Sicurezza, fughe di dati e ransomware: attacchi da prendere sul serio.

Osservatorio Legale n. 32 – Febbraio 2021

Sicurezza, fughe di dati e ransomware: attacchi da prendere sul serio. La stampa ha fatto eco a fine febbraio a Enorme fuga di dati nel settore medico.

Informazioni sensibili su oltre 500.000 persone, tra cui gruppi sanguigni e numeri di previdenza sociale, sono state vendute su un forum specializzato prima di essere pubblicate liberamente su Internet.

In questo elenco di dati sono inclusi anche i nomi utente e le password che hanno consentito a questi pazienti di connettersi ai centri medici e ai laboratori di analisi interessati dalla fuga di dati.

È in corso un'indagine giudiziaria e sia l'ANSSI che la CNIL hanno preso in carico il caso.

La gravità della violazione dei dati risiede tanto nel numero di persone colpite quanto nella natura sensibile dei dati.

Questa è l'occasione per fare il punto sulle misure da adottare per rispondere a tali attacchi e, soprattutto, per proteggerci in anticipo da essi.

Sono state pubblicate diverse guide dalla CNIL, dall'ANSSI e dal Ministero della Giustizia per aiutare i titolari del trattamento dei dati a proteggersi da tali violazioni della sicurezza., che si tratti di un guasto interno o di un attacco ransomware.

Le raccomandazioni pubblicate in particolare dalla CNIL elencano le diverse fasi della gestione della sicurezza del trattamento dei dati.

In sostanza, è opportuno:

• Identificare l'elaborazione dei dati e i suoi supporti (hardware, software, canali di comunicazione, supporti cartacei):

• Valutare i rischi generati da ogni operazione di trattamento e identificare i potenziali impatti sui diritti e sulle libertà delle persone interessate, in caso di accesso illegittimo ai dati, modifica indesiderata dei dati o scomparsa dei dati.

Quando vengono elaborate categorie particolari di dati, come i dati sanitari, l'impatto di una violazione dei dati sugli interessati è ancora maggiore.

Un trattamento di questo tipo richiede pertanto un'attenta valutazione dei rischi.

• Identificare le fonti di rischio (fonti umane e fonti non umane).
• Analizzare le possibili minacce, ovvero i possibili eventi scatenanti (ad esempio vandalismo, degrado dovuto a naturale usura, unità di archiviazione piena, attacco denial of service).
• Identificare le misure esistenti o pianificate per affrontare ciascun rischio (ad esempio, backup, crittografia). Le misure devono essere proporzionate ai rischi. Quando i dati trattati sono sensibili, deve essere garantito un livello di sicurezza particolarmente elevato. Pertanto, la memorizzazione di password in chiaro negli archivi del titolare del trattamento dovrebbe essere vietata: le informazioni devono essere crittografate e devono essere adottate misure di autenticazione avanzata.
• Valutare la gravità e la probabilità dei rischi, alla luce degli elementi precedenti.

In caso di violazione dei dati, è necessario adottare immediatamente misure appropriate per porre fine alla violazione e limitarne l'impatto sulle persone interessate.

Il responsabile deve inoltre notificare la violazione alla CNIL entro 72 ore dal momento in cui ne è venuto a conoscenza.

Ha inoltre l'obbligo di informare individualmente le persone interessate quando la fuga di dati rischia di creare un rischio elevato per i loro diritti e le loro libertà.  Questo è il caso quando sono coinvolti dati sensibili, come i dati sanitari.

Nel contesto della massiccia fuga di dati avvenuta alla fine di febbraio, è quindi necessario fornire informazioni alle persone interessate.

Il danno può essere estremamente grave per i pazienti, la cui assistenza medica potrebbe essere compromessa, ma anche per i responsabili del trattamento dei dati, la cui reputazione e la cui attività sono in gioco.

La CNIL sottolinea che il numero di notifiche di violazione dei dati è aumentato di 24% nel 2020 e che il numero di violazioni legate ad attacchi cryptolocker contro strutture sanitarie (ospedali, EPHAD, case di cura, laboratori, ecc.) è triplicato in un anno.

