Ecco perché il GDPR si è trasformata in un’arma a doppio taglio di Francesco Pagano, Consigliere Aidr e Responsabile servizi informatici Ales spa e Scuderie del Quirinale.

Una normativa finalmente organica per regolare il trattamento dei dati
personali. Il GDPR, entrato in vigore nel maggio 2018, ha senza dubbio
portato a un miglioramento nel panorama complessivo della cyber
security. Attraverso la previsione di obblighi puntuali e, non ultimo,
di un sistema sanzionatorio per chi non adegua procedure e policy a
quanto previsto, il nuovo regolamento europeo sulla protezione dei
dati ha obbligato numerosi soggetti ad adeguarsi a quelle best
practice che consentono di tutelare la riservatezza dei dati e la
privacy degli utenti
Negli ultimi mesi, però, gli esperti di sicurezza hanno lanciato un
allarme riguardante un “effetto collaterale” del regime sanzionatorio
introdotto con il GDPR. A sfruttare la normativa a loro vantaggio sono
pirati informatici specializzati negli attacchi alle aziende che,
normalmente, utilizzavano per le loro operazioni i cosiddetti
crypto-ransomware. Questa tipologia di malware è progettata per agire
in chiave estorsiva ai danni della vittima, attraverso la codifica
tramite crittografia di tutti i dati e documenti presenti sui computer
infetti.
Chi subisce un attacco di questo tipo si trova in una situazione
paradossale: tutti i dati sono presenti sui suoi sistemi, ma non può
accedervi senza la chiave crittografica che è in possesso dei pirati.
Lo schema, ormai adottato da numerosi cyber criminali, prevede poi la
richiesta di un “riscatto” (a volte milionario) per ottenere la chiave
di decodifica e ripristinare i dati presi “in ostaggio”. Inutile dire
che il meccanismo nasconde numerose insidie e che percorrere la via
del pagamento del riscatto è estremamente rischioso. La cronaca,
infatti, ha registrato numerosi casi in cui i pirati informatici non
hanno fornito la chiave crittografica nonostante il pagamento o,
addirittura, hanno reiterato l’estorsione. La reazione corretta a un
attacco di questo genere, così come confermano forze di polizia ed
esperti di cyber security, prevede la denuncia del data breach e il
ripristino dei dati attraverso strumenti specializzati o, in assenza
di alternative, dei backup di sistema.
Negli ultimi mesi, però, i pirati informatici hanno modificato il loro
modus operandi per poter esercitare una pressione maggiore sulle loro
vittime. Oltre a crittografare i dati, togliendone la disponibilità al
legittimo proprietario, esfiltrano una copia di tutti i documenti. Nel
documento che richiede il pagamento del riscatto, a questo punto,
viene anche ventilata la minaccia di pubblicare online tutti i dati,
innescando un meccanismo per cui l’azienda vittima dell’attacco
rischierebbe anche di subire le (salatissime) sanzioni previste dal
GDPR.
A inaugurare questa strategia nel dicembre 2019 è stato un gruppo come
Sodinokibi, seguito a ruota da altre gang di cyber criminali
specializzati in attacchi ransomware. Uno di questi, chiamato Maze, ha
addirittura creato un sito sul Dark Web in cui vengono
sistematicamente pubblicati i dati rubati alle vittime che non cedono
al ricatto. L’invito, in pratica, è quello di pagare il riscatto per
poter tenere sotto silenzio l’accaduto ed evitare le indagini sul data
breach da parte dell’autorità garante. Inutile dire che, anche in
questo caso, il fatto che i cyber criminali rispettino i patti è
tutt’altro che garantita. Sono molti i casi in cui, nonostante il
pagamento, le informazioni sottratte sono state comunque divulgate,
mettendo le vittime in una situazione ancora più complicata di fronte
alle autorità. L’intera vicenda conferma la sorprendente creatività
dei pirati informatici e, allo stesso tempo, come la linea per
contrastarne l’attività possa passare solo da una rigorosa e puntuale
esecuzione delle procedure. Qualsiasi “scorciatoia” rischia infatti di
trasformarsi in un vero disastro.