Il Gdpr è in vigore e l’obbligo di segnalazione data breach entro 72 ore è l’obbligo più gravoso, secondo le aziende italiane, in un recente sondaggio di Idc. Vediamo cosa sapere per un corretto adeguamento.
Cos’è il data breach nel Gdpr
Per data breach, nella versione italiana violazione dei dati personali si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Sempre secondo il GDPR, la notifica di eventuali violazioni di dati dovrà avvenire possibilmente senza ingiustificato ritardo e, ove possibile, entro 72 ore, dal momento in cui si è venuto a conoscenza della violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. L’eventuale ritardo dovrà essere motivato.
L’obbligo di notifica
A tale proposito, è stato introdotto dall’articolo 33, l’obbligo generalizzato, in capo al titolare del trattamento di notifica di data breach all’autorità di controllo (DPO) competente a norma dell’art. 55 GDPR e ss., ovvero l’Autorità di controllo dello stabilimento principale o dello stabilimento unico del Titolare interessato dalla violazione o quello ove vi siano gli interessati alla violazione. Le informazioni minime da inserire nella notifica sono incluse nell’art. 33, la DPA competente fornirà una modulistica on line richiedendo informazioni obbligatorie. Tale documentazione consente all’Autorità di controllo di verificare il rispetto delle prescrizioni.
Come dev’essere la notifica di Data breach
La notifica deve:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni
- descrivere le probabili conseguenze delle violazioni dei dati personali
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, per attenuarne i possibili effetti negativi.
In Italia prima dell’approvazione del Regolamento erano già presenti obblighi di notifica in 4 fattispecie di trattamento:
- Settore comunicazioni elettroniche (Prov. Garante 161/2013)
- Biometria (Provv. Garante 513/2014)
- Dati sanitari inseriti in Dossier (Provv. Garante 331/2015)
- Dati comunicati fra PA (Provv. Garante 393/2015)
La comunicazione di data breach art. 34 (violazione dei dati personali all’interessato)
Quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. La comunicazione all’interessato descrive con un linguaggio semplice e chiaro la natura della violazione. Tale comunicazione non è richiesta all’interessato se:
- il titolare del trattamento ha messo in atto le misure tecniche ed organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
- Il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
Detta comunicazione richiederebbe sforzi sproporzionati. In tale caso, si procede invece a una comunicazione pubblica o a una misura simile.
La gestione del data breach
Per prevenire, gestire e risolvere episodi di perdita e/o distruzione dei dati personali è necessario:
- Adottare un protocollo di risposta;
- Effettuare test periodici per controllare la validità del protocollo;
- Ottenere una copertura assicurativa per eventuali casi di data breach;
- Tenere un registro dei casi di data breach;
- Compiere attività di indagine per individuare la natura e la portata della violazione.
Il protocollo di risposta
Il Titolare del trattamento deve adottare un protocollo di risposta, ossia procedure da seguire per gestire e risolvere eventuali episodi di distruzione e/o perdita di dati. L’adozione del protocollo coinvolge numerose dipartimenti aziendali e strutture pubbliche quali ministeri, asp, etc. Questo protocollo dovrà indicare un modo coerente, sistematico e proattivo per gestire questi incidenti che coinvolgono i dati personali. Per la soluzione di questi incidenti l’azienda/ente pubblico potrà farsi coadiuvare da terzi fornitori di servizi quali:
- Call center;
- Servizi di assistenza agli utenti e pubbliche relazioni;
- Sistemi di monitoraggio;
- Sistemi di risoluzione dei casi di furto di identità.
La sicurezza informatica contro il data breach
Al fine di prevenire una violazione di data breach è necessario utilizzare un modello di sicurezza informatica così strutturato:
Altri strumenti di prevenzione
- sviluppo e manutenzione di sistemi (System Development and Maintenance)
- Accertare che la sicurezza sia stata costruita all’interno delle operazioni di sistema;
- impedire la perdita, la modifica o il cattivo utilizzo dei dati dell’utente all’interno dei sistemi di applicazione;
- proteggere la riservatezza l’autenticità e l’integrità delle in formazioni;
- accertarsi che le attività di progetto e supporto alle attività siano condotte in modo sicuro e per mantenere la sicurezza del software e dei dati del sistema;
- gestione continuità operativa (Business Continuity Management);
- Neutralizzare le interruzioni alle attività economiche ed ai processi critici degli affari e dagli effetti dei guasti;
- adeguatezza (Compliance);
- Evitare il mancato rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza;
- Per elevare l’efficacia e minimizzare l’interferenza per il processo di verifica del sistema;
Effettuare test periodici
È importante condurre regolarmente dei test di verifica del protocollo adottato per garantire che le procedure seguite dall’Azienda per prevenire e risolvere casi di data breach siano efficienti e condotte da personale formato adeguatamente per implementare il protocollo. E’ altresì, importante stipulare un’adeguata polizza assicurativa per assicurare l’Azienda contro il rischio di Data Breach ed ottenere indennizzo dalla Compagnia Assicuratrice in occorrenza di violazioni di dati. L’assicurazione risarcisce i costi che l’Azienda deve sostenere per riparare le conseguenze della violazione e può anche coprire le eventuali spese legali che l’Azienda dovrà affrontare.
Tenere un registro di data breach
Il DPO (Data Protection Officer) deve promuovere la tenuta di un Registro dei casi di data breach, sia dei casi di violazione effettivamente occorsi sia le minacce potenziali, per identificare il tipo e la natura delle violazioni più ricorrenti
Tracciare i casi di data breach
Il tracciamento dei casi di violazione dei dati personali viene effettuato allo scopo di:
- individuare e tenere sotto controllo i fattori di rischio, ossia i fattori che determinano con più frequenza una violazione dei dati personali
- Misurare l’efficacia delle policy e delle procedure adottate
- Elaborare un piano di conformità che fissi gli obiettivi da raggiungere per essere “compliant” rispetto a leggi, best practices, e che aiuti a dimostrare la conformità in sede di audit di verifica/ispezioni/test
- Indagini forensi e data breach
- Per gestire e risolvere i casi di data breach l’azienda/ente pubblico può stabilire al suo interno una funzione investigativa e demandare a personale interno indagini forensi “in house” e cioè siglare contratti con investigatori esterni ai quali demandare queste attività di indagine, compiere attività di indagine per individuare la natura e la portata della violazione. Le indagini investigative servono per:
- Determinare la natura e la portata della violazione
- Aiutare a prevenire ulteriori perdite di dati
- Conservare le prove della violazione in modo che possano essere usate anche in un’eventuale azione giudiziaria
Data breach – casi pratici
I casi secondo il Verizon Data Breach Report 2016 di “data breach” confermati sono stati, per il 2015, pari a 2274. Ciò fa capire quanto sia diffuso il problema. Ma quali sono le cause più comuni di queste violazioni?
Sempre facendo riferimento al Verizon DBIR 2016, le prime nove cause di “data breach” danno origine ad oltre il 90% delle violazioni
Miscellanous errors
Miscellaneous errors – Errori “vari”
- Errata consegna: quando informazioni sensibili raggiungono i destinatari sbagliati
- Errata pubblicazione: quando informazioni non pubbliche vengono rese note su un web server pubblico
- Mancata o errata distruzione dei dati non più necessari: quando supporti di memorizzazione non più usati e contenenti informazioni sensibili non vengono correttamente distrutti o cancellati.
Web app attacks Attacchi alle applicazioni Web
La parte più interessante dell’analisi di Verizon è che, se restringiamo il campo ai servizi finanziari, il 95% degli incidenti implica il successo da parte degli attaccanti nel raccogliere credenziali rubate dai dispositivi dei clienti e, attraverso queste credenziali, accedere alle applicazioni web.
Secondo il semplice pattern (modello): “attacco di phishing sul cliente ->ottenimento delle credenziali -> abuso dell’applicazione web -> svuotamento del conto bancario o in bitcoin”
In questo caso è opportuno adottare le seguenti precauzioni:
- tracciare il comportamento degli utenti al fine di identificare comportamenti sospetti, curare ogni componente delle applicazioni web sia dal punto di vista della progettazione (security “by design”) dal punto di vista del patching che va effettuato con regolarità.
- rafforzare le misure e i metodi di autenticazione.
Insider misuse
Consiste in un abuso dei privilegi concessi a chi, all’interno dell’organizzazione, ha ottenuto fiducia. L’attore in questo caso si trova già all’interno del perimetro difensivo è ha accesso a dati sensibili o comunque di valore e ci si aspetta da esso che faccia buon uso dei privilegi concessi, ma non sempre è così purtroppo.
- Precauzioni da adottare:
- ritagliare in maniera “chirurgica” i diritti di accesso di ciascun dipendente/addetto/utente
- comprendere a fondo ogni relazione esistente all’interno dei processi critici, identificare le aree più a rischio e quindi definire le attività da tracciare e le situazioni in cui è opportuno inserire controlli di “audit” o misure di “fraud detection” in modo da prevenire eventuali abusi.
Cyber spionaggio
Analizzando questa causa si può notare come la gran parte delle vittime siano aziende manifatturiere, pubbliche o attività professionali. Inoltre, si può osservare come oltre il 75% dei vettori di attacco sia legato ai messaggi di posta elettronica.
