Data Breach Experience. Il punto di vista di GDPR360

ASSINTEL REPORT 2020 - APPROFONDIMENTO DI PAG. 82

GDPR360 ha gestito un Data Breach importante presso il Site Italiano di una Società US operante nell’ambito dei servizi alla persona, quindi business to consumer.

Il cliente aveva istallato tramite la nostra struttura tecnica di Cyber security un sistema di End Point Protection (EPP) con funzionalità avanzate di EndPoint Detection and Response (EDR) in grado di correlare le informazioni raccolte da tutti gli End Point.

Tali funzionalità ci hanno consentito di intercettare una possibile violazione presentatasi un sabato sera su circa 20 client del cliente, dislocati in differenti Branch Office.

Come definito dalla procedura di Data Breach che avevamo provveduto a definire, immediatamente ci attiviamo in qualità di DPO costituendo il team “Data Breach”, che prevede le seguenti figure:

• Persone della nostra struttura di Cybersecurtiy
• Persone della nostra Struttura Legal e PMO
• IT Manager e struttura IT del Cliente
• CEO del Cliente
• Divisione Compliance interna del Cliente

In completa sincronia e ininterrottamente il Team lavora per:

• Isolare il Virus e quindi comprendere come era stato introdotto e come aveva agito il virus, andando ad analizzare se aveva leso la riservatezza e/o l’integrità e/o la disponibilità dei dati.
• Definire puntualmente quali sistemi aveva colpito
• Basandoci sulle analisi svolte in precedenza e con il supporto del registro dei trattamenti compilato in precedenza definire se e quali categorie di dati personali erano state compromesse e quali interessati dei dati personali erano stati coinvolti, valutando l’impatto della violazione su questi ultimi
• Comprendere quindi se fare la Notifica all’Autorità Garante.
• Comprendere se informare anche gli interessati.
• Bonificare tutti i sistemi coinvolti

Abbiamo lavorato ininterrottamente in 10 persone a turni per circa 50 ore e:

• Abbiamo isolato gli end point coinvolti
• Abbiamo proceduto al collezionamento delle informazioni disponibili
• Abbiamo analizzato le informazioni per identificare quali e che tipologia di dati fossero stati esfiltrati creandone una mappatura.
• Il Virus era stato attivato da un dipendente che aveva cliccato su un link di una mail di spam “molto sofisticata” in quanto perfettamente corrispondente nei contenuti di dettaglio a quelle che quotidianamente il dipendente riceveva per svolgere il suo lavoro.
• I client sono stati bonificati tutti in 5 giorni uomo.
• Entro le 80 ore abbiamo fatto la Notifica all’Autorità Garante riportando che il livello di impatto nei confronti degli interessati era molto basso ed inoltre abbiamo giustificato il ritardo di 8 ore rispetto alle 72 nella notifica all’Autorità Garante, in quanto abbiamo dovuto svolgere una massiva indagine di Cybersecurity a causa delle particolari caratteristiche del virus.
• La mappatura dei possibili dati esfiltrati ci ha consentito di informare le persone coinvolte del Breach subito relativamente ai loro dati personali.

In qualità di DPO inoltre abbiamo:

• Pianificato un’attività formativa per sensibilizzare i dipendenti sul Phishing.
• Aggiornato il Registro degli Incidenti.
• Fatto delle valutazioni sull’efficacia del sistema di EDR.
• Aggiornato il Data Protection Impact Assessment in virtù dell’incidente verificatosi.
• Aggiornato la Risk Analysis.

Valutato un ulteriore rafforzamento delle contromisure di sicurezza sia organizzative che tecnologiche.