Privacy , schede di sintesi : #5 Principio di “responsabilizzazione” dei titolari e responsabili del trattamento

Principio di “responsabilizzazione” dei titolari e responsabili del trattamento: principali elementi

Rapporti contrattuali fra titolare e responsabile del trattamento

Il Regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE e, quindi, al Codice privacy italiano.

Tuttavia, il Regolamento (articolo 28) prevede dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti. Deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’articolo 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti”, quali, in particolare:

la natura, durata e finalità del trattamento o dei trattamenti assegnati
le categorie di dati oggetto di trattamento
le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento

Inoltre, il Regolamento prevede obblighi specifici in capo ai responsabili del trattamento, distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare:

la tenuta del registro dei trattamenti svolti (articolo 30, paragrafo 2);
l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (articolo 32);
la designazione di un RPD-DPO, nei casi previsti dal Regolamento o dal diritto nazionale (articolo 37).

Una novità importante del Regolamento è la possibilità di designare sub-responsabili del trattamento da parte di un responsabile (articolo 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (articolo 82, paragrafo 1 e paragrafo 3).

Registro dei trattamenti

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti – ma solo se non effettuano trattamenti a rischio (articolo 30, paragrafo 5) – devono tenere un registro delle operazioni di trattamento, i cui contenuti sono indicati all’articolo 30.

Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. I contenuti del registro sono fissati nell’articolo 30. Tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Misure di sicurezza

Il titolare del trattamento, come pure il responsabile del trattamento, è obbligato ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato).

Fra tali misure, il Regolamento menziona, in particolare, la pseudonimizzazione e la cifratura dei dati; misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; misure atte a garantire il tempestivo ripristino della disponibilità dei dati; procedure per verificare e valutare regolarmente l’efficacia delle misure di sicurezza adottate.

La lista di cui al paragrafo 1 dell’articolo 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”).

Per questi motivi, non possono sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza poiché tale valutazione è rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da articolo 32 del Regolamento.

Vi è, inoltre, la possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate (articolo 32, paragrafo 3).

Notifica di una violazione dei dati personali

A partire dal 25 maggio 2018, tutti i titolari dovranno notificare al Garante le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (considerando 85). Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta al titolare.

Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell’articolo 34.

I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli articolo 33 e 34 del Regolamento.

Tutti i titolari di trattamento devono in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provmenti adottati (articolo 33, paragrafo 5). È bene, dunque, adottare le misure necessarie a documentare eventuali violazioni, anche perché i titolari sono tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.

Responsabile della protezione dei dati

La designazione di un “responsabile della protezione dati” (RPD) è finalizzata a facilitare l’attuazione della normativa da parte del titolare/responsabile (articolo 39). Non è un caso, infatti, che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’articolo 35, oltre alla funzione di punto di contatto per gli interessati e per il Garante rispetto a ogni questione attinente l’applicazione del Regolamento.

La sua designazione è obbligatoria in alcuni casi (articolo 37), e il Regolamento delinea le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: articoli 38 e 39) in termini che il Gruppo di lavoro “Articolo 29” ha ritenuto opportuno chiarire attraverso alcune linee-guida, disponibili anche sul sito del Garante, e alle quali si rinvia per maggiori delucidazioni unitamente alle relative FAQ (www.garanteprivacy.it/Regolamentoue/rpd).

Fonte
Schede di sintesi redatte dall’Ufficio del Garante per la Protezione dei Dati Personali a mero scopo divulgativo. Per un quadro completo della materia, si rimanda alla legislazione in tema di protezione dei dati personali e ai provvedimenti dell’Autorità

Android 8 e autorizzazioni app: la guida completa

Le varianti di Android al momento in circolazione potrebbero essere migliaia, in quanto ogni casa produttrice di smartphone modifica il sistema on base alle proprie necessità, e a volte queste modifiche non sono sempre positive. In ogni caso, il cuore di Android continua a essere un sistema operativo ben progettato e la sua sicurezza migliora a ogni nuova versione.

A essere precisi, la sicurezza migliora se l’utente fa le cose per bene. Per accedere a una serie di informazioni interessanti nelle zone condivise della memoria o a delle funzionalità che potrebbero non essere sicure, le app di Android hanno bisogno di un permesso esplicito dell’utente. Ed è importante impostare adeguatamente le autorizzazioni che si concedono.

Oggi analizzeremo la versione Android 8. Innanzitutto, la versione 8 prevede maggiori impostazioni rispetto al passato, il che può essere un bene e un male allo stesso tempo. Un bene perché rendono il sistema più sicuro, un male perché configurare queste impostazioni ora è più complicato e si ha bisogno di più tempo. Inoltre, le impostazioni sono organizzate in modo diverso e a volte questa organizzazione non è così intuitiva.

In questa guida di Kaspersky trovate l’elenco delel principali e le relative confiurazioni.

Fonte
Kaspersky Lab – Daily

Privacy : precisazione sul registro dei trattamenti

FAQ sul “Registro dei Trattamenti”

Il Garante Italiano per Protezione di Dati Personali , in una nota del 8 ottobre 2018 ha chiarito alcuni punti fondamentali in merito al “Registro dei trattamenti”.

