Sono state adottate il 14 Febbraio 2021 le Linee Guida inerenti le ipotesi riguardanti le notifiche dei data breach. L’EDPB (European Data Protection Board) ha ritenuto essenziale adottare le Linee Guida per consentire a quei soggetti che devono valutare le ipotesi di notificazione all’Autorità Garante per la protezione dei dati personali, attiva in ogni Nazione, di disporre di uno strumento di riferimento idoneo a distinguere quali ipotesi sicuramente comportano una notifica all’autorità e quali debbano essere notificate agli interessati, andando ad evidenziare anche quelle ipotesi di esclusione di notificazione qualora gli eventi abbiano rilevanza esclusivamente interna.
Data Breach e Regolamento Europeo (GDPR)
Ricordiamo che per data breach si intende un evento a causa del quale dati personali vengono a conoscenza di soggetti non autorizzati o siano resi non più disponibili oppure ne venga alterata l’integrità. Il Regolamento Europeo in materia di protezione dati personali prevede che in caso di data breach, laddove vi sia una lesione degli interessi legittimi degli interessati o vi possa essere per gli stessi un rischio, si debba provvedere alla notificazione all’Autorità di Controllo nazionale ed alla valutazione della notificazione nei confronti dei soggetti interessati i cui dati hanno subito la violazione.
In considerazione del proliferare di notificazioni, talvolta non rilevanti rispetto alla ratio della norma, l’EDPB ha inteso redigere unitamente ai casi pratici anche le correlate misure che dovrebbero essere adottate in via preventiva sulle quali dovrebbero confrontarsi comunque i Titolari del trattamento anche a seguito di un breach subito.
Cosa accade nel mondo dell’Internet of Things
Le Linee Guida rilevano ovviamente anche nell’ambito dell’Internet of Things. Secondo gli esperti ricercatori di ESET (azienda storica attiva nell’ambito della protezione dei rischi) i ransomware si stanno evolvendo in una variante detta “jackware”, ideata proprio per colpire i dispositivi intelligenti: questi attacchi sono in grado di bloccare l’utilizzo dei dati presenti sui dispositivi, e quindi non consentirne la funzionalità, chiedendo un riscatto per sbloccare il dispositivo stesso.
All’interno delle Linee Guida vi sono diverse ipotesi che possono riguardare l’ambito IoT. A fronte di ciò le Linee Guida indicano tutta un serie di misure di prevenzione sulle quali le aziende titolari di trattamenti dovranno confrontarsi. Innanzi tutto, il documento valorizza in modo importante i processi organizzativi e le misure di prevenzione rispetto alla valutazione dei rischi: vulnerability assessment e penetration test dovrebbero essere valutati come misure atte a verificare preventivamente il livello di esposizione della soluzione rispetto a potenziali attacchi.
Il tema della cifratura è spesso citato nei singoli casi come misura da valutare in proporzione alla tipologia di dati ed informazioni trattate dalla soluzione: anche perché un attacco che potesse escludere la conoscibilità dei dati da parte di terzi ed in presenza di un back-up sicuramente mitigherebbe la responsabilità del Titolare rispetto all’attacco ed agli effetti e conseguenze dello stesso. Viene evidenziata l’importanza dell’utilizzo di strong authentication e del monitoraggio “in tempo reale” dei profili dei soggetti che possono accedere ai sistemi secondo il loro ruolo e la permanenza nei vari progetti di sviluppo, rilascio ed utilizzo della soluzione.
Da valutare da parte del Titolare anche l’adozione di un sistema di intrusion detection and prevention system: ciò permetterebbe di monitorare e talvolta bloccare attività dannose o anomalie che possono essere la premessa a tentativi di attacchi. In un momento particolarmente delicato come questo, l’EDPB evidenzia anche la necessità di preservare le postazioni che, attive da remoto (in smart working), potrebbero costituire involontariamente un veicolo per attacchi alla rete aziendale: ecco perché le VPN dovrebbero essere create e sostenute nel panorama degli investimenti.
Ricordiamo che le Linee Guida fanno riferimento agli attacchi mirati a tutte le tipologie di dati personali: non pensiamo pertanto solo ai dati di consumatori finali IoT, come nell’ambito della domotica o dei giochi intelligenti, ma teniamo in considerazione anche le soluzioni adottate nelle aziende di produzione, dove nei rapporti B2B sussiste comunque un trattamento dati personali ampio, sia con riferimento ai clienti che ai dipendenti. E ricordiamo che la notificazione all’Autorità di controllo nazionale deve essere effettuata entro 72 ore dall’attacco, fornendo tutte le informazioni a disposizione, sia di natura giuridica che informatica, rischiando altrimenti sanzioni che comportano vari milioni di euro (sino a 10 milioni) e sino al 2% del fatturato.
Articolo pubblicato su IOTtoday
L'articolo Le Linee Guida dell’EDPB su attacchi informatici nel mondo IoT proviene da Colin.