skip to Main Content
DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA: Moltiplicazione Degli Attacchi Ransomware, Come Limitare I Rischi?

DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA: Moltiplicazione degli attacchi ransomware, come limitare i rischi?

This post is also available in: English Español Français

Mentre gli attacchi ransomware sono sempre più numerosi, la CNIL richiama alcuni punti di vigilanza.

Negli ultimi mesi sono aumentati gli attacchi che utilizzano “ransomware”. Si sono rivolti in particolare alle comunità e alle aziende locali , tutti i settori di attività combinati, ma anche agli istituti sanitari .

Al fine di supportarli al meglio nei loro sforzi per migliorare la sicurezza, il CNIL desidera condividere le principali lezioni apprese dai suoi risultati. Queste raccomandazioni si basano anche su casi segnalati dai responsabili del trattamento nel contesto delle notifiche di violazioni dei dati effettuate alla CNIL. Infine, si basano sulle migliori pratiche presentate dall’ANSSI .

COS’È IL RANSOMWARE?

Un rançongiciel ( ransomware inglese) è un programma dannoso che mira a indurre la vittima a pagare un riscatto. Il ransomware è uno degli strumenti utilizzati dai criminali informatici avidi. In un attacco ransomware, l’aggressore rende irreversibilmente incapace il computer o il sistema informativo della vittima.

In pratica, la maggior parte dei ransomware crittografa i dati del computer o del sistema utilizzando meccanismi crittografici, rendendo impossibile visualizzarli o utilizzarli. L’aggressore invia quindi un messaggio in chiaro alla vittima dove gli offre, contro il pagamento di un riscatto, di fornirgli i mezzi per decrittografare i suoi dati.

Come reagire in caso di attacco ransomware?

Una volta presente sul suo “host”, il terminale di destinazione, il ransomware crittograferà gradualmente tutti i file che gli sono accessibili in modo da renderli illeggibili dagli utenti. Nel caso di una rete aziendale, il software cercherà di propagarsi su tutte le risorse accessibili.

Ecco alcuni riflessi da avere in caso di un attacco di questo tipo:

  • spegnere tutte le macchine , soprattutto quelle che potrebbero essere interessate dall’attacco;
  • avvisare immediatamente il proprio reparto IT;
  • evitare di pagare il riscatto , poiché ciò non garantirà il ripristino di tutti i dati e non immunizzerà da ulteriori attacchi;
  • conservare le prove (registri, copie fisiche delle workstation o dei server interessati, file crittografati, ecc.);
  • presentare un reclamo alla polizia o alla gendarmeria (se non si conosce l’autore del reato, è possibile scrivere un pre-reclamo online ) possibilmente con l’aiuto di un avvocato specializzato e prima della reinstallazione dei sistemi interessati al fine di preservare le prove tecniche;

Come garantire la sicurezza dei dati per limitare il rischio di attacchi ransomware?

Le pratiche osservate

Gli incidenti più gravi sono spesso dovuti all’accumulo di diverse falle di sicurezza.

Durante i suoi controlli o nell’ambito dell’analisi delle notifiche eventualmente ricevute, la CNIL ha quindi rilevato che le conseguenze significative degli attacchi ransomware risultano in particolare:

  • un sufficiente partizionamento della rete tra i server e tra i server e i messaggi degli utenti;
  • la mancanza di implementazione di un dispositivo di rilevamento automatico per la crittografia massiva dei file;
  • la mancanza di misure di sicurezza per impedire la crittografia ransomware dei dati personali ospitati o archiviati;
  • nei casi più gravi, mancanza di backup dei dati da parte delle organizzazioni.

In caso di incidente, il ripristino dei dati può richiedere molto tempo durante il quale il sistema informativo dell’organizzazione interessata non sarà ancora operativo. La CNIL ha quindi rilevato operazioni di ripristino che sono durate più di 48 ore, a causa dell’elevato volume di file interessati.

Regola

Il titolare del trattamento deve attuare le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, compresi, tra l’altro, mezzi per garantire la riservatezza , l’ integrità e la disponibilità dei sistemi. Deve inoltre attuare mezzi per ripristinare la disponibilità dei dati personali in caso di incidente ( articolo 32 del GDPR ).

Per le istituzioni pubbliche, ed in particolare le strutture sanitarie, la circolare del Presidente del Consiglio dei Ministri del 17 luglio 2014 , relativa alla politica di sicurezza dei sistemi informativi dello Stato, indica che un sistema di compartimentazione del sistema informativo in sottoreti di sicurezza omogenee deve essere istituito per garantire la sicurezza delle reti locali.

