L'EDPB (European Data Protection Board) ha pubblicato nuove linee guida sul data breach per la consultazione pubblica

Il documento pubblicato integra le linee guida del 2017 adottate in materia di data breach dal Gruppo di lavoro ex Art. 29 (Guidelines on Personal data breach notification under Regulation 2016/679, WP 250).

Le nuove linee guida forniscono ai Titolari del trattamento un utile strumento per agevolare l'individuazione delle ipotesi in cui, a causa di un incidente di sicurezza o di altri comportamenti contrari alle prescrizioni dei sistemi di compliance aziendali, si verifichi una violazione dei dati personali appartenenti a persone fisiche.

Come noto le norme del GDPR hanno avuto notevoli problemi interpretativi nella loro attuazione giacché la notifica del data breach alle Autorità di controllo non è necessaria qualora "sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche" (art. 33) così come la comunicazione dell'incidente alle persone interessate non è sempre necessaria se sproporzionata o perché in concreto non ha comportato rischi rilevanti o poi il Titolare ha adottato gli opportuni rimedi (si veda in tal senso l'art. 34).

Le nuove linee Guida hanno il pregio di sforzarsi nel delineare, con una serie di esempi pratici, le ipotesi in cui la gravità del data breach può rendere obbligatoria la notifica all'Autorità di controllo e/o la comunicazione dell'incidente alle persone fisiche interessate.

Le linee guida contengono inoltre una serie di prescrizioni e consigli sulle misure tecniche e organizzative da adottare per prevenire le violazioni e mitigare i rischi.

Si ricorda che il GDPR all'art. 4 definisce la "violazione dei dati personali" come "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati"; come precisato dal gruppo di lavoro art. 29, le conseguenze delle violazioni possono quindi essere categorizzate in perdita di riservatezza, integrità o disponibilità dei dati personali.

Il Titolare del trattamento ha l'obbligo di

(i) documentare qualsiasi violazione dei dati personali,

(ii) notificare la violazione dei dati personali all'autorità di controllo, a meno che sia improbabile che comporti un rischio per i diritti e le libertà delle persone fisiche

(iii) comunicare la violazione agli interessati quando questa possa comportare un rischio elevato per i diritti e le libertà degli stessi.

Modalità operative in caso di data breach

I data breach sono sintomi di un sistema di gestione della sicurezza dei dati inefficiente ed a volte vulnerabile a causa del mancato aggiornamento tecnologico dei sistemi.

La prevenzione inizia quindi dall'implementazione di validi presidi di sicurezza anche sotto il profilo organizzativo, ma anche, come affermato dal gruppo di lavoro Art. 29 nelle linee guida su menzionate, dalla pianificazione e attuazione di processi e procedure in grado di rilevarli rapidamente.

A tal fine il Titolare del trattamento è tenuto ad adottare un'apposita procedura sul tema del data breach contenente le istruzioni che consentano di identificare celermente una violazione, di porre in essere le azioni necessarie al fine di limitarne per quanto possibile le conseguenze negative, nonché di adempiere prontamente agli obblighi legge.

La rapidità di risposta ed azione sono infatti centrali, sia perché gli obblighi di notifica sono particolarmente stringenti in termini di tempistiche (72 ore dal momento in cui il Titolare sia venuto a conoscenza della violazione), sia perché la celerità nell'identificazione della violazione può essere cruciale per impedire che la stessa sia portata a conseguenze ulteriori ovvero che la vulnerabilità, soprattutto se riguarda sistemi di trattamento digitale dei dati, si protragga nel tempo.

Il Titolare del trattamento, a valle dell'istruttoria che i tecnici e la sua funzione compliance dovrebbero aver attivato sulla base della predetta procedura, può così essere celermente edotto riguardo la fonte del rischio, i sistemi compromessi, la tipologia di dati personali coinvolti e, cosa assai rilevante per le successive decisioni, le potenziali conseguenze del data breach sui diritti e le libertà degli interessati.

Ripercorrendo quanto disposto dalle nuove linee guida, che per ora sono state sottoposte a consultazione solo in lingua inglese, passiamo ad analizzare varie tipologie di data breach e, sulla scorta delle indicazioni fornite dall'EDPB, le risposte più adeguate da intraprendere da parte dei Titolari del trattamento per porre in essere adeguati interventi di mitigazione delle vulnerabilità e dei rischi da cui l'incidente è scaturito.

