Il Garante privacy ha multato rispettivamente per 271mila, 120mila e 10mila euro LazioCrea, Regione Lazio e l’Asl Roma 3, per non aver adottato misure di sicurezza adeguate a impedire l’attacco ransomware che ha colpito i sistemi informatici della regione il 30 luglio del 2021, mentre ci si trovava in piena campagna vaccinale. Il malware è stato introdotto nei sistemi attraverso un portatile in uso a un dipendente della Regione, che ha bloccato l’accesso a molti servizi sanitari, esponendo dati personali e impedendo la gestione delle prenotazioni, i pagamenti, il ritiro dei referti e la registrazione delle vaccinazioni.
L’attacco ha impedito ad Asl, aziende ospedaliere e case di cura di poter usare i sistemi informativi regionali, con cui vengono trattate informazioni sanitarie di milioni di assistiti, per un arco temporale che è andato “da poche ore (48) ad alcuni mesi”, ha sottolineato il Garante nel suo provvedimento. A essere colpito è stato infatti un data center supervisionato da LazioCrea, società pubblica che ha in gestione i sistemi informatici del Lazio. Mentre per colpire è stato usato il malware Lockbit 2.0, creato dalla gang di criminali informatici Lockbit.
La fine delle indagini
Quasi tre anni dopo, le indagini del Garante privacy hanno evidenziato come in tale occasione sia LazioCrea che la Regione Lazio, anche se con diversi livelli di responsabilità, “sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche. L’inadeguata sicurezza dei sistemi ha determinato, nel corso dell’attacco informatico, l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti”.
In particolare, ha sottolineato il Garante, i problemi di accesso sono stati causati sia dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, sia dalla scelta di LazioCrea di spegnere tutti i sistemi, non essendo in grado di determinare quali fossero compromessi e quali no e neppure di evitare un’ulteriore propagazione del malware. Inoltre, LazioCrea non ha nemmeno messo in atto le strategie necessarie per gestire correttamente il data breach e le sue conseguenze, in particolare verso le strutture sanitarie per cui svolge compiti da responsabile del trattamento dei dati.
Dall’altro lato, invece, Regione Lazio è stata ritenuta colpevole di non aver vigilato adeguatamente sulle operazioni di LazioCrea, in quanto titolare del trattamento dei dati, e di non aver assicurato un livello di sicurezza adeguato fin dall’inizio delle operazioni della società. Infine, il Garante ha sanzionato anche l’Als Roma 3 per non aver notificato immediatamente il data breach.
Fonte : Wired