Legal Innovation
L’Attacco Ransomware è ormai diventata una minaccia costante alla sicurezza informatica delle aziende, con effetti sulla integrità dei dati critici in suo possesso: dalle email, ai dati di dipendenti o clienti, fino ai dati finanziari aziendali o di terzi.
Secondo un recente studio di Cybersecurity Ventures ogni 11 secondi un dipendente clicca su un link o apre un allegato di un’e-mail solo apparentemente innocua, mettendo invece in azione il ransomware e dando il via ad uno scenario catastrofico per l’organizzazione. Calcoli alla mano, significa che ogni giorno quasi 8.000 aziende in tutto il mondo sono colpite da questa minaccia.
È quindi fondamentale che le organizzazioni siano oggi in grado di rilevare e rispondere ad un attacco Ransomware per evitare gli impatti devastanti che lo stesso può avere sull’operatività aziendale.
Se volessimo partire dalla sua definizione, il Ransomware è un codice malevolo di crittografia (quindi un tipo di malware) che, una volta infettato un device o un server collegato ai sistemi informatici aziendali, ne blocca il loro accesso.
Successivamente, l’attaccante chiede un riscatto (Ransom) in cambio del codice che può ripristinare l’accesso ai sistemi.
È un attacco generalmente classificato in termini di violazione della disponibilità dei dati, in quanto gli stessi sono resi inaccessibili dal Ransomware, ma spesso potrebbe verificarsi anche una violazione della riservatezza, se i dati vengono esfiltrati, cioè esportati dall’attaccante e divulgati a terzi (qui potete trovare anche la definizione del NIST, una delle massime autorità del settore).
Ora analizziamo due scenari diversi in relazione ad un attacco Ransomware, tratti dalle recenti Linee Guida del Garante Privacy Europeo in tema di violazione dei dati.
I sistemi informatici di una piccola azienda manifatturiera sono stati esposti ad un attacco Ransomware che ha colpito i server principali.
I dati personali conservati nei server risultano protetti da algoritmi crittografici di ultima generazione e la chiave di decodifica (cosiddetta decryption key) non è stata compromessa durante l’attacco.
L’azienda è dotata di un sistema di file Log in grado di tracciare tutti i flussi di dati in uscita che le permette, nelle ore successive al Data Breach, di appurare con certezza che l’attaccante non è riuscito ad esfiltrare alcun dato.
Inoltre, l’accessibilità ai dati viene immediatamente ripristinata grazie alla presenza di un backup che limita qualsiasi danno all’operatività aziendale.
In questo esempio, l’aggressore ha avuto accesso ai dati personali ma la crittografia utilizzata dall’azienda li rende illeggibili a terzi non autorizzati. Pertanto i rischi di riservatezza sono mitigati.
Anche gli effetti connessi alla indisponibilità dei dati colpiti da Ransomware sono stati attenuati grazie alla precedente implementazione di un sistema di backup che ha salvato la continuità del business aziendale.
Infine, le conseguenze per gli interessati sono di entità trascurabile poiché tutto è stato ripristinato in poche ore e non si sono verificati effetti significativi nella gestione, ad esempio, delle commesse ricevute o nel calcolo del monte ore per i pagamenti dei dipendenti.
A seguito di un’attenta valutazione, l’azienda deve stabilire entro 72 ore il livello di rischio connesso al Data Breach. In questo caso, si conclude che non vi sono rischi per i diritti e le libertà delle persone fisiche, per cui non è necessaria alcuna notifica nei confronti del Garante Privacy.
Resta però l’obbligo di annotare la violazione nel registro Data Breach, ai sensi dell’art. 33 pgf. 5 GDPR, in conformità al principio di accountability che richiede di specificare le motivazioni della mancata notifica.
Il server di un’azienda di trasporto pubblico è stato esposto a un attacco Ransomware. Secondo i risultati dell’indagine effettuata internamente, l’autore è riuscito ad esfiltrare i dati personali archiviati nel server.
Tra i dati violati si annoverano quelli dei dipendenti e di migliaia di clienti che utilizzano i servizi dell’azienda. La violazione non si limita a dati anagrafici, ma anche a dati finanziari relativi a carte di credito. Nel corso dell’attacco, l’aggressore è riuscito anche a crittografie l’unico backup esistente, rendendolo di fatto inutilizzabile.
Sebbene fosse in atto un sistema backup, questo è stato colpito dall’attacco. Il che fa sollevare dubbi sulla qualità delle misure IT implementate dall’azienda, dato che il backup dovrebbe essere sempre separato dal server principale, per evitare un suo coinvolgimento durante l’attacco.
La violazione riguarda non solo la disponibilità dei dati personali ma anche la loro riservatezza, perché l’aggressore – dopo l’esfiltrazione – può copiare e modificare i dati a piacimento. Inoltre la natura e il volume dei dati violati depone per un rischio assolutamente elevato. Oltre ai dati anagrafici sono coinvolti anche dati finanziari che espongono i clienti a possibili tentativi di frode.
A questo punto diventa obbligatoria la notifica al Garante Privacy, ma allo stesso è necessaria un’immediata comunicazione a dipendenti e clienti interessati (anche per raccomandare il blocco della carta di credito). Questa eventualità è la più drammatica per una azienda, a livello di immagine e reputazione, in quanto rende palese la sua inidoneità a proteggere i dati personali dei propri clienti.
Sarà poi necessaria una attenta ricognizione delle misure di sicurezza, per innalzare il livello di protezione in ottica futura, a partire da una separazione logica del backup.
Dall’analisi dei due scenari emerge l’importanza di misure di sicurezza preventivi, per mitigare i rischi di riservatezza, integrità e disponibilità dei dati personali, che se concretizzati possono avere effetti irreversibili.
Per questo motivo, nella nostra attività di consulenza per la conformità al GDPR, predisponiamo un documento sulle misure di sicurezza implementate dall’azienda, segnalando possibili miglioramenti per raggiungere uno standard di protezione elevato.
Inoltre, per reagire ad un Data Breach nei tempi brevi richiesti dalla normativa è altrettanto utile dotarsi di un “Incident Response Plan”, vale a dire una procedura che chiarisca chi deve intervenire e quali attività devono essere fatte negli istanti successivi (e decisivi) di un Data Breach.
Se desiderate approfondire la questione valutando una nostra consulenza, lo Studio Legale è disponibile ad una primo incontro conoscitivo per valutare lo stato di sicurezza attuale dell’organizzazione, fornendovi un preventivo ad hoc per la vostra realtà volto a raggiungere il livello di protezione dei dati richiesto dalla Normativa Europea sulla Privacy.
Articoli correlati