Salta al contenuto

Temi di tendenza

Ecco cosa dice il GDPR sui ransomware

Samanta Fumagalli

01.08.17 3 min. read

Il GDPR si intravede all’orizzonte. E molte aziende sono impegnate nel cercare di imparare di più sul GDPR, su ciò che significa per loro, e su ciò che devono fare per essere conformi.

La maggior parte delle persone familiari col GDPR comprende che è focalizzato sul fornire alle aziende una guida su come gestire i dati personali che raccolgono dai clienti. Questo include ciò che le aziende devono fare per proteggere i dati personali, e cosa fare in caso di perdita di controllo su quei dati.

Una gran parte è dedicato a come evitare le violazioni di dati personali.

Dato che il GDPR è un documento legale, è importante comprendere cosa significa una violazione di dati personali in questo contesto. E questa è la definizione data dal regolamento (puoi leggere il documento completo QUI):

L’espressione “violazione di dati” fa pensare principalmente a un’azienda che perde il controllo di informazioni confidenziali. Ma la definizione del GDPR è considerevolmente più ampia. E questa definizione più ampia può includere molti incidenti di sicurezza differenti, incluse le infezioni ransomware.

Quindi, cosa significa questo per le aziende? Secondo Erka Koivunen, CISO di F-Secure, le organizzazioni dovrebbero rivelare le infezioni ransomware alle autorità e ai clienti i cui dati sono stati violati.

Un’infezione ransomware (o qualsiasi altra infezione malware) in un numero considerevole di workstation e server della tua azienda che sono centrali nel processare i dati personali è probabile che costituirà una violazione sotto il GDPR, e potrebbe innescare l’obbligo di notifica come scritto negli articoli 33 e 34,” spiega Erka.

Gli articoli 33 e 34 forniscono le line guida del GDPR su come contattare le autorità e le persone colpite. Tuttavia, ciò è necessario solo quando la violazione di dati personali rappresenta un rischio per i “diritti e le libertà delle persone fisiche.”

Quindi, un’infezione ransomware in un’azienda che ha i dati crittografati (o resi inaccessibili in altro modo) come colpisce gli individui? Non è una domanda a cui si può rispondere facilmente. Ma è il tipo di domanda che le aziende si devono fare per prepararsi al GDPR.

Se sei nel caso in cui un ransomware colpisce i dati personali che hai raccolto, non devi preoccuparti solo della perdita (come accade in molte violazioni di dati), ma anche su come recuperare i dati per continuare la tua attività. Se non hai backup di buona qualità, lo sforzo per raccogliere di nuovo e ricreare i dati per continuare il tuo business potrebbe essere gigantesco” spiega Hannes Saarinen, Privacy Officer di F-Secure. “Se non sei preparato e devi di nuovo raccogliere gli stessi dati, dovrai probabilmente denunciare l’incidente, anche se i dati sono stati distrutti piuttosto che rubati.”

Come molti altri aspetti del GDPR legati alla sicurezza, essere preparati per rispondere a situazioni in cui le cose possono andare male, giocherà un grande ruolo nel dar forma ai progetti di conformità GDPR che le aziende devono mettere in campo.

“In altre parole – secondo Hannes – i piani per la risposta agli incidenti hanno bisogno di essere aggiornati e includono verifiche per determinare se l’obbligo di notifica del GDPR è innescato da incidenti diversi.”

 

Articolo tratto da “What the GDPR says about ransomware” di Adam Pilkey, Content Editor Corporate Communications F-Secure Corporation.

Samanta Fumagalli

01.08.17 3 min. read

Leave a comment

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

Post correlati

Newsletter modal

Congratulazioni – ora puoi accedere al contenuto cliccando sul bottone sottostante.

Gated Content modal

Grazie del tuo interesse per la newsletter di F-Secure. Riceverai a breve un email per confermare la sottoscrizione.