際際滷

際際滷Share a Scribd company logo

Come gestire un data breach da attacco ransomware

Giulio Coraggio
Giulio Coraggio

In questo webinar, gli Avv.ti Giulio Coraggio, Cristina Criscuoli e Giulia Zappaterra dello studio legale DLA Piper hanno discusso di come gestire un attacco ransomware e di quali possono essere le conseguenze di una gestione inadeguata di simili incidenti. Il webinar si 竪 concentrato inoltre sullimportanza di adottare una politica efficace in materia di sicurezza informatica e sulle possibili misure da implementare al fine di prevenire il verificarsi di simili attacchi e mitigarne sensibilmente gli effetti ove dovessero avverarsi.

1 of 26
Come gestire un data breach da attacco ransomware Giulio Coraggio Giulia Zappaterra Cristina Criscuoli Studio Legale DLA Piper
There are only two types of organizations: those that have been hacked and those that don't know it yet! - John Chambers, ex CEO di Cisco
Le dimensioni del cyber risk kaspersky cybermap
Alcuni dati statistici C竪 un attacco cyber ogni cyber da parte di un hacker ogni 39 secondi Il 95% dei data breach 竪 dovuto allerrore umano Il costo medio di un data breach eccede $ 116 milioni per le societ quotate e il costo totale della cybersecurity 竪 stimato in $ 6 miliardi nel 2021 Dallinizio dellemergenza da Covid-19, c竪 stato un aumento del 300% dei cyber attacchi Il 77% delle aziende non hanno un cybersecurity incident response plan La maggior parte delle aziende impiega 6 mesi per identificare un cyber attacco https://www.cybintsolutions.com/cyber-security-facts-stats/
It takes 20 years to build a reputation and few minutes of cyber-incident to ruin it. Stephane Nappo, Global CISO di Groupe SEB
Come gestire un data breach da attacco ransomware
E un data breach che va notificato e/o comunicato agli interessati? Non ci sono categorie particolari di dati personali coinvolti Esiste un backup adeguato dei dati Non c竪 stata unesfiltrazione dei dati e i dati erano crittografati
E un data breach che va notificato e/o comunicato agli interessati? Non ci sono categorie particolari di dati personali coinvolti Non esiste un backup adeguato dei dati, ma richiede 5 giorni di ripristino manuale Non si pu嘆 escludere che ci sia stata unesfiltrazione dei dati e i dati non erano criptati !
E un data breach che va notificato e/o comunicato agli interessati? Ci sono dati sulla salute relativi ad un ospedale coinvolti Esiste un backup adeguato dei dati Non c竪 stata unesfiltrazione dei dati
E un data breach che va notificato e/o comunicato agli interessati? Non ci sono categorie particolari di dati personali coinvolti, ma dati finanziari Non esiste un backup adeguato dei dati C竪 stata unesfiltrazione dei dati !
E un data breach che va notificato?
E possibile accedere ai PC dei dipendenti per indagare sullaccaduto?
DLA Piper NOTIFY per determinare cosa fare in caso di data breach
The five most efficient cyber defenders are: Anticipation, Education, Detection, Reaction and Resilience. Do remember: "Cybersecurity is much more than an IT topic. - Stephane Nappo, Global Chief Information Security Officer 2018 Global CISO of the year
Come prepararsi e reagire ad un data breach 1 2 3 Creare la capacit di reagire ad un attacco cyber Reagire allattacco Compiere le azioni successive allincidente per limitare danni
Adottare appropriate misure preventive 1. Struttura organizzativa 2. Periodiche analisi dei rischi 3. Piano di reazione al cyber attacco 4. Training periodico e creazione di consapevolezza dei rischi 5. Revisione di copertura assicurativa 6. Identificazione di fornitori di forensics, comunicazione e supporto ad azioni correttive 7. Analisi di impatti sulla supply chain di attacchi cyber 8. Tracciare obblighi contrattuali
www.bestppt.com 1 7 BEST PRACTICES Segregazione dei sistemi di elaborazione e infrastrutture per evitare la propagazione dei ransomware Adozione di una procedura di backup di medio e lungo termine separati dai dati operativi e protetti in caso di attacco Formazione dei dipendenti sui sistemi di riconoscimento e prevenzione degli attacchi e svolgimento di test di vulnerabilit Replica di tutti i log su di un sistema centrale, adozione di sistemi di crittografia dei dati e adozione di un Incident Response Plan
