#CybersecurityCafé

di Alessandro Sinibaldi, CERT-PA

Nello scorso numero, abbiamo visto cosa è un data breach, perché si verifica e quali contromisure possano essere messe in atto per evitarlo. Questa volta, invece, ci dedicheremo in particolare alla fase di risposta.

Nel momento in cui si verifica un incidente, o data breach, è importante muoversi in maniera coordinata e precisa, sulla base di responsabilità chiare e preventivamente definite, in modo da evitare di agire in modo potenzialmente nocivo in preda al panico. Un Data Breach Response Plan è un insieme di procedure e risorse che vengono messe in atto in occasione di un incidente allo scopo di:

1. Rispondere all’emergenza e evitare ulteriori danni. In questa fase occorrerà raccogliere le informazioni sull’incidente, documentare tutto insieme a data e ora di accadimento, agire per priorità sulla base dell’analisi del rischio, comunicare con tutti gli Stakeholder diffondendo le informazioni necessarie, mettere in sicurezza le aree coinvolte e allertare se necessario le autorità
2. Investigare le cause, preservando le evidenze in caso di un’ulteriore prosecuzione giudiziaria.
3. Ripristinare i sistemi compromessi. Una volta creato il piano, esso andrà periodicamente verificato tramite opportuno audit.

Una Data Breach Policy è un documento in cui l’ente, sulla base della propria mission e dei dati trattati, rende nota la procedura da seguire per assicurare un approccio efficace e coerente alla gestione di data breach e incidenti di sicurezza. L’obiettivo della policy deve essere minimizzare il rischio associato con il breach e delineare le azioni da compiere per ridurre le perdite e ripristinare velocemente la normale operatività. Essa deve dichiarare prima di tutto a chi è applicabile (ad esempio, se l’ente è un’università, allo staff, agli studenti, ai consulenti e ai fornitori).

Tra gli argomenti che devono sicuramente comparire ci sono: i ruoli e le responsabilità, eventualmente con le indicazioni dell’orario di lavoro delle varie figure coinvolte e delle modalità di contatto (telefono, e-mail ecc.); le informazioni da raccogliere per dettagliare il breach (data e ora, nome di chi compila il rapporto, natura dell’informazione coinvolta e la sua sensibilità, descrizione dell’evento, impatto su cose e persone, estensione). Le procedure disciplinari o impatto giudiziario, quando applicabile, nel caso di cattivo comportamento accertato; le modalità di contenimento e ripristino; le contromisure in essere; le modalità di comunicazione verso l’interno dell’ente, le autorità, la stampa e eventuali terzi coinvolti) e infine le modalità di revisione della policy (ogni quanto tempo deve essere effettuata e con quale iter) e il template del report da compilare nel caso di data breach.

Nel caso in cui ci si dovesse accorgere di essere stati vittima di un data breach la prima cosa da fare è quella di non farsi prendere dal panico e agire in modo scomposto ma, anzi, applicare subito le procedure previste dalla policy. Relativamente al punto 6 del paragrafo precedente e cioè all’aspetto della comunicazione, il GDPR prevede espressamente l’obbligo di notifica da parte del titolare qualora si sia in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. In particolare, l’art. 33 impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza, e cioè nel momento in cui ha ragionevole certezza dell’avvenuto data breach. L’eventuale dolo da parte del titolare verrà valutato a posteriori qualora emerga dall’indagine la carenza di contromisure appropriate. L’obbligo di notifica tempestiva impegna anche il responsabile nei confronti del titolare, il quale verrà considerato a conoscenza nel momento in cui sarà avvenuta tale comunicazione. La notifica deve almeno (art. 33 GDPR):

1. descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
2. comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
3. descrivere le probabili conseguenze della violazione dei dati personali;
4. descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

L’Autorità di controllo a cui fare la notifica (via PEC all’indirizzo: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.) del data breach ha carattere nazionale. Nel caso dell’Italia è il Garante per la protezione dei dati personali (Garante Privacy). Qualora un’ente operi in più paesi e sia quindi potenzialmente sotto la giurisdizione di più autorità il GDPR ha introdotto il principio dello sportello unico (one stop shop) che è l’autorità di controllo del paese dove si trova la sede principale e che coopererà con le altre in caso di data breach con impatto transfrontaliero. Qualora, invece, l’impatto sia locale, l’autorità di riferimento sarà quella del paese ove avviene il trattamento che è stato oggetto di data breach.

Oltre alla comunicazione della violazione all’autorità di controllo, il titolare dovrà anche provvedere a dare comunicazione senza ingiustificato ritardo al diretto interessato qualora il data breach sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Nel caso di furto di dati personali e/o sensibili gli autori del fatto, se si esclude un utilizzo diretto, possono decidere o di metterli in vendita sul mercato nero (verosimilmente il cosiddetto dark web) o di pubblicarli in chiaro, a fine dimostrativi, su siti spesso usati a questo fine come ghostbin.co o pastebin.com magari annunciandone la presenza su social network come Twitter.