To breach or not to breach - l'indisponibilità dei dati è un Data Breach?
Ogni volta la stessa storia, ogni maledetta volta.
Perché, dopo ogni incidente informatico, devo vedere la stessa identica scena?
Perchè arriva lui, chiamiamolo "Furio", con il ditino alzato e la pretesa di insegnarmi che il caso del giorno, secondo lui, non è un Data Breach e che la perdita di disponibilità non è prevista dal GDPR?
Sempre con il ditino alzato.... "mi fai vedere dove sta scritto?"
Furio, io te lo spezzo quel ditino!
Contravvenendo alle tradizioni, sarò molto breve, dopo alcune evidenze mi limiterò ad un veloce commento.
Nel suo parere 03/2014 sulla notifica delle violazioni4 e nelle Linee-guida WP 250, il WP29 ha spiegato che le violazioni possono essere classificate in base ai seguenti tre noti principi di sicurezza delle informazioni:
"Violazione della riservatezza" — in caso di divulgazione non autorizzata o accidentale di dati personali o di accesso non autorizzato o accidentale agli stessi.
"Violazione dell'integrità" — in caso di modifica non autorizzata o accidentale di dati personali.
"Violazione della disponibilità" — in caso di perdita accidentale o non autorizzata dell'accesso ai dati personali o di loro distruzione accidentale o non autorizzata.
(Cfr. le Linee-guida WP 250, pag. 7. — Occorre tener conto del fatto che una violazione dei dati può riguardare una o più categorie simultaneamente.)
Più di recente, sempre l'EDPB ha chiarito ulteriormente con le recenti Guidelines 9/2022 on personal data breach notification under GDPR Version 2.0 Adopted 28 March 2023
- “Confidentiality breach” - where there is an unauthorised or accidental disclosure of, or access to, personal data.
- “Integrity breach” - where there is an unauthorised or accidental alteration of personal data.
- “Availability breach” - where there is an accidental or unauthorised loss of access to, or destruction of, personal data.
È assodato che l'“accesso” è fondamentalmente parte della “disponibilità”. Si veda, ad esempio, il NIST SP80053rev4, che definisce la “disponibilità” come: “Garantire un accesso tempestivo e affidabile alle informazioni e il loro utilizzo”, disponibile all'indirizzo http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf
Anche il CNSSI-4009 fa riferimento a: “Accesso tempestivo e affidabile ai dati e ai servizi informativi per gli utenti autorizzati”.
Si veda https://rmf.org/wpcontent/uploads/2017/10/CNSSI-4009.pdf.
ISO/IEC 27000:2016 definisce anche la “disponibilità” come “Proprietà di essere accessibile e utilizzabile su richiesta da parte di un'entità autorizzata”: https://www.iso.org/obp/ui/#iso:std:isoiec:27000:ed-4:v1:en.
Valutare se c'è stata una violazione della disponibilità può essere poco intuitivo ma si capisce facilmente se si considera la distruzione come una indisponibilità permanente e se si accetta che una perdita temporanea della disponibilità possa avere gli stessi effetti pratici della distruzione.
Un grande aiuto arriva dall'articolo 32 del GDPR: nell'implementazione di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, occorre prendere in considerazione, tra l'altro, “la capacità di garantire in modo continuativo la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi di elaborazione e servizi” e ‘la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidenti fisici o tecnici’.
L'art 32 precede l'art 33 che ci racconta cosa fare in caso di Data Breach... no, non è affatto una casualità. Sono due articoli consecutivi da leggere tutto d'un fiato.
Pertanto, anche un incidente di sicurezza che renda indisponibili i dati personali solo per un certo periodo di tempo è una violazione, un Data Breach, in quanto la mancanza di accesso ai dati può avere un impatto significativo sui diritti e sulle libertà delle persone fisiche. Ce lo dice il GDPR, lo ha ben chiarito l'EDPB.
Ecco il momento dei pensieri in libertà: un selezione di casi reali, un drammatico spaccato di drammi quotidiani.
Se sei in sala e devi essere operato, hai bisogno di accedere ai tuoi dati sanitari contenuti nei server dell'ospedale. Peccato che il server è offline. Mannaggia. Chiunque potrebbe sconsigliare di procedere con il bisturi senza poter consultare cartelle cliniche, esami, radiografie, diagnostica per immagini ecc. Diciamo che i medici potranno aspettare 2 o 3 ore ma poi arriva l'infermiera e ti riporta in corsia: tutto da rifare e da riprogrammare.
Se il sistema tornerà online la mattina dopo, non sarà d'aiuto. Il danno è fatto. Si può solo sperare che non sia una cosa grave ma, a volte, una settimana può fare una bella differenza.
Indisponibilità temporanea che ha gli stessi effetti pratici di una cancellazione permanente - n.1
Se stai partendo per le vacanze ma il terminal è bloccato da un aggiornamento di un componente di sicurezza, ti assicuro, non la prenderai molto bene: salta la coincidenza del traghetto, salta il noleggio della autovettura, salta il diving, salta la prenotazione delle attività fissate a destinazione, salta la magnifica vacanza nel resort, peraltro già pagata a prezzo scontato con la formula "non rimborsabile" e, immagino, probabilmente saltano anche i nervi. Anche se il terminal tornerà normale dopo 24 ore, verranno pronunciate parole poco gradite al clero e persino evocate divinità precolombiane, oggi quasi del tutto dimenticate.
Indisponibilità temporanea che ha gli stessi effetti pratici di una cancellazione permanente - n.2
Se sei in vacanza e fra 3 giorni scadono i termini per un pagamento tipo rottamazione, rateazione, ecc, di quelle rigidamente programmate e concordate con l'agenzia delle entrate/riscossione e, entrando nell'homebanking, ti accorgi che è tutto bloccato, non la prendi bene. Sai che quel pagamento deve partire a qualunque costo e ti inventi di tutto, parti all'attacco del callcenter, mandi pec a tutti, supplichi l'agenzia di riferimento e, alla fine, consumi il tasto F5 nella speranza di poter fare quella maledetta operazione.
Passata la mezzanotte smetterai di premere F5 perchè, a quel punto, se l'omebanking tornasse online, la prenderesti veramente sul personale arrivando ad insultare la mamma, la sorella e anche gli antenati del signor Banca.
Indisponibilità temporanea che ha gli stessi effetti pratici di una cancellazione permanente - n.3
In breve, una temporanea mancanza di disponibilità può avere gli stessi effetti di una indisponibilità permanente, leggasi distruzione, se impedisce all'interessato di avvalersi dei suoi dati nel momento in cui ne ha la necessità. Il successivo ripristino della disponibilità non sempre può rimediare alle conseguenze generate dalla indisponibilità temporanea del dato. È questo che determina il carattere di violazione dell'evento, qualificandolo come Data Breach, a prescindere dalla causa che può essere tecnica, umana, volontaria, accidentale, malevola, fortuita, divina, ecc.
Furio, ora puoi abbassare il ditino. Grazie
Prosit