Data Breach alla regione Lazio: la gravità dipende dalla reazione

di Luisa Di Giacomo, Avv.
PDF

Che la regione Lazio abbia subito un attacco informatico domenica 1° agosto, ormai lo sappiamo tutti. La notizia è stata data dalla stessa Regione con un tweet, parlando di possibili disagi, che si sono puntualmente verificati, col blocco della prenotazione dei vaccini anti Covid e dell’attività amministrativa ordinaria.

Si è parlato del ransomware che ha criptato i dati della Regione come un attacco potente, senza precedenti, quasi terroristico, sono stati usati titoli sensazionalistici e toni da fine del mondo.
Ma quello che si è verificato è stato veramente così inatteso?
Vediamo che cosa è successo e soprattutto quale insegnamento possiamo trarne.

Di potente e senza precedenti, in questo data breach, in verità c’è ben poco.

Gli attacchi ransomware, ovvero i tentativi di entrare nei sistemi informativi altrui mediante un malware che cripta il data base allo scopo di chiedere un riscatto (ransom, in inglese), sono ormai effettuati su base seriale e industriale.
Chi lavora nella cybersecurity è solito ripetere che il rischio zero non esiste (come non esiste nella vita reale in nessuna attività umana) e che qualsiasi sistema informatico si divide sostanzialmente in due grandi categorie: chi ha già subito un attacco informatico di successo, e chi non lo ha ancora subito.

>> Leggi tutti gli articoli in tema di Cybersecurity

Per quanto riguarda nello specifico le Pubbliche Amministrazioni, vale la pena di ricordare gli attacchi recenti ai Comuni di Rho e di Brescia e soprattutto tenere presente che secondo l’ultimo rapporto Clusit 2021, il settore pubblico è stato uno degli obiettivi più colpiti nel 2020 ed il trend non può che essere in crescita, così come lo è in generale per tutto il cybercrime, che al momento è la terza economia mondiale (dopo Cina e Stati Uniti) per “fatturato” ed è destinata a scalare la classifica.

È stato confermato dalla Regione che il ransomware è partito dal computer di un dipendente in remote working, senza fornire ulteriori specifiche e pare sia già stato richiesto un riscatto, pari a 5 milioni di euro in bitcoin.

Fino a qui, dunque, nulla di eccezionale.

Consigliamo

Casi e questioni di data breach - e-Book in formato zip

Casi e questioni di data breach - e-Book in formato zip

I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità.

Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati.

Per questa ragione, anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato negli ultimi anni una serie di provvedimenti che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa e, in alcuni casi, anche ai soggetti interessati.

Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.

L’ebook analizza una serie di casi pratici di violazioni e fornisce i modelli di notifica da utilizzare per la relativa segnalazione.

 

Michele Iaselli
Avvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della Cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici.

Michele Iaselli, 2021, Maggioli Editore
14.90 € 12.67 €

Il problema semmai sta nel fatto che la Regione non ha un backup dei dati off line e dunque il backup, anch’esso online, è stato criptato insieme con il data base principale. Questo significa che, a meno di non pagare il riscatto richiesto (cosa che i vertici della Regione hanno già dichiarato di non voler fare), sarà impossibile recuperare i dati criptati. È come se si trovassero in una cassaforte di cui nessuno, a parte gli hacker, possiede la chiave o la combinazione.

Al momento in cui si scrive non risultano esfiltrazioni di dati, cioè i dati criptati non circolano nel web alla mercé di chiunque, ma il Garante è stato informato ed ha aperto formalmente il data breach, come previsto dagli artt. 32 e 33 del GDPR, il che potrebbe comportare oltre alla beffa (si fa per dire) l’ulteriore conseguenza negativa di una sanzione in caso venga accertato che non sono stati rispettati i principi di accountability e di data protection by design e by default stabiliti dal GDPR.

Il vero tema di questo, come di altri, data breach sta nella prevenzione e nella reazione.

Prevenzione, che vuol dire non solo adeguamento al GDPR da un punto di vista formale, documentale e procedurale, ma soprattutto in tema di cybersecurity, che è il vero pilastro su cui si fonda la protezione dei dati così come pensata dal Regolamento UE 679/16, e così configurazione dei server, acquisto di software di protezione, presenza di backup adeguati e aggiornati, resilienza dei sistemi, ridondanza, policy di BYOD, navigazione in sicurezza, aggiornamento continuo, formazione del personale ed ogni altra misura tecnica ritenuta adeguata.

Reazione, che vuol dire presenza di una policy di disaster recovery preventivamente approvata e testata, per reagire all’attacco, sapere chi deve fare cosa e rispondere nei tempi più brevi possibili.

Infine, ricordiamo che il GDPR prevede una serie di obblighi preventivi e reattivi, e tra questi ultimi una serie di comunicazioni istituzionali da effettuare non solo al Garante per la Protezione dei Dati Personali, ma anche agli interessati i cui dati sono rimasti coinvolti nel data breach, qualora la violazione comporti rischi per i diritti e le libertà fondamentali delle persone.

In conclusione, la gravità di questo attacco non sta nell’attacco in sé, che come abbiamo visto è stato piuttosto banale e molto diffuso, ma nel modo in cui la Regione sarà in grado di affrontarlo e di risolverlo, dipendendo da ciò alternativamente conseguenze estremamente gravi (e allora sì che si potrà parlare di attacco “senza precedenti”) oppure soltanto molto rumore per nulla, un brutto quarto d’ora, ma nulla di più.


Corso on-line

a cura di Luisa Di Giacomo e Enrico Amistadi


Rimani AGGIORNATO!

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

luisa-di-giacomo

Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York. Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo Maestro per la Protezione dei Dati e Data Protection Designer dell’Istituto Italiano per la Privacy. Mi occupo di protezione dei dati e Cybersecurity, sono docente e formatore per Maggioli s.p.a. e coordino la sezione Cybersecurity della pagina diritto.it. Sono Data Protection Officer e consulente per la protezione e sicurezza dei Dati in numerose società nel nord Italia. Ho una pagina Instagram e un Canale YouTube in cui parlo dell’importanza dei Dati e della Cybersecurity, con l'obiettivo di contribuire a diffondere una maggiore cultura e consapevolezza digitale. Mi piace definirmi Cyberavvocato. I miei social: LinkedIn Instagram YouTube


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

  • Rimani aggiornato sulle novità del mondo del diritto
  • Leggi i commenti alle ultime sentenze in materia civile, penale, amministrativo
  • Acquista con lo sconto le novità editoriali – ebook, libri e corsi di formazione

Rimani sempre aggiornato iscrivendoti alle nostre newsletter!

Iscriviti alla newsletter di Diritto.it e