Attacchi Ransomeware

Un ransomware è una tipologia di malware che limita la disponibilità del dispositivo e dei sistemi informatici che infetta, bloccandovi l'accesso e/o crittografando i dati in esso contenuti.

Attacchi Ransomeware in presenza di idonei sistemi di backup e in assenza di esfiltrazione di dati

In caso di attacchi ransomeware, al fine valutare la necessità di notificare la violazione all'Autorità ed eventualmente di comunicarla agli interessati devono essere tenute in considerazione una serie di variabili.

La presenza di un sistema di crittografia dei dati può risultare essenziale al fine di evitare, in caso di esfiltrazione, l'accesso e l'utilizzo di tali dati. Se la visibilità è consentita solo tramite una chiave di lettura nella disponibilità dei soggetti autorizzati l'autore dell'attacco non potrà né vedere in chiaro il contenuto né tanto meno utilizzarlo per fini illeciti.

In secondo luogo, è di primaria importanza possedere un idoneo sistema di backup, in modo da ridurre al minimo l'indisponibilità dei dati crittografati a seguito di un attacco.

La capacità di ripristinare tutte le informazioni nel più breve tempo possibile consente infatti di ridurre al minimo le conseguenze per gli interessati.

Il sistema dovrebbe essere

(i) separato dal sistema principale, in modo da non patire le conseguenze dell'attacco, (ii) costantemente aggiornato (iii) ed in grado di operare in un breve lasso di tempo.

Una corretta gestione delle patch, l'utilizzo di un adeguato sistema di rilevamento anti-malware, unita ad un'appropriata formazione e sensibilizzazione dei dipendenti contribuiranno ad una rapida individuazione dell'attacco da parte del Titolare. Lo step successivo sarà quindi il ripristino dei dati crittografati tramite backup ed una analisi dei log che consenta di verificare un'eventuale esfiltrazione.

A quest'ultimo proposito si consideri che gli attacchi più sofisticati consentono di modificare i file di log, rimuovendone ogni traccia. Pertanto, anche dopo un'indagine approfondita che abbia determinato l'assenza di esfiltrazione da parte dell'aggressore, il Titolare del trattamento potrebbe non essere in grado di sapere con certezza se un'esfiltrazione sia stata o meno perpetrata, con evidenti conseguenze sul piano della riservatezza degli interessati.

In caso di incertezza sulle specifiche dell'accesso illegittimo, pertanto, deve essere sempre considerato lo scenario peggiore e valutare il rischio di conseguenza.

Questo ragionamento viene meno ove il Titolare abbia adottato un sistema di crittografia accessibile solo tramite apposita chiave di lettura, in tal caso infatti anche qualora le tracce dei log siano state artatamente rimosse i dati personali degli interessati non potranno essere compromessi.

In presenza di uno scenario analogo a quello sopra rappresentato, in cui non vi è esfiltrazione di dati o, in caso di incertezza, i dati siano comunque crittografati dal Titolare e il sistema di backup ne consenta un rapido ripristino, non si paventerebbe un rischio per i diritti e le libertà degli interessati. Il Titolare pertanto non sarà tenuto a ad effettuare la notifica all'Autorità, né tanto meno la comunicazione agli interessati. L'unico adempimento necessario sarà, come in tutti i casi di data breach, la registrazione del dello stesso ex art. 33 co 5 GDPR.

Attacchi Rasnomeware in assenza di idonei sistemi di backup e di esfiltrazione di dati

Nel caso in cui in seguito ad un attacco ransomeware non si riscontri un'esfiltrazione di dati, ma i dati criptati dall'aggressore non possano essere rapidamente ripristinati, per via (i) della totale assenza di un sistema di backup, ovvero (ii) per l'inadeguatezza dello stesso, si assisterà ad un significativo aumento del fattore di rischio per gli interessati.

Senza un sistema di backup i dati verranno persi, con evidenti conseguenze sulla disponibilità degli stessi per gli interessati.

Il Titolare del trattamento infatti non potrà adottare altro rimedio se non procedere ad una nuova raccolta. In tale ipotesi dovrà essere effettuata sia la notifica della violazione all'Autorità sia la comunicazione agli interessati.

Diversamente, ove sia presente un sistema di backup dei dati, ma lo stesso si riveli inadeguato per quanto riguarda le tempistiche di ripristino (es. perché si tratta di un database cartaceo e la raccolta di tutte le informazioni richiede un significativo lasso di tempo, oppure benché si tratti di un database elettronico il backup non sia efficiente e richieda comunque tempistiche eccessive) permarrà l'obbligo di notifica all'Autorità.

