Ecco cosa dice il GDPR sui ransomware
Il GDPR si intravede all’orizzonte. E molte aziende sono impegnate nel cercare di imparare di più sul GDPR, su ciò che significa per loro, e su ciò che devono fare per essere conformi.
La maggior parte delle persone familiari col GDPR comprende che è focalizzato sul fornire alle aziende una guida su come gestire i dati personali che raccolgono dai clienti. Questo include ciò che le aziende devono fare per proteggere i dati personali, e cosa fare in caso di perdita di controllo su quei dati.
Una gran parte è dedicato a come evitare le violazioni di dati personali.
Dato che il GDPR è un documento legale, è importante comprendere cosa significa una violazione di dati personali in questo contesto. E questa è la definizione data dal regolamento (puoi leggere il documento completo QUI):
L’espressione “violazione di dati” fa pensare principalmente a un’azienda che perde il controllo di informazioni confidenziali. Ma la definizione del GDPR è considerevolmente più ampia. E questa definizione più ampia può includere molti incidenti di sicurezza differenti, incluse le infezioni ransomware.
Quindi, cosa significa questo per le aziende? Secondo Erka Koivunen, CISO di F-Secure, le organizzazioni dovrebbero rivelare le infezioni ransomware alle autorità e ai clienti i cui dati sono stati violati.
“Un’infezione ransomware (o qualsiasi altra infezione malware) in un numero considerevole di workstation e server della tua azienda che sono centrali nel processare i dati personali è probabile che costituirà una violazione sotto il GDPR, e potrebbe innescare l’obbligo di notifica come scritto negli articoli 33 e 34,” spiega Erka.
Gli articoli 33 e 34 forniscono le line guida del GDPR su come contattare le autorità e le persone colpite. Tuttavia, ciò è necessario solo quando la violazione di dati personali rappresenta un rischio per i “diritti e le libertà delle persone fisiche.”
Quindi, un’infezione ransomware in un’azienda che ha i dati crittografati (o resi inaccessibili in altro modo) come colpisce gli individui? Non è una domanda a cui si può rispondere facilmente. Ma è il tipo di domanda che le aziende si devono fare per prepararsi al GDPR.
“Se sei nel caso in cui un ransomware colpisce i dati personali che hai raccolto, non devi preoccuparti solo della perdita (come accade in molte violazioni di dati), ma anche su come recuperare i dati per continuare la tua attività. Se non hai backup di buona qualità, lo sforzo per raccogliere di nuovo e ricreare i dati per continuare il tuo business potrebbe essere gigantesco” spiega Hannes Saarinen, Privacy Officer di F-Secure. “Se non sei preparato e devi di nuovo raccogliere gli stessi dati, dovrai probabilmente denunciare l’incidente, anche se i dati sono stati distrutti piuttosto che rubati.”
Come molti altri aspetti del GDPR legati alla sicurezza, essere preparati per rispondere a situazioni in cui le cose possono andare male, giocherà un grande ruolo nel dar forma ai progetti di conformità GDPR che le aziende devono mettere in campo.
“In altre parole – secondo Hannes – i piani per la risposta agli incidenti hanno bisogno di essere aggiornati e includono verifiche per determinare se l’obbligo di notifica del GDPR è innescato da incidenti diversi.”
Articolo tratto da “What the GDPR says about ransomware” di Adam Pilkey, Content Editor Corporate Communications F-Secure Corporation.
Categorie