A quasi 3 anni dal cyberattacco al sistema sanitario della Regione Lazio sappiamo nel dettaglio chi ha commesso gravi errori, senza i quali i cittadini e pazienti non avrebbero vissuto disagi per giorni e in alcuni casi anche per mesi. Stiamo parlando dell’attacco informatico al sistema sanitario regionale avvenuto nella notte tra il 31 luglio e il 1^ agosto del 2021, criptando, senza rubare quindi, i dati sanitari di circa 6 milioni di cittadini. Asl, aziende ospedaliere, case di cura non hanno potuto, infatti, utilizzare alcuni sistemi informativi regionali, attraverso i quali sono trattati i dati sulla salute di milioni di assistiti.
Le indagini del Garante Privacy: “Le numerose e gravi violazioni della normativa da parte di LAZIOcrea e Regione. Mancata adozione di misure di sicurezza“
Dagli accertamenti e dalle ispezioni effettuate dal Garante Privacy è emerso che LAZIOcrea, che l’in-house che gestisce i sistemi informativi regionali, e Regione Lazio, pur con differenti ruoli e livelli di responsabilità, “sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche”.
Per questi motivi l’Autorità ha sanzionato con 271mila euro LAZIOcrea, 120mila la Regione e con 10mila euro l’ASL Roma3, perché, quest’ultima, non ha notificato il data breach.
Il cyberattacco che ha fatto svegliare l’Italia dal torpore. Baldoni disse: “Peccato che l’incidente alla Regione Lazio sia avvenuto dopo lo stanziamento dei 623 milioni del PNRR”
Il data breach ai sistemi informativi regionali, causato da un ransomware introdotto nel sistema attraverso un portatile in uso a un dipendente della Regione, ha bloccato l’accesso a molti servizi sanitari impedendo, tra l’altro, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione delle vaccinazioni. È stato il cyberattacco che ha fatto capire alle istituzioni politiche italiane e ai media generalisti quanto sia importante la cybersecurity. “Peccato che l’incidente alla Regione Lazio sia avvenuto dopo lo stanziamento dei 623 milioni del PNRR dedicati al rafforzamento della cyber-resilienza nelle PA”, ha confessato, candidamente, a gennaio 2023 l’ex direttore generale dell’Agenzia per la Cybersicurezza Nazionale Roberto Baldoni, perché quello è stato, appunto, il momento in cui l’Italia ha capito l’importanza della sicurezza informatica e della resilienza cibernetica.
In maniera frettolosa, l’allora presidente della Regione Lazio Nicola Zingaretti definì l’attacco “di stampo terroristico“. Fu richiesto il pagamento del riscatto, ma senza esito.
I dati di circa 6 milioni di cittadini del Lazio furono recuperati grazie al backup sulla Virtual Tape Library, con l’ultimo aggiornamento a venerdì 30 luglio, il giorno prima che il RansomEXX bucasse i sistemi informatici della Regione.
Gli errori di LAZIOcrea
L’inadeguata sicurezza dei sistemi ha determinato, nel corso dell’attacco informatico, ha accertato il Garante Privacy:
- l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti.
- In particolare, l’indisponibilità dei dati è stata determinata dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, nonché dalla scelta di LAZIOcrea di spegnere tutti i sistemi, non essendo in grado di determinare quali fossero quelli compromessi, né di evitare un’ulteriore propagazione del malware.
Inoltre, LAZIOcrea non ha posto in essere le azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento (a partire dalle numerose strutture sanitarie coinvolte).
Gli errori della Regione Lazio
La Regione Lazio, dal canto suo, in qualità di titolare del trattamento, avrebbe dovuto esercitare in maniera più efficace la vigilanza su LAZIOcrea, quale suo responsabile del trattamento, assicurando un livello di sicurezza adeguato ai rischi nonché la protezione dei dati fin dalla progettazione.
Nel definire l’ammontare delle sanzioni il Garante ha tenuto conto della natura e della gravità delle violazioni, nonché del grado di responsabilità, in particolare, di soggetti come LAZIOcrea e la Regione Lazio.
Dietro a questi gravi errori ci sono persone
E per chi ha commesso i gravi errori evidenziati dal Garante Privacy? Solo il disegno di legge in queste ore in esame alla Camera dei Deputati in materia di cybersicurezza prevede “per i dipendenti delle PA in caso di sanzione può costituirsi anche la causa di responsabilità disciplinare e amministrativo-contabile”. Finalmente.
Per approfondire:
Il nostro articolo del 2 agosto 2021: Attacco informatico a Regione Lazio. Zingaretti: “È terrorismo” cibernetico