In questo webinar, gli Avv.ti Giulio Coraggio, Cristina Criscuoli e Giulia Zappaterra dello studio legale DLA Piper hanno discusso di come gestire un attacco ransomware e di quali possono essere le conseguenze di una gestione inadeguata di simili incidenti. Il webinar si è concentrato inoltre sull’importanza di adottare una politica efficace in materia di sicurezza informatica e sulle possibili misure da implementare al fine di prevenire il verificarsi di simili attacchi e mitigarne sensibilmente gli effetti ove dovessero avverarsi.

1. Come gestire un data breach da attacco ransomware
Giulio Coraggio – Giulia Zappaterra – Cristina Criscuoli
Studio Legale DLA Piper

2. “There are only two types of organizations:
those that have been hacked and those that don't know it yet!”
- John Chambers, ex CEO di Cisco

3. Le dimensioni del cyber risk
kaspersky cybermap

4. Alcuni dati statistici
• C’è un attacco cyber ogni cyber da parte di un hacker ogni 39 secondi
• Il 95% dei data breach è dovuto all’errore umano
• Il costo medio di un data breach eccede $ 116 milioni per le società
quotate e il costo totale della cybersecurity è stimato in $ 6 miliardi nel
2021
• Dall’inizio dell’emergenza da Covid-19, c’è stato un aumento del 300%
dei cyber attacchi
• Il 77% delle aziende non hanno un cybersecurity incident response
plan
• La maggior parte delle aziende impiega 6 mesi per identificare un
cyber attacco
https://www.cybintsolutions.com/cyber-security-facts-stats/

5. “It takes 20 years to build a reputation
and few minutes of cyber-incident to ruin it.”
Stephane Nappo, Global CISO di Groupe SEB

7. E’ un data breach che va
notificato e/o comunicato agli interessati?
Non ci sono categorie particolari
di dati personali coinvolti
Esiste un backup
adeguato dei dati
Non c’è stata un’esfiltrazione dei dati e
i dati erano crittografati

8. E’ un data breach che va
notificato e/o comunicato agli interessati?
Non ci sono categorie particolari
di dati personali coinvolti
Non esiste un backup
adeguato dei dati, ma
richiede 5 giorni di
ripristino manuale
Non si può escludere che ci sia stata
un’esfiltrazione dei dati e i dati non erano
criptati
!

9. E’ un data breach che va
notificato e/o comunicato agli interessati?
Ci sono dati sulla salute
relativi ad un ospedale coinvolti
Esiste un backup
adeguato dei dati
Non c’è stata un’esfiltrazione dei dati

10. E’ un data breach che va
notificato e/o comunicato agli interessati?
Non ci sono categorie particolari
di dati personali coinvolti, ma dati finanziari
Non esiste un backup
adeguato dei dati
C’è stata un’esfiltrazione dei dati
!

11. E’ un data breach che va notificato?

12. E’ possibile accedere ai
PC dei dipendenti per indagare sull’accaduto?

13. DLA Piper NOTIFY
per determinare cosa fare
in caso di data breach

14. “The five most efficient cyber defenders are:
Anticipation, Education, Detection, Reaction and Resilience.
Do remember: "Cybersecurity is much more than an IT topic.”
- Stephane Nappo, Global Chief Information Security Officer 2018 Global CISO of the year

15. Come prepararsi e reagire ad
un data breach
1 2 3
Creare la capacità
di reagire ad un
attacco cyber
Reagire all’attacco
Compiere le azioni
successive
all’incidente per
limitare danni

16. Adottare appropriate
misure preventive
1. Struttura organizzativa
2. Periodiche
analisi dei rischi
3. Piano di reazione al cyber
attacco
4. Training periodico e
creazione di consapevolezza
dei rischi
5. Revisione di copertura
assicurativa
6. Identificazione di fornitori
di forensics, comunicazione
e supporto ad azioni
correttive
7. Analisi di impatti sulla
supply chain di attacchi cyber
8. Tracciare obblighi
contrattuali

17. www.bestppt.com
1
7
BEST PRACTICES
Segregazione dei sistemi di elaborazione e
infrastrutture per evitare la
propagazione dei ransomware
Adozione di una procedura di backup di medio
e lungo termine separati dai dati operativi e
protetti in caso di attacco
Formazione dei dipendenti sui
sistemi di riconoscimento e prevenzione
degli attacchi e svolgimento di test di
vulnerabilità
Replica di tutti i log su di un sistema centrale,
adozione di sistemi di crittografia dei dati e
adozione di un Incident Response Plan

