Nella notte tra il 31 luglio e il 1° agosto 2021, un grave attacco informatico ha colpito il sistema sanitario regionale del Lazio, causando un esteso data breach e compromettendo la sicurezza dei dati personali di milioni di assistiti. L'incidente ha portato a sanzioni da parte del Garante Privacy, delineando responsabilità e gravi violazioni della normativa sulla privacy.
Il Garante Privacy ha definito i procedimenti aperti dopo l’attacco informatico al sistema sanitario regionale avvenuto nella notte tra il 31 luglio e il 1° agosto del 2021, attraverso tre sanzioni di 271mila, 120mila e 10mila euro, irrogate rispettivamente a LAZIOcrea, società che gestisce i sistemi informativi regionali, alla Regione Lazio e alla ASL Roma 3.
Il data breach, causato da un ransomware introdotto nel sistema attraverso un portatile in uso a un dipendente della Regione, ha bloccato l’accesso a molti servizi sanitari impedendo, tra l’altro, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione delle vaccinazioni.
Asl, aziende ospedaliere, case di cura non hanno potuto utilizzare alcuni sistemi informativi regionali, attraverso i quali sono trattati i dati sulla salute di milioni di assistiti, per un arco temporale che è andato da poche ore ad alcuni mesi. L’inadeguata sicurezza dei sistemi ha determinato, nel corso dell’attacco informatico, l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti. In particolare, l’indisponibilità dei dati è stata determinata dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, nonché dalla scelta di LAZIOcrea di spegnere tutti i sistemi, non essendo in grado di determinare quali fossero quelli compromessi, né di evitare un’ulteriore propagazione del malware.
La dinamica dell'attacco
È la notte del 30 luglio 2021. L'Italia è in piena campagna vaccinale contro Covid-19. Un ransomware infetta i sistemi informatici di Regione Lazio. Il portale per prenotare il vaccino anti-coronavirus resta inaccessibile per ore. I cybercriminali ricorrono al malware Lockbit 2.0 per l'attacco: mettono i dati sotto chiave e chiedono un riscatto in cambio, pena la pubblicazione delle informazioni.
Nel mirino c'è un data center supervisionato da LazioCrea, la società pubblica che ha in gestione i sistemi informativi della Regione. Lockbit è una delle gang più attive. Secondo la società di sicurezza Group-IB, tra il secondo semestre del 2021 e il primo del 2022, il 34% della pubblicazione di dati di aziende europee attaccate sul mercato nero dei dati è opera di Lockbit 2.0.
Verso le 10 di domenica mattina, un Tweet della Regione Lazio rendeva noto che i propri sistemi erano sotto attacco; si è poi saputo che l’attacco era iniziato nella notte precedente mentre l’assessore regionale alla Sanità, Alessio D’Amato, dichiarava a caldo: “Questo è un attacco hacker molto potente, molto grave, è tutto out, è sotto attacco tutto il ced regionale. Ed è un attacco senza precedenti per il sistema informatico della Regione. Le procedure di registrazione possono subire rallentamenti. Sto andando a fare un sopralluogo per verificare la situazione”.
"È in corso un attacco hacker al ced regionale. Sono in corso tutte le operazioni di difesa e di verifica per evitare il potrarsi dei disservizi. Le operazioni relative alla vaccinazioni potranno subire rallentamenti. Un fatto gravissimo, blocca un servizio fondamentale”.
Una volta avuto l’accesso ai sistemi, i cybercriminali avrebbero introdotto il troyan Emotet, con il quale hanno avuto il pieno controllo dei sistemi, per poi installare il ransmoware che ha criptato i dati.
Ma come sono riusciti i cybercriminali a carpire le credenziali del dipendente di LazioCrea? La risposta non è facile: nelle prime ore si è collegato l’attacco a un fornitore della Regione, Engineering, che, pur confermando di avere subito un attacco nei giorni scorsi, ha smentito categoricamente che questo abbia avuto un qualsiasi collegamento con quanto avvenuto ai sistemi della Regione. Quello che comunque sembra evidente è l’assenza della procedura di autenticazione a due fattori da parte dei dipendenti in smartworking che accedevano tramite VPN. In ogni caso i criminali informatici che hanno sferrato l’attacco hanno lavorato molto bene e trovare tracce di questa fase non sarà facile.
Alle indagini, svolte dagli esperti di altissimo livello della Polizia Postale, collaborano agenti dell’FBI e dell’Europol.
vs. Lockbit 2.0
Le conseguenze dell'attacco
Il data breach ha causato la temporanea interruzione di numerosi servizi sanitari essenziali. Tra questi: la gestione delle prenotazioni mediche, i sistemi di pagamento, il ritiro dei referti e la registrazione delle vaccinazioni. Asl, aziende ospedaliere e case di cura hanno dovuto affrontare l’impossibilità di utilizzare sistemi informativi regionali critici per la gestione dei dati sanitari dei cittadini, con disagi prolungati da poche ore a diversi mesi.
