INPS-rapport till dataskyddsmyndigheten för ett dataintrång
(av Dr. Giuseppe Gorga) Den 14 maj 2020 drabbades det nationella socialförsäkringsinstitutet (INPS) av flera kränkningar av cybersäkerhetsprotokoll på sina servrar. Händelsen rapporterades till borgensmannen för skydd av personuppgifter enligt art. 33 i GDPR som beskriver teman och metoder för rapportering.
Brott mot personuppgifter till nackdel för INPS har resulterat i obehörig åtkomst från användarna till huvudsidan (www.inps.it) med relativ visning av personuppgifter som tillhör tredje part.
Denna "bang" inträffade på grund av den stora efterfrågan från italienska medborgare på att tillhandahålla bonus för köp av barnpassningstjänster (den så kallade "Baby Sitting Bonus") och för begäran om tjänster för att stödja inkomst, kopplat till nödsituationen från COVID19, enligt lagdekret 18/2020.
När det gäller detta hade institutet, för att garantera adekvata användbarhetsnivåer för tjänsterna och skydd mot eventuella DDOS-attacker, beslutat att använda en CDN-tjänst (Content Delivery Network) som ansågs "lämplig för hanteringen av denna tjänsteleveransmodell .
Leonardo-företaget är också inblandat och tillhandahåller systemstöd genom att bilda en "teknisk tabell" mellan INPS, Microsoft och det senare.
Utöver detta kommer institutet att använda sig av Microsofts tekniska erbjudande, när det gäller innehållsdistribution, baserat på Akamai-teknik. Men alla dessa motåtgärder kommer att visa sig vara otillräckliga för att hantera flödet av förfrågningar.
Inför nödsituationen har INSP drastiskt valt att tillfälligt stänga sin webbplats. Detta beslut var nödvändigt för att optimera portalen www.inps.it och för att begränsa trafiken från mellanhänder och medborgare.
Ytterligare ett skydd för institutet, för att begränsa spridningen av personuppgifter, var att skapa en speciell violazionedatiGDPR@inps.it-ruta för att möjliggöra sändning av rapporter och bevis avseende dataintrånget.
Från de olika rapporterna förstod man att de uppgifter som visas av tredje parter huvudsakligen gällde personuppgifter, hemvist och telematiska kontakter, som hittades av ett antal ämnen som inte överstiger 819 personer.
I detta avseende förklarade INPS att "med beaktande av vilken typ av data som visas och i övervägande att möjligheten att visa ägde rum på ett helt slumpmässigt och begränsat sätt över tid av ämnen som verkar ha ingen länk och intresse med inblandade, [ …] Anser att kränkningen inte är sådan att den utgör en hög risk för individers rättigheter och friheter ”.
Inte obetydligt, de ytterligare avvikelserna som framkom ur denna analys även om de inte är direkt kopplade till institutets portal, till exempel obehörig tillgång till personuppgifter som inträffade redan den 31 mars 2020 och avvikelser som hittades i samband med proceduren COVID-19 ersättning.
Sammanfattningsvis kan sekretessgaranten enligt art. 58, par. 2, lett e) i föreskrifterna föreskriver INPS att utan dröjsmål meddela överträdelserna av personuppgifterna i fråga till alla berörda parter. Dessutom uppmanas INPS att kommunicera vilka initiativ som har genomförts för att lösa problemet och för att tillhandahålla adekvat dokumenterad återkoppling enligt art. 157 i koden, inom 20 dagar från dagen för mottagandet av bestämmelsen.
Detta måste få oss att reflektera över hur våra data alltid är potentiellt i fara om vi inte lyfter fram alla möjliga kritiska faktorer som standard.