Il racconto dell’episodio, l’attività ispettiva, l’analisi degli eventi e delle loro conseguenze per gli interessati e l’organizzazione si dipanano all’interno del provvedimento, che approfondisce gli aspetti giuridici, tecnici e finanziari con un’esposizione lineare e articolata, che può essere letta con diverse chiavi di lettura. In questo articolo si analizzeranno tutti i punti di vista, illustrando quali sono le lezioni che le funzioni coinvolte dell’organizzazione – l’ufficio privacy e compliance, l’ICT, la funzione di comunicazione e il board dei decisori – possono, anzi devono, imparare.

Indice

• Cosa è successo
• La lezione per l’Ufficio Privacy e Compliance
• La lezione per l’Ufficio ICT
• La lezione per l’Ufficio Comunicazione
• La lezione per i decisori
• Guarda su YouTube la registrazione del webinar “Provvedimento Garante Privacy: sanzione per data breach”

Cosa è successo

Un gruppo di cyber criminali, denominato “Sabbath”, ha acquistato sul dark web alcuni account non privilegiati di utenti che accedevano da remoto ai sistemi informatici della ASL tramite VPN (Virtual Private Network); gli utenti che si avvalevano della VPN per svolgere da remoto le proprie funzioni lavorative erano circa 1200. Per tali utenze non era prevista una procedura di autenticazione a più fattori, l’autenticazione veniva effettuata mediante le credenziali di dominio; le password erano di almeno 8 caratteri con caratteri maiuscoli, minuscoli e numeri, per le utenze era prevista la scadenza automatica delle password a XX giorni dal rilascio e non era attivo il meccanismo di password history per impedire il riutilizzo delle precedenti.

I criminali hanno utilizzato le credenziali acquisite sul black market per penetrare nel sistema informatico, innalzare alle utenze violate i diritti amministrativi e implementando procedure informatiche fraudolente per garantirsi molteplici vie di accesso, costruendosi una posizione di persistenza all’interno dei sistemi che avrebbe loro consentito, nel periodo successivo, l’implementazione di una strategia di attacco dirompente.

Nella fase di intervento silente, sono stati raccolti numerosi documenti e reperti residenti su strumenti informatici in dotazione ai dipendenti, successivamente esfiltrati.

Nei giorni antecedenti le ferie di fine anno, il gruppo criminale ha dato il via alla fase finale dell’attacco, che ha comportato la cifratura di alcune parti del sistema informativo: infatti, il 7 dicembre 2022, al rientro della festa dell’Epifania, la ASL ha scoperto che molti sistemi informatici erano indisponibili, in particolare la gestione stipendi del personale dipendente, oltre che l’acquisizione e liquidazione di fatture fornitori e rimborsi. Fortunatamente, l’erogazione dei servizi verso l’utenza e la somministrazione della prestazione sanitaria è stata svolta in maniera continuativa senza soffrire interruzioni.

Il gruppo Sabbath ha quindi esplicitato la sua azione criminale, chiedendo un doppio riscatto: il primo per rilasciare alla ASL la chiave per decriptare i dati che sono stati sottratti e resi inaccessibili con un protocollo di crittografia di livello militare, il secondo riscatto per scongiurare la pubblicazione dei dati esfiltrati.

A seguito dell’attacco, la ASL ha richiesto l’intervento della società Leonardo S.p.A. per l’analisi dell’accaduto e per garantire il ripristino delle funzioni aziendali, dopo aver implementato un ambiente “sanificato” e non riattaccabile dal gruppo criminale. Inoltre, l’organizzazione ha doverosamente segnalato la violazione all’Autorità Garante per la protezione dei dati personali (art. 33 RGPD) e comunicato agli interessati l’accaduto (art. 34 RGPD).

Il provvedimento si conclude con l’attività istruttoria e con la comminazione della relativa sanzione.

