+

L’industria nell'occhio del ciclone

(digitale), tra attacchi cyber

ed esigenze di sicurezza

in ottica GDPR [ESTRATTO]

Avv. Andrea Maggipinto (www.maggipinto.eu)

Ing. Igor Serraino (www.serraino.it)

Agenda

Scenario (in evoluzione)

Data Breach e sicurezza in azienda

Tecniche di logging

Ransomware

Cyber attacks

Fonte:

Check Point

Mid-Year Report 2017

Live Cyber Attack Threat Map

https://threatmap.checkpoint.com/ThreatPortal/livemap.html

Fattore umano

Anello debole

Serve:

Informazione (cultura)

Formazione (competenze)

Fonte: IBM

The Global Risks Report 2017 (12th ed.)

The Report concludes by assessing the risks associated

with how technology is reshaping physical

infrastructure: greater interdependence among different

infrastructure networks is increasing the scope for

systemic failures – whether from cyberattacks, software

glitches, natural disasters or other causes – to cascade

across networks and affect society in unanticipated ways.

Rising «cyber dependency»

GDPR: cos’è

REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e del

Consiglio del 27 aprile 2016 relativo alla protezione delle persone

fisiche con riguardo al trattamento dei dati personali, nonché alla libera

circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento

generale sulla protezione dei dati)

➢ In vigore dal: 24 maggio 2016

➢ Piena applicazione dal: 25 maggio 2018

➢ Sistematica: 173 considerando, 99 articoli, XI capi, importanti

abrogazioni (dir.95/46/CE)

Tips: http://www.garanteprivacy.it/regolamentoue

GDPR: key points

«Diritto all’oblio» (art. 17)

«Diritto alla portabilità dei dati» (art. 20)

«Accountability» (Responsabilizzazione: art. 24)

«Privacy by default» e «Privacy by design» (Protezione dei dati fin dalla

progettazione e protezione per impostazione predefinita: art. 25)

«Registri delle attività» (art. 30)

«Data Breach» (Notifica di violazione dati personali: artt. 33-34)

«DPIA» e «Risk-based approach» (Valutazione d’impatto sulla protezione

dei dati: art. 35)

«DPO» (Designazione del Responsabile della Protezione Dati: art. 37)

«Accountability»

«Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle

finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per

i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in

atto misure tecniche e organizzative adeguate per garantire, ed essere in

grado di dimostrare, che il trattamento è effettuato conformemente al

presente regolamento. Dette misure sono riesaminate e aggiornate qualora

necessario.» [art. 24, c.1]

«Gestione» del data breach

Nella Direttiva 95/46/EC non vi era alcun obbligo di notifica per i Titolari,

ma solo per fornitori di servizio di comunicazione elettronica (dir.

2002/58/EC, reg. 611/2013, art. 32-bis D.Lgs. 196/03, Opinion n. 3/2014

art. 29 WP)

Dal 25 Maggio 2018 obbligo generalizzato per tutti

GDPR, art. 4, c. 1, n. 12; artt. 33-34; considerando nn. 85, 86, 87.

Guidelines on Personal Data Breach notification under Regulation

2016/679, wp250 (art. 29 WP)

Data Breach = Violazione dei dati

Art. 4: «violazione dei dati personali»: la violazione di sicurezza che

comporta accidentalmente o in modo illecito la distruzione, la perdita, la

modifica, la divulgazione non autorizzata o l’accesso ai dati personali

trasmessi, conservati o comunque trattati

Security Incidentevent that may indicate that an

organization's systems or data

have been compromised or

that measures put in place to

protect them have failed.

Personal

Data

Breach

Violazione Know

How aziendale e

informazioni

riservate

Tipologie di Data Breach

❖ Confidentiality breach (accesso, divulgazione)

❖ Integrity breach (alterazione)

❖ Availability breach (perdita, distruzione)

Non «adeguata sicurezza»

Non rispettare la procedura di notifica di Data Breach può essere visto

come mancanza di «adeguata sicurezza» nel trattamento dei dati

Violazione della normativa anche ex art. 32 (non solo ex art. 33).

Sanzioni (art. 83, c. 4)

La capacità di individuare, affrontare e riportare una violazione in

tempi brevi, e comunque adeguati, è un elemento essenziale per la

compliance dell’azienda e fa parte integrante delle «misure

adeguate» previste dall’art. 32

Alcuni esempi

❖Ransomware.

❖Smartphone o altro dispositivo smarrito.

❖Accesso a db e pubblicazione dei dati on line.

❖ Interruzione dei sistemi.

Cosa fare?

Tutte le informazioni relative a questioni di sicurezza dovrebbero

essere indirizzate verso un referente che abbia il compito di

affrontare il problema e verificare i rischi (DPO?)

Verificare subito se ci sono rischi per gli interessati, informando le

funzioni aziendali rilevanti

Assessment, indagini e raccolta di informazioni

Agire per contenere e porre rimedio alla violazione

Se necessario, procedere con le notifiche all’Autorità e agli interessati

Come gestire i «sinistri»

I Titolari sono incentivati ad adottare un “Registro degli incidenti”, anche

se non rilevanti ai fini della notificazione (art. 33 c. 5).

Key points:

▪ Cause

▪ Descrizione della violazione

▪ Dati personali compromessi

▪ Effetti e conseguenze della violazione

▪ Rimedi e provvedimenti presi, ragioni per queste azioni

▪ Ragionamento del Titolare che ha escluso l’obbligo di notifica

▪ Motivi dell’eventuale ritardo nella notificazione

Adottare una procedura di notifica interna. Sarebbe utile dare prova di

aver informato tutti gli incaricati della procedura e dell’obbligo di

avvisare il titolare del trattamento in caso di incidente.

Grazie dell’attenzione.