Le indagini del Garante Privacy, che ha deciso le sanzioni: “Le numerose e gravi violazioni della normativa da parte di LAZIOcrea e Regione. Mancata adozione di misure di sicurezza”.
Il ransomware RansomEXX, alias “Defray777, era stato inoculato nel sistema informatico della Regione Lazio, criptando, quindi senza rubare, i dati di 6 milioni di cittadini, ma compromettendo la funzionalità dei servizi offerti dal CED regionale. Poi il messaggio di richiesta di riscatto. Mai pagato.
I dati dei cittadini del Lazio sono stati poi recuperati grazie al backup sulla Virtual Tape Library, con l’ultimo aggiornamento a venerdì 30 luglio, il giorno prima che ci fosse l’intrusione, perché la periodicità dei backup era giornaliera (con avvio alle ore 20:00 circa).
Ma l’attacco informativo, avvenuto nella notte tra il 31 luglio e il 1^ agosto del 2021, e soprattutto la “mancata adozione di misure di sicurezza” da parte di LAZIOcrea, l’in-house che gestisce i sistemi informativi regionali, e Regione Lazio, hanno bloccato l’accesso a molti servizi sanitari impedendo, tra l’altro, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione delle vaccinazioni. Asl, aziende ospedaliere, case di cura non hanno potuto utilizzare alcuni sistemi informativi regionali, attraverso i quali sono trattati i dati sulla salute di milioni di assistiti, per un arco temporale che è andato da poche ore (48) ad alcuni mesi.
Per questi motivi, l’Autorità ha sanzionato con 271mila euro LAZIOcrea, 120mila la Regione e con 10mila euro l’ASL Roma3, perché, quest’ultima, non ha notificato il data breach.
Il cyberattacco che ha fatto svegliare l’Italia dal torpore. Baldoni disse: “Peccato che l’incidente alla Regione Lazio sia avvenuto dopo lo stanziamento dei 623 milioni del PNRR”
Il data breach ai sistemi informativi regionali, causato da un ransomware introdotto nel sistema attraverso un portatile in uso a un dipendente della Regione, ha bloccato l’accesso a molti servizi sanitari impedendo, tra l’altro, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione delle vaccinazioni. È stato il cyberattacco che ha fatto capire alle istituzioni politiche italiane e ai media generalisti quanto sia importante la cybersecurity.
“Peccato che l’incidente alla Regione Lazio sia avvenuto dopo lo stanziamento dei 623 milioni del PNRR dedicati al rafforzamento della cyber-resilienza nelle PA”, ha confessato, candidamente, a gennaio 2023 l’ex direttore generale dell’Agenzia per la Cybersicurezza Nazionale Roberto Baldoni, perché quello è stato, appunto, il momento in cui l’Italia ha capito l’importanza della sicurezza informatica e della resilienza cibernetica.
In maniera frettolosa, l’allora presidente della Regione Lazio Nicola Zingaretti definì l’attacco “di stampo terroristico “. Fu richiesto il pagamento del riscatto, ma senza esito.
Gli errori della Regione Lazio
La Regione Lazio, dal canto suo, in qualità di titolare del trattamento, avrebbe dovuto esercitare in maniera più efficace la vigilanza su LAZIOcrea, quale suo responsabile del trattamento, assicurando un livello di sicurezza adeguato ai rischi nonché la protezione dei dati fin dalla progettazione.
Nel definire l’ammontare delle sanzioni il Garante ha tenuto conto della natura e della gravità delle violazioni, nonché del grado di responsabilità, in particolare, di soggetti come LAZIOcrea e la Regione Lazio.
Dietro a questi gravi errori ci sono persone
E per chi ha commesso i gravi errori evidenziati dal Garante Privacy? Solo il disegno di legge in queste ore in esame alla Camera dei Deputati in materia di cybersicurezza prevede “per i dipendenti delle PA in caso di sanzione può costituirsi anche la causa di responsabilità disciplinare e amministrativo-contabile”. Finalmente.