Il rate limiting: l’approccio all’autenticazione richiesto dal Garante Privacy

 

In questo periodo storico, la sicurezza dei dati ha una rilevanza indispensabile, sia in termini di tutela dei diritti fondamentali della persona sia nella prospettiva business oriented; un vero e proprio asset in grado di catalizzare un approccio data driven alla produzione di beni e servizi.

Se è vero che non esiste l’assolutezza nel concetto di security aziendale, la sua relatività è oggetto di studio da parte dei cultori della materia; basti pensare al continuo aggiornamento che l’Ordinamento italiano sta dedicando al tema partendo dalla prossima istituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN) e del Comitato Interministeriale per la Cybersicurezza (CIC)[1].

 

Il caso ZTL di Roma Capitale: un precedente da rammentare

Nel dicembre del 2018, una segnalazione dell’Autorità ed insistenti notizie provenienti dagli organi di stampa, rendevano noto che i permessi per l’accesso e la sosta nelle zone a traffico limitato (“ZTL”) di Roma Capitale, da esporre sui veicoli, riportassero sul frontespizio un QR code, tale da consentire a chiunque, mediante l’utilizzo di una generica applicazione per smartphone in grado di decodificarne il contenuto, l’accesso a dati personali relativi al titolare del permesso ZTL o al suo utilizzatore.[2]

Inoltre, il servizio di verifica dei permessi ZTL era esposto su rete pubblica, dando possibilità di accesso, in modo accidentale o illecito, ai dati personali ivi trattati.

A tal proposito, l’11 febbraio 2021, il Garante per la protezione dei dati personali con l’Ordinanza di ingiunzione n. 9562852 ha imposto l’adozione di misure correttive che garantiscano, tra le altre, la «capacità di contrastare efficacemente attacchi informatici di tipo brute force sul sistema di autenticazione online, anche introducendo limitazioni al numero di tentativi infruttuosi di autenticazione»[3], o rate limiting. Quanto detto conferma l’importanza del rispetto della normativa comunitaria e, nello specifico, dell’articolo 32 del GDPR, rubricato “Sicurezza del trattamento”, il quale dispone espressamente che il Titolare del Trattamento, alla luce del principio di accountability e tenuto conto di un approccio basato sul rischio, metta in atto adeguate misure di sicurezza tecniche e organizzative atte a minimizzare il rischio legato al trattamento di dati personali. Va da sé che la mancata implementazione di tali misure comporti l’emanazione di ordinanze di ingiunzione nei confronti del Titolare, con le relative sanzioni.

 

Il rate limiting: un doveroso approfondimento

Il rate limiting è una misura di sicurezza tecnica che comporta una limitazione al numero di tentativi infruttuosi di autenticazione costituendo un’efficace protezione dagli attacchi di denial of service (DDoS), dai tentativi di violazione della password con metodi brute-force e da altri comportamenti illegali.
Di conseguenza, l’implementazione di questa misura di sicurezza garantisce una serie di difese a favore dell’utente da attacchi di cracker, bot e, in generale, dai relativi comportamenti illegali.

L’Autorità Garante, in tal senso, tramite la disposizione contenuta nell’ingiunzione di cui sopra, riconduce l’implementazione di tale misura di sicurezza tecnica al rispetto di quanto disposto dall’articolo 25 del Regolamento; difatti, in ossequio al principio di privacy by design nella fase di progettazione di un applicativo si dovranno tenere in considerazione eventuali minacce impattanti sui diritti e sulle libertà degli interessati, implementando misure di sicurezza tecniche e organizzative volte alla mitigazione di tali minacce.

Per quanto riguarda le minacce che possono estrinsecarsi tramite lo sfruttamento di vulnerabilità sottese al processo di autenticazione, l’Autorità Garante dispone di prendere in considerazione la misura del rate limiting.

Pertanto, l’applicazione dovrebbe limitare o rallentare la disponibilità della procedura di login, qualora si verificassero quantità anomale di tentativi di accesso non andati a buon fine in un intervallo di tempo relativamente ristretto, procedendo quindi a bloccare temporaneamente i login per l’account sotto attacco.

L’applicazione potrebbe, altresì, prevedere un incremento delle tempistiche di blocco, qualora si riscontrassero nuovi tentativi di accesso falliti dopo lo sblocco dell’account, preferibilmente per non più di un paio d’ore, al fine di non impedire l’accesso al servizio.

In talune particolari circostanze si potrà prendere anche in considerazione la possibilità di implementare un sistema di rate limiting o via IP o via famiglie di IP, sfruttando tale misura anche da un punto di vista strutturale e non meramente applicativo.

Tale misura è sufficiente a scoraggiare attaccanti con risorse relativamente limitate.

Nel caso affrontato precedentemente, l’implementazione di tale misura all’interno dell’applicazione per la verifica dei QR code, come sopra descritto, sarebbe risultata sufficiente per mitigare gli attacchi di tipo brute force, e quindi garantire la compliance sia agli orientamenti dell’Autorità Garante sia al Regolamento UE 2016/679.

 

Mitigare i rischi significa proteggere

Le aziende hanno il compito di favorire tutte le azioni volte alla mitigazione di eventuali rischi inerenti alla violazione delle credenziali di autenticazione e, quindi, alla riservatezza dei dati che ne deriva.

Non stupisce infatti, nell’ambito delle misure di sicurezza relative all’accesso a piattaforme/applicazioni/servizi online, oltre alla preminente normativa comunitaria in materia di protezione dei dati personali, l’orientamento dell’Autorità Garante che, tra le altre, propone soluzioni di rate limiting volte a prevenire accessi non autorizzati e conseguenti violazioni di dati personali.

L’attuale sfida, in termini di elaborazione delle strategie difensive, si compone di competenze tecniche e conoscenza del patrimonio giuridico per evitare di incorrere in sanzioni facilmente evitabili con un’adeguata accortezza.

 

 

Note:

[1] Per approfondire si consiglia la lettura Cybersecurity, decreto istituisce l’agenzia nazionale: cosa prevede | Sky TG24

[2] Al fine di una chiarezza espositiva v. Ztl Roma, “dati accessibili a tutti”. Garante Privacy sanziona il Campidoglio – la Repubblica; Garante Privacy: sanzione a Roma Capitale per ZTL | Forensics Group

[3] Il provvedimento integrale è accessibile sul sito dedicato Ordinanza di ingiunzione nei confronti di Roma Capitale – 11 febbraio 2021… – Garante Privacy