Il Garante Privacy ha recentemente adottato un provvedimento (LINK) su una tematica di grande attualità: l’attacco ransomware.

Il ransomware è un programma informatico dannoso che può “infettare” un dispositivo digitale con lo scopo di bloccare l’accesso a tutti o ad alcuni dei file presenti nel dispositivo infettato al fine di permettere all’hacker di chiedere un riscatto all’organizzazione attaccata per la liberazione di tali file.

A tal riguardo, l’Agenzia dell’Unione europea per la cybersicurezza (ENISA), nel suo report annuale “Threat Landscape 2021”, ha precisato che gli attacchi tramite ransomware sono stati valutati come la minaccia primaria in ambito cybersecurity per il periodo 2020/2021.

L’incidente informatico alla base del provvedimento del Garante Privacy

La società Minelli S.p.A. ha subito un incidente di sicurezza consistente nella temporanea perdita di disponibilità dei dati presenti in alcuni server e PC aziendali e nella probabile perdita di riservatezza degli stessi dati. Tale incidente di sicurezza è il risultato di un attacco informatico ransomware che ha determinato la criptazione dei dati contenuti in tali server e PC (con conseguente impossibilità di accedere agli stessi e trattarli) e la probabile esfiltrazione degli stessi.

La violazione ha determinato la perdita di riservatezza e di confidenzialità dei dati personali e ha coinvolto circa 800 interessati tra dipendenti/consulenti, soggetti che ricoprono cariche sociali, clienti e fornitori.  I dati coinvolti hanno ad oggetto sia dati comuni di dipendenti, clienti, fornitori e titolari di cariche sociali sia i dati relativi al giudizio di idoneità alla mansione dei dipendenti.

In ogni caso, al momento della violazione, il titolare effettuava regolarmente il back up dei dati tramite il quale è riuscito a ripristinare i dati resi indisponibili.

A seguito di tale incidente, il titolare ha effettuato una notifica preliminare di data breach, seguita da una notifica integrativa, nonché ha comunicato tale data breach ad uno solo dei soggetti interessati coinvolti nell’incidente informatico.

Le considerazioni del Garante Privacy

Il Garante Privacy, tenendo in considerazione che:

  • i dati oggetto di violazione si riferiscono a un numero elevato di soggetti (circa 800 interessati);
  • la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche;

ha ingiunto a Minelli S.p.A. di:

  • comunicare la violazione dei dati personali a tutti i soggetti interessati coinvolti dal data breach senza ritardo, e comunque entro dieci giorni dalla data di ricezione del provvedimento;
  • fornire, entro sette giorni dalla predetta comunicazione, un riscontro adeguatamente documentato in merito alle azioni intraprese e alle eventuali ulteriori misure adottate per attenuare i possibili effetti pregiudizievoli del data breach nei confronti dei soggetti interessati.

Il Garante Privacy, in ogni caso, non ha emesso alcun provvedimento sanzionatorio nei confronti della società.

Suggerimenti

 Le misure di contrasto ad attacchi ransomware possono essere di tipo tecnico, quale ad esempio:

  • l’implementazione di strategie di backup;
  • la restrizione all’accesso a noti siti ransomware;
  • il monitoraggio dei sistemi informatici al fine di identificare velocemente eventuali infezioni;
  • la corretta gestione delle credenziali di autenticazione, ecc.

Altrettanto importanti sono le misure di sicurezza di tipo organizzativo quale l’organizzazione di momenti di formazione e sensibilizzazione in favore del personale. Tali misure, in ogni caso, dovranno essere correttamente riportate nel registro delle attività di trattamento predisposto e aggiornato dai titolari e dai responsabili del trattamento.

Infine, qualora l’attacco ransomware risulti in una violazione dei dati personali (cd. data breach) il titolare del trattamento deve effettuare la notifica al Garante/ai soggetti interessati nei casi previsti dalla legge. A tal riguardo, al fine di non farsi trovare impreparati, si suggerisce di:

  • predisporre e aggiornare policy per la gestione dei data breach;
  • effettuare attività di formazione in favore del personale;
  • svolgere simulazioni ad hoc al fine di verificare l’effettiva implementazione di tale policy e il livello di sensibilità del personale su tale tematica; nonché
  • predisporre e aggiornare il registro delle violazioni.