A quasi 3 anni dal cyberattacco al sistema sanitario della Regione Lazio sappiamo nel dettaglio chi ha commesso gravi errori, senza i quali i cittadini e pazienti non avrebbero vissuto disagi per giorni e in alcuni casi anche per mesi. Stiamo parlando dell’attacco informatico al sistema sanitario regionale avvenuto nella notte tra il 31 luglio e il 1^ agosto del 2021. Asl, aziende ospedaliere, case di cura non hanno potuto, infatti, utilizzare alcuni sistemi informativi regionali, attraverso i quali sono trattati i dati sulla salute di milioni di assistiti.
Le indagini del Garante Privacy: “Le numerose e gravi violazioni della normativa da parte di LAZIOcrea e Regione. Mancata adozione di misure di sicurezza“
Dagli accertamenti e dalle ispezioni effettuate dal Garante Privacy è emerso che LAZIOcrea, che l’in-house che gestisce i sistemi informativi regionali, e Regione Lazio, pur con differenti ruoli e livelli di responsabilità, “sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche”.
Per questi motivi l’Autorità ha sanzionato con 271mila euro LAZIOcrea, 120mila la Regione e con 10mila euro l’ASL Roma3, perché, quest’ultima, non ha notificato il data breach.
Il cyberattacco che ha fatto svegliare l’Italia dal torpore
Il data breach ai sistemi informativi regionali, causato da un ransomware introdotto nel sistema attraverso un portatile in uso a un dipendente della Regione, ha bloccato l’accesso a molti servizi sanitari impedendo, tra l’altro, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione delle vaccinazioni. È stato il cyberattacco che ha fatto capire alle istituzioni politiche italiane e ai media generalisti quanto sia importante la cybersecurity. “Peccato che l’incidente alla Regione Lazio sia avvenuto dopo lo stanziamento dei 623 milioni del PNRR”, ha confessato, candidamente, a gennaio 2023 l’ex direttore generale dell’Agenzia per la Cybersicurezza Nazionale Roberto Baldoni, perché quello è stato, appunto, il momento in cui l’Italia ha capito l’importanza della sicurezza informatica e della resilienza cibernetica.
Gli errori di LAZIOcrea
L’inadeguata sicurezza dei sistemi ha determinato, nel corso dell’attacco informatico, ha accertato il Garante Privacy:
- l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti.
- In particolare, l’indisponibilità dei dati è stata determinata dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, nonché dalla scelta di LAZIOcrea di spegnere tutti i sistemi, non essendo in grado di determinare quali fossero quelli compromessi, né di evitare un’ulteriore propagazione del malware.
Inoltre, LAZIOcrea non ha posto in essere le azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento (a partire dalle numerose strutture sanitarie coinvolte).
Gli errori della Regione Lazio
La Regione Lazio, dal canto suo, in qualità di titolare del trattamento, avrebbe dovuto esercitare in maniera più efficace la vigilanza su LAZIOcrea, quale suo responsabile del trattamento, assicurando un livello di sicurezza adeguato ai rischi nonché la protezione dei dati fin dalla progettazione.
Nel definire l’ammontare delle sanzioni il Garante ha tenuto conto della natura e della gravità delle violazioni, nonché del grado di responsabilità, in particolare, di soggetti come LAZIOcrea e la Regione Lazio.
Dietro a questi gravi errori ci sono persone
E per chi ha commesso i gravi errori evidenziati dal Garante Privacy? Solo il disegno di legge in queste ore in esame alla Camera dei Deputati in materia di cybersicurezza prevede “per i dipendenti delle PA in caso di sanzione può costituirsi anche la causa di responsabilità disciplinare e amministrativo-contabile”. Finalmente.
The post Per il cyberattacco nel 2021 ai sistemi sanitari del Lazio, 271mila euro di sanzione alla in-house e 120mila alla Regione appeared first on Key4biz.
0 Commentaires