ATTACCO HACKER ALLA REGIONE LAZIO: ARRIVANO LE SANZIONI DEL GARANTE PER LE NEGLIGENZE DELL’ENTE

L’evento accaduto nelle sedi istituzionali della regione Lazio, tra il 31 luglio e il 1° agosto del 2021, è ancora tristemente noto nella mente di molti cittadini che, per diverse ore, non hanno potuto accedere a servizi essenziali a causa di un imponente attacco hacker che ha, sia compromesso i sistemi dell’ente, sia causato un’importante sottrazione di dati sensibili. Le conseguenze di quest’azione sono state molteplici; in primo luogo la portata mediatica generata dall’evento, ripreso dai media di tutto il mondo, ha spinto il Governo italiano ad intervenire, con la massima urgenza, per cercare di arginare le falle presenti nel sistema, adottando diverse misure di sicurezza. Una di queste è stata la creazione dell’Agenzia per la Cybersicurezza Nazionale (ACN), competente a curare gli interessi del Paese all’interno della dimensione cyber, a cui la Presidenza del Consiglio ha affidato il compito principale di contrastare tutti i tentativi di intrusione all’interno delle infrastrutture dello Stato. Naturalmente l’accaduto non poteva non avere conseguenze anche sul piano sanzionatorio. Per comprenderne al meglio natura, entità e motivi, è utile fare un breve riassunto di quanto avvenuto. Nella notte del 1° agosto 2021, a seguito di un attacco ransomware -il cui scopo principale era quello di sottrarre i dati sensibili presenti nei sistemi- inizialmente partito dal computer di un funzionario pubblico dell’ ente attaccato e poi esteso all’intero appartato informatico del sistema sanitario regionale, molti utenti non hanno potuto accedere al proprio sportello sanitario  e  fruire dei diversi servizi offerti, tra cui: prenotazione di prestazioni mediche, ritiro dei referti e la gestione dei pagamenti. L’evento ha richiamato alla memoria quanto avvenuto anni prima, precisamente nel 2014, a gran parte delle aziende operanti nel settore energetico europeo e americano. In quell’occasione un potente malware, chiamato “Energetic Bear” – presumibilmente lanciato da un gruppo di hacker russi – colpì aziende operanti nel settore manufatturiero e poi, diffondendosi a macchia d’olio, raggiunse circa 250 aziende operanti nel settore dell’energia. Le conseguenze furono, principalmente, la sottrazione di importanti dati riguardo brevetti e procedure, il tutto con il chiaro intento di portare a termine un’operazione di spionaggio industriale. Come nel caso di “Energetic Bear”, anche nella regione Lazio, compromissione nei sistemi e sottrazione dei dati, nonostante due facce della stessa medaglia. Per capire come ciò sia potuto accadere, è opportuno riflettere sul modello strutturale adottato per garantire protezione e tutela dei sistemi e dei dati in essi contenuti, analizzando errori, falle e negligenze. La regione Lazio, ente territoriale e centro di raccolta di numerosi dati personali dei suoi cittadini, ha per definizione normativa il compito e l’obbligo di tutelare le informazioni in suo possesso, al fine di erogare i servizi essenziali richiesti in qualità di Titolare del trattamento. Nel periodo antecedente la violazione dei dati, quest’ultima aveva concluso un accordo con una società esterna, chiamata LAZIOcrea, al fine di gestire il portale online per l’erogazione delle sue prestazioni. Avendo quindi necessariamente a che fare con i dati dei singoli cittadini, la LAZIOcrea era stata opportunamente nominata Responsabile esterna del trattamento. Tuttavia, le misure di Data Protection messe in pratica dalla società privata, nonché dalla stessa regione Lazio, erano lacunose e inefficaci, come successivamente evidenziato dallo stesso Garante. È stata infatti l’inadeguata metodologia applicata al sistema di sicurezza, nonché l’assenza di misure efficaci di risposta a potenziali data-breach, a compromettere integrità e sicurezza di tutti i server bersagliati. L’assenza di quanto evidenziato ha fatto sì che, durante l’attacco, fossero adottate strategie difensive prive di qualsivoglia logica; la prima tra tutte, generata dalla convinzione di impedire la diffusione del virus, fu la decisione di spegnere tutti i sistemi informatici. Questo perché i soggetti coinvolti non erano effettivamente in grado di capire quali server fossero stati colpiti e quali no.  Alla luce degli errori e delle negligenze commesse, alla società LAZIOcrea è stata applicata dal Garante una sanzione pecuniaria di 271mila euro. La motivazione alla base del provvedimento è stata dettata dalla mancata adozione di misure difensive, con riguardo specifico ai potenziali data-breach, a tutela dei soggetti per i quali la società svolge compiti di responsabilità nel trattamento. Anche alla regione Lazio sono stati riconosciuti diversi profili di responsabilità: il principale è stato quello di non aver vigilato sufficientemente sull’operato del Responsabile del trattamento, da essa stessa nominato. Per questa ragione il Garante ha deciso di applicare una sanzione pecuniaria di 120mila euro all’ente regionale. Altro provvedimento sanzionatorio, di ammontare pari a circa 10mila euro, è stato poi emesso all’Asl Roma 3. La ragione alla base di quest’ultimo deriva dal mancato adempimento ad un obbligo previsto dalla normativa comunitaria di riferimento: notificare al Garante l’avvenuta intrusione all’interno di un sistema informatico protetto, con conseguente sottrazione di dati (c.d. whistleblowing). Accortezza che, sulla base della ricostruzione dei fatti effettuata dal Garante, è stata adempiuta da tutti gli altri enti coinvolti. Dall’analisi dell’evento è quindi possibile trarre un importante insegnamento: fare prevenzione e formazione è essenziale al fine di evitare, soprattutto nei contesti lavorativi, siano essi pubblici o privati, intrusioni di qualsiasi tipo nei sistemi utilizzati. L’utilizzo di strumenti di sicurezza idonei e aggiornati, quali firewall e Virtual Private Network (VPN), sono un ottimo rimedio al fine di limitare intrusioni all’interno del sistema protetto, o evitarne le conseguenze dannose, ma non l’unico. Ciò che non dovrebbe mai mancare, come definito anche all’Art. 29 del Regolamento europeo 679/2016, è un’adeguata formazione che abbia ad oggetto la cultura della sicurezza e(o) protezione da attacchi cibernetici, sia all’interno dei singoli enti, sia nel caso in cui si decida di affidarsi a soggetti esterni responsabili del trattamento. Questo perché, come in qualunque altro aspetto, la componente cibernetica, il suo utilizzo e la sua sicurezza si fondano totalmente sulla capacità umana: la quale, se informata, formata e preparata a dovere, può far fronte a qualunque situazione critica gli si palesi davanti.