Il messaggio lanciato dal Garante per la Protezione dei Dati Personali con le sanzioni comminate alla Regione Lazio, a LAZIOcrea e alla ASL Roma 3, va ben oltre il provvedimento nella sua essenza e dovrebbe far pesantemente riflettere ogni azienda titolare del trattamento, specialmente se oggetto di questa attività siano dati appartenenti a categorie particolari, quali appunto quelli sanitari, o dati sensibili.

Punto primo: un attacco hacker portato a buon fine, configura Data Breach. Si tratta di una verità ormai acclarata ma che, purtroppo, non è stata ancora compresa pienamente, ma di questo se ne è parlato già diffusamente.

Punto secondo: ogni Titolare del Trattamento deve essere consapevole e conscio della sua catena della privacy; sia quella interna dell’organizzazione aziendale o di una struttura, sia quella esterna che potrebbe vedere la presenza di strutture o risorse esterne con ruoli a volte fondamentali.

Per saperne di più > Subire un attacco ransomware non esime dalle responsabilità di protezione dati: il Garante Privacy sanziona la regione Lazio

La vicenda è quella nota di un attacco ransomware che si è sviluppato nel sistema della sanità laziale dal computer di un dipendente che stava lavorando da remoto. È stato quindi consentito l’ingresso nei sistemi di software malevoli che hanno creato un canale di comunicazione (backdoor) tra i computer client infettati e il gruppo di cyber criminali. Gli attaccanti, sfruttando le stesse credenziali, sono riusciti ad accedere alla rete aziendale e da là a accedere alle sotto reti ed anche a utenze amministrative probabilmente individuate intercettando i pacchetti di dati al momento del login degli utenti.

La sanzione si è ripercossa a cascata sulla Regione, titolare del Trattamento, sull’azienda di gestione LAZIO crea e, infine, sulla ASL Roma 3 che non ha provveduto a notificare la violazione dei dati personali all’Autorità, né ha fornito adeguata documentazione sulle decisioni assunte e sulle valutazioni svolte, in grado di comprovare che, con riferimento a tali trattamenti, fosse improbabile che la violazione presentasse un rischio per i diritti e le libertà degli interessati.

Per approfondire > Notifica data breach: l'EDPB aggiorna le linee guida

I tre separati provvedimenti sanzionatori sono lunghi ed estremamente articolati ma sono chiari nel loro contesto e nell’avvertimento che lanciano, vale a dire che della violazione subita da un soggetto titolare possono derivare conseguenze anche per tutti gli altri enti o organizzazioni che ne possono essere toccati. E ciò sia nella loro qualità di titolare, contitolare o responsabile, sia per i doveri di informazione e di avvisi che scaturiscano dalla loro qualifica.

Non ultimo aspetto è quello delle modalità iniziali dell’attacco. Si legge infatti nel provvedimento che “nel mese di marzo 2021, un soggetto malintenzionato ha introdotto all’interno del PC portatile aziendale in uso [… a un] dipendente della Regione Lazio, una backdoor – non nota e non rilevata, né all’epoca né nel corso delle analisi, da più comuni software antivirus e antispyware – che è stata probabilmente utilizzata per acquisire le credenziali di autenticazione” attribuite al dipendente.”

Ancora una volta alla bai un data breach abbiamo il fattore umano che, da sempre, è il vero cavallo di Troia usato dai pirati informatici per accedere ai sistemi.
Disattenzione? Guasto momentaneo? Una rete WiFi con protezione debole o l’utilizzo di una password inefficace? Non è dato saperlo, ma il richiamo ad una costante verifica ad ogni anello della catena della privacy aziendale, alla loro formazione e al rispetto dei regolamenti aziendali è sempre più vitale per evitare di incorrere non solo in salate sanzioni, ma anche di vedere il proprio nome sulle pagine del sito del garante e di essere oggetto di ulteriori provvedimenti correttivi che potrebbero rivelarsi oltremodo costosi.