Gli innumerevoli security report ci raccontano, con statistiche raramente allineate tra loro, uno scenario sempre più complesso dove i “Mega-Breach” si accostano ad attacchi massivi verso le PMI e i privati (qui e qui degli esempi). Un denominatore comune, tuttavia, è l’efficacia transnazionale di questi attacchi. Infatti, anche nel caso di attacchi rivolti a PMI di un singolo Stato, la metodologia di attacco, ove risulti vincente, viene spesso replicata anche in altri Stati. Diventa quindi fondamentale un approccio congiunto almeno a livello Europeo al fine di poter condividere e scambiare informazioni in tempo reale sulle minacce presenti in ogni singolo Stato Membro.
In uno studio del 2015 redatto dai rappresentanti dei Garanti per la protezione dei dati personali di cinque Stati Membri (Italia, Spagna, Francia, Germania, Grecia) si è effettuato un “cyber exercise” che ha visto coinvolti Francia, Germania, Grecia, Irlanda, Italia, Polonia e Spagna, e il cui scopo è stato quello di valutare il livello di preparazione degli Stati membri al fine di prevenire, o comunque, contenere, i danni derivanti da attacchi informatici di portata transnazionale e, in ultima istanza, di promuovere forme efficaci di collaborazione tra Stati membri.
I risultati hanno evidenziato, come era ipotizzabile, i seguenti limiti: in primo luogo, manca una lista di referenti (“point of contact”) dei vari Stati membri, circostanza che genera non pochi problemi in termini logistici e comunicativi in caso di situazioni di urgenza; altrettanto, manca una procedura che consenta uno scambio di informazioni sicuro e, per quanto possibile, anonimo; da ultimo, non è stata ancora trovata una soluzione ai ben noti problemi di giurisdizione e legge applicabile, ulteriormente amplificati dai problemi di comunicazione connessi alla compresenza di 24 lingue ufficiali dell’Unione europea utilizzate in caso di segnalazione dai singoli Garanti dei vari Stati membri.
La necessità di superare questi limiti diventa una priorità che può e deve essere raggiunta, anche in considerazione del fatto che il Regolamento europeo sulla Privacy di imminente applicazione, oltre ad estendere l’obbligatorietà della notifica dei data breach a tutti i data controller stabiliti in Europa (artt. 33 e 34 GDPR), e non più a determinati categorie di soggetti come si prevedeva con il Regolamento della Commissione 611/2013, richiede una più ampia cooperazione tra le varie Autorità garanti europee (artt. 60, 61 e 62 GDPR).
Rispondere in modo efficace a un data breach richiede pertanto un approccio multidisciplinare ed integrato, dove vengono presi in esame aspetti di natura tecnica, legale, finanziaria e sociale che coinvolgono tanto il singolo data controller, quanto le stesse Autorità garanti di ogni Stato membro.
Le raccomandazioni che emergono dallo studio, oltre ad evidenziare la necessità di formare una lista di referenti suddivisi per ogni Stato membro deputati alla gestione e al coordinamento delle informazioni rilevanti in caso di data breach, si concentrano sostanzialmente su due aspetti fondamentali:
- deve essere previsto lo sviluppo di una piattaforma in grado di supportare lo scambio di informazioni in modo rapido e sicuro, in grado di sostituire l’utilizzo (insicuro) dell’email. La stessa piattaforma, inoltre, potrebbe essere implementata da numerose altre funzionalità in grado di consentire il coordinamento tra le varie Autorità garanti europee;
- al netto dell’introduzione della piattaforma, devono essere, comunque, previste delle misure tecniche idonee a garantire la sicurezza del flusso informativo tra i vari Stati membri. Come, già nel 2010, aveva evidenziato alla Commissione Europea un noto ISP, questo tipo di notifiche potrebbe diventare un target molto allettante per i cybercriminali che potrebbero conoscere in tempo reale i principali trend di attacco e un aggiornamento in tempo reale sulle criticità informatiche delle aziende colpite. La possibilità, per quanto paradossale, di un leak derivante da un precedente attacco rende evidente che la creazione di policy condivise costituisce un obiettivo non più rinunciabile.
