Maggiori Data Breach 2018

Fine anno è tempo di riepiloghi e bilanci; vorrei proporre una tabella riassuntiva con elenco sintetico dei più rilevanti Data Breaches occorsi nel 2018 (fonte WikiPedia).

Tutti conoscono il data breach Facebook – Cambridge Analytica, alcuni anche di quello occorso al gruppo Marriott, ma solo pochi sono al corrente del peggiore data breach avvenuto nel 2018: quello accaduto a MyHeritage , valutato l’impatto potenziale sugli interessati, in base alla tipologia di dati oggetto della violazione (dati genetici).

Organizz.Dati coinvoltiSettoreTipo Breach
AerServ (subsidiary of InMobi)75000advertisinghacked
Bethesda Game Studiosunknowngamingaccidentally published
BMO and Simplii90000bankingpoor security
British Airways380000transporthacked
Cathay Pacific Airways9400000transporthacked
Centers for Medicare & Medicaid Services75000healthcarehacked
Facebook50000000social networkpoor security
Google Plus500000social networkpoor security
Marriott International500000000hotelhacked
MyHeritage92283889genealogyunknown
Orbitz880000webhacked
Popsugar123857fashionhacked
Quora100000000Question & Answerhacked
Redditunknownwebhacked
SingHealth1500000government, databasehacked
Ticketfly (subsidiary of Eventbrite)26151608ticket distributionhacked
Typeformunknowntechpoor security
Under Armour150000000Consumer Goodshacked
WordpressunknownC.M.S.hacked

Gestire un Data Breach

Ormai quasi tutti sanno cosa sia un data breach.

Pochi sanno che occorra una valida e predisposta procedura per la sua gestione.

Nelle 72 ore successive a quando se ne è avuta conoscenza, occorre valutare se effettuare la comunicazione all’Autorità di Controllo e agli interessati i cui dati sono stati oggetto di data breach.

In alcune tipologie di data breach, avremo un sistema informatico compromesso, dal quale un soggetto malintenzionato starà effettuando attività penalmente rilevanti; occorrerà quindi effettuare le attività di raccolta delle evidenze, adottando le riconosciute procedure di computer forensic.

Nella procedura di gestione del data breach occorrerà effettuare una seria analisi dell’evento, evidenziando il livello di rischio indotto sugli interessati dalla violazione dei dati personali, tramite un procedimento analitico documentato e dimostrabile a terzi. A tale scopo, ho predisposto un modello di valutazione del rischio relativo al data breach.

Nelle realtà medio-grandi consiglio la predisposizione di un “crisis team“, nel quale un D.P.O. sarà il punto di riferimento.

Segnalo che ogni evento data breach, anche se non necessita di segnalazione, deve essere registrato nel registro dei data breach.

In ogni caso si deve analizzare l’accaduto per adottare le necessarie misure correttive, onde ridurre la probabilità che l’evento avverso si ripresenti, magari in forma aggravata.

Modello di valutazione del rischio da Data Breach

Come sappiamo, qualora occorra un Data Breach, il nuovo Regolamento UE 679/2016 prescrive, a carico del Titolare del Trattamento (ma anche del Responsabile esterno qualora la violazione avvenga presso di esso) degli obblighi stringenti, relativi alla comunicazione alla autorità di controllo e talvolta ai soggetti interessati dalla violazione.

Non sempre la comunicazione al Garante (e quindi di conseguenza la comunicazione agli interessati) è obbligatoria; si deve fare a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Occorre quindi stabilire il livello di rischio che la violazione dei dati personali induce (può indurre) a carico delle persone che sono state oggetto della violazione; una violazione dei dati personali può determinarsi da una molteplicità di eventi avversi, dalla perdita di un dispositivo mobile, dal furto di un asset IT, dalla penetrazione di una rete o di un servizio IT, dalla perdita di confidenzialità dei dati, da un incendio o allagamento che ha interessato un archivio o datacenter, sino al server o PC colpito da malware.

Data la molteplicità degli eventi avversi e le loro caratteristiche “mutevoli” a seconda del contesto, è molto complesso definire in modo appropriato e dimostrabile il reale livello di rischio. A tale scopo, ho predisposto un modello analitico di valutazione del rischio determinatosi a seguito di una violazione di dati personali.

Lo adotto sempre in ogni tipologia di data-breach, quando sono chiamato a valutare il singolo evento avverso.

Ricordo che ogni azienda deve aver gia predisposto le corrette procedure di gestione del data-breach, e (specialmente nelle organizzazioni più strutturate) definito una unità di crisi.

72 ore senza sapere cosa fare trascorrono molto velocemente.


Chip clandestino, spionaggio planetario

Sembra originare dalla Cina il più incredibile caso di cyber-spionaggio della storia.

Secondo un articolo di  Bloomberg, qualcuno ha inserito un chip microscopico nelle motherboard di SuperMicro, una azienda americana che produce sistemi server High Tech.

Si ritiene che questi micro-chips, installati nelle mainboard durante la produzione in Cina, contengano del codice “backdoor” che comprometta il dispositivo, sovrapponendosi al sistema operativo.

Le indagini, condotte sin dal 2015 ed ancora in corso, sarebbero scaturite da una verifica di sicurezza su sistemi server di Amazon; non sono stati divulgati dettagli dalle Autorità.

I big del settore apparentemente coinvolti smentiscono categoricamente; nel frattempo i titoli delle aziende cinesi produttrici di componenti I.T. vanno a picco nelle borse mondiali.

