in

de Cnil condanna Dedalus a una multa di 1,5 milioni di euro

L’ufficiale di polizia dei dati francese, la Cnil, ha sanzionato la società Dedalus Biologie, editore di software per laboratori di analisi mediche, di 1,5 milioni di euro. In questione: una massiccia violazione dei dati, in particolare resa pubblica, che ha colpito oltre 500.000 pazienti di vari laboratori entro febbraio 2021″.L’importo di tale sanzione è stato determinato in considerazione della gravità delle infrazioni accertate, ma anche tenendo conto del fatturato della società Dedalus Biologie.“, precisa il comitato.

Il testo della decisione, pubblicato il 21 aprile 2022 dopo vari controlli, al curry il ramo del gruppo Dedalus. Lo accusa di numerose falle di sicurezza nella sua procedura di migrazione dei dati tra due dei suoi software, oltre a criticare la sua gestione della crisi. Questa decisione dovrebbe diventare un riferimento per i tanti casi di data breach a venire: la Cnil ha scelto di renderlo pubblico, mentre non è obbligata a farlo. Quindi aggiunge una penalità di reputazione alla sanzione pecuniaria.

Una fuga eccezionale

Il 23 febbraio 2021, Edizione ha pubblicato un sondaggio su una violazione dei dati che ha coinvolto quasi 500.000 persone. Questi dati, provenienti da 27 laboratori francesi, sono stati raccolti tra il 2015 e il 2020, ma la maggior parte risale al periodo 2018-2019. Il giorno successivo, la Cnil ha avviato i controlli per determinare l’origine della fuga. Edizione già menzionato nel suo articolo l’uso del software Dedalus come denominatore comune tra i laboratori coinvolti.

Per ogni paziente colpito dalla fuga, abbiamo sistematicamente trovato: il suo nome, codice fiscale, data di nascita e recapiti del medico. dIn più della metà dei casi, la fuga di notizie includeva anche il suo indirizzo e-mail, il suo numero di telefono o persino il suo gruppo sanguigno. Dati personali, anche “sensibili” a norma di legge, che sono oggetto di particolare tutela.

Peggio ancora, in una piccola percentuale di casi, i commenti aggiunti manualmente hanno fornito dettagli sofisticati sul paziente, come la sua malattia (HIV, cancro, malattie genetiche, ecc.) o i trattamenti seguiti.

La particolarità del leak, oltre al volume e alla sensibilità dei dati, è che era particolarmente facile da ottenere. I collegamenti a un sito in cui era ospitato gratuitamente sono circolati rapidamente su forum facilmente accessibili e canali Telegram popolari.

Per porre fine a questa capillare diffusione, la Cnil ha anche citato in giudizio d’urgenza i provider di accesso a Internet oltre al tribunale di Parigi. L’obiettivo: bloccare l’accesso al sito principale in cui si è verificata la violazione dei dati. Ma la chiusura non è entrata in vigore fino al 4 marzo 2021, più di 10 giorni dopo che la fuga di notizie è venuta alla luce. In sua deliberazioneil comitato affronta la passività di Dedalus:

“LLa società non ha adottato misure particolari per fermare la diffusione del file una volta che ne è venuta a conoscenza. È stato il presidente della Cnil, e non la società Dedalus Bilogie, a emettere una citazione sommaria per garantire l’effettivo blocco del fascicolo impugnato.

Una migrazione tra due software è al centro del problema

Se il modo in cui i pirati hanno ottenuto la fuga rimane poco chiaro, la Cnil offre dettagli sulla sua origine. Secondo quanto riferito, Dedalus non è riuscita a migrare correttamente i dati dei pazienti dai laboratori dei suoi clienti tra il suo software di gestione dei laboratori Megabus – che non era più conforme ai requisiti del GDPR – e il suo software sostitutivo Kalisil.

Il gendarme indica un lungo elenco di violazioni di base della sicurezza informatica:

  • la mancanza di una procedura specifica per le operazioni di migrazione dei dati;
  • mancanza di crittografia dei dati personali archiviati sul server problematico, mentre la crittografia dovrebbe impedire la leggibilità dei dati in caso di perdita;
  • assenza di cancellazione automatica dei dati dopo la migrazione ad altro software, contraria al principio di minimizzazione dei dati integrato nel GDPR;
  • la mancanzaautenticazione richiesto da Internet per accedere all’area pubblica del server (in altre parole, l’area pubblica del server in cui risiedevano i dati era accessibile a qualsiasi utente di Internet che avesse o trovato l’indirizzo, e quindi agli hacker specializzati nella ricerca di questi server aperti su Internet );
  • utilizzo di account utente condivisi da più dipendenti nell’area privata del server, impedendo il corretto monitoraggio delle modifiche che lo riguardano;
  • assenza di procedure di sorveglianza ed escalation degli avvisi di sicurezza sul server.

La Cnil raggruppa queste carenze in tre categorie, che penalizza per quanto riguarda la Regolamento generale sulla protezione dei dati (il famoso AVG): “violazione dell’obbligo del responsabile del trattamento di seguire le istruzioni del responsabile del trattamento” (sezione 29) ,”violazione dell’obbligo di garantire la sicurezza dei dati personali” (sezione 32) e “violazione dell’obbligo di disciplinare, mediante atto giuridico formalizzato, il trattamento effettuato per conto del titolare(sezione 28).