x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Attacco informatico alla Regione Lazio: safety, security, sicurezza informatica, cybersecurity, security by design…. facciamo ordine!

Lecce
Ph. Antonio Capodieci / Lecce

Altri articoli dell'autore

Diritto /

Privacy: Unione Europea e USA, quando finirà il conflitto?

Diritto /

Controlli sui lavoratori: provvedimenti del Garante

Diritto /

Modernizzazione del diritto d’autore

Indice

1. Le caratteristiche dell’attacco informatico: un primo inquadramento

2. La sicurezza informatica nella Pubblica Amministrazione: il quadro normativo e regolamentare

3. Riflessioni conclusive

 

1. Le caratteristiche dell’attacco informatico: un primo inquadramento

In data 1° agosto, tramite Twitter, la Regione Lazio ha annunciato: “È in corso un potente attacco al ced regionale. I sistemi informatici sono tutti disattivati compresi tutti quelli del portale Salute Lazio e della rete vaccinale…”.

Successivamente, il Presidente della Regione ha comunicato: “da stanotte è in corso un pesantissimo attacco hacker contro sistemi informatici Lazio Crea che gestiscono prenotazioni vaccini… e l’Assessore regionale alla Sanità al quotidiano La Repubblica ha affermato: “È un attacco hacker molto potente, molto grave. È sotto attacco tutto il ced regionale. È un attacco senza precedenti per il sistema informatico della Regione …”.

Da alcune informazioni diffuse tramite la stampa – poi smentite ma con persistenti ambiguità al riguardo – risulta, inoltre, che il “cryptolocker” utilizzato abbia reso inutilizzabili anche i dati presenti nel back up effettuato automaticamente durante l’attacco nonché che l’attacco si sarebbe verificato “a monte” e che la Regione Lazio sarebbe solo il quarto soggetto coinvolto.

Più in particolare, sembra che l’accesso sia avvenuto durante una sessione amministrativa lasciata aperta da un dipendente di Lazio Crea; in altri commenti è altresì indicato che l’attacco si sia in origine verificato nei confronti di un fornitore di Lazio Crea; in sintesi, un tipo di attacco ransomware c.d. “supply-chain”.

Ad oggi, non è noto l’ammontare della somma richiesta a titolo di riscatto e è altresì non conosciuta la linea difensiva approntata per la gestione dell’attacco (se orientata al pagamento del riscatto per ottenere la decriptazione dei dati oppure a cercare di risolvere la situazione ricorrendo a tecnici specializzati, evitando conseguentemente di sottomettersi alle richieste economiche dei responsabili dell’attacco – come consigliato dallo stessa Autorità Garante per la Protezione dei Dati Personali nel proprio documento sul Ransomware – in quanto il pagamento di somme di denaro, oltre al danno economico, potrebbe dare luogo al rischio di non ricevere i codici di sblocco o di essere inseriti in “liste di pagatori”, con la conseguenza di essere potenzialmente soggetti a periodici attacchi ransomware.

Gli elementi sopra riportati fanno comunque presupporre – come già messo in evidenza in alcuni articoli pubblicati on-line – che, nel caso di specie, si è trattato non di un attacco di tipo ideologico (come sarebbe potuto pensare, ad es., per il coinvolgimento dei dati sulle vaccinazioni e le conseguenti azioni di contrasto da parte della corrente “no-vax”) quanto, piuttosto, di un attacco di tipo puramente estorsivo, con l’unico obiettivo di trarre un vantaggio economico.

 

2. La sicurezza informatica nella Pubblica Amministrazione: il quadro normativo e regolamentare

La prima considerazione da fare relativamente alla disciplina normativa applicabile al caso in questione è che la Regione Lazio è soggetta al Regolamento UE 679/2016 (“GDPR”) e alla normativa italiana in materia di protezione dei dati personali.

Certamente l’aspetto legato alla protezione dei dati personali è di massima rilevanza e richiede il coinvolgimento in primis del titolare del trattamento, tenuto ad un diverso approccio nei confronti della protezione dei dati personali, basato sull’applicazione del principio di accountability e delle relative derivazioni di “privacy by design” e di “privacy by default.

In funzione di tale approccio, il titolare è tenuto ad una serie di rilievi e valutazioni prima dell’inizio delle operazioni di trattamento, tra cui, in particolare, va considerata la valutazione dei rischi.

Il GDPR, come noto, è imperniato sul concetto di rischio e di gestione del rischio, con evidente collegamento alla UNI ISO 31000, normativa tecnica dedicata alla gestione del rischio.

Tale premessa, unitamente all’applicazione del principio di sicurezza, che costituisce parte integrante dei principi applicabili al trattamento dei dati personali, impone al titolare, anche in forza dell’articolo 32 del GDPR, tenendo conto di una serie di fattori, tra cui il rischio “di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” di mettere in atto misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.

Di particolare rilevanza pratica è l’elenco delle misure contenuto nel secondo paragrafo dell’articolo 32, che elenca, tra le altre:

  1. la pseudonimizzazione e la cifratura dei dati personali;
  2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Inoltre, merita considerazione la disposizione contenuta nel successivo paragrafo dell’articolo 32, in base alla quale è stabilito che “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale dei dati personali trasmessi, conservati o comunque trattati”.

Le disposizioni sopra indicate, espressione della centralità del rischio nel GDPR, impongono, quindi, un diverso approccio e grado di attenzione alla gestione dei dati personali e ciò sin dalla fase iniziale, attraverso operazioni di valutazione del rischio, comprendenti l’identificazione, l’analisi e la ponderazione dei rischi, il relativo trattamento (anche attraverso specifici strumenti, quali – ad esempio – il registro dei rischi e l’individuazione ed attuazione di specifiche misure di sorveglianza dei rischi  nel corso dello svolgimento delle attività).

Tali preliminari attività devono poi essere integrate da procedure di disaster recovery e business continuity, proprio per supportare l’attività di gestione del rischio e consentire una rapida ripresa delle attività.

Oltre a quanto sopra, deve, inoltre, tenersi conto del fatto che, nel caso in questione, l’attacco informatico ha riguardato un soggetto esterno alla Regione Lazio, a cui erano stati esternalizzati alcuni servizi: da tale punto di vista, va rilevato che, nell’ottica di salvaguardare il più possibile la protezione dei dati personali e sviluppare un clima di fiducia per l’economia digitale, il GDPR richiede espressamente che il titolare effettui “delle attività di revisione [“audit”], comprese le ispezioni” ai fornitori, proprio per verificarne la relativa affidabilità, in funzione della compliance al GDPR

Infine, non va trascurato che in conseguenza della realizzazione di un attacco informatico da cui derivi una violazione di dati, le norme del GDPR prescrivono obblighi specifici, in capo al titolare, di notifica all’Autorità di controllo entro tempi contenuti (di norma, 72 ore) e – nel caso di maggiore impatto, come quello in esame – di comunicazione agli interessati (adempimento, quanto alla notifica, posto in essere dalla Regione Lazio, come comunicato sul sito dell’Autorità Garante per la Protezione dei Dati Personali).

Come è possibile notare, già solo la normativa in tema di protezione dei dati personali assoggetta i titolari – sia pubblici che privati – a una serie di attività, con specifico riferimento ai rischi per i diritti e le libertà degli interessati, che si inquadrano nell’ottica sia della prevenzione che della relativa gestione.

Nel caso in questione, tuttavia, gli adempimenti in ambito di data protection devono necessariamente essere integrati con le previsioni contenute in specifiche disposizioni europee e nazionali in tema di sicurezza informatica.

A questo riguardo, rileva, in particolare, la Direttiva (UE) 1148/2016 del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (c.d. Direttiva NIS – Network and Information Security), attuata in Italia con il Decreto Legislativo 18 maggio 2018, n. 65, da cui discende l’obbligo per gli Operatori di Servizi Essenziali (nello specifico, si tratta di settori in cui le pubbliche amministrazioni sono in buona parte coinvolte, comprendenti in particolare energia, trasporti, sanità, oltre a settore bancario, infrastrutture dei mercati finanziari, fornitura e distribuzione acqua potabile) di

(i) adottare misure tecniche e organizzative “adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni”, nonché “per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali al fine di assicurare la continuità di tali servizi e

(ii) notificare al CSIRT italiano [Computer Security Incident Response Team: gruppo di intervento per la sicurezza informatica in caso di incidente] senza ingiustificato ritardo gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti”.   

Merita, altresì, considerazione l’importante ruolo attribuito in Europa all’Agenzia dell’UE per la sicurezza delle reti e dell’informazione (ENISA), i cui compiti e attribuzioni sono stati recentemente oggetto di ampliamento, mediante il Regolamento (UE) 2019/881 (c.d. Cybersecurity Act) e con cui – proprio nell’ottica di un rafforzamento del livello di fiducia nelle tecnologie digitali all’interno dell’UE – è stato ulteriormente istituito uno schema di certificazione di sicurezza, valido a livello europeo, per prodotti, processi e servizi ICT, con il precipuo obiettivo di promuovere, conseguentemente, gli elementi di sicurezza già nelle fasi iniziali della progettazione e sviluppo tecnico (c.d. “security by design”).