Partendo da questi presupposti, è possibile formulare alcune riflessioni a margine dell’ottimo lavoro svolto dai Garanti europei.
In primo luogo, la piattaforma raccomandata all’esito dello studio dovrebbe essere dotata di un sistema di data sharing sugli attacchi avvenuti anche solo a livello nazionale: la possibilità, infatti, di consultare una repository costantemente aggiornata in grado di consentire un’analisi efficace sulle più attuali minacce informatiche agevolerebbe l’adozione tempestiva di adeguati strumenti di difesa soprattutto se tali dati venissero condivisi con le Agenzie europee competenti in materia (si pensi ad esempio ad un coinvolgimento di ENISA o EUROPOL). L’approccio statunitense fornisce, nei quarantotto Stati che hanno adottato una normativa sul data breach, degli spunti che meritano uno studio più approfondito. Ad esempio in Arizona si prevede che, in caso di data breach, la società colpita possa notificare agli interessati tale violazione solo dopo che la polizia giudiziaria ha verificato se tale notifica possa compromettere le indagini. Anche la Federal Trade Commission sollecita l’importanza di una cooperazione tra la società attaccata e l’autorità giudiziaria al fine di avere ogni elemento utili per le investigazioni. Pur essendo estremamente improbabile che la condivisione di questi dati possa portare all’identificazione dell’attaccante, è indubitabile che una loro corretta analisi giochi un ruolo fondamentale per la prevenzione di futuri attacchi.
Tuttavia, è bene evidenziare che la condivisione di un volume di dati così significativo all’interno della piattaforma si accompagna all’esigenza di adozione di particolari cautele in relazione a tre distinti livelli: il primo è quello di garantire, nel rispetto del principio di data minimization, che non siano condivise informazioni non pertinenti alle finalità di sicurezza per le quali la stessa piattaforma è stata creata. Il secondo è quello di rendere omogeneo il modello di segnalazione di data breach (il confronto, ad esempio, del modello francese e di quello italiano attualmente in vigore, evidenzia l’esistenza di significative differenze nel format). È pertanto auspicabile, da un lato, che sia introdotto un modello unico a livello europeo che utilizzi un formato idoneo a garantire un’adeguata interoperabilità; dall’altro, che sia previsto l’obbligo di introdurre, almeno in casi di segnalazione che coinvolgano più giurisdizioni, l’utilizzo obbligatorio della lingua inglese in aggiunta alla lingua ufficiale dello Stato membro. Il terzo, e forse scontato, livello di cautela attiene al rispetto, nella realizzazione della piattaforma, dei principi della privacy “by design” e “by default”, in forza dei quali il trattamento deve sin dall’inizio essere configurato nel rispetto dei requisiti del nuovo Regolamento e improntato alla tutela dei diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
Un ulteriore profilo da considerare è sicuramente quello del rispetto dei principi della digital forensics. Se fosse possibile integrare la segnalazione del data breach con l’invio, ove possibile, di allegati che -nel rispetto delle best practices consolidate a livello internazionale in tema di acquisizione della prova digitale e, ovviamente, della privacy dei titolari del trattamento- fornissero utili elementi circa l’attacco, avremmo aggiunto un ulteriore tassello di fondamentale importanza per studiare e, quindi, prevenire gli attacchi informatici.
Pur non ignorando la difficoltà d’implementazione delle soluzioni ora sinteticamente delineate, si deve rilevare come, a pochi mesi dall’entrata in vigore del Regolamento Privacy, diventi necessario “tenere l’asticella alta”. Solo in questo modo si può sperare di poter sfruttare l’occasione fornita dalla nuova normativa privacy per poter implementare a livello europeo un efficace sistema di protezione dalle minacce informatiche.
