data breach

Mancato controllo su PC personali e sanzioni

by

L’autorità di controllo polacca ha sanzionato un’Università in seguito al furto del computer portatile di un dipendente e la conseguente sottrazione di dati personali di candidati studenti riferiti almeno ai cinque anni precedenti. Nella determinazione della sanzione il Garante polacco ha tenuto conto del fatto che il numero di interessati era elevato (cinque anni di dati), che il titolare del trattamento non sapeva che tali dati erano trattati tramite il PC personale di un dipendente (non aveva quindi attuato misure adeguate per controllare il rischio di trattamento) e che il titolare non aveva procedure per verificare quali supporti venivano utilizzati per il trattamento. Come circostanze attenuanti l’autorità ha tenuto conto dell’elevato grado di cooperazione da parte dell’Università in tutte le fasi dell’indagine e delle misure messe in atto per evitare simili incidenti in futuro. La sanzione è stata pari a € 12.000.

(fonte: EDPB)

Attacco ransomware: l’Università della California paga il riscatto

by

30 giugno 2020 – L’Università della California di San Francisco (UCSF) ha deciso di pagare un riscatto (parziale) di USD 1,14 milioni per il recupero di files bloccati da un attacco “ransomware”. L’Istituto specifica di avere rilevato un problema di sicurezza il 3 giugno 2020 e di avere immediatamente lavorato per isolare le macchine colpite ma di non aver potuto evitare che i files presenti in un numero limitato di server fossero bloccati e resi inutilizzabili. I server colpiti appartengono alla facoltà di medicina e, secondo il comunicato ufficiale, non sono stati bloccati i servizi erogati ai pazienti. Come spesso accade in questo tipo di attacchi, la richiesta di riscatto era accompagnata da alcuni dati prelevati dai sistemi attaccatti, tuttavia non sembrano essere stati trafugati dati sulla salute dei pazienti. L’UCSF ha pubblicato un aggiornamento della situazione a questo LINK.

Nella quasi totalità dei casi, il Ransomware arriva nei PC e nei server attraverso attacchi che vanno a buon fine se ci sono comportamenti non sicuri da parte degli utenti. Il mezzo di contaminazione più diffuso è la e-mail di phishing. Altri vettori possono essere tramite l’installazione di software non sicuri o la navigazione in siti violati in precedenza.

Data Breach: cosa significa?

by

Nel contesto della protezione dei dati personali si parla di Data Breach (violazione dei dati) quando si ha una “violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (fonte: Garante per la Protezione dei Dati Personali).

La violazione dei dati può avere impatto sulla riservatezza, sull’integrità e sulla disponibilità dei dati trattati.

In caso di violazione dei dati il Titolare del Trattamento ha 72 ore di tempo, dal momento in cui è venuto a conoscenza dell’evento, per notificare la stessa al Garante (a meno che non possa dimostrare che sia improbabile che la violazione abbia comportato rischi per i diritti e le libertà delle persone fisiche).

La violazione va notificata seguendo la procedura indicata nel provvedimento del Garante del 30 luglio 2019 utilizzando il modello proposto dal Garante.