Indice:

  1. Per correre ai ripari efficacemente in caso di ransomware
  2. Attenzione all’inserimento in Whatsapp di contatti ai fini commerciali
  3. Precisazioni sul controllo dei lavoratori con il monitoraggio delle attività in Internet
  4. Valutazione dei rischi: i punti di vista delle diverse normative
  5. Gli attacchi informatici di 16 mesi
  6. Due modelli per affrontare l’analisi dei rischi
  7. Sarà duratura la nuova modalità di controllo dei green pass?
  8. L’idoneità del DPO si misura in base agli anni di esperienza?
  9. Quand’è che un trasferimento di dati all’estero ricade sotto il CAPO V del GDPR?
  10. Per quali operatori si applicano gli obblighi delle misure europee di sicurezza informatica?
  11. Violazioni di dati personali e sanzioni, in breve

Per correre ai ripari efficacemente in caso di ransomware

Nell’articolo Ransomware, salvarsi è possibile se ci si pensa seriamente in anticipo, Umberto Rapetto ci indica quali misure prendere contro il ransomware, elencandole per argomento.

Pianificare le copie di salvataggio: stabilire cosa e quando sottoporre a backup e rispettare rigorosamente le scadenze.

Identificare i file da salvare: i costi potrebbero imporre di stabilire un ordine di priorità in base all’importanza aziendale dei file [e all’impatto sugli interessati di possibili data breach relativi ai dati personali, ndr]. Tra i file più importanti, vi sono i registri degli eventi, i file utente e le applicazioni [e non si tralasceranno certamente i dati degli eventuali propri clienti, ndr].

Essere consci dei tempi di ripristino: il Recovery Time Objective (RTO) è il tempo necessario per riportare il sistema nelle ordinarie condizioni operative. E’ necessario determinarlo e verificare che sia compatibile con le esigenze dell’azienda [e dei propri clienti, ndr]. Va considerata una serie di parametri, dalla larghezza di banda disponibile (sia in azienda, sia presso l’eventuale struttura di backup dislocata altrove), alle limitazioni di trasferimento di file.

Inoltre, la struttura informatica dell’azienda può essere complessa e richiedere la valutazione delle dipendenze tra un sistema e l’altro e la determinazione della sequenza di ripristino.

Individuare anche il tempo di backup: le operazioni di salvataggio hanno una durata proporzionale alle dimensioni e tipo dei file e impattano sui processi aziendali cui questi afferiscono. Diventa quindi significativo anche il momento dell’esecuzione dei backup.

Identificare cosa mettere online e cosa no: può essere opportuno non mettere in rete taluni set di file di backup, quali quelli strategici relativi a password, certificati digitali, chiavi crittografiche ed altre informazioni chiave per l’azienda.

Altre considerazioni da fare in relazione all’importanza del set di backup: il numero di copie, anche sino a 3 (una principale e due di scorta); i diversi supporti delle memorizzazioni che dovrebbero essere un paio; il luogo in cui custodire le copie su supporti fisici, magari diversi dalla sede aziendale.

[Quanto sopra non costituisce un modo per evitare un attacco ransomware, o altro tipo di data breach, ma consente di correre ai ripari efficacemente, quando questo sia avvenuto; ndr]

 

Attenzione all’inserimento in Whatsapp di contatti ai fini commerciali

E’ possibile che non si sia mai pensato e quindi è bene tener presente, come ci segnala l’articolo Chi vi aggiunge ad un gruppo su WhatsApp senza il vostro consenso può essere sanzionato per violazione della privacy, che un utente privato non commette un’infrazione quando crea un gruppo per svago o altre attività strettamente personali in cui coinvolge familiari, ma la stessa cosa fatta nell’ambito di un’attività commerciale o professionale richiede il rispetto di tutte le disposizioni del GDPR, a partire dalla richiesta del consenso ai contatti interessati. Sono già stati emessi provvedimenti in materia dal Garante della privacy spagnolo.

Per informazione, Whatsapp ci consente di impostare talune limitazioni all’inserimento in un gruppo del nostro contatto da parte di altri:

  • l’opzione “I miei contatti” consente di aggiungerci ad un gruppo solo agli utenti presenti nella nostra rubrica,
  • l’opzione “I miei contatti eccetto…” permette di fare un’ulteriore selezione tra i numeri della rubrica.

 

Precisazioni sul controllo dei lavoratori con il monitoraggio delle attività in Internet

L’articolo Cassazione: il datore di lavoro può controllare dalla navigazione internet del pc aziendale se il dipendente lavora afferma che, a fronte del Jobs Act, non è più vietato tracciare la “navigazione” su internet del lavoratore ai fini di una contestazione disciplinare. Tuttavia ciò deve rispondere a determinate condizioni: il preventivo accordo sindacale (in assenza del quale l’eventuale infrazione rilevata non può essere sanzionata) e l’aver dimostrato la finalità “difensiva” del controllo nei confronti del patrimonio aziendale o di precise esigenze produttive, nonché per la sicurezza del lavoro.

In pratica, come sostenuto da una sentenza della Cassazione, i dati registrati da impianti ed apparecchi di controllo remoto, installati per evitare attività illecite, o per motivi organizzativi, che rilevano l’attività lavorativa dei dipendenti, non possono essere utilizzati per provare l’inadempimento contrattuale dei lavoratori medesimi.

Il controllo della navigazione su Internet, in particolare, può essere legittimato solo dalla necessità, individuata e comunicata, della sicurezza del patrimonio anche immateriale dell’azienda (i dati) rispetto ai rischi del collegamento in rete.

 

Valutazione dei rischi: i punti di vista delle diverse normative

L’articolo La valutazione dei rischi a fronte della Norma ISO/IEC 27001:2013, del Regolamento UE 2016/679 e della Norma ISO/IEC 27701:2019 ci offre un chiaro riepilogo.

Le normative al riguardo della valutazione dei rischi:

  • ISO/IEC 27001:2013 “Sistemi per la gestione della sicurezza delle informazioni – Requisiti”,
  • ISO/IEC 27701:2019 “Estensione della ISO/IEC 27001 e della ISO/IEC 27002 per la gestione della privacy delle informazioni – Requisiti e linee guida”,
  • Regolamento UE 2016/679 (GDPR).

La ISO/IEC 27001:2013 mira alla tutela dell’organizzazione relativamente alla sicurezza delle informazioni. La valutazione dei rischi riguarda quelli relativi alla riservatezza, integrità e disponibilità delle informazioni e considera gli impatti e le conseguenze a lungo termine sull’organizzazione, in caso di perdita di tali attributi.

Il Regolamento UE 2016/679 e la ISO/IEC 27701:2019 mirano alla sicurezza dei dati personali; la valutazione dei rischi considera gli impatti sugli interessati in relazione ai loro diritti e libertà, in caso di perdita di riservatezza, integrità e disponibilità dei dati personali.

Si tratta di due diverse valutazioni dei rischi che possono, a discrezione dell’organizzazione, essere o meno integrate, cioè effettuate in un’unica soluzione, oppure eseguite separatamente l’una dall’altra, in relazione al  contesto in cui si opera, alle esigenze ed aspettative delle parti interessate ed al proprio sistema di gestione.

Entrambe le norme 27001 e 27701 richiedono che l’analisi dei rischi individui le conseguenze che si avrebbero nel caso in cui le minacce si concretizzassero [nonché le misure tecniche ed organizzative per ridurre la probabilità di accadimento e/o la gravità del danno; ndr].

 

Gli attacchi informatici di 16 mesi

L’articolo Privacy & Cybersecurity: la relazione annuale di Enisa riferisce su un rapporto che copre il periodo da aprile 2020 fino a luglio 2021, evidenziando l’aumento della criminalità informatica sia come numero di attacchi, che in termini di complessità ed impatto degli stessi.

Le minacce che si sono concretizzate sono state identificate in nove gruppi:

  • Ransomware;
  • Malware;
  • Attacchi informatici connessi alle criptovalute;
  • Minacce legate alla posta elettronica;
  • Minacce contro i dati;
  • Minacce contro la disponibilità e l’integrità dei dati;
  • Fenomeni della misinformazione e della disinformazione;
  • Minacce non maligne;
  • Attacchi alla catena di approvvigionamento.

 

La maggior occorrenza riguarda il ransomware, che costituisce una considerevole fonte di guadagni per gli hacker, assieme agli attacchi connessi alle criptovalute.

La porta di accesso a dispositivi ed account è spesso costituita dalle  comunicazioni ricevute via e-mail, sms o sistemi di messaggistica che apparentemente sembrano provenire da soggetti conosciuti e affidabili. La prima difesa resta quindi l’esame critico delle comunicazioni e la massima prudenza prima di aprire allegati.

