A cura di Vincenzo Costantino, EMEA South Technical Services Director, Commvault
Le preoccupazioni legate al ransomware vanno ben al di là del backup e del rispristino dell’accesso ai file perduti. Una richiesta di riscatto potrebbe evidenziare il furto di dati personali, esponendo l’azienda a eventuali sanzioni legate alla mancata adesione alle normative sulla privacy, soprattutto in vista dell’imminente entrata in vigore del GDPR. Questa direttiva prevede infatti che l’organizzazione notifichi alle autorità competenti e alle potenziali vittime il breach entro 72 ore dalla sua scoperta. Le aziende devono quindi trovare un modo per capire e quali informazioni sono state violate al fine di determinare l’entità del danno.
Il numero di furti di dati – con tecniche di vario genere tra cui phishing e ransomware – è in costante crescita. Lo scorso anno, il SonicWall GRID Threat Network ha evidenziato che l’uso del “ransomware è aumentato di 167 volte anno su anno ed è stato il payload prescelto per campagne email malevole ed exploit kit”.
La richiesta di riscatto in sé è solitamente la prima indicazione di un’avvenuta intrusione. Ed è particolarmente vero per gli endpoint che vengono generalmente gestiti da utenti che non conoscono le data policy e non controllano così da vicino gli update di sistema. Come per ogni altro caso di perdita di dati, è possibile determinare il furto di dati personali sulla base di analisi forensi. Se i cyber ladri hanno la capacità di rubare i dati o di renderli inutilizzabili, la possibilità che li utilizzino anche per altri scopi è estremamente elevata. Soprattutto se non sono cifrati.
In questo caso, l’esposizione a pubblicità negativa, il calo della fiducia dei client e le eventuali sanzioni rappresentano rischi considerevoli per l’azienda.
Al di là del buon senso nella gestione di dati e infrastrutture, ecco 5 indicazioni utili:
- Anche se non c’è evidenza diretta che i dati personali siano stati violati, la possibilità che lo siano stati sottopone l’azienda alla necessità di segnalare il breach.
- Con la rapida adozione di cloud e SaaS application partner, i dati sono sempre più distribuiti e richiedono una protezione adeguata. Anche se i dati violati non risiedono on-premise sotto il controllo diretto dell’azienda, è sempre la responsabilità dell’impresa determinare se le informazioni personali sono state compromesse e, in caso affermativo, iniziare le procedure necessarie.
- Ridurre al minimo la superficie di attacco. Tenere solo i dati personali necessari per l’attività operativa e le esigenze legali. Avvalersi di policy di archiviazione per identificare istanze legate a dati personali, cancellarli, cifrarli e/o spostarli in luoghi più sicuri. L’education aiuta, ma l’automazione è fondamentale.
- Se si hanno 72 ore (vedi il GDPR) per notificare le autorità e le vittime di un attacco, l’accesso a informazioni su server, laptop, applicazioni e SaaS partner diventa cruciale. La capacità di effettuare ricerche in questi silos potrebbe fare la differenza tra compliance, imbarazzo e sanzioni.
- Che un’azienda sia impattata oppure no, l’avvento del GDPR costituisce un approccio programmatico che rappresenta un eccellente framework per il gestore dei dati personali.