L’Autorità Garante per la protezione dei dati personali ha comminato una sanzione da 30.000 euro nei confronti dell’ASL Napoli 3 Sud con il provvedimento n. 426 del 28 settembre 2023, per aver accertato che le misure di sicurezza attuate non hanno consentito di proteggere i dati personali degli assistiti (842.000 persone) da un attacco ransomware, in aperta violazione del principio di privacy by design, di accountability e di approccio basato sul rischio.
Per approfondimenti si consiglia: Formulario commentato della privacy
1. I fatti e la sanzione del Garante
L’ispezione alla Asl Napoli 3 Sud è scaturita dalla notifica di data breach effettuata dall’azienda ospedaliera al Garante. Un attacco informatico di tipo ransomware ha colpito i sistemi informatici dell’ente pubblico sanitario, causando la “perdita”, o meglio l’indisponibilità dei dati personali degli assistiti.
Dopo aver dichiarato il verificarsi di diversi malfunzionamenti dei sistemi sanitari preposti all’erogazione dei servizi sanitari ed alle prestazioni di laboratorio, l’azienda ha constatato che l’infrastruttura del datacenter (server, domain controller, proxy, VPN) è stata oggetto di attacco hacker di tipo cryptolocker con conseguente crittazione di tutti i dati aziendali contenuti nei server; sono stati compromessi anche gli elenchi degli utenti amministratori, di fatto rendendo da un lato impossibili gli accessi al sistema informatico aziendale e dall’altro “spegnendo” il funzionamento operativo dell’intera azienda sanitaria. dei dati aziendali e dei volumi virtuali che consentono il funzionamento di tutti gli applicativi aziendali e sono stati compromessi gli elenchi degli utenti di dominio con profilo di amministratore rendendo impossibili gli accessi ai sistemisti aziendali.
L’attacco è stato rivendicato dal gruppo di cybercriminali denominato Sabbath, che ha chiesto il pagamento di un riscatto per ottenere i codici per decrittare i dati presi in ostaggio.
In conseguenza di ciò, l’ASL, ai sensi dell’art. 33 del Regolamento UE 679/2016 (cd. “GDPR”), è stata costretta, entro le 72 ore dalla scoperta dell’attacco, a notificare il data breach al Garante.
Potrebbero interessarti:
Criteri delle sanzioni del GDPR: ordinanza storica Cassazione
Cartello che comunica malattia della persona che offre servizio: violazione privacy
2. Cos’è un ransomware
I ransomware rappresentano la maggioranza degli attacchi informatici rivolti alle infrastrutture di aziende pubbliche e private, perché sono il modo più rapido per chi li lancia per ottenere del denaro: si tratta infatti di malware, ossia programmi infetti che rendono inaccessibili i dati in un computer mediante un’operazione di criptazione di cui solo il criminale possiede la chiave. Per ottenere la chiave e poter recuperare i dati è necessario pagare un ransom, in inglese riscatto.
Si tratta di attacchi che hanno scopo estorsivo, esattamente come un sequestro di persona, solo che in questo caso si tratta di sequestro di file e dati.
I dati non lasciano il computer, non vengono cancellati e non sempre vi è esfiltrazione, ovvero non sempre vengono diffusi. Ed infatti, l’efficacia particolare del ransomware consiste proprio nella possibilità della doppia estorsione, ovvero non solo sequestrare i dati per ottenere in cambio il pagamento del riscatto, ma anche minacciare la vittima di esporre i dati esfiltrati su un sito pubblico o venderli nel dark web, con conseguenze pesantissime ai danni dell’azienda, sia in punto danno di immagine, sia per tutto quanto consegue in termini di responsabilità derivanti dall’applicazione del Regolamento Generale per la Protezione dei Dati 679/2016, che prevede l’intervento del Garante della Privacy e le eventuali (salatissime) sanzioni.
Per ottenere la chiave di decriptazione, viene richiesto un pagamento, parametrato alle dimensioni del data base sequestrato, ed alla capacità del sistema attaccato, da effettuarsi in criptovalute, seguendo specifiche istruzioni fornite dai criminali stessi.
3. La sanzione del Garante
A seguito di notifica, il Garante ha aperto un’istruttoria, accertando che l’attacco è avvenuto per la mancanza di adeguate misure di sicurezza, in aperta violazione del principio di privacy by design.
Nello specifico, l’accesso alla rete tramite VPN era possibile unicamente mediante un processo di autenticazione basato sull’uso di username e password e la rete non era adeguatamente compartimentata, cosa che ha permesso il propagarsi del malware a tutta la rete aziendale. Trattandosi altresì di dati appartenenti alle categorie particolari ex art. 9 GDPR, ossia di dati relativi alla salute, il caso è stato considerato particolarmente grave.
Dall’esame delle informazioni e degli elementi acquisiti e della documentazione fornita dall’ASL è emerso che il trattamento è stato effettuato in violazione degli artt. 5, par. 1, lett. f), 25 e 32 del GDPR, in relazione ai seguenti profili:
– mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e particolari (dati relativi alla salute);
– mancata adozione di misure adeguate a garantire la sicurezza delle reti.
Per tali ragioni, è stata comminata una sanzione di 30.000 euro per la violazione:
– del principio di “integrità e riservatezza”, di cui all’art. 5, par. 1, lett. f), del GDPR;
– del principio della “protezione dei dati fin dalla progettazione” di cui all’art. 25, par. 1, del GDPR (privacy by design);
– degli obblighi in materia di sicurezza di cui all’art. 32 del GDPR.
Volume consigliato
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.
Scrivi un commento
Accedi per poter inserire un commento