Caso INPS: ecco tutto ciò che "non va fatto" nella gestione di un data breach – Anorc, Associazione Nazionale Operatori e Responsabili della Custodia di contenuti digitali

Al centro del dibattito di questi giorni il “crollo” del sito INPS che, lo scorso 1° aprile, non ha retto le troppe connessioni contemporanee nella procedura di richiesta delle famose “indennità” per i lavoratori autonomi, introdotte per far fronte all’emergenza sanitaria. Come diversi e autorevoli, esperti del settore hanno avuto modo di evidenziare, la cosa più grave non è stata tuttavia l’interruzione di operatività del sito, ma l’accesso non autorizzato a dati personali di altri interessati: molti utenti, collegandosi, si ritrovavano a visualizzare informazioni riferibili ad altri cittadini.

Vi proponiamo, a riguardo, l’intervista rilasciata dal dott. Pierangelo Felici, incentrata sugli adempimenti che l’Inps avrebbe dovuto compiere, conformemente a quanto stabilito dalla normativa in materia.
Il dott. Felici è consulente di direzione sia per enti pubblici che per aziende private, occupandosi di coordinamento di progetti di innovazione, Privacy e Data Protection, nuove tecnologie, ICT e organizzazione e della conseguente formazione del personale ed è un nuovo componente dell’Elenco dei Professionisti della digitalizzazione e dei Professionisti della privacy di ANORC Professioni.

A: Dott. Felici, il Presidente dell’Inps ha attribuito la responsabilità dei fatti a un presunto attacco hacker. Come giudica questa spiegazione?

P: Al di là dei seri dubbi che è logico nutrire riguardo questa spiegazione (illustrati benissimo da Daniele Minotti in questo articolo), credo che il comportamento dell’INPS in questa vicenda possa essere comunque riassunto semplicemente come: “Tutto ciò che NON va fatto, nella gestione di un data breach” prima, durante e dopo l’evento.

A: Ci spieghi meglio, cosa avrebbe dovuto fare l’INPS per evitare, o quantomeno limitare, i danni?

P: In primo luogo, come sappiamo, i casi di data breach vanno – per quanto possibile – prevenuti, ed i relativi rischi ridotti. L’obbligo, per il Titolare, di adottare misure di sicurezza adeguate, deriva dal GDPR (Regolamento UE 679/2016), che all’art. 5, par. 1, lett. f), stabilisce che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Non entrerò, in questa sede, nell’ambito delle misure tecniche (anche se, secondo il pensiero predominante tra gli esperti di cyber security, quanto accaduto è stato probabilmente causato da un errore di configurazione del sistema di cache, attivato per far fronte all’elevato traffico), ma faccio invece una banale osservazione di tipo organizzativo e comunicativo: se devo approntare un sistema che so essere a rischio, dovrei fare quel che posso per limitare la corsa all’utilizzo, in modo da non portare al limite il sistema stesso. Non è stata una bella idea, quindi, pubblicare sul sito INPS, nei giorni precedenti l’evento, un avviso in cui si diceva che l’indennità sarebbe stata concessa “in base all’ordine cronologico di presentazione delle domande” e “nel limite di spesa complessivo di 203,4 milioni di euro”, con ciò scatenando la corsa al click, inutile e controproducente.

A: Come lei ben sa, il rischio è un fatto ineliminabile e, nonostante gli adempimenti necessari per ridurlo, non si esclude in assoluto la possibilità di subire un attacco informatico. Quali sono state le mancanze dell’Inps nella gestione di questa eventuale violazione?

P: Lo sappiamo, il sistema sicuro al 100% non esiste. E quindi può capitare che, nonostante quanto abbiamo predisposto per ridurne il rischio, ci troviamo improvvisamente un data breach in corso. Cosa fare, dunque, come prima cosa? Non è difficile comprendere che la priorità, se ho una violazione di dati personali in essere, debba essere solo una: interrompere la violazione, fermare il data breach.

