Cosa deve fare un’azienda in caso di data breach e violazione della privacy

Onda (Pixabay)
Onda (Pixabay)

Il 14 gennaio il comitato dei garanti europei per la protezione dei dati (Edpb) ha pubblicato le sue linee guida per aiutare aziende e professionisti in caso di data breach. Aperto a feedback fino al 2 marzo, questo documento include esempi più pratici rispetto al precedente pubblicato nel 2017 e tiene conto dell’evoluzione degli attacchi informatici degli ultimi anni.

Il data breach, ricordiamolo, può prevedere una “violazione della riservatezza” – quando c’è una divulgazione non autorizzata o accidentale di, o accesso, ai dati personali; una “violazione dell’integrità” – quando si verifica un’alterazione non autorizzata o accidentale dei dati personali; una “violazione della disponibilità” – quando c’è una perdita accidentale o non autorizzata di accesso o distruzione di dati personali. I danni possono andare dalla mera divulgazione della propria mail ad azioni di phishing, prelievi dal conto corrente, rivelazioni di informazioni riservate.

A seconda della gravità del data breach, che può derivare da un attacco mirato o essere del tutto fortuito, il regolamento europeo sui dati personali, il Gdpr, prevede tre possibilità tra loro cumulabili (articoli 33 e 34): la documentazione interna dell’accaduto, la comunicazione al garante se si ravvisa un rischio per i diritti e le libertà degli interessati e la comunicazione agli interessati se questo rischio è considerato alto. Nella comunicazione, che va fatta entro 72 ore dal momento in cui si venga a conoscenza dell’accaduto, va descritta la natura della violazione indicando il tipo di dati interessati (se ad esempio si tratta di dati particolari), il numero, le circostanze, le probabili conseguenze della violazione e le misure adottate o proposte dal responsabile del trattamento per affrontare la violazione dei dati personali, comprese, se del caso, le misure per mitigarne i possibili effetti negativi. 

Poiché tale valutazione non è semplice da fare e deve tenere in considerazione diversi fattori, il comitato dei garanti ha proposto nelle sue linee guida diciotto esempi che comprendono casi tipici come i ransomware, attacchi di esfiltrazione di dati, perdite di dati dovute all’errore umano, perdita o furto di dati su dispositivi e documenti cartacei, ingegneria sociale.

Ransomware

Il ransomware è un tipo di malware che cifra il database di un’azienda per poi permettere a chi ha perpetrato l’attacco di chiedere un riscatto in cambio della chiave di decriptazione. Se apparentemente un caso come questo potrebbe far pensare alla necessità di dover avvertire subito il Garante e tutti i propri clienti, il comitato suggerisce che altra potrebbe essere la strada, a certe condizioni. Se i dati “sequestrati” fossero già cifrati, fosse disponibile un backup sicuro di tutti i dati in modo da recuperare tutti i dati in poche ore e senza che nessuno degli interessati abbia risentito dell’attacco, per il comitato non c’è un rischio particolare e sarà sufficiente documentare l’accaduto.

Le cose cambiano però se si modificano un po’ le condizioni. Nel caso in cui, per esempio, i dati non fossero stati criptati dall’azienda, se anche il titolare del trattamento non avesse individuato, dall’analisi dei log di sistema, una fuoriuscita dei dati, resterebbe aperta la porta che questa sia potuta avvenire senza lasciare traccia.

Altro fattore da tenere in considerazione è la natura e il numero dei dati, e se siano da considerare dati particolari, come quelli sulla salute, la religione, le preferenze politiche o sessuali

Allo stesso tempo, se l’unico backup disponibile fosse cartaceo, il parere dei garanti europei terrebbe in considerazione il tempo necessario per il ripristino dei dati, l’impossibilità di recuperare i metadati e la difficoltà di ristabilire la giusta correlazione tra gli stessi. Il tempo necessario al ripristino potrebbe ad esempio rallentare il pagamento degli stipendi dei dipendenti. In questo scenario dunque sarebbe necessario notificare l’avvenuto data breach al Garante ma non necessariamente all’interessato. Se i dati in questione fossero migliaia e appartenessero ai pazienti di un ospedale sarebbe invece necessaria anche la comunicazione agli interessati visto il tipo di dati violati (dati sanitari) e l’impatto generato sui diritti degli interessati, come per esempio lo spostamento di operazioni chirurgiche.

Il comitato suggerisce dunque di tenere aggiornati i sistemi, tenere traccia dei log di sistema, isolare i sistemi per limitare la propagazione del malware, usare la crittografia e delle password forti, avere un backup distaccato dal resto del sistema, fare dei test di vulnerabilità. Da ultimo formare un Computer security incident response team (Csirt) o un Computer emergency response team (Cert) e creare un Incident response plan, un Disaster recovery plan e un Business continuity plan. Avere procedure pronte da consultare e team dedicate agli attacchi di questo tipo può notevolmente ridurre i danni, soprattutto se parliamo di strutture critiche come gli ospedali.

Attacchi di esfiltrazione di dati

In caso di attacchi che comportino l’esfiltrazione di dati personali, la cifratura di questi può fare la differenza. In caso siano compromesse delle password cifrate, non sarebbe necessaria alcuna notifica. Sicuramente aiuterebbero sempre sistemi che impediscono un brute-force attack, un attacco in cui il malintenzionato prova diverse password fino a indovinare quella giusta.