Rispondere efficacemente quando lattacco accade 1. Identificare tempestivamente lattacco 2. Contenere e rimediare allattacco 3. Garantire la business continuity 4. Gestire i rapporti con il senior management, autorit (e.g. Garante e autorit di polizia), clienti e fornitori 5. Gestire le comunicazioni al pubblico 6. Eseguire notifiche richieste dalla normativa applicabile 7. Collaborare allanalisi della causa dellincidente
Assicurare l'integrit dei dati e delle informazioni e pi湛 in generale delle risorse, vietando modifiche non autorizzate. Garantire la continuit nellerogazione di risorse e servizi del sistema informatico e informativo (business continuity e business integrity) Impedire attacchi rivolti a violare la confidenzialit dei dati e delle informazioni, consentendone la fruizione soltanto a utenti o sistemi autorizzati (segregation e need to know) Information Security ICT Security ICT Security Governance Aree di gestione: Obiettivi:
Requisiti di sicurezza in termini di misure tecniche ed organizzative che il fornitore dovr mettere in atto e garantire. In tal modo il fornitore si impegna ad impiegare tutti i mezzi idonei affinch辿 si realizzi un risultato conforme alle esigenze del committente. Obblighi del fornitore in caso di incidenti nella supply chain. Il fornitore del servizio dovr garantire un servizio esattamente rispondente alle esigenze dellimpresa committente. Dovr attuare procedure verificabili e garantire la sicurezza dei servizi e prodotti. Il committente dovr rendere disponibili al fornitore tutte le istruzioni e le informazioni necessarie allerogazione di un servizio adeguato, oltre a fornire i dati e le caratteristiche relativi alle sue infrastrutture hardware e software o alle informazioni da proteggere. Questi tipi di contratto prevedono abitualmente la possibilit di eseguire audit periodici per verificare lassenza di casi di vulnerabilit livello software/hardware o criticit sui profili privacy. I controlli devono estendersi ai fornitori
DPIA Bisogna provare di aver fatto la cosa giusta
www.dlapiper.com 22 Identificare i trasferimenti impattati identificare tutti i trasferimenti di dati extra-SEE, il paese di destinazione e la base giuridica alternativa per il trasferimento in base al Capo V del GDPR Privacy Shield Cessare di fare riferimento al Privacy Shield quale meccanismo per il trasferimento Adottare meccanismi alternativi (es. SCCs) Considerare la possibilit di archiviare/accedere ai dati personali all'interno dell'UE Implementare modifiche della governance Aggiornare il registro dei trattamenti, le informative, ecc.. Adottare meccanismi di trasferimento differenti / misure di garanzia supplementari Prevedere un meccanismo di valutazione delladeguatezza nel ciclo del procurement SCCs & altri meccanismi per il trasferimento di cui al Capo V verificare caso per caso se le leggi applicabili nel paese di destinazione garantiscono una protezione adeguata Seguire i principi dell Art 45(2) per l assessment Tenere conto dei rischi specifici per il trasferimento dei dati coordinarsi con i data importer (ad esempio i fornitori di servizi cloud) per la loro valutazione valutare se ulteriori contromisure possono contribuire a mitigare i rischi documentare la decisione finale (procedere/rifiutare) Controllare le line guida e le indicazioni da parte delle DPA e dellEDPB La valutazione dei trasferimenti diventa parte del controllo sui cyber rischi
Transfer il tool di legal tech di DLA Piper per automatizzare il TIA
Come gestire un data breach da attacco ransomware
The biggest threat to cybersecurity is between your fingers and your keyboard
Q&A Time! Giulio Coraggio - Giulia Zappaterra - Cristina Criscuoli Seguiteci su www.dirittoaldigitale.com https://www.linkedin.com/company/dirittoaldigitale Telegram: dirittoaldigitale Gruppo WhatsApp con 250+ esperti privacy https://www.linkedin.com/company/italy-privacy-network Telegram: Italian Privacy Think Tank

