Dai provvedimenti del Garante Privacy si ricavano spesso indicazioni operative utili. Passando in rassegna le criticità che, caso per caso, corrispondono ad altrettante ragioni giustificative della sanzione, infatti, si ricavano, a contrario, altrettanti strumenti da impiegare nella quotidianità. Un esempio recente è la sanzione (ben 30.000) comminata ad una ASL, il cui sistema informatico è stato “bucato” con un attacco ransomware. Ne è conseguita una fuga di dati piuttosto massiccia, tanto che l’azienda ha dovuto notificare il data breach al Garante.
Ovviamente, quando si verifica un data breach, significa che qualcosa è andato storto a livello di misure di sicurezza e organizzative. E infatti l’Autorità ha passato in rassegna le procedure e le soluzioni tecniche adottate dall’ASL, ponendo l’accento su alcune scelte, giudicate sbagliate.
Gli appunti del Garante e gli spunti per le aziende
Anzitutto, l’infrastruttura informatica deve poter disporre di un sistema efficace per il rilevamento delle anomalie. A seguito di un attacco hacker, i processi subiscono una deviazione, per così dire, rispetto ai loro percorsi abituali. Nel caso specifico, un dipendente ha notato che alcuni accessi risultavano bloccati, ma la segnalazione è giunta quando l’attaccante aveva già avuto modo di espandersi nell’infrastruttura. Ebbene, il sistema deve essere in grado di rilevare con velocità le anomalie, in modo tale da contenere i danni e intervenire al più presto.
Un altro aspetto che spesso viene trascurato è quello della segmentazione delle reti. Questo accorgimento serve ad evitare che il danno che coinvolge una sola di esse, si propaghi inevitabilmente anche alle altre. Si tratta di una scelta progettuale, che verte quindi sul design dell’infrastruttura informatica. Disporre di reti separate aiuta ad isolare il problema, contenendolo in un singolo ambiente. Aiuta inoltre il ripristino della funzionalità, perché si concentreranno gli interventi solamente sulla porzione di rete compromessa, mentre le altre continueranno a funzionare.
Un’altra criticità rilevata riguarda il sistema di accesso alla rete aziendale. Nel caso specifico, gli utenti avevano la possibilità di entrare tramite VPN secondo una semplice procedura di login. Mancava, quindi, un’autenticazione a due fattori. Chiaramente, la mancata adozione di questo accorgimento – tutto sommato semplice – ha compromesso la “forza” di protezione della rete aziendale.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale