EDPB Linee Guida 01/2021 sugli esempi relativi alla notifica di violazione dei dati personali versione definitiva 3.01.2.
Presentazione Il data breach deve sempre essere notificato? Non è detto. Occorre valutare da una parte la violazione delle misure di sicurezza presupposto per la notifica al Garante e dall’altra valutarne i possibili danni agli interessati presupposto per la comunicazione agli interessati . Comunque non esiste una regola fissa e tutto deve essere vagliato nei casi pratici. Infatti l’attivazione della notifica al Garante e/o della comunicazione agli interessati dipende dalla combinazione dei seguenti fattori password complesse, crittografia, backup, tipologia di dati, volume dei dati investiti dall’incidente, misure adeguate, programmi di formazione, condotte attenuanti. Pertanto, a seconda della combinazione di questi fattori, il furto dei dati dei bambini dell’asilo dati delicatissimi comprensivi dello stile di vita e dell’educazione dei piccoli può essere meno rischioso del furto dei dati personali basici di 100.000 clienti di un’azienda di servizi nonostante la quantità, questi dati sono assai meno delicati di quelli di un bimbo dell’asilo . Infatti il caso 10 dati bimbi dell’asilo presenta un profilo di rischio nullo perchè il titolare del trattamento l’asilo stante la delicatezza consapevolezza derivante dalla formazione delle informazioni memorizzate dalla app nei due tablet aveva adottato le migliori misure di sicurezza ipotizzabili tablet crittografati protetti da password complessa, app all’interno del tablet crittografato protetta anche questa da password complessa, backup immediatamente disponibili, sistema di cancellazione da remoto di tutte le informazioni allocate nei tablet, immediata attivazione del titolare condotte attenuanti che subito ha ordinato ai tablet tale cancellazione. Il caso 11 dati dei 100.000 clienti contenuti nel notebook rubato invece presenta un profilo di rischio elevato nonostante che i dati trattati non fossero così delicati come quelli dei bimbi dell’asilo. Questo perchè il titolare del trattamento non ha adottato nessuna misura preventiva il notebook non era protetto da password e non era crittografato consentendo così facilmente l’accesso a terzi non autorizzati. I 18 esempi dell’EDPB ci indicano in pratica come fare tali valutazioni. Ecco lo schema di ragionamento 1 eseguire indagine interna 2 verificare l’esistenza di violazioni alla riservatezza e/o all’integrità e/o alla disponibilità 3 verificare l’esistenza di danni agli interessati 4 decidere se fare unicamente la registrazione interna della violazione oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati 5 stabilire quali misure privacy di contrasto introdurre o migliorare per evitare ulteriori incidenti. Le Linee Guida dell’EDPB del 3.01.2022 con i 18 esempi. I 18 esempi dell’EDPB vanno a integrare le “Linee guida sulla notifica di violazione dei dati personali ai sensi del Regolamento 2016/679 wp250rev.01 ” del 3.10.2017-6.02.2018 https //ec.europa.eu/newsroom/article29/items/612052/en Gli esempi sono elaborati sulla scorta dei casi notificati alle varie Autorità di Controllo UE e rispondono all’esigenza di capire quando sia possibile evitare la notifica, quando sia necessario notificare al Garante, quando sia necessario notificare al Garante e comunicare agli interessati. La registrazione interna dei data breach è invece sempre obbligatoria. Nell’introduzione delle Linee Guida 3.01.2022 assunte dopo la consultazione pubblica , il Comitato dei Garanti UE EDPB osserva che il GDPR all'articolo 4, paragrafo 12, definisce la violazione dei dati personali come una violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, l’accesso o la divulgazione non autorizzati dei dati personali trasmessi, archiviati o altrimenti elaborati . Rifacendosi al precedente lavoro del WP29 Parere WP29 03/2014 e Linee guida sulle notificazioni dei Data Breach 2017-2018 , l’EDPB ribadisce i tre principi che conferiscono sicurezza ai dati personali ovvero il principio della riservatezza, dell’integrità e della disponibilità. Pertanto un dato personale è sicuro se il titolare del trattamento riesce a garantirne la riservatezza, l’integrità e la disponibilità. Il vulnus a uno di questi principi o a qualcuno di questi o a tutti produce il data breach. Tale incidente dev’essere obbligatoriamente sempre registrato a livello interno e, a seconda del caso, notificato al Garante oppure notificato al Garante e comunicato agli interessati. La “violazione della riservatezza” si registra quando i dati personali hanno subito una diffusione o un accesso accidentale o non autorizzato la “violazione dell’integrità” si registra quando i dati personali sono stati accidentalmente o illecitamente alterati la “violazione della disponibilità” si registra quando i dati personali sono stati accidentalmente o illecitamente persi o distrutti o resi indisponibili ransomware . Se tali violazioni non presentano la possibilità di produrre impatti pregiudizievoli sugli interessati, il titolare del trattamento è tenuto solo alla notificazione al Garante Privacy. Se invece si reputa che siano probabili delle ricadute negative per gli interessati scatta l’ulteriore obbligo di comunicazione anche a questi ultimi. I danni che implicano tale comunicazione possono essere individuati in danni patrimoniali perdita finanziaria , in danni non patrimoniali furto di identità, frode, stalking in danni fisici attentato all’integrità fisica dovuto alla rivelazione dell’indirizzo di casa . Inoltre possono individuarsi anche danni alla reputazione e danni discriminatori. Il titolare ha l’obbligo di valutare se vi siano rischi che a seguito dell’incidente tali danni possano o meno verificarsi. Ai fini della comunicazione agli interessati, l’EDPB consiglia di non aspettare la fine dell’indagine interna e le evidenze di computer forensics se il titolare ha già il sentore che si siano prodotti o che si potrebbero produrre tali danni. Valutare il rischio non sempre è semplice e così l’EDPB viene in ausilio con i 18 esempi maturati sui casi concreti trattati dai Garanti nazionali. RANSOMWARE L’attacco ransomware si verifica quando un codice dannoso crittografa i dati personali e successivamente l'utente malintenzionato chiede un riscatto in cambio del codice di decrittazione. Questo tipo di attacco di solito può essere classificato come una violazione della disponibilità, ma spesso potrebbe verificarsi anche una violazione della riservatezza. CASO numero 01 Ransomware con backup adeguato e senza esfiltrazione . Il titolare di una piccola azienda manifatturiera scopre che i sistemi informatici della sua struttura sono stati oggetto di un attacco ransomware. I dati erano stati memorizzati e preventivamente crittografati. Il titolare del trattamento ha utilizzato la crittografia sui dati a riposo, quindi tutti i dati a cui ha avuto accesso il ransomware sono dati non intellegibili perchè sono stati archiviati in forma crittografata utilizzando un algoritmo di crittografia all'avanguardia. La chiave di decrittazione non è stata compromessa nell'attacco, ovvero l'utente malintenzionato non ha potuto accedervi né utilizzarla indirettamente. Di conseguenza, l'aggressore ha accesso solo a dati personali non intellegibili perchè preventivamente crittografati. In particolare, né il sistema di posta elettronica dell'azienda, né alcun sistema client utilizzato per accedervi sono stati interessati. I dati personali interessati dalla violazione si riferiscono a clienti e dipendenti dell'azienda, alcune decine di persone in tutto. Un backup era prontamente disponibile e i dati sono stati ripristinati poche ore dopo l'attacco. La violazione non ha comportato alcuna conseguenza sul funzionamento quotidiano dell’azienda. Non ci sono stati ritardi nei pagamenti dei dipendenti o nella gestione delle richieste dei clienti. Il titolare del trattamento come fa a capire se deve procedere soltanto alla notifica al Garante oppure alla notifica al Garante e alla comunicazione agli interessati? Eseguire indagine interna. Verificare l’esistenza di violazioni alla riservatezza e/o all’integrità e/o alla disponibilità. Verificare l’esistenza del rischio di danni agli interessati. Decidere se fare unicamente la registrazione interna della violazione oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati. Stabilire quali misure privacy di contrasto introdurre o migliorare per evitare ulteriori incidenti. Indagine interna sulla dinamica dell’incidente . Innanzitutto il titolare deve disporre un’indagine interna anche con l’ausilio di esperti esterni per comprendere la dinamica dell’incidente.L'azienda si avvale di una società di sicurezza informatica esterna per indagare sull'incidente. I registri dei file log sono rimasti inalterati e sono leggibili. Al fine di verificare l’ipotesi di un’esfiltrazione dei dati ovvero di un furto dei dati raggiunti dal ransomware la società informatica che svolge le indagini analizza i file log dei flussi informativi in uscita dalla struttura comprese le e-mail in uscita . Ovviamente se risultino flussi in uscita durante l’attacco ransomware significa che vi è stato il furto dei dati esfiltrazione , altrimenti se non risultino flussi in uscita significa che i dati non sono stati rubati non sono stati esfiltrati . Dopo aver analizzato i log e i dati raccolti dai sistemi di rilevazione che l'azienda ha implementato, l'indagine interna supportata dalla società esterna di cybersecurity ha determinato con certezza che l'offensore ha criptato solo i dati, senza esfiltrarli. I log non mostrano alcun flusso di dati in uscita nel periodo di tempo dell'attacco. Ricapitolando il ransomware ha attaccato dati archiviati non intellegibili perchè preventivamente criptati dal titolare senza rubare nulla perchè durante l’attacco non ci sono flussi informativi in uscita . “ Misure preliminari e valutazione dei rischi” Verifica dell’esistenza di violazioni alla riservatezza e/o all’integrità e/o alla disponibilità . Una volta conclusa l’indagine, il titolare deve valutare se l’incidente ha causato violazioni della riservatezza terzi non autorizzati hanno conosciuto informazioni personali , dell’integrità i dati sono stati illecitamente alterati , della disponibilità ritardi nelle attività ordinarie dell’azienda per lento ripristino dei dati . L’attacco ransomware per sua natura non implica la violazione dell’integrità dei dati. Implica invece la violazione della disponibilità e quando i dati sono intellegibili la violazione della riservatezza. In questo caso non vi è stata violazione della disponibilità perchè il backup ha consentito di ripristinare i dati dopo poco tempo e di non far registrare ritardi nell’attività dell’azienda. Non vi è stata neppure violazione della riservatezza grazie alla cifratura preventiva dei dati rendendoli non intellegibili all’aggressore. Infatti la cifratura con metodi aggiornati è sempre una misura vincente anche se i dati fossero stati esfiltrati senza accorgersene a volte i ransomware riescono a cancellare le tracce dell’esfiltrazione modificando i file log di registro . Verifica dell’esistenza del rischio di danni agli interessati. Non essendoci violazioni nè alla disponibilità nè alla riservatezza si deve concludere che non esista il rischio di danni per gli interessati. Decisione tra fare unicamente la registrazione interna oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati . Pertanto sarà sufficiente registrare la violazione a livello interno senza notificare nè al Garante nè comunicare agli interessati. “ Attenuazioni e obblighi” Stabilire quali misure privacy di contrasto introdurre o migliorare per evitare ulteriori incidenti. Avere superato l’obbligo della notifica al Garante e quello di comunicazione agli interessati non costituisce motivo per esimersi dall’assumere la consapevolezza dei limiti della propria struttura. Non dimentichiamoci infatti che il data breach è comunque avvenuto. Pertanto il titolare ha il dovere di indagare a fondo sulla violazione e identificare le cause e i metodi utilizzati dall'aggressore al fine di prevenire eventi simili in futuro. Alla fine di questa sezione dedicata al ransomware, l’EDPB fornisce un elenco di misure per combattere questi attacchi allocato nel paragrafo “ Misure organizzative e tecniche per prevenire/mitigare gli impatti degli attacchi ransomware ”. