“L’anno prossimo entrerà in vigore il GDPR e un attacco simile a quello di WannaCry rischia di penalizzare ancora di più le aziende che non si faranno trovare conformi al nuovo regolamento”. Così si è espressa Carla Targa, Marketing e Communication Manager di Trend Micro, sul perché un altro attacco come quello di WannaCry avrebbe conseguenze ancora peggiori per le aziende, una volta entrato in vigore il nuovo regolamento europeo per la protezione dei dati.
Molte aziende colpite da WannaCry potrebbero infatti incorrere anche in sanzioni punitive se la stessa tipologia di attacco accadesse fra un anno, e più precisamente a partire dal 25 maggio del 2018. Il GDPR porta con sé un nuovo livello di urgenza per le aziende, che devono quindi considerare una seria revisione delle loro strategie di cybersecurity dopo WannaCry.
Anche se a prima vista sembrerebbe poco opportuno collegare un attacco ransomware al nuovo regolamento europeo per la protezione dati, visto che le aziende colpite da WannaCry si sono ritrovate i dati criptati e non rubati, in realtà un’esamina più approfondita del GDPR ci permette ulteriori considerazioni.
L’articolo 4.12 afferma:
“Per violazione di dati personali si intende una violazione della sicurezza che porta alla distruzione, alla perdita, all’alterazione accidentale o illegale, alla divulgazione non autorizzata o all’accesso a dati personali trasmessi, memorizzati o altrimenti trattati”.
In questo caso i dati dei clienti sono stati senza ombra di dubbio oggetto di un accesso illegale e in seguito persi o distrutti dopo essere stati crittografati da WannaCry.
In modo simile l’articolo 5.1 precisa:
“I dati personali devono essere: elaborati in modo da garantire la sicurezza dei dati personali, inclusa la protezione contro l’elaborazione non autorizzata o illegale e contro perdite, distruzioni o danni accidentali, utilizzando adeguate misure tecniche o organizzative (integrità e confidenzialità)”.
Inoltre l’articolo 32 afferma:
“L’addetto al controllo dei dati o chi segue il processo dovrebbe tenere in considerazione lo stato dell’arte per implementare misure tecniche e organizzative appropriate per assicurare un livello di sicurezza appropriato al rischio. Nel valutare l’adeguato livello di sicurezza si tenga conto in particolare dei rischi che vengono presentati dall’elaborazione, in particolare dalla distruzione accidentale o illegale, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso ai dati personali trasmessi, conservati o altrimenti trattati”.
Viste le modalità che hanno portato all’attacco WannaCry, ogni azienda che gestisce dati di clienti che sono stati colpiti da WannaCry potrebbe essere colpevole di aver permesso il trattamento non autorizzato o illegale di questi dati. Tecnicamente è stata subita anche una violazione di dati personali, nonostante nessun dato sia stato rubato, in virtù del fatto che questi dati sono stati persi o distrutti nell’attacco ransomware.
E le cose si aggravano se pensiamo che nel momento in cui una patch ufficiale di Microsoft era a disposizione settimane prima dell’attacco, le organizzazioni colpite hanno fallito nel prendere adeguate misure di sicurezza. Se insomma l’attacco di WannaCry fosse avvenuto dopo il 25 maggio del 2018, le aziende sarebbero state responsabili anche di non essere in regola con i principi del GDPR e, come sappiamo, le multe in questo caso potrebbero raggiungere il 4% del fatturato annuo o i 20 milioni di euro.