La misinformazione (diffusione involontaria o irresponsabile di notizie false) e la disinformazione (diffusione volontaria), attive soprattutto attraverso i social e sfruttando, in questo periodo, le ansie dovute all’emergenza sanitaria, contribuiscono a ingannare le vittime spingendole ad abbassare le misure di sicurezza.

Anche gli attacchi alle catene di approvvigionamento (supply chain attack), particolarmente pericolosi per la loro attitudine a provocare effetti catastrofici a cascata, sono molto diffusi.

 

 

Due modelli per affrontare l’analisi dei rischi

Dopo il pezzo relativo alle normative che trattando di analisi dei rischi, l’autore dell’articolo Valutazione dei rischi: il modello basato sugli obiettivi e quello basato sugli scenari prende in considerazione due diverse tipologie di approccio, pur affermando che la combinazione tra più modelli può rivelarsi, almeno in alcuni casi, la soluzione migliore.

Gli obiettivi da perseguire sono:

– garantire il rispetto dei diritti e delle libertà degli interessati,

– proteggere il Titolare (eventuali sanzioni, risarcimento danni, perdita di credibilità, ecc.),

– disporre di un catalogo di minacce che hanno una ragionevole possibilità di verificarsi.

Il primo modello consiste nella valutazione degli obiettivi e quindi delle minacce che possono comprometterli. [Gli obiettivi possono essere, ad esempio, le finalità di un trattamento di dati personali e tra le minacce c’è il rischio di un data breach].

Il secondo modello consiste nella valutazione degli scenari e quindi sempre delle conseguenze di possibili variazioni degli scenari stessi. [Uno scenario, per esempio, è l’utilizzo dell’energia elettrica in ufficio; la variazione può essere la sua mancanza, con le relative  conseguenze].

[Il primo approccio passa anche dalla valutazione dei rischi afferenti i mezzi procedurali e/o tecnologici con cui gli obiettivi sono perseguiti, mezzi il cui utilizzo rappresenta uno scenario, per cui in definitiva i due modelli sono necessariamente integrati tra loro. Ndr]

 

Copia del Green Pass al datore di lavoro: ‘privacy a rischio’. Segnalazione del Garante al Parlamento e al Governo

 

Sarà duratura la nuova modalità di controllo dei green pass?

L’articolo Copia del Green Pass al datore di lavoro: ‘privacy a rischio’. Segnalazione del Garante al Parlamento e al Governo pone qualche dubbio al riguardo.

Riguardo alla possibilità che i lavoratori consegnino al titolare copia del loro green pass per evitare, in base alla scadenza di questo, i controlli giornalieri [possibilità ratificata dalla Legge 165 del 19/11/2021; ndr], il Garante della privacy ha affermato [già in via preventiva all’approvazione della legge stessa] l’incompatibilità con la risoluzione 2361 del Consiglio Europeo, su possibili discriminazioni per la scelta vaccinale, e con la normativa giuslavoristica.

[Insomma, le aziende che avessero già dato corso alla nuova metodologia di controllo, aggiornando i propri protocolli di sicurezza, potrebbero rischiare, in caso di “ravvedimento” legislativo, di dover far marcia indietro. Ndr]

 

L’idoneità del DPO si misura in base agli anni di esperienza?

L’ articolo Se il data protection officer è inadeguato il titolare del trattamento viene sanzionato scaturisce da una sanzione di 18’000 Euro inflitta ad una società lussemburghese dal proprio Garante, il quale ha considerato inadeguato il DPO (Responsabile della Protezione dei Dati) nominato. In particolare è stato contestato che il DPO non avesse almeno tre anni di esperienza professionale nel campo della protezione dei dati personali.

A prescindere dal fatto che in nessun regolamento si fa riferimento al periodo di esperienza richiesto, sia l’articolo 37 del GDPR, il considerando 97 sempre del GDPR e il punto 2.5 del WP39 fanno ampio riferimento alla conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché della capacità del DPO di assolvere i compiti previsti (nell’Art. 39 del GDPR), anche eventualmente in relazione agli specifici dati trattati.

Il titolare del trattamento dati personali dovrà quindi esaminare il candidato DPO in base alle esperienze maturate ed alle competenze acquisite, opportunamente documentate.

 

Quand’è che un trasferimento di dati all’estero ricade sotto il CAPO V del GDPR?

L’articolo Linee Guida EDPB 05/2021: le tre condizioni per il trasferimento dei dati all’estero ricorda che sono state pubblicate, dal Comitato europeo per la protezione dei dati, le linee guida 05/2021 in merito all’annoso problema del trasferimento dei dati presso paesi terzi [da quando nel 2020 è stato invalidato l’US-EU Privacy Shield; ndr].

Non si tratta di un pronunciamento definitivo, poiché sull’argomento è avviata una consultazione pubblica che si concluderà il 31 gennaio 2022.

Al momento, dunque, sono individuate tre condizioni che devono verificarsi cumulativamente, affinché il trasferimento di dati personali all’estero sia tale, nell’accezione di cui al GDPR

  1. per il trattamento dei dati in questione, deve esistere un il titolare o responsabile soggetto al rispetto del GDPR (e tale titolare o responsabile, anche se non fosse stabilito entro la UE, deve comunque far sì che siano soddisfatti i requisiti del CAPO V del GDPR “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”);
  2. i dati devono essere messi a disposizione da un titolare o responsabile ad un altro titolare o responsabile: non si parla di trasferimento di dati se questi sono messi a disposizione dell’organizzazione anche extra UE direttamente da parte di un interessato (non essendo questo qualificabile come titolare o responsabile); quindi, ad esempio, se un dipendente in trasferta presso un paese terzo accede da remoto al database aziendale non si ricade nel trasferimento,, perché egli è solo un incaricato al trattamento;
  3. l’importatore dei dati (l’organizzazione che li riceve) deve, evidentemente, essere stabilita in un paese terzo (sia essa di per sé sottoposta al GDPR, magari perché elabora dati di cittadini UE, oppure no).

[Se questo riepilogo appare poco chiaro, si legga direttamente il testo integrale dell’articolo, previa iscrizione (gratuita) a Federprivacy: auguri!. Ndr]

 

Per quali operatori si applicano gli obblighi delle misure europee di sicurezza informatica?

L’articolo Sicurezza tra Direttiva NIS, GDPR e Direttiva n.680/2016 informa che in Italia, con il D.Lgs  18/05/2018 è stata recepito la Direttiva europea NIS (Network and Information Security), che ha imposto agli Stati membri l’impiego di misure di sicurezza comuni contro gli attacchi cibernetici.

Questa direttiva si applica a due tipologie di operatori nell’ambito delle reti e dei sistemi informativi:

  1. Gli OES “operatori di servizi essenziali”: soggetti pubblici o privati che offrono servizi essenziali nel settore sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali;
  2. Gli FSD “fornitori di servizi digitali”: soggetti che forniscono servizi di e-commerce, cloud computing e motori di ricerca, ad eccezione delle  “piccole” e “micro” imprese (con meno di 50 dipendenti e un fatturato non superiore ai 10 milioni di Euro).

Questi operatori sono tenuti ad inoltrare al CSIRT (Computer Security Incident Response Team) nazionale,e per conoscenza all’autorità competente NIS del proprio settore, le notifiche di incidenti informatici con impatto rilevante sui servizi forniti. Nel caso in cui siano implicati anche dati personali potrebbero scattare anche gli obblighi di notifica al Garante per la Privacy previsti dal GDPR.

 

Violazioni di dati personali e sanzioni, in breve

  • Whatsapp è stata denunciata dal Codacons al Garante per la Privacy, minacciando altresì una class action, per l’impossibilità di disattivare la funzione di backup delle chat negli smartphone con sistema operativo Android.
  • Il Garante della Privacy ha avviato un’indagine contro un’app pirata che legge dal QR code del green pass i dati strettamente personali degli interessati (quali dosi di vaccino e tamponi effettuati).
  • Gli attacchi informatici gravi nei primi sei mesi del 2021 sono aumentati di ca. 1/4 e di questi i 3/4 hanno avuto effetti molto critici o addirittura devastanti.
  • Anche Mediaworld è rimasta vittima di ransomware: i suoi sistemi sono stati bloccati e la richiesta di riscatto ammonta a 50 milioni di €.
  • Un’informazione statistica: gli illeciti relativi alla privacy più sanzionati sono in assoluto quelli per mancata richiesta/ottenimento del consenso al trattamento ed altri sempre connessi alla mancata liceità del trattamento.
  • Una compagnia aerea low cost olandese è stata sanzionata per aver subito una violazione di dati, che ha interessato 83’000 passeggeri, a causa di impiego di password non sicure e senza autenticazione a due fattori.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys