Сообщение INPS в орган по защите данных о взломе данных
(Доктор Джузеппе Горга) 14 мая 2020 года Национальный институт социального обеспечения (INPS) потерпел несколько нарушений протоколов кибербезопасности на своих серверах. Об инциденте было сообщено Гаранту по защите персональных данных в соответствии со ст. 33 GDPR, который определяет темы и методы отчетности.
Нарушения персональных данных в ущерб INPS привели к несанкционированному доступу пользователей к основному сайту (www.inps.it) с относительным отображением персональных данных, принадлежащих третьим лицам.
Этот «взрыв» произошел из-за большого спроса со стороны итальянских граждан на предоставление бонуса за покупку услуг по присмотру за детьми (так называемый «Бонус за присмотр за детьми») и за запрос услуг для поддержки дохода. , связанных с чрезвычайной ситуацией от COVID19, предусмотренной законодательным указом 18/2020.
В связи с этим институт, чтобы гарантировать адекватный уровень удобства использования сервисов и защиты от любых DDOS-атак, решил использовать сервис CDN (Content Delivery Network), который считается «подходящим для управления этим. модель предоставления услуг.
Компания Leonardo также участвует и обеспечивает поддержку системы, формируя «техническую таблицу» между INPS, Microsoft и последней.
В дополнение к этому институт будет использовать технологические предложения Microsoft с точки зрения распространения контента на основе технологии Akamai. Однако все эти контрмеры окажутся неадекватными для обработки потока запросов.
Перед лицом вспышки чрезвычайной ситуации INSP решительно остановился на временном закрытии своего веб-сайта. Это решение было необходимо для оптимизации портала www.inps.it и ограничения трафика, исходящего от посредников и граждан.
Еще одной мерой защиты Института с целью ограничения распространения личных данных было создание специального ящика violazionedatiGDPR@inps.it, позволяющего отправлять отчеты и доказательства относительно нарушения данных.
Из различных отчетов следует, что данные, отображаемые третьими сторонами, в основном касались личных данных, места жительства и телематических контактов, обнаруженных рядом субъектов, не превышающих 819 человек.
В связи с этим INPS заявила, что «с учетом типа отображаемых данных и с учетом того, что возможность просмотра имела место совершенно случайным и ограниченным образом с течением времени субъектами, которые, похоже, не имеют с ними связи и интереса. […] считает, что нарушение не представляет высокого риска для прав и свобод человека ».
Немаловажно, что дальнейшие аномалии, которые возникли в результате этого анализа, даже если они не были напрямую связаны с порталом института, такие как, например, несанкционированный доступ к персональным данным, который произошел уже 31 марта 2020 года, и аномалии, обнаруженные в контексте процедуры Возмещение ущерба от COVID-19.
В заключение, Гарант конфиденциальности в соответствии со ст. 58, п. 2, лат. e) Правил, предписывает INPS незамедлительно сообщать о нарушениях соответствующих персональных данных всем заинтересованным сторонам. Кроме того, INPS предлагается сообщить, какие инициативы были предприняты для решения проблемы, и предоставить адекватно задокументированную обратную связь в соответствии со ст. 157 Кодекса в течение 20 дней с момента получения положения.
Это должно заставить нас задуматься о том, что наши данные всегда потенциально подвержены риску, если мы не выделяем все возможные критические моменты по умолчанию.