L’Agenzia danese per la protezione dei dati ha preso una decisione in merito a un caso di crash di NemID nel giugno 2022, in cui fino a 1,5 milioni di utenti NemID hanno avuto problemi nell’utilizzo di NemID.
Per quattro giorni, gli utenti colpiti non hanno potuto accedere ai principali servizi pubblici danesi come borger.dk, e-Boks, sundhed.dk e minretssag.dk effettuando il login con NemID. Nets DanID A/S, che era il titolare del trattamento dei dati al momento dell’incidente, ha seguito la propria procedura di emergenza nel tentativo di ripristinare le normali operazioni, ripristinando un server con una soluzione di backup. Tuttavia, non è stato possibile per Nets DanID A/S ripristinare le normali operazioni fino a quattro giorni dopo l’interruzione, poiché la soluzione di backup non era disponibile. Il test della procedura di emergenza che avrebbe potuto determinare il motivo dell’indisponibilità della soluzione di backup era stato eseguito l’ultima volta circa due anni prima del guasto.
L’Agenzia danese per la protezione dei dati ha concluso che le procedure di Nets DanID A/S per il test, la valutazione e l’efficacia della soluzione di backup non erano sufficienti. Inoltre, l’Agenzia danese per la protezione dei dati ha riscontrato che Nets DanID A/S non aveva adottato misure sufficienti per garantire la solidità continua della soluzione NemID. Su questa base, l’Agenzia danese per la protezione dei dati ha criticato severamente Nets DanID A/S per non aver adottato misure sufficienti a raggiungere un livello di sicurezza adeguato ai rischi per i cittadini.
L’Agenzia danese per la protezione dei dati ha sottolineato che si trattava di un’infrastruttura nazionale critica e che il guasto poteva quindi avere conseguenze significative per i cittadini interessati, anche in considerazione del lungo periodo di tempo in cui è durato il guasto.
NemID è stato eliminato il 31 ottobre 2023, dopodiché non è stato più possibile ottenere e utilizzare NemID. MitID è stato lanciato nel 2021 e ha sostituito NemID. Tuttavia, il contenuto della decisione sulla robustezza e, in questo contesto, sulla verifica del backup e del ripristino è ancora rilevante per i responsabili e gli incaricati del trattamento dei dati in relazione ad altre soluzioni. Soprattutto quando si tratta di infrastrutture critiche e nazionali.
Verifica del backup e del ripristino
Il requisito di un’adeguata sicurezza previsto dal GDPR implica di norma la necessità di testare il backup. Ciò significa verificare regolarmente se i backup vengono eseguiti agli intervalli previsti (frequenza) e se la copia di backup è accessibile, contiene tutti i dati rilevanti (portata) ed è accurata (integrità). Inoltre, è necessario eseguire test di ripristino per verificare se i dati possono essere effettivamente ricaricati e utilizzati in un sistema informatico. Si tratta di verificare (1) se il ripristino può essere eseguito con le guide/procedure esistenti, (2) se tutto ciò che viene copiato (hardware, software, dati) può funzionare insieme e (3) se il ripristino può essere eseguito abbastanza rapidamente, considerando che l’impatto di solito aumenta con il tempo (Recovery Time Objective).