Il fenomeno del data breach tra Gdpr e casi italiani

I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati. I rischi di Data Breach e le sue conseguenze sono forse uno dei temi più discussi del Regolamento Ue 679/2016 (Gdpr). Il Data Breach o “violazione dei dati personali” è definito come «la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati». Il case study da me analizzato esamina il concetto di Data Breach introdotto dal vigente regolamento europeo 679/2016 (Gdpr) con un focus empirico su una pubblica amministrazione: il comune di Pisticci in provincia di Matera.

Il fenomeno del Data Breach secondo quanto previsto dal Regolamento 676/2016 Gdpr viene analizzato secondo il sistema del doppio binario: normativo ed IT dal punto di vista della cybersecurity e con alcune implicazioni in materia di cyber threat intelligence. Il caso analizzato riguarda il Comune di Pisticci (provincia di Matera) dove ho espletato la funzione di Data Protection Officer (Responsabile della Protezione dei Dati) dal 2020 al 2022. Lo studio concerne l’analisi in forma sperimentale applicata al fenomeno del Data Breach applicata agli strumenti di data prevention che una pubblica amministrazione utilizza in caso di attacco applicata alla legge 133/2019 sul perimetro di sicurezza cibernetica con l’esempio del Comune di Pisticci sito in Basilicata nella provincia di Matera, in collaborazione con il partner tecnologico dell’ente la Società Soluzioni S.r.l. di Potenza. L’analisi è stata effettuata secondo le guidelines n° 1/2021 approvate dall’Edb (European Data Protection Board) ed adottate il 14-01-2021. Queste linee guida strutturano i casi in base a determinate categorie di violazioni (ad es. Attacchi ransomware). In ogni caso, quando si tratta di una determinata categoria di violazioni, sono necessarie determinate misure di mitigazione. Queste misure non sono necessariamente ripetute in ogni caso di analisi appartenente alla stessa categoria di violazioni. Per i casi appartenenti alla stessa categoria sono previste solo le differenze.

Nello specifico sono stati esaminati attacchi svolti mediante ransomware così dettagliati:

• Ransomware con backup corretto e senza esfiltrazione
• Ransomware senza un backup adeguato
• Ransomware con backup e senza esfiltrazione in una pubblica amministrazione
• Ransomware senza backup e con esfiltrazione

Verranno identificate le misure organizzative e tecniche per prevenire / mitigare gli impatti di attacchi ransomware.

Successivamente vengono esaminati gli attacchi di esfiltrazione di dati così dettagliati:

• Esfiltrazione dei dati delle domande di lavoro da un sito web
• Esfiltrazione di password con hash da un sito web
• Attacco di credential stuffing su un sito Web bancario

Si è passati successivamente ad esaminare le fonti di rischio umano interno così dettagliati:

• Esfiltrazione di dati della pa da parte di un ex dipendente
• Trasmissione accidentale di dati a una terza parte fidata
• Errore di posta ordinaria
• Dati personali sensibili inviati per posta elettronica per errore
• Dati personali inviati per posta per errore

DISPOSITIVI SMARRITI O RUBATI E DOCUMENTI SU CARTA

• Materiale rubato che memorizza dati personali crittografati
• Materiale rubato che archivia dati personali non crittografati
• File cartacei rubati con dati sensibili

ALTRI CASI – INGEGNERIA SOCIALE

• Furto d’identità
• Esfiltrazione di e-mail

Il tutto è stato adottato mediante l’utilizzo di Cyber Data Incident Response Pack, in grado di:

• – Gestire l’incident e supportare l’ente nelle attività;
• – Analizzare la natura della violazione;
• – Identificare le evidenze, prove e informazioni tecniche;
• – Determinare la tipologia dei dati compromessi;
• – Stabilire quali dati sono stati compromessi:
• – Formalizzare lo stato delle misure di sicurezza in essere;
• – Predisporre in piano di Remediation.

Nello specifico il servizio di Cyber Data Breach Incident Response permette di essere compliant alla normativa vigente di Data Protection normata nel Gdpr. Ma oltre ad avere sempre un piano di “pronta risposta” bisogna anche intervenire giocando sul piano della Cyber Security preventiva, come con attività costanti di vulnerability assessment, penetration testing e Cyber Threat Intelligence per identificare le vulnerabilità e porvi rimedio; formazione e sensibilizzazione dei dipendenti; e sviluppo di policy e procedure in grado di assicurare la massima Cyber Resillience.

