È delle scorse settimane l’atto di accusa dell’FBI contro Joseph Sullivan, ex Cyber Security Manager di Uber, per avere tenuto nascosto un Data Breach, ostacolato l’attività investigativa dei funzionari federali e celato il tutto ai Dirigenti dell’azienda. Indipendentemente dall’esito che avrà il processo, quanto accaduto serve da lezione a tutti coloro che, all’interno delle aziende, si occupano di cyber security. Vediamo in che modo.
Con l’espressione Data Breach si fa riferimento a una violazione di dati o di informazioni digitali in seguito a un incidente informatico. Il GDPR – General Data Protection Regulation lo descrive, con più precisione, come “una violazione di sicurezza – accidentale o illecita – che causa la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati personali conservati o trattati”.
La causa più frequente di Data Breach – come viene sottolineato nel report Cost of a Data Breach 2020, realizzato da Ponemon Institute per conto di IBM Security – è data da attacchi da parte di criminal hacker (52%), seguiti da errori umani (23%) e malfunzionamenti del sistema (25%). Sempre secondo il report, sono i dati personali la preda più ambita dai criminal hacker, oltre che la più costosa per le aziende: si parla, infatti, di perdite che vanno da una media di 146 dollari per singolo data record, fino a 150 se questo contiene dati personali.
Tra gli esempi di Data Breach provocati da attacchi hacker, figura il ransomware, un tipo di malware che limita l’accesso del sistema infettato, richiedendo un riscatto in denaro per sbloccarlo. Non sono pochi i casi in cui le aziende colpite da questa tipologia di Data Breach, pur di poter accedere il prima possibile ai propri dati e riprendere la propria attività, decidono di pagare un riscatto.
Secondo la ricerca The State of Ransomware 2020 di Sophos – basata su un campione di 5.000 responsabili IT di imprese di ventisei paesi, fra cui l’Italia – il 27% degli intervistati (6% in Italia) ha ammesso di aver pagato ai cybercriminali la cifra richiesta.
Diverso, rispetto al pagamento di un riscatto da ransomware è, invece, il “programma bug bounty”, ovvero un accordo proposto da siti Internet, sviluppatori software e aziende, grazie al quale hacker etici, oppure semplici utenti, ricevono ricompense in denaro per la segnalazione di bug, malfunzionamenti del software o problemi di sicurezza.
E di riscatti e bug bounty è intrisa la vicenda giudiziaria che, negli Stati Uniti, vede al centro l’ex Cyber Security Manager di Uber, azienda di San Francisco fornitrice di servizi di trasporto automobilistico privato attraverso un’app che mette in collegamento passeggeri e autisti. Ma vediamo nel dettaglio che cosa è accaduto.
Data Breach e responsabilità penali del Cyber Security Manager: il caso Uber
È delle scorse settimane l’atto di accusa dell’FBI contro Joseph Sullivan, ex Cyber Security Manager di Uber, per avere tenuto nascosto un Data Breach, avere ostacolato l’attività investigativa dei funzionari federali e avere celato il tutto ai Dirigenti dell’azienda.
Accusa che ha suscitato non poche perplessità tra i Cyber Security Manager USA, i quali, in questi giorni, si interrogano sulle proprie responsabilità in azienda e sul significato e i limiti della propria autonomia decisionale.
Ricordiamo che il responsabile della Cyber Security è, all’interno delle strutture in cui opera, colui che previene e rileva eventuali attacchi informatici, proteggendo, così, l’integrità dei database e dei sistemi informativi, e che definisce strategie e piani di sicurezza e prevenzione.
Il Data Breach al quale fa riferimento l’atto di accusa risale al 2016, quando un gruppo di hacker ha avuto accesso a milioni di dati personali di autisti e clienti di Uber. Il reato non è mai stato denunciato alle Autorità. E, secondo le indagini, l’esperto cyber dell’azienda avrebbe pagato agli hacker 100mila dollari per nascondere tutte le prove e non divulgare l’accaduto.
Più nello specifico, Sullivan avrebbe modificato – senza condividere tale decisione con il CEO – il programma bug bounty aziendale, per pagare un riscatto volto a impedire agli hacker di esporre pubblicamente la violazione dei dati. L’importo pagato è dieci volte superiore al massimale previsto dal programma bug bounty di Uber e, inoltre, il tipo di violazione e i dati rubati non erano comunque coperti da tale programma.
L’ex Cyber Security Manager ha chiesto agli hacker di firmare un accordo di non divulgazione: altra modifica (non condivisa) alla policy aziendale in caso di Data Breach. E, nel 2017, non ha informato nel dettaglio il nuovo CEO circa l’accaduto.
Nell’analisi di Forrester sull’intera vicenda, viene fatto notare che, indipendentemente dalla presunta innocenza o colpevolezza di Joseph Sullivan e dall’esito del processo, il fatto in sé serve da lezione a tutti coloro che, all’interno delle aziende, si occupano di cyber security. Scopriamo come.
Data Breach e ruolo del Cyber Security Manager: i 4 punti chiave secondo Forrester
Occultare un Data Breach è illegale
Regola numero uno: mai nascondere alla Dirigenza e alle Autorità una violazione di dati. Di qualunque identità essa sia. Ogni decisione presa dal Cyber Security Manager in seguito a un incidente informatico, potrebbe diventare oggetto di indagine da parte delle Forze dell’Ordine ed essere poi dibattuta in sede processuale. Dunque, puntare sulle “soluzioni” al problema e sulla “trasparenza”, piuttosto che non affrontare la questione e insabbiare i fatti.
Definire una policy interna in tema di riscatti e bug bounty
L’esperto di cyber security di Uber ha pensato (forse in buona fede, senza dolo) che il pagamento del riscatto attraverso il bug bounty potesse “risolvere” la violazione. Questo fa riflettere sull’esigenza di una chiara politica aziendale che espliciti “che cosa fare”, come comportarsi, in caso di Data Breach con richiesta di riscatto in denaro, in modo che non si incorra in errore e non vi siano accuse di scorrettezza ingiustificate. La stessa cosa vale per le linee guida del programma di bug bounty, che dovrebbero sempre essere precise, condivise e mai essere modificate al volo.
Condividere sempre con la Dirigenza le decisioni in merito a violazioni dei dati e riscatti
Sullivan ha convinto gli hacker a firmare un accordo di non divulgazione, nascondendo il pagamento anche al team di gestione dei costi. Nessun Dirigente di Uber è stato coinvolto nella decisione e, più in generale, nei fatti. Il che, dal punto di vista legale e penale, è ricaduto totalmente su di lui.
Educare il top management all’importanza di una buona strategia di cyber security
Spesso è difficile fare comprendere alla Dirigenza gli aspetti tecnici e organizzativi alla base della sicurezza informatica e delle strategie per difendersi dai Data Breach. Ma questo non è un motivo valido per avallare un piano di cyber security aziendale inefficace. Il fallimento – rimarca Forrester – non è un’opzione. Quindi, bisogna lavorare anche sull’educazione alla sicurezza.
Data Breach: il GDPR impone la notifica al Garante per la protezione dei dati personali
Ma lasciamo gli Stati Uniti e torniamo in Europa, dove vige il GDPR – General Data Protection che, in caso di Data Breach, è molto chiaro: il titolare del trattamento dei dati deve notificare la violazione al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne è venuto a conoscenza. E il responsabile del trattamento dei dati che rileva un’eventuale violazione, è tenuto a informare tempestivamente il titolare, in modo che possa attivarsi.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate da validi motivi del ritardo. Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati e deve documentare tutte le violazioni dei dati personali predisponendo un apposito registro. Tale documentazione consente all’Autorità Garante di effettuare verifiche sul rispetto della normativa.
Il Garante può prescrivere misure correttive, nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Ricordiamo che, in caso di violazioni, sono previste sanzioni pecuniarie fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.