Raportul INPS către Autoritatea pentru Protecția Datelor pentru o încălcare a datelor
(de Dr. Giuseppe Gorga) La 14 mai 2020, institutul național de securitate socială (INPS) a suferit mai multe încălcări ale protocoalelor de securitate cibernetică pe serverele sale. Incidentul a fost raportat Garantului pentru protecția datelor cu caracter personal, astfel cum se prevede la art. 33 din GDPR, care stabilește subiectele și metodele de raportare.
Încălcările datelor cu caracter personal în detrimentul INPS au dus la accesul neautorizat al utilizatorilor la site-ul principal (www.inps.it) cu afișarea relativă a datelor cu caracter personal aparținând unor terți.
Acest „bang” s-a produs, datorită cererii mari a cetățenilor italieni, pentru furnizarea bonusului pentru achiziționarea de servicii de baby-sitting (așa-numitul „Baby Sitting Bonus”) și pentru cererea de servicii pentru susținerea veniturilor, legat de situația de urgență din COVID19, prevăzută de decretul legislativ 18/2020.
În acest sens, institutul, pentru a asigura niveluri adecvate de utilizare a serviciilor și protecție împotriva oricărui atac DDOS, a decis să utilizeze un serviciu CDN (Content Delivery Network), considerat „potrivit pentru gestionarea acestui model de furnizare a serviciilor .
Compania Leonardo este, de asemenea, implicată și oferă suport de sistem prin formarea unui „tabel tehnic” între INPS, Microsoft și acesta din urmă.
În plus, institutul va folosi oferta tehnologică Microsoft, în ceea ce privește distribuția conținutului, bazată pe tehnologia Akamai. Cu toate acestea, toate aceste contramăsuri se vor dovedi inadecvate pentru a face față fluxului de cereri.
În fața izbucnirii urgenței, INSP a optat drastic pentru închiderea temporară a site-ului său web. Această decizie a fost necesară pentru a optimiza portalul www.inps.it și pentru a limita traficul provenit de la intermediari și cetățeni.
O altă măsură de protecție pentru Institut, pentru a limita difuzarea datelor cu caracter personal, a fost crearea unei casete speciale violazionedatiGDPR@inps.it, pentru a vă permite să trimiteți rapoarte și dovezi cu privire la încălcarea datelor.
Din diferitele rapoarte, s-a înțeles că datele afișate de terți priveau în principal datele personale, reședința și contactele telematice, găsite de un număr de subiecți care nu depășeau 819 persoane.
În acest sens, INPS a declarat că „ținând cont de tipul de date afișate și având în vedere că posibilitatea vizualizării a avut loc într-un timp complet aleatoriu și limitat de către subiecții care par să nu aibă nicio legătură și interes cu cei implicați, [...] consideră că încălcarea nu este de natură să reprezinte un risc ridicat pentru drepturile și libertățile persoanelor ”.
Nu sunt nesemnificative, alte anomalii care au rezultat din această analiză, chiar dacă nu sunt direct conectate la portalul institutului, cum ar fi, de exemplu, accesul neautorizat la datele personale care a avut loc deja la 31 martie 2020 și anomalii găsite în context a procedurii indemnizație COVID-19.
În concluzie, garantul confidențialității în temeiul art. 58, alin. 2, lit. e) din Regulamente, dispune INPS să comunice, fără întârziere, încălcările datelor cu caracter personal în cauză tuturor părților interesate implicate. Mai mult, INPS este rugat să comunice ce inițiative au fost întreprinse pentru a rezolva problema și pentru a oferi feedback documentat în mod adecvat în conformitate cu art. 157 din Cod, în termen de 20 de zile de la data primirii dispoziției.
Aceasta trebuie să ne facă să reflectăm asupra modului în care datele noastre sunt întotdeauna potențial expuse riscului, dacă nu evidențiem toate criticile posibile în mod implicit.