Le indagini condotte dal garante della privacy riportano definitivamente la presenza di gravi errori nella gestione della sicurezza.
Sembra ieri da quando si ebbe il principio dell’emergenza di SaarS Cov-2, meglio noto come Covid-19, eppure sono già trascorsi ben quattro anni. Molti ricordano quel periodo come il distanziamento sociale e il desiderio di continuare a restare uniti nonostante le restrizioni. Altri lo ricordano per le gravissime lacune del sistema informatico italiano e della sua sicurezza alla base.
Uno degli enti maggiormente colpiti fu proprio il sistema sanitario della regione Lazio, con la conseguenza di un gravissimo data breach e la criptazione di milioni di cartelle sanitarie di altrettanti assistiti.
Sin da allora è stato tutto un susseguirsi di accuse reciproche tra la Regione, il garante della privacy e lo staff tecnico responsabile della sicurezza.
Tuttavia, le cose sono cambiate drasticamente, in quanto nella giornata del 10 aprile 2024, il Garante della Privacy ha confermato le sanzioni alla Regione Lazio per gli eventi accaduti durante il periodo vaccinale.
Ma come sempre andiamo con ordine e analizziamo l’argomento per gradi.
Attacco ransomware alla Regione Lazio
31 luglio 2021 – la Regione Lazio subiva l’infiltrazione nei suoi sistemi del ransomware RansomEXX, meglio conosciuto come Defray777.
Questo era penetrato attraverso il portatile di un dipendente collegato alla rete interna. Grazie all’entry point non sorvegliato, il ransomware aveva raggiunto i server centrali e aveva criptato i dati sanitari di ben 6 milioni di cittadini, compromettendo al tempo stesso i normali servizi offerti dal CED regionale.
I disagi non tardarono a manifestarsi, in quanto i cittadini che erano in attesa del loro turno per ricevere il vaccino anti-Covid e quelli che dovevano effettuare la prenotazione dello stesso, non poterono raggiungere il portale online sanitario regionale, in quanto risultava perennemente offline.
A ciò si aggiunse il rischio che decenni di pratiche, autorizzazioni, concessioni edilizie e via dicendo, potessero essere state cancellate in toto.
Domenica 1° agosto la Regione Lazio si affidò a Twitter per spiegare l’accaduto.
Sul proprio profilo social, l’assessore alla sanità Lorenzo D’Amato spiegò che era in corso un “potente attacco hacker senza precedenti al CED regionale”.
Questi aggiunse un dettaglio particolare, ovvero la presenza di un backup criptato e che non era stato richiesto alcun riscatto.
Ciò portò a pensare che si trattasse di un atto terroristico, generando così un panico generale non indifferente.
A tal proposito intervenne Stefano Zanero, docente di computer security presso il Politecnico di Milano, che non mancò di far notare come le dichiarazioni di D’Amato fossero deliranti e prive delle conoscenze basilari dell’informatica.
Questo perché nessuno competente in materia avrebbe mai parlato di un potente attacco informatico, o che i computer fossero andati in tilt autonomamente.
La verità è che si trattava di un normalissimo attacco ransomware con regolare richiesta di riscatto.
LAZIOCrea e la falla nella sicurezza del sistema IT
Come detto nel paragrafo precedente, il ransomware RansomEXX è penetrato nella rete interna della Regione Lazio attraverso il portatile di un dipendente, ma non di uno qualunque.
Questi era infatti uno dei membri di LAZIOCrea, società addetta alla sicurezza interna il cui compito è vigilare proprio sulla robustezza delle misure cautelari dei sistemi informatici.
Stando alle indagini condotte, sembrerebbe che il dipendente in smart working avesse ricevuto un’e-mail da parte di uno dei fornitori la cui sicurezza informatica era già stata compromessa mesi prima. Attraverso questa breccia sono state rubate varie password VPN dei clienti del fornitore, tra cui quella di alcuni utenti appartenenti a LAZIOCrea. In tal modo i malintenzionati sono stati in grado di eseguire il deploy di RansomEXX nel notebook del dipendente, diffondendolo così in tutto il sistema della Regione Lazio.
A ciò si aggiunse un’ulteriore aggravante:
l’assenza totale di una gestione di privilegi e di password efficace, in quanto tramite lo stesso dipendente si è avuto l’accesso ad account con privilegi amministrativi massimi e alle virtual machine VMWare con sistema operativo ESXi. Queste sono state le prime a venir attaccate, con il loro contenuto interamente criptato.
Questa è stata la causa che ha portato al blocco dei servizi CED regionali e a far temere il peggio, poiché l’unico backup di cui la Regione Lazio disponeva era offline e allocato proprio su uno dei server compromessi da RansomEXX.
