luxottica, Enel…) e che deve fare un’azienda per difendersi. Aggiornamento 4 dicembre: Campari ha comunicato il numero di utenti coinvolti e natura dei dati rubati».

Per ulteriori approfondimenti si rimanda a questo articolo.

Conclusioni

In conclusione, più che tirare le fila tirandosi esse di per se stesse, vogliamo semmai incentrare l’attenzione su come l’emergenza Covid-19 (prorogata fino al prossimo 30 aprile 2021 con Delibera del Consiglio dei ministri 13 gennaio 2021) abbia inevitabilmente aumentato il rischio cyber e, conseguentemente, il rischio di data breach.

Questo perché tutti sono ormai portati a stare sulla Rete, vuoi per lavoro (si pensi allo smart working), vuoi per relazioni di natura personale pensando a come sta cambiando la socialità in ogni dove

Riteniamo quindi estremamente importante che le organizzazioni investano in formazione sui rischi cyber per aumentare la consapevolezza di tutti gli utenti aziendali e non solo, attuando una vera resilienza post Covid-19 che ha caratterizzato un 2020 che passerà alla storia.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5