Le linee guida, adottate dall’Edpb (Comitato europeo per la protezione dei dati), per aiutare imprese e pubblica amministrazione ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio e come procedere in caso di attacchi ransomware, di esfiltrazione di dati, di perdita o furto di dispositivi e documenti cartacei.
Le nuove linee guida si pongono come completamento delle linee guida del Working Party 29 in tema di data breach adottate il 3 ottobre 2017 (WP250) e introducono raccomandazioni più orientate alla pratica.
L’EDPB elenca inoltre buone o cattive pratiche e consigli su come identificare e valutare i rischi, evidenzia i fattori che dovrebbero essere presi in particolare considerazione, nonché informa in quali casi il responsabile del trattamento deve notificare il data breach all’Autorità Garante nazionale o avvisare gli interessati.
Le linee guida saranno sottoposte a consultazione pubblica fino al prossimo 2 marzo
Guidelines 01/2021 EDPB ” link.“
Alcuni suggerimenti dell’EDPB per evitare attacchi ransomware
Gli esempi si chiudono con una serie di suggerimenti del gruppo dei garanti europeo per evitare attacchi ransomware. In particolare l’EDPB consiglia:
- di mantenere aggiornati i sistemi;
- di registrare quali patch vengono applicate e in quale momento;
- di progettare i sistemi informatici per segmenti isolati, così da evitare la propagazione del malware;
- di predisporre una procedura di backup aggiornata, sicura e testata;
- di crittografare i dati personali sul proprio sistema con strumenti efficaci;
- di dotarsi di efficaci software antimalware e firewall, dirigendo il traffico di rete attraverso il firewall;
- di predisporre adeguate misure di sicurezza anche in caso di smart working (ad esempio utilizzando connessioni VPN;
- di formare adeguatamente i dipendenti affinché riconoscano queste minacce e ne sappiano contenere i danni nell’evenienza in cui accadano.
Drammatiche potrebbero essere le conseguenze di un attacco ransomware (un virus informatico che rende inservibili i dati fino al pagamento di un eventuale riscatto) ai referti e ad altri documenti dei pazienti di un ospedale, a meno che la struttura sanitaria non abbia provveduto a effettuare un backup separato dei dati. Non bisogna sottovalutare anche i problemi che può causare una semplice e-mail spedita ai destinatari sbagliati.
Il testo, che integra e aggiorna gli orientamenti già forniti negli anni passati dal Gruppo “Articolo 29”, proprio per offrire un contributo concreto a imprese e Pa, analizza anche le misure adottate dai titolari del trattamento, prima di aver subito un data breach, per prevenire o attenuare i rischi di una potenziale violazione dei dati. E propone una lista di misure di prevenzione ai vari problemi rilevati.