Abstract - La rapida diffusione dei ransomware comporta la necessità di adottare misure tecniche organizzative adeguate per assicurare un trattamento ed una protezione dei dati dei sistemi informativi conforme alle norme del GDPR.La nuova guida pubblicata dal Computer Security Incident Response Team – Italia consente di avere una visione di tutte le misure basilari da assicurare con specifico riferimento al fenomeno dei ransomware che comportano un rischio elevato per la protezione dei dati personali.
di Andrea Cortese*
L’ultimo attacco ransomware avvenuto in Italia salito agli onori della cronaca nazionale ha avuto come vittima la SIAE, la Società italiana degli autori ed editori. Il cyber-attacco ha consentito l’esfiltrazione di circa 60 gigabyte di dati contenenti documenti personali: carte di identità, patenti, tessere sanitarie e indirizzi degli iscritti, ecc. L’ente ha ricevuto la richiesta di pagamento di un riscatto di 3 milioni di euro al fine di impedire la loro diffusione nel dark web [1].
Da un punto di vista privacy e in particolare secondo quando definito dal GDPR – il Regolamento europeo in materia di protezione dei dati personali - ciò che è avvenuto alla SIAE viene definito con il termine data breach. Si tratta di una procedura che comporta la notifica al Garante per la protezione dei dati personali, una eventuale denuncia all’autorità giudiziaria e la comunicazione ai soggetti coinvolti della violazione. Una procedura ormai consolidata e che rappresenta un primo passo di fondamentale importanza per l’Autorità Garante per valutare eventuali responsabilità in materia di corretto trattamento dei dati personali. In particolare, l’aspetto problematico potrebbe essere rappresentato dall’inadeguatezza delle misure tecniche ed organizzative in violazione dell’art. 32 del GDPR [2], caratterizzate da importanti falle nel sistema informatico che non hanno assicurato una protezione adeguata contro l’esfiltrazione. In caso di avvio della procedura da parte del Garante dovrà essere la SIAE a comprovare l’adozione di misure adeguate, in conformità al principio di responsabilizzazione.
Si tratta, in sostanza, di uno scenario che in termini generali è certamente complesso e necessita dell’adozione di un Cyber Threat Intelligence [3] che sia in grado di attuare una politica di prevenzione volta a difendere i sistemi informativi dai cyber criminali mediante l’adozione di strumenti adeguati; e che sia soprattutto in grado di diagnosticare, mediante l’utilizzo di opportune analisi di indagine, le vulnerabilità concrete che si presentano nel sistema [4]. Lo schema si dovrebbe concretizzare nell’analisi approfondita del sistema, nell’individuazione delle vulnerabilità, nell’adozione di un sistema di log efficace e affidabile ed infine nell’adozione di un piano di sicurezza che includa la disaster recovery, la continuità operativa e il ripristino in sicurezza.
Gli scenari più recenti in termini di malware vedono una crescita della diffusione di strumenti con finalità penetrative di esfiltrazione di dati, di downgrade dei sistemi informatici – si pensi ai classici attacchi DDoS – o di zombie system nei quali si evidenziano spiccate caratteristiche che sono state definite “adattive”. [5]
I malware, i format delle e-mail, le fake pagine web, ecc. si adattano sempre più spesso con precisione al contesto di riferimento al fine di garantire una sempre maggiore credibilità agli occhi dell’utente. I sistemi di protezione perimetrale non riescono sempre ad assicurare una protezione automatizzata ed un rilevamento efficiente in considerazione dell’evoluzione del fenomeno; si rende necessario, quindi, l’adozione di buone pratiche che assicurino comportamenti virtuosi da parte di tutti gli utenti del sistema.
Il documento del CSIR [6] nella sua introduzione parte proprio dalla premessa che per ridurre la probabilità che un attacco informatico vada a buon fine è necessario adottare un approccio basato sulla gestione del rischio nel quale la cyber security diventa una parte integrante delle procedure aziendali.
Il profilo per una corretta organizzazione dei dati e il ripristino efficace è costituito dall’insieme delle misure di protezione e di ripristino a seguito di un attacco ransomware con 33 sotto-categorie. Sono individuate innanzitutto 5 funzioni fondamentali: Identificazione, Protezione; Rilevamento; Risposta e Ripristino.
Nelle funzioni di identificazione le categorie sono rappresentate dall’Asset management, ovvero la gestione degli asset intesi come l’insieme dei dati, del personale, dei dispositivi e del sistema; dal Business Environment, inteso come la missione dell’organizzazione in termini di obiettivi e attività; Governance, ovvero le politiche, le procedure e i processi di gestione dell’organizzazione; il Risk Assesment, inteso come prensione del rischio della sicurezza informatica che interessa l’organizzazione, infine, il Data Management, ovvero le modalità di trattamento dei dati personali.
Nell’ambito della funzione di protezione sono riportate le categorie di Identificazione, gestione e controllo degli accessi agli asset fisici e logici; la Data Security intesa in termini di gestione dei dati secondo una strategia di gestione del rischio; Processi di protezione delle informazioni, ovvero le politiche di sicurezza; la Maintenance, intesa come manutenzione dei sistemi informativi, Tecnologie di protezione, ovvero le soluzioni tecniche concrete di protezione.
Le funzioni di rilevamento riguardano le categorie volte ad individuare le anomalie e gli eventi ed il monitoraggio dei sistemi di sicurezza al fine di identificare gli eventi di sicurezza.
La funzione di risposta concerne le categorie volte ad individuare delle procedure di risposta agli incidenti, di migrazione e mitigazione degli effetti e infine di miglioramento delle attività di risposta.
Infine, l’ultima funzione di Recover è relativa all’individuazione di piani di ripristino che tengano in considerazione gli eventi passati e l’aggiornamento delle procedure di recupero dei dati.
Le diverse categorie sono puntualizzate dal documento mediante una nota volta ad applicarle al contesto ransomware. Naturalmente la descrizione delle attività non si configura come non esaustiva, in quanto, come precisato, si rende necessario applicare le referenze specificate nelle informative references nelle quale sono riportate le norme IS, Cobit, le Misure minime AgID o atti normativi e regolamentari che possono essere applicati ai diversi profili.
Il documento del CSIR conclude considerando le misure di sicurezza adattate al caso ransomware come misure di base anche se non sufficienti a garantire una efficace resilienza e che pertanto devono essere inquadrate in un panorama più ampio di misure di protezione.
Sitografia
[1] https://dirittoaldigitale.com/2021/10/26/cyberattacco-conseguenze-legali-ransomware-siae/
[2] Idem
[3] https://www.cybersecurity360.it/soluzioni-aziendali/cyber-threat-intelligence-cose-e-come-funziona-il-
monitoraggio-real-time-delle-minacce/
[4] https://www.kaspersky.it/resource-center/definitions/threat-intelligence
[5] https://www.watchguard.com/it/wgrd-solutions/security-threats/advanced-malware
[6] “Misure di protezione e organizzazione dei dati per un ripristino efficace” -
https://www.watchguard.com/it/wgrd-solutions/security-threats/advanced-malware
* Area Tecnica, Tecnico-Scientifica ed elaborazione dati presso l'Università degli studi di Napoli Federico II