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si No No CASO numero 02 Ransomware senza backup adeguato. Uno dei computer utilizzati da un'azienda agricola è stato esposto a un attacco ransomware e i suoi dati sono stati crittografati dall'aggressore. I dati personali interessati dalla violazione si riferiscono ai dipendenti e ai clienti dell'azienda, alcune decine di persone in tutto. Non sono state interessate categorie particolari di dati. Nessun backup era disponibile in formato elettronico. La maggior parte dei dati è stata ripristinata da backup cartacei. Il ripristino dei dati ha richiesto 5 giorni lavorativi e ha portato a piccoli ritardi nella consegna degli ordini ai clienti. Il titolare del trattamento come fa a capire se deve procedere soltanto alla notifica al Garante oppure alla notifica al Garante e alla comunicazione agli interessati? Eseguire indagine interna. Verificare l’esistenza di violazioni alla riservatezza e/o all’integrità e/o alla disponibilità. Verificare l’esistenza del rischio di danni agli interessati. Decidere se fare unicamente la registrazione interna della violazione oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati. Stabilire quali misure privacy di contrasto introdurre o migliorare per evitare ulteriori incidenti. La principale differenza rispetto al caso precedente è la mancanza di un backup elettronico e la mancanza di crittografia sui dati a riposo. Ciò porta a differenze critiche . Indagine interna sulla dinamica dell’incidente . L'azienda si avvale di una società di sicurezza informatica esterna per indagare sull'incidente. I registri dei file log sono rimasti inalterati e sono leggibili. Al fine di verificare l’ipotesi di un’esfiltrazione dei dati ovvero di un furto dei dati raggiunti dal ransomware la società informatica che svolge le indagini analizza i file log dei flussi informativi in uscita dalla struttura comprese le e-mail in uscita . Ovviamente se risultino flussi in uscita durante l’attacco ransomware significa che vi è stato il furto dei dati esfiltrazione , altrimenti se non risultino flussi in uscita significa che i dati non sono stati rubati non sono stati esfiltrati . Dopo aver analizzato i log e i dati raccolti dai sistemi di rilevazione che l'azienda ha implementato, l'indagine interna supportata dalla società esterna di cybersecurity ha determinato con certezza che l'offensore ha criptato solo i dati, senza esfiltrarli. I log non mostrano alcun flusso di dati in uscita nel periodo di tempo dell'attacco. Ricapitolando il ransomware ha attaccato dati archiviati intellegibili perchè non preventivamente criptati dal titolare apparentemente senza rubare nulla perchè durante l’attacco non ci sono flussi informativi in uscita . Tuttavia non possiamo ignorare che esistono ransomware capaci di cancellare le tracce dell’esfiltrazione e quindi dobbiamo sempre considerare anche questa eventualità. Eventualità che nell’ipotesi di dati preventivamente crittati dal titolare non accresce il rischio di danni per gli interessati mentre invece nell’ipotesi come nel caso in oggetto di mancata adozione della cifratura il rischio si accresce. A questo punto cruciale -per stabilire il livello di rischio sarà la tipologia e il volume dei dati esfiltrati. I dati esfiltrati sono dati personali non appartenenti a categorie particolari e il quantitativo è minimo. “ Misure preliminari e valutazione dei rischi” Verifica dell’esistenza di violazioni alla riservatezza e/o all’integrità e/o alla disponibilità . Una volta conclusa l’indagine, il titolare deve valutare se l’incidente ha causato violazioni della riservatezza terzi non autorizzati hanno conosciuto informazioni personali , dell’integrità i dati sono stati illecitamente alterati , della disponibilità ritardi nelle attività ordinarie dell’azienda per lento ripristino dei dati . L’attacco ransomware per sua natura non implica la violazione dell’integrità dei dati. Implica invece la violazione della disponibilità e quando i dati sono intellegibili la violazione della riservatezza. In questo caso vi è stata violazione della disponibilità perchè non c’era un backup elettronico ma soltanto un backup cartaceo che ha richiesto diverso tempo per ripristinare i dati. Infatti questo ha fatto registrare ritardi nell’attività dell’azienda. In merito alla violazione della riservatezza non è possibile nutrire la certezza che le informazioni non siano state esfiltrate e quindi occorre valutare la situazione più critica ovvero quella in cui i dati siano stati esfiltrati. Verifica dell’esistenza del rischio di danni agli interessati. La mancanza di un backup adeguato di tipo elettronico esistenza unicamente del backup cartaceo e la mancanza della cifratura dei dati costituiscono due fattori di rischio significativi. Il rischio di perdite finanziarie per i dipendenti i cui stipendi vengono corrisposti in ritardo, di perdite di tempo per i clienti che ricevono in ritardo le merci acquistate. Una volta appurata L’esistenza dei rischi, occorre valutarne l’entità se un rischio è contenuto si può omettere la comunicazione agli interessati mentre non si può fare altrettanto se il rischio sia o possa diventare elevato. In questo caso l’EDPB ritiene che si tratti di un rischio non elevato. Decisione tra fare unicamente la registrazione interna della violazione oppure notificare al Garante o ancora notificare al Garante e agli interessati . Pertanto sarà sufficiente registrare la violazione a livello interno e notificare al Garante senza dare la comunicazione agli interessati. “ Attenuazioni e obblighi” Stabilire quali misure privacy di contrasto introdurre o migliorare per evitare ulteriori incidenti. Il titolare ha il dovere di indagare a fondo sulla violazione e identificare le cause e i metodi utilizzati dall'aggressore al fine di prevenire eventi simili in futuro. Prevenzione nell’ambito data protection si traduce in accountability che obbliga il titolare del trattamento ad analizzare le criticità della propria struttura per individuare le misure privacy di contrasto da introdurre o da migliorare. Per esempio, nel caso in oggetto, il titolare del trattamento dovrebbe valutare i rischi di un eventuale accesso ai dati da parte dell’aggressore. Di conseguenza prendere in considerazione la natura, la sensibilità, il volume e il contesto dei dati personali “aggrediti”. In questo caso non sono interessate categorie particolari di dati personali e la quantità di dati violati e il numero di interessati sono bassi e quindi anche l’entità del rischio si riduce. L’assenza di un database di backup può essere considerata un fattore di potenziamento del rischio a seconda della gravità delle conseguenze per gli interessati derivanti dalla mancanza di disponibilità dei dati. Sulla base di tutte queste valutazioni di rischio, il titolare deve introdurre le misure privacy necessarie per scongiurare o ridurre l’entità di tali rischi. Proprio per individuare tali misure, l’EDPB alla fine di questa sezione dedicata al ransomware, fornisce un elenco di misure per combattere questi attacchi allocato nel paragrafo “ Misure organizzative e tecniche per prevenire/mitigare gli impatti degli attacchi ransomware ”. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si Si No CASO numero 03 Ransomware con backup e senza esfiltrazione in ospedale. Il sistema informativo di un ospedale/centro sanitario è stato esposto a un attacco ransomware e una parte significativa dei suoi dati è stata crittografata dall'aggressore. I dati personali interessati dalla violazione si riferiscono ai dipendenti e ai pazienti, che rappresentavano migliaia di individui. Backups erano disponibili in forma elettronica. La maggior parte dei dati è stata ripristinata ma questa operazione è durata 2 giorni lavorativi e ha portato a gravi ritardi nel trattamento dei pazienti con intervento chirurgico annullato/posticipato e ad un abbassamento del livello di servizio dovuto alla indisponibilità dei sistemi. Il titolare del trattamento come fa a capire se deve procedere soltanto alla notifica al Garante oppure alla notifica al Garante e alla comunicazione agli interessati? Eseguire indagine interna. Verificare l’esistenza di violazioni alla riservatezza e/o all’integrità e/o alla disponibilità. Verificare l’esistenza del rischio di danni agli interessati. Decidere se fare unicamente la registrazione interna della violazione oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati. Stabilire quali misure privacy di contrasto introdurre o migliorare per evitare ulteriori incidenti. La principale differenza rispetto al caso precedente è l'elevata gravità delle conseguenze per una parte sostanziale degli interessati ovvero per i pazienti. Indagine interna sulla dinamica dell’incidente . L'azienda si avvale di una società di sicurezza informatica esterna per indagare sull'incidente. I registri dei file log sono rimasti inalterati e sono leggibili. Al fine di verificare l’ipotesi di un’esfiltrazione dei dati ovvero di un furto dei dati raggiunti dal ransomware la società informatica che svolge le indagini analizza i file log dei flussi informativi in uscita dalla struttura comprese le e-mail in uscita . Ovviamente se risultino flussi in uscita durante l’attacco ransomware significa che vi è stato il furto dei dati esfiltrazione , altrimenti se non risultino flussi in uscita significa che i dati non sono stati rubati non sono stati esfiltrati . Dopo aver analizzato i log e i dati raccolti dai sistemi di rilevazione che l'azienda ha implementato, l'indagine interna supportata dalla società esterna di cybersecurity ha determinato con certezza che l'offensore ha solo criptato i dati, senza esfiltrarli. I log non mostrano alcun flusso di dati in uscita nel periodo di tempo dell'attacco. Ricapitolando il ransomware ha attaccato dati archiviati intellegibili perchè non preventivamente criptati dal titolare apparentemente senza rubare nulla perchè durante l’attacco non ci sono flussi informativi in uscita . Tuttavia non possiamo ignorare che esistono ransomware capaci di cancellare le tracce dell’esfiltrazione e quindi dobbiamo sempre considerare anche questa eventualità. Eventualità che nell’ipotesi di dati preventivamente crittati dal titolare non accresce il rischio di danni per gli interessati mentre invece nell’ipotesi come nel caso in oggetto di mancata adozione della cifratura il rischio si accresce. A questo punto cruciale -per stabilire il livello di rischio sarà la tipologia e il volume dei dati esfiltrati. Il dato esfiltrato in questo caso è ad altissimo impatto privacy perchè si tratta di dati di salute dei pazienti dell’ospedale. Inoltre si tratta di volumi considerevoli di informazioni. “Misure preliminari e valutazione dei rischi” Verifica dell’esistenza di violazioni alla riservatezza e/o all’integrità e/o alla disponibilità . Una volta conclusa l’indagine, il titolare deve valutare se l’incidente ha causato violazioni della riservatezza terzi non autorizzati hanno conosciuto informazioni personali , dell’integrità i dati sono stati illecitamente alterati , della disponibilità ritardi nelle attività ordinarie dell’azienda per lento ripristino dei dati . L’attacco ransomware per sua natura non implica la violazione dell’integrità dei dati. Implica invece la violazione della disponibilità e quando i dati sono intellegibili la violazione della riservatezza. In questo caso vi è stata violazione della disponibilità nonostante l’esistenza di backups elettronici perchè l’impossibilità di accedere ai dati ha paralizzato l’attività dell’ospedale causando ritardi nelle cure ai pazienti e l’annullamento o il posticipo degli interventi chirurgici. Verifica dell’esistenza del rischio di danni agli interessati. L’indisponibilità ancorchè temporanea esistenza dei backups elettronici dei dati dei pazienti ha arrecato a questi ultimi notevoli danni a causa del ritardo nella somministrazione delle cure e/o nell’esecuzione degli interventi chirurgici. Gli interessati maggiormente danneggiati, nel caso in oggetto, sono i pazienti in ospedale o programmati per interventi nel momento dell’attacco e nei giorni successivi. Tutti gli altri ex pazienti ricoverati prima del data breach i cui dati sono stati oggetto del ransomware subiscono un danno minore perchè non impatta sulla loro salute. E’ indubbio che questo caso serve come esempio di un attacco ransomware ad alto rischio per i diritti e le libertà degli interessati. Decisione tra fare unicamente la registrazione interna della violazione oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati . Pertanto, oltre a registrare la violazione a livello interno e a notificare al Garante, il titolare sarà obbligato anche a dare la comunicazione agli interessati identificabili nei pazienti dell’ospedale nel momento dell’attacco e nei giorni successivi. Mentre per tutti gli altri ex pazienti sarà sufficiente fare un annuncio pubblico ai sensi dell’articolo. 