L’obbligo di redigere il Registro, si legge nella nota, costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.

1 – Cosa è il registro delle attività di trattamento?

Il Regolamento (EU) n. 679/2016 (di seguito “RGPD”) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento.

E’ un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.

Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

2 – Chi e’ tenuto a redigerlo.

Sono tenuti all’obbligo di redazione del registro dei trattamenti :

imprese o organizzazioni con piu’ di 250 dipendenti ;
qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Il Garante fa quindi degli esempi per alcune categorie che sono tenute all’obbligo di redazione del registro anche se sono sotto la soglia dei 250 dipendenti:

esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Il Garante precisa che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).

Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.

3 – Quali informazioni deve contenere?

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare e in quello del responsabile. Il Garante spiega dettagliatamente quale ne deve essere il contenuto:

(a) “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso (in merito, con particolare riferimento al “legittimo interesse”, si rappresenta che il registro potrebbe riportare la descrizione del legittimo interesse concretamente perseguito, le “garanzie adeguate” eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dal titolare. Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2 del RGPD; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento;

(b) “descrizione delle categorie di interessati e delle categorie di dati personali” : andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);

(c) “categorie di destinatari a cui i dati sono stati o saranno comunicati” : andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento– siano trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali;

(d) “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” : andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.);

(e) “termini ultimi previsti per la cancellazione delle diverse categorie di dati” : dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);

(f) “descrizione generale delle misure di sicurezza” : andranno indicate le misure tecnico-organizzative adottate dal titolare tenendo presente che viene lasciata al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico e non più statico come era stato il d. lgs. 196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).

Il Garante propone un template semplificato per le PMI , che potete trovare qui in formato PDF o in formato XLS

4 – Può contenere informazioni ulteriori?

Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

5 – Quali sono le modalità di conservazione e di aggiornamento?

Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Il Registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:

“- scheda creata in data XY”

“- ultimo aggiornamento avvenuto in data XY”

6 – Registro del responsabile

Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare”.

In merito alle modalità di compilazione dello stesso si rappresenta quanto segue:

a) nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni di cui all’art. 30, par. 2 del RGPD dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari. In questi casi il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce; ove, a causa dell’ingente numero di titolari per cui si operi, l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del RGPD;

b) con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) del RGPD) è possibile far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28 del RGPD, deve individuare, in particolare, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati oggetto del trattamento, nonché la durata di quest’ultimo;

c) in caso di sub-responsabile, parimenti, il registro delle attività di trattamento svolte da quest’ultimo potrà specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il responsabile ai sensi dell’art. 28, paragrafi 2 e 4 del RGPD.

Il Garante propone un template semplificato per le PMI , che potete trovare qui in formato PDF o in formato XLS

Fonte
Garante per la Protezione dei Dati Personali

Privacy , schede di sintesi : #4 Un approccio responsabile al trattamento: Accountability

Un approccio responsabile al trattamento: Accountability

Il Regolamento pone l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia, sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (artt. 23-25, in particolare, e l’intero Capo IV del Regolamento). Dunque, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.

Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (articolo 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del Regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto previsto dall’articolo 25, paragrafo 1, del Regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari: ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (artt. 35- 36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi (si segnalano, al riguardo, le linee-guida in materia di valutazione di impatto sulla protezione dei dati del Gruppo “Articolo 29″, qui disponibili: www.garanteprivacy.it/Regolamentoue/DPIA). (Vedi anche: il tutorial del Garante sul concetto di “rischio”)

All’esito di questa valutazione di impatto, il titolare:

potrà decidere se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero, se il rischio risulta ciononostante elevato;
dovrà consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’Autorità avrà quindi il compito di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’articolo 58 del Regolamento (dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento).

In conseguenza dell’applicazione del principio di accountability, dal 25 maggio 2018 non sono più previste

la notifica preventiva dei trattamenti all’autorità di controllo;
una verifica preliminare da parte del Garante per i trattamenti “a rischio” (anche se potranno esservi alcune eccezioni legate a disposizioni nazionali, previste in particolare dall’articolo 36, paragrafo 5 del Regolamento).

Al loro posto, il Regolamento prevede in capo ai titolari l’obbligo (pressoché generalizzato) di tenere un registro dei trattamenti e, appunto, di effettuare valutazioni di impatto in piena autonomia con eventuale successiva consultazione dell’Autorità.

Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve fornire all’interessato alcune informazioni anche per metterlo nelle condizioni di esercitare i propri diritti (articoli 15-22 del Regolamento medesimo)

Una infezione su 10 da dispositivi USB è un cryptominer

I dispositivi USB, noti per diffondere malware tra computer non connessi, sono stati sfruttati dagli autori di cyberattacchi come efficace veicolo di distribuzione di malware di cryptomining. Secondo un recente report di Kaspersky Lab sulle minacce legate a USB e supporti rimovibili, anche se la gamma e il numero di attacchi di questo tipo resta relativamente basso, la quantità di vittime sta aumentando di anno in anno.

Nonostante i dispositivi USB vengano utilizzati da circa vent’anni e si siano guadagnati la reputazione di non essere device sicuri, rimangono comunque strumenti professionali molto diffusi e gadget apprezzati nelle fiere. Tutto ciò ha permesso a questi dispositivi di essere un obiettivo dei cybercriminali che hanno potuto utilizzarli per diffondere una serie di minacce. Come rilevato dalla Kaspersky Security Network (KSN), la top 10 delle minacce che sfruttano i supporti rimovibili è stata guidata, almeno fino al 2015, dal malware LNK di Windows. La lista include, inoltre, l’exploit “Stuxnet vulnerability” del 2010 che comincia ad essere “vecchio”, CVE-2018-2568 e sempre più cryptominer.

Secondo i dati del KSN, un cryptominer noto dal 2014 e rilevato nelle drive-root è il Trojan.Win32.Miner.ays/Trojan.Win64.Miner. Il trojan agisce scaricando l’applicazione di mining sul PC, la installa e, senza farsi rilevare, avvia il software di mining scaricando gli elementi che gli consentono di inviare qualsiasi risultato ad un server esterno controllato dall’autore delle minacce. I dati di Kaspersky Lab mostrano che alcune delle infezioni rilevate nel 2018 risalgono ad anni precedenti e sono state quindi probabilmente la causa di un significativo impatto negativo sulla potenza di calcolo del dispositivo della vittima.

Stanno, inoltre, crescendo di circa un sesto, anno dopo anno, le rilevazioni della versione a 64 bit del miner, con un aumento del 18,42% tra il 2016 e il 2017 e se ne prevede un aumento del 16,42% tra il 2017 e il 2018. Questi risultati suggeriscono come la propagazione tramite supporti rimovibili funzioni bene per questa minaccia.

I mercati emergenti, dove i dispositivi USB sono più utilizzati anche in azienda, sono i più vulnerabili alle infezioni maligne diffuse dai supporti rimovibili. I Paesi più colpiti sono Asia, Africa e Sud America, ma sono stati rilevati casi isolati anche in Paesi dell’Europa e del Nord America.

Nel 2018 alcuni dispositivi USB sono stati utilizzati anche per diffondere Dark Tequila, un complesso malware bancario scoperto il 21 agosto 2018, attivo in Messico dal 2013, che ha colpito utenti e aziende. Inoltre, secondo i dati del KSN, l’8% delle minacce rivolte ai sistemi di controllo industriale, nella prima metà del 2018, sono state diffuse tramite supporti rimovibili.

“I dispositivi USB, rispetto al passato, possono essere meno efficaci nella diffusione dell’infezione a causa della crescente consapevolezza della loro debolezza a livello di sicurezza e della diminuzione del loro utilizzo in ambito aziendale, ma la nostra ricerca mostra che rimangono comunque un rischio significativo che gli utenti non dovrebbero sottovalutare. Questi dispositivi sono certamente utili ai cybercriminali, che infatti continuano a sfruttarli, anche perché alcune infezioni non vengono rilevate addirittura per anni. Fortunatamente ci sono alcuni accorgimenti molto semplici che gli utenti e le aziende possono adottare per preservare la sicurezza” ha dichiarato Morten Lehn, General Manager Italy di Kaspersky Lab.
I dispositivi USB offrono molti vantaggi: sono compatti e maneggevoli e una grande risorsa per una azienda, ma i dispositivi in sé, i dati memorizzati su di essi e i computer a cui vengono collegati sono tutti potenzialmente vulnerabili alle cyberminacce se non protetti.
Kaspersky Lab consiglia di seguire alcuni accorgimenti per utilizzare i dispositivi USB e altri supporti rimovibili in modo sicuro:

Fare attenzione ai dispositivi che si connettono al proprio computer – qual è la loro origine?
Investire in dispositivi USB crittografati di marche affidabili, in questo modo i propri dati sono al sicuro anche se si perde il dispositivo
Assicurarsi che tutti i dati memorizzati sulle USB siano crittografati
Avere installata una soluzione di sicurezza in grado di verificare che sui supporti rimovibili non ci siano malware installati prima di collegarli alla rete; può infatti accadere che anche i dispositivi delle marche affidabili possano essere compromessi attraverso la loro supply chain.

Ulteriori consigli per le imprese:

Regolamentare l’uso dei dispositivi USB in azienda: definire quali dispositivi USB possono essere utilizzati, da chi e per cosa
Istruire i dipendenti sulle modalità sicure per utilizzare le USB, in particolare quando utilizzano un dispositivo sia su un computer di casa che su uno dell’ufficio
Non lasciare USB in giro e in vista

Le soluzioni di sicurezza di Kaspersky Lab, come Kaspersky Endpoint Security for Windows, garantiscono sicurezza e crittografia per tutti i supporti rimovibili, inclusi i dispositivi USB.
Il report completo sulle minacce USB è disponibile su Securelist.

Fonte
Kaspersky – Securelist

Categorie