Attacco Hacker ai sistemi Informatici della Regione Lazio: l'intervento del Garante

Sanzioni per un totale di 401mila euro a LAZIOCrea, Regione Lazio e Asl Roma 3: il recente provvedimento del Garante della Privacy sull’attacco informatico al sistema sanitario regionale del 2021.

L’ attacco hacker ai sistemi informatici della regione Lazio del 2021

Nella notte tra il 31 luglio e il 1° agosto 2021, il sistema informatico della Regione Lazio è stato oggetto di un attacco hacker di tipo ransomware, che ha colpito il Centro Elaborazione Dati (CED), ossia un'infrastruttura informatica centrale utilizzata da organizzazioni ed enti per gestire ed elaborare dati di vario genere.

In particolare, per la Regione Lazio, il CED rappresenta il nucleo centrale dei suoi sistemi informativi; esso è responsabile della raccolta, dell'elaborazione e della gestione di una vasta gamma di dati, inclusi quelli relativi ai servizi sanitari, ai pagamenti, alle prenotazioni e ad altre attività cruciali per il funzionamento dell'ente.

Essendo una componente vitale dell'infrastruttura informatica, il CED potrebbe essere un bersaglio appetibile per gli attacchi informatici, poiché la sua compromissione può avere gravi conseguenze sul funzionamento di un'organizzazione, come il blocco dei servizi e la compromissione dei dati sensibili.

La comunicazione ufficiale dell'attacco ransomware contro la Regione Lazio è stata resa pubblica domenica 1° agosto 2021.

Nei primi momenti del mattino, il profilo Twitter ufficiale della Regione Lazio ha annunciato che il Centro Elaborazione Dati della Regione aveva subìto un attacco hacker.

Gli effetti dell'attacco ransomware alla Regione sono stati significativi.

La crittografia dei dati, soprattutto all'interno delle macchine virtuali VM-Ware (sistemi che virtualizzano l'hardware), ha causato il blocco di applicazioni, piattaforme, siti web e dati regionali, ad eccezione dei database principali e sanitari.

Poiché la Regione Lazio non aveva un backup offline, ma solo uno online, quest'ultimo venne momentaneamente disabilitato dall'attacco ransomware.

Fortunatamente, il backup logico non fu compromesso; infatti, successivamente, venne ripristinato, anche se la piattaforma per la prenotazione dei vaccini risultava completamente bloccata.

I dati sanitari dei pazienti, fortunatamente, sembravano essere rimasti intatti, come confermato dai portavoce della Regione Lazio.

Il 5 agosto 2021, Corrado Giustozzi, esperto informatico specializzato in sicurezza informatica, aveva annunciato di aver recuperato il backup “datato 30 luglio” e di essere stato in grado di ripristinare il database regionale.

Come dichiarato dallo stesso: “confermo con gioia che la Regione Lazio ha recuperato i dati senza pagamento di riscatto. Non decifrando i dati ma recuperando i backup che non erano stati cifrati ma solo cancellati. Ma lavorando a basso livello i tecnici di LAZIOCrea hanno recuperato tutto”. Dunque, contrariamente ai timori iniziali, i dati non erano stati crittografati ma solo cancellati. La Regione Lazio, inoltre, aveva dichiarato di essere riuscita a proteggere i dati sanitari e di bilancio di oltre 5,8 milioni di persone.

Da un punto di vista strettamente tecnico, è bene sottolineare che un attacco ransomware è una forma di attacco informatico in cui un hacker o un gruppo di hackers cripta i dati presenti sul sistema di un'organizzazione o di un individuo e richiede un pagamento (un "ransom", da cui il termine ransomware) per ripristinare l'accesso ai dati.

Una volta che i dati sono stati criptati, l'utente o l'organizzazione colpita riceve una richiesta di pagamento, in cambio della chiave di decrittazione necessaria per ripristinare l'accesso ai propri dati.

Ci sono due tipi principali di ransomware:

• i cryptor (che criptano i file contenuti nel dispositivo rendendoli inaccessibili);

• i blocker (che bloccano l’accesso al dispositivo infettato).

Gli attacchi ransomware possono avere conseguenze devastanti, bloccando l'accesso ai file critici e compromettendo le attività quotidiane dell'organizzazione colpita. Alcuni ransomware sono in grado anche di diffondersi attraverso una rete, colpendo altri dispositivi connessi.

Nonostante le autorità abbiano investigato, l'identità dell'hacker o del gruppo responsabile non è stata individuata. Questo attacco ha sollevato l'interesse dell'opinione pubblica su un problema che da tempo viene denunciato, ovvero i reati informatici contro enti pubblici o privati.

Le indagini condotte dall'Autorità Garante Privacy hanno rivelato una serie di violazioni sia da parte di LAZIOcrea, la società responsabile dei sistemi informatici regionali, che dalla Regione Lazio stessa.

Queste violazioni si riferiscono alla normativa sulla privacy e sono il risultato dell'implementazione di sistemi di sicurezza inadeguati, che non hanno permesso d’individuare tempestivamente le violazioni dei dati personali e di garantire una sicurezza informatica sufficiente.

In particolare, è emerso che i sistemi di sicurezza adottati non erano in grado di rilevare in modo tempestivo eventuali intrusioni o tentativi di accesso non autorizzato ai dati sensibili.

Ciò ha reso possibile l'attacco ransomware e ha compromesso la sicurezza dei dati personali e sensibili gestiti dalla Regione Lazio e da LAZIOcrea. Sul punto, la rivista Wired presentò una richiesta formale a LAZIOCrea per ottenere dettagli sulle misure finanziarie adottate dalla società, in relazione all’attacco informatico.

In risposta, la società pubblica fornì, attraverso una comunicazione firmata dal suo amministratore delegato, Luigi Pomponio, la decisione di affidare a Microsoft il compito ed il relativo contratto.

Vittorio Gallinella, direttore dei sistemi informativi di LAZIOCrea, dichiarò che tra le offerte ricevute, quella di Microsoft era stata considerata quella “tecnicamente adeguata ed economicamente conveniente”.

Inoltre, il Presidente di LAZIOCrea, vista la gravità della situazione e l’urgenza dell’affidamento, autorizzò Gallinella, responsabile unico del procedimento di fornitura, a procedere il più rapidamente possibile con l’acquisizione dei servizi professionali necessari.

L’accordo è stato concluso il 5 agosto 2021, ossia cinque giorni dopo l’attacco.

Microsoft, la grande azienda di Redmond, si è impegnata a fornire servizi per un importo di 136.824 euro, per un periodo di un mese a partire dalla data di firma dell’accordo. Il pacchetto includeva servizi di consulenza e l’acquisto di licenze software.

Secondo quanto riportato da Repubblica, inoltre, il 5 agosto i tecnici della Regione trovarono una copia di backup dei dati che permise di iniziare il ripristino dei servizi.

Non è stato possibile ricostruire in dettaglio quali servizi Microsoft abbia fornito, poiché alcuni dati sono stati oscurati “per proteggere la sicurezza informatica dell’amministrazione comunale”, come scrive Pomponio nella lettera che accompagna i documenti.

Tra questi, l’amministratore delegato elenca “una descrizione dettagliata dei singoli servizi richiesti al fornitore, la cui divulgazione potrebbe danneggiare la sicurezza dei sistemi informatici regionali già gravemente compromessi dall’attacco al data center regionale dell’agosto 2021”.

Ma c’è un altro dettaglio nella lettera di Pomponio che merita attenzione. La società ha fornito i documenti “in uno spirito di trasparenza delle operazioni” e “di accessibilità dei dati e delle informazioni”, nonostante, come spiega l’amministratore delegato, “i fatti relativi all’attacco informatico subìto dal data center della Regione Lazio nell’agosto 2021, che sono all’origine dell’affidamento a Microsoft srl, sono ancora oggetto di indagini”.

Secondo quanto accaduto, nella notte del 31 luglio - 1° agosto 2021, il portale per prenotare il vaccino anti-coronavirus rimase inaccessibile per diverse ore a causa dell’attacco informatico.

I cybercriminali utilizzarono il malware Lockbit 2.0 (una variante avanzata di ransomware) per perpetrare l'attacco. Il software dannoso è stato infiltrato nei sistemi attraverso un computer portatile utilizzato da un dipendente della Regione.

L’attacco aveva precluso alle ASL, alle aziende ospedaliere ed alle case di cura l’utilizzo dei sistemi informativi regionali, che gestivano le informazioni sanitarie di milioni di pazienti.

Questa situazione è durata “da poche ore (48) a diversi mesi”, come evidenziato dal Garante (rif. Newsletter del 10 aprile 2024, titolata “Attacco hacker ai sistemi informatici della Regione Lazio: sanzioni del Garante privacy”).

