Attacco ASL Abruzzo, che cosa possiamo imparare

DPO in pillole/ Data protection e cybersecurity: un ransomware ha attaccato il sistema informatico dell’Azienda sanitaria locale dell’Abruzzo, non solo mettendo fuori uso l’intera azienda sanitaria, ma anche esfiltrando in rete i dati di tutti i pazienti

22 Maggio 2023
Scarica PDF Stampa
Modifica zoom
100%
di LUISA DI GIACOMO*

È passato relativamente sotto silenzio l’attacco del gruppo cybercriminale Monti che con un ransomware ha attaccato il sistema informatico dell’ASL Abruzzo, non solo mettendo fuori uso l’intera azienda sanitaria, ma anche esfiltrando in rete i dati di tutti i pazienti. Oltre 300 giga di dati sanitari, particolari e sensibili alla mercé del popolo del web, con conseguenze immaginabili in ambito economico (parliamo di risarcimento dei danni, sanzioni, sforzo economico per il ripristino dei sistemi) e di immagine. Nel caso in esame, tra l’altro, pare che tra i dati esposti in rete ci siano quelli di personaggi particolarmente “delicati”, quali criminali affiliati a Cosa Nostra e terroristi di fama internazionale.  Insomma, un vero e proprio disastro, di quelli che nessun Ente, pubblico o privato si vorrebbe mai trovare ad affrontare, e di quelli che nessun DPO vorrebbe mai dover gestire.

Ma purtroppo, lo sappiamo, la realtà va diversamente e nella realtà i data breach accadono: o perché il rischio zero non esiste e quindi nonostante tutte le misure tecniche ed organizzative attuate un attacco può sempre avere successo (e possiamo solo sperare di limitare i danni); oppure, peggio, perché le Pubbliche Amministrazioni sono ancora indietro anni luce nell’ambito della prevenzione cyber, sia a livello di preparazione degli utenti, sia a livello di tempi e modi di reazione.

In questa rubrica abbiamo parlato spesso di formazione, prevenzione, consapevolezza e accountability, ma l’occasione del data breach dell’ASL Abruzzo è ottima per ripassare insieme che cosa dovremmo fare quando si verifica un data breach dalla portata così dirompente, sia in termini di volumi dei dati attaccati, sia in termini di tipologie di dati coinvolti, sia in termini di conseguenze, sul piano operativo e dal punto di vista economico. Vediamo quindi i passi essenziali per un piano di data breach che, nell’emergenza, possa guidarci sul chi fa cosa per contenere i danni e per gestire al meglio l’incidente informatico, anche quando di dimensioni ragguardevoli come quello di cui oggi ci occupiamo.

>> LEGGI ANCHE La gestione degli attacchi ransomware: il corso operativo per le pubbliche amministrazioni.

Coinvolgere subito IL DPO

Anche se c’è un’emergenza da gestire, coinvolgere il DPO non è opzionale: è obbligatorio e va fatto immediatamente. Ricordiamoci che il ruolo del DPO è quello di assistere il Titolare in tutti gli aspetti fi gestione delle politiche di protezione dei dati, oltre al fatto che si tratta (o almeno così dovrebbe essere) del soggetto maggiormente competente in materia. Sarà lui o lei a dirigere le operazioni di data breach, sarà il regista della gestione dell’incidente e soprattutto sarà il soggetto che deciderà se e come notificare l’incidente entro le 72 ore dalla sua scoperta al Garante ed agli interessati. Non che nel caso del data breach dell’Abruzzo ci possano essere dubbi sull’opportunità di effettuare la notifica, va da sé, ma nei casi che invece sono meno lapalissiani di questo, anche se la decisione finale spetta sempre al Titolare, il parere del DPO è essenziale. E ricordiamo che, qualora il Titolare decida di agire senza tenere conto di un parere del proprio DPO; in caso di verifica di un danno, risponderà a titolo di dolo o colpa grave

Coinvolgere l’amministratore di sistema

Sarà l’IT admin a dover individuare la minaccia, isolarla nel più breve tempo possibile e circoscriverla nel minor spazio virtuale possibile, eventualmente scollegando i sistemi, chiudendo gli accessi, cambiando le password (nel caso in esame si tratta del ransomware Monti, dell’omonimo gruppo criminale, un malware tristemente conosciuto e particolarmente dirompente). Contemporaneamente, l’IT admin dovrà immediatamente attivare le procedure per il recupero dei dati attraverso il back-up.
Anche in questo caso, le procedure non si dovranno improvvisare, ma saranno state decise, scritte e testate in precedenza.

