Partiamo da questo presupposto: ogni data breach ha, sempre con maggiore frequenza, rilevanza transazionale. Basti pensare ai casi in cui i target di attacco sono gruppi multinazionali o cloud provider che operano su più Stati Membri dell’Unione Europea. Questi fenomeni hanno reso evidente la particolare complessità della procedura di segnalazione di un data breach in grado di compromettere i dati personali relativi a cittadini appartenenti a più giurisdizioni europee, complessità che emerge chiaramente dalla lettura di un recente paper redatto dai rappresentanti dei Garanti per la Protezione dei dati personali di cinque Stati Membri (Italia, Spagna, Francia, Germania, Grecia). Tale documento racchiude infatti le prime considerazioni in tema di data breach ricavate dallo studio condotto alla fine del 2015 dal Joint Research Centre della Commissione Europea (DG-JRC) in collaborazione con DG-JUST (Direzione Generale della Giustizia e dei Consumatori).
Lo studio si è tradotto in una simulazione (o “cyber exercise”) che ha visto coinvolti Francia, Germania, Grecia, Irlanda, Italia, Polonia e Spagna, e il cui scopo è stato quello di valutare il livello di preparazione degli Stati Membri al fine di prevenire, o comunque, contenere, i danni derivanti da attacchi informatici di portata transnazionale e, in ultima istanza, di promuovere forme efficaci di collaborazione tra Stati Membri. Questo tipo di “esercizio” è di grande utilità soprattutto alla luce della prossima applicazione del Regolamento Europeo sulla Privacy (“GDPR”) a partire da maggio 2018.
I risultati hanno evidenziato, come era ipotizzabile, i seguenti limiti: in primo luogo, manca una lista di referenti (“point of contact”) dei vari Stati Membri, circostanza che genera non pochi problemi in termini logistici e comunicativi in caso di situazioni di urgenza; altrettanto, manca una procedura che consenta uno scambio di informazioni sicuro e, per quanto possibile, anonimo; da ultimo, non è stata ancora trovata una soluzione ai ben noti problemi di giurisdizione e legge applicabile, ulteriormente amplificati dai problemi di comunicazione connessi alla compresenza di 24 lingue ufficiali dell’Unione Europea utilizzate in caso di segnalazione dai singoli Garanti dei vari Stati Membri.
La necessità di superare questi limiti diventa una priorità che può e deve essere raggiunta, anche in considerazione del fatto che il Regolamento sulla Privacy di imminente applicazione, oltre ad estendere l’obbligatorietà della notifica dei data breaches a tutti i data controller stabiliti in Europa (artt. 33 e 34 GDPR), e non più a determinati categorie di soggetti come si prevedeva con il Regolamento della Commissione 611/2013, richiede una più ampia cooperazione tra le varie Autorità Garanti europee (artt. 60, 61 e 62 GDPR).
Rispondere in modo efficace a un data breach richiede pertanto un approccio multidisciplinare ed integrato, dove vengono presi in esame aspetti di natura tecnica, legale, finanziaria e sociale che coinvolgono tanto il singolo data controller, quanto le stesse Autorità Garanti di ogni Stato Membro.
Nello specifico, il citato studio del DG-JRC ha preso in esame due tipologie di attacchi: da un lato, quelli relativi ad un soggetto operante in ambito extra UE (ad esempio un cloud provider statunitense), ma che veda coinvolti cittadini Europei in qualità di interessati e, dall’altro, un soggetto che opera in ambito UE (si pensi ad esempio ad un gruppo bancario).
Le raccomandazioni che emergono dallo studio, oltre ad evidenziare la necessità di formare una lista di referenti suddivisi per ogni Stato Membro deputati alla gestione e al coordinamento delle informazioni rilevanti in caso di data breach e a promuovere l’organizzazione di altri “cyber exercise” prima dell’entrata in vigore del GDPR (iniziativa alla quale ad oggi non risulta sia stato dato seguito), si concentrano sostanzialmente su due aspetti fondamentali:
Partendo da questi presupposti, è possibile formulare alcune riflessioni a margine dell’ottimo lavoro svolto dal DG-JRC.
In primo luogo, la piattaforma raccomandata all’esito dello studio potrebbe essere dotata di un sistema di data sharing sugli attacchi avvenuti anche solo a livello nazionale: la possibilità, infatti, di consultare una repository costantemente aggiornata in grado di consentire un’analisi efficace sulle più attuali minacce informatiche agevolerebbe l’adozione tempestiva di adeguati strumenti di difesa soprattutto se tali dati venissero condivisi con le Agenzie Europee competenti in materia (si pensi ad esempio ad un coinvolgimento di ENISA o EUROPOL). Tuttavia, è bene evidenziare che la condivisione di un volume di dati così significativo all’interno della piattaforma si accompagna all’esigenza di adozione di particolari cautele in relazione a tre distinti livelli: il primo è quello di garantire, nel rispetto del principio di data minimization, che non siano condivise informazioni non pertinenti alle finalità di sicurezza per le quali la stessa piattaforma è stata creata. Il secondo è quello di, di rendere omogeneo il modello di segnalazione di data breach (il confronto, ad esempio, del modello francese e di quello italiano attualmente in vigore, evidenzia l’esistenza di significative differenze nel format). È pertanto auspicabile, da un lato, che sia introdotto un modello unico a livello europeo che utilizzi un formato idoneo a garantire un’adeguata interoperabilità; dall’altro, che sia previsto l’obbligo di introdurre, almeno in casi di segnalazione che coinvolgano più giurisdizioni, l’utilizzo obbligatorio della lingua inglese in aggiunta alla lingua ufficiale dello Stato Membro. Il terzo, e forse scontato, livello di cautela attiene al rispetto, nella realizzazione della piattaforma, dei principi della privacy “by design” e “by default” , in forza dei quali il trattamento deve sin dall’inizio essere configurato nel rispetto dei requisiti del nuovo Regolamento e improntato alla tutela dei diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
Un ulteriore profilo da considerare è sicuramente quello del rispetto dei principi della digital forensics. Se fosse possibile integrare la segnalazione del data breach con l’invio, ove possibile, di allegati che -nel rispetto delle best practices consolidate a livello internazionale in tema di acquisizione della prova digitale e, ovviamente, della privacy dei titolari del trattamento- fornissero utili elementi circa l’attacco, avremmo aggiunto un ulteriore tassello di fondamentale importanza per studiare e, quindi, prevenire gli attacchi informatici.
Pur non ignorando la difficoltà d’implementazione delle soluzioni ora sinteticamente delineate, si deve rilevare come, a pochi mesi dall’entrata in vigore del Regolamento Privacy, diventi necessario “tenere l’asticella alta”. Solo in questo modo si può sperare di poter sfruttare l’occasione fornita dalla nuova normativa privacy per poter implementare a livello Europeo un efficace sistema di protezione dalle minacce informatiche.
A cura di: Giuseppe Vaciago
I Big Data stanno cambiando le regole del commercio online. Finalmente le aziende possono comprendere…
Dal punto di vista tecnico-operativo, le indagini di digital forensics vengono svolte utilizzando specifici strumenti…
Nell’ambito dell’email security esistono diversi protocolli volti a garantire l'autenticità, l'integrità e la riservatezza delle…
Nel panorama della sicurezza informatica, la minaccia di attacchi fisici tramite dispositivi USB malevoli è…
Come per tutti i problemi complessi con cause molteplici, non esiste una soluzione per il…
In un mondo sempre più connesso e digitalizzato, le innovazioni tecnologiche stanno cambiando radicalmente il…