Michele PinassiHo sempre trovato interessanti i provvedimenti dell’Autorità Garante della Privacy perché, forse più di altri, descrivono la percezione diffusa nei confronti degli attacchi informatici nelle varie casistiche.
Oggi vorrei parlarvi del provvedimento 10116834 del 13 febbraio 2025, conclusione della triste vicenda che vide, nel maggio 2023, la ASL1 dell’Aquila colpita da ransomware Monti (ne parlo qui: ASL1 Abruzzo colpita dalla ransomware gang Monti).
Per chi ricorda, fu una vicenda piuttosto tragica: oltre 500Gbyte di dati esfiltrati (l’istruttoria parla di 389GByte di dati pubblicati sul DLS della ransomware gang Monti), tra cui cartelle cliniche contenenti dati personali particolari dei pazienti della ASL:
Per quanto attiene al numero di interessati i cui dati sulla salute sono stati coinvolti dall’attacco l’Azienda ha dichiarato che sono stati oggetto di violazione “per Dipendenti/Consulenti (n. 3814): dati anagrafici, dati di contatto, dati di accesso e di identificazione, dati di pagamento, dati relativi a documenti di identificazione/riconoscimento, dati che rivelano l’appartenenza sindacale. Per Beneficiari o assistiti/Per Minori/Per Pazienti/Per persone vulnerabili (es. vittime di violenza o abusi, rifugiati, richiedenti asilo) (n. 6817) dati anagrafici, dati di contatto, dati relativi a condanne penali e ai reati o a connesse misure di sicurezza, dati che rivelano l’origine razziale o etnici, dati relativi alla vita sessuale o all’orientamento sessuale, dati relativi alla salute (es. scheda paziente, diario clinico, terapie, diagnosi, lettera di dimissione), dati genetici”.
Insomma, parliamo di una mole rilevante di dati personali ex-sensibili per i quali il Regolamento Europeo 2016/679 “GDPR” impone particolare attenzione e cautela nel trattamento e conservazione degli stessi.
Nel corso delle attività ispettive l’Azienda ha dichiarato che “sono stati coinvolti tutti i trattamenti, eccetto la radiologia (sistemi RIS PACS) e il 60% del volume dei dati esfiltrati riguardavano dati personali” e ha inteso precisare che “la violazione dei dati personali in questione ha coinvolto tutti i trattamenti effettuati su supporto informatico a causa della cifratura - ad opera degli attaccanti - dei principali sistemi informatici dell’ASL, eccetto i trattamenti relativi a “esecuzione esami diagnostici” dei sistemi RIS-PACS di radiologia. Pertanto, i trattamenti coinvolti corrispondono a circa il 50% dei 551 trattamenti censiti nel Registro dei trattamenti. Di questi, poi, i trattamenti coinvolti nella esfiltrazione dei dati sono complessivamente 19.
Insomma, abbiamo i dati di più o meno 270 dei “trattamenti censiti” sottoposti a cifratura (quindi perdita di disponibilità), di cui 19 oggetto di esfiltrazione (perdita anche di riservatezza).
A cui seguono un paio di precisazioni che saranno poi rilevanti:
Inoltre, si rappresenta che al momento dell’attacco del XX il patrimonio informativo della ASL su supporto informatico ammontava a circa 358 TB, di cui 337 TB costituito da dati sanitari e 21 TB da dati amministrativi. Dunque, i dati esfiltrati - pari a 389 GB - rappresentano una minima parte del patrimonio informativo aziendale memorizzato su supporto informatico” (v. verbali del XX, pag. XX e nota del XX a scioglimento delle riserve). Inoltre, l’Azienda ha rappresentato che “dal XX la pagina dove erano pubblicati i dati oggetto di esfiltrazione non è più raggiungibile e che, a partire dall’attacco (…) svolge attività di threat intelligence per verificare su clear e dark web l’eventuale presenza dei dati riferibili o riconducibili alla ASL [ed] è intenzione dell’Azienda di dotarsi di strumenti per automatizzare tali verifiche” (v. verbale del XX, pag. XX).
Il provvedimento prosegue riportando la descrizione delle fasi dell’attacco riportate nella relazione “ANALISI INCIDENTE DATA BREACH ASL1 ABRUZZO” a cura della società di consulenza incaricata:
"il core dell’attacco si è verificato a partire dal XX in orario notturno, a seguito di precedenti eventi di user enumeration su account email e massiccia attività di brute forcing seguita da autenticazioni con successo di 4 utenze, sebbene non si abbia evidenza di sfruttamento delle medesime utenze nelle fasi successive dell’attacco. Il XX, sulla casella XX, acceduta da più operatori, è stata inviata una mail di phishing con un link malevolo, successivamente rimosso; pertanto non è stato possibile avere contezza delle possibili interazioni con l’utente (fornitura di credenziali o esecuzione di codice malevolo) che il link richiedeva” e che “la vulnerabilità, con ragionevole certezza, è riconducibile al server Exchange, tecnica di attacco OWASSRF che presuppone lo sfruttamento in sequenza di due CVE (XX e XX) e le credenziali di un utente senza privilegi, sebbene nei log non vi siano evidenze che siano state sfruttate entrambe"
Insomma, a quanto mi pare di capire non è ben chiara la catena di eventi che hanno scatenato l’attacco. Forse anche a causa di un deficit organizzativo della ASL, come peraltro pare confermato qualche riga dopo:
Quanto agli strumenti di monitoraggio degli eventi di sicurezza utilizzati per il rilevamento in tempo reale degli incidenti di sicurezza, con particolare riferimento ai software di monitoraggio, l’Azienda ha rappresentato che “era dotata di diversi strumenti quali XX, XX, XX, che consentivano la registrazione ma non la correlazione degli eventi. La ASL disponeva di un servizio SOC XX fino al XX, successivamente il SOC è stato sostituito con un servizio di security device management gestito in autonomia e con personale interno dalla UO sistemi informativi. In ogni caso la catena degli eventi relativi all’attacco è avvenuta principalmente di notte e durante periodi a ridosso di festività”
Andiamo oltre, anche perché sembrerebbe evidente una scarsa gestione e organizzazione interna in merito agli aspetti di sicurezza informatica, tanto che -al paragrafo successivo- si dichiara:
Dalla documentazione acquisita durante l’attività ispettiva (v. report redatto dalla società XX - Avezzano Sulmona L’Aquila”, di seguito “report XX”) si evince che “le prime attività sospette sui sistemi risulterebbero iniziare a partire dal giorno XX (…); l’analisi di uno dei Domain Controller non virtualizzato (…); ha evidenziato che l’attaccante abbia utilizzato proprio questo sistema come “pivot” per gestire le attività di attacco, accedendo con l’utenza specifica “XX” associata ad un consulente non più operante presso la ASL” e che “la configurazione adottata di XX sia in modalità detect permettendo la detection di eventuali anomalie ma non effettua nessun tipo di blocco”
È interessante, ma non la riporto perché lunga e ridondante, la parte relativa alla formazione in ambito cybersecurity dei dipendenti: ci leggo tanta confusione a distinguere la privacy dei dati dagli aspetti di sicurezza informatica.
Il provvedimento prosegue con la descrizione di tutte le attività di remediation messe in atto in seguito all’attacco e le misure di sicurezza adottate, come ad esempio
“tutte le azioni definite “prioritarie” sono concluse, quali, a esempio, l’adozione di procedure di autenticazione a più fattori al momento dell’accesso ai sistemi XX, inizialmente prevista per gli utenti con privilegi amministrativi e, successivamente, estesa per tutti gli altri utenti aziendali, la cifratura dei dati XX, con particolare attenzione all’utilizzo di dispositivi mobili. È intenzione (…) potenziare le misure di sicurezza perimetrale con l’adozione di un sistema XX. Inoltre (…) oltre al monitoraggio reattivo già esistente basato sugli eventi prodotti dai diversi apparati e sistemi, (…) ha autonomamente attivato un monitoraggio proattivo degli eventi di sicurezza che comporta un arricchimento dei dati mediante uno specifico prodotto di threat intelligence che utilizza tecniche di intelligenza artificiale e governa le azioni dei diversi sistemi di monitoraggio degli eventi di sicurezza (XDR). (…) attualmente, è dotata di un SOC XX a cui si affianca il SOC XX del fornitore e che la scelta dei prodotti software tiene conto delle peculiarità del contesto sanitario” (v. verbale del XX, pagg. XX e XX).
Viene subito in mente la vignetta sul “budget della cybersecurity” prima e dopo un incidente informatico, anche se purtroppo non è sempre vera. In ogni caso, tralasciando tutte le altre fasi sulla notifica agli interessati, passiamo ai punti sulle “memorie difensive” stilate dall’ASL1 Abruzzo e inviate al Garante della Privacy. In queste viene dichiarato (riporto solo quelle che reputo salienti):
- “giova, in via preliminare, ricordare che i fatti di cui al presente fascicolo istruttorio sono relativi ad un complesso attacco informatico, perpetrato da un gruppo di ignoti criminali informatici, di cui l’Azienda (…) è la prima vittima”;
[...]
- sulla mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali, “la contestata mancata tempestività nell’individuazione dell’attacco non sia da ricondurre all’assenza di adeguate misure di sicurezza (e quindi a responsabilità dell’ASL), ma alle caratteristiche dello stesso dal momento che (…) l’attività degli attaccanti è stata particolarmente complessa”;
[...]
- “in merito, poi, all’avvenuta propagazione della mail di phishing tramite l’account di un consulente non più operativo presso la ASL, si fa presente che tale account era in fase di dismissione; a ciò si aggiunga che, sotto il profilo dell’awareness dei dipendenti, l’ASL ha investito diffusamente nella formazione costante degli utenti e del personale IT tramite un sistema di Formazione A Distanza (FAD) che fornisce corsi specifici in materia di sicurezza informatica e protezione dei dati”;
[...]
