In data 05/04/2021 Axios Italia Service ha comunicato a mezzo PEC che la piattaforma Axios Scuola Digitale (Registro Elettronico e Segreteria Digitale) è stata oggetto di attacco di RANSOMWARE.
Nella stessa PEC riporta: “ai sensi dell’art.33 par.2 del Regolamento UE 2016/679, la presente è per comunicarLe che il Servizio di Sicurezza di ARUBA ENTERPRISE, verso le ore 02.00 del giorno 03/04/2021, ci informava che l’infrastruttura di AXIOS Italia Service Srl SU, attraverso la quale vengono erogati i servizi web di AXIOS SCUOLA DIGITALE, era stata oggetto di un attacco Ransomware di ultimissima generazione che ha reso indisponibili tutti servizi da questa erogati.
In base alle analisi attualmente a nostra disposizione, non risultano esfiltrazioni (estrazioni) di dati personali. Tuttavia, l’attacco ha comportato la crittografia dei dati presenti con la conseguente loro momentanea indisponibilità.
Grazie alla presenza della infrastruttura di Disaster Recovery ed al tempestivo intervento dei nostri esperti siamo riusciti a mitigare l’impatto della violazione e possiamo comunicarLe che i dati non sono stati compromessi.
Stiamo lavorando alacremente con l’obiettivo di rendere disponibili tutti i servizi entro pochi giorni e sarà nostra cura aggiornarLa al loro ripristino.”…
Considerati i tempi lunghi di ripristino delle funzionalità del sistema comunicate in data 7/04/2021, dovuti anche ai controlli ulteriori necessari a garantire la sicurezza ed affidabilità dello stesso, si ravvisa la necessità della semplice annotazione sul Registro di Data Breach della VIOLAZIONE DEI DATI PERSONALI per “l’impossibilità di accedere ai dati per attacchi esterni, virus, malware”.
In base ai dati forniti dal Responsabile Esterno del Trattamento AXIOS non si ravvisano motivazioni per le quali è necessario, ai sensi dell’art. 33 comma 1 del GDPR 2019/679, effettuare notifica al Garante della Protezione dei
Dati Personali, in quanto non risultano presenti rischi per i diritti e le libertà delle persone fisiche. Pertanto si ritiene non necessaria nemmeno la notifica agli interessati (alunni, genitori, personale, ecc.).
In allegato inviamo la registrazione dell’evento lesivo della privacy su un modello di Registro Data Breach da completare nelle parti in giallo, protocollare in uscita, conservare agli atti, ed inviare in copia al DPO.
Cordiali saluti lo staff di Gdpristruzione.it
Registro Data Breach compilato
ABBIAMO ORGANIZZATO UNA VIDEO CONFERENZA PER OFFRIRE MAGGIORI DETTAGLI A TUTTI I DS DELLE SCUOLE COINVOLTE
Axios - Data Breach e indicazioni operative
gio 8 apr 2021 12:30 - 13:30 (CEST)
Video registrazione dell'evento
---
Nel caso in cui la violazione dei dati subita non presenti rischi per i diritti e le libertà delle persone fisiche è infatti necessario (abbiamo utlizzato lo strumento di valutazione messo a disposizione dal Garante della Protezione dei Dati personali di cui riportiamo l'esito):
DEVI DOCUMENTARE LA VIOLAZIONE
Il titolare del trattamento deve documentare tutte le violazioni dei dati personali che si verificano, indipendentemente dal fatto che una violazione debba o meno essere notificata al Garante.
«Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di verificare il rispetto del presente articolo» (cfr. art. 33Apertura sito esterno in una nuova scheda per l'articolo 33 del Regolamento (UE) 2016/679, par. 5, del Regolamento (UE) 2016/679 e art. 26 del D.Lgs 51/2018).
L’obbligo del titolare di documentare tutte le violazioni è collegato al principio di responsabilizzazione (cfr. art. 5Apertura sito esterno in una nuova scheda per l'articolo 5 del Regolamento (UE) 2016/679, par. 2, del Regolamento (UE) 2016/679 e art. 3, comma 4, del D.Lgs 51/2018) e agli obblighi del titolare del trattamento responsabilizzazione (cfr. art. 24Apertura sito esterno in una nuova scheda per l'articolo 24 del Regolamento (UE) 2016/679 del Regolamento (UE) 2016/679 e art. 15 del D.Lgs 51/2018).
Il titolare del trattamento è incoraggiato a creare un registro interno delle violazioni occorse – notificate o meno – e il Garante può chiedere di consultare tale registro.
Oltre ad informazioni quali cause, fatti, dati personali, effetti e conseguenze della violazione, le Linee guidaApertura sito esterno in una nuova scheda per le Linee guida Notifica violazioni raccomandano di documentare anche il ragionamento alla base delle decisioni prese in risposta a una violazione, come, ad esempio, il perché una determinata violazione non è stata notificata al Garante.
Per maggiori informazioni fare riferimento al proprio DPO
Microtech: Attilio Milli o Valentino Valente
mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Attilio Milli: 335 565 4057
Valentino Valente: 338 4552068
MS Computer:
mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Sandro Maini: 335 527 7002
Ing. Giovanni Fiorillo
mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Giovanni Fiorillo: 347 176 1615
SOS Recupero Dati
mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Vincenzo Monteforte: 333 7778619