Servizi Garmin, finora fuori uso, tornano a funzionare: ecco gli impatti privacy sui nostri dati - Cyber Security 360

attacco hacker e gdpr

Servizi Garmin, finora fuori uso, tornano a funzionare: ecco gli impatti privacy sui nostri dati

Un presunto attacco ai server Garmin ha messo fuori uso da giorni i servizi dedicati ai runner: ora sembra che tutto stia pian piano tornando alla normalità. Cerchiamo di capire cosa è successo e le implicazioni alla luce del GDPR

29 Lug 2020
B
Francesca Bassa

Avvocato, Privacy Officer e Delegata Federprivacy

P
Chiara Ponti

Avvocato, Legal Compliance e nuove tecnologie – Laureata anche in ISSR (TO)


Dopo alcuni giorni in cui gli appassionati di corsa e ciclismo non hanno avuto accesso agli strumenti online forniti dalla piattaforma Garmin dedicata ai runner, arriva l’annuncio su Facebook della stessa Società per confermare di essere stata vittima di un attacco informatico e rassicurare gli utenti sul fatto che «… la maggior parte dei sistemi e dei servizi recentemente bloccati, incluso Garmin Connect, sono tornati in funzione».

La Società precisa poi che «alcune funzioni sono ancora temporaneamente limitate, mentre i dati sono in corso di elaborazione».

Ringrazia, infine, «per la pazienza e la comprensione» rimandando, per maggiori informazioni, alla pagina ufficiale dove spiega l’accaduto.

Quindi sembrerebbe che tutto sia tornato a funzionare: gli utenti possono ora riavere di nuovo il controllo delle prestazioni, il riepilogo dei dati dell’attività sportiva, l’analisi del percorso o del dispendio calorico. Tuttavia, al di là della moltitudine dei commenti, l’app parrebbe ancora non essere utilizzabile, con tutto ciò che ne consegue in termini di sincronizzazione dei dati (degli) sportivi.

La causa di questo stop, lo ricordiamo, sembra essere riconducibile a un data breach che ha colpito i server della società di servizi GPS.

Quanto accaduto offre dunque l’occasione per approfondire le disposizioni del GDPR in relazione a questi trattamenti di dati, utile per capire come gli utenti di tali servizi possono subire impatti.

Il caso Garmin e la normativa di riferimento

Confermato, dunque, l’attacco informatico perpetuato mediante il ransomware WastedLocker, è utile adesso chiedersi se ciò abbia degli impatti privacy nei confronti degli utenti. Per dare una risposta di senso compiuto, è necessario approcciare potenziali data breach considerando le Linee Guida WP 250 oltre a un’attenta disamina del contesto. Le società fornitrici di servizi GPS ed analisi dei dati relativi alla geolocalizzazione, sono tenute al rispetto del GDPR nonché agli obblighi di legge tra cui la notifica di data breach al Garante. ai sensi e per gli effetti di cui all’art. 33 – GDPR, oltre alla eventuale comunicazione agli interessati, ove ne sussistano le condizioni ex art. 34 – cit.

Va precisato che il GDPR non si applica al trattamento di dati personali  «…effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico» (art. 2 par. 2, lett. c). Tale concetto è altresì richiamato dal Considerando 18 che bene spiega la non applicazione del GDPR in tale contesto cd “domestico”. Detto altrimenti, il GDPR si applica solo a quel trattamento di dati di una persona fisica strettamente connessi con un’attività commerciale o professionale. Rispetto alla questione in disamina, occorre precisare che le attività Social condotte da un utente privato, sono escluse da detto contesto applicativo.