18. Rispondere efficacemente
quando l’attacco accade
1. Identificare
tempestivamente l’attacco
2. Contenere e rimediare
all’attacco
3. Garantire la business
continuity
4. Gestire i rapporti con il
senior management, autorità
(e.g. Garante e autorità di
polizia), clienti e fornitori
5. Gestire le comunicazioni
al pubblico
6. Eseguire notifiche richieste
dalla normativa applicabile
7. Collaborare all’analisi della
causa dell’incidente

19. Assicurare l'integrità dei dati
e delle informazioni e più in
generale delle risorse,
vietando modifiche non
autorizzate.
Garantire la continuità
nell’erogazione di risorse e
servizi del sistema
informatico e informativo
(business continuity e
business integrity)
Impedire attacchi rivolti a
violare la confidenzialità dei
dati e delle informazioni,
consentendone la fruizione
soltanto a utenti o sistemi
autorizzati (segregation e
need to know)
Information Security ICT Security ICT Security Governance
Aree di gestione:
Obiettivi:

20. • Requisiti di sicurezza in termini di misure tecniche ed
organizzative che il fornitore dovrà mettere in atto e garantire.
In tal modo il fornitore si impegna ad impiegare tutti i mezzi
idonei affinché si realizzi un risultato conforme alle esigenze
del committente.
• Obblighi del fornitore in caso di incidenti nella supply chain.
• Il fornitore del servizio dovrà garantire un servizio
esattamente rispondente alle esigenze dell’impresa
committente. Dovrà attuare procedure verificabili e garantire
la sicurezza dei servizi e prodotti.
• Il committente dovrà rendere disponibili al fornitore tutte le
istruzioni e le informazioni necessarie all’erogazione di
un servizio adeguato, oltre a fornire i dati e le caratteristiche
relativi alle sue infrastrutture hardware e software o alle
informazioni da proteggere.
• Questi tipi di contratto prevedono abitualmente la possibilità di
eseguire audit periodici per verificare l’assenza di casi di
vulnerabilità livello software/hardware o criticità sui profili
privacy.
I controlli devono estendersi ai fornitori

21. DPIA
Bisogna provare di
aver fatto la cosa giusta

22. www.dlapiper.com 22
Identificare i trasferimenti impattati identificare tutti i trasferimenti di dati
extra-SEE, il paese di destinazione e la base giuridica alternativa per il
trasferimento in base al Capo V del GDPR
Privacy Shield
• Cessare di fare riferimento al Privacy Shield quale meccanismo
per il trasferimento
• Adottare meccanismi alternativi (es. SCCs)
• Considerare la possibilità di archiviare/accedere ai dati
personali all'interno dell'UE
Implementare modifiche della governance
• Aggiornare il registro dei trattamenti, le informative, ecc..
• Adottare meccanismi di trasferimento differenti / misure di
garanzia supplementari
• Prevedere un meccanismo di valutazione dell’adeguatezza nel
ciclo del procurement
SCCs & altri meccanismi per il trasferimento di cui al Capo V
• verificare caso per caso se le leggi applicabili nel paese di
destinazione garantiscono una protezione adeguata
• Seguire i principi dell’ Art 45(2) per l’ assessment
• Tenere conto dei rischi specifici per il trasferimento dei dati
• coordinarsi con i data importer (ad esempio i fornitori di servizi
cloud) per la loro valutazione
• valutare se ulteriori contromisure possono contribuire a mitigare i
rischi
• documentare la decisione finale (procedere/rifiutare)
• Controllare le line guida e le indicazioni da parte delle DPA e dell’EDPB
La valutazione dei trasferimenti diventa parte del controllo sui cyber
rischi

23. Transfer
il tool di legal tech di DLA Piper per automatizzare il TIA

25. The biggest threat to cybersecurity is
“between your fingers and your keyboard”

26. Q&A Time!
Giulio Coraggio - Giulia Zappaterra - Cristina Criscuoli
Seguiteci su
www.dirittoaldigitale.com
https://www.linkedin.com/company/dirittoaldigitale
Telegram: dirittoaldigitale
Gruppo WhatsApp con 250+ esperti privacy
https://www.linkedin.com/company/italy-privacy-network
Telegram: Italian Privacy Think Tank