D'altra parte, la valutazione circa la necessità della comunicazione ex art. 34 GDPR dovrà essere legata ad una effettiva analisi delle conseguenze per i diritti e le libertà delle persone fisiche.

In particolare dovrà essere considerato il tipo di impatto derivante dall'indisponibilità dei dati (es. eventuali ripercussioni sul servizio reso dal Titolare del trattamento ai destinatari), il numero di soggetti interessati, la tipologia di dati trattati (es. nel caso di indisponibilità anche per un solo giorno dei dati contenuti nel sistema di una struttura ospedaliera, potrebbero esserci dei ritardi nell'esecuzione degli interventi chirurgici o dei trattamenti cui dovrebbero essere sottoposti i pazienti, le conseguenze potrebbero pertanto essere molto gravi).

Attacchi Ransomeware in assenza di backup e con esfiltrazione di dati

In un sistema di backup ben progettato questo è protetto anche mediante l'assenza di accesso dal sistema principale, ove così non fosse in caso di attacchi ransomeware lo stesso potrebbe essere compromesso.

La compromissione del sistema di backup fa sorgere una situazione analoga all'assenza totale dello stesso, i dati criptati dall'aggressore, infatti non potrebbero essere ripristinati. Siamo quindi in presenza di una perdita di disponibilità dei dati degli interessati. Qualora poi, in aggiunta a tale circostanza si registri altresì un'esfiltrazione di dati i rischi investiranno anche la perdita di riservatezza.

In ipotesi simili, oltre alla notifica ex art. 33 è altamente probabile che il Titolare debba effettuare anche la comunicazione agli interessati. Nessun caso è comunque scevro da una valutazione concreta, i dati esfiltrati potrebbero ad esempio essere solo dati pseudonimizzati, e quindi potrebbe essere escluso un rischio elevato per i diritti e le libertà delle persone fisiche.

Ad ogni modo, ove fosse necessaria la comunicazione ex art. 34, questa potrà essere effettuata sia contattando individualmente i destinatari, sia, ove ciò sia eccessivamente gravoso o impossibile a causa della perdita dei contatti, tramite comunicazione pubblica (es. sul sito web del Titolare).

Misure organizzative e tecniche per prevenire / mitigare l'impatto degli attacchi ransomware

-Assicurarsi di aver adottato tutte le misure di sicurezza IT necessarie e verificare la loro efficacia anche mediante aggiornamento in caso di mutamento dei trattamenti o delle circostanze degli stessi;

-Progettare e organizzare i sistemi di elaborazione e le infrastrutture in modo da isolare i dati e le reti evitando così la propagazione di malware all'interno dell'organizzazione e verso sistemi esterni;

-Implementare un'adeguata procedura di backup per il medio e lungo termine (backup incrementale giornaliero e backup settimanale completo), assicurandosi che i sistemi di archiviazione operativi dei dati siano tenuti separati e fuori dalla portata di terzi anche in caso di attacco riuscito;

-Avere un software anti-malware appropriato, aggiornato, efficace ed integrato;

-Utilizzare connessioni VPN per l'accesso a Internet;

-Formare i dipendenti sui metodi di riconoscimento e prevenzione degli attacchi informatici;

-Inoltrare o replicare di tutti i log ad un log server centrale;

-Utilizzare sistemi di crittografia e autenticazione forti, in particolare per l'accesso amministrativo ai sistemi informatici;

-Effettuare test di vulnerabilità e penetration test su base regolare;

-Istituire un Computer Security Incident Response Team (CSIRT) o Computer Emergency Response Response Team (CERT) all'interno dell'organizzazione, o entrare a far parte di un collettivo CSIRT/CERT;

-Creare un piano di disaster recovery e di continuità operativa, assicurandosi che questi siano accuratamente testati.

NEL PROSSIMO APPUNTAMENTO
data breach volontario, e involontario, misure organizzative e tecniche per prevenire / mitigare l'impatto dei rischi derivanti dal fattore umano , perdita o furto di dispositivi aziendali, attacchi sui siti web volti all'esfiltrazione di dati e misure organizzative e tecniche per prevenire / mitigare l'impatto degli attacchi informatici

___

*Studio Legale Ristuccia Tufarelli & Partners