La Regione Lazio ha dovuto affrontare costi significativi per la risposta all'attacco. È stato stipulato un contratto con Microsoft per servizi di ripristino rapido dal ransomware, per un importo di 136.824 euro (quasi 167.000 con l'IVA). Questo contratto, siglato il 5 agosto, mirava a ripristinare le funzionalità del data center regionale.
In data 30/07/2021 un attacco informatico effettuato da Hacker al data center che ospita alcuni dei sistemi informatici della nostra Regione ha compromesso l'utilizzo di alcuni dei servizi e delle applicazioni a disposizione del cittadino. È stato tempestivamente attivato, in collaborazione con le autorità competenti e le forze dell'ordine, un Team tecnico dedicato alla gestione dell'evento e sono state messe in campo le misure necessarie a porre rimedio a possibili violazioni dei dati personali. Nel frattempo, per consentirci la migliore gestione dell'accaduto, i sistemi interessati sono stati disattivati e isolati dalla rete.
Il danno provocato dall'attacco ha incluso l'enorme disservizio dovuto ai siti bloccati, compreso quello del Consiglio Regionale, con inevitabili impatti sull'attività politica regionale. Nonostante dichiarazioni rassicuranti iniziali, la quantificazione precisa del danno è rimasta incerta per un certo periodo. È stato confermato che nessun dato sanitario, finanziario o di bilancio è stato rubato, ma la gestione dell'emergenza ha richiesto interventi complessi.
Le sanzioni del Garante Privacy
Il Garante Privacy ha inflitto sanzioni significative a LAZIOcrea e alla Regione Lazio a causa dell'inadeguatezza dei sistemi informatici e della mancata adozione di misure di sicurezza adeguate. LAZIOcrea è stata sanzionata con 271.000 euro per non aver gestito prontamente l'attacco e le sue conseguenze, decidendo di spegnere tutti i sistemi senza poter determinare quelli compromessi o prevenire ulteriori propagazioni del malware.
La Regione Lazio è stata multata per 120.000 euro per non aver esercitato una vigilanza sufficiente su LAZIOcrea, trascurando di garantire un livello di sicurezza adeguato ai rischi e di proteggere i dati fin dalla progettazione, come richiesto dalla normativa sulla privacy.
L'ASL Roma 3 ha ricevuto una sanzione di 10.000 euro per non aver notificato il data breach, evidenziando una differente gravità delle violazioni riscontrate.
Queste sanzioni sottolineano la gravità delle violazioni riscontrate e il grado di responsabilità attribuito alle entità coinvolte, in linea con le normative vigenti in materia di protezione dei dati personali e cybersicurezza.
Le indagini e le responsabilità
Le indagini condotte dall'autorità Garante Privacy hanno rivelato una serie di gravi violazioni. LAZIOcrea è stata accusata di non aver adottato sistemi aggiornati e misure di sicurezza adeguate per prevenire e rilevare tempestivamente le violazioni dei dati personali. La scelta di spegnere tutti i sistemi, senza la capacità di identificare quelli compromessi o di impedire la propagazione del malware, ha aggravato l'impatto dell'attacco.
La Regione Lazio è stata ritenuta colpevole di non aver esercitato una vigilanza adeguata su LAZIOcrea, mancando di garantire un livello di sicurezza appropriato ai rischi e di implementare la protezione dei dati fin dalla fase di progettazione, come richiesto dal GDPR.
Il contratto con Microsoft per i servizi di ripristino è stato un passo necessario per mitigare i danni, ma le indagini hanno messo in luce carenze strutturali nella sicurezza informatica regionale. La vicenda ha sollevato interrogativi sull'adeguatezza delle misure di cybersecurity adottate dalla pubblica amministrazione e sulla gestione dei fondi destinati alla protezione dei dati.
All'epoca dei fatti, si era menzionata la circostanza di credenziali sottratte a un dipendente e usate per penetrare nel data center. La presente comunicazione è resa anche ai sensi e per gli effetti di quanto disposto dall'art. 34 del reg. (UE) 2016/679.
La sanità è da tempo nel mirino dei cybercriminali, e la pandemia di Covid-19 ha ulteriormente esacerbato questo fenomeno, aumentando la vulnerabilità dei sistemi sanitari. I dati sanitari rappresentano un mercato lucroso nel dark web, e gli attacchi possono avere motivazioni sia economiche che politiche, con l'obiettivo di minare la credibilità delle istituzioni.
La Direttiva NIS2 mira a garantire un livello comune elevato di cybersicurezza nell'Unione Europea, evidenziando la crescente importanza di normative stringenti in questo settore. La pubblica amministrazione, in generale, risulta vulnerabile ad attacchi informatici, e la diffusione dello smart working ha ulteriormente aumentato la superficie di attacco.
vs. Lockbit 2.0
L'attacco alla Regione Lazio mette in luce l'importanza cruciale di una solida sicurezza informatica nel contesto sanitario e la responsabilità delle istituzioni nel proteggere i dati sensibili dei cittadini. La ricerca in cybersecurity in Italia è in rapida crescita, con un impegno del sistema governativo, industriale, della formazione e della ricerca per rafforzare le difese del Paese.
tags: #attacco #hacker #regione #lazio #oggi