Notifica di Data Breach: le nuove Linee Guida dell’EDPB
Sono state pubblicate le nuove Linee Guida del Comitato Europeo per la Protezione dei Dati (EDPB) sugli esempi di notifiche di violazione dei dati personali.
Lo scopo è quello di fornire, ai Titolari del trattamento dei dati, alcune indicazioni e raccomandazioni per la gestione e prevenzione del data breach.
L’EDPB affronta alcuni dei casi più frequenti di violazione dei dati personali, fornendo esempi concreti sulle azioni da adottare.
Ferma l’annotazione del data breach sul registro delle violazioni – sempre prevista – le Linee Guida analizzano, caso per caso, gli ulteriori adempimenti necessari, che vengono sempre valutati, come previsto dal Regolamento, in considerazione della tipologia di dati coinvolti e della sussistenza o meno di un rischio per i diritti e le libertà dei soggetti coinvolti. La presenza di detto rischio rende necessaria la notifica all’Autorità Garante e, nel caso di rischio elevato, anche la comunicazione agli interessati.
Di seguito, un elenco dei casi esaminati dalle Linee Guida, con le relative misure di sicurezza suggerite per scongiurare rischi di violazione.
1) Ransomware: un hacker riesce a crittografare i dati personali e, una volta acquisiti, chiede al Titolare del trattamento un riscatto, in cambio del codice utile per decriptarli.
Le ipotesi esaminate sono di varia natura: ransomware con backup adeguato e senza esfiltrazione, ransomware senza backup adeguato, con backup adeguato e senza esfiltrazione che abbia coinvolto un ospedale, ransomware senza backup adeguato e con esfiltrazione.
Tra le misure di sicurezza che l’EDPB suggerisce, in ogni caso, di adottare, vi sono:
- una procedura di backup sicura e testata;
- appropriati e aggiornati software anti-malware;
- una formazione del personale dipendente circa i metodi per riconoscere e prevenire tali violazioni;
- l’adozione di una crittografia forte o un sistema di autenticazione a più fattori;
- l’esecuzione regolare di test sulla vulnerabilità e penetrazione del sistema.
2) Attacchi di esfiltrazione dei dati: vengono sfruttate dall’aggressore le vulnerabilità nei servizi offerti ai terzi in Internet, con l’obiettivo di copiare e trasferire dati personali per scopi malevoli.
I casi esaminati sono: l’esfiltrazione dei dati di domande di lavoro pubblicate su un sito web, l’esfiltrazione di una password da un sito web e l’attacco ad un sito home-banking.
Queste le misure consigliate:
- una crittografia adeguata, soprattutto quando si trattano password, dati particolari o finanziari;
- un sistema software e firmware aggiornato;
- test regolari per verificare che i backup siano in grado di ripristinare qualsiasi dato violato;
- audit sistematici sulla sicurezza IT e valutazioni della vulnerabilità (penetration test).
3) Errore umano di natura intenzionale o fortuita.
L’EDPB esamina, tra le altre, le seguenti ipotesi: esfiltrazione dei dati aziendali da parte di un dipendente, accidentale trasmissione dei dati ad una terza parte, erroneo invio di dati personali altamente confidenziali.
In questo caso, tra le misure che l’EDPB suggerisce di adottare, vi sono:
- un programma di formazione e sensibilizzazione rivolto al personale dipendente, circa gli errori più comuni che vengono commessi;
- la disabilitazione dell’account aziendale alla cessazione del rapporto;
- il blocco del computer dopo un certo lasso di tempo di inattività;
- l’uso di sistemi che applicano meccanismi di controllo e che impediscono, ad esempio, l’invio di comunicazioni ad un erroneo destinatario;
- la revisione regolare del sistema di indirizzamento automatico;
- l’applicazione del “ritardo del messaggio” che consente, entro un certo periodo di tempo, la cancellazione o la modifica del medesimo.
4) Smarrimento o furto di dispositivi informatici o di documenti cartacei
Le Linee Guida considerano i casi in cui il device rubato contenga dati personali criptati o non criptati e quello in cui i documenti cartacei sottratti contengano dati particolari.
Le misure che l’EDPB suggerisce di adottare sono:
- l’uso di password o l’autenticazione a più fattori su tutti i dispositivi;
- l’attivazione di funzionalità di localizzazione dei dispositivi in caso di perdita o smarrimento;
- il salvataggio dei dati personali su un server centrale (se possibile e appropriato al trattamento dei dati in questione);
- l’adozione di serrature fisiche per proteggere i dispositivi mobili quando rimangono incustoditi;
- l’abilitazione della funzione di cancellazione remota;
- la mancata memorizzazione di informazioni sensibili in dispositivi mobili o nei dischi rigidi.
5) Attacchi di ingegneria sociale: l’hacker convince la vittima a condividere dei dati personali tramite l’inganno.
Le ipotesi analizzate sono il furto d’identità e l’esfiltrazione di mail.
Le nuove Linee Guida confermano ancora una volta che è fondamentale per il Titolare del trattamento valutare attentamente i rischi connessi al trattamento dei dati personali e adottare le misure tecniche e organizzative appropriate, prevedendo altresì un’adeguata procedura per la gestione delle violazioni che dovessero verificarsi nonostante l’implementazione dei sistemi di sicurezza.
Detta procedura consente, infatti, al Titolare di affrontare e gestire al meglio un data breach e gli adempimenti che ne derivano, nel rispetto degli stringenti termini imposti dal Regolamento.