Violazioni GDPR: le linee guida sulle sanzioni

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Il regolamento Europeo 679/2016 che ha riformato a livello sovranazionale il sistema di trattamento dei dati personali, ha anche previsto norme rafforzative per i poteri deputati a far rispettare la nuova disciplina. Titolari e responsabili del trattamento hanno maggiori responsabilità che non nel previgente sistema in quanto soggetti demandati alla materiale tutela dei diritti degli interessati che, anche ai fini interpretativi e di comprensione, sono la figura al centro del sistema GDPR. Hanno inoltre un ruolo centrale anche le pesanti sanzioni che possono essere emesse dalle autorità di controllo, cui spettano anche le misure di cui all’art. 58 (richieste di informazioni, potere di indagine, misure interdittive e, addirittura limiti e perfino il divieto di svolgere attività di trattamento).

Consapevole della delicatezza e dell’importanza del ruolo che andranno a svolgere gli organi di vigilanza, il Gruppo dell’art. 29 (organismo consultivo ormai disciolto, composto da rappresentanti delle autorità nazionali) ha predisposto, nell’Ottobre 2017, le linee guida che dovranno essere seguite proprio nell’emissione delle sanzioni.

Il documento programamtico del Gruppo 29

Xopero estende e migliora la tecnologia di disaster recovery

Recentemente sono stati rilasciati due update per le soluzioni di backup in locale di Xopero: stiamo parlando di Xopero Backup&Restore e Xopero QNAP Appliance. Entrambi fanno seguito a studi approfonditi rispetto a come migliorare l'efficienza ed efficacia del piano di disaster recovery. Il risultato di questo lavoro di approfondimento è stato lo Xopero Image Tool, un applicazione stand-alone che consente una rapida conversione delle immagini in qualsiasi altro formato supportato da popolari hypervisor come Hyper-V, VMware, Virtualbox e KVM.

Contemporaneamente il team di Xopero ha anche lavorato per espandere la tecnologia core RD - Smart Recovery -  per la soluzione Xopero Backup&Restore. 

Vediamo i dettagli di questi update....

Xopero Backup&Restore: disaster recovery

Le sanzioni amministrative ai sensi del GDPR

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy 

Anche in pubblicazioni di carattere specialistico, è facile leggere che le sanzioni erogate dal Garante per la protezione dei dati personali, sono la conseguenza di una violazione della Privacy. Dobbiamo essere precisi quasi al punto della pignoleria: la violazione della privacy è un’illecita intromissione o interferenza nella sfera privata di una persona e trova le sue sanzioni nella possibilità di chiedere il risarcimento del danno e, nei casi più gravi, l’applicazione dell’art. 612 bis Codice Penale, che punisce gli atti persecutori: il cosiddetto stalking. Quelle che erroneamente vengono definite sanzioni per violazione della privacy ai sensi del GDPR, sono in realtà le conseguenze di una violazione dei doveri derivanti dal trattamento dati personali.

Ferme restando le sanzioni penali nelle ipotesi disciplinate dalle normative nazionali e la possibilità per chiunque abbia subito danni da una gestione non corretta dei dati personali di agire in sede civile, la normativa europea prevede pesanti sanzioni amministrative che si trovano già nei “considerata” iniziali nei quali si specifica come queste misure abbiamo una loro ragione anche per garantire una tutela dati cogente e uniforme nell’intera Unione. In tal senso, al punto 129, si prevede anche che le autorità di controllo dovrebbero (ma forse è più opportuno leggerlo “devono”) avere gli stessi compiti e poteri effettivi sia in attività istruttoria a seguito di segnalazioni, sia nell’erogazione delle sanzioni; tutto meglio indicato nell’art. 58.

L'exploit kit Magnitude sceglie il ransomware GandCrab

Di GandCrab ne abbiamo già diffusamente parlato (rimandiamo qui alla relativa pagina nella nostra Galleria dei Ransomware): si sta diffondendo in lungo e in largo attraverso campagne di spam talvolta massive talvolta più mirate, schemi di ingegneria sociale e campagne di exploit kit. Qualche giorno fa alcuni ricercatori hanno scoperto che Magnitude EK, exploit kit notoriamente "fedele" alla distribuzione di Magniber (ritenuto il successo di Cerber, assunse appunto il posto di Cerber nella distribuzione di Magnitude EK. Leggi qui), è passato alla distribuzione di GanCrab, abbandonando appunto il ransomware Magniber. Magniber infatti è stato sconfitto pochissimi giorni dopo l'avvio della distribuzione, con la pubblicazione di un tool gratuito per la decriptazione.  

La distribuzione di Magnitude EK rimane principalmente localizzata in Corea, ma i ricercatori sono riusciti a infettare una versione inglese di Windows senza troppi intoppi, segno che Magnitude EK può colpire senza alcun problema in larghe parti del mondo. 

Magnitude utilizza ora anche una tecnica fileless (cioè senza salvare alcun file nella memoria locale della macchina bersaglio) per caricare il payload del ransomware: una tecnica di elusione dei controlli antivirus ormai piuttosto diffusa ed efficace, dato che rende molto più difficile l'identificazione della minaccia, ma una novità per quanto riguarda questo exploit kit.

Il Payload

Hacker pubblica su Twitter una grave vulnerabilità zero-day di Windows

Un ricercatore di sicurezza, corrispondente al profilo Twitter SandboxEscaper, ha rilasciato ieri un nuovo proof-of-concept di exploit per una grave e sconosciuta vulnerabilità 0-day di Windows. Sandbox Escaper non è nuovo a tali fatti: due mesi fa pubblicò un exploit 0-day per il Task Scheduler di Windows. 

La nuova vulnerabilità risiede nel Microsoft Data Sharing (dssvc.dll) e consente ad un attaccante di aumentare i privilegi sulla macchina bersaglio. Il Microsoft Data Sharing è un servizio locale che viene eseguito come account LocalSystem con ampi privilegi e consente il data brokering tra le applicazioni. Questa vulnerabilità consente ad un attaccante con ridotti privilegi di elevarne il numero sul sistema bersaglio attraverso un codice exploit.  Il codice di exploit (deletebug.exe) pubblicato dal ricercatore ha funzioni limitate: consente solo a utenti con bassi livelli di autorizzazione di eliminare file di sistema critici.