Aiutare i responsabili del trattamento dei dati a decidere come gestire le violazioni dei dati, spiegando quali fattori sono da tenere in considerazione durante la valutazione del rischio e presentando un inventario dei casi di notifica di data breach ritenuti più comuni (come ransomware, sottrazioni di dati e dispositivi e documenti cartacei smarriti o rubati): sono i contenuti delle nuove linee guida EDPB adottate il 18 gennaio, che mirano proprio a offrire un punto di riferimento per far fronte agli incidenti con maggior consapevolezza, offrendo una serie di esempi reali su cui confrontarsi.
Indice degli argomenti
Data breach, cosa dicono le nuove linee guida EDPB
Subire un cyber attacco è l’incubo di ogni imprenditore e professionista, eppure spesso il problema viene affrontati da un punto di vista tecnico (ripristino dei sistemi) e da un punto di vista economico (costo della perdita e del ripristino) senza pensare ad un elemento fondamentale: la compromissione dei dati personali contenuti nei sistemi attaccati (o rubati).
Le nuove linee guida si pongono come completamento delle linee guida del Working Party 29 in tema di data breach adottate il 3 ottobre 2017 (WP250) e introducono raccomandazioni più orientate alla pratica.
L’EDPB elenca inoltre buone o cattive pratiche e consigli su come identificare e valutare i rischi, evidenzia i fattori che dovrebbero essere presi in particolare considerazione, nonché informa in quali casi il responsabile del trattamento deve notificare il data breach all’Autorità Garante nazionale o avvisare gli interessati.
Le linee guida saranno sottoposte a consultazione pubblica fino al prossimo 2 marzo ed eventuali feedback possono essere forniti a questo link.
Cosa fare in caso di data breach secondo l’EDPB
Le linee guida si aprono con delle indicazioni di base su cosa occorre fare in caso di data breach.
Livello base
L’EDPB indica un livello base, che deve coinvolgere tutte le violazioni di dati (anche un semplice errore di invio di una email contenente dati personali) e che consiste nella compilazione di un registro interno con indicate le circostanze dell’incidente, le contromisure adottate e i motivi per cui non si è ritenuto di procedere alle attività di cui ai livelli successivi.
Livello intermedio
Al livello intermedio viene invece collocata la notifica all’Autorità di Controllo (Garante Privacy nel nostro caso) necessaria in tutti quei casi in cui la violazione presenti un rischio per le libertà e i diritti delle persone coinvolte.
Livello elevato
Infine, al livello più elevato è prevista la comunicazione a tutti gli interessati coinvolti prevista nel caso in cui la violazione possa presentare un rischio elevato per le libertà e i diritti delle persone coinvolte.
Attacco ransomware: i consigli pratici dell’EDPB
L’EDPB inizia quindi la disamina dei casi pratici partendo dal caso (frequente) dell’attacco ransomware subito dal titolare del trattamento. In questi casi un codice malevolo (ad esempio ricevuto via email e aperto) crittografa i dati personali e successivamente l’aggressore chiede al titolare il pagamento di un riscatto (spesso in criptovaluta) in cambio del codice di decrittazione.
L’approccio dell’EDPB sul punto è teso innanzitutto alla classificazione dell’attacco ai fini privacy.
Subito la guida chiarisce che per la normativa privacy europea un attacco ransomware costituisce un data breach a prescindere dal fatto che l’aggressore abbia avuto accesso o meno ai dati che ha reso indisponibili. L’impossibilità (anche solo temporanea) di accedere al dato costituisce infatti un data breach.
Bisogna a questo punto capire se l’aggressore, una volta crittografati i dati sul sistema della vittima, li ha anche esportati.
Gli scenari dopo l’attacco ransomware
A questo punto si profilano due scenari che possono scongiurare una simile ipotesi:
- la vittima conservava i dati sul proprio sistema in forma a sua volta crittografata e la chiave di decrittazione non è stata compromessa nell’attacco (in questo caso anche se l’aggressore avesse avuto accesso ai dati non li avrebbe potuti decifrare);
- la vittima, una volta subìto l’attacco, isola i sistemi compromessi e verifica il traffico in uscita dalla propria rete, riuscendo ad escludere con sicurezza che l’attaccante abbia estratto dati.
Una volta esclusa l’illecita apprensione dei dati da parte di un soggetto non autorizzato, per il titolare non resta che verificare se l’attacco ha causato o meno una perdita di dati. Qui è centrale il backup dei dati.
Se la data restoration è possibile in breve tempo senza richiedere una nuova raccolta dei dati dagli interessati o da terzi, è possibile evitare anche la notifica al Garante, segnalando l’attacco ransomware unicamente nel registro aziendale interno dei data breach.
Se invece l’indisponibilità dei dati si protrae e potrebbe quindi causare un disservizio per gli interessati (l’EDPB suggerisce di rifarsi al termine di 72 ore previsto per la notifica per valutare la gravità dell’indisponibilità del dato, anche se è evidente che questo dipende dalla tipologia di dati trattati, in certi casi anche poche ore di indisponibilità del dato possono infatti causare gravi conseguenze), va effettuata anche la notifica al Garante.
L’EDPB fa l’esempio di una perdita di dati informatici causata da attacco ransomware seguita dal loro recupero dagli archivi cartacei dell’azienda.
In tal caso, siccome il recupero richiede tempo e verosimilmente i metadati connessi all’archiviazione informatica andranno perduti, è necessaria la notifica al Garante.
Sarà necessaria anche la comunicazione agli interessati solo qualora la natura dei dati trattati sia tale da mettere a serio rischio i diritti e le libertà degli interessati, l’EDPB fa l’esempio di un data breach in un ospedale, che rende necessaria (oltre alla notifica al Garante) la comunicazione agli interessati anche in presenza di un backup efficace.
Qualora invece l’attaccante abbia anche esportato i dati (non crittografati) la situazione cambia radicalmente. Non stiamo più parlando di un problema di disponibilità del dato, ma di un problema di illecita comunicazione (e possibile diffusione) del dato.
In questo caso è evidente che, salvo casi marginali (es. sottrazione di dati già nel pubblico dominio) sarà necessaria anche la comunicazione dei dati agli interessati coinvolti, che potrà essere effettuata anche attraverso il sito web del titolare e i suoi social qualora la comunicazione singola risulti difficile (ad esempio per il rilevante numero di interessati coinvolti).
I suggerimenti dell’EDPB per evitare attacchi ransomware
Gli esempi si chiudono con una serie di suggerimenti del gruppo dei garanti europeo per evitare attacchi ransomware. In particolare l’EDPB consiglia:
- di mantenere aggiornati i sistemi;
- di registrare quali patch vengono applicate e in quale momento;
- di progettare i sistemi informatici per segmenti isolati, così da evitare la propagazione del malware;
- di predisporre una procedura di backup aggiornata, sicura e testata;
- di crittografare i dati personali sul proprio sistema con strumenti efficaci;
- di dotarsi di efficaci software antimalware e firewall, dirigendo il traffico di rete attraverso il firewall;
- di predisporre adeguate misure di sicurezza anche in caso di smart working (ad esempio utilizzando connessioni VPN);
- di formare adeguatamente i dipendenti affinché riconoscano queste minacce e ne sappiano contenere i danni nell’evenienza in cui accadano.
Nel caso in cui l’attacco abbia, ciononostante, successo, l’EDPB suggerisce di ripristinare i dati dal backup, nel caso in cui questo non sia disponibile o completo è possibile tentare di recuperare i dati anche ad esempio attraverso siti come nomoreransom.org, che contiene database di chiavi per decrittare file resi inaccessibili da comuni strumenti di ransomware. In ogni caso all’esito dell’attacco andranno riviste (e rafforzate) le procedure, rivedendo l’analisi del rischio alla luce dell’aggressione informatica subita.
Data exfiltration: come gestire la sottrazione dei dati
Dopo aver esaminato gli attacchi ransomware, l’EDPB offre alcuni spunti in tema di sottrazione di dati informatici. Sebbene si tratti di attacchi simili a quelli ransomware, si tratta in realtà di minacce che possono rivelarsi ben più gravi perché mirate ad ottenere (e forse diffondere) anche per un lungo periodo all’insaputa dell’attaccato i dati personali che lo stesso gestisce.
Gli esempi dell’EDPB partono dall’esame di una situazione in cui è stato estrapolato un elenco di password di utenti, ma l’elenco riportava non le password in chiaro bensì i loro valori di hash, con una sequenza salt (non compromessa) utilizzata per aumentarne la sicurezza.
Nel caso la protezione avanzata messa a disposizione rende non necessaria la notifica al Garante né la comunicazione ai soggetti interessati, che andranno comunque informati del fatto che è opportuno un cambio password per massima prudenza.
Gli ulteriori esempi (che necessitano invece di notifica e comunicazione) fanno riferimento ad un furto di credenziali su un sito web di una banca (anche nel caso in cui dagli account compromessi non siano state effettuate operazioni) e ad un furto di credenziali fornite attraverso un form per candidarsi ad una posizione lavorativa attraverso un malware scoperto dopo un mese dalla sua installazione.
Oltre ai suggerimenti già visti in tema di ransomware, l’EDPB raccomanda una gestione delle password accorta, utilizzando ove possibile sistemi di autenticazione a due fattori e preferendo alla loro archiviazione in forma crittografata procedure come la conservazione della valore hash con sequenze salt quale ulteriore livello di sicurezza. Viene infine raccomandato di non lasciare gli ID di sessione in chiaro negli url.
L’importanza del fattore umano
L’EDPB esamina a questo punto l’incidenza dell’errore umano nel causare (o aggravare) un data breach, prendendo in considerazione anche sottrazioni volontarie di dati da parte di dipendenti in procinto di lasciare l’azienda.
La guida si sofferma sul caso di un dipendente infedele che sottrae un indirizzario di clienti per utilizzarlo una volta cessato l’impiego (situazione che, una volta scoperta, rende necessaria la notifica al Garante) e quello di un errore di invio di documenti ad un soggetto tenuto al segreto professionale (ad esempio, il commercialista o il legale dell’azienda), nel caso le linee guida non ritengono necessaria né la notifica né la comunicazione in quanto il destinatario della missiva è un soggetto qualificato e tenuto al segreto (il discorso cambierebbe nel caso in cui il documento inviato per errore contenesse dati sensibili o fosse relativo ad un rilevante numero di soggetti).
Come affrontare gli errori umani
Il Gruppo dei Garanti afferma che per evitare errori umani l’elemento essenziale è la formazione degli addetti, creando inoltre procedure e policy che individuino chiaramente come comportarsi in determinate situazioni a rischio.
Andrà inoltre implementato il c.d. “principio del privilegio minimo” consentendo accesso agli addetti, per quanto possibile, unicamente ai dati di loro interesse, escludendo gli altri. Tra gli altri consigli quello di limitare la possibilità di utilizzo di dispositivi esterni (ad esempio: USB/CD/DVD ecc.) sui computer aziendali e di disabilitare la possibilità di effettuare screenshot dello schermo.
Cosa fare se si perdono dispositivi informatici o documenti cartacei
Nel caso di perdita o sottrazione di dispositivi o cartelle cartacee entrano in gioco numerose considerazioni per il titolare, fra le quali le modalità della sottrazione, la tipologia di dati contenuti nei dispositivi/cartelle e le misure adottate per mitigare il rischio di illecita sottrazione.
È infatti evidente che la sottrazione di un dispositivo laptop sottoposto ad una crittografia di livello avanzato e protetti da una password forte non desterà particolari preoccupazioni dal punto di vista privacy (nell’esempio dell’EDPB la sottrazione di dati relativi a minori non necessita né di notifica né di comunicazione se i dati sono recuperabili e i dispositivi sottratti sono protetti adeguatamente), mentre al contrario la sottrazione di un laptop non crittografato contenente dati di clienti porterà ad una notifica al Garante e alla comunicazione agli interessati.
Nel caso di documenti cartacei è difficile immaginare strumenti di protezione che possano mitigare il rischio derivante dalla loro sottrazione (salvo l’utilizzo di dati pseudonimi), nel caso quindi di sottrazione di documenti cartacei va presunto un rischio maggiore ed infatti, nell’esempio proposto dall’EDPB (sottrazione di un registro di pazienti in un centro di riabilitazione) è necessaria la notifica al Garante e la comunicazione agli interessati.
Il primo suggerimento dell’EDPB sul punto è quello di attivare la crittografia su tutti i dispositivi facilmente asportabili (Bitlocker, Veracrypt, DM-Crypt ecc.) e proteggerli con una password forte. Il Gruppo Europeo dei Garanti suggerisce poi di attivare funzioni che consentano di individuare la posizione del dispositivo rubato (ad esempio: find my device), utilizzare VPN per le connessioni da mobile al server e salvare per quanto possibile i dati sul server e non su dispositivi mobili.