Per comprendere il “criterio materiale” — sancito dall’art. 2 del GDPR letto di concerto con il Considerando 18 — occorre definire meglio quali attività on line sono da considerarsi al di fuori del perimetro di applicazione pratica della normativa privacy europea. Nel contesto privato, per l’appunto domestico, rientra l’uso (privato) dei social network e le attività on line. Circa i social network, se considerato ad ampio spettro, possono riguardare l’ambito più generale dei social media come ad esempio le molteplici app adoperate dal mondo degli sportivi, in modo amatoriale. Circa le attività on line, rilevano in particolare quei Servizi forniti dagli a Internet Service Provider (ISP) nella cui cerchia rientrano tutte quelle Aziende operanti nella Società della Informazione tra cui anche i fornitori di servizi app.

Posto quanto sopra, le App in quanto fornitrici dei Servizi social e dei mezzi di trattamento, sono tenute a rispettare la normativa europea in materia di protezione dati. Al riguardo, rammentiamo che quest’ultima si applica ai cittadini europei allorchè le attività di trattamento riguardino:

  • offerta di beni o prestazione di servizi agli interessati nell’Unione, a prescindere dalla obbligatorietà di un pagamento (art. 3, par. 2, lett. a)
  • monitoraggio del comportamento dell’interessato all’interno dell’Unione (art. 3, par. 2, lett. b)

Ne consegue che, al fine di circoscrivere il trattamento per uso domestico deve essere chiaro che:

Non si applica il GDPR Se si usano i social media per scopi personali
Si applica il GDPR A quei Titolari che gestiscono il servizio di social media

Un’analisi autorevole

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Secondo Corrado Giustozzi, membro del Cert-Agid e già componente dell’advisory group dell’Agenzia dell’Unione europea per la cybersecurity (Enisa), nel fare un’analisi sulle infrastrutture critiche, «il caso di Garmin è ancora più eclatante. Ad uno sguardo superficiale sembrerebbe essere un’azienda di prodotto, focalizzata sulla vendita di dispositivi per la geolocalizzazione e la navigazione assistita: e così era alle origini. Poi ha iniziato a sviluppare servizi di supporto ai propri dispositivi: produzione di mappe, raccolta e archiviazione dei dati di spostamento degli utenti… fino ad imporsi in alcuni settori come fornitore essenziale di servizi di supporto alla navigazione […]».

La Garmin oltre ad offrire dei prodotti fornisce veri e propri Servizi— che come lui spiega — «sono di fatto dei servizi di pura elaborazione di dati: informazioni di posizione e spostamento, forniti dagli utenti. Ma anche di fitness e di prestazione fisica: dunque, dati personali».

Non da ultimo occorre, sempre a parere del massimo esperto, invocare la Direttiva Nis la quale «inquadra e definisce chi sono i “Fornitori di Servizi Digitali” per distinguerla dagli “Operatori di Servizi Essenziali” che sono le vere e proprie infrastrutture critiche».

Dati sportivi e categorie particolari di dati

Essendo nel mondo dello sport, i dati ad esso pertinenti e rilasciati dagli utenti, sono spesso qualificati come “dati sportivi” di cui, peraltro, il GDPR non offre definizione alcuna. A ben guardare, stando sulla qualità del dato, dette informazioni di carattere personale rientrano semmai nel novero delle particolari categorie di dati di cui all’art. 9 ed in particolare tra i dati relativi alla salute. Per trattare tali dati, in modo conforme al GDPR, occorre acquisire il consenso esplicito. Quest’ultimo non viene tendenzialmente richiesto nel caso di:

  • dati aggregati non essendo possibile identificare la persona fisica
  • ricerca scientifica ed analisi statistica, purché raccolti in forma anonima

Per completezza, tali App sono spesso collegate ai dispositivi indossabili cd wearable device i quali possono comportare trattamenti di dati attraverso forme invasive di profilazione definitive dalla normativa (art. 22), ad alto rischio e per i quali il GDPR impone un generale divieto, salvo eccezioni. A tal proposito, proprio perché tali App, finalizzate al mondo sportivo, hanno come core business i dati, il Garante è assai vigile e nel 2019 si è pronunciata nell’acquisizione di Fitbit da parte di Google con un comunicato nel quale poneva sostanzialmente l’attenzione sul rischio di concentrazione – in termini societari – dei dati. Ciò posto, dal punto di vista pratico rispetto agli attori titolari del trattamento, occorre distinguere alcuni scenari.