GDPR e Normativa Privacy Commentario, di Belisario Ernesto, Riccio Giovanni M., Scorza Guido, Ed. IPSOA, 2022. Il volume offre il commento dei singoli articoli del Regolamento n. 2016/679/UE, integrato con le norme del decreto di adeguamento della normativa nazionale (d.lgs. n. 101/2018). Scarica gratuitamente l'estratto

Considerazioni sul Provvedimento del Garante Privacy (aprile 2024)

Come indicato nella Newsletter n. 521 del 10 aprile 2024, con i Provvedimenti 21 marzo 2024, nn. 194, 195 e 196 (testi in calce) l’Autorità per la protezione dei dati ha inflitto multe di 271.000 euro a LAZIOCrea, 120.000 euro alla Regione Lazio e 10.000 euro all’Asl Roma 3.

Nel determinare l’importo delle multe, l’Autorità per la protezione dei dati ha considerato la natura e la serietà delle infrazioni, così come il livello di responsabilità.

Queste sanzioni sono state imposte a causa della mancata implementazione di adeguate misure di sicurezza per prevenire l’attacco ransomware del 2021.

Circa tre anni dopo il soprammenzionato caso, le indagini dell’Autorità per la protezione dei dati hanno rivelato che sia LAZIOCrea che la Regione Lazio, pur con gradi di responsabilità differenti, “sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati ed alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali ed a garantire la sicurezza delle reti informatiche. L’inadeguata sicurezza dei sistemi ha determinato, nel corso dell’attacco informatico, l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti”. LAZIOcrea, infatti, era stata giudicata per la sua gestione inadeguata a fronte dell’attacco subìto, causando seri inconvenienti per le strutture sanitarie. Il Garante ha evidenziato che i problemi di accesso sono stati causati sia dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, sia dalla decisione di LAZIOCrea di disattivare tutti i sistemi.

Si legge nel Provvedimento di aprile che “LAZIOcrea non ha posto in essere le azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento (a partire dalle numerose strutture sanitarie coinvolte)”. Quest’ultima, dunque, non è stata in grado di identificare quali sistemi erano compromessi e quali no, né di prevenire una ulteriore diffusione del software dannoso.

Numerose sono state le mancanze e le incompetenze attribuite alla società, in particolare:

• la segnalazione della violazione dei dati è arrivata con un ritardo considerevole, superando le 72 ore stabilite dall’Art. 33 del GDPR. Di conseguenza, l’Autorità per la protezione dei dati ha dovuto intervenire di propria iniziativa, a seguito di notizie di stampa relative ai fatti in questione, nonché dopo aver ricevuto le notifiche presentate da vari titolari del trattamento coinvolti;

• è stata infranta la normativa sul registro delle violazioni dei dati. Infatti, le violazioni non sono state adeguatamente documentate. Mancavano informazioni come la data e l’ora di chiusura dell’incidente, la data e l’ora di risoluzione dello stesso, l’entità che lo ha rilevato ed altre informazioni inesatte (come la data di inizio dell’incidente) o poco dettagliate (come la sua descrizione e le azioni di risposta effettuate);

• i vari Titolari coinvolti dalla violazione dei dati sono stati avvisati circa 2 settimane dopo l’incidente, quindi “con un ritardo eccessivo ed ingiustificato”; inoltre, alcune comunicazioni non contenevano nemmeno riferimenti specifici ai sistemi e servizi compromessi, utili a ciascun Titolare per delimitare l’ambito della violazione e valutarne i rischi;

• il Responsabile (la società) non aveva adottato misure adeguate per segmentare e isolare le reti, sulle quali erano presenti gli account dei propri dipendenti, quelle dei dipendenti della Regione Lazio, nonché i server utilizzati per i vari trattamenti effettuati (rif. Provvedimento del 21 marzo 2024; doc. web n. 10002533; registro provv. n. 194);

• le regole di filtraggio, configurate sui firewall presenti nel data center gestito dal Responsabile, pur limitate solo a specifici sistemi o servizi critici, non hanno impedito la propagazione del malware su circa 180 sistemi;

• l’accesso remoto, tramite VPN, alla LAN del Responsabile era avvenuto mediante una procedura di autenticazione informatica basata solo sull’utilizzo di username e password, tanto che, a seguito dell’incidente, si è ritenuto necessario attivare una procedura con doppio fattore di autenticazione (rif. Provvedimento del 21 marzo 2024; doc. web n. 10002533; registro provv. n. 194);

• i software di base installati su alcuni sistemi (Windows Server 2008 R2 Standard) erano obsoleti e per essi non erano più disponibili aggiornamenti o patch (correzione o aggiornamento del software). Solo a seguito dell’attacco, il Responsabile ha adottato opportune misure di isolamento, a livello di rete, nonché di monitoraggio degli eventi di sicurezza (rif. Provvedimento del 21 marzo 2024; doc. web n. 10002287; registro provv. n. 194).