34, par.3 lett.c GDPR. “ Attenuazione e obblighi” Stabilire quali misure privacy di contrasto introdurre o migliorare per evitare ulteriori incidenti. Nel caso in oggetto il titolare deve aggiornare e correggere le misure e le procedure organizzative e tecniche di gestione della sicurezza dei dati personali e le misure e le procedure di mitigazione dei rischi. Proprio per individuare tali misure, l’EDPB alla fine di questa sezione dedicata al ransomware, fornisce un elenco di misure per combattere questi attacchi allocato nel paragrafo “ Misure organizzative e tecniche per prevenire/mitigare gli impatti degli attacchi ransomware ”. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si Si Si CASO numero 04 Ransomware senza backup e con esfiltrazione. Il server di una società di trasporto pubblico è stato esposto a un attacco ransomware e i suoi dati sono stati crittografati dall'aggressore. Secondo i risultati dell'indagine interna, l'autore non solo ha crittografato i dati, ma li ha anche esfiltrati. I dati esfiltrati sono i dati personali dei clienti, dei dipendenti e delle diverse migliaia di persone che utilizzano i servizi dell'azienda ad esempio l'acquisto di biglietti online . Oltre ai dati di identità di base, sono stati coinvolti nella violazione anche i numeri di carta d'identità e i dati finanziari come i dettagli della carta di credito. Esisteva un database di backup ma anche questo è stato crittografato dal malintenzionato. Il titolare del trattamento come fa a capire se deve procedere soltanto alla notifica al Garante oppure alla notifica al Garante e alla comunicazione agli interessati? Eseguire indagine interna. Verificare l’esistenza di violazioni alla riservatezza e/o all’integrità e/o alla disponibilità. Verificare l’esistenza del rischio di danni agli interessati. Decidere se fare unicamente la registrazione interna della violazione oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati. Stabilire quali misure privacy di contrasto introdurre o migliorare per evitare ulteriori incidenti. Le principal i differenze rispetto ai casi precedenti sono l’esfiltrazione dei dati e l’assoggettamento totale dei backups agli effetti del ransomware che li ha resi inutilizzabili. Indagine interna sulla dinamica dell’incidente . Secondo i risultati dell'indagine interna, l'autore non solo ha crittografato i dati, ma li ha anche esfiltrati. Ricapitolando il ransomware ha attaccato dati archiviati intellegibili perchè non preventivamente criptati dal titolare e li ha esfiltrati. L’esfiltrazione di dati non preventivamente cifrati dal titolare del trattamento-come nel caso in oggetto costituisce un fattore di aumento del rischio. A questo punto cruciale -per stabilire il livello di rischio sarà la tipologia e il volume dei dati esfiltrati. Tra i dati esfiltrati ci sono anche quelli delle carte di credito degli utenti e si tratta di un considerevole volume di informazioni. “Misure preliminari e valutazione dei rischi” Verifica dell’esistenza di violazioni alla riservatezza e/o all’integrità e/o alla disponibilità . Una volta conclusa l’indagine, il titolare deve valutare se l’incidente ha causato violazioni della riservatezza terzi non autorizzati hanno conosciuto informazioni personali , dell’integrità i dati sono stati illecitamente alterati , della disponibilità ritardi nelle attività ordinarie dell’azienda per lento ripristino dei dati . L’attacco ransomware per sua natura non implica la violazione dell’integrità dei dati. Implica invece la violazione della disponibilità e quando i dati sono intellegibili la violazione della riservatezza. In questo caso vi è stata violazione sia della disponibilità sia della riservatezza. Verifica dell’esistenza del rischio di danni agli interessati. Si valuta l’esistenza di un rischio elevato di danni per gli interessati dovuto al considerevole numero di persone coinvolte, al notevole volume di dati aggrediti, al tipo di informazioni carpite particolarmente impattanti come i dati delle carte di credito. Una violazione relativa a questi tipi di dati presenta un rischio elevato in sé e per sé e, se elaborati insieme, potrebbero essere utilizzati, tra le varie ipotesi, per furti di identità o frodi. Si possono quindi prevedere sia danni patrimoniali ad esempio perdite finanziarie poiché i dettagli della carta di credito sono stati aggrediti sia danni non patrimoniali ad esempio furto di identità o frode poiché i dettagli della carta d'identità sono stati aggrediti . Decisione tra fare unicamente la registrazione interna della violazione oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati . Pertanto, oltre a registrare la violazione a livello interno e a notificare al Garante, il titolare sarà obbligato anche a dare la comunicazione agli interessati identificabili. Tuttavia, stante l’importanza della comunicazione agli interessati in modo che possano adottare le misure necessarie per evitare danni materiali ad esempio bloccare le loro carte di credito , per tutti coloro che non possano essere raggiunti direttamente dalla comunicazione in quanto irrintracciabili a causa dell’avaria dei backups occorrerà fare un annuncio pubblico ai sensi dell’articolo. 34, par.3 lett.c GDPR, a condizione che tale comunicazione non sia suscettibile di innescare ulteriori conseguenze negative sugli interessati. “ Attenuazione e obblighi” Stabilire quali misure privacy di contrasto introdurre o migliorare per evitare ulteriori incidenti. L’EDPB evidenzia particolarmente la falla dei backups in quanto indice di una scarsa attenzione alla sicurezza a livello tecnologico. Il fatto che i backups siano stati investiti dal ransomware costituisce un evento gravissimo, una criticità inammissibile per gli accorgimenti tecnici assunti di norma dalle strutture. I backups infatti non devono essere in contatto con il sistema centrale come nel caso in oggetto perchè il ransomware che colpisce il sistema centrale così colpirà anche i backups, con effetti devastanti sulle possibilità di riacquistare la disponibilità dei dati. In un regime di backup ben progettato, più backups devono essere archiviati in modo sicuro senza accesso dal sistema principale, altrimenti potrebbero essere compromessi nello stesso attacco. Inoltre, gli attacchi ransomware possono rimanere sconosciuti per giorni crittografando lentamente i dati utilizzati raramente. Ciò può rendere inutili più backup, quindi anche i backup dovrebbero essere eseguiti periodicamente ed essere isolati. Ciò aumenterebbe la probabilità di recupero anche se con una maggiore perdita di dati. Nel caso in oggetto il titolare deve aggiornare e correggere le misure e le procedure organizzative e tecniche di gestione della sicurezza dei dati personali e le misure e le procedure di mitigazione dei rischi. Proprio per individuare tali misure, l’EDPB alla fine di questa sezione dedicata al ransomware, fornisce un elenco di misure per combattere questi attacchi allocato nel paragrafo “ Misure organizzative e tecniche per prevenire/mitigare gli impatti degli attacchi ransomware ”. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si Si Si “ Misure organizzative e tecniche per prevenire/mitigare gli impatti degli attacchi ransomware ”. traduzione del testo dell’EDPB Il fatto che un attacco ransomware possa aver avuto luogo è di solito un segno di una o più vulnerabilità nel sistema del titolare del trattamento. Ciò vale anche nei casi in cui i dati personali sono stati crittografati, ma non sono stati esfiltrati. Indipendentemente dall'esito e dalle conseguenze dell'attacco, l'importanza di una valutazione onnicomprensiva del sistema di sicurezza dei dati con particolare enfasi sulla sicurezza IT non può essere sottolineata abbastanza. I punti deboli e le falle di sicurezza individuati devono essere documentati e affrontati senza indugio. Misure consigliate L'elenco delle seguenti misure non è affatto esclusivo o completo. Piuttosto, l'obiettivo è quello di fornire idee di prevenzione e possibili soluzioni. Ogni attività di elaborazione è diversa, quindi il titolare del trattamento dovrebbe prendere la decisione su quali misure si adattano maggiormente alla situazione data. Mantenere aggiornati il firmware, il sistema operativo e l'applicazione software sui server, sulle macchine client, sui componenti di rete attivi e su qualsiasi altra macchina sulla stessa LAN inclusi i dispositivi Wi-Fi . Garantire che siano in atto adeguate misure di sicurezza informatica, assicurandosi che siano efficaci e mantenendole regolarmente aggiornate quando l'elaborazione o le circostanze cambiano o si evolvono. Ciò include la conservazione di registri dettagliati di quali patch vengono applicate a quale timestamp. Progettare e organizzare sistemi e infrastrutture di elaborazione per segmentare o isolare sistemi e reti di dati per evitare la propagazione di malware all'interno dell'organizzazione e a sistemi esterni. L'esistenza di una procedura di backup aggiornata, sicura e testata. I supporti per il backup a medio e lungo termine devono essere tenuti separati dall'archiviazione dei dati operativi e fuori da ciascuna delle terze parti anche in caso di attacco riuscito come il backup incrementale giornaliero e il backup completo settimanale . Avere / ottenere un software anti-malware appropriato, aggiornato, efficace e integrato. Avere un firewall appropriato, aggiornato, efficace e integrato e un sistema di rilevamento e prevenzione delle intrusioni. Dirigere il traffico di rete attraverso il firewall/rilevamento delle intrusioni, anche nel caso di lavoro a domicilio o mobile ad esempio utilizzando le connessioni VPN ai meccanismi di sicurezza dell'organizzazione quando si accede a Internet . Formazione dei dipendenti sui metodi di riconoscimento e prevenzione degli attacchi IT. Il titolare del trattamento dovrebbe fornire i mezzi per stabilire se i messaggi di posta elettronica e i messaggi ottenuti con altri mezzi di comunicazione sono autentici e affidabili. I dipendenti dovrebbero essere addestrati a riconoscere quando un tale attacco si è realizzato, come portare l'endpoint fuori dalla rete e il loro obbligo di segnalarlo immediatamente al responsabile della sicurezza. Sottolineare la necessità di identificare il tipo di codice dannoso per vedere le conseguenze dell'attacco ed essere in grado di trovare le giuste misure per mitigare il rischio. Nel caso in cui un attacco ransomware abbia avuto successo