Data Breach alla regione Lazio: la gravità dipende dalla reazione

di Luisa Di Giacomo, Avv.

Che la regione Lazio abbia subito un attacco informatico domenica 1° agosto, ormai lo sappiamo tutti. La notizia è stata data dalla stessa Regione con un tweet, parlando di possibili disagi, che si sono puntualmente verificati, col blocco della prenotazione dei vaccini anti Covid e dell’attività amministrativa ordinaria.

Si è parlato del ransomware che ha criptato i dati della Regione come un attacco potente, senza precedenti, quasi terroristico, sono stati usati titoli sensazionalistici e toni da fine del mondo.
Ma quello che si è verificato è stato veramente così inatteso?
Vediamo che cosa è successo e soprattutto quale insegnamento possiamo trarne.

Di potente e senza precedenti, in questo data breach, in verità c’è ben poco.

Gli attacchi ransomware, ovvero i tentativi di entrare nei sistemi informativi altrui mediante un malware che cripta il data base allo scopo di chiedere un riscatto (ransom, in inglese), sono ormai effettuati su base seriale e industriale.
Chi lavora nella cybersecurity è solito ripetere che il rischio zero non esiste (come non esiste nella vita reale in nessuna attività umana) e che qualsiasi sistema informatico si divide sostanzialmente in due grandi categorie: chi ha già subito un attacco informatico di successo, e chi non lo ha ancora subito.

>> Leggi tutti gli articoli in tema di Cybersecurity

Per quanto riguarda nello specifico le Pubbliche Amministrazioni, vale la pena di ricordare gli attacchi recenti ai Comuni di Rho e di Brescia e soprattutto tenere presente che secondo l’ultimo rapporto Clusit 2021, il settore pubblico è stato uno degli obiettivi più colpiti nel 2020 ed il trend non può che essere in crescita, così come lo è in generale per tutto il cybercrime, che al momento è la terza economia mondiale (dopo Cina e Stati Uniti) per “fatturato” ed è destinata a scalare la classifica.

 

È stato confermato dalla Regione che il ransomware è partito dal computer di un dipendente in remote working, senza fornire ulteriori specifiche e pare sia già stato richiesto un riscatto, pari a 5 milioni di euro in bitcoin.

Fino a qui, dunque, nulla di eccezionale.

Consigliamo

Casi e questioni di data breach - e-Book in formato zip

Casi e questioni di data breach - e-Book in formato zip

Michele Iaselli, 2021, Maggioli Editore

I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre...



Il problema semmai sta nel fatto che la Regione non ha un backup dei dati off line e dunque il backup, anch’esso online, è stato criptato insieme con il data base principale. Questo significa che, a meno di non pagare il riscatto richiesto (cosa che i vertici della Regione hanno già dichiarato di non voler fare), sarà impossibile recuperare i dati criptati. È come se si trovassero in una cassaforte di cui nessuno, a parte gli hacker, possiede la chiave o la combinazione.

Al momento in cui si scrive non risultano esfiltrazioni di dati, cioè i dati criptati non circolano nel web alla mercé di chiunque, ma il Garante è stato informato ed ha aperto formalmente il data breach, come previsto dagli artt. 32 e 33 del GDPR, il che potrebbe comportare oltre alla beffa (si fa per dire) l’ulteriore conseguenza negativa di una sanzione in caso venga accertato che non sono stati rispettati i principi di accountability e di data protection by design e by default stabiliti dal GDPR.

Il vero tema di questo, come di altri, data breach sta nella prevenzione e nella reazione.

Prevenzione, che vuol dire non solo adeguamento al GDPR da un punto di vista formale, documentale e procedurale, ma soprattutto in tema di cybersecurity, che è il vero pilastro su cui si fonda la protezione dei dati così come pensata dal Regolamento UE 679/16, e così configurazione dei server, acquisto di software di protezione, presenza di backup adeguati e aggiornati, resilienza dei sistemi, ridondanza, policy di BYOD, navigazione in sicurezza, aggiornamento continuo, formazione del personale ed ogni altra misura tecnica ritenuta adeguata.

Reazione, che vuol dire presenza di una policy di disaster recovery preventivamente approvata e testata, per reagire all’attacco, sapere chi deve fare cosa e rispondere nei tempi più brevi possibili.

Infine, ricordiamo che il GDPR prevede una serie di obblighi preventivi e reattivi, e tra questi ultimi una serie di comunicazioni istituzionali da effettuare non solo al Garante per la Protezione dei Dati Personali, ma anche agli interessati i cui dati sono rimasti coinvolti nel data breach, qualora la violazione comporti rischi per i diritti e le libertà fondamentali delle persone.

In conclusione, la gravità di questo attacco non sta nell’attacco in sé, che come abbiamo visto è stato piuttosto banale e molto diffuso, ma nel modo in cui la Regione sarà in grado di affrontarlo e di risolverlo, dipendendo da ciò alternativamente conseguenze estremamente gravi (e allora sì che si potrà parlare di attacco “senza precedenti”) oppure soltanto molto rumore per nulla, un brutto quarto d’ora, ma nulla di più.


Corso on-line

Cybersecurity: aspetti giuridici e pratici
La nuova figura del cyberavvocato
A cura di Luisa Di Giacomo, Michele Iaselli e Enrico Amistadi


Rimani AGGIORNATO!

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

luisa-di-giacomo

Luisa Di Giacomo

Si è laureata a pieni voti all’Università di Torino, ha studiato in Francia e negli Stati Uniti e da quindici anni svolge la professione di avvocato. Mediatore professionista e docente presso Master e corsi specialistici in materia di mediazione, dal 2012 si occupa esclusivamente di privacy e protezione di dati personali. Ha conseguito il Master Federprivacy nel 2016, è DPO in una ventina di Comuni ed Enti Pubblici in Piemonte e consulente privacy per aziende in ambito sanitario e tecnologico.


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. 

Non abbandonare Diritto.it
senza iscriverti alle newsletter!