Che cos’è un ransomware?
Il ransomware è un tipo di malware (malicious software) che prende il nome dal termine inglese ransom che significa “riscatto”: trattasi infatti di un particolare virus informatico che consente di bloccare il dispositivo della malcapitata vittima, impedendo l’accesso a tutti i suoi contenuti e costringendola a pagare un riscatto per potervi nuovamente accedere.
Contrariamente a quanto si può pensare i ransomware possono colpire non solo PC ma anche tablet, smartphones e persino smart TV: una volta infettati tutti i dati in essi archiviati (foto, scritti, immagini ecc.), inclusi quelli in rete, vengono criptati e resi illeggibili.
Contrarre il virus purtroppo è molto semplice. Solitamente si diffonde tramite email di phishing apparentemente riconducibili a soggetti noti (ad esempio corrieri espressi, gestori di energia elettrica o operatori telefonici): è sufficiente aprire gli allegati malevoli, nella maggior parte dei casi camuffati sotto forma di fatture o note di accredito, per cadere nella trappola. La diffusione può avvenire anche attraverso messaggi sms, chat o tramite l’accesso a pagine web o social network; a volte il ransomware riesce addirittura a sfruttare la rubrica e i contatti del dispositivo infettato per attaccare altri dispositivi.
Apparentemente l’unica soluzione per sbloccare i contenuti e rimuovere gli algoritmi di cifratura è pagare il riscatto: subito dopo l’attacco infatti sulla schermata del dispositivo appare automaticamente una finestra popup con richiesta di pagamento – solitamente in bitcoin – dietro la minaccia che, in caso di mancato pagamento entro il termine indicato, il blocco diverrà definitivo.
Trattasi in sostanza di una vera e propria estorsione a fronte della quale le vittime – molto spesso aziende – pur di riacquistare nel minor tempo possibile l’accesso ai propri dati, pagano il riscatto senza pensarci due volte, nell’illusione di aver così risolto il problema.
Premesso che il pagamento non è garanzia del recupero dei dati, le aziende incorrono infatti spesso nell’errore di considerare l’attacco informatico esclusivamente sotto il profilo dei disagi che in via immediata crea all’attività lavorativa in termini di rallentamenti e di costi per la rimozione, dimenticando invece che attacchi informatici di tale natura presuppongono un accesso non autorizzato a tutti i dati presenti nel dispositivo, compresi i dati personali di soggetti terzi che per ragioni professionali l’azienda conserva in veste di titolare del trattamento.
Un virus è potenzialmente capace di sottrarre tutti i dati (personali e non) che sono archiviati nel dispositivo che infetta, determinando quello che viene denominato data breach (letteralmente “violazione dei dati”).
Cosa prevede il GDPR in caso di violazione dei dati personali (c.d. data breach)?
Tra le novità previste dal nuovo Regolamento UE 2016/679 (GDPR) vi è l’obbligo per il titolare del trattamento di notificare le violazioni dei dati personali, ad esempio quelle verificatesi per effetto dell’illegittimo accesso da parte di soggetti non autorizzati ai sistemi informatici aziendali, come accade in caso di attacco di ransomware o virus simili.
L’art. 33 del Regolamento impone al titolare di comunicare l’avvenuta violazione all’Autorità Garante senza ingiustificato ritardo e, ove possibile, entro le 72 ore dal momento in cui se ne ha la percezione, specificando: la natura della violazione dei dati personali – compresi ove possibile le categorie e il numero approssimativo di interessati nonché le categorie e il numero approssimativo di registrazioni di dati personali in questione –; il nome e i dati di contatto del responsabile della protezione dei dati; le probabili conseguenze derivanti dalla violazione nonché le misure adottate per porvi rimedio.
Ai sensi del successivo art. 34 inoltre il titolare dovrà dare pronta comunicazione anche ai singoli interessati i cui dati personali sono stati oggetto di data breach, descrivendo – con linguaggio semplice e chiaro – la natura della violazione; ciò ogni qual volta la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche cui si riferiscono.
Il titolare del trattamento andrà esente da quest’obbligo solo se i dati personali erano stati preventivamente cifrati o se successivamente ha adottato misure idonee a scongiurare i rischi connessi; se detta comunicazione richiederebbe sforzi sproporzionati, è possibile procedere ad una comunicazione pubblica.
Le conseguenze dell’omessa notifica del data breach
La paura del danno d’immagine che indubbiamente subisce una azienda che si trovi costretta ad ammettere un data breach e delle sanzioni che quasi inevitabilmente ne conseguiranno non deve suggerire al Titolare del trattamento di fare finta di nulla.
L’omissione della notifica rischia di aumentare sensibilmente il costo-azienda della violazione.
Immaginiamo, ad esempio, che il data breach causato dal virus si riferisca ai dati delle carte di pagamento dei clienti del titolare.
L’obbligo di comunicazione agli interessati mira a metterli nelle condizioni di limitare le conseguenze dannose della violazione dei dati (nel nostro esempio bloccando le carte di credito coinvolte). La mancanza di detta comunicazione espone il titolare al rischio risarcitorio collegato all’uso indebito che l’hacker abbia fatto nel frattempo delle carte di credito.
Senza contare che, se per effetto della segnalazione di qualche danneggiato il Garante viene a sapere che vi è stato un data breach non notificato l’importo delle sanzioni che irrogherà sarà molto maggiore (si ricorda che le sanzioni vanno da € 0 ad € 10 milioni o al 2% del fatturato mondiale annuo, se superiore).
Come fare allora in concreto per non contrarre ransomware?
Essere totalmente al sicuro di fronte ad attacchi informatici è praticamente impossibile. Vi sono però alcuni accorgimenti che, di certo, abbattono il rischio.
E’ bene dunque prestare attenzione a:
– non aprire mai messaggi email spam o allegati sospetti (ad es: fatture o note di accredito provenienti da un operatore telefonico di cui non si è clienti o da un corriere da cui non si attendono consegne);
– effettuare con regolarità il backup dei propri dati in modo da averne sempre una copia di sicurezza;
– dotare i propri dispositivi di efficaci sistemi antivirus eseguendo regolari aggiornamenti;
– mantenere attivo il firewall (dispositivo software o hardware con funzione di proteggere i computer connessi in rete da attacchi esterni);
– mantenere aggiornati i software e le app: buona parte degli aggiornamenti rilasciati dalle softwarehouse sono patch di sicurezza.
Quali sono gli standard di prevenzione previsti dal GDPR?
Ai sensi dell’art. 32 del Regolamento il titolare del trattamento e il responsabile del trattamento dovranno mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionale al rischio di accesso illegittimo e non autorizzato di terzi, tenendo conto dello stato dell’arte e dei costi di attuazione nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento.
Le misure possono comprendere, tra le altre: la pseudonimizzazione e la cifratura dei dati personali; l’adozione di sistemi in grado di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento e il ripristino tempestivo della disponibilità e accesso ai dati personali in caso di incidente tecnico o fisico nonché la predisposizione di procedure volte a testare l’efficacia delle misure tecniche e organizzative predisposte al fine di garantire la sicurezza del trattamento.
Nel valutare l’adeguato livello di sicurezza le aziende dovranno tenere conto dei rischi che potrebbero derivare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
In quest’ottica sicuramente l’adozione di codici di condotta o Privacy Policy (di cui all’articolo 40 del GDPR) e di meccanismi di certificazione approvati (art. 42 del GDPR) può rivelarsi un metodo efficace per dimostrare la conformità del trattamento ai requisiti richiesti dalla nuova normativa e ciò a maggior ragione torna utile alle aziende in caso di episodi di data breach, specialmente in ottica difensiva.