Gestione Del Data Breach
Le nuove linee guida del Comitato Europeo per la Protezione dei Dati (EDPB) riguardano il DATA BREACH e analizzano alcuni dei casi più frequenti di violazione dei dati al fine fornire utili indicazioni al Titolare nella fase di analisi del breach e di valutazione della sua gravità.
Vengono analizzati i casi di violazione ovvero evento che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati, determinati da:
- Ransomware;
- Esfiltration;
- Fonti umane;
- Ingegneria sociale;
- Furto o perdita di dispositivi;
- Furto o perdita di documenti cartacei.
Il titolare, nei casi summenzionati, deve documentare ogni breach di cui venga a conoscenza, ricomprendendo le informazioni connesse ai dati coinvolti, gli effetti del breach e le azioni di mitigazione intraprese. Nel caso in cui la violazione dei dati possa comportare un rischio per i diritti e le libertà degli interessati coinvolti, il titolare dovrà notificare il data breach al Garante Privacy. Dovrà inoltre comunicare il breach agli interessati, qualora vi sia la probabilità che la violazione comporti un rischio particolarmente elevato per i diritti e le libertà degli stessi.
Le misure di sicurezza che possono essere adottate, per mitigare il rischio, sono:
- istruzioni puntuali al personale su come inviare le email;
- inserimento by default degli indirizzi nel campo bcc quando una email abbia più destinatari;
- richiesta di una ulteriore conferma nell’invio della mail a più destinatari che non siano stati inseriti nel campo bcc;
- organizzazione di una sessione di formazione sugli incidenti più frequenti derivanti dagli errori più comuni;
- disattivazione del completamento automatico durante la scrittura di una email.
- adottare adeguate misure di criptazione dei dati e di gestione delle password, soprattutto quando il trattamento ha ad oggetto dati sensibili o finanziari;
- mantenere costantemente aggiornati i sistemi e tenere traccia di tali aggiornamenti, di modo da poter dimostrare la compliance con il principio di accountability;
- fare ricorso a strumenti di autenticazione “forti” (ad esempio l’autenticazione a due fattori) e adeguate policy di gestione e aggiornamento delle password;
- condurre audit e assessment periodici per verificare la costante adeguatezza delle misure;
- mantenere aggiornate le copie di backup in modo assicurarsi la possibilità di procedere rapidamente alla recovery dei dati e delle informazioni;
- adottare piani di disaster recovery e business continuity.
Poiché la gravità del breach è lasciata alla libera valutazione del Titolare, e non vi sono criteri univoci, all’interno del GDPR, per svolgere tale valutazione, l’EDPB fornisce degli esempi al fine di rendere più semplice e veloce la fase di analisi del rischio.
Casi analizzati:
- Il ransomware coinvolge dati personali correttamente criptati, relativi a clienti e dipendenti senza attaccare altri computer o sistemi informatici, come le e-mail o i client di accesso. L’azienda dispone di un backup dei sistemi e la chiave di decrittazione non è stata compromessa dall’attacco informatico. In questo caso, le misure di prevenzione consigliate da EDPB sono la corretta gestione delle patch dei sistemi informatici e l’utilizzo di un sistema di rilevamento malware efficace, oltre all’utilizzo di un backup separato. Il personale deve, inoltre, essere correttamente formato al fine di permettere la tempestiva rilevazione della presenza del malware. Nel caso di specie, poiché i dati sono correttamente criptati, il rischio connesso alla perdita di confidenzialità del dato è ridotto al minimo.
- : Il ransomware cripta i dati personali contenuti sul computer dell’azienda, relativi a clienti e dipendenti, senza esfiltrarli. Il Titolare, poiché privo di sistemi di backup, reinserisce manualmente i dati recuperandoli dal materiale cartaceo contenuto in archivio. Il ripristino dei dati occupa 5 giorni lavorativi e comporta dei ritardi di minore entità nella consegna degli ordini ai clienti. In questo caso, non essendoci stata una esfiltrazione dei dati, il rischio connesso alla perdita di disponibilità e riservatezza del dato è minimo, se non nullo. Nel caso in cui, invece, non sia possibile escludere una esfiltrazione dei dati, il rischio legato alla perdita di disponibilità e riservatezza sarà maggiore. Dovrà essere condotta una analisi dei log del firewall per poter comprendere le vulnerabilità sfruttate dal malware e porvi rimedio.
Il Comitato si sofferma anche sui casi che coinvolgono i dipendenti e sottolinea come, essendo molto complesso prevenire le varie tipologie di violazioni, il titolare potrebbe prevedere una specifica clausola nel contratto, o nelle istruzioni interne, che vieti alcune specifici comportamenti particolarmente rischiosi ovvero inserisca vincoli nel caso in cui il dipendente non faccia più parte dell’azienda.