È nelle cronache di tutti i giornali l’attacco ransomware ai sistemi informatici della Regione Lazio che è stato inflitto da alcuni cybercriminali, ma si parla di meno di quali conseguenze potrebbe avere in termini di sanzioni ai sensi del Gdpr.
Il ransomware è un tipo di malware che limita l’accesso al sistema informatico che infetta o ai dati che memorizza tramite tecniche di crittografia a cui fa seguito la richiesta di pagamento di un riscatto (il cosiddetto ransom). L’impatto del ransomware sul funzionamento di un’azienda può essere enorme, poiché può criptare in pochi minuti tutti i file nei sistemi informatici, impedendo l’accesso e bloccandone la maggior parte delle funzionalità.
E questo è successo alla Regione Lazio dove i dati disponibili nei suoi sistemi informatici – ivi incluse le copie di backup – sono state criptate, rendendo l’accesso agli stessi impossibile e chiedendo il pagamento del ransom entro 72 ore, allo scadere dei quali normalmente i dati verranno pubblicati sul dark web (una sorta di marketplace dei cybercriminali).
La pandemia da Covid-19 e l’aumento del cosiddetto smart working hanno aumentato l’esposizione al rischio di attacchi ransomware perché – come sembra il caso dell’attacco alla Regione Lazio – l’errore umano è la fonte principale dei cyberattacchi e la distanza dal luogo di lavoro rende un possibile errore più probabile.
Fino a pochi anni fa, i cyberattacchi ransomware semplicemente criptavano i dati nei sistemi informatici della vittima, senza che ci fosse un accesso e/o una copia dei dati criptati, una cosiddetta esfiltrazione. Di recente, gli hacker sono diventati però più sofisticati e hanno capito che con un’esfiltrazione di dati personali hanno più probabilità di ricevere il pagamento di un riscatto. Infatti sembrerebbe che nel caso della Regione Lazio gli hacker siano riusciti ad entrare nei sistemi informatici tramite una password debole di un amministratore di sistema; abbiano esfiltrato i dati, probabilmente facendo attenzione a limitare il flusso di esfiltrazione dei dati entro i limiti di tolleranza per evitare di essere rilevati dai sistemi di prevenzione della perdita di dati (Dlp); poi hanno criptato i dati nei sistemi; e probabilmente inizieranno a pubblicare alcuni dati personali sul dark web per dimostrare l’effettiva esfiltrazione, minacciando che verranno pubblicati migliaia di dati, qualora il ransom non sarà pagato.
La rilevanza del fenomeno dei ransomware sui dati personali è tale che l’European Data Protection Board (Edpb) nelle sue linee guida su esempi di violazione dei dati ha affrontato specificatamente alcuni frequenti scenari relativi a data breach derivanti da attacchi ransomware.
Nel caso della Regione Lazio non si conoscono tutti i dettagli della questione. Tuttavia, aldilà del fatto che l’esfiltrazione sia effettivamente avvenuta, l’indisponibilità prolungata dei dati anche sanitari è possibile che avrà comportato la necessità di una notifica al Garante per la protezione dei dati personali, e anche una comunicazione agli interessati, soprattutto qualora l’indisponibilità – seppur temporanea – dei dati personali abbia causato per esempio eventuali ritardi nei trattamenti sanitari, ivi comprese le vaccinazioni anti Covid-19.
Questo scenario è decisamente sconfortante e sembra che al danno per la Regione Lazio ora si possa aggiungere la beffa di una sanzione ai sensi del Gdpr dovuta alla potenziale inadeguatezza delle misure tecniche ed organizzative della Regione. C’è da chiarire infatti che il verificarsi di un data breach non comporta di per sé una violazione della normativa sul trattamento dei dati personali. Tuttavia, alla luce del principio dell’accountability, chi subisce l’attacco deve dimostrare che – nonostante il verificarsi del data breach – le misure adottate erano in linea con il Gdpr.
Rispetto alle azioni che sono essere adottate per evitare un attacco informatico ransomware, le misure organizzative e tecniche per prevenire/mitigare gli impatti dei data breach derivanti da attacchi ransomware includono:
- lo svolgimento di una attività di mappatura dei trattamenti dettagliata in modo da limitare l’accesso e quindi la possibile fonte di rischi agli individui che effettivamente devono eseguire le attività di trattamento;
- la progettazione e l’organizzazione di sistemi di elaborazione e infrastrutture per segmentare o isolare i sistemi di dati e le reti per evitare la propagazione del ransomware all’interno dell’organizzazione e ai sistemi esterni;
- l’adozione di un modello organizzativo di compliance privacy con dei presidi di controllo interno e lo svolgimento di una formazione dei dipendenti sugli obblighi privacy e sui metodi di riconoscimento e prevenzione degli attacchi informatici, permettendo loro di stabilire se le e-mail e i messaggi ottenuti con altri mezzi di comunicazione sono autentici e affidabili e procedendo anche a simulazioni di attacco informatico, ricordando che nella maggior parte dei casi gli attacchi informatici hanno successo a causa di un errore umano;
- l’esistenza di una procedura di backup aggiornata, sicura e testata con supporti per il backup a medio e lungo termine tenuti separati dalla conservazione dei dati operativi e fuori dalla portata di terzi anche in caso di attacco riuscito, in modo che le copie di backup non possano essere colpite da un attacco che riguarda il serve principale;
- l’inoltro o la replica di tutti i log su un server di log centrale;
- l’adozione di una crittografia e autenticazione forte, in particolare per l’accesso amministrativo ai sistemi informatici;
- l’esecuzione regola di test di vulnerabilità e penetration;
- la creazione di un Incident Response Plan, un Disaster Recovery Plan e un Business Continuity Plan, assicurandosi che questi siano testati a fondo.
Neanche l’adozione di tutte queste misure può però garantire che un cyber attacco e in particolare un attacco ransomware non possa avere successo. Riprendendo una famosa citazione di John Chambers, ex Ceo di Cisco, “There are only two types of organisations: those that have been hacked and those that don’t know it yet!”.
L’adozione delle misure sopra indicate può ridurre il rischio di successo di una cyberattacco e, anche qualora abbia successo, può mitigarne le conseguenze e il rischio di una eventuale sanzione ai sensi del Gdpr. Questo richiede una forte integrazione tra gli esperti di compliance privacy e i tecnici dell’azienda perché, come sopra indicato, l’errore umano la fonte principale del cyber rischio e soluzioni di carattere tecnico non possono annullare il rischio derivante dall’errore umano.
