L’ Avv. Gianni Dell’Aiuto analizza le sanzioni comminate alla sanità del Lazio dal Garante per la Protezione dei Dati personali in seguito ad attacco informatico. Subire un attacco ransomware non esime dal rispetto degli obblighi di protezione dei dati!
Il Garante Privacy sanziona dopo l’attacco ransomware, ribadendo due punti fondamentali:
Il messaggio lanciato dal Garante per la Protezione dei Dati Personali con le sanzioni comminate alla sanità del Lazio, in particolare a Regione Lazio, LAZIOcrea e ASL Roma 3, va ben oltre il provvedimento nella sua essenza. Dovrebbe far pesantemente riflettere ogni azienda titolare del trattamento, specialmente se oggetto di questa attività siano dati appartenenti a categorie particolari, quali appunto quelli sanitari, o dati sensibili.
- Punto primo: un attacco hacker portato a buon fine, configura Data Breach. Si tratta di una verità ormai acclarata ma che, purtroppo, non è ancora compresa pienamente, ma di questo se ne è parlato già diffusamente.
- Punto secondo: ogni Titolare del Trattamento deve essere consapevole e conscio della sua catena della privacy; sia quella interna dell’organizzazione aziendale o di una struttura, sia quella esterna che potrebbe vedere la presenza di strutture o risorse esterne con ruoli a volte fondamentali.
Per saperne di più > Subire un attacco ransomware non esime dalle responsabilità di protezione dati: il Garante Privacy sanziona la regione Lazio
Subire un attacco informatico non esime dal rispetto degli obblighi sulla protezione dei dati
La vicenda è quella nota di un attacco ransomware che si è sviluppato nel sistema della sanità laziale dal computer di un dipendente che stava lavorando da remoto. È stato quindi consentito l’ingresso nei sistemi di software malevoli che hanno creato un canale di comunicazione (backdoor) tra i computer client infettati e il gruppo di cyber criminali. Gli attaccanti, sfruttando le stesse credenziali, sono riusciti ad accedere alla rete aziendale e da là a accedere alle sotto reti ed anche a utenze amministrative probabilmente individuate intercettando i pacchetti di dati al momento del login degli utenti.
La sanzione si è ripercossa a cascata sulla Regione, titolare del Trattamento, sull’azienda di gestione LAZIO crea e, infine, sulla ASL Roma 3 che non ha provveduto a notificare la violazione dei dati personali all’Autorità, né ha fornito adeguata documentazione sulle decisioni assunte e sulle valutazioni svolte, in grado di comprovare che, con riferimento a tali trattamenti, fosse improbabile che la violazione presentasse un rischio per i diritti e le libertà degli interessati.
Per approfondire > Notifica data breach: l’EDPB aggiorna le linee guida
Sanzioni alla sanità nel Lazio: il contenuto dei provvedimenti del Garante
I tre separati provvedimenti sanzionatori sono lunghi ed estremamente articolati ma sono chiari nel loro contesto e nell’avvertimento che lanciano, vale a dire che della violazione subita da un soggetto titolare possono derivare conseguenze anche per tutti gli altri enti o organizzazioni che ne possono essere toccati. E ciò sia nella loro qualità di titolare, contitolare o responsabile, sia per i doveri di informazione e di avvisi che scaturiscano dalla loro qualifica.
Non ultimo aspetto è quello delle modalità iniziali dell’attacco. Si legge infatti nel provvedimento che :
“nel mese di marzo 2021, un soggetto malintenzionato ha introdotto all’interno del PC portatile aziendale in uso [… a un] dipendente della Regione Lazio, una backdoor – non nota e non rilevata, né all’epoca né nel corso delle analisi, da più comuni software antivirus e antispyware – che è stata probabilmente utilizzata per acquisire le credenziali di autenticazione” attribuite al dipendente.”
Ancora una volta alla base di un data breach abbiamo il fattore umano che, da sempre, è il vero cavallo di Troia usato dai pirati informatici per accedere ai sistemi. Disattenzione? Guasto momentaneo? Una rete WiFi con protezione debole o l’utilizzo di una password inefficace? Non è dato saperlo, ma il richiamo ad una costante verifica ad ogni anello della catena della privacy aziendale, alla loro formazione e al rispetto dei regolamenti aziendali è sempre più vitale per evitare di incorrere non solo in salate sanzioni, ma anche di vedere il proprio nome sulle pagine del sito del garante e di essere oggetto di ulteriori provvedimenti correttivi che potrebbero rivelarsi oltremodo costosi.