Buone abitudini

  • Avere backup dei dati “offline”, aggiornati e testati, in modo da consentire il ripristino del sistema informativo da fonti sane, e conservare questi dati in un luogo diverso, lontano dall’ambiente di produzione.
  • Segmentare il sistema informativo in zone ciascuna con un livello di sicurezza omogeneo . Più precisamente, l’installazione di un filtro tra la postazione di lavoro dell’utente ei server dell’organizzazione può limitare la diffusione dell’attacco.
  • Rendere il personale consapevole dei rischi per la sicurezza e delle buone pratiche da seguire. In effetti, la CNIL ha notato che questi attacchi ransomware molto spesso derivavano dal download di un file dannoso ricevuto tramite phishing, inviato a una casella di posta diversa da quella dello stabilimento, ma il cui messaggio sarebbe stato aperto da una workstation interna al stabilimento sanitario.
  • Aggiorna i principali strumenti utilizzati : sistema operativo, antivirus, lettore PDF, browser, ecc. e, se possibile, disabilitare le macro delle soluzioni di automazione dell’ufficio che consentono di eseguire le attività in modo automatizzato. Questa regola aiuta a prevenire la diffusione del ransomware attraverso le vulnerabilità delle applicazioni.
  • Crea un account “utente”, che sarà l’unico account accessibile una volta configurato il computer. Questa regola rallenterà l’attaccante nelle sue azioni dannose e impedirà la compromissione degli account “amministratore” con privilegi estesi sul sistema.
  • Implementare un meccanismo per rilevare la massiccia corruzione dei file (soprattutto mediante crittografia) o limitare i programmi consentiti per essere eseguiti al fine di prevenire la crittografia di file server o database con ransomware.
  • Limita le autorizzazioni di scrittura sui file server per ridurre la quantità di dati che possono essere crittografati dal ransomware.

Devi notificare una violazione dei dati all’Autorità?

La notifica della violazione alla CNIL è necessaria non appena sussiste un rischio per la privacy delle persone , indipendentemente dal fatto che l’incidente sia di origine accidentale o illecita, come può essere il caso degli attacchi ransomware .

Tale comunicazione deve essere effettuata il prima possibile e, se possibile, al più tardi 72 ore dopo averne preso conoscenza, anche in caso di indisponibilità temporanea ( artt.33-1 e 55 GDPR ).

Questa notifica:

  • è un obbligo legale  passibile di sanzioni in caso di violazione;
  • consente alla CNIL di conoscere l’incidente e, nei casi più gravi, di guidare e consigliare le organizzazioni sulla condotta da adottare e sulle misure da adottare;
  • consente inoltre di determinare se sia necessaria una comunicazione agli interessati , qualora non sia già stata effettuata ( art. 34 GDPR ) affinché questi possano adottare gli opportuni provvedimenti per limitare per loro stessi gli effetti della violazione.

Passi da seguire

  1. L’incidente deve essere prima registrato nel registro della violazione dei dati mantenuto dall’organizzazione.
  2. Se è probabile che la violazione crei un rischio per i diritti e le libertà delle persone interessate, l’organizzazione deve informare l’Autorità per la protezione dei dati. Se si tratta di dati sensibili, come i dati sanitari, sarà generalmente necessario effettuare tale notifica, si presume il rischio.
  3. In caso di rischio elevato per le persone, sarà inoltre necessario informarle , specificando almeno:
  • la natura della violazione;
  • le possibili conseguenze della violazione;
  • i dati di contatto della persona da contattare (responsabile della protezione dei dati della tua azienda, se ne hai nominato uno);
  • le misure adottate per rimediare alla situazione e limitarne le conseguenze.

Queste informazioni dovrebbero essere integrate, se necessario, con consigli pratici (modifica delle password, ecc.).

Esempio  : una struttura sanitaria ha subito un attacco ransomware. Ciò ha comportato l’indisponibilità delle applicazioni mediche per un certo periodo, rendendo impossibile l’accesso alle cartelle cliniche digitali durante questo periodo. I dati, crittografati da una terza parte, non avevano lasciato i server dell’organizzazione. Tuttavia, i dati personali dei pazienti sono stati alterati durante l’attacco , la loro forma non ne consente più il normale utilizzo.

In questo caso, questo istituto deve quindi notificare la violazione all’Autoritàinformare le persone e mettere in atto tutte le misure di sicurezza necessarie .

Nota: il CNIL ha osservato un’evoluzione nei modelli di attacco ransomware che ora consistono non solo nella crittografia dei dati ma anche nell’esfiltrazione totale o parziale di essi.

In questo caso la violazione assume la forma di fuga di dati e il rischio per le persone interessate, a priori più importante, richiede almeno una notifica alla CNIL .

 

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL

Back To Top