Data breach 2019-10-31T15:23:16+01:00

Prima stesura: 01 ottobre 2018 – Ultimo aggiornamento: 15 ottobre 2019

WeFor S.r.l. – POLITICA DI CONTRASTO ALLE VIOLAZIONE DI DATI (DATA BREACH) A SEGUITO DI ATTACCHI E/O INCIDENTI

Sezione dedicata al contrasto degli attacchi, anche e soprattutto informatici, che hanno compromesso o possono compromettere dati personali di dipendenti, clienti, fornitori ed ogni altro soggetto dei quali la Scrivente società abbia raccolto o stia raccogliendo e trattando i dati.

Premessa:

WeFor S.r.l. ha implementato questa sezione specifica del proprio sito internet al fine di fornire tempestivamente, in caso di “data breach” ogni informazione necessaria ed utile per garantire ai propri Clienti, ai propri Dipendenti, ai propri Fornitori e ad ogni altro soggetto, la massima attenzione alla protezione dei dati personali, nel rispetto delle disposizioni vigenti in materia. Le fonti del diritto applicabili sono: 1) il Regolamento Generale sulla Protezione dei Dati Personali (GDPR (UE) 2016/679) pienamente efficace a far data dal 25 maggio 2019 nei 28 paesi della Comunità Europea e 2) il D. Lgs. 196/2003 come novellato dal D. Lgs. 101/2018 in vigore dal 19 settembre 2018; 3) nel caso di legislazioni Extra-UE quelle disposizioni di legge che a seguito di trattati e/o di specifici accordi internazionali e/o patti bilaterali infra-nazionali siano applicabili.

Estratto dei Principi e delle Norme essenziali del GDPR in materia di Data Breach:

– Art. 4: definisce la violazione dei dati personali (data breach) come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

– Art. 33: prevede l’obbligo di notificare alle autorità di controllo la violazione dei dati, tranne che nel caso in cui “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche” (es. perdita di una chiavetta usb con dati cifrati). La notifica deve avvenire “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza” il titolare. Qualora la notifica non avvenga nelle 72 ore, il titolare dovrà indicare i motivi del ritardo. La norma prevede anche la possibilità di allegare ulteriori informazioni in un momento successivo, per cui è preferibile comunque effettuare la notifica nelle 72 ore, anche se è incompleta. La comunicazione della violazione dei dati agli interessati non è sempre prevista, poiché potrebbe creare un allarme generalizzato e portare ad un danno reputazionale significativo, in molti casi, spropositato. Per questo si prevede l’obbligo di comunicare la violazione solo se è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Cosa facciamo quando sospettiamo che sia avvenuta una violazione dei dati od un attacco hacker?

Ogni persona che lavora all’interno della nostra organizzazione ha ricevuto formazione specifica e/o informazioni costanti nel tempo dal DPO, dal dipartimento IT (EDP STAFF – Editing Data Processing) in materia di minacce informatiche, procedure da attivare in caso di attacco hacker, o di gestione delle email sospette contenenti virus.

Sì è formalizzato nel regolamento aziendale interno e negli specifici ordini di servizio che quando ci si accorge che è accaduto o che sta accadendo qualcosa che facci sospettare una potenziale violazione dei dati, o dell’account di posta, o un attacco informatico è necessario: comunicare immediatamente l’accaduto o quanto sta accadendo al proprio referente e/o responsabile.

Per agevolare tale circolazione di informazioni cruciali è stata creata quella che chiamiamo “Task-Force-GDPR” (TAF-GDPR) al fine di comunicare eventuali eventi “non ordinari” che possono far sospettare di essere sotto attacco. La “TAF-GDPR” utilizza un sistema di messaggistica criptato. I membri della TAF-GDPR sono: il Data Protection Officer (DPO) dell’azienda che riferisce tempestivamente al CEO, il Referente Privacy (Head of Privacy) che assiste il DPO nelle attività operative in azienda, gli ingegneri del Dipartimento IT, e alcuni Responsabili dei dipartimenti e/o delle aree più critiche (Risorse Umane, Marketing, Referente Internal Audit, responsabile call center, referenti CoffeecApp, l’App mobile dedicata ai clienti privati acquistano caffè, bevande ed altri prodotti dai distributori automatici).

