In caso di data breach, il primo step consiste nell’acquisire e salvaguardare ogni fonte di prova, per l’avvio di un’azione legale al fine di tutelare gli interessi dell’azienda e degli stakeholder
Secondo il nuovo Regolamento Europeo (art. 4, c. 12) per “violazione dei dati personali” – data breach – si deve intendere ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Quando si verifica un data breach, la prima preoccupazione è quella di ripristinare il corretto funzionamento dei sistemi, operazione che normalmente è affidata al reparto IT. Il ripristino delle funzionalità potrebbe comportare la distruzione anche accidentale delle prove della violazione. In caso di data breach, è importante prevedere una fase iniziale che riunisce i principali attori della gestione del data breach (gli esperti informatici forensi, il reparto IT, il team incident response e l’ufficio legale) al fine di valutarne la portata e la complessità, le possibili modalità di ripristino, nonché gli aspetti legali e di comunicazione. Le operazioni di ripristino devono salvaguardare le prove della violazione. Si potrebbe attivare il sito di disaster recovery per dare modo ai team coinvolti di condurre le analisi e indagini sul sito primario.
Se non si dispone di questa soluzione si dovrà necessariamente procedere – prima – alla cristallizzazione e raccolta delle prove – e solo dopo – avviare le procedure di sanitizzazione e ripristino dei sistemi. La forensics del data breach prevede che si individui il perimetro dei sistemi interessati dal breach per poter procedere alla raccolta dei log dei sistemi, alla raccolta dei dati storicizzati del SIEM, all’analisi forense live dei sistemi, fino alla copia forense dei dischi, o delle virtual machine. Il momento in cui si verifica il breach e quello in cui se ne prende coscienza sono ben distinti e spesso lontani nel tempo. Chi accede a un sistema informatico in maniera illecita cercherà di cancellare le proprie tracce. Se è stata implementata una politica di forensics readiness – ovvero una raccolta sistematica e preventiva delle “prove” attraverso per esempio la centralizzazione dei log dei firewall, dei sistemi e degli applicativi – si potrà contare su quei dati storici, tamper proof, per ricostruire il dettaglio dei fatti, i tempi e le modalità con cui l’ospite ha avuto accesso ai sistemi e ai dati. La gestione forense di un data breach consente di raccogliere a livello preventivo (forensics readiness) e con metodi forensi, elementi probatori rispetto alle circostanze in cui è maturato il data breach. Le prove così raccolte saranno di supporto per l’eventuale notifica e documentazione dei fatti al Garante, ma anche per l’avvio di un’azione legale di tutela aziendale.
L’azienda si deve infatti tutelare rispetto a un accesso illecito ai dati personali, magari con l’aggravante dell’accesso abusivo o del danneggiamento, ma deve anche considerare la possibilità, che le analisi forensi possono eventualmente confermare, che l’ospite ha usato i sistemi aziendali come teste di ponte per condurre attacchi. Anche le assicurazioni, che sempre più spesso assicurano il rischio cyber, sono e saranno sempre più interessate a una analisi forense del data breach. Attualmente, a fronte di un data breach, non viene chiesta una perizia informatica, ma con la crescita dei sinistri in questo settore assicurativo, le compagnie, prima di liquidare un danno, chiederanno di produrre prove “certificate”, accettate in giudizio, e magari una relazione di un consulente informatico forense che spieghi il come, il quando, il perché e con quali modalità si è sviluppato il data breach e dia all’assicurazione garanzia di autenticità e veridicità dei fatti. Oggi, la sicurezza e protezione dei dati, personali e non, è fattore irrinunciabile per le aziende, inoltre con il GDPR anche la loro violazione richiede specifiche attenzioni.
Alessandro Fiorenzi membro del comitato scientifico CLUSIT