• Inoltre, LAZIOCrea non aveva implementato le strategie necessarie per gestire correttamente la violazione dei dati e le sue conseguenze; in particolare si fa riferimento alle strutture sanitarie per le quali essa svolge il ruolo di Responsabile del trattamento dei dati. A ragion di ciò, l’Autorità per la protezione dei dati ha emesso un provvedimento in cui la società, designata come “Responsabile” secondo l’Art. 28 del GDPR e incaricata dalla Regione Lazio di gestire la sicurezza e il funzionamento delle infrastrutture ICT, è stata severamente punita con la sopraindicata sanzione.

D’altro canto, la Regione Lazio è stata ritenuta responsabile per non aver esercitato un’adeguata supervisione sulle operazioni di LAZIOCrea, in quanto Titolare del trattamento dei dati, e per non aver garantito un adeguato livello di sicurezza, sin dall’inizio delle operazioni della società.

L’Autorità per la protezione dei dati, ovviamente, aveva immediatamente avviato un’indagine sul caso, sia sulla base delle informazioni ricevute dai media, sia a seguito della notifica di violazione dei dati ricevuta (correttamente) dalla Regione Lazio.

Nella notifica, quest’ultima aveva dichiarato di: “aver subìto un attacco informatico che ha compromesso la funzionalità dei servizi offerti dal CED regionale; è in corso in queste ore una verifica tecnica di quanto accaduto, al momento non si è in grado di determinare se ci sia stata perdita dati, le categorie e il numero approssimativo di registrazioni dei dati personali in questione e le eventuali conseguenze della violazione dei dati personali” (rif. Provvedimento del 21 marzo 2024; doc. web n. 10002287; registro provv. n. 194).

Infine, l’Autorità per la protezione dei dati ha anche multato l’Asl Roma 3 per non aver segnalato immediatamente la violazione degli stessi.

In aggiunta, con riferimento al Provvedimento del 21 marzo 2024 (doc. web n. 10002324; registro provv. n. 194), LAZIOCrea aveva affermato che: “a seguito dell’attacco informatico occorso nella notte del XX u.s. (determinato da Malware di tipo ransomware) sono stati disattivati alcuni sistemi informatici della Regione Lazio rendendo temporaneamente indisponibili i relativi servizi, i dati e le informazioni trattate”; la società era “impegnata a fornire supporto alle attività di indagine in corso di svolgimento da parte delle forze dell’ordine e delle altre Autorità competenti per la sicurezza nazionale”; in aggiunta, erano “in corso le attività di analisi volte ad appurare l’ambito e la portata della violazione dei dati personali trattati […] una volta appresa nel dettaglio la dinamica degli eventi anche sotto il profilo storico e tecnico” e si rendeva “necessario operare in parallelo per ripristinare i servizi ponendo in essere tutti i presidi e le cautele atte ad impedire che i sistemi stessi possano subire un ulteriore attacco”. Era stato altresì affermato che “l’attacco era iniziato nella tarda serata del 31 luglio, ma se ne è avuta evidenza nelle prime ore della mattina del 1° agosto, quando alcune macchine virtuali erano risultate inutilizzabili”.

Siffatto scenario mette in evidenza la crescente necessità di rafforzare la sicurezza dei sistemi informatici. È di fondamentale importanza che vengano adottate misure di sicurezza efficaci per prevenire futuri attacchi informatici e per salvaguardare la privacy di tutti i cittadini.

Questo implica l’implementazione di sistemi di sicurezza aggiornati, la formazione del personale su possibili minacce e come affrontarle, nonché l’adozione di protocolli rigorosi per la gestione dei dati personali. È essenziale che le organizzazioni siano in grado di rispondere prontamente e in modo efficace in caso di violazioni dei dati, minimizzando così l’impatto su individui e servizi.

La cooperazione a livello internazionale può svolgere un ruolo fondamentale nel migliorare la sicurezza cibernetica. Le nazioni possono collaborare per condividere le migliori pratiche, sviluppare standard comuni e lavorare insieme per affrontare le minacce alla sicurezza cibernetica.

In tal modo, possiamo costruire un ambiente digitale più sicuro per tutti.

IN COLLABORAZIONE CON

>> Scopri il Corso online specialista privacy di Altalex!
>> Scopri il Corso avanzato online per DPO (Responsabile Protezione Dati) di Altalex!