Immediatamente la TAF-GDPR esegue, in tempo reale, una verifica sull’effettività della violazione e/o dell’attacco. In questo modo, attraverso la condivisione delle informazioni, è possibile ridurre a pochi minuti la effettiva consapevolezza di essere stati attaccati e quindi di aver subito una violazione e/o di star subendo un attacco. Importante capire subito la pericolosità dell’attacco vero o presunto. Dopo questa prima verifica è anche possibile individuare “falsi allarmi”: meglio individuare più falsi allarmi che non individuare un attacco vero per poca attenzione o paranoia. Nei corsi di formazione interni all’azienda mettiamo in evidenza sempre che la prima regola in sicurezza informatica è non sottovalutare segnali che possono far supporre essere in corso un attacco, la c.d. “paranoia”, ovvero un livello di attenzione inconscio maggiore di quello di chi, imprudentemente, pensa che non vi siano minacce a cui prestare l’attenzione specifica.

Cosa facciamo quando veniamo a conoscenza di un attacco?

Non appena la TAF-GDPR verifica che quello in corso è un attacco concreto, potenzialmente grave, potenzialmente pericoloso per i nostri Dipendenti, Clienti, Fornitori, per gli utenti delle nostre applicazioni e dei nostri servizi, non perdiamo tempo, azioniamo e monitoriamo le misure difensive che abbiamo a disposizione, lavorando se serve giorno e notte per impedire all’attacco di produrre danni, ed in particolare per cercare di evitare che i dati personali escano dal perimetro dei nostri locali e/o da quello dei nostri server.

Best Case

Nel migliore dei casi, interveniamo sulla falla di sicurezza, arginiamo il problema, ripristiniamo i dati come prima dell’attacco e se non rientriamo nei casi in cui sia obbligatoria la NOTIFICA all’Autorità Garante Privacy o la segnalazione puntuale ad ogni singola persona fisica i cui dati sono stati oggetto dell’attacco ci attiviamo per chiudere il Data Breach annotando quanto accaduto nel Registro delle violazioni (Registro dei Breach) conservato presso la sede di WeFor e/o della società del Gruppo che ha subito l’attacco. Ogni mese ed ogni trimestre viene fatta internamente una riunione di analisi per verificare il numero di Data Breach subiti nel periodo al fine di attestare la congruità dei sistemi di difesa dell’azienda rispetto agli attacchi ai Dati.

Worst Case

Nel caso peggiore, ovvero nel caso di un attacco che produca effetti potenzialmente gravi, ci muoviamo, nel rispetto delle normative vigenti, procedendo alla Notifica del Data Breach all’Autorità Garante Privacy e, nel caso di “violazione dei dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche”, attiviamo una procedura per comunicare a tutti gli interessati, i cui dati sono oggetto dell’attacco, quanto è accaduto, aggiornandoli costantemente sulle azioni di contrasto messe in campo.

Misure di sicurezza e formazione

La Scrivente adotta misure di sicurezza fisiche, logiche e procedurali, inclusa una costante attività di formazione ed informazione dei dipendenti al fine di costruire una sempre maggiore sensibilità sulle minacce alla sicurezza dei dati, a tutti i livelli aziendali. Il modello formativo è basato su un sistema di formazione modulare che prevede un corso base per i dipendenti che trattano dati nella loro attività quotidiana e di corsi specifici per i Responsabili del Trattamento designati e per i Sub-Responsabili designati. Inoltre per il dipartimento IT che gestisce l’infrastruttura HD e SW della Scrivente vengono fatti periodicamente corsi specifici di formazione con esperti di sicurezza informatica.

Ulteriori informazioni e Contatti

Per qualsiasi informazione è possibile inviare una email all’indirizzo privacy@wefor.ch

I nostri colleghi della Task Force GDPR-Privacy saranno prontamente allertati della segnalazione e vi risponderanno nel minor tempo possibile, anche tenuto conto dei tempi imposti dalla normativa applicabile, ricavata dal Regolamento Comunitario GDPR 2016/679.

Lista dei Data Breach:

DATA BREACH: periodo 25/05/2018 – [data dinamica, ogni giorno cambia prendendo quella del giorno in cui ci si collega, ovviamente fino al primo data breach] = Nessun data breach da segnalare

  1. di come vengono esposti e dichiarati i Data Breach all’interno del Gruppo/della società:

Codice interno codifica data breach: DBREACH-2017-luglio-10/11-HACK-1

Tipologia: Hacking (in altri casi sarà Phishing/Cryptolocker etc.)

Dati Coinvolti: indirizzi e-mail di un gruppo di utenti Ufficio Spedizioni;

Azione Difensiva: intervento dell’Ufficio EDP per bloccare l’attacco;

Esito: Data Breach chiuso senza danni, email utenti riconfigurate correttamente.

