Subire un attacco ransomware non esime dalle responsabilità di protezione dati: il Garante ha emesso tre sanzioni nei confronti di regione Lazio, LAZIOcrea e ASL 3 Roma per l'attacco ransomware subito nell'Agosto 2021

Attacco ransomware contro la Regione Lazio: ricordate?

Agosto 2021: i servizi informatici della regione Lazio vanno in blocco. Da oltre 40 ore la regione è sotto attacco. Irraggiungibili il sito web della Regione ma, soprattutto, la piattaforma online per la prenotazione dei vaccini e dei tamponi Covid (il portale Salute Lazio). In generale finiscono in down tutti i servizi online connessi alla sanità regionale.

In poche ore arriva una richiesta di riscatto in Bitcoin che "certifica" l'attacco ransomware contro i sistemi di LazioCrea, l'azienda che gestisce i sistemici informatici regionali. Ransowmare che è stato distribuito nei sistemi regionali attraverso un portatile in uso ad un dipendente della Regione Lazio. 

L'attacco ransomware in sé e la decisione di LazioCrea di spegnere tutti i sistemi per evitare l'ulteriore diffusione del ransomware portano offline oltre 180 server.

Ovviamente un attacco ransomware è anche un databreach: gli attaccanti hanno infatti violato i dati di milioni di cittadini (si parla della presenza di dati personali, sui sistemi attaccati, di circa 7.4 milioni di persone). Il down si protrae dalle 48 ore ad alcuni mesi, anche per colpa del fatto che il ransomware ha colpito anche alcuni backup. 

Per saperne di più > Attacco ransomware contro la Regione Lazio: un primo aggiornamento su questa intricata vicenda
Per saperne di più > Attacco ransomware contro la Regione Lazio: bloccati i servizi collegati alla Sanità (e non solo)

Il Garante Privacy apre l'Istruttoria: subire un attacco ransomware non mette al riparo da sanzioni

Il Garante, ovviamente, si attivò subito sul caso sia per quanto appreso dalla stampa, sia per la segnalazione di data breach ricevuta (correttamente) dalla Regione Lazio. Nella segnalazione ricevuta, la Regione Lazio dichiarava di:

"aver subìto un attacco informatico che ha compromesso la funzionalità dei servizi offerti dal CED regionale; è in corso in queste ore una verifica tecnica di quanto accaduto, al momento non si è in grado di determinare se ci sia stata perdita dati, le categorie e il numero approssimativo di registrazioni dei dati personali in questione e le eventuali conseguenze della violazione dei dati personali”. 

Per saperne di più > Attacchi ransomware: quando vanno informati gli interessati: come non subire sanzioni

L'ufficio del Garante ha quindi ritenuto necessario attivarsi, anche alla luce dell'elevatissimo numero di interessati coinvolti, ma anche della natura delle informazioni esposte. D'altronde il Garante Privacy ha già avuto modo di ribadire in passato che subire un attacco ransomware non esime dal subire sanzioni.

Per approfondire > Un attacco Ransomware è da considerarsi anche un data breach: l'esempio dell'attacco a Luxottica 

Regione Lazio colpita da Ransomware: le sanzioni del Garante Privacy

Dalle verifiche è emerso, come si legge sul sito del Garante sulla vicenda, che:

"LAZIOcrea e Regione Lazio, pur con differenti ruoli e livelli di responsabilità, sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche.

L’inadeguata sicurezza dei sistemi ha determinato, nel corso dell’attacco informatico, l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti. In particolare, l’indisponibilità dei dati è stata determinata dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, nonché dalla scelta di LAZIOcrea di spegnere tutti i sistemi, non essendo in grado di determinare quali fossero quelli compromessi, né di evitare un’ulteriore propagazione del malware. Inoltre, LAZIOcrea non ha posto in essere le azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento (a partire dalle numerose strutture sanitarie coinvolte)."

Anche la Regione Lazio ha delle responsabilità nella vicenda, ha concluso il Garante per la Protezione dei dati personali. Infatti la Regione, in qualità di titolare del trattamento dati, avrebbe dovuto vigilare in maniera più attenta su LAZIOcrea e il suo operato verificando il livello di sicurezza posto a protezione dei dati personali. Ricordiamo che i dati sanitari sono classificati dal GDPR come dati estremamente sensibili: non a caso il GDPR prevede un divieto generale di trattamento di tali dati (tranne poche eccezioni) e obbliga ad un maggior livello di tutela a loro difesa.

Il Garante ha quindi ritenuto di comminare tre diverse sanzioni amministrative in conseguenza dell'attacco. Rispettivamente ha sanzionato la Regione Lazio per 120.000 euro, LAZIOcrea per 271.000 euro e ASL 3 Roma per 10.000 euro.