Se la vittima di Ransomware è un commercialista?

Il caso reale riguardo uno studio di Battipaglia. Un criptovirus ha infettato i pc dello studio prendendo in ostaggio i dati dei clienti e delle 157 dichiarazioni pronte da inviare. I porfessionisti hanno deciso di non cedere al ricatto e di rifare daccapo tutte e 157 le dichiarazioni.
L'infezione si è propagata nello studio nel più classico dei modi: la segretaria ha ricevuto una email con un allegato pdf (?) con oggetto spese mediche, cliccando per aprire il file ha dato libero accesso al virus che ha criptato tutti i dati dei clienti.

Questo è solo uno degli innumerevoli casi che hanno coinvolto oltre 250.000 organizzazioni in 150 paesi del mondo. In realtà dopo il caso WannaCry (vedi Il Sole 24 Ore o The Telegraph) tutti avrebbero dovuto sapere che esistono i ransomware, dei danni che possono creare e come ci si può difendersi: a maggior ragione uno studio di commercialisti!!

Tuttavia questo caso ci da, ancora una volta, lo spunto per fare un paio di considerazioni.

La prima.
Nel caso in questione, ma sono sicuro anche nella maggior parte degli studi e delle organizzazioni, la segretaria non è stata adeguatamente formata sull'utilizzo di strumenti come la posta elettronica e di certo non lo sono neanche i professionisti titolari dello studio. Sarebbero bastete poche e chiare informazioni per evitare, o quantomeno ridurre, il rischio di infezione (vedi gli articoli precedenti Come riconoscetre una email infetta, Sei un commercialista: attenzione alle mail inoltrate): non è pensabile che un qualsiasi lavoratore maneggi strumenti di lavoro senza conoscerne le modalità di utilizzo, le procedure di sicurezza ed i relativi rischi. Questo vale anche per il lavoratore che utilizzi strumenti informatici: non può essere accettabile che non sia adeguatamente preparato! 

La seconda.
I professionisti di Battipaglia si sono trovati di fronte alla scelta se pagare il riscatto o rielaborare da capo tutte le dichiarazioni: hanno scelto la seconda sottoponendosi a turni di lavoro massacranti per presentare entro i termini le denunce dei redditi. 

Esisteva una terza via, molto meno costosa e molto più sicura. Per chi scrive è ancora un mistero il fatto che si decida di correre un rischio tale e non di investire poche decine di euro all'anno in sistemi di backup e ripristino sicuri e affidabili.

L'ultima considerazione ha a che fare con la tutela della privacy.
Al momento sono state avviate le indagini dalla Polizia Postale e non si esclude un intervento del Garante Privacy vista la mole dei dati sequestrati ed il numero di soggetti coinvolti. Ma cosa sarebbe successo col nuovo Regolamento UE 2016/679 sulla protezione dei dati personali
Tale normativa sostituisce la vecchia 196 sulla tutela dalla Privacy ed entrerà definitivamente in vigore dal 25 maggio 2018. In questo caso, in capo al titolare del trattamento, insiste l'obbligo di notifica all'Authority entro 72 ore della violazione subita, nei casi più gravi la violazione va notificata anche a tutti gli interessati; la indicazione delle misure adottate o da adottare per rimediare agli effetti negativi di tale violazione. Non solo, ma una situazione del genere porterebbe a multe pesantissime (leggi anche l'articolo: La violazione informatica va denunciata) oltre che ad una perdita di reputazione e di fiducia da parte dei clienti.

A questo punto spero, anche se non lo credo, sia chiaro a tutti che il problema della sicurezza e della protezione dei dati deve essere messo all'ordine del giorno al più presto!

Torna alle news

Se questo post ti è piaciuto, faccelo sapere!

Inserisci un nuovo commento

Iscriviti alla newsletter 

  Dichiaro di aver letto l’informativa privacy e, consapevole del fatto che la manifestazione di consenso è obbligatoria per l’invio dei dati tramite il form e per l’accesso ai servizi, ai fini di dimostrazione e di prova, acconsento al trattamento dei dati personali da me inseriti nel form per le finalità ivi specificate.

Categorie News

Seguici su Facebook

Non perdere neanche una notizia: clicca su mi piace!

Galleria video

Tags

Informatore Informatico © Copyright 2016 - All Rights Reserved Privacy e Cookie Policy

Responsabile Redazione: Luigi Duraccio

Mi sostengono in questo progetto:
In.Ser.T. Srl. - In4mati Srl - Martinelli Srl - Pratical Group - Informatica95 SrlBieffe