In ambito nazionale, rileva, infine,

(i) l’adozione del Piano Triennale per l’Informatica nella Pubblica Amministrazione, che – nella recente edizione valevole per il triennio 2020-2022 – prevede, tra l’altro, una particolare attenzione allo sviluppo della digitalizzazione delle pubbliche amministrazioni, individuando tra i principi guida la c.d. “sicurezza e privacy by design”, riferita al fatto che i servizi digitali debbano essere progettati ed erogati in modo sicuro e garantire la protezione dei dati personali, nonché

(ii) l’istituzione del “Perimetro di sicurezza nazionale cibernetica”, introdotto con la Legge del 18 novembre 2019, n. 133 – oggetto di particolare interesse ed apprezzamento da parte del NIS cooperation group europeo – il cui scopo consiste nell’assicurare un elevato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche e degli enti e degli operatori pubblici e privati aventi sede in Italia.

Il primo dei decreti attuativi del Perimetro di sicurezza nazionale (il DPCM 30 luglio 2020, n. 131) ha stabilito le macrocategorie dei soggetti rientranti nel relativo campo di applicazione, tra cui i soggetti che esercitano una funzione essenziale dello Stato e i soggetti che prestano un servizio essenziale per gli interessi dello Stato, ovvero qualunque soggetto pubblico o privato che presti un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato. È, inoltre, previsto (cfr.  DPCM 14 aprile 2021, n. 81) che qualora uno dei soggetti rientranti nel Perimetro sia oggetto di un attacco informatico, tale soggetto sarà tenuto a notificare al CSIRT (entro 6 ore oppure 1 ora, a seconda della tipologia) incidenti aventi impatto su un bene ICT.

Agli atti normativi sopra indicati, va aggiunto anche l’ultimo Decreto Legge del 14 giugno 2021, n. 82 recante “Disposizioni urgenti in materia di cyber-sicurezza, definizione dell’architettura nazionale di cyber-sicurezza e istituzione dell’Agenzia per la cyber-sicurezza nazionale”.

Certamente, di particolare rilievo, è l’istituzione dell’“Agenzia per la cyber-sicurezza nazionale” (articolo 5) alla quale sono attribuite numerose funzioni in ambito di cyber-sicurezza (cfr., in particolare, l’articolo 7), mentre per effetto di quanto stabilito all’articolo 4 è altresì istituito il Comitato interministeriale per la cyber-sicurezza.

Da tale punto di vista è bene rilevare che – come già riconosciuto – l’Agenzia per la cyber-sicurezza si pone come strumento di safety, collocandosi tra le iniziative e i presidi volti a prevenire o ridurre gli eventi accidentali, derivanti da attacchi cyber, il cui ruolo e funzione va ad integrarsi con strumenti di security, da adottare in risposta ad attacchi informatici.

 

3. Riflessioni conclusive

La pluralità degli interventi normativi e l’intensificarsi delle misure messe in campo per cercare di affrontare un tema tanto delicato quanto complesso quale quello della sicurezza informatica richiede inevitabilmente ai soggetti, principalmente pubblici, in conseguenza delle particolari tipologie dei dati, che per ruolo e funzione, si trovano a trattare, un cambio di passo, che possa portare ad un diverso approccio ai processi di digitalizzazione in corso ed al nuovo contesto operativo.

Non a caso, recentemente, la portavoce della Commissione Europea, nel rilevare i rischi a cui è esposto il settore sanitario, ancor più negli ultimi tempi a causa dell’emergenza da Covid-19, per effetto di progressive e crescenti operazioni di digitalizzazione, ha espresso la propria preoccupazione per l’incidente occorso alla Regione Lazio, peraltro in linea con quello occorso nel maggio scorso al servizio sanitario irlandese.

In sintesi, soprattutto nel settore pubblico è sarà sempre più richiesta una nuova consapevolezza sul valore costitutivo della sicurezza, anche attraverso la messa a punto di sistemi di gestione dei dati, che consentano di sovraintendere tutto il processo, a partire dall’attività di accertamento e valutazione dei rischi, compreso il monitoraggio periodico degli stessi e l’individuazione di misure tecniche adeguate, fino all’adozione di misure organizzative, in grado di strutturare adeguatamente le pubbliche amministrazioni e il relativo personale, anche attraverso l’adozione di programmi formativi ad hoc, volti ad incrementare la preparazione e la consapevolezza del personale e in particolar modo dei soggetti autorizzati

Articoli più letti su questo argomento

Diritto /

L’estorsione informatica

Diritto /

Due diligence: cybersecurity e clausole di garanzia

Diritto /

Phishing - Cassazione Civile: è responsabilità dell’istituto bancario dimostrare di avere adottato tutte le misure idonee a garantire la sicurezza del servizio telematico a disposizione del cliente

Newsletter Abbonamenti