Attacchi ransomware e studi legali: codici di condotta secondo il NCSC e ICO

Cyber threats nel Regno Unito

Come già evidenziato negli gli anni precedenti[1], anche i primi mesi del 2022 hanno confermato il trend di crescita delle minacce informatiche nel Regno Unito e nei paesi alleati. Più precisamente, sono state riscontrate numerose truffe tramite fenomeni di phishing, attacchi ransomware contro organizzazioni pubbliche e private, ed attacchi ostili mirati contro le infrastrutture nazionali critiche nazionali e governi di vari paesi. Sebbene tali attacchi provengano da attori criminali molto spesso sconosciuti, ciò che è certo si può constatare nell’impatto significativo di tali fenomeni sul panorama globale. Nel dettaglio, sono stati rubati risparmi patrimoniali, sono stati compromessi dati critici e sensibili, vi sono stati malfunzionamenti nei servizi sanitari e pubblici e sono state compromesse le forniture di cibo ed energia.

In tale scenario, il National Cyber Security Centre (NCSC) ricopre un ruolo di significativa importanza. Lanciato nel 2016, l’NCSC ha sede a Londra e ha riunito le competenze del Communications-Electronics Security Group (CESG), ovvero un gruppo all’interno del Government Communications Headquarters (GCHQ), il Center for Cyber ​​Assessment, CERT-UK e il Center for Protection of National Infrastructure. Tra gli obiettivi principali è possibile menzionare la riduzione dei rischi per il Regno Unito, proteggendo le reti del settore pubblico e privato, ma anche offrire una risposta efficiente agli incidenti nel cyberspazio per limitare i danni che causano alle organizzazioni e al paese. Nel 2021 l’NCSC ha continuato, in collaborazione con le forze dell’ordine, a monitorare, contrastare e mitigare le minacce informatiche commesse da gruppi criminali organizzati di alto e basso livello.

Figura 1: Incident Management response model
(fonte: National Cyber Security Center Annual Review, 2021)

Codici di condotta per gli studi legali

Il National Cyber Security Centre riconosce il ransomware come la più grande minaccia informatica per il Regno Unito. Più precisamente, questi attacchi informatici hanno attirato l’attenzione del pubblico in seguito agli attacchi alla Colonial Pipeline negli Stati Uniti, che forniva carburante alla costa orientale, e all’Health Service Executive in Irlanda. Nel Regno Unito si è registrato un aumento di attacchi ransomware che hanno interessato tutta l’economia nazionale, colpendo aziende, enti di beneficenza, studi legali e servizi pubblici nei settori dell’istruzione, dell’amministrazione locale e della sanità.

Pertanto, in data 7 luglio 2022 il National Cyber ​​Security Center (NCSC) e l’Information Commissioner’s Office (ICO), Autorità garante per la protezione dei dati personali del Regno Unito, hanno pubblicato una lettera congiunta in cui esortano gli studi legali a non pagare le richieste di ransomware[2].

Il documento è stato condiviso in seguito all’aumento di attacchi ransomware monitorati, ma anche al crescente sospetto che gli avvocati stiano consigliando ai propri clienti di cedere a richieste estorsive. Inoltre, è stato evidenziato il fatto che il pagamento, sebbene sia la via più facile da intraprendere, può incentivare ulteriori comportamenti dannosi da parte di attori malintenzionati e non garantisce la decriptazione delle reti o la restituzione dei dati rubati.

Sebbene i pagamenti non siano ritenuti illegali, la legge sulla protezione dei dati del Regno Unito richiede alle organizzazioni di adottare misure tecniche e organizzative adeguate a mantenere i dati personali al sicuro e ripristinare le informazioni in caso di un attacco informatico. Pertanto, l’Autorità inglese non considera la scelta di pagare il riscatto un metodo di mitigazione del rischio e le conseguenti sanzioni.

Tuttavia, in caso di attacco ransomware, vige l’obbligo normativo di comunicare quanto accaduto all’ICO, in qualità di Autorità garante per la protezione dei dati personali, in aggiunta, è possibile avvalersi del supporto offerto dall’NCSC, in qualità di Autorità tecnica in materia di cyber security. Più precisamente, quest’ultimo collabora con le imprese applicando i principi di security by design e by default, ovvero comprendere le ragioni per cui le società sono state vittime di attacchi ransomware e analizzare i provvedimenti necessari per una sicurezza affidabile in futuro.

Conclusioni

Come sottolineato da John Edwards, responsabile dell’informazione dell’ICO, e Lindy Cameron, CEO dell’NCSC, la finalità di tale documento risiede nell’incoraggiare gli studi legali a collaborare ulteriormente con i due organismi. Pertanto, è meritevole ricordare un esempio che ha dato origine ad una collaborazione efficiente tra pubblico-privato, il “Cybersecurity questionnaire” redatto dalla Law Society ed il Bar Council, il cui scopo è quello di consentire agli studi legali di valutare al meglio le disposizioni in materia di cybersecurity[3].

Note

[1] National Cyber Security Centre, National Cyber Security Center Annual Review, 2021.

[2] National Cyber Security Center, Information Commissioner’s Office, The legal profession and its role in supporting a safer UK online, 7 July 2022.

[3] The Bar Council, Cybersecurity questionnaire by the Law Society and Bar Council, 23 March 2022.

 

Articolo a cura di Luca Barbieri

Profilo Autore

Luca Barbieri è laureato in Giurisprudenza presso l’Università Luiss Guido Carli con tesi intitolata “From cyber espionage to cyber warfare: a criminal comparative analysis between Italy, USA and China”, nella materia di Diritto Penale, con il Relatore Prof. Gullo.
Durante l’Exchange Program, presso la Beijing Normal University di Pechino, ha sostenuto esami di diritto cinese e cyber security.
Inoltre, ha conseguito il corso “Big data, artificial intelligence e piattaforme: aspetti tecnici e giuridici connessi all'utilizzo dei dati e alla loro tutela” presso l’Università degli Studi di Milano ed il Master universitario di secondo Livello in “Responsabile della protezione dei dati personali: Data Protection Officer e Privacy Expert” presso l’Università Roma Tre, con tesi intitolata “Cybersecurity: sistemi di Intelligenza artificiale a protezione delle reti e delle infrastrutture critiche”, con il Relatore Prof. Avv. Aterno.
Attualmente è Dottorando in “Security, Risk and Vulnerability” presso l’Università di Genova e collabora in uno studio legale specializzato in cybersecurity e data protection fornendo assistenza nelle attività di compliance alla Direttiva NIS, al Perimetro di Sicurezza Nazionale Cibernetica ed al GDPR.

Condividi sui Social Network:

Articoli simili