e non ci sia alcun backup disponibile, strumenti disponibili come quelli del progetto no more ransom nomoreransom.org possono essere applicati per recuperare i dati. Tuttavia, nel caso in cui sia disponibile un backup sicuro, è consigliabile ripristinare i dati da esso. Inoltro o replica di tutti i log a un server di log centrale possibilmente includendo la firma o la marcatura temporale crittografica delle voci di log . Crittografia avanzata e autenticazione a più fattori, in particolare per l'accesso amministrativo ai sistemi IT, gestione appropriata di chiavi e password. Test di vulnerabilità e penetrazione su base regolare. Stabilire un Computer Security Incident Response Team CSIRT o un Computer Emergency Response Team CERT all'interno dell'organizzazione o unirsi a un CSIRT/CERT collettivo. Creare un piano di risposta agli incidenti, un piano di ripristino di emergenza e un piano di continuità aziendale e assicurarsi che questi siano accuratamente testati. Quando si valutano le contromisure, l'analisi del rischio deve essere rivista, testata e aggiornata. ATTACCHI DI ESFILTRAZIONE DEI DATI Gli attacchi di esfiltrazione dei dati si differenziano dal ransomware per la diversa finalità di copiare/rubare le informazioni per realizzare obbiettivi dannosi. Pertanto mentre il ransomware incide sulla violazione della disponibilità e a volte della riservatezza, l’esfiltrazione incide sempre sulla violazione della riservatezza e a volte dell’integrità. Sia chiaro che l’esfiltrazione non sottrae i dati alla struttura ma li lascia disponibili possiamo parlare dell’esecuzione di una copia piuttosto che di un furto. Pertanto anche se più volte nel testo, quando si parla di dati esfiltrati si dice anche dati rubati, il termine rubati dev’essere inteso in senso atecnico. CASO numero 05 Esfiltrazione dei dati delle domande di lavoro da un sito web Un'agenzia di collocamento è stata vittima di un attacco informatico che ha inserito un codice dannoso sul relativo sito web. Questo codice dannoso rendeva accessibili a persone non autorizzate le informazioni personali inviate tramite moduli di domanda di lavoro online e memorizzate sul server web. Sono stati investiti dall’incidente 213 moduli e, dopo aver analizzato le informazioni aggredite, è stato stabilito che nessuna categoria di dati particolari è stata interessata dalla violazione. Il toolkit di malware installato aveva molteplici funzionalità consentiva all’aggressore di rimuovere la cronologia delle esfiltrazioni consentiva di monitorare l'elaborazione sul server consentiva di acquisire dati personali. Il toolkit è stato scoperto solo un mese dopo la sua installazione. Il titolare del trattamento come fa a capire se deve procedere soltanto alla notifica al Garante oppure alla notifica al Garante e alla comunicazione agli interessati? Eseguire indagine interna. Verificare l’esistenza di violazioni alla riservatezza e/o all’integrità e/o alla disponibilità. Verificare l’esistenza del rischio di danni agli interessati. Decidere se fare unicamente la registrazione interna della violazione oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati. Stabilire quali misure privacy di contrasto introdurre o migliorare per evitare ulteriori incidenti. Indagine interna sulla dinamica dell’incidente . I risultati dell’indagine sono già stati esplicati nella descrizione del caso. Ricapitolando il toolkit del malware di esfiltrazione ha acquisito i dati personali da 213 moduli di domande di lavoro. A questo punto cruciale -per stabilire il livello di rischio sarà la tipologia e il volume dei dati esfiltrati. Tra le informazioni esfiltrate non ci sono dati appartenenti a categorie particolari. Comunque, posto che il malware ha abitato di nascosto nel sistema per 1 mese, dobbiamo considerare il notevole quantitativo di informazioni sottratte per ciascun interessato che indubbiamente accresce il livello di rischio. “ Misure preliminari e valutazione dei rischi” Verifica dell’esistenza di violazioni alla riservatezza e/o all’integrità e/o alla disponibilità . Una volta conclusa l’indagine, il titolare deve valutare se l’incidente ha causato violazioni della riservatezza terzi non autorizzati hanno conosciuto informazioni personali , dell’integrità i dati sono stati illecitamente alterati , della disponibilità ritardi nelle attività ordinarie dell’azienda per lento ripristino dei dati . L’attacco di esfiltrazione di dati per propria natura non implica la violazione della disponibilità dei dati come il ransomware. Implica invece la violazione dell’integrità e della riservatezza. Nel caso in oggetto, si è certamente registrata la violazione della riservatezza ma non è stato possibile escludere neppure la violazione dell’integrità perchè l’infiltrato aveva i mezzi per determinare mutazioni nel sistema. Verifica dell’esistenza del rischio di danni agli interessati. La certezza della violazione della riservatezza dei dati contenuti nei 213 moduli costituisce già di per sè una fonte considerevole di rischio di danni per gli interessati le cui informazioni possono essere state vendute per realizzare campagne pubblicitarie basate sul microtargeting oppure per realizzare furti di identità e frodi. Decisione tra fare unicamente la registrazione interna oppure notificare al Garante o ancora notificare al Garante e agli interessati . Pertanto sarà necessario registrare la violazione a livello interno, notificare al Garante e comunicare agli interessati. “ Attenuazioni e obblighi” Stabilire quali misure privacy di contrasto introdurre o migliorare per evitare ulteriori incidenti. La sicurezza dell'ambiente del titolare del trattamento è estremamente importante, poiché la maggior parte di queste violazioni può essere evitata garantendo che tutti i sistemi siano costantemente aggiornati, che i dati sensibili siano crittografati e che le applicazioni siano sviluppate secondo elevati standard di sicurezza come autenticazione forte, misure contro la forza bruta un attacco di forza bruta consiste nel tentativo di impostare credenziali valide per un'applicazione attraverso tentativi di tutti i valori possibili o almeno un gran numero di valori possibili. Si tratta di attacchi effettuati da script o programmi che automatizzano le richieste per la funzionalità di accesso dell'applicazione, inviando diverse combinazioni di nomi utente e password, fino a quando non viene trovata una credenziale valida , contro attacchi, l’adozione di “escaping” or “sanitising” degli input degli utenti nota 18 “ escaping o sanitising user input ” è una forma di convalida dell'input che garantisce che solo i dati formattati correttamente vengano inseriti in un sistema informativo , ecc. Sono inoltre necessari audit periodici della sicurezza IT, valutazioni delle vulnerabilità e test di penetrazione per rilevare in anticipo questo tipo di vulnerabilità e risolverle. In questo caso particolare, gli strumenti di monitoraggio dell'integrità dei file nell'ambiente di produzione potrebbero aver aiutato a rilevare l'iniezione di codice malevolo. Il titolare dovrebbe sempre iniziare a indagare sul data breach partendo dall’identificazione del tipo di attacco e dei relativi metodi, al fine di valutare quali misure devono essere adottate. Per una reazione rapida ed efficiente, il titolare del trattamento dovrebbe disporre di un piano di risposta agli incidenti che specifichi le misure rapide e necessarie per assumere il controllo dell'incidente. Se possibile, dopo aver risolto il problema, il database deve essere confrontato con quello archiviato in un backup sicuro. Le esperienze tratte dalla violazione dovrebbero essere utilizzate per aggiornare l'infrastruttura IT. Il titolare del trattamento dovrebbe riportare tutti i sistemi IT aggrediti a uno stato pulito noto, porre rimedio alla vulnerabilità e implementare nuove misure di sicurezza per evitare simili violazioni dei dati in futuro, ad esempio controlli di integrità dei file e audit di sicurezza. Se i dati personali non sono stati solo esfiltrati ma anche cancellati, il titolare del trattamento deve intraprendere azioni sistematiche per recuperare i dati personali nello stato in cui si trovavano prima della violazione. Potrebbe essere necessario applicare backup completi, change incrementali e quindi eventualmente rieseguire l'elaborazione dall'ultimo backup incrementale, il che richiede che il titolare sia in grado di replicare le modifiche apportate dall'ultimo backup. Ciò potrebbe richiedere che il titolare disponga di un sistema progettato per conservare i file di input nel caso in cui debbano essere nuovamente elaborati e disponga altresì di un metodo di archiviazione robusto e di una politica di conservazione adeguata Alla fine di questa sezione dedicata all’esfiltrazione di dati, l’EDPB fornisce un elenco di misure per combattere questi attacchi allocato nel paragrafo “ Misure organizzative e tecniche per prevenire/mitigare gli impatti degli attacchi hacker ”. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si Si Si CASO numero 06 Esfiltrazione di password hash da un sito web. Una vulnerabilità SQL Injection è stata sfruttata per ottenere l'accesso a un database del server di un sito Web di cucina. Agli utenti è stato permesso solo di scegliere pseudonimi arbitrari come nomi utente. L'uso di indirizzi e-mail per questo scopo è stato scoraggiato. Le password memorizzate nel database sono state sottoposte a hashing con un algoritmo forte e il salt non è stato compromesso. Dati aggrediti password con hash di 1.200 utenti. Per motivi di sicurezza, il titolare del trattamento ha informato gli interessati della violazione via e-mail e ha chiesto loro di modificare le loro password, in particolare se la stessa password è stata utilizzata per altri servizi. Indagine interna sulla dinamica dell’incidente . Nella descrizione del caso abbiamo già i risultati dell’indagine e la decisione del titolare che per evitare danni agli interessati ha fornito comunicazione a ciascun utente con e.mail consigliando di modificare la password. Ricapitolando il malware ha catturato le password hash di 1.200 utenti ma non ha compromesso il salt. Così risulta assai difficile che sia stata raggiunta l’intelligibilità delle password. Tuttavia anche se fossero state conosciute le password di accesso agli accounts, sarebbe poco probabile l’esfiltrazione di dati personali perchè il titolare del trattamento aveva preventivamente imposto agli utenti di adottare pseudonimi di fantasia come user name e aveva praticamente vietato l’uso degli indirizzi di posta elettronica. In definitiva, il malfattore non è riuscito ad ottenere i dati personali degli utenti e quindi non ha potuto conseguire i fini criminali attesi dall’utilizzo di quei dati. Praticamente, nonostante l’attacco, non c’è il rischio di danni per gli interessati di restare vittime di tentativi di frode ad esempio ricevere e-mail di phishing o messaggi di testo e telefonate fraudolenti . Non sono state coinvolte categorie particolari di dati personali. “ Misure preliminari e valutazione dei rischi” Violazione della riservatezza, dell’integrità e della disponibilità. Nessuna violazione della disponibilità nè dell’integrità. Si potrebbe constatare una violazione alla riservatezza unicamente per l’aggressione delle password ma non per l’esfiltrazione di dati personali. Pertanto questa violazione della riservatezza si traduce unicamente in un lieve attacco alla sicurezza del sito web. Pertanto Nessun rischio di danni per gli interessati. Decisione tra fare unicamente la registrazione interna oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati . Il titolare del trattamento ha deciso immediatamente di fare la comunicazione agli interessati. In questo caso non sarebbe stata obbligatoria in forza del minimo livello di rischio registrato si tratta di password hash . Comunque si considera buona pratica provvedere sempre a fare tale comunicazione