Valutare la violazione

Il tipo di violazione dovrà essere classificato in:
– violazione di riservatezza: quando si verifica una divulgazione o un accesso a dati non autorizzato o accidentale.
– violazione di integrità: quando si verifica un’alterazione di dati personali non autorizzata o accidentale.
– violazione di disponibilità: quando si verifica perdita, inaccessibilità o distruzione accidentale o non autorizzata di dati personali.

Nel caso in esame possiamo senz’altro affermare che tutti e tre i parametri sono stati violati (i dati criptati non sono più disponibili, non sono più riservati in quanto diffusi in rete e di conseguenza anche la loro integrità può ragionevolmente desumersi ad altissimo rischio).

Documentare la violazione e decidere in merito alla notifica

L’Ente Titolare del trattamento effettuerà la valutazione del rischio relativo alla violazione facendosi supportare dai responsabili, dal DPO ed anche, se presenti, da consulenti tecnici esterni nel caso in cui risulti opportuno. È obbligatorio redigere e conservare un registro delle violazioni, in cui documentare ogni tipo di data breach verificatosi, e in base alle procedure adottate ed ai criteri di gravità previsti, si dovrà decidere se la violazione comporta o meno rischi per i diritti e le libertà fondamentali degli interessati.
Se la violazione non comporta rischi, il Titolare del trattamento non procede ad alcuna comunicazione, ma tiene traccia della violazione e documenta dettagliatamente i motivi della mancata notifica (facendosi supportare dal DPO).
Se invece la violazione comporta rischi, è obbligatorio procedere alla redazione della notifica ai sensi dell’art. 33 punto 3 del GDPR.

Il titolare dovrà in particolare:
– descrivere la natura della violazione e dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
– comunicare il nome e i dati di contatto del DPO;
– descrivere le probabili conseguenze della violazione dei dati personali;
– descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi.

Infine, se la gravità della violazione è tale da comportare un rischio elevato per gli interessati, si dovrà anche procedere alla comunicazione ai sensi dell’art 34 punto 2 del GDPR, descrivendo con un linguaggio semplice e chiaro:

  • la natura della violazione dei dati personali;
  • il nome e i dati di contatto del DPO presso cui ottenere più informazioni;
  • le probabili conseguenze della violazione dei dati personali;
  • le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi.

Ed è sicuramente questo il nostro caso.

Ripristinare i sistemi e metterli in sicurezza

Se un attacco ha avuto successo, qualcosa non ha funzionato nella strategia preventiva. Sarà necessario applicare la procedura di disaster recovery per ripristinare i sistemi e riprendere la normale attività nel minore tempo possibile. Ma non solo. Sarà obbligatorio rivedere tutte le misure di sicurezza già adottate e valutare se modificarle o implementarle: in poche parole rimettere in sicurezza tutti i sistemi. Non è sufficiente cambiare le password (anche se sicuramente sarà necessario farlo). Piuttosto operare a tutto tondo, ripassando per la formazione dei dipendenti, per la verifica del funzionamento dei firewall, dei software di protezione installati e delle procedure di back-up stabilite. La nuova valutazione dei rischi e le nuove misure di sicurezza andranno nuovamente testate, le procedure aggiornate, il personale nuovamente formato.

Infine, nel caso in esame, sarà obbligatorio gestire le richieste degli interessati e le (eventuali) richieste di risarcimento che perverranno al titolare, nonché l’intervento del Garante che certamente vorrà comprendere le ragioni di un simile disastro. Non si punta il dito contro nessuno: oggi è successo in Abruzzo, domani potrebbe succedere al nostro Ente Locale.
È bene fare tesoro non solo delle nostre esperienze, ma anche di quelle che vediamo accadere ad altri, ricordandoci che la resilienza del nostro sistema di sicurezza cyber si basa su due pilastri fondamentali: un’ottima strategia di prevenzione ed una veloce ed efficace risposta in reazione. L’incidente in Abruzzo potrebbe essere un ottimo spunto per testare i nostri sistemi e, se necessario, intervenire dove essi siano trovati deboli o impreparati, prima che ci troviamo anche noi agli onori delle cronache giornalistiche, per motivi di notorietà di cui faremmo molto volentieri a meno.

>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.

Cybersecurity - Luisa Di GiacomoL’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.

Redazione