Nonostante il panico che ha generato, sembra che alla fine le aziende e le organizzazioni in tutto il mondo siano riuscite a fermare WannaCry, ma non è ancora il momento di archiviare questo episodio.

Sono molte le lezioni che possiamo imparare da questo attacco, sul perché ha avuto così tanto successo e cosa può essere fatto per evitare che accada di nuovo. La verità sconcertante, osserva però Carla Targa, Marketing e Communication Manager di Trend Micro Italia, è che molte aziende cadute vittima di WannaCry potrebbero incorrere anche in sanzioni punitive se la stessa tipologia di attacco accadesse di nuovo fra un anno.

Il General Data Protection Regulation (GDPR) sta arrivando infatti e porta con sé un nuovo livello di urgenza per le aziende, che devono considerare una seria revisione delle loro strategie di cybersecurity dopo quanto accaduto con WannaCry.

A una prima occhiata, osserva la manager, sembrerebbe poco opportuno collegare un attacco ransomware al nuovo regolamento europeo per la protezione dati, le aziende colpite da WannaCry infatti si sono ritrovate i dati criptati e non rubati. Ad ogni modo, un’esamina più approfondita del GDPR permette ulteriori considerazioni.

L’articolo 4.12 afferma ad esempio:

“Per violazione di dati personali si intende una violazione della sicurezza che porta alla distruzione, alla perdita, all'alterazione accidentale o illegale, alla divulgazione non autorizzata o all'accesso a dati personali trasmessi, memorizzati o altrimenti trattati“.

In questo caso i dati dei clienti sono stati senza ombra di dubbio oggetto di un accesso illegale e in seguito persi o distrutti dopo essere stati crittografati da WannaCry.

In modo simile, l’articolo 5.1 precisa:

“I dati personali devono essere: elaborati in modo da garantire la sicurezza dei dati personali, inclusa la protezione contro l'elaborazione non autorizzata o illegale e contro perdite, distruzioni o danni accidentali, utilizzando adeguate misure tecniche o organizzative (integrità e confidenzialità)“.

E ancora, l’articolo 32 afferma che l’addetto al controllo dei dati o chi segue il processo dovrebbe tenere in considerazione “lo stato dell’arte” per “implementare misure tecniche e organizzative appropriate per assicurare un livello di sicurezza appropriato al rischio”.

Ma non basta. Aggiunge infatti:

“Nel valutare l'adeguato livello di sicurezza si tenga conto in particolare dei rischi che vengono presentati dall'elaborazione, in particolare dalla distruzione accidentale o illegale, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso ai dati personali trasmessi, conservati o altrimenti trattati“.

WannaCry non era ineluttabile

In che modo le aziende sono state colpite da WannaCry? Fallendo nel non applicare la patch a una vulnerabilità Windows SMB (CVE-‎2017-0144). Questo ha permesso agli attaccanti di liberare un file ransomware nei sistemi infettati e crittografare i file con 176 diverse estensioni, inclusi quelli utilizzati da Microsoft Office, database, file archivio, file multimediali e diversi linguaggi di programmazione. Ovviamente, tra questi file c’erano anche quelli dei clienti che devono essere regolati dal GDPR.

Cosa significa tutto questo agli occhi del regolamento? Innanzitutto che ogni azienda che gestisce dati di clienti che sono stati colpiti da WannaCry potrebbe essere colpevole di aver permesso “il trattamento non autorizzato o illegale” di questi dati.

Tecnicamente è stata subita anche una violazione di dati personali, nonostante nessun dato sia stato rubato, in virtù del fatto che questi dati sono stati persi o distrutti nell’attacco ransomware.

Ancora più grave, aggiunge Targa, nel momento in cui una patch ufficiale di Microsoft era a disposizione settimane prima dell’attacco, le organizzazioni colpite hanno fallito nel prendere adeguate misure di sicurezza. Inoltre, le tecnologie di virtual patching esistono appunto per proteggere i sistemi non patchati o non supportati.

Se l’attacco di WannaCry fosse avvenuto un anno dopo, le aziende sarebbero state responsabili anche di non essere compliance con i principi del GDPR. Le multe in questo caso potrebbero raggiungere il 4% del fatturato annuo o i 20 milioni di euro.

Il GDPR entrerà in vigore fra un anno e il messaggio è semplice: le best practice di security hanno protetto le organizzazioni contro WannaCry e aiuteranno anche con il GDPR, a partire dal 25 maggio 2018.