Table of Contents Table of Contents
Previous Page  101 / 152 Next Page
Information
Show Menu
Previous Page 101 / 152 Next Page
Page Background

da garantire la sicurezza dei dati personali, inclusa

la protezione contro l’elaborazione non autorizzata

o illegale e contro perdite, distruzioni o danni acci-

dentali, utilizzando adeguate misure tecniche od

organizzative (integrità e confidenzialità)”. E ancora,

l’articolo 32 afferma che l’addetto al controllo dei

dati o chi segue il processo dovrebbe tenere in con-

siderazione “lo stato dell’arte” per “implementare

misure tecniche e organizzative appropriate per

assicurare un livello di sicurezza appropriato al ri-

schio”. E aggiunge: “Nel valutare l’adeguato livello di

sicurezza si tenga conto in particolare dei rischi che

vengono presentati dall’elaborazione, in particolare

dalla distruzione accidentale o illegale, dalla perdita,

dallamodifica, dalla divulgazione non autorizzata o dall’accesso ai

dati personali trasmessi, conservati o altrimenti trattati”.

WannaCry poteva essere impedito

In chemodo le aziende sono state colpite daWannaCry? Fallendo

nel non patchare una vulnerabilità Windows SMB (CVE- 2017-

0144). Questo ha permesso agli attaccanti di liberare un file ran-

somware nei sistemi infettati e crittografare i file con 176 diverse

estensioni, inclusi quelli utilizzati da Microsoft Office, database,

file archivio, file multimediali e diversi linguaggi di programma-

zione. Ovviamente, tra questi file c’erano anche quelli dei clienti

che devono essere regolati dal Gdpr. Cosa significa

tutto questo agli occhi del regolamento? Innanzi-

tutto che ogni azienda che gestisce dati di clienti

che sono stati colpiti da WannaCry potrebbe es-

sere colpevole di aver permesso “il trattamento

non autorizzato o illegale” di questi dati. Tecni-

camente è stata subita anche una violazione di

dati personali, nonostante nessun dato sia stato

rubato, in virtù del fatto che questi dati sono stati

persi o distrutti nell’attacco ransomware. Ancora

più grave, nel momento in cui una patch ufficiale

di Microsoft era a disposizione settimane prima

dell’attacco, le organizzazioni colpite hanno fal-

lito nel prendere adeguate misure di sicurezza.

Inoltre, le tecnologie di virtual patching esistono appunto per

proteggere i sistemi non patchati o non supportati. Se l’attacco

di WannaCry fosse avvenuto un anno dopo, le aziende sarebbero

responsabili anche di non essere compliance con i principi del

Gdpr. Le multe in questo caso potrebbero raggiungere il 4% del

fatturato annuo o i 20 milioni di euro. Il Gdpr entrerà in vigore

fra un anno e il messaggio è semplice: le best practice di security

hanno protetto le organizzazioni contro WannaCry e aiuteranno

anche con il Gdpr, a partire dal 25 maggio 2018.

Trend Micro Italia -

www.trendmicro.it

S

SI

sicurezza

Carla Targa, marketing

e communication

manager di Trend Micro