Le Linee Guida dell’EDPB su attacchi informatici nel mondo IoT

10/03/2021
di Emanuela Pasino

Sono state adottate il 14 Febbraio 2021 le Linee Guida inerenti le ipotesi riguardanti le notifiche dei data breach. L’EDPB (European Data Protection Board) ha ritenuto essenziale adottare le Linee Guida per consentire a quei soggetti che devono valutare le ipotesi di notificazione all’Autorità Garante per la protezione dei dati personali, attiva in ogni Nazione, di disporre di uno strumento di riferimento idoneo a distinguere quali ipotesi sicuramente comportano una notifica all’autorità e quali debbano essere notificate agli interessati, andando ad evidenziare anche quelle ipotesi di esclusione di notificazione qualora gli eventi abbiano rilevanza esclusivamente interna.

Data Breach e Regolamento Europeo (GDPR)

Ricordiamo che per data breach si intende un evento a causa del quale dati personali vengono a conoscenza di soggetti non autorizzati o siano resi non più disponibili oppure ne venga alterata l’integrità. Il Regolamento Europeo in materia di protezione dati personali prevede che in caso di data breach, laddove vi sia una lesione degli interessi legittimi degli interessati o vi possa essere per gli stessi un rischio, si debba provvedere alla notificazione all’Autorità di Controllo nazionale ed alla valutazione della notificazione nei confronti dei soggetti interessati i cui dati hanno subito la violazione.

In considerazione del proliferare di notificazioni, talvolta non rilevanti rispetto alla ratio della norma, l’EDPB ha inteso redigere unitamente ai casi pratici anche le correlate misure che dovrebbero essere adottate in via preventiva sulle quali dovrebbero confrontarsi comunque i Titolari del trattamento anche a seguito di un breach subito.

Cosa accade nel mondo dell’Internet of Things

Le Linee Guida rilevano ovviamente anche nell’ambito dell’Internet of Things. Secondo gli esperti ricercatori di ESET (azienda storica attiva nell’ambito della protezione dei rischi) i ransomware si stanno evolvendo in una variante detta “jackware”, ideata proprio per colpire i dispositivi intelligenti: questi attacchi sono in grado di bloccare l’utilizzo dei dati presenti sui dispositivi, e quindi non consentirne la funzionalità, chiedendo un riscatto per sbloccare il dispositivo stesso.

All’interno delle Linee Guida vi sono diverse ipotesi che possono riguardare l’ambito IoT. A fronte di ciò le Linee Guida indicano tutta un serie di misure di prevenzione sulle quali le aziende titolari di trattamenti dovranno confrontarsi. Innanzi tutto, il documento valorizza in modo importante i processi organizzativi e le misure di prevenzione rispetto alla valutazione dei rischi: vulnerability assessment e penetration test dovrebbero essere valutati come misure atte a verificare preventivamente il livello di esposizione della soluzione rispetto a potenziali attacchi.

Il tema della cifratura è spesso citato nei singoli casi come misura da valutare in proporzione alla tipologia di dati ed informazioni trattate dalla soluzione: anche perché un attacco che potesse escludere la conoscibilità dei dati da parte di terzi ed in presenza di un back-up sicuramente mitigherebbe la responsabilità del Titolare rispetto all’attacco ed agli effetti e conseguenze dello stesso. Viene evidenziata l’importanza dell’utilizzo di strong authentication e del monitoraggio “in tempo reale” dei profili dei soggetti che possono accedere ai sistemi secondo il loro ruolo e la permanenza nei vari progetti di sviluppo, rilascio ed utilizzo della soluzione.

Da valutare da parte del Titolare anche l’adozione di un sistema di intrusion detection and prevention system: ciò permetterebbe di monitorare e talvolta bloccare attività dannose o anomalie che possono essere la premessa a tentativi di attacchi. In un momento particolarmente delicato come questo, l’EDPB evidenzia anche la necessità di preservare le postazioni che, attive da remoto (in smart working), potrebbero costituire involontariamente un veicolo per attacchi alla rete aziendale: ecco perché le VPN dovrebbero essere create e sostenute nel panorama degli investimenti.

Ricordiamo che le Linee Guida fanno riferimento agli attacchi mirati a tutte le tipologie di dati personali: non pensiamo pertanto solo ai dati di consumatori finali IoT, come nell’ambito della domotica o dei giochi intelligenti, ma teniamo in considerazione anche le soluzioni adottate nelle aziende di produzione, dove nei rapporti B2B sussiste comunque un trattamento dati personali ampio, sia con riferimento ai clienti che ai dipendenti. E ricordiamo che la notificazione all’Autorità di controllo nazionale deve essere effettuata entro 72 ore dall’attacco, fornendo tutte le informazioni a disposizione, sia di natura giuridica che informatica, rischiando altrimenti sanzioni che comportano vari milioni di euro (sino a 10 milioni) e sino al 2% del fatturato.

Articolo pubblicato su IOTtoday

Riproduzione riservata ©

ALTRE NEWS

Maggiori tutele per i pagamenti tramite smartphone e tablet. Avviata una consultazione pubblica dal Garante

Più garanzie in arrivo per coloro che utilizzano smartphone e tablet per l’acquisto di servizi o prodotti in formato digitale quali quotidiani, e-book, film o… Leggi Tutto

Vietato l’uso non autorizzato di foto scaricate da un profilo Facebook

Il Tribunale di Roma con la recente sentenza n. 12076/2015 ha condannato una testata giornalistica per aver riprodotto e diffuso senza autorizzazione foto scaricate dal… Leggi Tutto

Frodi bancarie: la biometria corre in aiuto, Privacy permettendo

Nuovo capitolo nella lotta contro le frodi e i furti di identità. Di recente, su commissione di una banca, è stato creato un sistema di… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.