Le linee guida contengono anche suggerimenti più pratici come quello di utilizzare filtri privacy ottici sui monitor dei dispositivi che potrebbero essere esposti ad occhi indiscreti, chiudere i dispositivi non appena ci si allontana dalla postazione e predisporre un logout automatico dopo poco tempo che l’utente è rimasto inattivo.
Gli errori di invio: come rimediare
Arriviamo quindi ad un errore che è capitato a tutti qualche volta e vediamo che l’EDPB è particolarmente rigoroso nel disciplinare il comportamento da tenere in casi del genere. Ad esempio, l’EDPB esamina il caso di un errore nell’invio delle ricevute di acquisto a due clienti (che sono state invertite rispetto ai destinatari designati).
In questo caso, che non ha creato danni, ha coinvolto solo due clienti e non riguarda dati appartenenti a categorie particolari, ben pochi si scomoderebbero per compilare il registro interno dei data breach, eppure l’EDPB ci ricorda che anche questa è una violazione rilevante ai sensi della normativa GDPR e che andrà elencata nel registro interno dei data breach, indicando che per mitigare il rischio si è proceduto all’invio delle ricevute corrette chiedendo ai destinatari di eliminare quelle inviate per errore.
Nel caso invece di dati appartenenti a categorie particolari inviati per errore via email sarà necessario procedere sia alla notifica che alla comunicazione agli interessati loro malgrado coinvolti.
Anche qui, nelle sue linee guida sulla gestione dei data breach l’EDPB richiama l’importanza della formazione dei dipendenti, evidenziando come un criterio generale da seguire sia quello di effettuare invii multipli in “ccn” di default e come sia opportuno settare il programma con cui si gestisce l’email di modo che consenta un breve lasso di tempo per annullare l’invio anche una volta che lo stesso è stato confermato.
Chiaramente, nel caso, si tratta di accorgimenti che possono mitigare il rischio in alcuni casi ma difficilmente potranno davvero incidere sulle possibili sviste (che possono sempre capitare) nell’invio di corrispondenza.
Nel caso sarà importante infatti programmare la reazione, chiedendo tempestivamente al destinatario di eliminare la documentazione ricevuta per errore e compilando il registro dei data breach indicando i passi ulteriori da compiere.
Le regole EDPB per furto d’identità e attacchi BEC
Le linee guida si chiudono con due casi ulteriori, ovvero quello del furto di identità da parte di un soggetto, che spende l’identità rubata nei confronti di una compagnia telefonica e quello di malintenzionati che accedono alle email di un’azienda con lo scopo di effettuare un attacco Business Email Compromise (BEC).
Nel caso del furto di identità (purtroppo l’esempio trattato dall’EDPB non riguarda un caso di SIM swapping, che sarebbe risultato forse di maggiore interesse) un soggetto ha chiesto di dirottare le bollette al proprio indirizzo email invece che a quello del legittimo proprietario, fingendo di essere quest’ultimo durante la conversazione telefonica con l’addetto della compagnia.
Nel caso saranno necessarie sia la notifica al Garante che la comunicazione ai soggetti, anzi al soggetto coinvolto. L’EDPB, nelle sue linee guida sui data breach, evidenzia che un elemento di mitigazione del rischio avrebbe potuto essere l’invio, da parte della compagnia telefonica di una mail all’indirizzo precedentemente utilizzato per le comunicazioni, così consentendo all’utente di accorgersi da subito del cambio email.
In ogni caso, l’esame dell’EDPB di un caso meno incisivo di quello di un attacco SIM swapping che comunque necessita della massima reazione dal punto di vista privacy (notifica e comunicazione), rende evidente come la stragrande maggioranza dei casi di furto d’identità comportino, per il soggetto ingannato dalla falsa rappresentazione dell’identità della controparte (e che avrebbe potuto accorgersi della frode o mitigarne le conseguenze), la necessità di effettuare una notifica al Garante e di comunicare al vero interessato la problematica.
Anche l’attacco BEC esaminato dall’EDPB, consistente nella compromissione di un sistema email aziendale allo scopo di intercettare i messaggi con cui si chiedono pagamenti per replicarli alterandoli con le coordinate bancarie degli attaccanti (di fatto anche qui abbiamo in molti casi un furto di identità alla base della truffa), comporta necessariamente la notifica al Garante e la comunicazione agli interessati (specie perché potrebbero essere destinatari di comunicazioni fraudolente tese alla sottrazione di denaro).