– DBREACH-2017-luglio-10/11-HACK-1

Cosa è successo

Recentemente abbiamo identificato un tentativo di accesso non autorizzato ad alcuni database. In seguito a questa scoperta abbiamo immediatamente avviato indagini congiuntamente con la società esterna che si occupa dei nostri sistemi informatici, esperti nel campo della sicurezza, ed abbiamo avviato verifiche per capire se vi siano stati concretamente trattamenti illeciti di nostri dati.

I risultati di tali verifiche hanno indicato che una persona non autorizzata è riuscita ad accedere ad un nostro database interno di utenti ed ha ragionevolmente estratto una o più copie di tale database gruppo utenti Ufficio Spedizioni tra il giorno 10 luglio 2017 ed il giorno 11 luglio 2017.

Quali informazioni sono rimaste coinvolte

Cosa potete fare?

È possibile continuare a usare i nostri sistemi ed i nostri servizi, senza necessità di ulteriori azioni. La prossima volta che vi connetterete al vostro profilo in app, noterete che la password deve essere aggiornata. Ci saranno indicazioni sulla nostra pagina di supporto che spiegano come creare una nuova password. Inoltre, se utilizzate lo stesso nome utente e/o le stesse password creati per il profilo utente che avete utilizzato con la Scrivente, anche per altri servizi online, vi consigliamo di modificare anche quelle password.

===

DOMANDE FREQUENTI

Quali informazioni che mi riguardano sono rimaste coinvolte nell’incidente?

Non tutte le informazioni degli account degli utenti sono rimaste coinvolte nell’incidente. Stiamo individuando tutti gli account coinvolti e come misura precauzionale, abbiamo resettato tutte le password utenti e sostituito o annullato tutti gli eventuali token digitali presenti nei servizi.

Quali informazioni possono essere state coinvolte in questo incidente?

I seguenti tipi di informazioni erano contenuti nei database coinvolti:

  • Cognome, Nome;
  • Indirizzo email;
  • Password crittate e con salt unico; e
  • Per alcuni utenti gli indirizzi email ed i token digitali che collegano gli account di terzi all’account dell’utente della Scrivente, oltre che in certi casi il luogo di nascita, il comune di nascita, la nazione di nascita.

La maggior parte delle password sono state crittate con hash tramite l’utility bcrypt.

Per gli utenti che non hanno eseguito l’accesso ai loro account dal 05 settembre 2019, le password erano protette con SHA-1 e con salt unici.

Sottolineiamo che non raccogliamo dati dagli utenti, e questo incidente non ha coinvolto dati particolari (né sensibili), né carte di pagamento o conti bancari o altre informazioni finanziarie.

Che misure avete preso per evitare che questi incidenti si ripetano?

Per prevenire che incidenti simili possano verificarsi in futuro, abbiamo implementato migliori misure di sicurezza e continuiamo a ricercare nuovi modi per rinforzare la sicurezza dei nostri sistemi. Per ragioni di sicurezza, non possiamo divulgare dettagli specifici.

Cosa è una password crittata con hash?

Quando una password è crittata tramite hashing, viene trasformata tramite algoritmi di crittografia in una riga di caratteri all’apparenza casuale. Questa è una funzione monodirezionale che non può essere decrittata con una chiave specifica. Il beneficio dell’hashing delle password offre il vantaggio di non dover mai salvare le password in formato di testo. Inoltre, usare un salt unico per ogni password usata in combinazione con gli algoritmi di hashing, rende molto difficile e richiede significative risorse informatiche per craccare queste password.

Cosa è “bcrypt”?

Bcrypt è una funzione di hashing adattiva delle password che usa un algoritmo crittografico con cifratura e altre caratteristiche di sicurezza, compresi turni multipli di calcolo, per fornire protezione avanzata contro la decifrazione delle password.

Cosa è la aggiunta di dati salt ad una password?

La aggiunta di salt a una password fornisce un livello di sicurezza addizionale, specificamente contro attacchi di forza bruta. I dati salt usati dalla Scrivente sono unici per ciascun utente.

Quando vi siete resi conto dell’incidente?

Il [DATA-EVENTO-DATABREACH], il nostro team di ingegneri informatici ha identificato l’attività non autorizzata verificatasi nel periodo XX MESE 2019 ed il periodo XX MESE 2019. In quel momento stavamo indagando su attività sospette che si erano verificate nei giorni xx mese 2019 e xx mese 2019.