La lezione per l’Ufficio Privacy e Compliance

Ovviamente, l’attacco ha comportato la valutazione di un rischio elevato per i diritti e le libertà degli interessati, con la conseguente necessità di effettuare la comunicazione ai sensi dell’art. 34 GDPR; trattandosi di un numero molto cospicuo di persone (circa 800.000) la comunicazione è stata di tipo multilivello, come si vedrà successivamente.

Il coinvolgimento repentino dell’Autorità Garante della protezione dei dati personali e la continua collaborazione hanno portato non solo alla comminazione di una pena lieve (in proporzione all’entità in termini qualitativi di tipologia dei dati esfiltrati e quantitativi in termini di numerosità degli interessati), ma anche ad una gestione sempre puntuale e attenta alla mitigazione di potenziali danni per le persone.

L’attività sicuramente più rilevante si è concretizzata con la costituzione di una task force multidisciplinare che si è focalizzata sull’analisi del data set oggetto di esfiltrazione (circa 3 GB suddivisi in circa 4000 files) al fine di individuare scrupolosamente il numero e tipologie di interessati, nonché il volume e le categorie di dati personali. Questo ha consentito di analizzare le tipologie di soggetti coinvolti e di individuare per ognuno di essi la più efficace modalità di comunicazione della violazione.

La reazione all’incidente è stata veramente efficace, sia per la sensibilità con cui è stata gestita la violazione che per la prontezza dell’intervento, che ha consentito di minimizzare il disagio degli interessati. Il tutto condotto a stretto contatto con l’Autorità. Questi motivi hanno portato all’irrogazione di una sanzione che, rapportata alla gravità dell’accaduto, si è rivelata irrisoria. In questo frangente, le attenuanti della gestione dell’incidente e dell’approccio collaborativo hanno sicuramente prevalso sull’elemento dissuasivo.

Lo spunto più interessante è il riferimento esplicito all’analisi del rischio e all’adozione di misure adeguate: il richiamo alla violazione dell’articolo 32 è molto inconsueto e si riscontra quando, rispetto ai rischi legati al trattamento, il titolare non ha adottato degli adeguati standard di sicurezza tenendo conto “dello stato dell’arte e dei costi di attuazione”. In passato, alcuni casi rilevanti in cui si è riscontrata la violazione dell’art. 32 sono stati il provvedimento relativo alla violazione del portale Rousseau (dovuto ad una cattiva gestione degli obblighi in tema di amministratori di sistema e inadeguatezza delle policy delle password) e il provvedimento per la violazione della riservatezza di alcuni whistleblowers (dovuto alla mancanza di cifratura nel protocollo di comunicazione http e alla diffusione on line di dati personali). In questo caso, le misure tecniche di sicurezza adottate (che verranno analizzate nel prossimo paragrafo) si sono rivelate inadeguate rispetto alla valutazione del rischio effettuata sul trattamento. Una valutazione espressa in forma piuttosto qualitativa, limitandosi a riscontrare una criticità relativa alla tipologia di dati trattati e degli interessati.

In merito alla durata della violazione, questa si considera avviata nel momento in cui sarebbe partita l’attività di scouting silente che avrebbe portato al lancio del software malevolo, mentre si definisce conclusa quando l’Azienda ha effettivamente raggiunto la bonifica dei sistemi interessati, con ripresa dei servizi annessi.

La lezione per l’Ufficio ICT

Il provvedimento racconta nel dettaglio sia le tecniche di attuazione dell’attacco che le modalità di intervento per ripristinare il sistema attaccato. In questo secondo contesto, in particolare, vengono descritte le fasi operative delle attività di contenimento: il documento descrive step-by-step gli interventi effettuati con l’obiettivo di ripristinare un sistema completamente ripulito da possibili minacce residue silenti.

Viene anche descritta una serie di risorse finalizzate a perseguire la sicurezza del sistema informatico, dalle tecnologie impiegate ai processi di controllo, passando anche per le necessarie campagne di sensibilizzazione del personale aziendale.

Come visto nel paragrafo precedente, la violazione dell’art. 32 era dovuta alla mancata adozione di adeguate misure di sicurezza, tra cui:

• L’utilizzo di password non complesse (minimo 8 caratteri, senza password history)
• Accesso in VPN senza autenticazione a 2 fattori
• Presenza di sistemi di monitoraggio dei dispositivi senza che tuttavia nessuno consultasse tali strumenti in maniera proceduralizzata.

In breve, le misure tecnologiche adottate non sono state ritenute adeguate rispetto ai rischi che avrebbero potuto impattare sui sistemi. È molto raro che i provvedimenti dell’Autorità di Controllo entrino nel merito dell’inadeguatezza delle tecnologie impiegate, quando succede può diventare una cartina tornasole che vale per tutti i titolari. In particolare, in questo frangente è emersa l’inefficacia di un sistema di autenticazione da remoto senza autenticazione a due fattori.

È comunque molto interessante l’attività di analisi post incidente svolta dagli esperti esterni, che sono riusciti ad individuare le utenze che sono state utilizzate per penetrare nel sistema, oltre che le azioni di innalzamento dei privilegi amministrativi e di acquisizione della persistenza nel sistema. Questo ha evidenziato che gli eventi sono stati rilevati dai sistemi automatici, ma in tempo reale non erano stati gestiti: è sicuramente uno spunto di miglioramento.

La lezione per l’Ufficio Comunicazione

Dopo che la task force multidisciplinare è riuscita ad individuare le tipologie di informazioni esfiltrate e i soggetti convolti, si è elaborata una strategia di comunicazione multilivello, che ha previsto:

• L’invio di una raccomandata A/R a 70.938 interessati
• La pubblicazione sul sito istituzionale delle informazioni relative all’incidente, alle tipologie di dati coinvolti e alle modalità di verificare eventuali rischi di tipo personale
• La comunicazione a 153 dipendenti coinvolti nella violazione, tramite email aziendale, email personale o raccomandata A/R
• Comunicazione aziendale interna

Non si è trattato di un mero adempimento di legge ai sensi dell’art. 34 GDPR, bensì di un intervento diversificato per favorire nella maniera più efficace possibile il dialogo con gli interessati, frutto di un’attenta pianificazione.

La lezione per i decisori

È inutile girarci intorno: perseguire una corretta postura di cybersicurezza è molto costoso. Tra l’altro, è un costo che non fornisce uno strumento adeguato per misurare il ritorno di investimento (ROI, Return Of Investment). Si può dire che un investimento in cybersecurity ha avuto successo quando nulla è successo.

Sono delle argomentazioni difficili da sostenere con chi ha l’ingrato compito di far quadrare i conti, con risorse economiche che non bastano mai per perseguire tutti gli obiettivi.

In questo caso, i costi della violazione sono sotto gli occhi di tutti:

• 30.000 € di sanzione
• 300.000 euro per l’invio di oltre 70.000 raccomandate
• Un importo altrettanto rilevante per l’intervento degli specialisti che hanno rispristinato e sanificato il sistema informatico
• Un valore non facilmente dimensionabile, ma sicuramente elevato, in termini di danno reputazionale

Si tratta di cifre importanti, che devono indurre i decisori a compiere un atto di fede e investire in un contesto in cui solo chi è stato danneggiato ha la reale cognizione dei valori in campo, economici e non.

Su YouTube la registrazione del webinar “Provvedimento Garante Privacy: sanzione per data breach”

Se desideri approfondire tutti gli aspetti relativi all’attacco informatico e ai provvedimenti prontamente presi dalla ASL per mitigare i danni, puoi guardare la registrazione del nostro webinar in cui si abbiamo analizzato nel dettaglio il provvedimento sanzionatorio del Garante della Privacy.

Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su Twitter, Facebook, YouTube, LinkedIn, Telegram, Instagram