SCENARI
ContestoApplicazione
Associazione Sportiva che tratta dati dei propri Associati fruitori dell’AppGDPR – adempimenti tutti (Policy, procedure, Sistema di Gestione, documentazione, ecc)
App che forniscono Servizi Social agli Utenti/SportiviGDPR – come sopra con particolare riguardo alla tutela dei diritti
Utenti/Sportivi che usano App per scopo personaleEsercizio dei diritti come da informativa (ex art. 13)

L’ipotesi data breach

Garmin in queste ore mentre effettua le analisi del caso, sta tenendo aggiornata una pagina web contenente delle FAQ in proposito, al fine di voler rassicurare i propri utenti. Con una sezione specifica, Garmin ha provveduto infatti a mappare lo status dei Servizi erogati.

Occorre sondare, a questo punto, se quanto accaduto a Garmin sia un data breach. Al momento non si hanno gli elementi concreti per una puntuale analisi, al riguardo. In generale il WP su citato, offre una definizione di violazione per la quale si deve intendere «la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati», per poi continuare con la spiegazione in ordine alla tipologia, ad esempio di ransomware. Vediamone gli step per fasi.

Dati danneggiati o persi: le violazioni GDPR

In primo luogo, occorre concentrarsi sulle caratteristiche della presunta violazione ed indagare alcune questioni che, di seguito, riportiamo a titolo esemplificativo ma non esaustivo.

QUESTIONEVIOLAZIONE
I dati non esistono più e non sono più utili come quando si trovavano nella forma originaria

Distruzione

Riservatezza
Modifica, incompleti, corrotti

Esistenza di un danno

Integrità
Perdita

Esistono ancora ma si è perso il controllo

Disponibilità
Divulgazione non autorizzataRiservatezza

L’analisi del data breach

Il WP 250 sul data breach all’Allegato VII punto B) presenta degli esempi di violazione dati che possono essere utili al fine di valutare se occorra la notifica al Garante nonché a distinguere tra “rischio elevato” e rischio “normale” in relazione ai diritti e le libertà fondamentali. In particolare, rispetto ad un’ipotesi di attacco ransomware (V. punto 4 della tabella esplicativa alla quale si rinvia per gli ulteriori dettagli), l’analisi va condotta tenendo conto se:

  • si è verificata una perdita temporanea in termini di disponibilità o di riservatezza;
  • sono disponibili back-up con ripristino, in tempo utile, dei dati
  • l’unica funzionalità del ransomware era la cifratura dei dati.

Secondo la summenzionata tabella, nella parte relativa alle “Note/ Raccomandazioni”, come si legge testualmente «se fosse stato disponibile un back up e i dati avessero potuto essere ripristinati in tempo utile, non sarebbe stato necessario segnalare la violazione all’Autorità di controllo o alle persone fisiche, in quanto non si sarebbe verificata nessuna perdita permanente di disponibilità o di riservatezza.»

In altri termini, la notifica al Garante ed agli interessati va fatta nella misura in cui la perdita dei dati sia permanente, ed abbia inciso significativamente sulle conseguenze dei dati personali.

Se ne deduce che adottare adeguate misure di sicurezza sia di vitale importanza e non averle incide negativamente, vieppiù in certi contesti, anche in termini reputazionali e di credibilità.

Non solo, occorre creare/implementare misure di sicurezza che consentano di evitare il sistema di notificazione (ex art. 33), ma anche in sede di eventuale ispezione, dimostrare di averle efficacemente adottate.

