Ordine degli Psicologi, la sanzione (tardiva) del Garante e le regole non scritte

[Un nuovo glorioso articolo di Signorina37 per GarantePiracy.]

Sono passati quasi 18 mesi dall'attacco #ransomware all’Ordine degli Psicologi della Lombardia (OPL), e finalmente è arrivata la sanzione, stagionata come un buon Grana: una multa di 30.000 euro dal Garante per la Protezione dei Dati Personali.

La violazione, avvenuta nell’ottobre 2023, ad opera del gruppo #NoEscape, ha portato all’esfiltrazione di circa 7.00 GB di dati altamente sensibili.

La sanzione, pur riconoscendo le mancanze dell’OPL in termini di sicurezza informatica, ci rivela una problematica più ampia: la disconnessione temporale tra la violazione dei dati e l’applicazione della giustizia.

Andiamo con ordine: l’attacco ha avuto inizio tra il 30 settembre e il 1 ottobre 2023, quando i threat actors hanno sfruttato una vulnerabilità del protocollo RDP per accedere ai sistemi informatici dell’OPL. Qualcuno ha notato dei movimenti sospetti, ma non è stato messo in atto alcun protocollo di prevenzione (nessun bottone rosso, insomma). Tuttavia, la reale portata dell’attacco è emersa solo in seguito (il 19, data comunicata ufficialmente da OPL), quando i sistemi sono stati bloccati ed è arrivata la nota di riscatto.

I dati rubati includono informazioni personali di migliaia di iscritti e soggetti coinvolti anche in procedimenti disciplinari; in particolare, sono stati violati dati appartenenti a categorie sensibili, ai sensi del #GDPR, come l'origine razziale o etnica, le convinzioni religiose o filosofiche, l'appartenenza sindacale, l'orientamento sessuale, dati relativi alla salute e alle condanne penali (reati inclusi)*

OPL non ha pagato il riscatto - giusto - ma questo atto ha portato alla pubblicazione dei dati sul dark web, esponendo i soggetti interessati a molteplici rischi - tra cui il furto dell'identità, la discriminazione, i danni reputazionali personali e le conseguenze economiche e sociali!

E il Garante?

Interviene… con ritardo; è di pochi giorni fa la sentenza con la quale commina la sanzione di 30.000 euro, evidenziando tre punti chiave:

• OPL non ha adottato misure adeguate per rilevare tempestivamente le violazioni
• OPL non ha garantito un livello sufficiente di sicurezza nei sistemi di trattamento dei dati
• OPL non ha gestito dati di natura particolarmente sensibile, aggravando la situazione

Il testo integrale si trova qui: https://www.garanteprivacy.it/garante/doc.jsp?ID=10134827

Anche se l'Ordine si è da subito mostrato collaborativo (la notifica sul loro sito è del 21 ottobre 2023: https://www.opl.it/notizia/21-10-2023-DATA-BREACH-OPL-informazioni-corrette-per-contrastare-le-fake-news-), il problema tempo è cruciale: le sanzioni tardive non funzionano, al netto di una cifra irrisoria inflitta. Il problema è più profondo, è una falla sistemica nella governance della privacy.

Le aziende non imparano in tempo perché, all’arrivare della multa, è già passato troppo tempo. Non viene percepito il rischio come “immediato”, non viene avvertita “l’urgenza” della messa in sicurezza e non vengono attuati cambiamenti.

Eppure, i dati sono già persi e i danni sono permanenti. Perché magari le vittime possono aver discordato l’incidente dell’anno prima, ma i loro dati possono essere ancora in circolazione: venduti, riutilizzati o sfruttati in cento modi differenti.

La multa, in sostanza, pur ottemperando alla legge, è un placebo, poiché l’effetto deterrente si annulla senza un tempismo efficace. Anche l’impatto reputazionale e normativo della sanzione stessa si riduce drasticamente. Ce li vedo, quelli colpiti dalle multe, ballare in circolo cantando “Chi ha paura del lupo cattivo”.. 30.000 euro per mettere la parola fine ad un errore, non valgono nemmeno il costo di un set di dati fiscali.

“Ce l’hai tu, la soluzione, eh?” La soluzione non la ho, ma ho un po’ di idee su come migliorare, perché questo, come altri casi simili, dovrebbero servire come campanelli d’allarme.

Serve investire in rilevazione tempestiva e trasparenza immediata - cosa che molte aziende non fanno per diversi motivi (sfiducia nell’operato delle istituzioni in primis). Investire nella sicurezza informatica è sempre una spesa giusta e saggia. Basta? No: servono audit di sicurezza periodici, soprattutto in settori ad alto rischio: non è che se al due gennaio va tutto bene, per la Befana non ti possono bucare. Basta una piccola distrazione e il danno è fatto.

È necessario anche educare gli impiegati alla cultura della sicurezza, all’igiene delle macchine e dell’attività lavorativa e.. ecco, questa è una cosa che mesi fa non avrei mai detto, ma che oggi mi sembra più che mai importante. Serve che tutti, dal super mega direttore alla casalinga di Voghera, siano informati sui loro diritti e su quello che può accadere in caso di una violazione. Devono sapere che i loro documenti possono essere usati per illeciti, che i loro numeri di telefono vengono venduti un tot al chilo e che la loro storia sanitaria è oro per certi settori!

Il Garante, lato suo, dovrebbe provare a velocizzare questi processi e accompagnare, alle sanzioni, avvisi pubblici settoriali, anche a costo di mettere i volantini sui pali della luce: se la maggior pate delle aziende non sa cosa accade, come potrà correre ai ripari?

Vorrei che il prossimo (certo che ci sarà il prossimo, ce ne saranno a centinaia, di prossimi) caso di esfiltrazione e relativa sanzione, diventasse un esempio. Con una multa stellare e l’obbligo di seguire determinate direttive, con controlli periodici sullo stato delle cose. Se non sono compliant, ancora sanzioni.

Bastonarne uno per educarne cento.. ma siamo, ancora una volta, in ritardo!

*se pensate che conoscere il vostro orientamento sessuale, le vostre credenze religiose, sindacali, politiche o anche come vi piace farlo, sia “cosa da poco”, ripensateci. E pensate a come giudicate voi una persona diversa da quello che credete sia la normalità. Cambia la prospettiva, assai.