L’evento non è stato assolutamente eccezionale, poiché rispettoso di tutti i canoni di un normalissimo attacco ransomware condotto contro un ente decisamente impreparato. Nonostante l’accaduto rientri nelle capacità di gestione di un’infrastruttura di critica importanza come la Regione Lazio, la stessa si è dimostrata incapace di fornire un piano risposta contro attacchi ransomware e il ripristino delle normali operazioni ai cittadini nel più breve tempo possibile.
Le lacune di LAZIOCrea e le indagini
A seguito dell’attacco, le autorità del garante della privacy hanno avviato un’indagine nei confronti della Regione Lazio, per far luce sulla reale situazione.
La spiegazione di quanto accaduto in seguito per il recupero dei dati è da attribuire a Corrado Giustozzi, senior cybersecurity strategist e docente di sicurezza informatica alla Luiss di Roma.
L’esperto, parlando a nome della Regione, spiega che il team IT ha dapprima eseguito un wipe del sistema e una doppia reinstallazione dello stesso, per poi effettuare un recupero dei dati a basso livello. L’intero processo è stato portato a termine dopo 50 ore consecutive di lavoro e si sono recuperati dati risalenti alla giornata di venerdì 30 luglio 2021.
Tuttavia, le indagini del garante della privacy hanno messo in luce l’inadeguatezza delle misure di sicurezza adottate dalla Regione Lazio e da LAZIOCrea. In particolare, l’assenza di un backup online/offsite è stata giudicata inammissibile, in quanto si deve sempre assicurare la presenza di una copia di backup esterna inaccessibile dal sistema. Nonostante la presenza di una Virtual Tape Library, il nastro che avrebbe dovuto ospitare il backup giornaliero era completamente vuoto.
A peggiorare la situazione ci si è messa anche l’assenza di un’architettura zero trust sugli accessi.
Tutti gli account presenti nell’infrastruttura della Regione Lazio erano privi dell’ormai essenziale 2FA, con il sistema di monitoraggio degli accessi anomali del tutto assente.
Le sanzioni
In base a quanto emerso dalle indagini, il Garante della Privacy, nella giornata del 10 aprile 2024, ha deciso di sanzionare LAZIOCrea e la Regione Lazio con rispettivamente 271.000 euro e 120.000 euro, per la natura e la gravità delle violazioni, a cui si aggiunge il grado di responsabilità attribuito ad entrambe le parti.
A queste se ne aggiunge un’ulteriore di 10.000 euro nei confronti dell’ASL Roma 3, per non aver notificato in tempo il data breach.
Le sanzioni sono da ritenersi opportune, in quanto gli amministratori delegati e gli esperti tecnici devono dimostrare davanti alla legge di aver messo in atto tutte le pratiche possibili per far fronte ad un attacco ransomware contro i propri sistemi informatici.
In questo caso è mancata predisposizione da parte di LAZIOCrea delle azioni necessarie per gestire un data breach e le conseguenze, specialmente nei confronti dei soggetti per cui svolge l’incarico.
Dal punto di vista legislativo è bene sottolineare che la Direttiva 2022/2555, conosciuta anche come Direttiva NIS2, è in vigore dal 17 gennaio 2023. Essa stabilisce l’obbligo di garantire un livello di cybersicurezza elevato in comune con tutti gli stati membri dell’Unione Europea. Una sua mancata messa in atto rappresenta una gravissima violazione contro il GDPR (General Data Protection Regulation) promulgato dalla Commissione europea e operativo dal 25 maggio 2018.
In conclusione
L’attacco ransomware contro la Regione Lazio mette ulteriormente sotto i riflettori una nazione altamente impreparata a gestire situazioni di emergenza in fatto di sicurezza informatica.
Tutti i sistemi degli enti e delle organizzazioni governative sono ben lontani dal garantire gli standard di conformità richiesti dalla Commissione europea.
Ancora una volta la sicurezza informatica si dimostra essere l’ultima ruota del carro per il popolo italiano ed è per questo motivo che le sanzioni emesse contro gli enti responsabili del data breach sono ampiamente giustificabili.
Questo episodio rappresenta un pericoloso precedente, che serve a sottolineare ancora una volta la necessità di una completa re-implementazione delle misure di sicurezza informatica nell’ambito sanitario e della responsabilità da parte delle istituzioni a fare tutto il possibile per proteggere i dati sensibili dei cittadini.
- Autore articolo
- Gli ultimi articoli
Classe 1993, laureato in Informatica e Comunicazione Digitale e grafico ACP. Ha mosso i primi passi nel mondo dell’informatica grazie ai videogiochi, divenendo in seguito appassionato di motori grafici. Scrive per passione da quando aveva sei anni e non immaginava di certo che un giorno sarebbe diventata una sua professione.