Attacchi ransomware e il silenzio degli indecenti

Autore: Stefano Gazzella

Un attacco ransomware è un’evenienza oramai tutt’altro che remota, considerata la frequenza con cui organizzazioni pubbliche e privati si trovano a dover fare i conti con il data breach realizzato sia dall’indisponibilità che dall’esfiltrazione di dati personali.

In caso di successiva pubblicazione, inoltre, si realizza l’ulteriore minaccia della diffusione dei dati con il più elevato elemento di rischio associato alla circostanza di perdita della confidenzialità.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Fin troppo spesso l’informazione che viene fornita agli interessati tanto nell’ipotesi che si ritenga ricorrere l’ipotesi di rischio elevato che impone una comunicazione ai sensi dell’art. 34 GDPR o meno, è la notizia del blocco dei sistemi con indisponibilità temporanea in tutto o in parte dei servizi, di una tempestiva denuncia presentata alle autorità competenti e dell’aver notificato il data breach al Garante Privacy.

Ovviamente accompagnando il tutto con una rassicurazione circa i lavori in corso per il ripristino operativo dei sistemi e le investigazioni sull’incidente di sicurezza occorso.

Ebbene, tale azione si rivela insufficiente in un’ottica di tutela sostanziale degli interessati coinvolti dalla violazione ed è ancor più grave nel caso in cui ricorra l’obbligo di cui all’art. 34 GDPR che indica “almeno le informazioni e le misure” che già sono state rese note all’autorità di controllo provvedendo alla notifica entro le 72 ore prescritte dall’art. 33 GDPR.

Fornire agli interessati anche mediante pubblicazione sul portale web o sui canali social un punto di contatto presso cui ottenere informazioni, descrivere le probabili conseguenze della violazione dei dati personali e le misure di mitigazione adottate può consentire loro di provvedere in autonomia all’adozione di cautele per contrastare i pericoli e soprattutto prevenire rischi ulteriori.

Al contrario, viene mantenuto uno stato di carente consapevolezza circa gli impatti del data breach proprio presso i soggetti che la norma stessa in materia di protezione dei dati personali è destinata a tutelare.

Nel momento in cui la violazione diventa oggetto di notizia, si può assistere a tre differenti linee d’azione. Decenza suggerisce che si possa produrre un comunicato mediante cui rendere le informazioni omesse fino a tale momento, evenienza riscontrata in virtuosità pur tardive. Indecenza esige invece che il silenzio perduri, nella speranza che l’evento si diluisca fintanto che non faccia più notizia nonostante la pubblicazione dei dati nel dark web.

Ancor peggio c’è infine la scelta sciagurata che fa guardare al proverbio per cui il silenzio è d’oro e la parola d’argento per cui sarebbe stato preferibile tacere.

Non solo non vengono rese informazioni, ma si svolgono tentativi maldestri di damage control diretti a colpevolizzare chi fa divulgazione responsabile e tendono a sminuire l’accaduto. Questa azione non va a tutela della reputazione dell’organizzazione colpita dal ransomware e contribuisce a generare confusione sull’accaduto.

Confusione che, alla pari del silenzio, costa. E il conto lo pagano gli interessati.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore