Il caso Axios, l’azienda che ha subito un attacco ransomware e che gestiva i registri elettronici degli studenti di molte scuole italiane, ha fatto salire alla ribalta un argomento su cui c’è sempre stata abbastanza confusione: il rapporto tra notifica al Garante e attacco ransomware: quando farla e quando invece non si ritiene necessaria. Cerchiamo di affrontare l’argomento in modo metodico.
Primo aspetto: il principio di accountability
Il GDPR è entrato in vigore portando con sé il principio dell’accountability, ossia della responsabilità da parte del titolare del trattamento circa “ciò che è stato fatto” ed in tal senso si consiglia la lettura di un ottimo articolo di Avv.Stefano Aterno. Questo è molto importante perchè indica non solo una certa discrezionalità nel ponderare la situazione, ma anche una piena assunzione di responsabilità in merito alle azioni successive che saranno intraprese. L’accountability è di fatto una rivoluzione importante ma anche essenziale perchè parte dal presupposto che ogni caso attenzionato è “un caso a sé” e come tale deve essere valutato ed affrontato. D’altro canto l’accountability è forse l’aspetto più complesso da esercitare da parte del titolare del trattamento, perchè esso richiede una piena consapevolezza dell’accaduto, delle responsabilità e delle contromisure messe in atto.
Secondo aspetto: il concetto di integrità e accessibilità
Della faccenda Axios ha fatto molto discutere che l’azienda non abbia ritenuto di fare la notifica al Garante della Privacy, l’azienda ha spiegato così la motivazione.
Non si ravvisano motivazioni per le quali sarebbe necessario, ai sensi dell’art.33 par.1 del Regolamento UE 2016/679, effettuare notifica al Garante della Protezione dei Dati Personali, poiché non risultano presenti rischi per i diritti e le libertà delle persone fisiche.
La spiegazione è stata inserita all’interno di un comunicato più ampio che potete scaricare in fondo all’articolo o cliccando qui.
Per comprendere meglio le ragioni di Axios Italia bisogna però soffermarsi un attimo su alcuni aspetti. Il primo è che un attacco ransomware non sempre prevede l’esfiltrazione di dati: non comporta, cioè, necessariamente un trasferimento di dati all’esterno della struttura informatica. Nel caso in specie i dati cifrati e non più leggibili, non sono mai usciti dal perimetro informatico dell’azienda e nessuna persona non autorizzata né è entrata in possesso. In sostanza il ransomware si è “limitato” a corrompere i dati rendendoli inaccessibili a meno del pagamento di un riscatto. Ciò implica che l’attacco ransomware sicuramente compromette l’integrità dei dati e la loro accessibilità ma non necessariamente l’esposizione degli stessi a persone non autorizzate.
A questo punto subentra la capacità dell’Organizzazione di far fronte a questa emergenza. In presenza di sistemi di backup e disaster recovery efficienti è possibile che si proceda ad un ripristino che ricostruisca interamente i dati resi inaccessibili, riacquistando integrità e accessibilità temporaneamente persi. A conti fatti nessun dato è stato trafugato o perso durante l’intera procedura, chiaramente ciò deve essere dimostrabile (ad esempio tramite i LOG di traffico) ma se lo fosse si potrebbe considerare la problematica come “risolta”.
Terzo aspetto: la natura del data breach
È chiaro che, come abbiamo affermato tante volte, che il data breach è la falla di un sistema informatico ma è altrettanto vero che questa falla varia in gravità a seconda dell’attacco e delle contromisure che sono state predisposte. Un ransomware potrebbe lasciare integro il perimetro di protezione informatica, essendo attivato da un dipendente distratto e provocando una distruzione che, per quanto massiva, non compromette il controllo sui file che rimangono sempre all’interno dell’organizzazione. Esistono, invece, attacchi ransomware che sono stati preceduti da un’attività di esfiltrazione dei dati, provocando conseguentemente la perdita di controllo sul dato che viene esposto a soggetti non autorizzati. Ciò però non rientra nel caso di Axios Italia.
Quarto aspetto: comunicazione completa e costante
Anche quando il data breach non comporta l’esfiltrazione dei dati, è necessario comunicare con gli utenti e agli utenti. Nel caso di Axios Italia questo è avvenuto, nel pieno rispetto della normativa, attraverso due fonti di comunicazione: la prima è stata il comunicato precedentemente citato, la seconda è stata un aggiornamento costante che appare a tutti gli utenti non appena si visita il sito internet. Questo è indice di trasparenza ed è un requisito indispensabile indipendentemente dalla notifica al Garante.
Conclusioni
È evidente che un data breach c’è stato ma, stando alle dichiarazione di Axios Italia, i “dati personali gestiti non sono stati persi/distrutti e non vi è stata alcuna visione/estrapolazione indebita”. Ciò rende legittima l’astensione dalla notifica al Garante poiché i dati sono stati completamente recuperati e per tutto il periodo in oggetto sono rimasti sotto il dominio informatico di Axios Italia.
C’è un’altra importante riflessione da compiere: la reazione della Axios Italia ha impedito all’attacco ransomware di essere completo. Un attacco ransomware, volendo sintetizzare, è composto da tre momenti:
- Momento 1: infezione del sistema
- Momento 2: cifratura dei file
- Momento 3: pagamento del riscatto o distruzione degli stessi
Indubbiamente la Axios è stata infettata e quindi il momento 1 si è realizzato. Indubbiamente i dati in possesso della Axios sono stati cifrati e quindi il momento 2 si è realizzato. Ma la Axios è riuscita a non pagare il riscatto e, al tempo stesso, a recuperare i dati impedendo all’attacco ransomware di completare il suo corso.
