Data Breach alla regione Lazio: la gravità dipende dalla reazione
Che la regione Lazio abbia subito un attacco informatico domenica 1° agosto, ormai lo sappiamo tutti. La notizia è stata data dalla stessa Regione con un tweet, parlando di possibili disagi, che si sono puntualmente verificati, col blocco della prenotazione dei vaccini anti Covid e dell’attività amministrativa ordinaria.
Si è parlato del ransomware che ha criptato i dati della Regione come un attacco potente, senza precedenti, quasi terroristico, sono stati usati titoli sensazionalistici e toni da fine del mondo.
Ma quello che si è verificato è stato veramente così inatteso?
Vediamo che cosa è successo e soprattutto quale insegnamento possiamo trarne.
Di potente e senza precedenti, in questo data breach, in verità c’è ben poco.
Gli attacchi ransomware, ovvero i tentativi di entrare nei sistemi informativi altrui mediante un malware che cripta il data base allo scopo di chiedere un riscatto (ransom, in inglese), sono ormai effettuati su base seriale e industriale.
Chi lavora nella cybersecurity è solito ripetere che il rischio zero non esiste (come non esiste nella vita reale in nessuna attività umana) e che qualsiasi sistema informatico si divide sostanzialmente in due grandi categorie: chi ha già subito un attacco informatico di successo, e chi non lo ha ancora subito.
>> Leggi tutti gli articoli in tema di Cybersecurity
Per quanto riguarda nello specifico le Pubbliche Amministrazioni, vale la pena di ricordare gli attacchi recenti ai Comuni di Rho e di Brescia e soprattutto tenere presente che secondo l’ultimo rapporto Clusit 2021, il settore pubblico è stato uno degli obiettivi più colpiti nel 2020 ed il trend non può che essere in crescita, così come lo è in generale per tutto il cybercrime, che al momento è la terza economia mondiale (dopo Cina e Stati Uniti) per “fatturato” ed è destinata a scalare la classifica.
È stato confermato dalla Regione che il ransomware è partito dal computer di un dipendente in remote working, senza fornire ulteriori specifiche e pare sia già stato richiesto un riscatto, pari a 5 milioni di euro in bitcoin.
Fino a qui, dunque, nulla di eccezionale.
Consigliamo
Casi e questioni di data breach – e-Book in formato zip
Michele Iaselli, 2021, Maggioli Editore
I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre…
14,90 € 14,16 €
Acquista
su www.maggiolieditore.it –>
Il problema semmai sta nel fatto che la Regione non ha un backup dei dati off line e dunque il backup, anch’esso online, è stato criptato insieme con il data base principale. Questo significa che, a meno di non pagare il riscatto richiesto (cosa che i vertici della Regione hanno già dichiarato di non voler fare), sarà impossibile recuperare i dati criptati. È come se si trovassero in una cassaforte di cui nessuno, a parte gli hacker, possiede la chiave o la combinazione.
Al momento in cui si scrive non risultano esfiltrazioni di dati, cioè i dati criptati non circolano nel web alla mercé di chiunque, ma il Garante è stato informato ed ha aperto formalmente il data breach, come previsto dagli artt. 32 البريد 33 del GDPR, il che potrebbe comportare oltre alla beffa (si fa per dire) l’ulteriore conseguenza negativa di una sanzione in caso venga accertato che non sono stati rispettati i principi di accountability e di data protection by design e by default stabiliti dal GDPR.
Il vero tema di questo, come di altri, data breach sta nella prevenzione e nella reazione.
Prevenzione, che vuol dire non solo adeguamento al GDPR da un punto di vista formale, documentale e procedurale, ma soprattutto in tema di cybersecurity, che è il vero pilastro su cui si fonda la protezione dei dati così come pensata dal Regolamento UE 679/16, e così configurazione dei server, acquisto di software di protezione, presenza di backup adeguati e aggiornati, resilienza dei sistemi, ridondanza, policy di BYOD, navigazione in sicurezza, aggiornamento continuo, formazione del personale ed ogni altra misura tecnica ritenuta adeguata.
Reazione, che vuol dire presenza di una policy di disaster recovery preventivamente approvata e testata, per reagire all’attacco, sapere chi deve fare cosa e rispondere nei tempi più brevi possibili.
Infine, ricordiamo che il GDPR prevede una serie di obblighi preventivi e reattivi, e tra questi ultimi una serie di comunicazioni istituzionali da effettuare non solo al Garante per la Protezione dei Dati Personali, ma anche agli interessati i cui dati sono rimasti coinvolti nel data breach, qualora la violazione comporti rischi per i diritti e le libertà fondamentali delle persone.
In conclusione, la gravità di questo attacco non sta nell’attacco in sé, che come abbiamo visto è stato piuttosto banale e molto diffuso, ma nel modo in cui la Regione sarà in grado di affrontarlo e di risolverlo, dipendendo da ciò alternativamente conseguenze estremamente gravi (e allora sì che si potrà parlare di attacco “senza precedenti”) oppure soltanto molto rumore per nulla, un brutto quarto d’ora, ma nulla di più.
Corso on-line
Cybersecurity: aspetti giuridici e pratici
La nuova figura del cyberavvocato
A cura di Luisa Di Giacomo, Michele Iaselli e Enrico Amistadi
Diventa autore di Diritto.it
Scopri di più!
Ti potrebbe interessare anche
E-commerce e cybersecurity: regole comunitarie e nazionali a tutela della sicurezza
di Redazione
19 مارس 2021
Intelligenza artificiale ai tempi del Covid-19 e violazione dei dati personali
di Carmina Valentino
29 أبريل 2020
Il bug di un sito internet che permette ai navigatori di visualizzare e modificare i dati ivi contenuti, relativi ai partecipanti ad un concorso pubblico, determina una violazione della privacy
di Muia’ Pier Paolo
13 أكتوبر 2020
Il Garante privacy ha espresso parere favorevole all’utilizzo del modello ISEE pre-compilato
di Muia’ Pier Paolo
5 أيلول 2019
The post Data Breach alla regione Lazio: la gravità dipende dalla reazione appeared first on Diritto.it.
مصدر: Diritto.it