Si è parlato del ransomware che ha criptato i dati della Regione come un attacco potente, senza precedenti, quasi terroristico, sono stati usati titoli sensazionalistici e toni da fine del mondo.
Ma quello che si è verificato è stato veramente così inatteso?
Vediamo che cosa è successo e soprattutto quale insegnamento possiamo trarne.
Di potente e senza precedenti, in questo data breach, in verità c’è ben poco.
Gli attacchi ransomware, ovvero i tentativi di entrare nei sistemi informativi altrui mediante un malware che cripta il data base allo scopo di chiedere un riscatto (ransom, in inglese), sono ormai effettuati su base seriale e industriale.
Chi lavora nella cybersecurity è solito ripetere che il rischio zero non esiste (come non esiste nella vita reale in nessuna attività umana) e che qualsiasi sistema informatico si divide sostanzialmente in due grandi categorie: chi ha già subito un attacco informatico di successo, e chi non lo ha ancora subito.
>> Leggi tutti gli articoli in tema di Cybersecurity
Per quanto riguarda nello specifico le Pubbliche Amministrazioni, vale la pena di ricordare gli attacchi recenti ai Comuni di Rho e di Brescia e soprattutto tenere presente che secondo l’ultimo rapporto Clusit 2021, il settore pubblico è stato uno degli obiettivi più colpiti nel 2020 ed il trend non può che essere in crescita, così come lo è in generale per tutto il cybercrime, che al momento è la terza economia mondiale (dopo Cina e Stati Uniti) per “fatturato” ed è destinata a scalare la classifica.
È stato confermato dalla Regione che il ransomware è partito dal computer di un dipendente in remote working, senza fornire ulteriori specifiche e pare sia già stato richiesto un riscatto, pari a 5 milioni di euro in bitcoin.
Fino a qui, dunque, nulla di eccezionale.
Consigliamo
Casi e questioni di data breach – e-Book in formato zip
I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati. Per questa ragione, anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato negli ultimi anni una serie di provvedimenti che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative. L’ebook analizza una serie di casi pratici di violazioni e fornisce i modelli di notifica da utilizzare per la relativa segnalazione. Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della Cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2021 Maggioli Editore
14.90 € 12.67 €
Il problema semmai sta nel fatto che la Regione non ha un backup dei dati off line e dunque il backup, anch’esso online, è stato criptato insieme con il data base principale. Questo significa che, a meno di non pagare il riscatto richiesto (cosa che i vertici della Regione hanno già dichiarato di non voler fare), sarà impossibile recuperare i dati criptati. È come se si trovassero in una cassaforte di cui nessuno, a parte gli hacker, possiede la chiave o la combinazione.
Al momento in cui si scrive non risultano esfiltrazioni di dati, cioè i dati criptati non circolano nel web alla mercé di chiunque, ma il Garante è stato informato ed ha aperto formalmente il data breach, come previsto dagli artt. 32 e 33 del GDPR, il che potrebbe comportare oltre alla beffa (si fa per dire) l’ulteriore conseguenza negativa di una sanzione in caso venga accertato che non sono stati rispettati i principi di accountability e di data protection by design e by default stabiliti dal GDPR.
Il vero tema di questo, come di altri, data breach sta nella prevenzione e nella reazione.
Prevenzione, che vuol dire non solo adeguamento al GDPR da un punto di vista formale, documentale e procedurale, ma soprattutto in tema di cybersecurity, che è il vero pilastro su cui si fonda la protezione dei dati così come pensata dal Regolamento UE 679/16, e così configurazione dei server, acquisto di software di protezione, presenza di backup adeguati e aggiornati, resilienza dei sistemi, ridondanza, policy di BYOD, navigazione in sicurezza, aggiornamento continuo, formazione del personale ed ogni altra misura tecnica ritenuta adeguata.
Reazione, che vuol dire presenza di una policy di disaster recovery preventivamente approvata e testata, per reagire all’attacco, sapere chi deve fare cosa e rispondere nei tempi più brevi possibili.
Infine, ricordiamo che il GDPR prevede una serie di obblighi preventivi e reattivi, e tra questi ultimi una serie di comunicazioni istituzionali da effettuare non solo al Garante per la Protezione dei Dati Personali, ma anche agli interessati i cui dati sono rimasti coinvolti nel data breach, qualora la violazione comporti rischi per i diritti e le libertà fondamentali delle persone.
In conclusione, la gravità di questo attacco non sta nell’attacco in sé, che come abbiamo visto è stato piuttosto banale e molto diffuso, ma nel modo in cui la Regione sarà in grado di affrontarlo e di risolverlo, dipendendo da ciò alternativamente conseguenze estremamente gravi (e allora sì che si potrà parlare di attacco “senza precedenti”) oppure soltanto molto rumore per nulla, un brutto quarto d’ora, ma nulla di più.
Corso on-line
Rimani AGGIORNATO!
Scrivi un commento
Accedi per poter inserire un commento