Implicazioni e ripercussioni del grave cyberattacco al SSN del Lazio
Conseguenze e misure punitive dopo l'attacco ransomware che ha messo in ginocchio il sistema sanitario regionale
L'Autorità Garante della Privacy ha multato LAZIOcrea, la Regione Lazio e la Asl Roma 3 per un totale di 401.000 euro a seguito di un cyberattacco ransomware al sistema sanitario del Lazio nel 2021, evidenziando gravi carenze nella sicurezza dei dati.
Nell'evento di un significativo cyberattacco che ha colpito il sistema sanitario della Regione Lazio tra il 31 luglio e il 1° agosto 2021, l'Autorità Garante della Privacy ha imposto sanzioni per un totale di 401.000 euro a carico di tre soggetti responsabili: LAZIOcrea, la stessa Regione Lazio e la Asl Roma 3. Queste multe, rispettivamente di 271.000, 120.000 e 10.000 euro, sono state applicate in seguito ad approfondite indagini sull'incidente, che ha visto una larga interruzione dei servizi a causa di un attacco ransomware.
Dettagli dell'attacco informatico e suoi effetti sul servizio sanitario
L'attacco, veicolato tramite un laptop di un impiegato regionale, ha indotto una paralisi dei servizi erogati dalla rete sanitaria, impedendo prenotazioni mediche, pagamenti di prestazioni, il ritiro di documentazione clinica e la registrazione delle vaccinazioni. L’interruzione ha variato da un minimo di 48 ore a diversi mesi, con un impatto significativo sul trattamento dei dati di milioni di cittadini, dimostrando la sostanziale vulnerabilità dei sistemi informatici coinvolti.
Violazioni alla normativa privacy e conseguenze dell’attacco
Le indagini hanno rivelato che LAZIOcrea e la Regione Lazio, nonostante i differenti ruoli, hanno mostrato gravi carenze nella sicurezza dei dati, principalmente a causa di sistemi non aggiornati e dell'assenza di misure preventive contro violazioni simili. L'attacco ha causato l'inaccessibilità di circa 180 server virtuali, e la scelta di LAZIOcrea di disattivare tutti i sistemi per prevenire ulteriori danni ha ulteriormente aggravato la situazione, evidenziando la mancanza di protocolli efficaci per l'identificazione e il contenimento del malware.
La responsabilità nella gestione del data breach
Secondo l'Autorità, LAZIOcrea non ha gestito adeguatamente le conseguenze del data breach, specialmente per quanto riguarda la comunicazione e la protezione delle informazioni sanitarie trattate per conto delle strutture regionali. D'altro canto, la Regione Lazio, in qualità di titolare del trattamento dei dati, avrebbe dovuto garantire una supervisione più accurata su LAZIOcrea, assicurando un livello di sicurezza adeguato. Per la Asl Roma 3, la sanzione di 10.000 euro è stata determinata dalla mancata notifica dell'incidente, a differenza di altre entità sanitarie che hanno tempestivamente informato l'autorità e i soggetti interessati.
Seguici su Threads per altre pillole come questa14/04/2024 21:09
Marco Verro