Data breach della Regione Lazio: i provvedimenti del Garante

Indice

Sul portale del Garante per la Potezione dei Dati Personali sono stati pubblicati i provvedimenti contro la Regione Lazio, l’azienda LazioCrea S.p.A. e la ASL Roma 3 a seguito del data breach subito dalla Regione Lazio nel 2021. Forniamo qualche spunto di riflessione.

Piccolo riassunto

Il 1 agosto 2021 i sistemi della Regione Lazio smettono di funzionare a causa di un ransomware inoculato dal collettivo RansomEXX. Ci si trova in piena emergenza COVID-19 e l’indisponibilità dei servizi informatici erogati dalla Regione Lazio hanno una diretta conseguenza sui processi di vaccinazione e sulla gestione attiva dell’emergenza, oltre che sulle normali procedure lavorative. Per maggiori informazioni su quanto accaduto si raccomanda la ricostruzione presente in questo articolo.

I provvedimenti del Garante

Il 21 marzo 2024, quindi dopo circa 960 giorni, il Garante si esprime sull’accaduto con tre provvedimenti sanzionatori molto interessanti che, per comodità, vengono raccolti in tabella.

ProvvedimentoSoggettoSanzioneLink al provvedimento
10002324LazioCrea S.p.A.€ 271.000Link
10002287Regione Lazio€ 120.000Link
10002533ASL Roma 3€ 10.000Link

I provvedimenti sono molto interessanti per tutta una serie di ragioni non solo tecnici ma anche organizzativi e dimostrano una serie di omissioni che tutt’ora molte aziende pubbliche e private si ostinano a non sanare; di seguito alcuni spunti di riflessione.

Segmentazione delle reti

La segmentazione della rete, unita alla segregazione delle funzioni (la prima è tecnica, la seconda organizzativa) sono assenti in moltissime realtà aziendali. Sono funzioni che non si possono improvvisare ma sono essenziali per il raggiungimento di un livello di sicurezza tale da evitare il proliferare della minaccia (sia essa ransomware o di altro tipo). In passato, sempre su questo portale, si è parlato largamente di segmentazione delle reti così come della segregazione delle funzioni. In merito al data breach della Regione Lazio, il Garante si è espresso molto duramente.

qualora LAZIOcrea avesse provveduto a segregare adeguatamente le reti su cui erano attestati i sistemi server e le postazioni di lavoro dei propri dipendenti e della Regione Lazio, la stessa Società non avrebbe dovuto procedere allo spegnimento dei citati sistemi server, e quindi le strutture sanitarie non avrebbero subito l’indisponibilità di accesso a numerosi sistemi informativi e ai relativi dati; la segregazione delle reti è peraltro una delle più comuni misure adottate nell’ambito di data center che ospitano sistemi informatici deputati al trattamento di diverse categorie di dati personali, anche relativi allo stato di salute, che LAZIOcrea – in qualità di società che opera nel settore ICT secondo il modello in house providing – avrebbe senz’altro dovuto assicurare tenuto conto del contesto e delle caratteristiche dei trattamenti in relazione ai quali è stata designata responsabile dalla Regione e dalle strutture sanitarie;

Fonte: GDPD Provvedimento 10002324, Data Breach Regione Lazio, Pg.29

È bene ribadire che questo problema è comune a molti attori: il provvedimento di novembre 2023 nei confronti della ASL Napoli 3 Sud, vittima di un data breach nel 2021 riporta:

La mancata adozione di misure adeguate a garantire la sicurezza delle reti, sia in relazione alla segmentazione e segregazione delle stesse, sia con riferimento all’accesso remoto tramite VPN, non è risultata conforme…

Fonte: GDPD Provvedimento 9941232, Data Breach Napoli 3 Sud, Pg.18

È quindi una mancanza comune a molte realtà che denota, nel migliore dei casi, un’ignoranza sulle procedure di sicurezza elementari. Nel peggiore dei casi, invece, una vera e propria negligenza attuativa.

Mantenimento di sistemi obsoleti

All’interno del provvedimento del Garante si legge una nota molto interessante in merito ai sistemi obsoleti. Di norma si pensa, erroneamente, che il mantenimento di un sistema obsoleto costituisca di per sé una violazione di sicurezza: questo non è vero. È, purtroppo, comune trovare sistemi “legacy” impegnati ad erogare servizi basati su applicazioni datate che non richiedono hardware e sistemi ormai obsoleti. Nel caso della Regione Lazio, c’è un passaggio importante del provvedimento del Garante che merita una lettura attenta.

Al contempo, il fatto di mantenere in esercizio un’applicazione gestita da un sistema che ha raggiunto il termine di “fine vita”, per il quale non sono più disponibili patch o aggiornamenti di sistema, non costituisce in sé una violazione di sicurezza, poiché tale applicazione può opportunamente essere isolata all’interno di un perimetro volto ad assicurarne il funzionamento. Infatti, la vulnerabilità sfruttata dall’agente esterno in relazione alla “privileges escalation” non era esposta all’esterno della rete regionale, come dichiarato nelle memorie del Responsabile;

Fonte: GDPD Provvedimento 10002287, Data Breach Regione Lazio, Pg.12

Il Garante quindi tiene in seria considerazione la “fine vita” di un sistema e, logicamente, non la condanna priori purché essa sia opportunamente messa in sicurezza attraverso procedure di isolamento e quindi di protezione. I sistemi a fine vita non sono semplicemente sistemi vecchi, sono soprattutto sistemi di cui si conoscono vulnerabilità e tecniche di attacco; ne consegue che devono ritenersi compromesse e come tali devono essere trattati. Quando non vi è la possibilità di aggiornarli, è necessario proteggerli adeguatamente.

Spegnimento dei sistemi infetti

La CISA (Computer Infrastructure Security Agency) ha rilasciato tempo addietro una serie di passi essenziali per contrastare le conseguenze da ransomware. Tra questi passi vi è la disconnessione degli apparati infetti e, conseguentemente, il loro spegnimento. La procedura di “spegnimento emergenziale” è nota in Italia anche in altri contesti: forse alcuni lettori ricorderanno l’episodio occorso nel 2018 sulle PEC che portò Telecom a spegnere i sistemi. Una procedura largamente discussa ma prevista nelle condizioni straordinarie. Nel caso del data breach alla Regione Lazio la posizione del Garante è chiara.

la mancata disponibilità di accesso ai dati conservati sui predetti sistemi è stata determinata:
i) direttamente dall’attacco informatico che, compromettendo lo strato applicativo del sistema di virtualizzazione, ha quindi reso indisponibili circa 180 sistemi server virtuali e inaccessibili i dati ivi trattati;
ii) indirettamente dalla scelta di LAZIOcrea di spegnere tutti i sistemi server in quanto, al momento dell’attacco informatico, non era in grado né di determinare quali fossero compromessi, né di evitare un’ulteriore propagazione del malware stante l’assenza di una segregazione delle reti su cui gli stessi erano attestati.

Fonte: GDPD Provvedimento 10002324, Data Breach Regione Lazio, Pg.29

Lo spegnimento come extrema ratio, è considerata valida solo in rarissime condizioni e non esenta da sanzioni, soprattutto se le conseguenze derivanti da tale procedura sarebbero potute essere evitate. A tal fine giova ricordare quanto riportato subito dopo dallo stesso Garante:

l’art. 25 del Regolamento non richiede l’attuazione di specifiche misure tecniche e organizzative, bensì che le misure e le garanzie individuate e adottate dal titolare siano specificamente connesse all’attuazione dei principi di protezione dei dati nell’ambito dei trattamenti in concreto svolti; le misure e le garanzie devono essere concepite per essere robuste e il titolare del trattamento deve essere in grado di attuarne ulteriori al fine di far fronte a un eventuale aumento dei rischi. L’efficacia o meno delle misure dipende dal contesto del trattamento e degli altri elementi che il titolare deve tenere in considerazione all’atto della determinazione dei mezzi del trattamento

Fonte: GDPD Provvedimento 10002324, Data Breach Regione Lazio, Pg.29

Lo spegnimento, pertanto, è un’extrema ratio accettabile se le altre misure di sicurezza previste ed implementate hanno fallito. Non è considerata accettabile se sono presenti mancanze conclamate nel perimetro di sicurezza e se quindi l’azione di spegnimento, per quanto evitabile, diviene l’unica opzione plausibile. Benchè non collegabile anche a questo punto del provvedimento, è interessante notare quanto già riportato in relazione alla segregazione “LazioCrea avrebbe senz’altro dovuto assicurare tenuto conto del contesto e delle caratteristiche dei trattamenti in relazione ai quali è stata designata responsabile dalla Regione e dalle strutture sanitarie”.

Conclusioni

I tre provvedimenti sono fonte di numerose riflessioni che possono essere opportunamente colte solo leggendoli per intero. È comunque molto importante capire che a distanza di anni molte realtà pubbliche e private si ostinano a non tenere in considerazione queste misure “basilari” per la protezione del dato.