際際滷

際際滷Share a Scribd company logo

L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenze di sicurezza in ottica GDPR

Andrea Maggipinto [+1k]
Andrea Maggipinto [+1k]

Estratto della presentazione del seminario tenuto dall'avv. Maggipinto (Studio Legale AMLAW) a SMAU Milano 2017. Keywords: cybersecurity; sicurezza; privacy; gdpr; data breach.

1 of 17
Downloaded 28 times
+ Lindustria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenze di sicurezza in ottica GDPR [ESTRATTO] Avv. Andrea Maggipinto (www.maggipinto.eu) Ing. Igor Serraino (www.serraino.it)
Agenda Scenario (in evoluzione) Data Breach e sicurezza in azienda Tecniche di logging Ransomware
Cyber attacks Fonte: Check Point Mid-Year Report 2017
Live Cyber Attack Threat Map https://threatmap.checkpoint.com/ThreatPortal/livemap.html
Fattore umano Anello debole Serve: Informazione (cultura) Formazione (competenze) Fonte: IBM
The Global Risks Report 2017 (12th ed.) The Report concludes by assessing the risks associated with how technology is reshaping physical infrastructure: greater interdependence among different infrastructure networks is increasing the scope for systemic failures whether from cyberattacks, software glitches, natural disasters or other causes to cascade across networks and affect society in unanticipated ways. Rising 束cyber dependency損
GDPR: cos竪 REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonch辿 alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) In vigore dal: 24 maggio 2016 Piena applicazione dal: 25 maggio 2018 Sistematica: 173 considerando, 99 articoli, XI capi, importanti abrogazioni (dir.95/46/CE) Tips: http://www.garanteprivacy.it/regolamentoue
GDPR: key points 束Diritto alloblio損 (art. 17) 束Diritto alla portabilit dei dati損 (art. 20) 束Accountability損 (Responsabilizzazione: art. 24) 束Privacy by default損 e 束Privacy by design損 (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita: art. 25) 束Registri delle attivit損 (art. 30) 束Data Breach損 (Notifica di violazione dati personali: artt. 33-34) 束DPIA損 e 束Risk-based approach損 (Valutazione dimpatto sulla protezione dei dati: art. 35) 束DPO損 (Designazione del Responsabile della Protezione Dati: art. 37)
束Accountability損 束Tenuto conto della natura, dellambito di applicazione, del contesto e delle finalit del trattamento, nonch辿 dei rischi aventi probabilit e gravit diverse per i diritti e le libert delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento 竪 effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.損 [art. 24, c.1]
束Gestione損 del data breach Nella Direttiva 95/46/EC non vi era alcun obbligo di notifica per i Titolari, ma solo per fornitori di servizio di comunicazione elettronica (dir. 2002/58/EC, reg. 611/2013, art. 32-bis D.Lgs. 196/03, Opinion n. 3/2014 art. 29 WP) Dal 25 Maggio 2018 obbligo generalizzato per tutti GDPR, art. 4, c. 1, n. 12; artt. 33-34; considerando nn. 85, 86, 87. Guidelines on Personal Data Breach notification under Regulation 2016/679, wp250 (art. 29 WP)
Data Breach = Violazione dei dati Art. 4: 束violazione dei dati personali損: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o laccesso ai dati personali trasmessi, conservati o comunque trattati Security Incident event that may indicate that an organization's systems or data have been compromised or that measures put in place to protect them have failed. Personal Data Breach Violazione Know How aziendale e informazioni riservate
Tipologie di Data Breach Confidentiality breach (accesso, divulgazione) Integrity breach (alterazione) Availability breach (perdita, distruzione)
Non 束adeguata sicurezza損 Non rispettare la procedura di notifica di Data Breach pu嘆 essere visto come mancanza di 束adeguata sicurezza損 nel trattamento dei dati Violazione della normativa anche ex art. 32 (non solo ex art. 33). Sanzioni (art. 83, c. 4) La capacit di individuare, affrontare e riportare una violazione in tempi brevi, e comunque adeguati, 竪 un elemento essenziale per la compliance dellazienda e fa parte integrante delle 束misure adeguate損 previste dallart. 32
Alcuni esempi Ransomware. Smartphone o altro dispositivo smarrito. Accesso a db e pubblicazione dei dati on line. Interruzione dei sistemi.
Cosa fare? Tutte le informazioni relative a questioni di sicurezza dovrebbero essere indirizzate verso un referente che abbia il compito di affrontare il problema e verificare i rischi (DPO?) Verificare subito se ci sono rischi per gli interessati, informando le funzioni aziendali rilevanti Assessment, indagini e raccolta di informazioni Agire per contenere e porre rimedio alla violazione Se necessario, procedere con le notifiche allAutorit e agli interessati
Come gestire i 束sinistri損 I Titolari sono incentivati ad adottare un Registro degli incidenti, anche se non rilevanti ai fini della notificazione (art. 33 c. 5). Key points: Cause Descrizione della violazione Dati personali compromessi Effetti e conseguenze della violazione Rimedi e provvedimenti presi, ragioni per queste azioni Ragionamento del Titolare che ha escluso lobbligo di notifica Motivi delleventuale ritardo nella notificazione Adottare una procedura di notifica interna. Sarebbe utile dare prova di aver informato tutti gli incaricati della procedura e dellobbligo di avvisare il titolare del trattamento in caso di incidente.
Grazie dellattenzione.