Il contesto

Calandoci nella pratica, è chiaro quindi che affinché si possa applicare il GDPR si debba indagare sul rapporto sottostante se si tratta di Business to Business B2b o Business to Consumer B2c.  Le app social, le cui attività principali consistono nel garantire lo svolgimento di una prestazione sportiva, rientrano tendenzialmente in un caso di B2c. Ciò implica che, in caso di subìto attacco, le Società direttamente coinvolte dovranno oltre che notificare al Garante, effettuare anche la comunicazione agli interessati/utenti dal momento che:

  • il trattamento è svolto su larga scala;
  • esistono rischi elevati e significativi per i diritti e le libertà dell’utente, considerando che i dati trattati in quest’ambito sono tra l’altro nella maggior parte dei casi dati di salute;
  • una indisponibilità prolungata del sistema richiede un avviso tempestivo all’utente/consumatore.

Tuttavia nella prassi, non è infrequente che non venga fatta la comunicazione poiché questa è richiesta allorchè siano soddisfatte almeno una delle condizioni che l’art. 34 esplicita chiaramente e cioè:

  • cifratura dei dati;
  • successiva adozione di misure atte a scongiurare il rischio elevato;
  • sforzi eccessivi per dover effettuare a tutti gli utenti giusta comunicazione.

Nel caso di specie Garmin, al momento, si è limitata a diffondere via web sul proprio sito e sui canali social una comunicazione pubblica dichiarante la mera indisponibilità dei Servizi, come sopra riportato

Le ricadute

Richiamando l’autorevole fonte sopra citata, riportiamo ancora alcune delle sue considerazioni, secondo le quali: «A prescindere dai servizi in blocco da giorni, e del conseguente danno diretto e di immagine che quest’attacco sta comportando alla Garmin con annessi disagi per il mondo degli sportivi, vi sarebbe ancora da porsi come domanda: quali sono le ricadute pratiche? In altri termini, se il ransomware adoperato per l’attacco sia riuscito ad esfiltrare in tutto o in parte i dati di localizzazione e tracciamento degli utenti, prima della cifratura».

Possibili rimedi

Quali rimedi, dunque, di fronte ad uno scenario che parrebbe davvero inquietante?

Si suggerisce di fare sempre la copia dei dati. Nell’effettuare, periodicamente, i backup con annesse prove di ripristino, in momenti non sospetti. A seconda del contesto, vieppiù se in presenza di (ex) “infrastrutture critiche” effettuare penetration test; e da ultimo, ma non ultimo, installare efficaci sistemi anti-intrusione richiamandosi al vademecum diffuso dal Garante per difendersi dai ransomware, cui si rinvia.

Visto il caso di specie, inoltre, ecco altri utili suggerimenti. Verificare la provenienza dell’app. Come noto, infatti, la maggior parte di queste App sportive sono fornite da multinazionali che hanno lo Stabilimento in Paesi extra UE ponendosi il problema del trasferimento dei dati all’estero. Rispetto agli Stati Uniti, rammentiamo che, recentissimamente, la Corte di Giustizia ha invalidato l’accordo statunitense del Privacy Shield che garantiva un livello “sicuro” di trasferimento dei dati negli Stati Uniti.

Ancora, valutare le garanzie del fornitore ad esempio, in termini di sicurezza. In pratica, occorre chiedersi che fine fanno/faranno le sincronizzazioni dei runner. Al momento, la nota Società in questione, con riferimento all’app Garmin Connect rassicurando gli utenti rende loro, testualmente, noto che «… i dati relativi alle attività, raccolti dai dispositivi Garmin durante l’interruzione, sono memorizzati e saranno visualizzati alla successiva sincronizzazione. Tuttavia, non vi è alcuna indicazione che l’interruzione abbia interessato i dati degli utenti e con essa tutte le attività».

WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Backup

NOTE

  1. V. Rivista Punto Informatico.
@RIPRODUZIONE RISERVATA

Articolo 1 di 4