IL CASO DEL COMUNE DI PISTICCI

Il caso studio del Comune di Pisticci rappresenta forse il primo caso di applicazione in Italia delle nuove linee guida n° 1/2021 approvate dall’Edb (European Data Protection Board) ed adottate il 14-01-2021. Tale modello si basa su cyber data incident response pack che potrà essere utilizzato dall’intelligence in caso di attacchi informatici al sistema e poter fornire all’organo politico l’analisi cyber dei dati eventualmenti esfiltrati., nel caso di un potenziale attacco informatico. Il nuovo modello architetturale implementato si basa sull’utilizzo di diverse reti “virtuali” (Vlan) che ha generato non pochi vantaggio come la facilità di gestione, l’ottimizzazione, la scalabilità, l’economia e spazio, il minor traffico di rete e la flessibilità:  Ogni segmento di rete consente una sicurezza equivalente a reti fisiche distinte, separando granularmente i dati che la attraversano in base alla loro tipologia (rete client, rete ospiti, WiFi, Voip, server, etc.) nonché ottimizzare le regole di protezione e privacy e di integrare la priorizzazione del traffico (QoS – Quality of Service), aumentando le prestazioni di ogni segmento. L’associazione della segmentazione tramite Vlan all’applicazione di specifiche regole sul traffico di rete, consente l’attuazione di misure preventive rispetto alla diffusione di traffico non autorizzato, determinato sia da eventuali host non conformi/autorizzati, sia a software malevolo (es. malware/cryptolocker). In particolare viene una utilizzata una tecnologia di filtraggio degli indirizzi basata su un sistema centralizzato in Cloud, che, facendo leva su un database di sorgenti costantemente aggiornate, permette di bloccare il traffico verso indirizzi Internet catalogati come non sicuri, differenziati per categoria, ad es. indirizzi inerenti la pornografia, le armi, la pubblicità, gli host utilizzati da malware e/o spyware, etc. L’implementazione di tale sistema, oltre a garantire una maggiore sicurezza per gli host presenti sulla rete locale e prevenire eventuali attacchi dall’esterno e dall’interno della rete, consente un’ulteriore ottimizzazione delle prestazioni e l’abbattimento di una notevole mole di traffico normalmente generato durante la navigazione web verso indirizzi non autorizzati. Inoltre l’implementazione di un sistema di controllo degli accessi dei dispositivi in rete (Acl– Access Control List) fa si che gli host presenti in rete vengono identificati e catalogati, in modo tale da identificare eventuali apparati non autorizzati collegati alla rete.

La piattaforma caso di studio fa un utilizzo estensivo delle tecnologie di virtualizzazione. Il termine virtualizzazione si riferisce alla possibilità di astrarre le componenti hardware, cioè fisiche, degli elaboratori al fine di renderle disponibili al software in forma di risorsa virtuale. La virtualizzazione dei desktop consente invece ad un amministratore centrale, o a uno strumento di amministrazione centralizzato basato su un dominio, di distribuire ambienti desktop simulati su centinaia di macchine fisiche, simultaneamente. Seguendo i dettami delle nuove normative in tema di sicurezza, gestione e centralizzazione delle informazioni, l’applicazione della virtualizzazione ai desktop consente un controllo granulare dei profili utente e permette l’applicazione di specifiche regole di utilizzo delle “postazioni virtuali” grazie alla centralizzazione. La virtualizzazione di un server consente di eseguire più funzioni specifiche e prevede il partizionamento, in modo che i componenti possano essere utilizzati per assolvere varie funzioni. La virtualizzazione del sistema operativo si verifica nel kernel, il sistema di gestione centrale delle attività dei sistemi operativi. È un modo utile per eseguire in modo affiancato gli ambienti Linux e Windows e consente di ottenere una serie di vantaggi come quello di incrementare la sicurezza, dato che tutte le istanze virtuali possono essere monitorate e isolate; Gli storage sono progettati in maniera tale da rendere disponibile una partizione crittografata per singolo utente, nella quale poter archiviare dati ritenuti di particolare rilevanza per l’Ente e dati ritenuti sensibili. Inoltre non hanno soltanto la classica funzione di archiviazione dei dati, ma sono a tutti gli effetti dei sistemi di virtualizzazione nei quali girano macchine virtuali dedicate alla fruizione dei dati sul dominio. Tali macchine virtuali, opportunamente ridondate sugli storage, in modalità hot/stand-by presentano al loro interno un servizio costantemente attivo in grado di rilevare un’eventuale attività sospetta sui dati da parte di applicazioni malevole, quali cryptolocker. Sulla base di alcune politiche implementate nel servizio, rilevando un possibile inizio di attività da parte dell’applicazione malevola, il sistema rende automaticamente inaccessibili le aree dati personali e centralizzate. Pertanto si confina in maniera ottimale un’eventuale tentativo di criptazione dei dati. Il sistema in uso grazie alla presenza delle snapshot quotidiane, ridondate sui due sistemi di storage, permette al singolo utente della piattaforma il ripristino dei dati storicizzati secondo una temporizzazione limitata esclusivamente dalla capienza dei dischi utilizzati sugli storage stessi – da una settimana ad uno o più mesi.

Formazione al dipendente

Un fattore fondamentale nell’ottica della prevenzione di eventi dannosi, quali esfiltrazione di dati, furti di identità, corruzione e/o perdita dati, è la formazione del personale. L’attività formativa è la diretta conseguenza dell’implementazione di una piattaforma tecnologica che si pone come obiettivo quello di massimizzare la sicurezza e rendere al tempo stesso agevole il lavoro dell’utente, in linea con le nuove normative a cui principalmente le Pa devono adeguarsi. Tale attività viene erogata secondo un flusso di lavoro ben determinato che parte da un’infarinatura sui concetti base della sicurezza informatica e del corretto utilizzo della Pdl – postazione di lavoro – fino a toccare temi più specifici relativamente alla privacy ed alla protezione delle informazioni.

Il dipendente viene sensibilizzato sui temi cardine della sicurezza delle informazioni (Riservatezza, Integrità e Disponibilità). In particolare viene approfondita una modalità di lavoro improntata sulla centralizzazione dei dati e degli accessi, che evita un utilizzo della Pdl nella classica modalità “casalinga” ed educa l’utente al concetto di separazione dei dati dalle applicazioni. Si approfondisce l’utilizzo del desktop virtualizzato che fa cadere il concetto classico di Pdl legata all’hardware fisico: infatti attraverso tale tecnologia, l’utente dispone di un proprio desktop virtuale accessibile da postazioni fisiche differenti presenti nella rete locale. Diventa, inoltre, un sistema altamente fruibile per il lavoro in “smart working”, in quanto, grazie alla separazione tra hardware della singola postazione profilo utente, che risiede su un sistema centralizzato, l’utente può collegarsi, attraverso Vpn, al proprio profilo direttamente dal computer di  casa o da altri sistemi autorizzati, accedendo in maniera trasparente al proprio profilo come se fosse fisicamente dinanzi alla sua postazione, senza la necessità di avere il computer dell’ufficio acceso. Infine si dà particolare rilevanza all’utilizzo delle partizioni crittografate che consentono l’archiviazione di dati ritenuti particolarmente importanti e/o sensibili, alle modalità di trasferimento dei dati in rete, evitando il più possibile l’utilizzo di pen-drive e/o dispositivi personali esterni all’Ente ed alla corretta gestione dei dati di backup.

L’applicazione delle linee guida Edpb di gennaio 2021 applicate all’ente pubblico Comune di Pisticci sito in Provincia di Matera rappresentano un caso classico ed una best practice in termini di strumenti di prevention per una Pubblica amministrazione, soprattutto per ciò che concerne le politiche di mitigazione dei ransomware. Inoltre la soluzione proposta mediante la nuova architettura di rete consente l’introduzione di una modalità di lavoro improntata sulla centralizzazione dei dati e degli accessi, che evita cosi un utilizzo distorto della Pdl nella classica modalità “casalinga” ed educa l’utente al concetto di separazione dei dati dalle applicazioni, modalità che consente una massima prevenzione in caso di data breach ed un modello di prevenzione da utilizzare come riferimento nel mondo del cyber threat intelligence nella Pubblica amministrazione.