- “a fronte della complessità delle operazioni svolte dagli attaccanti, il breach ha riguardato solo una minima parte dei dati oggetto di trattamento dall’ASL a causa delle sue funzioni istituzionali (prestazione di servizi sanitari e socio-sanitari)”;
per proseguire poi, in fase di audizione, con:
- “l’attacco è stato effettuato in modo estremamente sofisticato e innovativo da parte di hacker internazionali abilissimi del gruppo Monti, costola del gruppo Conti, che aveva già danneggiato la sanità irlandese, in relazione al quale è molto difficile predisporre barriere difensive. Tale aspetto è stato anche rilevato dalla società XX nel report predisposto, in atti”;
- “non si è verificata nessuna perdita di dati grazie alle politiche di backup adottate dall’Azienda”;
- “l’esfiltrazione dei dati ha riguardato una quantità marginale, pari allo 0,1% dei dati, in rapporto al patrimonio informativo della ASL. Pertanto, il 99,9 % dei dati è stato protetto dalle misure dell’Azienda”;
Scusate, qui devo interrompermi. E mi ricollego a quanto avevo sottolineato all’inzio di questo mio articolo, quando specificavo che “il patrimonio informativo della ASL su supporto informatico ammontava a circa 358 TB” e l’esfiltrazione ha riguardato solamente 389 GB.
Onestamente, trovo 389 GByte di dati sanitari (sia amministrativi che clinici) una quantità enorme. Anche se solamente lo 0,1% del patrimonio informativo. Che poi, perdonatemi ma trattengo a stento una certa ilarità quando si arriva a dichiarare che “il 99,9% dei dati è stato protetto dalle misure dell’Azienda“. Non so cosa ne pensate voi ma personalmente la trovo una affermazione molto discutibile. Anche perché, non dimentichiamolo mai, non è la quantità di dati ma la qualità degli stessi: vale di più un file SVG di pochi kbyte del nuovo logo aziendale o 1 DVD pieno zeppo di clipart libere? Non è un caso se lo stesso GDPR sottolinea, all’art. 10, che:
Il trattamento di dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, e il trattamento di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica o di dati relativi alla salute o di dati relativi alla vita sessuale della persona fisica o all'orientamento sessuale è autorizzato solo se strettamente necessario, soggetto a garanzie adeguate per i diritti e le libertà dell'interessato [...]
Comunque, avviandomi a conclusione di questa mia personalissima disamina, le conclusioni del Garante della Privacy davanti a questo data breach che ha visto coinvolti i dati personali di 10631 soggetti, a vario titolo, natura e tipologia, e viene confermato che, durante l’attacco, tutta una serie di “circostanze non hanno consentito all’Azienda di venire tempestivamente a conoscenza della violazione dei dati personali occorsa“, sono che:
Nel corso dell’istruttoria è emerso che l’Azienda non aveva adottato adeguate misure per segmentare e segregare le reti su cui erano attestate le postazioni di lavoro dei propri dipendenti, nonché i sistemi (server) utilizzati per i trattamenti. Infatti, al momento della violazione dei dati personali “la parte interessata dall’attacco, ove erano attestati i sistemi server, era ancora flat e priva di segmentazione” (v. verbale del XX, pag. XX) e “una parte della rete era stata segmentata e sottoposta a NAC (network access control)(v. memoria del XX).
Nel corso dell’istruttoria è emerso, altresì, che il ransomware si è propagato mediante una “e-mail di phishing contenente un link malevolo” e che “l’attaccante abbia utilizzato [una] utenza (…) associata ad un consulente non più operante presso la ASL”.
Tali circostanze non risultano pienamente conformi alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, del Regolamento che richiede che il titolare e il responsabile del trattamento debbano mettere in atto misure per “assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (lett. b)).
per concludere, quindi, che (il grassetto è mio):
b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce tale titolare del trattamento per aver violato le disposizioni di cui agli 5, par. 1, lett. a) e f), 12, 32 e 34 del Regolamento, nei termini di cui in motivazione;
Sicuramente una buona notizia per il titolare e per i cittadini abruzzesi, per i quali è stata risparmiata una ulteriore sanzione pecuniaria (e potenzialmente anche l’indagine della Corte dei Conti, poiché le sanzioni del Garante possono essere considerate danno erariale[1]). In qualche modo anche una buona notizia per tutti i vari titolari delle ASL italiane, poiché questo provvedimento può essere utilizzato come case study su cosa adottare, come e quando a tutela della propria infrastruttura e politiche di trattamento dei dati personali. Personalmente, tuttavia, non nascondo una certa sorpresa sugli esiti dell’inchiesta, per la quale mi sarei atteso un finale diverso e più incisivo, politicamente parlando.
[1] Danno erariale conseguente al pagamento della sanzione inflitta dal Garante Privacy, https://www.altalex.com/documents/news/2024/01/26/danno-erariale-conseguente-pagamento-sanzione-inflitta-garante-privacy
Hai trovato utile questo articolo?
