Con un attacco hacker senza precedenti, nella notte tra il 31 luglio e il 1° di agosto del 2021, un ransomware, e cioè un programma informatico dannoso che limita l’accesso del dispositivo che infetta, venne introdotto nel sistema informatico della sanità regionale, bloccando l’accesso a moltissimi servizi sanitari.
Asl, aziende ospedaliere e case di cura, furono coinvolte per mesi in questo incubo informatico, che ebbe ripercussioni sulla salute di milioni di assistiti e mise a rischio i loro dati sensibili. Un disastro sul quale il Garante della Privacy, ha definito i vari procedimenti nei confronti della Regione Lazio, di LAZIOcrea e della Asl Roma 3, considerate tutte responsabili a diversi livelli, di una errata gestione dell’attacco informatico.
Multe per oltre 400mila euro a LAZIOcrea, Regione Lazio e Asl Roma 3: per tutte la responsabilità di un’errata gestione del data breach durante l’attacco hacker
Sono state stabilite in queste ore dal Garante della Privacy, le sanzioni nei confronti di LAZIOcrea, Regione Lazio e Asl Roma 3, considerate a vario titolo corresponsabili di un errata gestione del gravissimo attacco hacker avvenuto a cavallo dei mesi di luglio e agosto 2021, nel sistema informatico sanitario regionale.
Il ransomware riuscì ad introdursi nel sistema attraverso il PC portatile di un dipendente della Regione Lazio, dando il via al Data Breach che bloccò l’accesso ad un’infinità di servizi sanitari.
Venne interdetta la gestione delle prenotazioni, così come i pagamenti e l’iter di ritiro dei referti medici, senza parlare poi dell’impossibilità di registrare le vaccinazioni in pieno Covid.
Sia le Asl, che le aziende ospedaliere e le case di cura del territorio regionale, furono pesantemente colpite con l’impossibilità di utilizzare sistemi informativi regionali, per accedere ai dati sulla salute di milioni di pazienti.
Un disastro con strascichi che durarono per alcuni mesi, sul quale vennero avviati immediati accertamenti dall’Autorità Garante della Privacy, facendo emergere a vario titolo, le diverse responsabilità in particolare della società LAZIOcrea, che gestisce i sistemi informativi regionali e della Regione Lazio.
Ad entrambe sarebbero state imputate gravi violazioni della normativa della privacy, collegate all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza capaci di rilevare istantaneamente le violazioni di dati personali, e garantire la sicurezza delle reti informatiche.
Proprio il deficit che durante il pesante attacco informatico, che ha messo fuori uso in contemporanea 180 server virtuali, non ha consentito alle strutture sanitarie regionali, di accedere al sistema per erogare i servizi sanitari ai pazienti.
Le responsabilità di LAZIOcrea e Regione Lazio
Tra le varie azioni contestate, le accuse più importanti sono state rivolte a LAZIOcrea, sia per l’incapacità di evitare un’ulteriore propagazione del ransomware dannoso, che per la sua scelta, in quella fase di crisi informatica, di spegnere tutti i sistemi, nell’incapacità di determinare quali fossero quelli compromessi.
La Regione Lazio invece, in qualità di titolare del trattamento, avrebbe dovuto esercitare in maniera più efficace la vigilanza su LAZIOcrea, assicurando un livello di sicurezza adeguato ai rischi nonché la protezione dei dati fin dalla progettazione del sistema.
Tenuto conto della natura e della gravità delle violazioni, tre sanzioni di 271mila, 120mila e 10mila euro, sono state irrogate rispettivamente a LAZIOcrea, alla Regione Lazio e alla Asl Roma 3.
In questo ultimo caso la colpa dell’azienda sanitaria, diversamente da altre strutture è stata quella di non notificare il data breach determinato dall’indisponibilità dei dati sulla salute degli assistiti trattati nell’ambito di alcuni sistemi.
Le prime reazioni social alla sanzione alla Regione Lazio
La multa stabilita per la Regione Lazio e Asl Roma 3 ha lasciato di stucco perfino gli utenti social che in queste ore all’annuncio dei provvedimenti del Garante, hanno ripercorso quei momenti veramente difficili per le istituzioni.
Dopo l’annuncio di quanto stava accadendo alle prime ore della mattina del 1° agosto, arrivato direttamente dall’Unità di Crisi Covid 19 della Regione Lazio, non tardò ad arrivare il 4 agosto, la richiesta di riscatto di 5 milioni di euro da versare in bitcoin.
Gli hacker minacciano di vendere i dati sul dark web con evidenti violazioni della privacy di tutti i residenti della regione e con il conseguente rischio di “clonazione” delle identità.
Una situazione veramente drammatica, in cui la Regione Lazio, riuscì nonostante tutto il giorno seguente a ripristinare almeno il servizio di prenotazione dei vaccini anti-Covid, in un momento ancora delicatissimo per i contagi.
A settembre dello stesso anno poi, arrivò l’annuncio di un’azione legale da parte di un gruppo di avvocati e medici legali, contro la Regione Lazio. Fu il l’avvocato Manuel Pirolli a spiegare il perché:
“Dal Garante della Privacy c’era stato già un ammonimento sulla sicurezza della Regione Lazio che è stato ignorato, ed ha portato a quello che è accaduto” – dichiarò il legale.
“Un lavoro fatto male che dovrebbe vedere come principale responsabile il fornitore, ma a quanto pare non è così, vista la sanzione che traduce in pieno il concetto dell’imparare a Nostre spese” – tra i commenti presi del web di un utente.
