Seleziona una pagina

Ecco perché il GDPR si è trasformata in un’arma a doppio taglio

di Francesco Pagano, Consigliere Aidr e Responsabile servizi informatici Ales spa e Scuderie del Quirinale

Una normativa finalmente organica per regolare il trattamento dei dati personali. Il GDPR, entrato in vigore nel maggio 2018, ha senza dubbio portato a un miglioramento nel panorama complessivo della cyber security. Attraverso la previsione di obblighi puntuali e, non ultimo, di un sistema sanzionatorio per chi non adegua procedure e policy a quanto previsto, il nuovo regolamento europeo sulla protezione dei dati ha obbligato numerosi soggetti ad adeguarsi a quelle best practice che consentono di tutelare la riservatezza dei dati e la privacy degli utenti.

Negli ultimi mesi, però, gli esperti di sicurezza hanno lanciato un allarme riguardante un “effetto collaterale” del regime sanzionatorio introdotto con il GDPR. A sfruttare la normativa a loro vantaggio sono pirati informatici specializzati negli attacchi alle aziende che, normalmente, utilizzavano per le loro operazioni i cosiddetti crypto-ransomware. Questa tipologia di malware è progettata per agire in chiave estorsiva ai danni della vittima, attraverso la codifica tramite crittografia di tutti i dati e documenti presenti sui computer infetti.

Chi subisce un attacco di questo tipo si trova in una situazione paradossale: tutti i dati sono presenti sui suoi sistemi, ma non può accedervi senza la chiave crittografica che è in possesso dei pirati. Lo schema, ormai adottato da numerosi cyber criminali, prevede poi la richiesta di un “riscatto” (a volte milionario) per ottenere la chiave di decodifica e ripristinare i dati presi “in ostaggio”. Inutile dire che il meccanismo nasconde numerose insidie e che percorrere la via del pagamento del riscatto è estremamente rischioso. La cronaca, infatti, ha registrato numerosi casi in cui i pirati informatici non hanno fornito la chiave crittografica nonostante il pagamento o, addirittura, hanno reiterato l’estorsione. La reazione corretta a un attacco di questo genere, così come confermano forze di polizia ed esperti di cyber security, prevede la denuncia del data breach e il ripristino dei dati attraverso strumenti specializzati o, in assenza di alternative, dei backup di sistema.

Negli ultimi mesi, però, i pirati informatici hanno modificato il loro modus operandi per poter esercitare una pressione maggiore sulle loro vittime. Oltre a crittografare i dati, togliendone la disponibilità al legittimo proprietario, esfiltrano una copia di tutti i documenti. Nel documento che richiede il pagamento del riscatto, a questo punto, viene anche ventilata la minaccia di pubblicare online tutti i dati, innescando un meccanismo per cui l’azienda vittima dell’attacco rischierebbe anche di subire le (salatissime) sanzioni previste dal GDPR.

A inaugurare questa strategia nel dicembre 2019 è stato un gruppo come Sodinokibi, seguito a ruota da altre gang di cyber criminali specializzati in attacchi ransomware. Uno di questi, chiamato Maze, ha addirittura creato un sito sul Dark Web in cui vengono sistematicamente pubblicati i dati rubati alle vittime che non cedono al ricatto. L’invito, in pratica, è quello di pagare il riscatto per poter tenere sotto silenzio l’accaduto ed evitare le indagini sul data breach da parte dell’autorità garante. Inutile dire che, anche in questo caso, il fatto che i cyber criminali rispettino i patti è tutt’altro che garantita. Sono molti i casi in cui, nonostante il pagamento, le informazioni sottratte sono state comunque divulgate, mettendo le vittime in una situazione ancora più complicata di fronte alle autorità. L’intera vicenda conferma la sorprendente creatività dei pirati informatici e, allo stesso tempo, come la linea per contrastarne l’attività possa passare solo da una rigorosa e puntuale esecuzione delle procedure. Qualsiasi “scorciatoia” rischia infatti di trasformarsi in un vero disastro.

Archivio

VIDEO E PHOTO GALLERY

AIDR WEB TV

ITALIAN DIGITAL REVOLUTION

EVENTI ED INIZIATIVE

ITALIAN DIGITAL REVOLUTION

COME ASSOCIARSI

La reputazione online, tutele e diritti (Video)

A Digitale Italia approfondimento legato ai temi della digitalizzazione. Ospiti del format web ideato da Aidr, Mauro Nicastri, presidente di Aidr e Gabriele Gallassi Cofounder,...

AIDR NEWSLETTER

AIDR
Iscriviti alla nostra newsletter per essere sempre aggiornato sulle iniziative testo di prova e prova di testo

AIDR NOTIZIE DAL WEB

TUTTE LE NOTIZIE

Notizie
22/10/2021
Quale percezione hanno gli altri della nostra identità in rete, in che modo possiamo cancellare le immagini online che non ci rappresentano, è possibile tutelarsi da contenuti lesivi della nostra reputazione? A Digitale Italia nuovo approfondimento legato ai temi della digitalizzazione.
Notizie
21/10/2021
La chiave del successo di una buona strategia di social media marketing passa da lì, non ci sono dubbi. Per una azienda, piccola o grande che sia, non basta la presenza, o almeno non basta più la semplice presenza, sui social bisogna andare oltre, creando contenuti di valore
Notizie
20/10/2021
Il rito della vendemmia è millenario, e per molti aspetti le azioni umane sono le stesse di sempre, ben rappresentante dalle formelle e dai bassorilievi dei “cicli delle stagioni” delle grandi cattedrali romaniche che infallibilmente associano il mese di settembre – nell’allora vigente calendario giuliano - al segno zodiacale della Bilancia ed alla raccolta delle uve.

AIDR
AZIENDE E COLLABORAZIONI

AIDR SOCIAL

Seguici sui social per restare in contatto con noi,
ricevere aggiornamenti e inviarci suggerimenti, segnalazioni e commenti!