Non mischiamo sacro con profano, catalogando il nuovo decreto tra i generici buoni propositi che ognuno si auto-promette a inizio anno.
Bisogna invece guardare al 2023 con ottimismo, perché se il buongiorno si vede dal mattino, il decreto pubblicato dal Garante lo scorso 10 gennaio è un ottimo primo spiraglio di luce privacy.
Il decreto uscito in Gazzetta Ufficiale il 10 gennaio riguarda il Data Breach e il Perimetro Nazionale di Sicurezza Cibernetica (PSNC) e rappresenta un’importante novità in tema di notifica degli incidenti di sicurezza.
Cosa contiene il Decreto sul Data Breach?
Le attuazioni che sono obbligatorie per soggetti pubblici e privati dallo scorso 25 gennaio possono essere catalogate in 3 macro punti:
Nuova tassonomia degli incidenti
La tassonomia è organizzata per 6 categorie di incidenti informatici e fasi di attacco e ad ogni tipologia di incidente sarà conferito un codice identificativo e una categoria corrispondente, con opportuna descrizione:
- Accesso iniziale: situazioni in cui il soggetto rileva accessi non autorizzati all’interno della propria rete, attraverso vettori di infezione o sfruttamento di vulnerabilità;
- Esecuzione: fa riferimento al rilevamento di esecuzione non autorizzata di codice o malware all’interno della rete del soggetto;
- Installazione: include invece l’ottenimento non autorizzato di privilegi di livello superiore, l’uso non autorizzato di tecniche finalizzate ad ottenere la persistenza di codice malevolo o a garantire un accesso, l’utilizzo non autorizzato di tecniche di elusione di politiche e sistemi di sicurezza all’interno di reti e sistemi del soggetto, e la presenza di comunicazioni non autorizzate verso l’esterno;
- Movimenti laterali (Lateral movement): riguarda l’uso di tecniche non autorizzate per attività di esplorazione e ricognizione su sistemi e reti interne, la raccolta non autorizzata di credenziali, e i cosiddetti movimenti laterali, ossia tecniche non autorizzate per accedere, controllare o eseguire codice tra le risorse interne della rete;
- Azioni sugli obiettivi (Actions on objectives): include incidenti relativi alla raccolta non autorizzata di dati e informazioni, all’inibizione delle funzioni di sicurezza, protezione e quality assurance dei sistemi del soggetto, alla compromissione dei processi di controllo fisico di sistemi di controllo industriale e a disservizi intenzionali su sistemi, servizi o dati del soggetto;
- Ricognizione (Reconnaissance): fa riferimento alle tecniche di raccolta di informazioni potenzialmente utili all’attaccante per successive attività malevole.
Estensioni delle notifiche obbligatorie
In questo caso l’intervento va ad aggiornare l’emendamento della scorsa estate chiamato “decreto aiuti bis”.
In sostanza diventa obbligatorio notificare anche gli incidenti che impattano su reti, sistemi e servizi informativi che non sono direttamente conferiti sotto il Perimetro al CSIRT Italia (Computer Security Incident Response Team, organo interno dell’Agenzia per la Cybersicurezza Nazionale).
Tutto questo per facilitare la fase di supporto svolta dall’Agenzia a favore dei soggetti presi di mira dagli hacker.
Modifica delle tempistiche
La notifica dovrà essere effettuata entro 72 ore dal momento in cui il soggetto colpito sia venuto a conoscenza, a seguito delle evidenze ottenute, che l’incidente subìto faccia parte di una delle categorie indicate all’interno della tassonomia.