Il ransomware Ragnar Locker colpisce ancora, stavolta il Gruppo Campari Non è la prima volta che tale minaccia si realizza e viene portata alle luci della cronaca, e gli attacchi alla sicurezza tramite ransomware sono attuali e possono comportare anche delle conseguenze per quanto riguarda la gestione della compliance GDPR.
Il problema non sarà solo il blocco operativo e la perdita economico-finanziaria conseguente, ma anche un danno reputazionale e una serie di conseguenze legali dovute, ad esempio, alla violazione degli artt. 32 e ss. GDPR per mancata gestione della sicurezza, della violazione dei dati personali, degli adempimenti relativi alla notifica all’autorità di controllo e alle comunicazioni agli interessati.
Il tipo di ransomware citato, infatti, non si limita soltanto a bloccare i sistemi andando a criptare i dati ma compie anche un’opera di esfiltrazione trasferendo le informazioni al cybercriminale. In questo modo la richiesta del riscatto è accompagnata da una c.d. proof of keeping, ovverosia la prova di detenere anche una copia dei dati con tutte le ovvie conseguenze circa l’aumento della pressione nei confronti dell’organizzazione vittima di attacco.
Per quanto riguarda l’aspetto della protezione dei dati personali, un attacco ransomware è generalmente un data breach in quanto rende indisponibili (temporaneamente o definitivamente) i dati. Tale fatto comporta certamente l’obbligo di registrazione dell’evento, e una valutazione circa gli ulteriori obblighi di cui agli artt. 33 e 34 GDPR tramite un’analisi dell’incidente, del ripristino della disponibilità e dell’impatto che tale evento può aver comportato, in concreto, agli interessati.
Qualora però vi sia, come è nell’ipotesi sopra considerata, il rischio che siano anche stati sottratti i dati c’è anche una perdita di confidenzialità per cui l’organizzazione deve procedere non solo alla notifica all’autorità di controllo ma anche alla comunicazione nei confronti degli interessati. La possibilità che si realizzino conseguenze per gli interessati nell’ipotesi di sottrazione di dati personali non può essere esclusa a priori, tenendo conto soprattutto del reimpiego dei database di dati anche di tipo comune per condurre campagne di phishing ed inviare ulteriori malware o ransomware ad esempio.
La predisposizione di misure preventive per gli attacchi di tipo ransomware rientra dunque in quelle misure adeguate e risk-based richieste dall’art. 32 GDPR in ambito di sicurezza dei trattamenti. Dal momento che un’analisi delle minacce è espressamente richiesta, l’attuale panorama di cybersecurity rende impossibile ignorare tale fonte di rischio, soprattutto nei confronti di database particolarmente appetibili per volume o qualità dei dati per cui gli obblighi di sicurezza sono ancor più stringenti in ossequio al principio di privacy by design di cui all’art. 25 GDPR.