E qui emerge il secondo grave errore di INPS: quando già nei social si discuteva, postando segnalazioni e schermate, di quanto stava avvenendo, il sito continuava ad essere accessibile e a permettere ad altri di partecipare inconsapevolmente alla violazione. Il sito è stato finalmente messo offline solo diverse ore dopo, con un colpevole e ingiustificabile ritardo.

A: Cosa è logico fare, quindi, una volta “messo in sicurezza” il sistema?

P: L’art. 33 GDPR prescrive che in caso di violazione dei dati personali, il titolare del trattamento sia tenuto a notificare la violazione stessa all’Autorità Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. In primis, è necessario investigare e comprendere cosa sia davvero successo. Sia a livello di modalità, sia a livello di conseguenze per gli interessati. Perché sono queste le informazioni che dovrò notificare al Garante, e che soprattutto mi permetteranno di attivare eventuali contromisure di mitigazione del rischio. Cosa ha fatto invece INPS, tramite il suo Presidente? Si è affrettato semplicemente a dichiarare che la colpa è “degli attacchi hacker”, con il rischio di una dichiarazione falsa, oltretutto.

A: Si chiede alle vittime di fornire prova di quanto subìto, ma il GDPR non stabilisce esattamente questo…

P: Il GDPR prescrive che se dal data breach deriva un rischio elevato per i diritti e le identità degli interessati, il Titolare è tenuto, oltre alla notifica all’Autorità, a comunicare quanto accaduto agli interessati i cui dati siano stati oggetto di violazione. Cosa ha fatto invece INPS? Due giorni dopo (il 03 aprile 2020) ha pubblicato un avviso sul sito in cui si invitano “i soggetti i cui dati siano stati interessati dalla violazione” a segnalarlo “allegando eventuali evidenze documentali”. Cioè si chiede alle vittime di rendersi conto autonomamente di aver potenzialmente subito una situazione pregiudizievole, e di fornirne anche prova.

Ho l’impressione pertanto che questo evento, nel prima, nel durante e nel dopo, diventerà l’emblema di quanto un corretto sistema di protezione dei dati personali non può e non deve fare. E tutti – negli enti e nelle aziende – dovrebbero rendersi conto che la protezione dei dati non è un adempimento inutile e fastidioso, ma un modo di processare correttamente ciò che ha e avrà sempre più valore: le informazioni.

Sosteniamo la Croce Rossa Italiana

ANORC Mercato, ANORC Professioni e il Team di Digital&Law Department vi invitano a “fare comunità” e sostenere la Croce Rossa Italiana: condividiamo, tutti, gli hashtag #attentialletruffe e #donacontroilvirus, indicando nei post il link ufficiale della Croce Rossa Italiana dove poter effettuare una donazione in favore di chi sta combattendo per noi, ogni giorno, una battaglia contro il tempo.

Foto di Andrea Piacquadio da Pexels

Cookie	Durata	Descrizione
ApplicationGatewayAffinity	session	This cookie is set by the Laravel Framework. This cookie is used for managing browsing sessions. It enables keeping the web browser traffic assigned to single server.
ARRAffinity	session	ARRAffinity cookie is set by Azure app service, and allows the service to choose the right instance established by a user to deliver subsequent requests made by that user.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
ApplicationGatewayAffinityCORS	session	No description available.
ARRAffinitySameSite	session	No description available.
BIGipServerfront_contenuti_statici	session	No description
captcha-cookie	1 day	No description
cookielawinfo-checkbox-pubblicita-e-marketing	1 year	No description

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92775180_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months 8 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Caso INPS: ecco tutto ciò che “non va fatto” nella gestione di un data breach

Sosteniamo la Croce Rossa Italiana

Cerchi altre informazioni?

Sei nel posto giusto!

+39 0832 256065

Segreteria

Direzione

PEC

Ufficio Comunicazione

Ufficio Stampa

Le nostre sedi

Lecce

Sede principale

Milano

Sede secondaria

Roma

Sede secondaria

Biella

Sede secondaria

Newsletter "La Voce digital(e)"