La corretta gestione di un data breach a seguito di un cyberattacco ransomware può evitare potenziali sanzioni ai sensi GDPR e danni dovuti a richieste di risarcimento da parte dei clienti in una situazione di notevole difficoltà.
In questo podcast, Giulio Coraggio, responsabile del settore Technology di DLA Piper, illustra il fenomeno ransomware, le conseguenze che può avere sull'azienda, la posizione dell'EDPB su quando questa tipologia di data breach fa derivare obblighi di notifica al Garante e comunicazione agli interessati e quali misure adottare per prevenire il suo verificarsi e limitarne le conseguenze.
Travate la trascrizione del podcast a questo LINK e potete iscrivervi alla nostra newsletter settimanale “Innovation Law Insights”, scrivendo a eventi@dlapiper.com
Buongiorno a tutti, sono Giulio Coraggio, responsabile del settore Technology di DLA Piper. Questo è il podcast "Diritto al Digitale".
Oggi parliamo di ransomware, una tipologia di attacchi sempre più frequenti nella realtà di oggi. L'effetto di un attacco ransomware è veramente scioccante, improvvisamente i sistemi informatici di un'azienda sono crittografati, tutti i dipendenti non possono accedere ai dati e compare sullo schermo degli individui un messaggio chiedendo il pagamento di un ransom, di un riscatto per poter ritornare ad avere accesso ai dati.
Le dimensioni del fenomeno ransomware sono diventate sempre più grandi se si tiene conto che, secondo alcune stime, sono aumentate addirittura del 150% nel 2020, quindi nel 2021 ancor di più, e per la nostra esperienza personale veramente stanno diventando sempre più diffusi.
La dinamica di questa tipologia di attacchi è tipicamente la seguente. Il cybercriminale accede al sistema informatico, molto spesso esfiltrano i dati prima di procedere alla loro criptazione e quindi chiedono un riscatto, pubblicando alcuni dati sul cosiddetto dark web, come per dare prova dell'avvenuta esfiltrazione.
Cosa succede da un punto di vista regolatorio per le aziende? Cosa bisogna fare? Ecco lo European Data Protection Board ha emesso delle linee guida, dando degli esempi, differenziando quattro scenari diversi.
Se non c'è stata e filtrazione ed esisteva un back-up che consente il ripristino veloce dei dati e i dati erano criptati, non bisogna procedere né alla notifica del data breach né alla comunicazione agli interessati, a condizione che il ripristino possa essere veloce.
Se non c'è stata esfiltrazione, ma il back-up non è in grado di ripristinare però i dati in un tempo veloce e non c'è presente un sistema di criptografia, però la notifica al Garante sarà necessario e bisogna anche valutare la comunicazione agli interessati, se i tempi di ripristino manuale sono eccessivamente lunghi.
La situazione diventa più complessa nel caso in cui siano coinvolte categorie particolari di dati, quali per esempio i dati sulla salute, se un attacco cyber di questo genere è subito per esempio da un ospedale. Ecco in questo caso l'approccio del Board è molto più stringente richiede sia la notifica che la comunicazione agli interessati, anche se non c'è stata esfiltrazione e se era presente un sistema di back-up, tenendo conto dei possibili impatti sulla salute di un eventuale accesso a questi dati.
Ultimo scenario da considerare è l'ipotesi in cui non ci sia stato l'accesso a dati sulla salute o a categorie particolari dei dati, ma ci sia stata accesso a dati finanziari e questi sono stati oggetto di esfiltrazione e non è presente un back-up veloce. In questo caso, i possibili danni economici subiti dagli interessati potrebbero essere notevoli e quindi si deve procedere alla notifica al Garante e alla comunicazione agli interessati.
Come le aziende si devono proteggere da questa tipologia di attacchi? In primis, bisogna segmentare i database, bisogna avere una procedura di back-up aggiornata, anche tale da segmentare ancora una volta le copie di back-up dal database principale, bisogna formare i dipendenti. Non ci stancheremo mai di dirlo, la maggior parte di questa tipologia di attacchi cyber deriva da un errore umano e poi tutti i log devono essere conservati in parti separate del database principale. Ricostruire la situazione è anche la forma di crittografia avanzata rappresenta una difesa notevole per poter evitare che ci sia stato un effettivo accesso ai dati da parte dei criminali. Infine l'esecuzione di test di vulnerabilità frequenti rappresenta una regola fondamentale per mettere in sicurezza le aziende e limitare questa tipologia di attacchi che può essere vi assicuro decisamente importante per un'azienda.