in quanto si concede agli interessati la possibilità di tutelarsi per evitare danni che potrebbero derivare da altri siti in cui hanno adottato la medesima password o per evitare ulteriori danni. Al di là della condotta osservata dal titolare in questo caso, in base alla disciplina data protection nel caso in oggetto il titolare avrebbe dovuto provvedere unicamente alla registrazione interna della violazione, senza notifica al Garante e senza comunicazione agli interessati. “ Attenuazioni e obblighi” Stabilire quali misure privacy di contrasto introdurre o migliorare per evitare ulteriori incidenti. Nel caso in oggetto, non abbiamo avuto un’aggressione di dati personali sebbene dobbiamo considerare che non sarebbe stato così se il sito web non fosse stato di cucina ma un sito di un partito politico o di un sindacato. In quest’ultimo caso il solo fatto di essere identificato quale appartenente di quel sito avrebbe rivelato un dato sensibile dell’interessato. Non possiamo ignorare altresì che vi sia stato un lieve attacco alla sicurezza. Pertanto il titolare del trattamento dovrà prendere in esame l’incidente subito per capire quali nuove misure adottare per attenuare il ripetersi di certi eventi. Tra queste misure, possiamo annoverare l'utilizzo della crittografia di ultima generazione che potrebbe mitigare gli effetti negativi della violazione l’applicazione di un meccanismo che consenta un numero limitato di tentativi di accesso al fine di impedire il successo degli attacchi di accesso a forza bruta, riducendo così in gran parte i rischi imposti dagli aggressori che già conoscono i nomi utente. Inoltre sarebbe preferibile l'uso di metodi di autenticazione che evitino la necessità di elaborare le password sul lato server. Gli interessati dovrebbero avere la possibilità di adottare misure appropriate per quanto riguarda le proprie password. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si No No CASO numero 07 Attacco di credential stuffing a un sito web bancario. Una banca ha subito un attacco informatico contro uno dei suoi siti web di online banking. L'attacco mirava a enumerare tutti i possibili ID utente di accesso utilizzando una password banale fissa. Le password sono composte da 8 cifre. A causa di una vulnerabilità del sito web, in alcuni casi sono trapelate all'aggressore informazioni riguardanti gli interessati nome, cognome, sesso, data e luogo di nascita, codice fiscale, codici identificativi utente , anche se la password utilizzata non era corretta o l'account bancario non più attivo. Ciò ha interessato circa 100.000 interessati. Di questi, l'aggressore ha effettuato con successo l'accesso a circa 2.000 account che utilizzavano la password banale provata dall'aggressore. Dopo il fatto, il titolare del trattamento è stato in grado di identificare tutti i tentativi di accesso illegittimi. Il titolare del trattamento potrebbe confermare che, in base ai controlli anti frode, non sono state eseguite transazioni da questi account durante l'attacco. La banca era a conoscenza della violazione dei dati perché il suo centro operativo di sicurezza ha rilevato un numero elevato di richieste di accesso dirette al sito web. In risposta, il titolare ha disabilitato la possibilità di accedere al sito Web disattivandolo e ha forzato la reimpostazione della password degli account compromessi. Il titolare del trattamento ha comunicato la violazione solo agli utenti con gli account compromessi, ovvero agli utenti le cui password sono state compromesse o i cui dati sono stati divulgati. Indagine interna sulla dinamica dell’incidente . Nella descrizione del caso abbiamo già i risultati dell’indagine e la decisione del titolare che per evitare danni agli interessati ha fornito comunicazione a ciascun utente compromesso. Ricapitolando il malware ha catturato i dati nome, cognome, sesso, data e luogo di nascita, codice fiscale, codici identificativi utente di 100.000 interessati di cui 2.000 hanno subito anche l’accesso al proprio account. L’indagine interna non ha rilevato transazioni durante l’attacco e quindi l’obiettivo dell’aggressore non era quello di rubare denari ma quello di esfiltrare dati da utilizzare in altre situazioni digitali. A questo punto, cruciale -per stabilire il livello di rischio sarà la tipologia e il volume dei dati esfiltrati. Tra le informazioni esfiltrate non ci sono dati appartenenti a categorie particolari. Tuttavia la tipologia delle informazioni sottratte presenta un alto impatto data protection perchè sono dati di rilevanza economica inerenti a metodi di pagamento come numeri di carta, conti bancari, pagamenti online, buste paga, estratti conto bancari, studi economici. I dati violati consentono l'identificazione univoca degli interessati e contengono altre informazioni su di loro tra cui sesso, data e luogo di nascita . Inoltre possono essere utilizzati dall'aggressore per indovinare le password dei clienti o per eseguire una campagna di spear phishing diretta presso i clienti della banca. Si deve considerare altresì che il numero di informazioni carpite è abbastanza elevato. Il carattere particolarmente delicato dei dati esfiltrati e la considerevole quantità attestano un alto livello di rischio di danni per gli interessati. “ Misure preliminari e valutazione dei rischi” Verifica dell’esistenza di violazioni alla riservatezza e/o all’integrità e/o alla disponibilità . Una volta conclusa l’indagine, il titolare deve valutare se l’incidente ha causato violazioni della riservatezza terzi non autorizzati hanno conosciuto informazioni personali , dell’integrità i dati sono stati illecitamente alterati , della disponibilità ritardi nelle attività ordinarie dell’azienda per lento ripristino dei dati . L’attacco di esfiltrazione di dati per propria natura non implica la violazione della disponibilità dei dati come il ransomware. Implica invece la violazione dell’integrità e della riservatezza. Nel caso in oggetto, si è certamente registrata la violazione della riservatezza declinata sotto forma di sicurezza della struttura e sotto forma di autodeterminazione informativa dell’interessato. Verifica dell’esistenza del rischio di danni agli interessati. La certezza della violazione della riservatezza dei dati dei 100.000 interessati e dei 2000 account costituisce per gli interessati una fonte considerevole di rischio di danni sia patrimoniali ad es. perdite finanziarie sia non patrimoniali ad es. furto di identità o frode . Decisione tra fare unicamente la registrazione interna oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati . Pertanto sarà necessario registrare la violazione a livello interno, fare la comunicazione agli interessati e notificare al Garante stante la falla nella sicurezza subita dai sistemi della banca. “ Attenuazioni e obblighi” Stabilire quali misure privacy di contrasto introdurre o migliorare per evitare ulteriori incidenti. La sicurezza dell'ambiente del titolare del trattamento è estremamente importante, a maggior ragione in spazi in cui si trattano dati con valenza economica e finanziaria es. banche . Qui il titolare del trattamento deve adottare standard di sicurezza molto elevati tra i quali un centro operativo di sicurezza e altre misure di prevenzione, rilevamento e risposta agli incidenti. Il fatto stesso che in un ambiente simile si sia verificata una falla nella sicurezza attesta l’immediata necessità di revisionare e di aggiornare tutto il sistema di sicurezza. Nel caso in oggetto, il titolare ha disabilitato la possibilità di accedere al sito disattivandolo e ha forzato la reimpostazione della password degli account compromessi. Inoltre ha anche corretto la vulnerabilità del sito web e ha adottato altre misure per prevenire simili future violazioni dei dati, come l'aggiunta dell'autenticazione a due fattori al sito web interessato e il passaggio a un'autenticazione forte del cliente. Alla fine di questa sezione dedicata all’esfiltrazione di dati, l’EDPB fornisce un elenco di misure a cui il titolare del trattamento può ispirarsi per combattere questi attacchi. Tale materiale è allocato nel paragrafo “ Misure organizzative e tecniche per prevenire/mitigare gli impatti degli attacchi hacker ”. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si Si Si “ Misure organizzative e tecniche per prevenire/mitigare gli impatti degli attacchi hacker ”. traduzione del testo dell’EDPB Proprio come in caso di attacchi ransomware, indipendentemente dall'esito e dalle conseguenze dell'attacco, la rivalutazione della sicurezza IT è obbligatoria per i titolari nei casi più complessi. Misure consigliate L'elenco delle seguenti misure non è affatto esclusivo o completo. Piuttosto, l'obiettivo è quello di fornire idee di prevenzione e possibili soluzioni. Ogni attività di trattamento è diversa, pertanto il titolare del trattamento dovrebbe prendere la decisione su quali misure si adattano maggiormente alla situazione data . Crittografia e gestione delle chiavi di ultima generazione, soprattutto quando vengono elaborate password, dati sensibili o finanziari. L'hashing crittografico e il salting per informazioni segrete passwords sono sempre preferiti alla crittografia delle password. È preferibile l'uso di metodi di autenticazione che evitino la necessità di elaborare le password sul lato server. Mantenere aggiornato il sistema software e firmware . Garantire che tutte le misure di sicurezza IT siano in atto, assicurandosi che siano efficaci e mantenendole regolarmente aggiornate quando l'elaborazione o le circostanze cambiano o si evolvono. Al fine di essere in grado di dimostrare la conformità all'articolo 5, paragrafo 1, lettera f , in conformità con l'articolo 5, paragrafo 2, del GDPR, il titolare del trattamento deve tenere un registro di tutti gli aggiornamenti eseguiti, incluso anche il momento in cui sono stati applicati. Utilizzo di metodi di autenticazione forte come l'autenticazione a due fattori e i server di autenticazione, integrati da una politica di password aggiornata. Gli standard di sviluppo sicuri includono il filtraggio dell'input dell'utente utilizzando la white list per quanto possibile , “escaping” degli input dell'utente e le misure di prevenzione della forza bruta come la limitazione della quantità massima di tentativi . Web Application Firewalls può aiutare nell'uso efficace di questa tecnica. Forti privilegi utente e criteri di gestione del controllo degli accessi in atto. Utilizzo di firewall appropriati, aggiornati, efficaci e integrati, antintrusione e altri sistemi di difesa perimetrale. Audit sistematici della sicurezza IT e valutazioni delle vulnerabilità penetration test . Revisioni e test regolari per garantire che i backup possano essere utilizzati per ripristinare tutti i dati la cui integrità o disponibilità è stata compromessa. Nessun ID di sessione nell'URL in testo normale. FATTORE UMANO, FONTE DI RISCHIO INTERNA Il rischio derivante dal fattore umano costituisce il fronte più insidioso per il contrasto dei data breach perchè il più difficile da prevedere da parte del titolare del trattamento. La International Conference of Data Protection and Privacy Commissioners nell’ottobre 2019 a Tirana, Albania ha riconosciuto l'importanza di affrontare i rischi derivanti dal fattore umano e ha adottato la risoluzione per affrontare il ruolo dell'errore umano nelle violazioni dei dati personali si veda http //globalprivacyassembly.org/wp-content/uploads/2019/10/AOIC-Resolution-FINAL-ADOPTED.pdf . La risoluzione sottolinea che dovrebbero essere adottate adeguate misure di salvaguardia per prevenire gli errori umani e fornisce un elenco non esaustivo di tali salvaguardie e approcci. CASO numero 08 Esfiltrazione di dati aziendali da parte di un dipendente Durante il suo periodo di preavviso, il dipendente di un'azienda copia i dati aziendali dal database dell'azienda. Il dipendente è autorizzato ad accedere ai dati solo per adempiere alle sue mansioni lavorative. Mesi più tardi, dopo aver lasciato il lavoro, utilizza i dati acquisiti dati di contatto di base per alimentare un nuovo trattamento di cui è titolare al fine di contattare i clienti dell'azienda per invogliarli alla sua nuova attività. Indagine interna sulla dinamica dell’incidente . Nella descrizione del caso abbiamo già i risultati dell’indagine. Ricapitolando il dipendente volontariamente ha copiato dei dati di contatto dei clienti dell’azienda. Si tratta unicamente di dati personali, nessun carattere sensibile. Il numero dei nominativi copiato o esfiltrato è minimo. “ Misure preliminari e valutazione dei rischi” Violazione della riservatezza, dell’integrità e della disponibilità. Nessuna violazione della disponibilità nè dell’integrità. Si potrebbe constatare una violazione alla riservatezza. Verifica dell’esistenza del rischio di danni agli interessati. Sebbene l'unico obiettivo dell'ex dipendente che ha copiato maliziosamente i dati possa essere limitato all'ottenimento delle informazioni di contatto della clientela dell'azienda per i propri scopi commerciali, il titolare del trattamento non è in grado di considerare basso il rischio per gli interessati, poiché non ha alcun tipo di rassicurazione sulle intenzioni del dipendente. Pertanto, mentre le conseguenze della violazione potrebbero essere limitate all'esposizione all'auto-commercializzazione non richiesta dell'ex dipendente, non è escluso un ulteriore e più grave abuso dei dati rubati, a seconda dello scopo del trattamento messo in atto dall’ esecutore. Decisione tra fare unicamente la registrazione interna oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati . Il livello di rischio -sebbene da non sottovalutare può valutarsi tra basso e medio. Pertanto sarà sufficiente una notifica al Garante e ovviamente la registrazione interna. Tuttavia, la comunicazione agli interessati potrebbe essere una buona prassi anche per il titolare del trattamento poiché potrebbe essere meglio che i clienti -di cui sono stati esfiltrati i contatti abbiano la notizia dall'azienda piuttosto che dall'ex dipendente che cerca di contattarli. “ Attenuazioni e obblighi” Stabilire quali misure privacy di contrasto introdurre o migliorare per evitare ulteriori incidenti. Come già detto nell’introduzione del presente caso, il data breach causato dal fattore umano è sempre difficile da evitare perchè il dipendente dispone in modo lecito delle credenziali di accesso ai dati dei clienti, proprio perchè questo è indispensabile per eseguire il lavoro. Pertanto per il datore-titolare del trattamento è difficile prevenire un accesso per fini estranei al ruolo privacy assegnato al dipendente. Ecco dunque che spesso i titolari non dispongono di nessuna misura preventiva. Possono essere d'aiuto misure tecniche adeguate, quali l'impossibilità di copiare o scaricare dati su dispositivi rimovibili. Non esiste una soluzione taglia unica per questo tipo di casi ma un approccio sistematico può aiutare a prevenirli. Ad esempio, la società può prendere in considerazione, quando possibile, la possibilità di ritirare determinate forme di accesso ai dipendenti che hanno segnalato la loro intenzione di uscire o di implementare i registri di accesso in modo che gli accessi indesiderati possano essere registrati e contrassegnati. Il contratto firmato con i dipendenti dovrebbe includere clausole che vietano tali azioni. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si Si No CASO numero 09 Trasmissione accidentale di dati a terzi di fiducia Un agente assicurativo ha notato che – reso possibile dalle impostazioni errate di un file Excel ricevuto via e-mail per disattenzione di un dipendente del titolare del trattamento – è stato in grado di accedere a informazioni relative a due dozzine di clienti non appartenenti al suo ambito. Egli è vincolato dal segreto professionale ed è stato l'unico destinatario dell'e-mail. L’accordo tra il titolare del trattamento e l'agente assicurativo obbliga l'agente a segnalare una violazione dei dati personali senza indebito ritardo al titolare. Pertanto, l'agente ha immediatamente segnalato l'errore al titolare che ha corretto il file e lo ha inviato di nuovo, chiedendo all'agente di eliminare il messaggio precedente. Secondo l'accordo di cui sopra, l'agente deve confermare la cancellazione in una dichiarazione scritta, cosa che ha fatto. Le informazioni ottenute non comprendono categorie particolari di dati personali. Tuttavia contengono i dati di contatto e i dati relativi all'assicurazione stessa tipo di assicurazione, importo . Dopo aver analizzato i dati personali investiti dalla violazione, il titolare del trattamento non ha identificato alcuna caratteristica speciale che possa influire sul livello di impatto della violazione. Indagine interna sulla dinamica dell’incidente . Nella descrizione del caso abbiamo già i risultati dell’indagine. Ricapitolando l’agente assicurativo ha ricevuto accidentalmente dei dati personali al cui accesso non era autorizzato. Trattandosi di collaboratore di fiducia del titolare del trattamento, vincolato al segreto professionale e vincolato da apposito accordo privacy, l’assicuratore informa immediatamente il titolare e cancella tutto rilasciandone dichiarazione scritta. I dati investiti dall’incidente sono unicamente dati personali attinenti a 24 clienti. “ Misure preliminari e valutazione dei rischi” Violazione della riservatezza, dell’integrità e della disponibilità. Nessuna violazione della disponibilità nè dell’integrità. Si potrebbe constatare unicamente una lieve violazione della riservatezza per disattenzione del dipendente che ha inviato accidentalmente i dati all’assicuratore. Verifica dell’esistenza del rischio di danni agli interessati. A differenza del caso del dipendente infedele che copia i dati per fini propri, qui l’agente assicurativo cancella subito tutto. Si è trattato di un basso numero di persone colpite 24 clienti , l'individuazione della violazione è stata immediata e sono state subito assunte misure adottate per ridurre al minimo gli effetti dell’incidente. La combinazione di tutti questi fattori rende questo caso non esposto a nessun rischio di danni per gli interessati. Decisione tra fare unicamente la registrazione interna oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati . Non essendoci rischio non si prefigura nè l’obbligo di notifica al Garante nè quello di comunicazione agli interessati. Resta l’obbligo di legge di fare la registrazione interna. “ Attenuazioni e obblighi” Stabilire quali misure privacy di contrasto introdurre o migliorare per evitare ulteriori incidenti. Esiste la possibilità di ridurre questi errori umani di disattenzione a applicando programmi di formazione, istruzione e sensibilizzazione in cui i dipendenti acquisiscono una migliore comprensione dell'importanza della protezione dei dati personali, b gestire diversamente lo scambio di file tramite e-mail, utilizzando sistemi dedicati per il trattamento dei dati dei clienti ad esempio, c ricontrollare i file prima dell'invio, d separare la creazione e l'invio dei file. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si No No “ Misure organizzative e tecniche per prevenire/mitigare gli impatti del fattore umano ”. traduzione del testo dell’EDPB Una combinazione delle misure di seguito menzionate, applicate a seconda delle caratteristiche del caso, dovrebbe contribuire a ridurre la possibilità che si ripeta una violazione simile. Misure consigliate L'elenco delle seguenti misure non è affatto esclusivo o completo. Piuttosto, l'obiettivo è quello di fornire idee di prevenzione e possibili soluzioni. Ogni attività di trattamento è diversa, quindi il responsabile del trattamento deve decidere quali misure si adattano maggiormente alla situazione data. Attuazione periodica di programmi di formazione, educazione e sensibilizzazione dei dipendenti sui loro obblighi in materia di privacy e sicurezza e l'individuazione e la segnalazione di minacce alla sicurezza dei dati personali. Sviluppare un programma di sensibilizzazione per ricordare ai dipendenti gli errori più comuni che portano a violazioni dei dati personali e come evitarli. Istituzione di pratiche, procedure e sistemi solidi ed efficaci in materia di protezione dei dati e privacy. Valutazione delle pratiche, delle procedure e dei sistemi sulla privacy per garantire un'efficacia continua. Creazione di criteri di controllo degli accessi adeguati e costringere gli utenti a seguire le regole. Implementazione di tecniche per costringere l'autenticazione dell'utente quando si accede a dati personali sensibili. Disabilitare l'account aziendale dell'utente non appena la persona lascia l'azienda. Controllo del flusso di dati insolito tra il file server e le statistiche di lavoro dei dipendenti. Impostazione della sicurezza dell'interfaccia I/O nel BIOS o tramite l'uso di software che controlla l'uso delle interfacce del computer blocco o sblocco, ad esempio USB/CD/DVD, ecc. . Revisione della politica di accesso dei dipendenti ad es. registrazione dell'accesso ai dati sensibili e richiesta all’utente di inserire un motivo aziendale, in modo che questo sia disponibile per gli audit . Disabilitazione dei servizi cloud aperti. Vietare e impedire l'accesso a servizi di posta aperti. Disabilitazione della funzione dello schermo di stampa nel sistema operativo. Applicazione di una politica di scrivania pulita. Blocco automatico di tutti i computer dopo un certo periodo di inattività. Utilizzare meccanismi ad esempio token wireless per accedere/aprire account bloccati per cambiare rapidamente utente in ambienti condivisi. Utilizzo di sistemi dedicati per la gestione dei dati personali che applichino opportuni meccanismi di controllo dell'accesso e che prevengano errori umani, come l'invio di comunicazioni al soggetto sbagliato. L'uso di fogli di calcolo e altri documenti di ufficio non è un mezzo appropriato per gestire i dati dei clienti. DISPOSITIVI E DOCUMENTI CARTACEI SMARRITI O RUBATI Una delle casistiche più frequenti di data breach si individua nello smarrimento o nel furto di dispositivi mobili nonchè di documenti cartacei. Il livello di rischio derivante da questi data breach dipende dalle precauzioni assunte prima dell’incidente, dal tipo di dati contenuti, dal volume delle informazioni perse o rubate. Tuttavia nell’ipotesi in cui non si disponga di un backup la valutazione del rischio diventa molto difficile perchè non conosciamo esattamente la tipologia e la quantità delle informazioni. Pertanto se abbiamo il backup l’incidente impatterà solo sulla riservatezza mentre se manca il backup l’incidente potrebbe impattare non solo sulla riservatezza ma anche sulla disponibilità e/o sull’integrità. I casi riportati di seguito dimostrano come le circostanze sopra menzionate influenzino la probabilità e la gravità della violazione dei dati. CASO numero 10 Materiale rubato che memorizza dati personali crittografati Durante un'irruzione in un asilo nido per bambini, sono stati rubati due tablet. I tablet contenevano un'app che conteneva dati personali sui bambini che frequentavano l'asilo nido. Si trattava di nome, data di nascita, dati personali sull'istruzione dei bambini.Sia i tablet crittografati che erano spenti al momento dell'irruzione, sia l'app erano protetti da una password complessa. I dati di backup erano effettivamente e prontamente disponibili. Dopo essere venuto a conoscenza dell'irruzione, il titolare del trattamento ha emesso a distanza l'ordine di pulire i tablet poco dopo la scoperta dell'irruzione. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si No No CASO numero 11 Materiale rubato che memorizza dati personali non crittografati Il dispositivo notebook elettronico di un dipendente di una società di servizi è stato rubato. Questo conteneva nomi, cognomi, sesso, indirizzi e date di nascita di oltre 100000 clienti. A causa dell'indisponibilità del dispositivo rubato non è stato possibile identificare se fossero interessate anche altre categorie di dati personali. L'accesso al disco rigido del notebook non era protetto da alcuna password. I dati personali possono essere ripristinati dai backup giornalieri disponibili. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si Si Si CASO numero 12 Fascicoli cartacei rubati con dati sensibili Un diario cartaceo è stato rubato da una struttura di riabilitazione per tossicodipendenze. Il diario conteneva l'identità di base e i dati sanitari dei pazienti ricoverati nella struttura di riabilitazione. I dati erano stati archiviati solo su carta e nessun backup era disponibile per i medici che curavano i pazienti. Il diario non era riposto in un cassetto chiuso a chiave o in una stanza, il titolare del trattamento non disponeva né di un regime di controllo accessi né di altra misura di salvaguardia dei documenti cartacei. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si Si Si Ricapitolando nel caso 10 si considera il furto di due tablet contenenti dati di minori nel caso 11 si considera il furto di un notebook contenente dati di oltre 100.000 persone nel caso 12 si considera il furto del diario clinico cartaceo di un centro riabilitativo per tossicodipendenti. “ Misure preliminari e valutazione dei rischi” Violazione della riservatezza, dell’integrità e della disponibilità e Verifica dell’esistenza del rischio di danni agli interessati. Riprendendo il discorso dell’introduzione, la valutazione del rischio dipende dal tipo di combinazione dei seguenti fattori tipologia del dato, volume delle informazioni, assunzione di misure preventive, predisposizione di backups. Pertanto, a seconda della combinazione, il furto dei dati dei bambini dell’asilo dati delicatissimi può essere meno rischioso del furto dei dati personali di 100.000 persone nonostante la quantità, questi dati sono assai meno delicati di quelli di un bimbo dell’asilo . Infatti il caso 10 dati bimbi dell’asilo presenta un profilo di rischio nullo perchè il titolare del trattamento l’asilo stante la delicatezza delle informazioni memorizzate dalla app nei due tablet aveva adottato le migliori misure di sicurezza ipotizzabili tablet crittografati protetti da password complessa, app all’interno del tablet crittografato protetta anche questa da password complessa, backup immediatamente disponibili, sistema di cancellazione da remoto di tutte le informazioni allocate nei tablet. Il caso 11 dati dei 100.000 clienti presenta un profilo di rischio elevato perchè occorre considerare l’esposizione in chiaro dei dati personali che implica violazioni della riservatezza con possibili conseguenze pregiudizievoli come il furto di identità o le frodi e la considerevole quantità di informazioni. Inoltre il titolare del trattamento non ha adottato nessuna misura preventiva il notebook non era protetto da password e non era crittografato consentendo così facilmente l’accesso a terzi non autorizzati. Il caso 12 dati di salute dei tossicodipendenti presenta il profilo di rischio più alto perchè occorre considerare che si tratta di dati di salute ovvero la tipologia a maggior impatto privacy dei quali non viene specificata la quantità ma soprattutto il titolare non ha assunto nessuna misura preventiva e non ha disposto nessun backup. Il diario clinico cartaceo non era conservato in un cassetto chiuso a chiave o in una stanza ad accesso regolato registro delle presenze bensì era alla mercè di chiunque. Inoltre non era stata predisposta neppure una copia dello stesso. Qui abbiamo non solo il più elevato livello di rischio ma anche una considerevole gravità delle violazioni. Possiamo registrare la violazione della riservatezza, della disponibilità e non possiamo escludere neppure la violazione dell’integrità. Decisione tra fare unicamente la registrazione interna oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati . Alla luce di quanto sopra osservato, possiamo dedurre i seguenti obblighi di notificazione. Caso 10/nessun rischio solo la registrazione interna. Caso 11/rischio elevato registrazione, notifica al Garante, comunicazione agli interessati. Caso 12/rischio altissimo registrazione, notifica al Garante, comunicazione agli interessati. “Misure organizzative e tecniche per prevenire / mitigare gli impatti della perdita o del furto di dispositivi o di fascicoli cartacei” traduzione del testo dell’EDPB Una combinazione delle misure di seguito menzionate – applicate a seconda delle caratteristiche specifiche del caso – dovrebbe aiutare a ridurre la possibilità che si ripeta una violazione simile. Misure consigliate L'elenco delle seguenti misure non è affatto esclusivo o completo. Piuttosto, l'obiettivo è quello di fornire idee di prevenzione e possibili soluzioni. Ogni attività di trattamento è diversa, quindi il responsabile del trattamento dovrebbe prendere la decisione su quali misure si adattano maggiormente alla situazione data. Attivare la crittografia del dispositivo ad esempio Bitlocker, Veracrypt o DM-Crypt . Usare passcode/password su tutti i dispositivi. Crittografare tutti i dispositivi elettronici mobili in un modo che richiede l'inserimento di una password complessa per la decrittografia. Utilizzare l'autenticazione a più fattori. Attivare le funzionalità dei dispositivi mobili che consentono loro di essere localizzati in caso di perdita o spostamento errato. Utilizzare il software/app MDM Mobile Devices Management e la localizzazione. Utilizzare filtri antiriflesso. Chiudere tutti i dispositivi non presidiati. Se possibile e appropriato al trattamento dei dati in questione, salvare i dati personali non su un dispositivo mobile, ma su un server back-end centrale. Se la workstation è collegata alla LAN aziendale, eseguire un backup automatico dalle cartelle di lavoro a condizione che sia inevitabile che i dati personali siano archiviati lì Utilizzare una VPN sicura ad esempio che richiede una chiave di autenticazione a secondo fattore separata per la creazione di una connessione sicura per connettere i dispositivi mobili ai server back-end. Fornire blocchi fisici ai dipendenti per consentire loro di proteggere fisicamente i dispositivi mobili che utilizzano mentre rimangono non presidiati. Corretta regolamentazione dell'utilizzo del dispositivo al di fuori dell'azienda. Corretta regolamentazione dell'utilizzo del dispositivo all'interno dell'azienda. Utilizzare il software/app MDM Mobile Devices Management e abilitare la funzione di cancellazione remota. Utilizzare la gestione centralizzata dei dispositivi con diritti minimi per l'installazione del software da parte degli utenti finali. Installare i controlli di accesso fisici. Evitare di archiviare informazioni sensibili in dispositivi mobili o dischi rigidi. Se è necessario accedere al sistema interno dell'azienda, è necessario utilizzare canali sicuri come indicato in precedenza. MISPOSTAL La fonte del rischio è un errore umano interno anche nel caso di specie, ma in questo caso nessuna azione dolosa ha portato alla violazione. È il risultato della disattenzione. Poco può essere intrapreso dal titolare del trattamento dopo che è accaduto. Quindi in queste situazioni la prevenzione è ancora più importante rispetto ad altri tipi di violazione. CASO numero 13 Errore postale fatture scarpe Due ordini di scarpe sono stati confezionati da una società di vendita al dettaglio. A causa di un errore umano, due fatture di imballaggio sono state confuse con il risultato che entrambi i prodotti e le relative fatture di imballaggio sono stati inviati alla persona sbagliata. Ciò significa che i due clienti hanno ricevuto gli ordini l'uno dell'altro, comprese le fatture di imballaggio contenenti i dati personali. Dopo essere venuto a conoscenza della violazione, il titolare del trattamento ha richiamato gli ordini e li ha inviati ai destinatari giusti. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si No No CASO numero 14 Dati personali strettamente riservati inviati per posta per errore Il dipartimento per l'impiego di un ufficio della pubblica amministrazione ha inviato un messaggio di posta elettronica sui prossimi corsi di formazione alle persone registrate nel suo sistema come persone in cerca di lavoro. Per errore, a questa e-mail è stato allegato un documento contenente tutti i dati personali di queste persone in cerca di lavoro nome, indirizzo email, indirizzo postale, numero di previdenza sociale . Il numero di individui colpiti è superiore a 60.000. Successivamente l'ufficio ha contattato tutti i destinatari e ha chiesto loro di cancellare il messaggio precedente e di non utilizzare le informazioni in esso contenute. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si Si Si CASO numero 15 Dati personali inviati per posta per errore Un elenco dei partecipanti a un corso di inglese legale che si svolge in un hotel per 5 giorni viene inviato per errore a 15 ex partecipanti del corso invece che all'hotel. L'elenco contiene nomi, indirizzi e-mail e preferenze alimentari delle 15parti. Solo due partecipanti hanno compilato le loro preferenze alimentari, affermando di essere intolleranti al lattosio. Nessuno dei partecipanti ha un'identità protetta. Il titolare del trattamento copre l'errore immediatamente dopo l'invio dell'elenco e informa i destinatari dell’errore e chiede loro di eliminare l'elenco. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si No No CASO numero 16 Errore postale lettera assicurazione Un gruppo assicurativo offre assicurazioni auto. A tal fine, invia per posta le polizze contributive regolarmente adeguate. La lettera contiene, oltre al nome e all'indirizzo del contraente, il numero di targa del veicolo senza cifre mascherate, le tariffe assicurative dell'anno assicurativo in corso e quello successivo, il chilometraggio annuo indicativo e la data di nascita del contraente. Sono esclusi i dati sanitari ai sensi dell'articolo 9 GDPR, i dati di pagamento coordinate bancarie , i dati economici e finanziari. Le lettere vengono imballate da macchine imbustatrici automatizzate. A causa di un errore meccanico, due lettere per diversi assicurati vengono inserite in un’unica busta e inviate a un assicurato per posta. L'assicurato apre la lettera a casa e contemporaneamente vede sia la lettera a lui correttamente inviata sia la lettera destinata a un altro assicurato recapitata a lui per sbaglio. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si Si No Ricapitolando nel caso 13 a causa di un errore umano si verifica lo scambio dei dati di fatturazione delle scarpe nel caso 14 a causa di un errore umano viene spedito a ciascuno degli oltre 60.000 disoccupati del registro dell’ufficio mittente l’elenco con i dati strettamente riservati di tutti i disoccupati registrati che sono appunto oltre 60.000 persone nel caso 15 a causa di un errore umano viene spedito agli ex studenti del corso di inglese legale l’elenco degli attuali partecipanti con dati personali e preferenze alimentari nel caso 16 a causa di un errore delle macchine imbustatrici viene recapitata al destinatario sbagliato una lettera di proposta di polizza assicurativa contenente nome, indirizzo e data di nascita di altro automobilista unitamente al numero di targa e al tasso assicurativo personalizzato. “ Misure preliminari e valutazione dei rischi” Violazione della riservatezza, dell’integrità e della disponibilità e Verifica dell’esistenza del rischio di danni agli interessati. Si tratta prevalentemente di violazioni della riservatezza dovute a errore umano disattenzione da correggere con la formazione oppure ad errore della macchina difetto da riparare . Negli esempi esaminati si è registrato un elevato livello di rischio unicamente nel caso 14 perchè sono stati spediti a destinatari errati informazioni strettamente riservate posizione di disoccupato+dati identificativi+numero previdenza sociale e questi destinatari errati erano oltre 60.000 ovvero un rilevante numero di violazioni. Gli oltre 60.000 interessati lesi del caso 14 sono restati esposti a danni patrimoniali truffe , non patrimoniali furti di identità, frodi a danni discriminatori. Tuttavia, il mispostal è assai difficilmente recuperabile da parte del titolare del trattamento perchè ormai le lettere o le e.mail sono state spedite e non si possono richiamare indietro. Cosa può fare il titolare per mitigare gli effetti negativi? In realtà, veramente poco può chiedere ai destinatari errati la cancellazione della lettera e avvisarli del divieto di diffusione ma non potrò mai avere la certezza che tutti abbiano soddisfatto tali richieste. Il caso 13 errato scambio fatture tra 2 acquirenti di scarpe non presenta alcun rischio. Il caso 15 errato invio elenco partecipanti al corso di inglese giuridico con due interessati intolleranti al lattosio presenta un rischio basso perchè gli errati invii sono un numero minimo e il dato di salute dell’intolleranza al lattosio non pare avere connotazioni sensibili come indicare una credenza filosofica o religiosa. Inoltre il titolare è subito intervenuto ricontattando i destinatari e pregandoli di cancellare circostanza attenuante . Il caso 16 errato invio proposta di polizza all’automobilista sbagliato con dati personali+numero targa+tasso assicurativo personalizzato presenta un rischio tra basso e medio perchè la probabilità di uso improprio di questi dati è minima. Tuttavia, non si può ignorare che mentre molti destinatari getteranno la lettera nella spazzatura, altri potrebbero pubblicarla sui social network o contattare l'assicurato. Decisione tra fare unicamente la registrazione interna oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati . Alla luce di quanto sopra osservato, possiamo dedurre i seguenti obblighi di notificazione. Caso 13/rischio zero solo registrazione. Caso 14/rischio elevato registrazione, notifica al Garante, comunicazione agli interessati. Caso 15/rischio basso solo registrazione. Caso 16/rischio basso-medio registrazione, notifica al Garante. “Misure organizzative e tecniche per prevenire/mitigare gli impatti di mispostal” traduzione del testo dell’EDPB Una combinazione delle misure di seguito menzionate, applicate a seconda delle caratteristiche uniche del caso, dovrebbe contribuire a ridurre la possibilità che si verifichi una violazione simile. Misure consigliate L'elenco delle seguenti misure non è affatto esclusivo o completo. Piuttosto, l'obiettivo è quello di fornire idee di prevenzione e possibili soluzioni. Ogni attività di trattamento è diversa, quindi il responsabile del trattamento dovrebbe decidere quali misure si adattano maggiormente alla situazione data. Stabilire standard esatti senza spazio per l'interpretazione per l'invio di lettere / e-mail. Adeguata formazione del personale sulle modalità di invio di lettere/e-mail. Quando si inviano e-mail a più destinatari, questi sono elencati nel campo Ccn per impostazione predefinita. È necessaria una conferma aggiuntiva quando si inviano e-mail a più destinatari e non sono elencati nel campo ccn . Applicazione del principio dei quattro occhi. Indirizzamento automatico anziché manuale, con dati estratti da un database disponibile e aggiornato il sistema di indirizzamento automatico dovrebbe essere regolarmente rivisto per verificare la presenza di errori nascosti e impostazioni errate. Applicazione del ritardo del messaggio ad es. il messaggio può essere cancellato / modificato entro un certo periodo di tempo dopo aver fatto clic sul tasto di pressione . Disabilitazione del completamento automatico durante la digitazione degli indirizzi di posta elettronica. Sessioni di sensibilizzazione sugli errori più comuni che portano a una violazione dei dati personali. Sessioni di formazione e manuali su come gestire gli incidenti che portano a una violazione dei dati personali e su chi informare coinvolgere il DPO . ALTRI CASI. SOCIAL ENGINEERING La fonte del rischio in questi casi vengono riportati due esempi caso 17 e caso 18 è costituita dalla possibilità di raggirare social engineering le persone per esfiltrare dati che servono per realizzare ulteriori illeciti come furti di identità, frodi, danni patrimoniali, danni non patrimoniali es. favorire lo stalking grazie alla disposizione in chiaro di informazioni personali . Minori sono le misure di prevenzione contro il social engineering e maggiore è la possibilità di esfiltrare dati. Pertanto, al fine di evitare il raggiro dell’operatore incaricato di verificare l’identità del richiedente cliente o fornitore , il titolare deve adottare meccanismi di riconoscimento “analogico” del cliente o del fornitore non fondati su informazioni comuni facilmente reperibili ma su informazioni complesse e personalizzate altrimenti l’aggressore riesce a superare il controllo effettuato dal dipendente o dall’operatore del call center . Si tratta di una violazione della riservatezza accompagnata, a seconda dei casi, anche dalla violazione della disponibilità e dell’integrità. Implica gravi danni per gli interessati come perdite finanziarie, furto di identità, frodi, esposizione a stalking o ad aggressioni fisiche scoperta dell’indirizzo di casa . CASO numero 17 Furto di identità Il contact center di una società di telecomunicazioni riceve una telefonata da qualcuno che si finge un cliente. Il presunto cliente richiede all'azienda di cambiare l'indirizzo e-mail a cui devono essere inviate le informazioni di fatturazione da lì in poi. L’operatore del contact center convalida l'identità del cliente richiedendo alcuni dati personali, come definito dalle procedure dell'azienda. Il chiamante indica correttamente il numero fiscale e l'indirizzo postale del cliente perché ha avuto accesso a questi elementi . Dopo la convalida, l'operatore effettua la modifica richiesta e, da lì in poi, le informazioni di fatturazione vengono inviate al nuovo indirizzo e-mail. La procedura non prevede alcuna notifica al precedente contatto di posta elettronica. Il mese successivo il cliente legittimo contatta l'azienda, chiedendo perché non riceve la fatturazione al suo indirizzo e-mail e nega qualsiasi chiamata da parte sua che richiedesse la modifica del contatto e-mail. Successivamente, l'azienda si rende conto che le informazioni sono state inviate a un utente illegittimo e annulla la modifica. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si Si Si CASO numero 18 Esfiltrazione di e.mail Una catena di ipermercati ha rilevato, 3 mesi dopo la sua configurazione, che alcuni account di posta elettronica erano stati modificati ed erano state create regole in modo che ogni e-mail contenente determinate espressioni ad esempio fattura , pagamento , cablaggio bancario , autenticazione della carta di credito , dettagli del conto bancario sarebbe stata spostata in una cartella inutilizzata e inoltrata anche a un indirizzo e-mail esterno. Inoltre, a quel tempo, era già stato eseguito un attacco di ingegneria sociale, vale a dire che l'aggressore, fingendosi un fornitore, aveva fatto modificare i dettagli del conto bancario dell’autentico fornitore con quelli del proprio conto bancario. Infine, a quel tempo, erano state inviate diverse fatture false che includevano i dettagli del nuovo conto bancario. Il sistema di monitoraggio della piattaforma di posta elettronica ha finito per dare un avviso in merito alle cartelle cartella inutilizzata e deviazione a indirizzo mail esterno . La società non è stata in grado di rilevare come l'aggressore sia stato in grado di accedere agli account di posta elettronica che gli hanno consentito di avviare l’attività illecita, ma ha supposto che tutto ciò sia potuto accadere mediante l’invio di un'e-mail infetta che poi è stata ingenuamente aperta e ha dato accesso al gruppo di utenti responsabili dei pagamenti. A causa dell’inoltro delle e-mail basato sulle parole chiave, l'aggressore ha ricevuto informazioni su 99 dipendenti nome e retribuzione di un determinato mese per quanto riguarda 89 interessati nome, stato civile, numero di figli, salario, orario di lavoro e informazioni rimanenti sulla ricevuta salariale di 10 dipendenti i cui contratti erano scaduti. Il titolare ha informato solo i 10 dipendenti appartenenti a quest'ultimo gruppo. AZIONI NECESSARIE IN BASE AI RISCHI IDENTIFICATI Registrazione interna Notifica al Garante Comunicazione agli interessati Si Si Si Ricapitolando nel caso 17 si considera il raggiro contro un operatore del call center che ha fruttato all’aggressore i dati di fatturazione del cliente autentico nel caso 18 si considera il raggiro contro un operatore che ha fruttato all’aggressore il dirottamento sul proprio conto bancario dei compensi dell’autentico fornitore sempre nel caso 18, il sabotaggio del servizio di posta elettronica ha fruttato all’aggressore i dati di 99 dipendenti per 89 nome e retribuzione di un determinato mese per 10 nome, stato civile, numero di figli, salario, orario di lavoro e informazioni rimanenti sulla ricevuta salariale . “ Misure preliminari e valutazione dei rischi” Violazione della riservatezza, dell’integrità e della disponibilità e Verifica dell’esistenza del rischio di danni agli interessati. Riprendendo il discorso dell’introduzione, la valutazione del rischio dipende dalla presenza o meno nella struttura delle misure preventive adeguate. Purtroppo, in entrambi i casi il titolare del trattamento non aveva assunto efficaci misure preventive e quindi il rischio si è attestato elevato. Nel caso 17 il cliente a cui sono stati esfiltrati i dati di fatturazione è stato esposto a possibili pregiudizi di tipo patrimoniale perdite finanziarie , di tipo non patrimoniale ulteriori furti di identità, frodi, stalking , di tipo fisico attentati all’integrità fisica grazie alla scoperta dell’indirizzo di casa . Nel caso 18, il fornitore a cui sono stati esfiltrati i dati di fatturazione con dirottamento sul conto bancario dell’aggressore ha subito indubbiamente danni patrimoniali. Sempre nel caso 18, i 99 dipendenti a cui sono stati esfiltrati dati personali e salariali sono stati esposti a possibili pregiudizi di tipo patrimoniale perdite finanziarie , di tipo non patrimoniale ulteriori furti di identità, frodi, stalking , di tipo fisico attentati all’integrità fisica grazie alla scoperta dell’indirizzo di casa . Decisione tra fare unicamente la registrazione interna oppure notificare al Garante o ancora notificare al Garante e comunicare agli interessati . Alla luce di quanto sopra osservato, possiamo dedurre i seguenti obblighi di notificazione. Caso 17/rischio elevato registrazione, notifica al Garante, comunicazione all’interessato. Caso 18/rischio elevato registrazione, notifica al Garante, comunicazione agli interessati. “Misure organizzative e tecniche per prevenire / mitigare gli impatti del social engineering” Il social engineering è una pratica non facilmente tamponabile. Tuttavia possiamo individuare delle misure di contenimento come ad esempio criteri di autenticazione del cliente e/o del fornitore fondati su informazioni personalizzate non facilmente rintracciabili criteri di autenticazione a più fattori ovvero, oltre alle informazioni personalizzate, stabilire che per verificare la richiesta di modifica dell’e.mail occorre inviare una richiesta di conferma al primo contatto aggiungere ulteriori domande e richiedere informazioni visibili solo sulle fatture precedenti perfezionamento degli avvisi del sistema elettronico di monitoraggio per ricevere un allarme non appena venga creata una regola automatica nella posta elettronica oppure, in alternativa, rimuovere il diritto per gli utenti di impostare regole di inoltro, richiedendo che il team del servizio IT lo faccia solo su richiesta enfatizzare le revisioni dell'automazione e i controlli delle modifiche, il rilevamento degli incidenti e le misure di risposta.