Garante privacy: sanzioni alla regione Lazio per l’attacco ransomware

Scarica PDF Stampa

Il Garante per la Protezione dei Dati Personali ha irrogato tre sanzioni significative, rispettivamente di 271mila euro a LAZIOcrea, società che gestisce i sistemi informativi della Regione Lazio, 120mila euro alla Regione Lazio e 10mila euro alla ASL Roma 3, a conclusione dei procedimenti aperti dopo l’attacco ransomware al sistema sanitario regionale avvenuto nella notte tra il 31 luglio e il 1° agosto del 2021.
Per approfondimenti sui data breach consigliamo l’e-book: Casi e questioni di data breach – e-Book in formato zip

Indice

1. L’incidente ransomware critico


La notte tra il 31 luglio e il 1° agosto 2021, un attacco informatico da manuale ha colpito il sistema sanitario della Regione Lazio. Un ransomware, un tipo di malware che crittografa i file dell’utente richiedendo un riscatto per la loro decifrazione, è stato il vettore dell’assalto. Questo particolare tipo di attacco è particolarmente pericoloso poiché sfrutta vulnerabilità spesso trascurate e può propagarsi rapidamente attraverso le reti, paralizzando interi sistemi. Il ransomware che ha colpito la Regione Lazio è partito dal computer di un dipendente, bloccando l’accesso a molti servizi sanitari per un tempo che è andato da alcune ore ad alcuni mesi, impedendo la gestione delle prenotazioni, il ritiro dei referti e la gestione delle vaccinazioni contro il Covid-19. Asl, aziende ospedaliere, case di cura non hanno potuto utilizzare alcuni sistemi informativi regionali, attraverso i quali sono trattati i dati sulla salute di milioni di assistiti. 
L’attacco alla Regione Lazio ha suscitato un grande clamore mediatico, conquistandosi le prime pagine di molti giornali e venendo etichettato come “attacco senza precedenti”. Tuttavia, lungi dall’essere stato un attacco nuovo, si è trattato di un ransomware già noto nell’ambito della cybersecurity, entrato nel sistema attraverso una campagna di phishing ben riuscita e a causa delle scarse protezioni del sistema.
I ransomware, come quello utilizzato nell’attacco, sono notoriamente insidiosi. Sono programmi dannosi che, una volta entrati nel sistema, cifrano i dati, rendendoli inutilizzabili. Gli hacker dietro tali attacchi poi richiedono tipicamente un pagamento, solitamente in criptovalute, per la chiave di decrittazione. La pericolosità del ransomware risiede nella sua capacità di colpire rapidamente e inaspettatamente, sfruttando spesso punti deboli come errori umani o lacune nella sicurezza del software.
Alla vicenda abbiamo dedicato l’articolo: Data Breach alla regione Lazio: la gravità dipende dalla reazione

2. Le sanzioni del Garante: valutazioni e responsabilità


Le sanzioni imposte dal Garante sono state calcolate in base alla natura, alla gravità delle violazioni e al grado di responsabilità.
LAZIOcrea è stata gravata dalla sanzione maggiore per non aver adeguatamente aggiornato i propri sistemi e per la mancata implementazione di misure di sicurezza adeguate. La Regione Lazio, essendo il titolare del trattamento dei dati, è stata ritenuta responsabile per non aver esercitato un’adeguata vigilanza sul proprio responsabile del trattamento. La sanzione minore alla ASL Roma 3, invece, è stata attribuita per la mancata notifica tempestiva del data breach.
Per approfondimenti sui data breach consigliamo l’e-book: Casi e questioni di data breach – e-Book in formato zip

FORMATO EBOOK

Casi e questioni di data breach – e-Book in formato zip

I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati. Per questa ragione, anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato negli ultimi anni una serie di provvedimenti che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative. L’ebook analizza una serie di casi pratici di violazioni e fornisce i modelli di notifica da utilizzare per la relativa segnalazione.   Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della Cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici.

Michele Iaselli | Maggioli Editore 2021

3. Le criticità rivelate dall’incidente


Questo attacco ha messo a nudo la vulnerabilità di enti che gestiscono dati di particolare sensibilità e rilevanza. La decisione di spegnere circa 180 server per prevenire ulteriori danni ha interrotto servizi essenziali, sottolineando l’importanza di avere piani di risposta agli incidenti e sistemi di rilevamento e mitigazione degli attacchi. L’incidente rivela che la gestione delle crisi informatiche deve essere agile, proattiva e supportata da protocolli solidi che non compromettano la continuità operativa delle strutture critiche.

Potrebbero interessarti anche:

4. Oltre le sanzioni: costruire un sistema cyber-resiliente


È imperativo che le istituzioni sanitarie rivedano i loro approcci alla sicurezza dei dati, integrando la cybersecurity come parte integrante del loro funzionamento quotidiano. La formazione del personale, gli aggiornamenti regolari dei sistemi e l’adozione di strumenti di sicurezza avanzati dovrebbero diventare prassi comune, non eccezioni.
Il Garante, con queste sanzioni, non solo punisce, ma lancia un chiaro messaggio al settore: la sicurezza dei dati personali e la salute dei cittadini sono indissolubilmente collegate. Le istituzioni devono elevare il proprio livello di preparazione, trasformando la sicurezza dei dati in un imperativo strategico non più rimandabile.

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento