Linee guida dell’European Data Protection Board sulla notificazione dei data breach: la sottrazione occulta di email. Il parere dell’avvocato Giovanni Ricci.
Con le Linee Guida pubblicate nel mese di gennaio del 2021, l’EDPB (European Data Protection Board – organismo tecnico dell’Unione composto dal personale dei vari garanti della privacy nazionali col compito di generare pareri, linee guida e prassi uniformi) ha fornito una serie di indicazioni su come gestire l’evento più temuto in ambito GDPR: il data breach.
Dopo aver affrontato nei primi contributi i temi del ransomware e del furto di identità, ora ci occupiamo di un’altra tipologia di data breach: la sottrazione occulta di posta elettronica (email exfiltration).
Email exfiltration: di cosa si tratta?
Per comprenderne le peculiarità, è necessario capire di cosa si tratti: esfiltrare significa fare uscire qualcuno e/o qualcosa in modo occulto da un territorio ostile sorvegliato.
Applicato al mondo del trattamento e della protezione dei dati personali, dunque, questo concetto si traduce nel furto occulto e inapparente della posta elettronica dove “occulto e inapparente” significa che il titolare della corrispondenza sottratta non si accorge di nulla, poiché detta corrispondenza appare essere presente negli archivi come se nulla fosse successo.
Detto ancora più in sintesi, si tratta dell’equivalente informatico del furto con destrezza.
Traduciamo in un esempio pratico quanto appena detto: una catena di supermarket nota con 3 mesi di ritardo rispetto alla violazione subita che alcuni account di posta elettronica erano stati alterati in modo tale da indirizzare la posta in cartelle nuove e addirittura su server esterni, naturalmente sotto il controllo del soggetto attaccante.
Questo attacco ha generato la rilevazione di informazioni personali di 99 dipendenti, con esposizione del solo nome e del salario di un determinato mese in 89 casi e con esposizione di un set di dati molto più ricco (costituito da nome, stato civile, numero di figli, salario, orario di lavoro) quanto ai restanti 10. La reazione della catena di supermarket si limita alla mera notificazione della violazione ai 10 soggetti colpiti dal furto di dati più rilevante.
Valutazione d’impatto sui diritti e le libertà dei titolari dei dati, fotografia e notificazione della violazione
E qui sta il primo errore: anche il set di dati più ridotto, oggetto di violazione, è infatti suscettibile di generare gravi lesioni dei diritti e delle libertà civili dei titolari, poiché i sofisticati strumenti di ingegneria sociale oggi disponibili consentono, ad esempio, di generare identità virtuali false anche partendo, appunto, da set di dati minimi.
Quanto al dovere di notifica della violazione, nel caso della esfiltrazione di posta elettronica, il data breach deve essere sempre notificato all’autorità garante della privacy e ai titolari dei dati.
È inoltre necessario che la violazione venga fotografata dal titolare del trattamento in ogni suo aspetto in modo da consentire una efficace disamina delle sue peculiarità al fine di minimizzare il rischio conseguente alla stessa e al fine di predisporre per il futuro le più efficaci misure di sicurezza.
Mitigazione delle conseguenze e misure di sicurezza
Come detto sopra, il furto del set di dati personali, sia quello più limitato, sia quello più ricco, genera la possibilità che anche altri account degli stessi soggetti già colpiti possano subire in seguito nuovi attacchi e furti di identità. Questo si traduce in un altro rischio per i diritti fondamentali delle persone; e avrebbe dovuto generare la notificazione della violazione a tutti i 99 soggetti coinvolti.
Vediamo allora come impostare le contromisure per limitare il rischio di nuove violazioni analoghe dopo l’attacco: le linee guida al riguardo consigliano di modificare le password di accesso agli account violati, bloccare il reindirizzamento della posta verso le cartelle create dall’attaccante, informare il service provider utilizzato dal medesimo attaccante per gestire le email esfiltrate, cambiare le regole di reindirizzamento impostate dallo stesso.
Queste sono operazioni che possono e devono essere gestite in team dai titolari dei vari account sotto la regia della funzione addetta alla cybersecurity interna (che per esempio è tipicamente deputata a rimuovere/modificare le regole di reindirizzamento e a informare i provider di posta elettronica).
Ma le linee guida vanno oltre, suggerendo altre possibili contromisure, alternative rispetto a quelle sopra individuate, quali inibire ai titolari degli account la possibilità di impostare regole proprie di reindirizzamento della posta, oppure impostare per i titolari degli account una policy implicante l’obbligo di controllo e notificazione periodici di eventi sospetti riguardanti le singole caselle di posta elettronica alla funzione interna dedicata alla cybersecurity.
La periodicità di tali controlli può e deve variare anche in funzione del tipo di dati trattati per posta elettronica: dati sensibili come quelli sulla salute, sulla situazione giudiziaria (in particolare penale), sull’orientamento politico/religioso/sessuale delle persone possono comportare la necessità di verifiche settimanali, mentre dati personali non sensibili consentono di impostare periodi più lunghi tra un controllo e quello successivo.
La medesima politica può ad esempio essere applicata alla variazione delle password di accesso alle caselle di posta elettronica.
Il lungo lasso di tempo (3 mesi) intercorso tra la violazione e la scoperta della medesima, unitamente al rischio di alterazione di ulteriori dati in un lasso di tempo più lungo, mediante tecniche di ingegneria sociale, impone che questo tipo di violazione sia attentamente fotografato da chi lo subisce, notificato all’autorità di regolazione e a tutti i titolari dei dati sottratti.
Al riguardo può giovare una ultima riflessione di ordine generale: le contromisure elencate sopra sono nel contempo sia strumenti di prevenzione rispetto a una ipotetica violazione futura, ove vengano adottate a priori rispetto al trattamento dei dati (così come del resto impone il GDPR con i principi generali di privacy by design e by default) che misure di mitigazione rispetto a una violazione già avvenuta.
Le precedenti consulenze
LegalTech: furto di identità, valutazione del rischio e contromisure
