Rançongiciels : des attaques en constante augmentation

Ransomware: attacchi in aumento

Legal Watch n. 51 – settembre 2022.

Ransomware: attacchi in aumento : Le notizie dell'autunno ci riportano a una preoccupazione ricorrente dei titolari del trattamento dei dati: quella delle violazioni della sicurezza.

L'attacco informatico all'ospedale di Essonne e la diffusione di diversi gigabyte di dati dei pazienti ci ricordano quanto sia importante adottare tutte le misure necessarie per proteggerci da simili attacchi.

Questi fatti riflettono una tendenza costante all'aumento degli attacchi in tutta Europa.

La CNIL indica quindi un aumento di 79,% delle notifiche di violazioni dei dati nel 2021 rispetto al 2020 (5037 nel 2021), più di 2150 notifiche di violazioni derivanti da un attacco ransomware ricevute nel 2021, ovvero 43,% del volume totale.

Inoltre, la metà delle sanzioni imposte dalla CNIL lo scorso anno riguardavano violazioni degli obblighi in materia di sicurezza dei dati.

Questo mese di ottobre è quindi l'occasione per fare il punto sulle misure di sicurezza essenziali, come richiesto dalla CNIL e dall'ANSSI, che stanno iniziando la loro Campagna di sensibilizzazione “Cybermonth” riguardo al ransomware.

Questa campagna è la versione francese della campagna europea sulla sicurezza informatica ECSM, sostenuta dalla maggior parte dei paesi europei e dall'agenzia europea per la sicurezza ENISA.

Ricordiamo innanzitutto le raccomandazioni della CNIL, che elencano le diverse fasi della gestione della sicurezza del trattamento dei dati, tra cui:

  • L'inventario dei sistemi di elaborazione dati e dei loro supporti (hardware, software, canali di comunicazione, supporti cartacei):
  • La valutazione dei rischi generati da ciascun trattamento nonché dei loro potenziali impatti sui diritti e sulle libertà delle persone interessate (in particolare quando vengono trattati dati sensibili).
  • Fonti di rischio (umane e non umane).
  • Minacce realizzabili, ovvero possibili eventi scatenanti (ad esempio vandalismo, usura naturale, unità di archiviazione piena, attacco denial of service).
  • Misure esistenti o pianificate per affrontare ciascun rischio (ad esempio, backup, crittografia), proporzionate ai rischi.
  • La gravità e la probabilità dei rischi, alla luce degli elementi precedenti.

L'ANSSI fornisce dettagli sulle misure di salvaguardia essenziali:

  • Fornire backup automatici, disconnessi dalla rete;
  • Testare regolarmente i backup;
  • Preparare un piano di continuità aziendale (BCP);
  • Fornire un'unità di crisi;
  • Esercitare un meccanismo di crisi.

L'agenzia ribadisce inoltre il suo consiglio di cautela nei confronti delle e-mail indesiderate, in particolare quando contengono un allegato:

  • Non fidarti di alcun numero di telefono o collegamento ipertestuale menzionato nel messaggio,
  • Controlla l'indirizzo del mittente cliccandoci sopra, chiama il suo contatto abituale invece di rispondere a un messaggio sospetto.

In caso di violazione dei dati, è necessario adottare immediatamente misure appropriate per porre fine alla violazione e limitarne l'impatto sulle persone interessate.

In caso di attacco ransomware, l'ANSSI raccomanda di attivare misure di ripristino e il sistema di risposta alle crisi, quindi di avvisare le autorità competenti (polizia, gendarmeria, ANSSI) prima di richiedere assistenza tecnica.

Se sospetti un'intrusione, puoi trovare informazioni utili sul sito web del Centro governativo per il monitoraggio, l'allerta e la risposta agli attacchi informatici e sul sito web del governo dedicato alla criminalità informatica.

Infine, ricordiamo che, ai sensi del GDPR, il titolare del trattamento deve notificare la violazione alla CNIL entro 72 ore dal momento in cui ne è venuto a conoscenza.

Nei casi in cui la fuga di dati possa comportare un rischio elevato per i diritti e le libertà degli interessati (ad esempio, in caso di furto di dati sensibili come i dati sanitari), l'interessato deve essere informato anche individualmente.

La CNIL organizza due webinar, rispettivamente il 18 e il 21 ottobre, sulle password e sulla sicurezza dei sistemi di intelligenza artificiale. È richiesta la registrazione. I dettagli sono disponibili sul sito web.

E anche

Francia:

L'8 settembre, la CNIL ha imposto una sanzione di 250.000 euro al GIE INFOGREFFE, che pubblica il servizio di diffusione di informazioni legali e ufficiali sulle aziende tramite il proprio sito web. Infogreffe è stata sanzionata per non aver rispettato diversi obblighi del GDPR in materia di periodi di conservazione e sicurezza dei dati personali.

Intelligenza artificiale: il Consiglio di Stato si pronuncia sulla governance della futura regolamentazione europea e pubblica due studi sull'argomento.

– Nel suo documento del 30 agosto 2022, il Consiglio di Stato affronta la questione della qualità del servizio pubblico e getta le basi per una strategia francese in materia di IA.

Lui incoraggia, tra l'altro, il rafforzamento dei poteri della CNIL e di renderla formalmente responsabile della regolamentazione dei sistemi di intelligenza artificiale.

– Il Consiglio di Stato ha esaminato anche la regolamentazione dei social network nel contesto dello sviluppo dell’intelligenza artificiale.

Il 27 settembre pubblicò uno studio in cui formulò 17 consigli per riequilibrare le forze a favore degli utenti, dotando le autorità pubbliche del loro ruolo di regolatori e pensando ai social network di domani.

Il CE propone inoltre di creare un polo interministeriale rafforzato per riunire le diverse competenze dello Stato in questo ambito. 

Europa:

Il 16 settembre 2022, il Garante europeo della protezione dei dati (GEPD) ha intentato una causa riguardante due disposizioni del nuovo regolamento che consentono retroattivamente all'agenzia Europol di trattare i dati dei cittadini anche in assenza di un collegamento accertato con attività criminali.

Il GEPD ha chiesto alla Corte di giustizia dell'Unione europea di annullare le due disposizioni di tale regolamento, entrato in vigore il 28 giugno 2022.

Nella sua seconda edizione Newsletter TechSonar, il GEPD seleziona 5 tendenze emergenti: sviluppa le questioni di

  • l'individuazione delle "fake news",
  • la valuta digitale della banca centrale,
  • il Metaverso,
  • “apprendimento federato” e “dati sintetici”, due argomenti correlati all’intelligenza artificiale.

Verso una maggiore responsabilità nell'intelligenza artificiale?

La proposta della Commissione europea per una revisione della direttiva sulla responsabilità per danno da prodotti difettosi mira ad adattare il regime di responsabilità dell'UE all'era digitale.

È stata proposta un'ulteriore direttiva mirata a contrastare i danni specifici causati dall'intelligenza artificiale.

La responsabilità continuerebbe anche dopo il lancio sul mercato del prodotto, coprendo gli aggiornamenti software, la mancata gestione dei rischi per la sicurezza informatica e l'apprendimento automatico.

In altre parole, Gli sviluppatori continuerebbero a essere responsabili dell'apprendimento autonomo dei sistemi di intelligenza artificiale e degli aggiornamenti della distribuzione o della loro mancanza.

Il GDPR può essere preso in considerazione nel contesto dei casi di concorrenza : Il 20 settembre, l'avvocato generale della CGUE, il signor Rantos, ha emesso un parere secondo cui il GDPR può essere preso in considerazione dalle autorità garanti della concorrenza quando valutano la posizione dominante di Meta sul mercato.

Gli eurodeputati hanno visitato le autorità irlandesi protezione dei dati tra il 21 e il 23 settembre e non sembrano del tutto soddisfatti del loro viaggio: la delegazione della Commissione per le libertà civili (LIBE) del Parlamento ha espressamente voluto esaminare l'attuazione e l'applicazione del GDPR, in particolare il funzionamento del meccanismo dello "sportello unico".

Il capo della delegazione ha descritto l'autorità irlandese per la protezione dei dati come "un collo di bottiglia del meccanismo dello sportello unico", aggiungendo che "sarebbe utile una revisione indipendente delle procedure e delle azioni del DPC".

Il 13 settembre, i membri del gruppo per i diritti digitali EDRi ha incontrato il Comitato europeo per la protezione dei dati (EDPB) per discutere possibili miglioramenti nell’applicazione del GDPR.

L'EDRi sottolinea che la mancanza di armonizzazione delle disposizioni nazionali e i casi transfrontalieri non sono gli unici problemi.

Secondo la ONG, vi sono numerosi casi nazionali in cui reclami e violazioni del GDPR non sono stati gestiti adeguatamente dalle autorità di controllo, in particolare a causa della mancanza di risorse.

Tra i problemi riscontrati rientravano il rifiuto di dare seguito a un reclamo, ritardi inspiegabili nell'elaborazione di un reclamo, mancanza di aggiornamenti sullo stato e difficoltà nella presentazione di un reclamo in primo luogo.

Il Commissario di Berlino per la protezione dei dati e le libertà (BInBDI) ha multato un gruppo di vendita al dettaglio di 525.000 € per violazione dell'articolo 38(6) del GDPR a causa della conflitto di interessi del loro DPO: quest'ultimo controllava anche le decisioni prese nella sua qualità di amministratore della società.

Sullo stesso argomento, l'autorità islandese per la protezione dei dati ha ritenuto che vi fosse un conflitto di interessi quando un DPO era contemporaneamente un avvocato senior, un vicedirettore generale o un membro del consiglio di amministrazione di una società.

Tuttavia, un DPO può ricoprire la carica di responsabile della conformità.

A questo proposito, è opportuno segnalare che la designazione e la funzione del DPO saranno oggetto della prossima azione coordinata di monitoraggio del Comitato europeo per la protezione dei dati.

La Camera di Commercio di Karlsruhe ha annullato una decisione della Camera degli appalti pubblici del Baden-Württemberg, la quale ha stabilito, tra le altre cose, che il semplice fatto che un responsabile del trattamento dei dati sia una filiale di un gruppo commerciale di un paese terzo non mette in discussione l'impegno del responsabile del trattamento a trattare i dati personali esclusivamente nello Spazio economico europeo.

APS rumeno multato un editore di 5.000 € per mancanza di misure tecniche e organizzative adeguate, dopo due violazioni dei dati che hanno interessato 10.739 dei suoi (ex) clienti e 100 dei suoi dipendenti e partner.

APS spagnolo ha concluso che un titolare del trattamento ha violato l'articolo 6 del GDPR dopo aver pubblicato una foto su Instagram senza valida base giuridica.

L'Autorità Garante ha imposto al responsabile del trattamento una multa di 10.000 euro.

APS danese ha ritenuto che un partito politico avesse una base giuridica sufficiente ai sensi dell'articolo 6(1)(f) del GDPR per indagare su uno dei suoi membri per presunta violenza sessuale.

Tuttavia, ha rimproverato il controllore e il responsabile del trattamento per non non aver informato l'interessato del trattamento come richiesto dall'articolo 14(2)(b).

APS belga ha multato un laboratorio medico di 20.000 € per aver violato diversi obblighi previsti dagli articoli 5(1)(f) e 35(3) del GDPR a causa di l'assenza di una politica di sicurezza e riservatezza sul suo sito web e l'inesistenza di un'analisi di impatto sulla protezione dei dati (decisioni nazionali registrate da GDPRhub).

L'accordo di accesso ai dati tra Regno Unito e Stati Uniti, che consente agli investigatori di entrambi i Paesi di accedere ai dati elettronici relativi a reati gravi, è entrata in vigore il 3 ottobre.

Il testo consente alle forze dell'ordine britanniche e americane di richiedere i dati detenuti dai fornitori di servizi di telecomunicazione nelle rispettive giurisdizioni.

Le società di corriere svizzere Proton e Threema hanno firmato, insieme ad altre aziende straniere, una carta che impone loro di raccogliere il minor numero possibile di dati e di crittografare i messaggi. L'obiettivo è che altri attori del settore tecnologico aderiscano.

Internazionale:

Secondo un nuovo rapporto delle Nazioni Unite (Ufficio per i diritti umani) del 16 settembre 2022, il diritto alla privacy degli individui è sottoposto a crescenti pressioni a causa dell'uso delle tecnologie digitali in rete.

Secondo il rapporto, queste tecnologie costituiscono formidabili strumenti di sorveglianza, controllo e oppressione, che richiedono una regolamentazione efficace basata sulla legge e sugli standard internazionali sui diritti umani.

Il rapporto esamina tre aree chiave:

  • L'uso improprio di spyware da parte delle autorità pubbliche,
  • Il ruolo chiave dei metodi di crittografia avanzata nella protezione dei diritti umani online
  • Le conseguenze della sorveglianza digitale diffusa degli spazi pubblici, sia offline che online.

Camera dei rappresentanti indonesiana ha adottato il suo disegno di legge sulla protezione dei dati personali.

Strumento "Risultati su di te" di Google Secondo un rapporto dell'azienda, sta per essere lanciato uno strumento progettato per semplificare il processo di rimozione dei risultati di ricerca contenenti informazioni personali come indirizzo email o numero di telefono.

Google ha annunciato questa funzionalità all'inizio di quest'anno, affermando che sarebbe stata presto disponibile nell'app Google.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.

Scopri Viqtor®
it_ITIT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL it_ITIT