In seguito all’attacco informatico contro i sistemi della Regione Lazio, avvenuto tra il 31 luglio e il 1 agosto 2021, erano stati aperti tre procedimenti nei confronti di Lazio Crea, Regione Lazio e ASL Roma 3. Al termine delle indagini, il Garante per la protezione dei dati personali ha inflitto sanzioni per complessivi 401.000 euro.
Gravi violazioni della privacy
L’intrusione nel CED regionale ha causato l’interruzione di tutti i servizi al pubblico, in quanto i cybercriminali hanno installato il ransomware RansomEXX. Durante l’indagine e sulla base delle informazioni ricevute, l’autorità ha ricostruito l’accaduto.
I cybercriminali hanno compromesso l’account di un dipendente regionale tramite una backdoor installata sul computer usato per l’accesso alla rete aziendale (in quel periodo era utilizzato lo smart working). Dopo aver effettuato l’accesso ai sistemi hanno effettuato una escalation di privilegi per ottenere i permessi di amministratore, sfruttando le vulnerabilità di un server non aggiornato.
In seguito agli accertamenti e alle ispezioni, l’autorità ha rilevato numerose e gravi violazioni della normativa sulla privacy da parte di Lazio Crea (società che gestisce i sistemi informativi) dovute principalmente all’uso di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate.
Inoltre, Lazio Crea non ha adottato le azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge il ruolo di responsabile del trattamento. La multa inflitta dal Garante è 271.000 euro.
La Regione Lazio, in qualità di titolare del trattamento, non ha invece esercitato in maniera più efficace la vigilanza su Lazio Crea, in modo da garantire un livello di sicurezza adeguato ai rischi e la protezione dei dati fin dalla progettazione dei sistemi. La multa inflitta dal Garante è 120.000 euro.
La terza sanzione di 10.000 euro è stata inflitta alla ASL Roma 3 perché, a differenza delle altre aziende sanitarie, non ha notificato la violazione dei dati personali all’autorità.