Come sempre, quando si guarda prevalentemente ai costi, la sicurezza viene sempre in ultimo piano; occorre garantire la sicurezza della intera filiera produttiva dei prodotti I.T.

Forse SuperMicro (se supererà il ChipGate) tornerà a produrre in USA?

La sicurezza informatica riguarda tutti gli aspetti di un sistema; adesso l’opinione pubblica ha scoperto che anche l’hardware può essere compromesso in fabbrica.

Lo ripeto da tempo: tutte le componenti debbono essere oggetto di analisi di sicurezza; qualcuno sa esattamente cosa faccia il BIOS (adesso uefi, in pratica un sistema operativo a se stante) dei moderni PC?

FaceBook, data breach da 50 milioni di utenti

Giunge notizia di un data breach ai danni di FaceBook; sul blog ufficiale viene dichiarato che multiple vulnerabilità relative alla funzione “view as” hanno consentito, a sconosciuti, di rubare gli “access token” di circa 50 milioni di utenti.

Un access token si potrebbe paragonare ad un “gettone di ingresso” che viene consegnato dal server al client quando esegue il log-on, e che gli consente di rimanere “loggato” senza dover ripresentare continuamente le credenziali di accesso.

Avendo a disposizione il token, soggetti terzi potrebbero aver avuto accesso al profilo e ai dati degli utenti di FaceBook.

Allo stato attuale, non si conoscono esattamente quali informazioni sono state oggetto di data breach, ne la sua estensione; non dovrebbero essere state accessibili le informazioni relative a carte di credito e altri strumenti di pagamento, in quanto risiedevano su sistemi diversi.

Consiglio a tutti gli utenti di Facebook di cambiare immediatamente la loro password (per resettare gli eventuali token ancora “rimasti in piedi”).

Come considerazione finale, sicuramente è molto comodo autenticarsi negli innumerevoli siti e servizi utilizzando la piattaforma di FaceBook (così come quella di Google, Twitter, …) ma ciò comporta accettare un ulteriore livello di rischio, rispetto a gestire le credenziali di autenticazione “in proprio”.

GDPR e videosorveglianza

GDPR e videosorveglianza; cosa cambia?

Come tutti sappiamo, un sistema di videosorveglianza (anche quelli che non registrano immagini) determina un sistema di trattamento di dati personali (tra l’altro, particolarmente invasivo della privacy e potenzialmente lesivo dei diritti personali).

Dopo il 25 maggio, il Regolamento UE 679/2016 ha effetto anche sui sistemi di videosorveglianza, che debbono esservi “compliant”.

Quali sono i cambiamenti più rilevanti?

Intanto il GDPR concede diversi nuovi diritti ai soggetti interessati; come consequenza diretta, occorrerà rivedere le informative estese (che non sono i cartelli esposti al limite delle aree sorvegliate).

Il Regolamento introduce anche il concetto di “accountability” (responsabilizzazione); ciò assegna al titolare del trattamento ogni decisione e responsabilità derivanti, in merito alla implementazione di un impianto di videosorveglianza.

Si riporta l’estratto dal provvedimento 8235119 – 22 febbraio 2018 del Garante per la Protezione dei Dati Personali:
Si tenga comunque presente che, a decorrere dal 25 maggio 2018, data di applicazione del Regolamento (UE) 2016/679, il titolare del trattamento in ossequio al principio di responsabilizzazione di cui all´art. 24 dovrà valutare autonomamente la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto ex art. 35 del citato Regolamento ovvero attivare la consultazione preventiva ai sensi dell´art. 36 del Regolamento medesimo.

Quindi taluni “particolari” sistemi di videosorveglianza dovranno essere soggetti a DPIA preventiva, al posto della precedentemente prevista (e comoda) verifica preliminare a cura della Autorità Garante.

Inoltre, tutti i sistemi di videosorveglianza sono soggetti ai nuovi principi di Privacy by Design & Privacy by Default.

Dobbiamo anche da valutare se predisporre (e manutenere) il famigerato Registro dei Trattamenti;  a mio avviso, qualora il sistema realizzi un trattamento di dati personali che sottoponga ad un rischio elevato la privacy degli interessati, il Registro è necessario.

Da ultimo, occorre valutare se necessiti la nomina del D.P.O. (sistemi complessi e distribuiti, trasferimento di flussi video, riconoscimento volti, analisi comportamentale, dati biometrici e/o geolocalizzazione, ecc…) e tenere bene a mente che il Data-Breach potrà accadere anche sui sistemi di videosorveglianza (l’effetto potrebbe essere devastante).

Aggiornamento: l’Ente Italiano di Normazione ha pubblicato recentemente le Prassi di Riferimento (UNI/PdR 43.1:2018); al punto 22.6 Videosorveglianza Aziendale viene specificato che:

... prima di progettare il sistema di videosorveglianza, o sue modifiche, il titolare conduce una analisi dei rischi per i diritti e le libertà delle persone che operano nell'area di azione del sistema, considerate le finalità per cui esso vorrà essere utilizzato. L'analisi dei rischi individua le modalità corrette di disposizione, configurazione ed utilizzo del sistema, definisce i compiti e le responsabilità, le misure adeguate per proteggere le informazioni, gli adempimenti occorrenti (p.es., i cartelli di informativa, i profili di autorizzazione, la valutazione
preliminare d'impatto) formalizzando il tutto in un documento delle scelte conservato dal titolare ...