Mentre le indagini della Polizia Postale per accertare le modalità con cui il Centro di Elaborazione Dati (CED) della Regione Lazio ha subito uno degli attacchi hacker più gravi che abbiano mai colpito il nostro paese, viene da chiedersi quali siano le sue implicazioni e le norme impattate. Da qui si può immaginare una via per fare meglio – come sistema Paese, prima che come Regione Lazio – la prossima volta.
Indice degli argomenti
Dati criptati ed esposti, vaccini bloccati
Attualmente, le informazioni disponibili sembrano confermare che i dati particolari del 70% dei cittadini di Roma e delle Province vicine che si sono vaccinati siano stati esposti, compresi quelli del Presidente della Repubblica, Sergio Mattarella, e quelli del Presidente del Consiglio, Mario Draghi. In aggiunta, tutte le attività informatiche della sanità regionale e non solo sono state paralizzate.
In primo luogo, è opportuno sottolineare che, a causa di tale attacco le prenotazioni per il vaccino sono state bloccate in tutta la regione, come confermato da Nicola Zingaretti che ha aggiunto che il sistema oggetto dell’attacco è stato disattivato per evitare ulteriori danni mentre i dati sanitari dei cittadini sarebbero in sicurezza. Eppure, l’attacco ransomware sarebbe ancora in corso. Proprio questa implicazione è di fondamentale importanza. È necessario, infatti, comprendere quale tipologia di dati personali sia stata oggetto di hacking.
È legittimo supporre che siano stati esposti dati anagrafici, dati di residenza, codici fiscali e dati sanitari, anche se legati esclusivamente alla campagna vaccinale. Sebbene queste tipologie di dati siano soggette alla protezione del GDPR (Reg. UE 2016/679), i danni potrebbero essere contenuti in quanto la maggior parte degli stessi possono essere reperiti da fonti aperte. In base a quanto dichiarato dagli addetti alla sicurezza, gli attaccanti non avrebbero avuto accesso alla storia sanitaria dei milioni di cittadini che sono inseriti nel database del sistema sanitario regionale.
Bloccati però anche documenti e pratiche regionali – concessioni edilizie, ambientali, gestione rifiuti – non grave disservizio per la continuità operativa dell’attività regionale.
Le norme impattate
La Regione Lazio è comunque tenuta a notificare l’avvenuto data breach sia al Garante Italiano per la Privacy sia agli interessati, come previsto rispettivamente dagli artt. 33 e 34 del Regolamento, in attesa di comprendere la reale portata dell’attacco; così ha in effetti fatto, a quanto comunica il Garante.
In secondo luogo, la sanità regionale rientra tra le Infrastrutture Critiche nazionali, ed è quindi soggetta alla Direttiva NIS (Direttiva 2016/1148 dell’Unione Europea sulla sicurezza delle reti e dei sistemi informativi) e al Perimetro di sicurezza nazionale cibernetica, che prevedono che siano poste in essere tutte le misure ritenute necessarie per ottenere un elevato livello di sicurezza delle reti. Non si ha però certezza che la Regione Lazio rientri nel perimetro: questa è informazione classificata.
In particolare, la Direttiva NIS stabilisce anche che siano notificati gli incidenti da parte degli Operatori dei Servizi Essenziali (OSE), in cui rientra il settore sanitario, al Computer Security Incident Response Team (CSIRT) nazionale e alle altre autorità nazionali competenti.
In aggiunta, l’ultimo decreto attuativo del Perimetro fa riferimento al Framework Nazionale per la Cybersecurity e la Data Protection e dispone l’obbligo di implementazione di un piano di incident response comprensivo di procedure per garantire una reazione strutturata agli incidenti che comportino un data breach, e a un piano di disaster recovery da eseguire dopo aver subito un incidente o un attacco cyber.
Attacchi alle infrastrutture critiche
Dall’inizio della pandemia di Covid-19, infatti, sono stati registrati numerosi attacchi cyber alle infrastrutture critiche sanitarie come ospedali, case farmaceutiche, centri di ricerca e cliniche universitarie. Tali strutture hanno subito incursioni mirate sicuramente a bloccarne l’operatività, ma anche e soprattutto rivolte al furto di dati sanitari, come nel caso in questione. I precedenti più noti sono gli attacchi agli ospedali San Raffaele di Milano e allo Spallanzani di Roma, rispettivamente a marzo e aprile del 2020, il periodo di maggior diffusione del coronavirus. Proprio a tale riguardo, il Clusit (l’Associazione Italiana per la Sicurezza informatica) ha classificato nel suo Rapporto annuale ben 215 attacchi verso organizzazioni sanitarie, l’11.5% del totale degli attacchi dello scorso anno. La quasi totalità degli attacchi hanno motivazione di tipo Cybercrime (94%), una piccola parte di Espionage (5%), ed una minima parte di Hacktivism (1%). (Clusit – Rapporto 2021 sulla Sicurezza ICT in Italia)
Proprio come conseguenza degli attacchi appena citati al sistema sanitario, e della successiva riunione straordinaria del Nucleo per la Sicurezza Cibernetica (NSC), presieduto dal Vice Direttore generale con delega al cyber del Dipartimento delle Informazioni per la Sicurezza (DIS), Roberto Baldoni, e di cui fanno parte anche rappresentanti di agenzie di intelligence AISE e AISI e del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic), è stato diffuso un alert per aumentare le difese cyber delle infrastrutture critiche.
Un’opportunità per fare meglio
Questo ennesimo attacco cyber ai danni del settore sanitario, uno dei più colpiti a livello internazionale, anche e soprattutto a causa della pandemia da Covid-19, potrebbe rappresentare anche un’opportunità. Tale evento potrebbe infatti fornire la spinta decisiva all’istituzione dell’Agenzia per la cybersicurezza nazionale. Il Decreto-legge 14 giugno 2021, n. 82, infatti, dopo aver passato l’esame della Camera, è attualmente all’esame del Senato e potrebbe diventare Legge entro la metà di questa settimana.
Come confermato da Franco Gabrielli, sottosegretario alla Presidenza del Consiglio (Autorità delegata per la sicurezza della Repubblica), l’Agenzia per la cybersicurezza nazionale “è uno strumento di safety che completerà gli altri strumenti di security di cui disponiamo: forze di polizia, difesa, Intelligence. Un modello misto che poggia su quattro pilastri”.
Una volta istituita e entrata a regime, infatti, sarà proprio l’Agenzia a gestire simili crisi cibernetiche e curare la preparazione e la prevenzione in materia di sicurezza informatica.
Non meno importante, l’Agenzia per la cybersicurezza nazionale completerà la strategia di cyber-resilienza nazionale, avviata con la disciplina sul Perimetro cibernetico, e accrescerà, attraverso la promozione della cultura della sicurezza cibernetica, la consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber.
Si useranno a tal scopo anche i 600milioni di euro disponibili nel PNNR per la cyber.
L’Italia verso l’Agenzia per la cybersicurezza nazionale: i nodi da sciogliere subito
