WannaCry e GDPR sono due novità legate all’information technology molto discusse in questo periodo. Il primo è uno degli ultimi, nonché più pericolosi ransomware, ovvero quei software malevoli che infettano computer di tutto il mondo cifrandone i dati e rendendoli quindi inutilizzabili. Il secondo è il nuovo regolamento europeo sulla privacy, che entrerà pienamente in vigore il prossimo giugno.
Spesso sono tematiche trattate in modo separato, ed anche a prima vista potrebbe sembrare che non abbia molto senso parlare di WannaCry riferito al GDPR. Tuttavia Trend Micro, una nota firma della sicurezza informatica, propone una sua visione di questo accostamento, affermando che un attacco simile a quello di WannaCry potrebbe penalizzare moltissime aziende che finirebbero per ritrovarsi non conformi al nuovo regolamento.
=> GDPR: più efficienza per i professionisti IT
Il “panico che ha generato” WannaCry, infatti, non si fermerebbe all’inutilizzabilità dei dati, ma avrebbe ripercussioni sulla conformità alla norma. Potrebbero essere applicate le sanzioni, peraltro molto significative, per una violazione dei dati personali.
L’articolo 4.12 afferma infatti, scrive Trend Micro, che:
“Per violazione di dati personali si intende una violazione della sicurezza che porta alla distruzione, alla perdita, all’alterazione accidentale o illegale, alla divulgazione non autorizzata o all’accesso a dati personali trasmessi, memorizzati o altrimenti trattati”.
Di conseguenza l’attacco di WannaCry dovrebbe essere almeno considerato come accesso illegale, che come conseguenza successiva determina una perdita o distruzione di dati.
Anche l’articolo 5.1 contribuisce ad enfatizzare la problematica, poiché:
“I dati personali devono essere: elaborati in modo da garantire la sicurezza dei dati personali, inclusa la protezione contro l’elaborazione non autorizzata o illegale e contro perdite, distruzioni o danni accidentali, utilizzando adeguate misure tecniche o organizzative (integrità e confidenzialità)”.
=> Privacy UE, le nuove regole Marketing
Risulta quindi evidente che la mancata applicazione della patch, nel caso specifico la Windows SMB (CVE-2017-0144), ha consentito agli attaccanti di iniettare un file ransomware nei sistemi infettati e crittografare i file con 176 diverse estensioni, inclusi quelli utilizzati da Microsoft Office, database, file archivio, file multimediali e diversi linguaggi di programmazione. Tra questi ci sono sicuramente stati, per alcune aziende, file che contengono informazioni regolate dal GDPR.
In quest’ottica, effettivamente, malware, ransomware, altre analoghe minacce di sicurezza e GDPR intrecciano i loro cammini e, a partire dal prossimo giugno, potrebbero risultare sempre più appaiate.
.