Back

Sanzione del Garante Privacy a LAZIOcrea e Regione Lazio

L’11 Aprile 2024 è stato reso noto il Provvedimento del Garante Privacy, col quale una società, tale “LAZIOcrea S.p.a.”, designata “Responsabile” ex art. 28 GDPR e incaricata dalla Regione Lazio di gestire la sicurezza e il funzionamento delle infrastrutture ICT, è stata pesantemente sanzionata con una multa di 271mila euro!

Si tratta del Provvedimento del 21 marzo 2024 [doc web 10002324]. Tra l’altro il Garante ha sanzionato con 120mila euro anche la Regione Lazio.

L’antefatto: nel Luglio 2021 è avvenuto un attacco informatico, che compromise la funzionalità di moltissimi servizi offerti dal CED regionale (per es. prenotazioni, pagamenti digitali, ritiro dei referti, registrazione delle vaccinazioni, etc.). L’indisponibilità un arco temporale che andò da poche ore (48) ad alcuni mesi.

L’attacco è stato originato dalla compromissione di un account appartenente a un dipendente regionale, le cui credenziali di accesso sono state sottratte per mezzo di software malevoli (backdoor)

L’attacco informatico, che ha causato un vero e proprio “Data Breach”, è iniziato in realtà prima del mese di Luglio tramite inoculazione, su uno o più computer client che operavano da remoto tramite VPN, di software malevoli. L’attacco, in particolare, è stato originato dalla compromissione di un account appartenente a un dipendente regionale, le cui credenziali di accesso sono state sottratte per mezzo di software malevoli (backdoor), installati sul computer personale dallo stesso utilizzato per i collegamenti da remoto alla rete aziendale necessari per il lavoro in smart working. I cyber criminali, grazie alla backdoor, sono riusciti ad accedere alla rete aziendale e da là a muoversi “lateralmente” anche all’interno delle “sotto reti”, effettuando una escalation su utenze amministrative, che sono state probabilmente individuate intercettando a basso livello i pacchetti di dati che su quella rete avvenivano al momento del login degli utenti. 

Molte le negligenze e le imperizie contestate al Responsabile:

  • la notifica del Data Breach è arrivata con notevole ritardo e comunque oltre le 72 ore prescritte dall’art. 33 GDPR, tanto che il Garante ha dovuto agire d’ufficio a seguito di notizie di stampa in merito ai fatti in esame, nonché a seguito della ricezione delle notifiche presentate da vari titolari del trattamento coinvolti;
  • è stata violata la normativa sul registro dei Data Breach e, infatti, non sono state documentate adeguatamente le violazioni, mancavano cioè informazioni come data e ora di chiusura dell’incidente, data e ora di risoluzione dell’incidente, soggetto che ha rilevato l’incidente, altre organizzazioni contattate, e altre tra quelle presenti risultavano inesatte (come la data di inizio dell’incidente) o poco dettagliate (come la descrizione dell’incidente e le azioni di risposta effettuate);
  • i vari Titolari coinvolti dal Data Breach sono stati avvisati a distanza di circa 2 settimane dal momento in cui si è verificato l’incidente e, quindi, con soverchio e immotivato ritardo; inoltre alcune comunicazioni non contenevano neanche specifici riferimenti ai sistemi e servizi compromessi, utili a ciascun Titolare per circoscrivere il perimetro della violazione e valutarne i rischi;
  • non è stata ritenuta garanzia sufficiente di rispetto degli obblighi in materia di sicurezza, prescritti dal GDPR, la certificazione del sistema di gestione per la sicurezza delle informazioni (SGSI) in conformità alla norma UNI CEI EN ISO/IEC 27001:2017, con estensione ai controlli della ISO 27017 e ISO 27018, sia perché essa non rientra, al momento, tra quelle previste dall’art. 42 GDPR, sia perché essa, pur costituendo elemento per dimostrare il rispetto degli obblighi del GDPR, non ne implica automaticamente il rispetto;
  • al momento in cui si è verificato l’attacco informatico il Responsabile non disponeva di personale dedicato all’analisi H24 degli alert generati dal SIEM di Microsoft;
  • il Responsabile non aveva adottato adeguate misure per segmentare e segregare le reti, sulle quali erano presenti gli account dei propri dipendenti, quelle dei dipendenti della Regione Lazio, nonché i server utilizzati per i vari trattamenti effettuati;
  • le regole di filtering, configurate sui firewall presenti nel data center gestito dal Responsabile, pur limitate solo a specifici sistemi o servizi critici, non hanno impedito la propagazione del malware su circa 180 sistemi;
  • l’accesso remoto, tramite VPN, alla LAN del Responsabile era avvenuto mediante una procedura di autenticazione informatica basata solo sull’utilizzo di username e password, tanto che, a seguito dell’incidente, si è ritenuto necessario attivare una procedura con doppio fattore di autenticazione;
  • i software di base istallati su alcuni sistemi (Windows Server 2008 R2 Standard) erano obsoleti e per essi non erano più disponibili aggiornamenti o patch; solo a seguito dell’attacco il Responsabile ha adottato opportune misure di segregazione, a livello di rete, nonché di monitoraggio degli eventi di sicurezza
  • infine, non erano state definite specifiche procedure di gestione dei backup.

Anche la Regione Lazio è stata sanzionata con 120mila euro di multa per omessa o insufficiente vigilanza.

A fronte di tale “disastroso” scenario emerge chiaramente la responsabilità della società LAZIOcrea e, infatti, se essa, nella sua qualità di Responsabile, avesse provveduto a segregare adeguatamente le reti, in cui erano presenti i server e le diverse postazioni di lavoro, non avrebbe dovuto procedere allo spegnimento dei citati sistemi server, per l’effetto le strutture sanitarie non avrebbero subito l’indisponibilità di accesso a numerosi sistemi informativi e ai relativi dati. 

Anche la Regione Lazio è stata sanzionata con 120mila euro di multa per omessa o insufficiente vigilanza.

Il Provvedimento, col quale è stata sanzionata LAZIOcrea S.p.A., è disponibile al seguente URL:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10002324
Arcasafe
Arcasafe
https://arcasafe.eu

Rispondi

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *