INPS podnosi izvještaj Upravi za zaštitu podataka zbog kršenja podataka
(dr. Giuseppe Gorga) Nacionalni institut za socijalno osiguranje (INPS) pretrpio je 14. maja 2020. nekoliko kršenja protokola kibernetičke sigurnosti na svojim serverima. Incident je prijavljen jemcu radi zaštite ličnih podataka kako to zahtijeva čl. 33 GDPR-a koji utvrđuje teme i metode izvještavanja.
Kršenje ličnih podataka na štetu INPS-a rezultiralo je neovlašćenim pristupom korisnicima glavnoj stranici (www.inps.it) uz relativni prikaz ličnih podataka koji pripadaju trećim stranama.
Ovaj "prasak" dogodio se, zbog velike potražnje talijanskih državljana, za pružanjem bonusa za kupovinu usluga čuvanja djece (tzv. "Baby Sitting Bonus") i za zahtjev za uslugama koje podržavaju prihod , vezano za vanrednu situaciju od COVID19, predviđenu zakonodavnom uredbom 18/2020.
S tim u vezi, institut je, kako bi zajamčio odgovarajući nivo upotrebljivosti usluga i zaštitu od bilo kakvih DDOS napada, odlučio koristiti uslugu CDN (mreža za isporuku sadržaja), koja se smatra "pogodnom za upravljanje ovim model pružanja usluga.
Uključena je i kompanija Leonardo koja pruža sistemsku podršku formiranjem "tehničke tablice" između INPS-a, Microsofta i potonjeg.
Uz to, institut će koristiti Microsoftovu tehnološku ponudu, u smislu distribucije sadržaja, zasnovanu na Akamai tehnologiji. Međutim, pokazaće se da su sve ove kontramjere neadekvatne za rješavanje tokova zahtjeva.
Pred izbijanjem vanredne situacije, INSP se drastično odlučio za privremeno zatvaranje svoje web stranice. Ova odluka bila je neophodna za optimizaciju portala www.inps.it i za ograničavanje prometa koji dolazi od posrednika i građana.
Daljnja mjera zaštite Instituta, kako bi se ograničilo širenje ličnih podataka, bila je stvaranje posebnog okvira violazionedatiGDPR@inps.it, kako bi se omogućilo slanje izvještaja i dokaza u vezi s kršenjem podataka.
Iz različitih izvještaja shvatilo se da se podaci koje prikazuju treće strane uglavnom odnose na lične podatke, prebivalište i telematske kontakte, koje je pronašlo više subjekata koji nisu prelazili 819 ljudi.
S tim u vezi, INPS je izjavio da „uzimajući u obzir vrstu podataka koji se prikazuju i uzimajući u obzir da se mogućnost pregledavanja tokom vremena odvijala na potpuno slučajan i ograničen način od strane subjekata za koje se čini da nemaju veze i interesa s onima uključen, […] vjeruje da kršenje nije takvo da predstavlja visok rizik za prava i slobode pojedinaca “.
Nisu beznačajne, daljnje anomalije koje su proizašle iz ove analize, čak i ako nisu izravno povezane s portalom instituta, kao što su, na primjer, neovlašteni pristup ličnim podacima koji su se dogodili već 31. marta 2020. i anomalije pronađene u kontekstu postupka Odšteta za COVID-19.
U zaključku, Garant privatnosti u skladu sa čl. 58, par. 2, lett. e) Pravilnika, nalaže INPS-u da bez odlaganja saopšti povrede dotičnih ličnih podataka svim zainteresovanim stranama koje su uključene. Nadalje, od INPS-a se traži da saopšti koje su inicijative poduzete kako bi se riješio problem i pruže odgovarajuće dokumentovane povratne informacije u skladu sa čl. 157 Kodeksa, u roku od 20 dana od dana prijema odredbe.
To nas mora natjerati da razmislimo o tome kako su naši podaci uvijek potencijalno ugroženi ako ne istaknemo sve moguće kritičnosti u zadanim postavkama.