Bir Veri İhlali için Veri Koruma Otoritesine INPS raporu
(Dr. Giuseppe Gorga) 14 Mayıs 2020'de ulusal sosyal güvenlik kurumu (INPS) sunucularında birkaç siber güvenlik protokolü ihlaline uğradı. Olay, sanatın gerektirdiği şekilde kişisel verilerin korunması için Garantör'e bildirildi. Raporlamanın temalarını ve yöntemlerini belirleyen GDPR'nin 33'ü.
INPS aleyhine kişisel verilerin ihlali, üçüncü şahıslara ait kişisel verilerin göreceli olarak görüntülenmesi ile kullanıcıların ana siteye (www.inps.it) yetkisiz erişimine neden olmuştur.
Bu "patlama", İtalyan vatandaşlarının bebek bakıcılığı hizmetlerinin satın alınması için ikramiye (sözde "Bebek Bakıcılığı Bonusu") sağlanması ve geliri destekleyecek hizmetlerin talep edilmesine yönelik büyük talep nedeniyle meydana geldi. , 19/18 sayılı kanun hükmünde kararname ile sağlanan COVID2020'daki acil durumla bağlantılı.
Bununla ilgili olarak, kurum, hizmetlerin yeterli düzeyde kullanılabilirliğini ve herhangi bir DDOS saldırısına karşı korumayı garanti etmek için, bunun yönetimi için "uygun" kabul edilen bir CDN (İçerik Dağıtım Ağı) hizmeti kullanmaya karar vermiştir. hizmet sunum modeli.
Leonardo şirketi de işin içindedir ve INPS, Microsoft ve Microsoft arasında bir "teknik tablo" oluşturarak sistem desteği sağlar.
Buna ek olarak enstitü, Microsoft'un Akamai teknolojisine dayalı içerik dağıtımı açısından sunduğu teknoloji teklifinden yararlanacak. Ancak, tüm bu karşı önlemler, taleplerin akışıyla başa çıkmak için yetersiz kalacaktır.
Acil durumun ortaya çıkması karşısında INSP, web sitesini geçici olarak kapatmayı büyük ölçüde seçti. Bu karar, www.inps.it portalını optimize etmek ve aracılardan ve vatandaşlardan gelen trafiği sınırlamak için gerekliydi.
Kişisel verilerin yayılmasını sınırlamak için Enstitü için bir başka koruma önlemi, veri ihlaline ilişkin raporların ve kanıtların gönderilmesine izin vermek için özel bir violazionedatiGDPR@inps.it kutusu oluşturmaktı.
Çeşitli raporlardan, üçüncü şahıslar tarafından görüntülenen verilerin esas olarak 819 kişiyi aşmayan bir dizi denek tarafından bulunan kişisel veriler, ikametgah ve elektronik kişilerle ilgili olduğunu anladık.
Bu bağlamda INPS, "görüntülenen veri türünü dikkate alarak ve izleme olasılığının zaman içinde tamamen rastgele ve sınırlı bir şekilde, bunlarla hiçbir ilgisi ve ilgisi yokmuş gibi görünen denekler tarafından gerçekleştiğini dikkate alarak ilgili, […] ihlalin bireylerin hakları ve özgürlükleri için yüksek bir risk oluşturmadığına inanmaktadır ”.
Önemsiz olmayan, bu analizden ortaya çıkan diğer anormallikler, örneğin 31 Mart 2020'de halihazırda gerçekleşen kişisel verilere yetkisiz erişim ve prosedür bağlamında bulunan anormallikler gibi enstitünün portalına doğrudan bağlı olmasa bile COVID-19 tazminatı.
Sonuç olarak, Sanat uyarınca Gizlilik Garantörü. 58, par. 2, lett. e) Yönetmelikte, INPS'e söz konusu kişisel verilerin ihlallerini ilgili tüm taraflara gecikmeksizin bildirmesini emreder. Ayrıca, INPS'in sorunu çözmek için hangi girişimlerin üstlenildiğini bildirmesi ve sanat uyarınca yeterli şekilde belgelendirilmiş geri bildirim sağlaması talep edilmektedir. Kanunun 157'si, hükmün alındığı tarihten itibaren 20 gün içinde.
Bu, varsayılan olarak tüm olası kritikleri vurgulamazsak verilerimizin her zaman potansiyel olarak risk altında olduğunu düşünmemizi sağlamalıdır.