Il problema dei Ransomware…
Secondo il Data Breach Investigations Report 2018 (DBIR) di Verizon, i Ransomware sono ancora la tipologia di Data Breach più terribile per le aziende, responsabili di ben oltre il 39% delle violazioni dati dovute ad attacchi malware. Uno dei più scottanti è la nuova variante del Ransomware Dharma, che si diffonde via e-mail di spam celandosi all’interno di un tool di rimozione ESET, spacciato per un aggiornamento gratuito dell’antivirus della vittima. Comunque qualsiasi tipologia di software può essere impiegata per raggiungere tale scopo malevolo. Il dato più incredibile è che le aziende ancora non investono in strategie di sicurezza adeguate per difendersi da queste minacce.

Il recente Ransomware Dharma…
Il Ransomware Dharma sfrutta un’e-mail spam per convincere la vittima ad aggiornare il proprio antivirus. Per avviare il download dell’aggiornamento, nel corpo dell’e-mail viene indicato un link, accessibile solo dopo aver inserito la password indicata nell’e-mail stessa.



Facendo in questo modo la vittima scarica a sua insaputa sul proprio computer un file autoestraente nominato Defender.exe, che eseguendolo scarica altri due file, ossia taskhost[.]exe, e Defender_nt32_enu[.]exe. 

Il primo è il payload del riscatto, mentre il secondo è ESET AntiVirus Remover, inizialmente spacciato alla vittima come aggiornamento gratuito del suo antivirus. Terminato il processo di installazione vengono crittografati tutti i dati della vittima.

I rimedi contro questo Data Breach…
Anche se la certezza matematica di essere al sicuro non esiste, è necessario formare i dipendenti affinché diventino la prima linea difensiva contro questa tipologia di minacce, in modo che tutto lo staff aziendale sia in grado di intercettare eventuali segnali di allarme. Infatti secondo le statistiche, il fattore umano è ancora tra le debolezze principali: gli attacchi Ransomware mietono le loro maggiori vittime proprio tra i dipendenti e le e-mail continuano a rappresentare l’anello debole nel 96% dei casi. Ciò rende inequivocabile per le aziende l’obbligo di effettuare la Formazione dei dipendenti incaricati ai sensi dell’art. 29 del G.D.P.R., secondo cui “il Responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del Titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri”.

Inoltre, ai sensi dell’Art. 32, par. 1, lett. a), b), e c) “Sicurezza del trattamento” del Regolamento UE 2016/679 (G.D.P.R.), tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Titolare del trattamento e il Responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

• la pseudonimizzazione e la cifratura dei dati personali;
• la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
• la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
• una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Ai sensi dell’art. 32, al paragrafo 4 si ribadisce quanto previsto all’art 29 del Regolamento stesso.

In conclusione…
Nel caso di Data Breach spetta al Titolare del trattamento valutare e documentare la violazione e, nei casi previsti, attivarsi per effettuare la notifica al Garante privacy e la comunicazione agli interessati. Se il Titolare del trattamento ricorre a un Responsabile del trattamento e quest’ultimo viene a conoscenza di una violazione dei dati personali che sta trattando per conto del Titolare, il Responsabile deve notificarla al Titolare “senza ingiustificato ritardo”, così da consentirgli di far fronte alla violazione e stabilire se dover notificare il Data Breach al Garante e alle persone fisiche interessate.