databreach Archivi

Pirateria Ransomware, nuove minacce: se paghi, ti costerà meno delle sanzioni GDPR

Nuove frontiere per la pirateria ransomware

Come visto nel precedente post, il ransomware è un programma informatico molto dannoso, perché capace di infettare un dispositivo o un server, impedendone di fatto l’operatività. La maggior parte dei pirati informatici, ormai, non si limita a crittografare i dati sui sistemi delle vittime, ma ne effettua una copia precisando che, in caso di mancato pagamento, tutti i dati e le informazioni rubate sarebbero stati venduti o resi pubblici.

È questo, ad esempio, il caso di Sodinokibi, che in principio sfruttava una vulnerabilità in Oracle WebLogic per installarsi silente nei computer delle vittime, mentre ora il codice malevolo è inviato con email spam, relative a presunte comunicazioni legali con archivi compressi allegati.

Per rendere le minacce più serie, così da ottenere più efficacemente congrui riscatti, uno degli elementi utilizzati è quello di agitare il rischio di una multa ai sensi del nuovo GDPR.

La novità, in questo caso, è che la minaccia di diffondere e rendere pubblici i dati non fa leva sul timore di un danno reputazionale che potrebbe subire l’azienda o la PA: in questi casi, infatti, il cyber – criminale paventa l’attivazione del meccanismo sanzionatorio previsto dal GDPR, in caso di mancato pagamento del riscatto richiesto.

Con questa nuova tecnica, la vittima potrebbe preferire il pagamento del riscatto, piuttosto che incorrere in un eventuale procedimento di accertamento dell’Autorità Garante, che lo esporrebbe all’irrogazione di misure correttive, ma soprattutto di sanzioni amministrative pecuniarie.

L’importanza della formazione come fattore di prevenzione

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

percorsi di formazione e aggiornamento;
percorsi di approfondimento e perfezionamento;
servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Si suggeriscono, i seguenti percorsi formativi e di aggiornamento:

Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per ottenere un’adeguata formazione in materia di gestione dei dati personali;
Corso “DPO: DATA PROTECTION OFFICER”, per intraprendere un percorso professionale di elevata specializzazione per svolgere le funzioni tipiche del Data Protection Officer.
Non da ultimo, risulta indispensabile formare l’amministratore di sistema attraverso il corso “Amministratore di sistema”, appositamente dedicato a tale figura.

17 Dicembre 2019/da Hedya

News

Data Breach, il Garante privacy lancia un nuovo modello di notifica

Che cosa cambia?

La gestione di un Data breach costituisce un tassello importante nella trama operativa della Data Protection, che spesso incontra difficoltà nella identificazione delle corrette modalità procedurali di comunicazione e notificazione all’autorità di controllo. Il GDPR prevede che in caso di Data breach, e dunque di violazione dei dati personali, il titolare del trattamento:

È tenuto a notificare l’evento al Garante senza ingiustificato ritardo, e comunque entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche;
Qualora la violazione comporti un rischio elevato per i diritti delle persone, il titolare deve altresì fornire adeguata comunicazione a tutti gli interessati, utilizzando a tal scopo i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

La gestione del Data breach, tuttavia, non si esaurisce nel predisporre le opportune comunicazioni e/o notificazioni: il titolare del trattamento, infatti, a prescindere dalla notifica al Garante, è tenuto a documentare tutte le violazioni dei dati personali, predisponendo un apposito registro; tale documentazione potrà costituire, successivamente, l’oggetto delle attività ispettive svolte dall’Autorità, nel corso delle eventuali verifiche sul rispetto della normativa.

Con il provvedimento n. 157 del 30 luglio 2019 il Garante privacy ha introdotto un nuovo modello ufficiale, contenente le informazioni minime necessarie per effettuare una notifica di violazione dei dati personali ai sensi dell’art. 33 del Regolamento europeo in materia di protezione dei dati personali (GDPR).

Alla luce delle nuove prescrizioni, tutti i soggetti tenuti alla notifica delle violazioni dei dati personali forniscono al Garante, nell’adempiere all’obbligo previsto dall’art. 33 del Regolamento e dall’art. 26 del d.lgs. n. 51/2018, le informazioni di cui all’allegato modello, con le modalità di cui all’art. 65 del d.lgs. n. 82/2005, mediante i sistemi telematici indicati nel sito istituzionale del Garante.

Come aggiornarsi? Hedya propone percorsi di formazione e aggiornamento

Il recente provvedimento del Garante per la protezione dati dimostra che la disciplina della protezione dati non si esaurisce nella mera conoscenza della normativa europea e nazionale, ma richiede costanti interventi di aggiornamento sulle più recenti prassi applicative.

Per tali ragioni, Hedya propone:

percorsi di formazione e aggiornamento;
percorsi di approfondimento e perfezionamento;
servizi di consulenza per verificare la conformità al GDPR.

Si segnalano, per i percorsi formativi e di aggiornamento:

Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per ottenere un’adeguata formazione in materia di gestione dei dati personali;
Corso “DPO: DATA PROTECTION OFFICER”, per intraprendere un percorso professionale di elevata specializzazione per svolgere le funzioni tipiche del Data Protection Officer.

Ulteriori informazioni sono disponibili qui.

11 Novembre 2019/da Hedya

L	M	M	G	V	S	D
« Dic
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

Articoli