Guidelines 01/2021 on Examples regarding Data Breach Notification del 14 dicembre 2021

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en

L’EDPB in qualità di organo autonomo, contribuisce all’applicazione omogenea del Regolamento dando delle importanti indicazioni a tutte le Autorità garanti.

In data 14 dicembre 2021 ha adottato le Linee guida n. 1/2021 dotate di taglio pratico con lo scopo di fornire dei consigli e buone pratiche in caso di data breach.

Ricorre in più passaggi del testo l'importanza della cyber resilience, intesa come capacità di resistere ad un attacco, ma anche di avere una pronta ripartenza a fronte di un attacco informatico.

In primo luogo è importante evidenziare il richiamo che viene fatto al Parere n. 3/2014 del WP29 sul significato di data breach. Quest'ultimo, sottolineano le Linee guida, non è solo violazione della riservatezza dei dati, ma può concretizzarsi in un nocumento alla integrità o disponibilità degli stessi.

L’EDPB passa poi ad una analisi di casi concreti e frequenti, suddivisi in macrocategorie.

 La prima che si va ad analizzare – e sul quale si è soffermato in particolare il Team – è quella dell'attacco ransomware.

A sua volta vengono portati quattro esempi pratici, in ordine di gravità. A conclusione di ciascuno esempio si trovano due parti denominate rispettivamente “misure preliminari e valutazione del rischio” e “mitigazioni e obblighi”.

 Caso 1. Un'azienda manifatturiera viene colpita da un ransomware. I dati sono backuppati e crittografati ( crittografia a riposo). La chiave di decrittazione non è stata compromessa e quindi l'attaccante ha a disposizione solo dati crittografati. Da un'indagine svolta dal Titolare sembra che non ci sia stata esfiltrazione di dati. Il backup è disponibile sin da subito, pertanto non ci sono stati ritardi nella gestione della clientela o dei dipendenti.

L’EDPB ritiene che non sia necessario fare la notifica né alla Autorità Garante né agli interessati circa questo attacco.

Caso 2. Un'azienda agricola subisce un attacco. I dati personali non sono backuppati, ma vengono criptati dall'attaccante senza tuttavia esfiltrarli. I dati personali si riferiscono ai dipendenti ed ai clienti, poche decine di individui in tutto. La mancanza di backup ha comportato una ripartenza di cinque giorni e lievi ritardi nelle consegne ai clienti.

In questo caso è opportuno fare la comunicazione alla Autorità Garante.

Caso 3. Un ospedale viene attaccato e buona parte dei dati è stata crittata. Dall'analisi effettuata sembra che i dati particolari non siano stati esfiltrati. I dati sono stati recuperati in due giorni, ma ciò ha determinato ritardi nella gestione e cura dei pazienti, e annullamenti di operazioni mediche già fissate.

In questa ipotesi è corretto procedere con la notifica sia alla Autorità che ai soggetti interessati.

Caso 4. Il server di un'azienda di trasporto pubblico è stato esposto ad un attacco ransomware ed i dati sono stati crittati dall'attaccante ed anche esfiltrati. I dati sono personali, nome e cognome, indirizzi di casa, numeri di telefono e dati delle carte di credito. C'è un backup dei dati, ma è stato crittato dall'attaccante.

In questa ipotesi è necessario procedere con la notifica sia alla Autorità che ai soggetti interessati. Questi interessati potrebbero essere vittime di phishing, furto di identità, sostituzione di persona.

Tra le numerose forme di mitigazione del rischio si indicano a titolo esemplificativo:

• fare patch di aggiornamento dei sistemi e tenerne traccia (anche a livello temporale);
• backup aggiornato, sicuro e testato;
• il backup va tenuto separato dall'archiviazione dei dati operativi e fuori dalla portata dei terzi non autorizzati;
• avere un software antimalware sempre aggiornato;
• avere un firewall aggiornato;
• formazione dei dipendenti affinché riconoscano gli attacchi;
• identificare la tipologia di codice malevolo per vedere le conseguenze dell'attacco;
• crittografia avanzata e autenticazione a più fattori, in particolare per l'accesso amministrativo ai sistemi IT, corretta gestione di chiavi e password;
• test periodici di vulnerabilità e penetrazione;
• istituire un Computer Security Incident Response Team (CSIRT) o Computer Emergency Response Team (CERT) all'interno dell'organizzazione o aderire a un CSIRT/CERT collettivo.