More Related Content

L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenze di sicurezza in ottica GDPR

  • 1. + Lindustria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenze di sicurezza in ottica GDPR [ESTRATTO] Avv. Andrea Maggipinto (www.maggipinto.eu) Ing. Igor Serraino (www.serraino.it)
  • 2. Agenda Scenario (in evoluzione) Data Breach e sicurezza in azienda Tecniche di logging Ransomware
  • 4. Live Cyber Attack Threat Map https://threatmap.checkpoint.com/ThreatPortal/livemap.html
  • 5. Fattore umano Anello debole Serve: Informazione (cultura) Formazione (competenze) Fonte: IBM
  • 6. The Global Risks Report 2017 (12th ed.) The Report concludes by assessing the risks associated with how technology is reshaping physical infrastructure: greater interdependence among different infrastructure networks is increasing the scope for systemic failures whether from cyberattacks, software glitches, natural disasters or other causes to cascade across networks and affect society in unanticipated ways. Rising 束cyber dependency損
  • 7. GDPR: cos竪 REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonch辿 alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) In vigore dal: 24 maggio 2016 Piena applicazione dal: 25 maggio 2018 Sistematica: 173 considerando, 99 articoli, XI capi, importanti abrogazioni (dir.95/46/CE) Tips: http://www.garanteprivacy.it/regolamentoue
  • 8. GDPR: key points 束Diritto alloblio損 (art. 17) 束Diritto alla portabilit dei dati損 (art. 20) 束Accountability損 (Responsabilizzazione: art. 24) 束Privacy by default損 e 束Privacy by design損 (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita: art. 25) 束Registri delle attivit損 (art. 30) 束Data Breach損 (Notifica di violazione dati personali: artt. 33-34) 束DPIA損 e 束Risk-based approach損 (Valutazione dimpatto sulla protezione dei dati: art. 35) 束DPO損 (Designazione del Responsabile della Protezione Dati: art. 37)
  • 9. 束Accountability損 束Tenuto conto della natura, dellambito di applicazione, del contesto e delle finalit del trattamento, nonch辿 dei rischi aventi probabilit e gravit diverse per i diritti e le libert delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento 竪 effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.損 [art. 24, c.1]
  • 10. 束Gestione損 del data breach Nella Direttiva 95/46/EC non vi era alcun obbligo di notifica per i Titolari, ma solo per fornitori di servizio di comunicazione elettronica (dir. 2002/58/EC, reg. 611/2013, art. 32-bis D.Lgs. 196/03, Opinion n. 3/2014 art. 29 WP) Dal 25 Maggio 2018 obbligo generalizzato per tutti GDPR, art. 4, c. 1, n. 12; artt. 33-34; considerando nn. 85, 86, 87. Guidelines on Personal Data Breach notification under Regulation 2016/679, wp250 (art. 29 WP)
  • 11. Data Breach = Violazione dei dati Art. 4: 束violazione dei dati personali損: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o laccesso ai dati personali trasmessi, conservati o comunque trattati Security Incident event that may indicate that an organization's systems or data have been compromised or that measures put in place to protect them have failed. Personal Data Breach Violazione Know How aziendale e informazioni riservate
  • 12. Tipologie di Data Breach Confidentiality breach (accesso, divulgazione) Integrity breach (alterazione) Availability breach (perdita, distruzione)
  • 13. Non 束adeguata sicurezza損 Non rispettare la procedura di notifica di Data Breach pu嘆 essere visto come mancanza di 束adeguata sicurezza損 nel trattamento dei dati Violazione della normativa anche ex art. 32 (non solo ex art. 33). Sanzioni (art. 83, c. 4) La capacit di individuare, affrontare e riportare una violazione in tempi brevi, e comunque adeguati, 竪 un elemento essenziale per la compliance dellazienda e fa parte integrante delle 束misure adeguate損 previste dallart. 32
  • 14. Alcuni esempi Ransomware. Smartphone o altro dispositivo smarrito. Accesso a db e pubblicazione dei dati on line. Interruzione dei sistemi.
  • 15. Cosa fare? Tutte le informazioni relative a questioni di sicurezza dovrebbero essere indirizzate verso un referente che abbia il compito di affrontare il problema e verificare i rischi (DPO?) Verificare subito se ci sono rischi per gli interessati, informando le funzioni aziendali rilevanti Assessment, indagini e raccolta di informazioni Agire per contenere e porre rimedio alla violazione Se necessario, procedere con le notifiche allAutorit e agli interessati
  • 16. Come gestire i 束sinistri損 I Titolari sono incentivati ad adottare un Registro degli incidenti, anche se non rilevanti ai fini della notificazione (art. 33 c. 5). Key points: Cause Descrizione della violazione Dati personali compromessi Effetti e conseguenze della violazione Rimedi e provvedimenti presi, ragioni per queste azioni Ragionamento del Titolare che ha escluso lobbligo di notifica Motivi delleventuale ritardo nella notificazione Adottare una procedura di notifica interna. Sarebbe utile dare prova di aver informato tutti gli incaricati della procedura e dellobbligo di avvisare il titolare del trattamento in caso di incidente.