Precauzioni da adottare:
- l’educazione dell’utente finale e un’attenzione particolare alle misure di prevenzione degli attacchi veicolati dalle e-mail al fine custodire la proprietà intellettuale su cui si fonda un business.
- “loggare” tutte le richieste DNS e tutte le richieste di navigazione (proxy) oltre che, ovviamente, investire in soluzioni che aiutino a gestire ed analizzare questo tipo di dati e “log” a scopo investigativo alla ricerca di possibili segni di compromissione ed “esfiltrazione”.
Crimeware
Questa categoria descrive le infezioni da malware che non sono associate a classificazioni più specifiche come il cyber spionaggio e le intrusioni sui POS. In questo ambito a farla da padrone sono i malware e gli attacchi relativi basati sul concetto di Command & Control (C2) come le botnet.
Anche in quest’ambito le raccomandazioni sono quelle di fare riferimento a politiche di difesa in profondità e educazione dell’utente finale affinché sia consapevole delle minacce inerenti al phishing e alla social engineering.
Point of sale intrusions Intrusioni sui POS
Questo tipo di “data breach” è risultato il più diffuso fra quelli censiti dal Verizon DBIR.
Il report differenzia gli attacchi ai POS di piccole organizzazioni da quelli rivolti a grandi aziende, i primi sono caratterizzati da attacchi di tipo “brute force” sulle password di accesso ai dispositivi, mentre il secondo tipo di attacchi, di alto profilo, tende ad utilizzare un approccio “multi-step” più complesso ed elaborato. L’attacco in quest’ultimo caso ha come obiettivi dei sistemi secondari che poi permettono di fare da “ponte” verso i sistemi POS veri e propri.
In alcuni casi gli attaccanti hanno avuto gioco facile riuscendo ad installare un “keylogger” attraverso campagne di “Phishing”.
Precauzioni da adottare:
- difese specifiche e accorgimenti strettamente relativi ai dispositivi POS
- l’attenzione alla gestione e all’utilizzo delle credenziali
- monitoraggio degli accessi e, possibilmente, utilizzo di autenticazione a due fattori
Data Breach Investigations Report 2017
Dall’attività di analisi svolta dal Data Breach Investigations Report team per la realizzazione del primo Verizon Protected Health Information Data Breach Report è risultato che 18 aziende su 20 sono state interessate da furti di dati sanitari. Oggetto dell’analisi sono state le violazioni confermate che hanno coinvolto oltre 392 milioni di record in 1.931 incidenti in 25 nazioni (incluse alcune europee, ad esempio la Germania) .
I ransomware, il male del secolo
Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Ad esempio, alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro.
La sua prima apparizione documentata risale al lontano 1989 in una modalità piuttosto artigianale, pur vantando molte delle caratteristiche del ransomware moderno Creato e diffuso da un medico, probabilmente come ripicca per non esser stato scelto per una carica presso l’Organizzazione Mondiale per la Sanità, viaggiava come un virus su dischetto che veniva lasciato presso studi medici e cliniche. Il malware codificava i file del disco fisso e pubblicava poi la richiesta di riscatto che doveva esser pagato spedendo i contanti a una casella postale ospitata a Panama. Una volta ricevuti i soldi, il medico cybercriminale inviava alla vittima il programma necessario alla decodifica
I DIECI ATTACCHI PIU’ RAPPRESENTATIVI DEL “2016
| Vittima | Attaccante | Tecniche usate | |
| 1 | Hollywood Presbyterian Medical Center | Cyber Crime | Ransomware |
| 2 | FriendFinder Networks | Cyber Crime | Vulnerabilità (LFI) |
| 3 | Bangladesh Bank | Cyber Crime | Multiple |
| 4 | ADUPS Technology | Cyber Espionage (Cina?) | Multiple |
| 5 | Muni (San Francisco Transport System) | Cyber Crime | Ransomware |
| 6 | Democratic National Committee (DNC) | Cyber Crime | Multiple |
| 7 | Yahoo | Cyber Espionage (Russia?) | Multiple |
| 8 | DynDNS | Cyber Crime | DDoS / IoT attack |
| 9 | Teseo Bank | Cyber Espionage (Cina?) | Multiple |
| 10 | Ministero degli Esteri italiano | State sponsored (Russia?) | Multiple |
In conclusione, alcuni accorgimenti
Al fine di prevenire i rischi di una “data breach” è possibile utilizzare le seguenti contromisure:
- Trasformare l’utente da anello debole a prima linea di difesa;
- Applicare il principio del minimo privilegio per quanto riguarda l’accesso ai dati;
- Adottare puntuali politiche di patching dei sistemi;
- Crittografare i dati sensibili;
- Utilizzare l’autenticazione a due fattori;
- Rivolgere grande attenzione anche alla sicurezza fisica.
