Le Linee Guida dell’EDPB su attacchi informatici nel mondo IoT

10/03/2021
di Emanuela Pasino

Sono state adottate il 14 Febbraio 2021 le Linee Guida inerenti le ipotesi riguardanti le notifiche dei data breach. L’EDPB (European Data Protection Board) ha ritenuto essenziale adottare le Linee Guida per consentire a quei soggetti che devono valutare le ipotesi di notificazione all’Autorità Garante per la protezione dei dati personali, attiva in ogni Nazione, di disporre di uno strumento di riferimento idoneo a distinguere quali ipotesi sicuramente comportano una notifica all’autorità e quali debbano essere notificate agli interessati, andando ad evidenziare anche quelle ipotesi di esclusione di notificazione qualora gli eventi abbiano rilevanza esclusivamente interna.

Data Breach e Regolamento Europeo (GDPR)

Ricordiamo che per data breach si intende un evento a causa del quale dati personali vengono a conoscenza di soggetti non autorizzati o siano resi non più disponibili oppure ne venga alterata l’integrità. Il Regolamento Europeo in materia di protezione dati personali prevede che in caso di data breach, laddove vi sia una lesione degli interessi legittimi degli interessati o vi possa essere per gli stessi un rischio, si debba provvedere alla notificazione all’Autorità di Controllo nazionale ed alla valutazione della notificazione nei confronti dei soggetti interessati i cui dati hanno subito la violazione.

In considerazione del proliferare di notificazioni, talvolta non rilevanti rispetto alla ratio della norma, l’EDPB ha inteso redigere unitamente ai casi pratici anche le correlate misure che dovrebbero essere adottate in via preventiva sulle quali dovrebbero confrontarsi comunque i Titolari del trattamento anche a seguito di un breach subito.

Cosa accade nel mondo dell’Internet of Things

Le Linee Guida rilevano ovviamente anche nell’ambito dell’Internet of Things. Secondo gli esperti ricercatori di ESET (azienda storica attiva nell’ambito della protezione dei rischi) i ransomware si stanno evolvendo in una variante detta “jackware”, ideata proprio per colpire i dispositivi intelligenti: questi attacchi sono in grado di bloccare l’utilizzo dei dati presenti sui dispositivi, e quindi non consentirne la funzionalità, chiedendo un riscatto per sbloccare il dispositivo stesso.

All’interno delle Linee Guida vi sono diverse ipotesi che possono riguardare l’ambito IoT. A fronte di ciò le Linee Guida indicano tutta un serie di misure di prevenzione sulle quali le aziende titolari di trattamenti dovranno confrontarsi. Innanzi tutto, il documento valorizza in modo importante i processi organizzativi e le misure di prevenzione rispetto alla valutazione dei rischi: vulnerability assessment e penetration test dovrebbero essere valutati come misure atte a verificare preventivamente il livello di esposizione della soluzione rispetto a potenziali attacchi.

Il tema della cifratura è spesso citato nei singoli casi come misura da valutare in proporzione alla tipologia di dati ed informazioni trattate dalla soluzione: anche perché un attacco che potesse escludere la conoscibilità dei dati da parte di terzi ed in presenza di un back-up sicuramente mitigherebbe la responsabilità del Titolare rispetto all’attacco ed agli effetti e conseguenze dello stesso. Viene evidenziata l’importanza dell’utilizzo di strong authentication e del monitoraggio “in tempo reale” dei profili dei soggetti che possono accedere ai sistemi secondo il loro ruolo e la permanenza nei vari progetti di sviluppo, rilascio ed utilizzo della soluzione.

Da valutare da parte del Titolare anche l’adozione di un sistema di intrusion detection and prevention system: ciò permetterebbe di monitorare e talvolta bloccare attività dannose o anomalie che possono essere la premessa a tentativi di attacchi. In un momento particolarmente delicato come questo, l’EDPB evidenzia anche la necessità di preservare le postazioni che, attive da remoto (in smart working), potrebbero costituire involontariamente un veicolo per attacchi alla rete aziendale: ecco perché le VPN dovrebbero essere create e sostenute nel panorama degli investimenti.

Ricordiamo che le Linee Guida fanno riferimento agli attacchi mirati a tutte le tipologie di dati personali: non pensiamo pertanto solo ai dati di consumatori finali IoT, come nell’ambito della domotica o dei giochi intelligenti, ma teniamo in considerazione anche le soluzioni adottate nelle aziende di produzione, dove nei rapporti B2B sussiste comunque un trattamento dati personali ampio, sia con riferimento ai clienti che ai dipendenti. E ricordiamo che la notificazione all’Autorità di controllo nazionale deve essere effettuata entro 72 ore dall’attacco, fornendo tutte le informazioni a disposizione, sia di natura giuridica che informatica, rischiando altrimenti sanzioni che comportano vari milioni di euro (sino a 10 milioni) e sino al 2% del fatturato.

Articolo pubblicato su IOTtoday

Riproduzione riservata ©

ALTRE NEWS

Web marketing, brand protection e concorrenza sleale online: altre pratiche

Su Inside Marketing la seconda parte dell’analisi di Giulia Rizza sulle pratiche scorrette che, messe in atto nell’economia e con strumenti digitali, possono danneggiare il… Leggi Tutto

Regolamento Europeo Privacy: l’impatto pratico sull’impresa

Dirigere l’Azienda ha dato spazio all’approfondimento dell’Avv. Valentina Frediani su quale impatto avrà sulle imprese il Regolamento Europeo in via di pubblicazione (GDPR). In primavera… Leggi Tutto

DRONI: la normativa per spiccare il volo – 16 giugno Roma

DRONI: la normativa per spiccare il volo. Potenzialità ed impatto sulla Privacy. Un evento Colin & Partners, in collaborazione con Assinform. Roma 16 Giugno, alle… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form