All’opposto, nel caso si trattasse dei dati del personale di una banca, e le password fossero in chiaro e facilmente indovinabili, la notifica sarebbe obbligatoria. Sulle password il comitato suggerisce dunque l’adozione dell’autenticazione a due fattori, un massimo numero di tentativi consentiti quando si sbaglia la password, una policy sulle password (numero e tipo di caratteri, aggiornamento periodico..) e una policy che regoli i permessi consentiti a ogni dipendente in base alle responsabilità.

Fonte interna di rischio

Un caso classico è invece quello del dipendente uscente che si copia mail e numeri di telefono dei clienti in portfolio per contattarli successivamente. Benché possa essere considerato quasi qualcosa di inevitabile, il comitato prevede in questo caso una segnalazione al garante. Il motivo è che non si può escludere a priori che questi dati siano pubblicati e diffusi. Per ridurre al massimo questo tipo di rischio si può prevedere una clausola apposita nel contratto, registrare i log di accesso dopo che un dipendente ha segnalato l’intenzione di andarsene, attivare le vie legali con un’ingiunzione di cancellazione di ogni dato copiato.

Il comitato consiglia anche di non usare dei meri file Excel per la conservazione dei dati ma piuttosto di preferire dei software gestionali che permettano anche una gerarchia degli accessi. Nel caso di dati sensibili, è poi opportuno prevedere l’inserimento di una causale quando il dipendente chiede l’accesso e il tracciamento dell’uso di chiavette USB o dispositivi di archiviazione esterni.

Perdita o furto di device o documenti cartacei

Altro avvenimento che statisticamente succederà è il furto o lo smarrimento di device esterni come tablet, smartphone e computer. Il comitato suggerisce che nel caso in cui i device siano cifrati, protetti da una password forte e i dati siano cancellabili da remoto appena avvenuto l’evento, sarà sufficiente la documentazione del fatto senza bisogno di alcuna notifica.

Al contrario, il furto di documenti cartacei con dati sensibili come quelli sanitari, dovrebbe essere segnalato sia all’autorità che agli interessati. Da notare dunque come, a seconda delle misure di protezione messe in campo, non necessariamente la digitalizzazione dei dati costituisca un maggior rischio rispetto alla documentazione cartacea.

Disattenzione

Altro caso molto diffuso è quello dell’invio di posta, fisica o elettronica, al destinatario sbagliato. Nel caso si tratti di posta fisica, secondo il comitato la condivisione per errore dell’indirizzo, del nome e del bene, non dovrebbe comportare rischi meritevoli di notifica al garante. Diverso il caso in cui a essere condivisi per errore siano migliaia di dati inviati ad alcuni destinatari. In questo caso, il numero e il tipo di dati condivisi (nome, email, indirizzo di residenza, codice fiscale) comporta la comunicazione al garante e agli interessati. Anche in questo caso, infatti, non si può essere certi che non verranno condivisi illecitamente, nonostante si sia trattato di un errore. 

Occorre ricordare che ogni caso va considerato a sé in base alle circostanze. Lo stesso tipo di condivisione per errore di un dato sanitario a una decina di persone potrebbe non costituire un problema. Nel caso citato si parla della condivisione dell’intolleranza al lattosio di due persone. Visto il basso numero di persone con cui si è condiviso il dato e visto che questo non è riconducibile ad altri dati sensibili come quello religioso, il rischio per gli interessati è pressoché nullo. Tra i suggerimenti proposti c’è quello di usare sistemi che permettono di annullare l’invio di un messaggio entro qualche secondo in caso di ripensamento e di inserire i destinatari in copia conoscenza nascosta. 

Ingegneria sociale

Le tecniche di ingegneria sociale studiano il comportamento della vittima per carpirne delle informazioni. Una delle sue manifestazioni può essere il furto di identità. Nel caso presentato l’attaccante chiama la compagnia telefonica fingendosi la vittima e chiede al call center di mandare le fatture della vittima  a un altro indirizzo email. Fornisce i dati richiesti già in suo possesso, l’indirizzo di residenza e il codice fiscale, e ottiene il cambio di indirizzo. All’indirizzo email della vittima non viene mandata nessuna notifica dell’avvenuto cambio.

In questo caso, la combinazione del tipo di dati dati richiesti e dell’assenza di ogni notifica alla vittima rendono l’attacco molto semplice. L’attaccante potrebbe, dal documento così ottenuto, ottenere più informazioni sulla vittima oppure usarle per altri scopi, come l’apertura di un’attività online in cui spesso si chiede di inviare la prova di una bolletta. In questo caso il comitato vede un alto rischio per l’interessato e dunque indica la necessità di una notifica al garante e all’interessato. La procedura di autenticazione a distanza necessita di essere rivista, per esempio, mandando in tempo reale un link alla mail originale chiedendo alla persona di cliccarci per poter procedere. 

Aggiornamento costante per limitare i data breach

Questo documento dell’Edpb fornisce indicazioni molto utili su come comportarsi in diversi scenari, alcuni dei quali come abbiamo detto sono quasi inevitabili nella vita di un’azienda. È importante tenere a mente che non esiste la procedura perfetta e che dunque ogni valutazione andrà fatta caso per caso in base alle circostanze, alle misure tecniche e organizzative messe in piedi e al loro stato dell’arte, alla possibilità di riparare il danno in breve tempo o meno, al numero e al tipo di dati che sono stati compromessi. Nella privacy e nella sicurezza informatica non si può mai smettere di aggiornarsi per poter anticipare al meglio i rischi di un data breach.

The post Cosa deve fare un’azienda in caso di data breach e violazione della privacy appeared first on Wired.