In questi giorni non si fa che parlare degli attachi informatici subiti dalla Regione Lazio, come se fosse il primo e come se fosse un argomento ignoto agli addetti ai lavori. L’Esposizione dei dati anagrafici, dati di residenza, codici fiscali e dati sanitari, anche se legati esclusivamente alla campagna vaccinale, dovrebbero essere soggette alla protezione del GDPR (Reg. UE 2016/679).
In realtà i danni potrebbero essere contenuti, in quanto la maggior parte degli stessi possono essere reperiti da fonti aperte. In base a quanto dichiarato dagli addetti alla sicurezza, gli attaccanti non avrebbero avuto accesso alla storia sanitaria dei milioni di cittadini che sono inseriti nel database del sistema sanitario regionale, ma visto quello che è successo, nutro seri dubbi sulla veridicità della dichiarazione.
In questo caso la Regione Lazio è comunque tenuta a notificare l’avvenuto data breach sia al Garante Italiano per la Privacy sia agli interessati, come previsto rispettivamente dagli artt. 33 e 34 del Regolamento, in attesa di comprendere la reale portata dell’attacco; così ha in effetti fatto, a quanto comunica il Garante e non bastano le notizie diffuse attraverso i media.
In secondo luogo, la sanità regionale rientra tra le Infrastrutture Critiche nazionali, ed è quindi soggetta alla Direttiva NIS (Direttiva 2016/1148 dell’Unione Europea sulla sicurezza delle reti e dei sistemi informativi) e al Perimetro di sicurezza nazionale cibernetica, che prevedono che siano poste in essere tutte le misure ritenute necessarie per ottenere un elevato livello di sicurezza delle reti. Non si ha però certezza che la Regione Lazio rientri nel perimetro: questa è informazione classificata.
In particolare, la Direttiva NIS stabilisce anche che siano notificati gli incidenti da parte degli Operatori dei Servizi Essenziali (OSE), in cui rientra il settore sanitario, al Computer Security Incident Response Team (CSIRT) nazionale e alle altre autorità nazionali competenti.
Fin dall’inizio della pandemia di Covid-19, sono stati registrati molteplici attacchi cyber alle infrastrutture sanitarie come ospedali, case farmaceutiche, centri di ricerca e cliniche universitarie (cosiddette strutture critiche). Tali strutture hanno subito accessi non autorizzati mirate sicuramente a bloccarne l’operatività, ma anche e soprattutto rivolte al furto di dati sanitari, come nel caso in questione. Vedi gli attacchi agli ospedali San Raffaele di Milano e allo Spallanzani di Roma, rispettivamente a marzo e aprile del 2020, il periodo di maggior diffusione del coronavirus. Proprio a tale riguardo, il Clusit (l’Associazione Italiana per la Sicurezza informatica) ha classificato nel suo Rapporto annuale ben 215 attacchi verso organizzazioni sanitarie, l’11.5% del totale degli attacchi dello scorso anno. La quasi totalità degli attacchi hanno motivazione di tipo Cybercrime (94%), una piccola parte di Espionage (5%), ed una minima parte di Hacktivism (1%). (Clusit – Rapporto 2021 sulla Sicurezza ICT in Italia).
D’avanti a questa situazione, molto più reale che virtuale, ce’ da chiedersi perché le infrastrutture si ostinano ad utilizzare server in cloud, di proprietà di non so chi, posizionati non si sa in quale parte del mondo. Quello che gli addetti ai lavori, in questi giorni, omettono di dire è che in realtà non posseggono, per la gran parte, i dati, ma le nostre infrastrutture si limitano ad accedervi via web, con scarse protezioni e senza processi crittografati. Inoltre, se continuiamo ad affidare incarichi a professionisti, che devono ricoprire la carica da responsabile di protezione dei dati D.P.O., a persone che di informatica non masticano quasi nulla, allora ecco spiegato in che mani si trovano i nostri dati.
Giuseppe Izzo
Presidente del Gruppo Uese Italia SpA
Comment here