More Related Content

Come gestire un data breach da attacco ransomware

  • 1. Come gestire un data breach da attacco ransomware Giulio Coraggio Giulia Zappaterra Cristina Criscuoli Studio Legale DLA Piper
  • 2. There are only two types of organizations: those that have been hacked and those that don't know it yet! - John Chambers, ex CEO di Cisco
  • 3. Le dimensioni del cyber risk kaspersky cybermap
  • 4. Alcuni dati statistici C竪 un attacco cyber ogni cyber da parte di un hacker ogni 39 secondi Il 95% dei data breach 竪 dovuto allerrore umano Il costo medio di un data breach eccede $ 116 milioni per le societ quotate e il costo totale della cybersecurity 竪 stimato in $ 6 miliardi nel 2021 Dallinizio dellemergenza da Covid-19, c竪 stato un aumento del 300% dei cyber attacchi Il 77% delle aziende non hanno un cybersecurity incident response plan La maggior parte delle aziende impiega 6 mesi per identificare un cyber attacco https://www.cybintsolutions.com/cyber-security-facts-stats/
  • 5. It takes 20 years to build a reputation and few minutes of cyber-incident to ruin it. Stephane Nappo, Global CISO di Groupe SEB
  • 7. E un data breach che va notificato e/o comunicato agli interessati? Non ci sono categorie particolari di dati personali coinvolti Esiste un backup adeguato dei dati Non c竪 stata unesfiltrazione dei dati e i dati erano crittografati
  • 8. E un data breach che va notificato e/o comunicato agli interessati? Non ci sono categorie particolari di dati personali coinvolti Non esiste un backup adeguato dei dati, ma richiede 5 giorni di ripristino manuale Non si pu嘆 escludere che ci sia stata unesfiltrazione dei dati e i dati non erano criptati !
  • 9. E un data breach che va notificato e/o comunicato agli interessati? Ci sono dati sulla salute relativi ad un ospedale coinvolti Esiste un backup adeguato dei dati Non c竪 stata unesfiltrazione dei dati
  • 10. E un data breach che va notificato e/o comunicato agli interessati? Non ci sono categorie particolari di dati personali coinvolti, ma dati finanziari Non esiste un backup adeguato dei dati C竪 stata unesfiltrazione dei dati !
  • 11. E un data breach che va notificato?
  • 12. E possibile accedere ai PC dei dipendenti per indagare sullaccaduto?
  • 13. DLA Piper NOTIFY per determinare cosa fare in caso di data breach
  • 14. The five most efficient cyber defenders are: Anticipation, Education, Detection, Reaction and Resilience. Do remember: "Cybersecurity is much more than an IT topic. - Stephane Nappo, Global Chief Information Security Officer 2018 Global CISO of the year
  • 15. Come prepararsi e reagire ad un data breach 1 2 3 Creare la capacit di reagire ad un attacco cyber Reagire allattacco Compiere le azioni successive allincidente per limitare danni
  • 16. Adottare appropriate misure preventive 1. Struttura organizzativa 2. Periodiche analisi dei rischi 3. Piano di reazione al cyber attacco 4. Training periodico e creazione di consapevolezza dei rischi 5. Revisione di copertura assicurativa 6. Identificazione di fornitori di forensics, comunicazione e supporto ad azioni correttive 7. Analisi di impatti sulla supply chain di attacchi cyber 8. Tracciare obblighi contrattuali
  • 17. www.bestppt.com 1 7 BEST PRACTICES Segregazione dei sistemi di elaborazione e infrastrutture per evitare la propagazione dei ransomware Adozione di una procedura di backup di medio e lungo termine separati dai dati operativi e protetti in caso di attacco Formazione dei dipendenti sui sistemi di riconoscimento e prevenzione degli attacchi e svolgimento di test di vulnerabilit Replica di tutti i log su di un sistema centrale, adozione di sistemi di crittografia dei dati e adozione di un Incident Response Plan
