Cosa rischia la Regione Lazio dopo l’attacco ransomware ai sensi del GDPR?

Il data breach da attacco ransomware subito dalla Regione Lazio potrebbe comportare l’inizio di un procedimento sanzionatorio ai sensi del GDPR da parte del Garante privacy.

Sembra che la Regione Lazio sia stata in grado di recuperare tutti i dati criptati dopo l’attacco ransomware ai suoi sistemi informatici inflitto da alcuni cybercriminali; ma potrebbe non essere finita qui, a causa delle possibili conseguenze in termini di sanzioni ai sensi del GDPR.

Il ransomware è un tipo di malware che limita l’accesso ad un sistema informatico che infetta o ai dati che memorizza tramite tecniche di crittografia a cui fa seguito la richiesta di pagamento di un riscatto (il c.d. ransom). L’impatto del ransomware sul funzionamento di un’azienda può essere enorme, poiché può criptare in pochi minuti tutti i file nei sistemi informatici, impedendo l’accesso e bloccandone la maggior parte delle funzionalità.

E questo è successo alla Regione Lazio dove i dati disponibili nei suoi sistemi informatici  sono stati criptati, rendendo l’accesso agli stessi impossibile e chiedendo il pagamento del ransom entro 72 ore, allo scadere dei quali normalmente i dati vengono pubblicati sul dark web (una sorta di marketplace dei cybercriminali).

Questa tipologia di attacchi è diventata sempre più frequente negli ultimi anni. Infatti, la pandemia da Covid-19 e l’aumento del cosiddetto smart working hanno aumentato l’esposizione al cyber rischio perché – come sembra il caso dell’attacco alla Regione Lazio – l’errore umano è la fonte principale dei cyberattacchi e la distanza dal luogo di lavoro rende un possibile errore più probabile.

Fino a pochi anni fa, i cyberattacchi ransomware semplicemente criptavano i dati nei sistemi informatici della vittima, senza che ci fosse un accesso e/o una copia dei dati criptati, una c.d. esfiltrazione. Di recente, gli hacker sono diventati però più sofisticati e hanno capito che con un’esfiltrazione di dati personali, hanno più probabilità di ricevere il pagamento di un riscatto.  Quindi procedono prima all’esfiltrazione dei dati e poi alla loro criptazione.

La rilevanza del fenomeno dei ransomware sui dati personali è tale che l’European Data Protection Board (EDPB) nelle sue linee guida su esempi di violazione dei dati ha affrontato specificatamente alcuni frequenti scenari relativi a data breach derivanti da attacchi ransomware.

Nel caso della Regione Lazio non si conoscono tutti i dettagli della questione. Tuttavia, aldilà del fatto che l’esfiltrazione sia effettivamente avvenuta, l’indisponibilità prolungata dei dati anche sanitari ha comportato l’esecuzione di una notifica al Garante per la protezione dei dati personali, ed è probabile che comporterà anche una comunicazione agli interessati, soprattutto qualora l’indisponibilità – seppur temporanea – dei dati personali abbia causato per esempio eventuali ritardi nei trattamenti sanitari, ivi comprese le vaccinazioni anti Covid-19.

Questo scenario è decisamente sconfortante e sembra che al danno per la Regione Lazio ora di possa aggiungere la beffa di una sanzione ai sensi del GDPR dovuta alla potenziale inadeguatezza delle misure tecniche ed organizzative della Regione. C’è da chiarire infatti che il verificarsi di un data breach non comporta di per sé una violazione della normativa sul trattamento dei dati personali. Tuttavia, alla luce del principio dell’accountability, la Regione Lazio dovrà affrontare una strada decisamente in salita per dimostrare che – nonostante il verificarsi del data breach – le misure tecniche ed organizzative adottate erano in linea con il GDPR.

Per essere pronti a ridurre gli effetti negativi di un attacco informatico ransomware, le aziende devono adottare misure organizzative e tecniche per prevenire/mitigare gli impatti di questo genere di data breach.

Tale misure includono un controllo dettagliato dei dati con una mappatura degli stessi, la segmentazione dei database per evitare la diffusione del virus, l’adozione di un modello organizzativo di compliance privacy che crei dei presidi di controllo all’interno dell’azienda e una cultura della compliance privacy, anche tramite la simulazione di attacchi informatici, perchè nella maggior parte dei casi gli attacchi informatici hanno successo a causa di un errore umano, l’esistenza di misure di alert e tracciamento delle operazioni svolte sui sistemi, l’esecuzione regolare di test di vulnerabilità e penetration e la creazione di un Incident Response Plan, un Disaster Recovery Plan e un Business Continuity Plan, assicurandosi che questi siano testati a fondo.

Neanche l’adozione di tutte queste misure può però garantire che un cyber attacco e in particolare un attacco ransomware non possa avere successo. Riprendendo una famosa citazione di John Chambers, ex CEO di Cisco,

There are only two types of organisations:

those that have been hacked and those that don’t know it yet!”.

L’adozione delle misure sopra indicate può ridurre il rischio di successo di una cyberattacco e, anche qualora abbia successo, può mitigarne le conseguenze e il rischio di una eventuale sanzione ai sensi del GDPR. Questo richiede una forte integrazione tra gli esperti di compliance privacy e i tecnici dell’azienda perchè, come sopra indicato, l’errore umano la fonte principale del cyber rischio e soluzioni di carattere tecnico non possono annullare il rischio derivante dall’errore umano.

Auspichiamo che gli investimenti del Governo in cybersicurezza vadano in questa direzione. Come di recente sottolineato dal Ministro Colao sulla cybersecurity “Il Governo si è mosso in maniera molto decisa e il problema non è di soldi ma di skills”. Lo stesso messaggio è stato convogliato dal Ministro Giogetti, ma gli skills non possono solo essere tecnici. La creazione di una cultura sulla tutela della privacy e della cybersicurezza, accompagnata da presidi di controllo, è assolutamente un elemento che deve completare il rafforzamento delle misure tecniche.

Su un argomento simile può essere interessante l’articolo “Un data breach da cyberattacco ransomware in Italia: come gestirlo ai sensi del GDPR?”.