Inoltre, due terzi delle sanzioni imposte dalla CNIL riguardano violazioni degli obblighi in materia di sicurezza dei dati, una tendenza che si riscontra in tutta Europa.

E anche

Francia:

L'applicazione "tousanticovid" si sta evolvendo per integrare un sistema di allerta per gli utenti in vista della possibile riapertura di palazzetti dello sport, ristoranti o sale per spettacoli. 

La CNIL, che ha ricevuto il progetto di decreto, ha espresso una valutazione generalmente positiva, chiedendo tuttavia che il sistema di registrazione delle visite sia obbligatorio solo per i luoghi ad alto rischio (misure di barriera difficili da attuare) e che non sia reso obbligatorio nei luoghi in cui la frequentazione potrebbe rivelare dati sensibili (come i luoghi di culto).

A seguito della pubblicazione del suo linee guida sull'uso dei cookie Lo scorso ottobre, la CNIL ha ricordato che il termine per conformarsi scade a fine marzo.

Ha inviato una lettera a duecento enti pubblici e ai principali attori privati, sottolineando in particolare la necessità di consentire all'utente di accettare o rifiutare i cookie con la stessa semplicità (il pulsante "configura" spesso presente nei banner non soddisfa questo requisito).

Europa:

• Belgio: l'Autorità per la protezione dei dati pubblica un guida dettagliata su tecniche di pulizia dei dati e distruzione dei supporti dati, un riflesso troppo spesso trascurato quando ci si libera di uno strumento informatico.

• Regno Unito: la Commissione europea pubblica la bozza di decisione in merito alla livello di protezione garantito dal Regno Unito al trattamento dei dati personali come equivalente a quello dell'Unione Europea.

Se il Comitato europeo per la protezione dei dati e i rappresentanti degli Stati membri sostengono questa valutazione, i trasferimenti di dati verso il Regno Unito possono continuare senza ulteriori condizioni.

Va inoltre segnalato che il Garante europeo della protezione dei dati ha emesso un parere il 22 febbraio, in cui ha ribadito che, in quanto diritto fondamentale, la protezione dei dati non è negoziabile nel contesto degli accordi commerciali tra l'Unione europea e il Regno Unito.

• Europa – ePrivacy Dopo quattro anni di negoziati, gli Stati membri dell'UE hanno finalmente adottato una posizione comune sulla protezione delle comunicazioni elettroniche.

Si prevede che il regolamento ePrivacy aggiornerà la direttiva attuale specificando, tra le altre cose, le norme sulla riservatezza delle comunicazioni, la protezione dei metadati e le norme applicabili ai cookie e ad altri tracker.

Il testo deve ancora essere discusso dal Parlamento europeo e la sua versione definitiva entrerà in vigore due anni dopo la sua pubblicazione.

• Europa – passaporto sanitario : La Commissione europea ha annunciato il 1° marzo che stava preparando un progetto per un passaporto comune per gli Stati membri, che faciliterebbe la circolazione delle persone nell'attuale contesto di pandemia.

Questo passaporto conterrebbe dati personali relativi alle vaccinazioni, all'immunità acquisita o ai test effettuati dalla persona interessata.

La Commissione assicura che saranno adottate misure per impedire qualsiasi discriminazione o abuso nei confronti della vita privata delle persone interessate.

Internazionale:

STATI UNITI: Dopo la California, una decina di stati americani stanno preparando una legislazione sulla protezione dei dati personali, compresi lo Stato di New York e lo Stato di Washington.

In generale, queste leggi prevedono per gli utenti diritti meno estesi rispetto al GDPR e preferiscono concedere loro il diritto di opporsi al trattamento dei propri dati piuttosto che chiedere il loro previo consenso.

In ogni caso, hanno il merito di migliorare la trasparenza del trattamento dei dati e di garantire ai consumatori americani un ricorso.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.