  • 18. Rispondere efficacemente quando lattacco accade 1. Identificare tempestivamente lattacco 2. Contenere e rimediare allattacco 3. Garantire la business continuity 4. Gestire i rapporti con il senior management, autorit (e.g. Garante e autorit di polizia), clienti e fornitori 5. Gestire le comunicazioni al pubblico 6. Eseguire notifiche richieste dalla normativa applicabile 7. Collaborare allanalisi della causa dellincidente
  • 19. Assicurare l'integrit dei dati e delle informazioni e pi湛 in generale delle risorse, vietando modifiche non autorizzate. Garantire la continuit nellerogazione di risorse e servizi del sistema informatico e informativo (business continuity e business integrity) Impedire attacchi rivolti a violare la confidenzialit dei dati e delle informazioni, consentendone la fruizione soltanto a utenti o sistemi autorizzati (segregation e need to know) Information Security ICT Security ICT Security Governance Aree di gestione: Obiettivi:
  • 20. Requisiti di sicurezza in termini di misure tecniche ed organizzative che il fornitore dovr mettere in atto e garantire. In tal modo il fornitore si impegna ad impiegare tutti i mezzi idonei affinch辿 si realizzi un risultato conforme alle esigenze del committente. Obblighi del fornitore in caso di incidenti nella supply chain. Il fornitore del servizio dovr garantire un servizio esattamente rispondente alle esigenze dellimpresa committente. Dovr attuare procedure verificabili e garantire la sicurezza dei servizi e prodotti. Il committente dovr rendere disponibili al fornitore tutte le istruzioni e le informazioni necessarie allerogazione di un servizio adeguato, oltre a fornire i dati e le caratteristiche relativi alle sue infrastrutture hardware e software o alle informazioni da proteggere. Questi tipi di contratto prevedono abitualmente la possibilit di eseguire audit periodici per verificare lassenza di casi di vulnerabilit livello software/hardware o criticit sui profili privacy. I controlli devono estendersi ai fornitori
  • 21. DPIA Bisogna provare di aver fatto la cosa giusta
  • 22. www.dlapiper.com 22 Identificare i trasferimenti impattati identificare tutti i trasferimenti di dati extra-SEE, il paese di destinazione e la base giuridica alternativa per il trasferimento in base al Capo V del GDPR Privacy Shield Cessare di fare riferimento al Privacy Shield quale meccanismo per il trasferimento Adottare meccanismi alternativi (es. SCCs) Considerare la possibilit di archiviare/accedere ai dati personali all'interno dell'UE Implementare modifiche della governance Aggiornare il registro dei trattamenti, le informative, ecc.. Adottare meccanismi di trasferimento differenti / misure di garanzia supplementari Prevedere un meccanismo di valutazione delladeguatezza nel ciclo del procurement SCCs & altri meccanismi per il trasferimento di cui al Capo V verificare caso per caso se le leggi applicabili nel paese di destinazione garantiscono una protezione adeguata Seguire i principi dell Art 45(2) per l assessment Tenere conto dei rischi specifici per il trasferimento dei dati coordinarsi con i data importer (ad esempio i fornitori di servizi cloud) per la loro valutazione valutare se ulteriori contromisure possono contribuire a mitigare i rischi documentare la decisione finale (procedere/rifiutare) Controllare le line guida e le indicazioni da parte delle DPA e dellEDPB La valutazione dei trasferimenti diventa parte del controllo sui cyber rischi
  • 23. Transfer il tool di legal tech di DLA Piper per automatizzare il TIA
  • 25. The biggest threat to cybersecurity is between your fingers and your keyboard
  • 26. Q&A Time! Giulio Coraggio - Giulia Zappaterra - Cristina Criscuoli Seguiteci su www.dirittoaldigitale.com https://www.linkedin.com/company/dirittoaldigitale Telegram: dirittoaldigitale Gruppo WhatsApp con 250+ esperti privacy https://www.linkedin.com/company/italy-privacy-network Telegram: Italian Privacy Think Tank