Nel momento in cui un attacco ransomware colpisce, la situazione è sempre preoccupante soprattutto considerato che non si limita ad imporre un blocco di operatività di dati e sistemi ma il più delle volte comporta un’esfiltrazione di dati per presentare un cospicuo bottino – ulteriore e certo rispetto all’eventuale pagamento di riscatto – per i cybercriminali. Affrontare una multifaceted extortion non è semplice e richiede un coordinamento di risorse interne ed esterne, mentre a ben poco serve cercare alibi quando oramai i dati sono tenuti in ostaggio e c’è la scure di un data leak che di lì a poco potrebbe danneggiare irrimediabilmente l’organizzazione e compromettere la fiducia degli stakeholder. Per non parlare di quando il sistema coinvolto è di pubblica rilevanza, nonostante le comunicazioni a riguardo siano spesso confuse, imprecise o tendenti a sminuire l’evento e con l’intento di allontanare qualsivoglia forma di responsabilità. Su queste omissioni si confida che prima o poi l’Autorità Garante per la protezione dei dati personali si impegni ad intervenire in modo maggiormente incisivo onde ridurne la frequenza, soprattutto quando provenienti da enti pubblici su cui gravano pesanti responsabilità nei confronti dei dati dei cittadini.
Ma dal momento che gli attacchi di tipo ransomware oramai rappresentano uno scenario di rischio la cui probabilità di occorrenza – che è variabile dipendente da minaccia e vulnerabilità – si colloca su un trend crescente e poiché la valutazione della sicurezza dei trattamenti deriva da una previa analisi dei rischi, occorrerà senz’altro un aggiornamento in tal senso per garantire una conformità all’art. 32 GPDR. L’approccio risk-based richiesto dalla norma contempla infatti una continua verifica di efficacia, con tanto di previsione – fra le misure citate come esemplificative – di “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.” (art. 32.1 lett. d) GDPR).
Così come gli attuali scenari di cyberwar hanno richiesto un riadeguamento dei sistemi di gestione della sicurezza delle informazioni, ancor più occorre considerare i fattori costituiti da attacchi che oramai non possono certamente essere annoverati come rare eccezioni di cui non si conoscono metodi, vettori impiegati e impatti potenziali verso le organizzazioni e gli interessati coinvolti. L’allarmante quotidianità con cui si apprende di notizie circa attacchi di tipo ransomware, purtroppo, smentisce qualsivoglia illusione a riguardo.
