Un data breach da cyberattacco ransomware in Italia: come gestirlo ai sensi del GDPR?

La corretta gestione di un data breach in Italia a seguito di un cyberattacco ransomware può evitare potenziali sanzioni ai sensi del GDPR e danni dovuti a richieste di risarcimento da parte dei clienti in una situazione di notevole difficoltà.

Potete ascoltare il podcast di seguito e su Apple PodcastsGoogle PodcastsSpotify e Audible e leggere l’articolo sull’argomento.

Qual è la dimensione del rischio ransomware?

Il ransomware è un tipo di malware che limita l’accesso al sistema informatico che infetta o ai dati che memorizza (spesso utilizzando tecniche di crittografia) e richiede il pagamento di un riscatto (il c.d. ransom) al creatore o ai creatori del malware.

L’impatto del ransomware sul funzionamento di un’azienda può essere enorme, poiché può criptare in pochi minuti tutti i file nei sistemi informatici, impedendo l’accesso e bloccando la maggior parte delle funzionalità di un’azienda.  Improvvisamente, un messaggio apparirà sul vostro schermo, e non avrete accesso alle e-mail, a qualsiasi file nel database, ai dati dei clienti, a qualsiasi sistema informatico necessario per il funzionamento del vostro impianto, ecc.

E il tempo di inattività può durare un bel po’.  Secondo i dati pubblicati da Group-IB, il numero di attacchi ransomware è cresciuto di oltre il 150% nel 2020. Nel 2020, gli attacchi ransomware, in media, hanno causato 18 giorni di fermo macchina per le aziende colpite, mentre l’importo medio del riscatto è aumentato di quasi due volte.

La pandemia da Covid-19 e un ambiente di lavoro da remoto hanno aumentato l’esposizione al rischio. Le aziende hanno un livello inferiore di controllo sui loro dipendenti, e l’errore umano è la fonte principale dei cyberattacchi.

Cosa può causare un data breach da ransomware ai dati nei vostri sistemi informatici in Italia?

Negli anni precedenti, i cyberattacchi ransomware criptavano i dati nei sistemi della vittima. Questo tipo di attacco può ancora portare a un data breach se una copia di backup dei dati crittografati non è prontamente disponibile in modo che i dati possano essere rapidamente ripristinati.

Tuttavia, gli hacker sono diventati recentemente più sofisticati e hanno capito che con un’esfoliazione di dati personali, hanno più probabilità di ricevere il pagamento di un riscatto.  Così negli ultimi due anni, abbiamo visto spesso hacker che

  1. accedono al sistema della vittima per un po’;
  2. esfiltrano i dati personali, facendo attenzione a limitare il flusso di esfiltrazione dei dati entro i limiti di tolleranza per evitare di essere rilevati dai sistemi di prevenzione della perdita di dati (DLP), cancellando anche i file di log, se possibile;
  3. poi criptano i dati nei sistemi; e
  4. pubblicano alcuni dati personali sul dark web per dimostrare l’effettiva esfiltrazione, minacciando che – se il riscatto non viene pagato entro una settimana – verranno pubblicati migliaia di dati.

Come affrontare un data breach a seguito di un attacco informatico ransomware?

L’European Data Protection Board (EDPB) ha pubblicato le sue linee guida su esempi di violazione dei dati in cui ha affrontato i seguenti scenari relativi a data breach derivanti da attacchi ransomware

  1. Ransomware con dati crittografati a riposo della vittima senza categorie particolari di dati personali coinvolti, con backup adeguato e senza esfiltrazione di dati

❌ nessuna notifica di data breach al Garante e ❌ nessuna comunicazione agli interessati, se i dati possono essere ripristinati rapidamente, ma secondo l’EDPB, quando si tratta di casi ad alto livello di rischio, anche il ripristino dei dati entro il termine di 72 ore può essere considerato insoddisfacente.

  1. Ransomware senza esfiltrazione di dati (che però non si può escludere), ma senza un adeguato backup (ma ripristino manuale in 5 giorni) e senza crittografia a riposo con nessuna categoria particolare di dati personali coinvolta

✅ sì la notifica di data breach al Garante è necessaria, ma ❌ nessuna comunicazione agli interessati, ma dipende dal tempo necessario al ripristino. Inoltre, secondo l’EDPB, se i ritardi nei pagamenti e nelle consegne dovuti al data breach possono comportare una perdita finanziaria per le persone i cui dati sono stati compromessi, si potrebbe anche sostenere che la violazione può comportare un rischio elevato. Tuttavia, potrebbe non essere possibile evitare di informare gli interessati se il loro contributo è necessario per ripristinare i dati criptati.

  1. Ransomware con backup e senza esfiltrazione in un ospedale con categorie particolari di dati personali coinvolti

✅ sì la notifica del data breach al Garante è dovuta, e ✅ sì la comunicazione ai pazienti il cui trattamento era programmato è necessaria. Infatti, secondo l’EDPB, se i dati non possono essere immediatamente ripristinati e questa circostanza comporta un ritardo nel trattamento dei pazienti, questi devono essere informati.

  1. Ransomware senza backup, senza particolari categorie di dati coinvolti, ma con dati finanziari colpiti e con esfiltrazione

✅ sì, la notifica del data breach al Garante è dovuta, ✅ sì la comunicazione agli interessati, poiché – secondo l’EDPB – la comunicazione alle persone è essenziale per compiere i passi necessari per evitare danni materiali (ad esempio, bloccare le loro carte di credito).

Quali misure sono raccomandate per evitare un attacco informatico ransomware?

L’EDPB fornisce una lista molto lunga di misure organizzative e tecniche per prevenire/mitigare gli impatti dei data breach derivanti da attacchi ransomware che includono:

  1. la progettazione e l’organizzazione di sistemi di elaborazione e infrastrutture per segmentare o isolare i sistemi di dati e le reti per evitare la propagazione del ransomware all’interno dell’organizzazione e ai sistemi esterni;
  2. l’esistenza di una procedura di backup aggiornata, sicura e testata con supporti per il backup a medio e lungo termine tenuti separati dalla conservazione dei dati operativi e fuori dalla portata di terzi anche in caso di attacco riuscito;
  3. la formazione dei dipendenti sui metodi di riconoscimento e prevenzione degli attacchi informatici, permettendo loro di stabilire se le e-mail e i messaggi ottenuti con altri mezzi di comunicazione sono autentici e affidabili
  4. l’inoltro o replica di tutti i log a un server di log centrale;
  5. l’adozione di una crittografia e autenticazione forte, in particolare per l’accesso amministrativo ai sistemi informatici;
  6. l’esecuzione regola di test di vulnerabilità e penetrazione;
  7. la creazione di un Computer Security Incident Response Team (CSIRT) o Computer Emergency Response Team (CERT) all’interno dell’organizzazione, o l’adesione ad un CSIRT/CERT collettivo; e
  8. la creazione di un Incident Response Plan, un Disaster Recovery Plan e un Business Continuity Plan, assicurandosi che questi siano testati a fondo.

Su di un simile argomento, è possibile ascoltare il podcast con Pierluigi Paganini, uno dei più grandi esperty di cybersecurity in Italia QUI