Privacy e ransomware: come gestire 4 tipici attacchi

Posted onAuthorStefano BendandiLeave a comment

Privacy e ransomware: come gestire 4 tipici attacchi
Image courtesy Pixabay

In un precedente post abbiamo visto le linee guida del Comitato Europeo per la protezione dei dati personali (EDPB) sulla gestione degli attacchi ransomware in relazione al tema della privacy.

In questo articolo esamineremo, in particolare, i 4 casi di ransomware che le linee guida considerano con l’obiettivo di assistere i titolari del trattamento nel processo di valutazione e notifica delle violazioni di sicurezza.

L’EDPB fornisce in ogni caso affrontato informazioni utili per:

  1. individuare le misure di sicurezza da applicare prima che un eventuale attacco si verifichi;
  2. comprendere come valutare alcuni aspetti della violazione subita, tra cui quelli relativi ai rischi per i diritti e le libertà degli interessati e all’impatto ed alla severità degli effetti dell’attacco;
  3. individuare le azioni necessarie per gestire correttamente la violazione subita;

1. Privacy e ransomware: le misure di sicurezza preventive

Poiché gli attacchi ransomware sfruttano spesso vulnerabilità note dei sistemi, le principali misure di sicurezza consigliate includono:

  1. misure per prevenire gli attacchi: un sistema di gestione delle patch di sistemi, l’adozione di sistemi di rilevazione dei malware e una adeguata formazione dei dipendenti in ambito cybersecurity;
  2. misure per mitigare gli effetti dell’attacco: predisporre e verificare un backup separato dei dati;

2. Privacy e ransomware: presenza di backup e nessuna diffusione all’esterno dei dati

Una piccola azienda manifatturiera subisce un attacco ransomware ai propri sistemi informatici. L’attacco non interessa il sistema di posta elettronica, né i sistemi client, ma l’aggressore riesce a cifrare i dati memorizzati negli altri sistemi.

I dati riguardano clienti e dipendenti della società, poche decine di persone in tutto. In precedenza, questi stessi dati sono stati criptati in fase di memorizzazione utilizzando un algoritmo di crittografia allo stato dell’arte.

L’aggressore non può compromettere la chiave con la quale i dati sono stati cifrati dal titolare, ma riesce soltanto a cifrarli, a sua volta, senza diffonderli all’esterno.

Il recupero dei dati avviene in poche ore dopo l’attacco, grazie alla disponibilità di un backup. La violazione non ha conseguenze sul funzionamento quotidiano dell’organizzazione del titolare. E non ci sono ritardi nei pagamenti dei dipendenti o nella gestione delle richieste dei clienti.

2.1 Considerazioni sui rischi e azioni

Nel caso in esame i rischi per i diritti e le libertà degli interessati riguardano soprattutto l’aspetto di disponibilità dei dati. Mentre i rischi di confidenzialità sono ridotti al minimo.

Infatti, l’aggressore ha accesso ai soli dati cifrati mediante algoritmo crittografico. L’algoritmo, al momento del suo utilizzo, può ritenersi adeguato in relazione allo sviluppo tecnologico. E l’aggressore non riesce a violare la chiave di decifrazione.

Gli effetti pregiudizievoli sulla disponibilità dei dati sono mitigati da un pronto recupero dei dati attraverso il backup. Inoltre, la violazione non ha effetti sull’attività dell’organizzazione.

Tutto sommato, quindi, il livello di rischio non richiede una notifica all’autorità garante nè ai singoli interessati. Il tracciamento della violazione in un apposito registro è, invece, necessario.

3. Privacy e ransomware: mancanza di backup

Un attacco ransomware colpisce uno dei computer di una azienda agricola. I dati interessati dall’attacco riguardano clienti e dipendenti, in tutto poche decine di persone. E non sono di natura particolare o sensibile. L’aggressore cripta i dati, ma non riesce a diffonderli all’esterno dell’azienda.

Non c’è alcun backup per cui i dati devono essere recuperati da archivi cartacei. Le operazioni di recupero richiedono cinque giorni lavorativi e comportano dei lievi ritardi nella consegna degli ordini ai clienti.

Il caso serve come esempio di data breach che ha un certo rischio per gli interessati.

3.1 Considerazioni sui rischi e azioni

Come nel primo caso anche i rischi di questa violazione riguardano soprattutto l’aspetto di disponibilità dei dati mentre sono minori per la confidenzialità.

Tuttavia, a complicare le cose, c’è in tal caso la mancanza di un backup elettronico che può ritenersi un fattore di accrescimento del rischio.

Senza un backup ed in assenza di altre fonti utilizzabili per tentare il recupero, i dati sono persi. E la severità di questo effetto dipende dall’impatto sui diritti e le libertà dei soggetti interessati.

Nel caso in esame, sebbene i dati siano stati recuperati attraverso gli archivi cartacei, la durata delle operazioni di ripristino comporta dei lievi ritardi nella consegna degli ordini ai clienti. Inoltre, è possibile che altri dati (es. metadati) siano andati persi.

Proprio per questo il titolare deve comunicare la violazione all’autorità di controllo, oltre a tracciarla in un apposito registro. Tuttavia, non c’è un rischio elevato per i diritti e le libertà degli interessati, per cui non è richiesta la notifica anche a questi ultimi.

4. Privacy e ransomware: nessuna diffusione all’esterno dei dati e presenza di backup in un ospedale

Un attacco ransomware colpisce il sistema informatico di un ospedale. I dati colpiti riguardano dipendenti e pazienti e si riferiscono a migliaia di individui. Essi includono dati particolari o sensibili. L’aggressore riesce a cifrare i dati ma non è in grado di diffonderli all’esterno.

La maggior parte dei dati è recuperata grazie alla presenza di backup in forma elettronica. Le operazioni di recupero richiedono però due giorni lavorativi e causano gravi ritardi nel trattamento dei pazienti.

Numerosi interventi chirurgici sono cancellati e/o rinviati, con un conseguente abbassamento dei livelli dei servizi per l’indisponibilità dei sistemi.

Il caso serve come esempio di un data breach che ha un rischio elevato per i diritti e le libertà degli interessati.

4.1 Considerazioni sui rischi e azioni

La quantità dei dati violati e la loro natura particolare, nonché il numero delle persone interessate e la durata delle operazioni di ripristino che causano gravi ritardi nella cura dei pazienti impongono al titolare l’obbligo di una notifica all’autorità di controllo.

Inoltre, il titolare dovrebbe effettuare una comunicazione a tutti i soggetti che hanno sofferto le conseguenze dell’indisponibilità dei dati durante il tempo necessario a ripristinarli.

5 Privacy e ransomware: nessun backup e nessuna diffusione dei dati

Un attacco ransomware colpisce il server di una società di trasporto pubblico. I dati colpiti si riferiscono a migliaia di individui e riguardano clienti, dipendenti e persone che fruivano dei servizi dell’azienda. Oltre ai dati di identità, le informazioni personali sono relative ai numeri delle carte di identità e alle carte di credito utilizzate negli acquisti dei biglietti online.

L’aggressore cripta i dati e riesce anche a diffonderli all’esterno. Inoltre riesce a cifrare il database predisposto per il backup dei dati.

5.1 Considerazioni sui rischi e azioni

La violazione coinvolge non soltanto aspetti di disponibilità ma pure di riservatezza. Infatti, l’aggressore riesce a diffondere i dati all’esterno dell’organizzazione.

Ci sono poi altri fattori che aumentano il rischio stesso: il numero elevato di persone coinvolte, la grande quantità dei dati colpiti e la natura sensibile degli stessi (es. dati finanziari come i dettagli delle carte di credito).

L’impossibilità di procedere al recupero dei dati a causa della indisponibilità del backup, cifrato dall’aggressore, peggiora ulteriormente la natura della violazione.

Il caso è un tipico esempio di data breach che presenta un rischio elevato per i diritti e le libertà degli interessati. I danni per questi soggetti possono essere sia materiali (es. perdite finanziarie legate alla diffusione dei dettagli delle carte di credito) che immateriali (es. furti di identità).

Perciò, il titolare ha l’obbligo di tracciare la violazione, notificarla all’autorità di controllo e, infine, comunicarla ai soggetti i cui dati siano stati interessati dall’evento.

6. Attacchi ransomware: le misure consigliate

Una buona parte della gestione degli attacchi ransomware si gioca sul terreno della prevenzione. Per questo motivo le linee guida 1/2021 relative ad esempi di data breach propongono un elenco di misure di sicurezza tecniche ed organizzative applicabili.

Si tratta ovviamente soltanto di spunti utili e non di un elenco esaustivo. D’altra parte, il titolare dovrebbe applicare le misure consigliate solo dopo una analisi dei rischi e dei costi/benefici per l’organizzazione interessata.

6.1 Misure tecniche

  1. aggiornare il firmware, il sistema operativo e il software di server e client ed i componenti di rete attivi;
  2. applicare le misure di sicurezza ragionevoli ed assicurarsi che siano efficaci ed aggiornate in relazione ai cambiamenti, sia tecnologici che organizzativi;
  3. segmentare o isolare i sistemi di dati e le reti per evitare che i malware si diffondano all’interno dell’organizzazione e ai sistemi esterni;
  4. installare ed aggiornare un sistema di rilevazione dei malware;
  5. predisporre un firewall ed un sistema di rilevamento delle intrusioni adeguato ed aggiornato; e redirigere tutto il traffico di rete attraverso questi sistemi;
  6. predisporre soluzioni per verificare l’autenticità ed affidabilità dei messaggi di posta elettronica e di altri strumenti di comunicazione;
  7. individuare le possibili misure di sicurezza per mitigare gli effetti di un attacco ransomware (es. recupero dei dati mediante backup);
  8. inoltrare o replicare tutti i log ad un server centralizzato ed adottare strumenti per garantire l’integrità delle registrazioni dei log;
  9. adottare sistemi di autenticazione e crittografia forti abbinati ad una gestione adeguata delle password e delle chiavi di cifratura;

6.2 Misure organizzative

  1. pianificare un adeguata formazione dei dipendenti e collaboratori sul riconoscimento e la prevenzione degli attacchi informatici;
  2. predisporre e verificare regolarmente le procedure di backup dei dati e aggiornarle; assicurare che i supporti per il backup siano conservati separatamente dai dati operativi e al di fuori della portata di terzi non autorizzati;
  3. effettuare regolarmente test di vulnerabilità e di intrusione nei sistemi;
  4. creare un piano di risposta agli incidenti di sicurezza che preveda la creazione di un team dedicato all’interno dell’organizzazione oppure la possibilità di usare un servizio esterno;
  5. effettuare una analisi dei rischi e rivederla periodicamente, soprattutto in fase di valutazione delle misure di sicurezza;

Iscriviti alla nostra newsletter e unisciti agli altri.
Proteggiamo la riservatezza dei tuoi dati e li utilizziamo solo per inviarti la newsletter. Se hai dato il consenso i tuoi dati saranno utilizzati anche per finalità di marketing e comunicazione commerciale. I tuoi dati saranno condivisi soltanto con i fornitori di servizi essenziali che permettono l'invio della newsletter e di altre comunicazioni. Per maggiori informazioni consulta la Privacy Policy
Do il consenso per trattare i miei dati personali a scopo di marketing
Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.