GDPR – Regolamento generale sulla protezione dei dati – Multe fino a 20 milioni di Euro

Che cosa è il GDPR?

Il GDPR è la risposta dell’Unione Europea al ruolo enormemente esteso che la tecnologia riveste attualmente nella raccolta e gestione dei nostri dati (es. registrazioni a db aziendali, anagrafiche clienti e fornitori, …).

Garantisce che nel processo di raccolta di dati personali sia integrata un’adeguata protezione degli stessi.

A differenza della direttiva 95/46/EC, che è stata trasformata e riadattata in leggi nazionali, il GDPR è una regolamentazione che dovrà essere applicata da tutti gli stati membri (e quindi tutte le aziende che ne fanno parte) per unificare e aumentare la protezione dei dati personali di tutti i cittadini membri degli stati EU.

Il GDPR è stato ratificato nell’ Aprile 2016 e deve essere applicato dalle aziende entro il 25 Maggio 2018.

WIKIPEDIA: Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un Regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali all’interno dei confini dell’Unione europea (UE).

Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018. Maggiore sicurezza per i dati utente

Perchè è importante?

• Criteri di sicurezza e privacy più rigorosi, obblighi aggiuntivi e sanzioni per mancata conformità.
• Maggior impegno per il raggiungimento della conformità.
• Maggiori rischi associati per la mancata conformità.

Articolo 84:

• Il GDPR avrà infatti impatti finanziari sulle aziende non conformi.
• Multe massime fino a €20 milioni o 4% del fatturato annuo.

Chi è coinvolto?

LE AZIENDE

Un mercato EU, una regolamentazione:
le aziende che trattano dati non devono preoccuparsi di essere compliant con le differenti leggi dei 28 paesi membri dell Unione Europea.
Stesse regole per tutte le aziende: non fa differenza la sede legale, la dimensione e la numerica dei dati trattati, se una azienda raccoglie dati di cittadini EU deve essere compliant con il GDPR.
Le aziende che elaborano dati sono tenute ad affidarsi ad un RESPONSABILE DELLA PROTEZIONE DEI DATI (incaricare, assumere, siglare contratto di consulenza).

Vediamo qualche articolo …

Articolo 4:
Le aziende devono garantire la conformità al GDPR in qualità di “titolari del trattamento” e/o “responsabili del trattamento”.
I titolari del trattamento sono le entità che determinano le finalità.
I responsabili del trattamento sono le entità che elaborano i dati personali.
I dati raccolti devono essere “processati” secondo operazioni che ne garantiscano prima di tutto la privacy e a maggior ragione la sicurezza.

Articolo 24:
Responsabilità del titolare/responsabile.
Il controller deve implementare misure tecniche ed organizzative atte a dimostrare che i processi di raccolta e messa in sicurezza dei dati sono attuati in conformità con il regolamento.

Articolo 25:
Data Protection by Design and By Default .
Il controller deve implementare misure tecniche ed organizzative per assicurare che solo i dati necessari alla finalità vengano raccolti. In particolare deve assicurare che i dati personali raccolti non siano accessibili se non alle persona interessate al trattamento. Obbligo di gestione degli eventi di data breaches o violazioni ( distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità).

Articolo 33:
es. comunicazione entro 72h (dal rilevamento) al garante.

Articolo 34:
es. comunicazione all’ interessato in caso la violazione comporti un rischio elevato (numeri carta di credito)

…GDPR & Network Security

L’articolo 32 afferma:

“L’addetto al controllo dei dati o chi segue il processo dovrebbe tenere in considerazione lo stato dell’arte per implementare misure tecniche e organizzative appropriate per assicurare un livello di sicurezza appropriato al rischio.”

“Nel valutare l’adeguato livello di sicurezza si tenga conto in particolare dei rischi che vengono presentati dall’elaborazione, in particolare dalla distruzione accidentale o illegale, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso ai dati personali trasmessi, conservati o altrimenti trattati”.

GDPR: steps per essere compliance

• Information Security
• Secure Architecture
• Authentication
• Virtual Patching
• Prevention
• Detection
• Cryptography
• Failover
• Automation
• Control & Visibility

SEGMENTAZIONE DELLA RETE E AUTORIZZAZIONE ALL’ACCESSO

– Configurazioni sicure dei dispositivi di rete (router, firewall, switch e ap)
– Differenziazione dei privilegi amministrativi
– Difesa perimetrale e gestione dei segmenti  di sicurezza interni di rete
– Limitazione e controllo di porte, protocolli e servizi di rete
– Gestione dei dispositivi autorizzati e non autorizzati (BYOD)
– Controllo wireless degli accessi (uffici (802.1X), ospiti)
– Monitoraggio e controllo degli account utente

PROTEZIONE ATTIVA DELLA RETE

– Analisi del traffico di rete (Deep Packet Inspection)
– Valutazione e correzioni continue delle vulnerabilità (patch)
– Protezione per e-mail e navigazione web
– Protezione contro virus e malware
– Blocco del traffico anomalo (Inbound/Outbound)
– Controllo dei software su device mobili, laptop, desktop (client)
– Controllo del software lato server
– Protezione e crittografia dei dati
– Alta affidabilità dei device critici

AUTOMAZIONE, MONITORAGGIO e ANALISI

– Automazione dei processi e delle policy
– Monitoraggio hardware/traffico e analisi/report dei data breach

…GDPR & Ransomware

L’articolo 4.12 afferma:

“Per violazione di dati personali si intende una violazione della sicurezza che porta alla distruzione, alla perdita, all’alterazione accidentale o illegale, alla divulgazione non autorizzata o all’accesso a dati personali trasmessi, memorizzati o altrimenti trattati”.

L’articolo 32 aggiunge:

“Nel valutare l’adeguato livello di sicurezza si tenga conto in particolare dei rischi che vengono presentati dall’elaborazione, in particolare dalla distruzione accidentale o illegale, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso ai dati personali trasmessi, conservati o altrimenti trattati”.

WannaCry è un esempio concreto…

In che modo le aziende sono state colpite da WannaCry?

Fallendo nel non patchare una vulnerabilità Windows SMB (CVE-‎2017-0144).

Questo ha permesso agli attaccanti di liberare un file ransomware nei sistemi infettati e  crittografare i file con 176 diverse estensioni, inclusi quelli utilizzati da Microsoft Office, database, file archivio, file multimediali e diversi linguaggi di programmazione.
Ovviamente, tra questi file ci potevano essere anche quelli dei clienti che devono essere regolati dal GDPR.

E’ quindi fondamentale mantenere tutti i sistemi operativi (client/server) aggiornati e pianificare i backup (su unità esterne/cloud).

In questo caso i dati dei clienti sono stati senza ombra di dubbio oggetto di un accesso illegale e in seguito persi o distrutti dopo essere stati crittografati da WannaCry.

Il trattamento non autorizzato o “illegale” dei dati, la violazione di dati personali (nonostante nessun dato sia stato rubato), sono tutti elementi che possono far incorrere l’ azienda che ha subito l’ attacco (e non ha apportato le necessarie misure di sicurezza) in sanzioni.