TL;DR Impressionante la mole di dati pubblicati in rete, 530 GByte, dal gruppo RansomEXX relativamente all’attacco ransomware ai sistemi ICT dell’Unione dei Comuni Terre di Pianura. Un enorme archivio che sembra contenere anche documentazione delle 4 amministrazioni comunali che beneficiano dei servizi ICT dell’Ente colpito, con conseguente divulgazione di documenti e dati personali dei cittadini.
“Non ti chiedere se perderai i dati, ma quando.”
Legge dei backup
Impressionante la dimensione del leak a seguito dell’attacco ransomware che a fine ottobre ha colpito l’Unione Terre di Pianura: 530GB di dati pubblicati in Rete, sul blog del gruppo RansomEXX (raggiungibile via TOR), spezzettati in archivi da 500MByte cadauno.
Attacco che ha seguito di poco quello ai danni della vicina Unione Reno Galliera, di cui abbiamo parlato anche su questo blog, che però era “limitato” (se così vogliamo dire) ad “appena” 60GByte di dati esfiltrati.
Parliamo di un archivio quasi 10 volte più grande, che –stando alle prime analisi e commenti pubblicati in Rete– contiene centinaia di documenti d’identità, richieste, documentazione e tutto quanto concerne l’attività delle amministrazioni comunali che si sono avvalse dei servizi ICT dell’Unione.
Difficile immaginare quanto materiale, anche confidenziale o riservato, possa esserci in questo enorme archivio ormai alla mercé di chiunque. Del resto, è questa una delle leve estorsive su cui i gruppi criminali puntano per indurre la vittima a pagare. Ed è anche uno degli aspetti che colpisce maggiormente l’opinione pubblica: immaginate i vostri documenti d’identità, la planimetria della vostra abitazione allegata alla domanda di ristrutturazione, il modulo d’iscrizione del figlio a scuola e la richiesta di riduzione delle quote scolastiche, con tanto di ISEE allegato, diffuse in Rete. Non è una bella sensazione.
In ogni caso, adesso non resta che attendere l’eventuale provvedimento del Garante della Privacy che, a quanto risulta, sta analizzando le comunicazioni di data breach ricevute dall’Ente. Il Regolamento Europeo 2016/679 “GDPR” prevede, all’art. 33 “Notifica di una violazione dei dati personali all’autorità di controllo“, che il Titolare:
- provveda a informare l’autorità Garante della Privacy entro 72h da quando ne è venuto a conoscenza, attraverso l’apposita procedura di notifica data breach;
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo d’interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi;
Al momento, a quanto risulta da una veloce indagine in rete, la comunicazione alla cittadinanza si è limitata, per le Amministrazioni Comunali coinvolte, a pubblicare sul sito web e nella rispettiva pagina FB l’avviso d’incidente informatico:
Da notare come per l’Unione Terre di Pianura, nella sez. avvisi del rispettivo sito web, ad oggi non risulterebbe vi sia stata alcuna menzione dell’incidente.
AGGIORNAMENTO – In data 18.11.2021 è stato pubblicato un avviso sul sito web dell’Unione Comune Terre di Pianura:
Sorprende la frase “importante attacco hacker al proprio datacenter che è stato comunque limitato nella durata e nelle conseguenze, anche grazie alle misure di sicurezza adottate“: parliamo di 530GByte di dati, non proprio bruscolini…
Ricordiamo come in data 17.11.2021, è stata emanata la DETERMINAZIONE N. 428 / 2021 (affissa all’albo pretorio) per ” CONFERIMENTO INCARICO PROFESSIONALE E SPECIALISTICO PER ASSISTENZA, CONSULENZA E SUPPORTO PER LE RELAZIONI CON IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI ED ULTERIORI ADEMPIMENTI A SEGUITO DELL’ACCESSO ABUSIVO A SISTEMA INFORMATICO SUBITO DALL’ENTE” che riassume quanto accaduto:
DATO ATTO CHE tale grave evento ha causato il malfunzionamento di tutti gli applicativi informatici per la durata di 7 (sette) giorni e ha impedito ai dipendenti di svolgere l’ordinaria attività di protocollazione, di utilizzo dell’applicativo degli atti, nonché tutti gli adempimenti quotidiani ed ordinari che connotano l’attività degli Uffici, a causa della criptazione di tutti i dati presenti nella rete informatica dell’Unione; TENUTO CONTO CHE è stata sporta denuncia-querela dal Presidente dell’Unione presso la Polizia Giudiziaria, stazione dei Carabinieri di Granarolo dell’Emilia, affinché l’Autorità Giudiziaria intraprendesse le misure necessarie per l’accertamento del responsabile/i dell’attacco, depositata agli atti dell’Unione con P.G. n. 22381/2021 (in origine acquisita al P.G. n. 1/2021 del Registro di emergenza, costituito a causa del malfunzionamento dell’applicativo dei flussi documentali, come impone la normativa); ATTESO CHE, a seguito di ciò, essendosi dunque verificata una violazione di dati personali a causa dell’accesso abusivo e della conseguente acquisizione parziale dei dati da parte di terzi non autorizzati, il Titolare del trattamento dei dati personali ha dovuto notificare entro 72 ore la suddetta violazione al Garante per la protezione dei dati personali, ai sensi dell’art. 33 del GDPR;
Sull’argomento, al momento sembra che il Garante della Privacy abbia al suo attivo solo un precedente, relativo a una struttura sanitaria privata che nel luglio 2020 ha subito un attacco ransomware: troppo poco per poter valutare quale sarà l’operato in merito, le valutazioni e le potenziali conseguenze.
Non resta, quindi, che attendere.
Attaccata anche l’anagrafe della Città di Torino
La pubblicazione dell’enorme leak dell’Unione dei Comuni avviene, peraltro, a poche ore dalla notizia che anche i sistemi informatici dell’Anagrafe del Comune di Torino avrebbero subito una violazione. L’Amministrazione ha comunque rassicurato che i dati “non sono stati persi” e che “non hanno subito alterazioni”.
Come scrivevo qualche giorno fa, continua il lungo autunno della PA italiana, dove a cadere non sono solamente le foglie ma anche i sistemi informativi che sorreggono il Paese.