Nella mia qualità di DPO di diversi Enti Locali, c’è una telefonata che non vorrei ricevere mai: quella che mi avverte che si è appena verificato un data breach in uno dei miei Comuni. A voler essere precisi, c’è una telefonata ancora peggiore di questa, ovvero quella che mi avverte che si è verificato un data breach dieci, quindici, venti giorni prima in uno dei miei Comuni, ma che si sono dimenticati di chiamarmi subito perché “c’era l’emergenza da gestire”.
È senz’altro vero, quando si verifica un attacco di successo in un Ente Locale c’è l’emergenza da gestire, ma una corretta gestione dell’emergenza non si può improvvisare. Va pianificata in anticipo (con l’apposita procedura di data breach) e va gestita con competenza e sangue freddo. E dunque, anche se abbiamo applicato tutte le cautele necessarie, abbiamo messo in pratica tutte le best practise che il buon senso e l’approccio basato sul rischio ci hanno suggerito, siccome in informatica il rischio zero non esiste, l’evento temuto si è verificato: il data breach è cosa fatta. Poiché il documento di sicurezza nazionale del Dipartimento delle informazioni per la sicurezza (DIS) ci dice che l’80% degli attacchi informatici di successo si rivolge alle PA, vediamo in cinque punti che cosa deve fare un Ente Locale nella malaugurata ipotesi in cui un attacco abbia avuto successo.
Telefonare al DPO
Anche se c’è un’emergenza da gestire, la telefonata al DPO del Comune non è opzionale: è obbligatoria e va fatta immediatamente. Prima ancora del Sindaco o del Segretario, il soggetto che dovrebbe essere avvertito è il DPO. Intanto perché è il suo lavoro, lo pagate per questo, dunque è giusto che venga coinvolto. Ma soprattutto, perché il DPO saprà (o almeno si spera) che cosa fare e dovrà dirigere le operazioni di data breach. Inoltre è il DPO che ha redatto o per lo meno validato la procedura di data breach, dunque sarà il regista della gestione dell’incidente.
Se in dubbio, meglio chiamarlo comunque: una telefonata costa poco ed è meglio che sia lui o lei a dire che si è trattato solo di molto rumore per nulla. Il DPO va avvertito SUBITO, non appena ci si accorge del data breach, di qualsiasi natura il data breach sia, perché le 72 ore previste dal Regolamento per la notifica al Garante ed eventualmente agli interessati decorrono non da quando il Titolare viene a conoscenza dell’incidente di sicurezza. Il DPO deve quindi avere a disposizione il tempo per effettuare le corrette valutazioni in ordine al da farsi, insieme con il Titolare del trattamento.
Chiamare l’amministratore di sistema
Se si tratta di un breach informatico, ovvero nel 99.9% dei casi, la seconda persona in ordine di tempo da contattare, ma sempre a strettissimo giro (per intenderci, nell’istante dopo in cui si mette giù il telefono col DPO, che ne frattempo starà già guidando verso la sede dell’Ente) è l’amministratore IT. Sarà lui o lei a dover individuare la minaccia, isolarla nel più breve tempo possibile e circoscriverla nel minor spazio virtuale possibile, eventualmente scollegando i sistemi, chiudendo gli accessi, cambiando le password. Contemporaneamente, l’IT admin dovrà immediatamente attivare le procedure per il recupero dei dati attraverso il back-up. Anche in questo caso, le procedure non si dovranno improvvisare, ma saranno state decise, scritte e testate in precedenza.
Valutare la violazione
Una volta chiamato il DPO e circoscritta la violazione, sarà necessario valutare il tipo di violazione verificatosi, distinguendo tra:
▪ violazione di riservatezza: quando si verifica una divulgazione o un accesso a dati non autorizzato o accidentale.
▪ violazione di integrità: quando si verifica un’alterazione di dati personali non autorizzata o accidentale.
▪ violazione di disponibilità: quando si verifica perdita, inaccessibilità o distruzione accidentale o non autorizzata di dati personali.
Documentare la violazione e decidere in merito alla notifica
L’Ente Titolare del trattamento effettuerà la valutazione del rischio relativo alla violazione facendosi supportare dai responsabili, dal DPO ed anche, se presenti, da consulenti tecnici esterni nel caso in cui risulti opportuno. È obbligatorio redigere e conservare un registro delle violazioni, in cui documentare ogni tipo di data breach verificatosi, e in base alle procedure adottate ed ai criteri di gravità previsti, si dovrà decidere se la violazione comporta o meno rischi per i diritti e le libertà fondamentali degli interessati.
Se la violazione non comporta rischi, il Titolare del trattamento non procede ad alcuna comunicazione, ma tiene traccia della violazione e documenta dettagliatamente i motivi della mancata notifica (facendosi supportare dal DPO). Se invece la violazione comporta rischi, è obbligatorio procedere alla redazione della notifica ai sensi dell’art. 33 punto 3 del GDPR.
Il titolare dovrà in particolare:
▪ descrivere la natura della violazione e dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
▪ comunicare il nome e i dati di contatto del DPO;
▪ descrivere le probabili conseguenze della violazione dei dati personali;
▪ descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi.
Infine, se la gravità della violazione è tale da comportare un rischio elevato per gli interessati, si dovrà anche procedere alla comunicazione ai sensi dell’art 34 punto 2 del GDPR, descrivendo con un linguaggio semplice e chiaro:
- la natura della violazione dei dati personali;
- il nome e i dati di contatto del DPO presso cui ottenere più informazioni;
- le probabili conseguenze della violazione dei dati personali;
- le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi.
L’Ente locale può effettuare detta comunicazione tramite la pubblicazione sul sito internet istituzionale, dando il giusto risalto all’evento. La comunicazione viene indirizzata personalmente a ciascun interessato coinvolto dalla violazione. Ove ciò non sia possibile il Titolare procede con una comunicazione pubblica in grado di raggiungere comunque tutti gli interessati.
Ripristinare i sistemi e metterli in sicurezza
Se un attacco ha avuto successo non vuol dire che siamo stati poco efficienti, ma sicuramente qualcosa non ha funzionato nella nostra strategia preventiva. Sarà necessario applicare la procedura di disaster recovery (che avremo, di nuovo, scritto in precedenza) per ripristinare i sistemi e riprendere la normale attività dell’Ente nel minore tempo possibile.
Ma non solo. Sarà obbligatorio rivedere tutte le misure di sicurezza già adottate e valutare se modificarle o implementarle: in poche parole rimettere in sicurezza tutti i sistemi. on è sufficiente cambiare le password (anche se sicuramente sarà necessario farlo). Piuttosto operare a tutto tondo, ripassando per la formazione dei dipendenti, per la verifica del funzionamento dei firewall, dei software di protezione installati e delle procedure di back-up stabilite.
La nuova valutazione dei rischi e le nuove misure di sicurezza andranno nuovamente testate, le procedure aggiornate, il personale nuovamente formato. Se adeguatamente previsto, un data breach, ancorché evento di per sé nefasto, potrebbe non solo non essere catastrofico, ma anzi un’occasione di miglioramento e progresso. Tuttavia, ricordiamoci sempre che la forza del nostro sistema informatico si basa su due pilastri fondamentali: un’ottima strategia di prevenzione ed una veloce ed efficace risposta in reazione. E in un briciolo di fortuna, che nella vita serve sempre.
>> L’ARCHIVIO COMPLETO DELLA RUBRICA I MARTEDI’ DELLA CYBERSECURITY.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento