Rapport INPS à l'Autorité de protection des données pour une violation de données
(par Dr. Giuseppe Gorga) Le 14 mai 2020, l'institut national de sécurité sociale (INPS) a subi plusieurs violations des protocoles de cybersécurité sur ses serveurs. L'incident a été signalé au garant pour la protection des données personnelles comme l'exige l'art. 33 du RGPD qui définit les thèmes et les méthodes de reporting.
Les violations des données personnelles au détriment de l'INPS ont entraîné un accès non autorisé par les utilisateurs au site principal (www.inps.it) avec l'affichage relatif de données personnelles appartenant à des tiers.
Ce "bang" s'est produit, en raison de la forte demande des citoyens italiens, pour la fourniture du bonus pour l'achat de services de baby-sitting (le soi-disant "Baby Sitting Bonus") et pour la demande de services pour soutenir le revenu , liée à la situation d'urgence du COVID19, prévue par le décret législatif 18/2020.
A ce propos, l'institut, afin de garantir des niveaux adéquats d'utilisabilité des services et de protection contre d'éventuelles attaques DDOS, avait décidé d'utiliser un service CDN (Content Delivery Network), jugé "adapté à la gestion de ce modèle de prestation de services.
La société Leonardo est également impliquée et assure le support système en formant une "table technique" entre INPS, Microsoft et ce dernier.
En plus de cela, l'institut utilisera l'offre technologique de Microsoft, en termes de distribution de contenu, basée sur la technologie Akamai. Cependant, toutes ces contre-mesures s'avéreront insuffisantes pour faire face au flux de demandes.
Face au déclenchement de l'urgence, l'INSP a radicalement opté pour une fermeture temporaire de son site Internet. Cette décision était nécessaire pour mener à bien l'optimisation du portail www.inps.it et limiter le trafic en provenance des intermédiaires et des citoyens.
Une autre mesure de protection pour l'Institut, afin de limiter la diffusion des données personnelles, a été de créer une boîte spéciale violazonedatiGDPR@inps.it, pour vous permettre d'envoyer des rapports et des preuves concernant la violation de données.
À partir des différents rapports, nous en sommes venus à comprendre que les données affichées par des tiers concernaient principalement des données personnelles, la résidence et les contacts électroniques, retrouvées par un nombre de sujets ne dépassant pas 819 personnes.
À cet égard, l'INPS a déclaré que << compte tenu du type de données affichées et compte tenu du fait que la possibilité de visualisation a eu lieu de manière complètement aléatoire et limitée dans le temps par des sujets qui semblent n'avoir aucun lien ni intérêt avec en cause, […] estime que la violation n'est pas de nature à représenter un risque élevé pour les droits et libertés des individus ».
Non négligeable, les autres anomalies qui ont émergé de cette analyse même si elles ne sont pas directement connectées au portail de l'institut, comme par exemple l'accès non autorisé aux données personnelles survenu déjà le 31 mars 2020 et les anomalies constatées dans le cadre de la procédure Indemnité COVID-19.
En conclusion, le garant de la vie privée conformément à l'art. 58, par. 2, lett. e) du Règlement, ordonne à l'INPS de communiquer, sans délai, les violations des données personnelles en question à toutes les parties intéressées concernées. En outre, l'INPS est prié de communiquer quelles initiatives ont été entreprises pour résoudre le problème et de fournir un retour d'information correctement documenté conformément à l'art. 157 du Code, dans les 20 jours à compter de la date de réception de la disposition.
Cela doit nous faire réfléchir sur la façon dont nos données sont toujours potentiellement à risque si nous ne mettons pas en évidence tous les problèmes critiques possibles par défaut.