Subire un attacco ransomware rappresenta uno dei peggiori incubi di qualsiasi organizzazione.
Tipicamente si traduce in una violazione della disponibilità dei dati (resi inaccessibili dal malware), ma sempre più spesso corrisponde anche a una violazione della riservatezza dovuta all’esfiltrazione dei dati. Questa, ha l’obiettivo di permettere all’attaccante di sfruttare la tecnica della cosiddetta “doppia estorsione”, basata sulla minaccia di rendere pubblici i dati rubati, in caso ci si rifiuti di pagare il riscatto.
Come se non bastasse, la gestione di un attacco ransomware richiede particolari attenzioni per via degli obblighi in capo al Titolare del trattamento in caso di data breach: cerchiamo quindi di sciogliere qualche dubbio e rasserenare, per quanto possibile, quelle fatidiche 72h.
Cosa occorre considerare nel momento in cui si valuta la necessità di procedere con la notifica di data breach al Garante, e la comunicazione agli interessati?
Le più recenti linee guida dell’EDPB (attualmente in consultazione pubblica) descrivono 4 diversi esempi di circostanze di attacco ransomware che aiutano a focalizzare l’attenzione sugli elementi più importanti.
Ma prima di entrare nel vivo delle casistiche, è giusto evidenziare che l’analisi delle misure di sicurezza adottate in maniera preventiva risulterà utile in qualsiasi circostanza per definire l’entità del rischio: al fine di mitigare la probabilità di riuscita dell’attacco, gioca un ruolo fondamentale la corretta gestione delle patch, che assicuri l’aggiornamento dei sistemi informatici e la correzione delle vulnerabilità. Infatti, la maggior parte degli attacchi ransomware sfruttano vulnerabilità note. Altre misure efficaci sono poi l’utilizzo di sistemi anti-malware, e di adeguati programmi di formazione del personale, perché possa prevenire e riconoscere questo tipo di attacco.
Per contenere la gravità della minaccia laddove dovesse verificarsi, invece, sarà fondamentale l’esistenza di una procedura di backup aggiornata, sicura e testata, in cui i supporti per il backup a medio e lungo termine siano tenuti separati dall’archivio dei dati operativi. In linea generale, inoltre, i sistemi informatici dovrebbero essere progettati segmentando o isolando le reti perché si eviti la propagazione di malware all’interno o all’esterno dell’organizzazione.
Ultimi ma non per importanza, come elementi certamente discriminanti a tutela della riservatezza, abbiamo l’utilizzo di tecniche di crittografia nel salvataggio dei dati, e soluzioni di autenticazione forte (quantomeno per l’accesso amministrativo ai sistemi): questo poiché alcuni ransomware possono anche intervenire sui registri di log per eliminare possibili tracce di esfiltrazione, impedendo così di escludere con certezza il furto di dati.
Detto ciò, un passaggio imprescindibile per la gestione di un ransomware è l’identificazione del tipo di codice maligno, da cui si potranno comprendere le possibili conseguenze dell’attacco ed essere in grado di trovare le giuste misure per mitigare il rischio. Occorre comunque tenere sempre a mente che il fatto che un attacco ransomware possa aver avuto luogo può essere il segno di una o più vulnerabilità nel proprio sistema che dovranno essere certamente individuate e corrette a posteriori.
Veniamo quindi ai primi esempi riportati dall’EDPB:
1 CRITTOGRAFIA + BACKUP
In caso di crittografia preventivamente applicata ai dati e disponibilità di backup che consenta di ripristinare i dati tempestivamente (la tempistica dovrà essere valutata caso per caso, ma le linee guida indicano come criterio massimo le stesse 72h imposte dall’Art.33 GDPR per la notifica del data breach), il Titolare, tendenzialmente, potrà raggiungere la conclusione che i rischi derivanti dall’attacco ransomware sono minimi.
• Notifica al Garante: Non obbligatoria
• Comunicazione agli interessati: Non necessaria
(restano ovviamente d’obbligo, come per qualsiasi altro caso, l’aggiornamento del registro delle violazioni e dell’analisi dei rischi)
2 BACKUP NON DISPONIBILE
Diverso è il caso in cui non si disponga di un backup, potendosi ripristinare i dati (o meglio, parte di essi) attingendo unicamente dagli archivi cartacei. La conseguenza diretta sarà l’inevitabile ritardo nel ripristino dei dati, che aumenta il livello di rischio per gli interessati. A seconda della durata del periodo di indisponibilità potrebbero infatti esserci ulteriori conseguenze (es. ritardi nella consegna di ordini ai clienti, possibili perdite finanziarie per gli interessati, ecc.),
• Notifica al Garante: Obbligatoria
• Comunicazione agli interessati: Tendenzialmente non obbligatoria (da valutare sulla base delle conseguenze dei ritardi nel ripristino, e sulla necessità di coinvolgere gli interessati per raccogliere nuovamente i dati criptati)
Le considerazioni appena riportate dimostrano che l’analisi del contesto in cui si è verificato l’attacco è imprescindibile per comprendere gli obblighi a cui è sottoposto il Titolare del trattamento, come risulta particolarmente evidente dal terzo esempio
3 RANSOMWARE AI DANNI DI UN OSPEDALE
Anche in assenza di esfiltrazione di dati, il contesto sanitario deve guidare l’interpretazione dell’attacco ransomware inserendolo negli esempi di data breach ad alto rischio. In questa circostanza, infatti, acquisiscono particolare rilevanza il numero di persone interessate, la sensibilità e il volume dei dati colpiti. Risulta evidente che l’indisponibilità di una grande mole di dati particolari è un elemento che comporta rischi elevati, soprattutto per via dei possibili ritardi nell’erogazione dei servizi di cura ai pazienti.
• Notifica al Garante: Obbligatoria
• Comunicazione agli interessati: Obbligatoria (nei confronti dei soli pazienti i cui dati sono effettivamente stati resi indisponibili)
4 RANSOMWARE CON ESFILTRAZIONE (SENZA PREVENTIVA CRITTOGRAFIA)
Nel peggiore dei casi, anche i dati di backup possono risultare indisponibili in seguito all’attacco, e possono ritrovarsi dei riscontri sulla possibilità che i dati siano stati esfiltrati da parte dell’attaccante. L’EDPB è rigoroso nel sottolineare che in un regime di backup ben progettato, questo deve essere conservato in modo sicuro senza accesso dal sistema principale. Inoltre, l’evidenza di un danno alla riservatezza può comportare un rischio elevato di danni materiali e morali, a seconda delle tipologie e della varietà di dati colpiti (es. documenti di identità e dati finanziari). Gli obblighi in capo al Titolare sono ovvi:
• Notifica al Garante: Obbligatoria
• Comunicazione agli interessati: Obbligatoria (affinché le persone possano prendere le misure necessaria, ad es. bloccare le proprie carte di credito)