Come avete appreso dell’incidente?

Il nostro team di ingegneri informatici ha appreso dell’incidente dopo aver identificato attività sospette nell’ambiente ove risiedono i database.

Sono stati coinvolti tutti gli account degli utenti?

No. Non tutti gli account degli utenti sono stati coinvolti nell’incidente. Comunque, come precauzione, abbiamo resettato tutte le password degli utenti. Se avete un account, dovreste aver già ricevuto nostra comunicazione via email all’indirizzo di posta elettronica associato con l’account: l’oggetto dell’email era “Comunicazione di sicurezza [RAGIONE-SOCIALE-BRAND es. CoffeecApp]”.

Quanti account sono stati coinvolti?

Stiamo ancora lavorando per verificare il numero totale. Sappiamo che non sono stati compromessi tutti gli account.

Avete comunicato l’incidente alle forze dell’ordine?

Sì, abbiamo informato le autorità di pubblica sicurezza competenti su casi come questo.

Se i miei dati sono rimasti coinvolti, quali rischi corro? Corro il rischio che venga rubata la mia identità?

La Scrivente non raccoglie dagli utenti, e questo incidente non ha coinvolto, informazioni personali e/o particolari (né dati sensibili) o carte di pagamento, numeri di conto bancari o altre informazioni finanziarie.

Come precauzione, raccomandiamo di cambiare tutte le password usate per altri account se sono le stesse o simili alle password che avete usato per i servizi della Scrivente. Sarebbe buona abitudine cambiare regolarmente tutte le password e non usare le stesse password o password simili per diversi account online. Inoltre è importante utilizzare password “forti”. Per password forti si intende una password che abbia le seguenti caratteristiche: 1) almeno una lettera maiuscola; 2) almeno un carattere speciale; 3) almeno un numero; 4) essere di almeno 8 caratteri.

È sicuro continuare a usare il mio account?

Si. Abbiamo resettato tutte le password e cancellato tutti i token digitali associati con gli account utente in modo da poter continuare a usare i nostri servizi in modo sicuro.

Quando vorrete accedere al vostro account, noterete che la password dell’account non è più valida. Se usate un indirizzo di posta elettronica per accedere all’account, vi abbiamo inviato una email con le istruzioni per creare una nuova password.

Come eseguo il reset della mia password?

Se siete collegati al web, potete ripristinare password a [RESET-PASSWORD] Preghiamo di notare che per ripristinare la password, bisogna aver accesso all’indirizzo di posta elettronica associato con l’account.

Se siete collegati a un dispositivo mobile, vi preghiamo di seguire i passaggi indicati direttamente in app o nella pagina specifica a cui la App od il servizio rimanda.

Assicuratevi di completare tempestivamente il ripristino della password dato che il link scade dopo poco tempo (2 ore). Se il link per il ripristino della password non funziona più, dovete richiedere una email di ripristino della password. Raccomandiamo di aggiornare la password regolarmente per garantire la sicurezza dell’account.

Se avete bisogno di ulteriore aiuto vi preghiamo di selezionare la sezione contatti nel profilo o di inviare un email a questo indirizzo: [mailATnomedominio.ext]

Devo anche resettare le password per i miei altri account?

La password che utilizzavi per accedere ai nostri servizi era protetta attraverso un sistema crittografato. Per eccesso di cautela, vi raccomandiamo di cambiare la vostra password per tutti i siti o account in cui avete usato le stesse informazioni per eseguire l’accesso. È una best practice usare password differenti per ciascun servizio, e se possibili usare password forti; per password forti si intende una password che abbia le seguenti caratteristiche: 1) almeno una lettera maiuscola; 2) almeno un carattere speciale; 3) almeno un numero; 4) essere di almeno 8 caratteri.

Come posso esser sicuro che la comunicazione via posta elettronica ricevuta proviene da WeFor S.r.l.?

Vogliamo che siate sicuri che la comunicazione ricevuta via posta elettronica provenga dai nostri sistemi. Questa email deve provenire dall’indirizzo [indirizzoemailreset-password]. Vogliamo anche che sappiate che quando altre società hanno eseguito comunicazioni come queste, alcune persone le hanno usate per indurre in modo tendenzioso altri a fornire informazioni personali tramite l’uso di collegamenti ipertestuali a siti web fasulli (tecnica del phishing) o impersonando altri di cui avevano fiducia (sistemi di social engineering). Preghiamo di notare che le email ricevute da noi non contengono allegati o richieste di informazioni.