Misure di sicurezza inadeguate: il Garante sanziona una Asl. La struttura sanitaria aveva subito un attacco ransomware.

Premesso che:

• per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 15 del Regolamento). Il Considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”. Questi ultimi dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51 del Regolamento);

• il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento);

• in materia di sicurezza del trattamento, il titolare del trattamento e il responsabile del trattamento, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (…) mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]”; “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32, parr. 1 e 2 del Regolamento);

• anche qualora il titolare del trattamento si avvalga di un responsabile per lo svolgimento di alcune attività di trattamento, al quale deve impartire specifiche istruzioni, anche sotto il profilo della sicurezza (Cons. n. 81 e art. 32, parr. 1, lett. d) e 4, del Regolamento), spetta in ogni caso, al medesimo titolare “mettere in atto misure adeguate ed efficaci [e a …] dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa l’efficacia delle misure” adottate (Cons. n. 74 del Regolamento). Infatti, il titolare rimane responsabile dell’attuazione delle misure tecniche e organizzative adeguate per garantire e essere in grado di dimostrare che il trattamento è effettuato in conformità al Regolamento (artt. 5, par. 2, e 24 del Regolamento; cfr. le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, spec. punto n. 41);

• l’art. 25, par. 1, del Regolamento, nell’enucleare il principio della protezione dei dati fin dalla progettazione, prevede che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento [debba mettere] in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati” (cfr. anche Cons. n. 75 del Regolamento);

• secondo il Considerando n. 78 del Regolamento il titolare dovrebbe adottare politiche interne e attuare misure che soddisfino il citato principio.  Secondo le “Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita” adottate dal Comitato europeo per la protezione dei dati il XX, il citato Considerando “suggerisce una responsabilità dei titolari, ossia quella di valutare costantemente se stiano utilizzando, in qualunque momento, i mezzi appropriati di trattamento e se le misure scelte contrastino effettivamente le vulnerabilità esistenti. Inoltre, i titolari dovrebbero effettuare revisioni periodiche delle misure di sicurezza poste a presidio e tutela dei dati personali, nonché della procedura per la gestione delle violazioni dei dati”. “L’obbligo di mantenere, verificare e aggiornare, ove necessario, il trattamento si applica anche ai sistemi preesistenti. Ciò implica che i sistemi progettati prima dell’entrata in vigore del Regolamento devono essere sottoposti a verifiche e manutenzione per garantire l’applicazione di misure e garanzie che mettano in atto i principi e i diritti degli interessati in modo efficace” (cfr. spec. punti nn. 7, 38, 39 e 84);
• con particolare riferimento agli elementi principali della progettazione e dell’impostazione predefinita, relativi all’integrità e alla riservatezza, il titolare deve:
• valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati, e contrastare efficacemente quelli identificati;
•  tenere conto non appena possibile dei requisiti di sicurezza nella progettazione e nello sviluppo del sistema, integrando e svolgendo costantemente test pertinenti;
•  definire il trattamento dei dati in modo tale che un numero minimo di persone abbia bisogno di accedere ai dati personali per svolgere le proprie funzioni, e limitare l’accesso di conseguenza; 
•  proteggere i dati personali da modifiche e accessi non autorizzati e accidentali, sia durante il loro trasferimento che durante la loro conservazione;
•  registrare gli eventi rilevanti ai fini della sicurezza delle informazioni e monitorandoli per rilevare in modo tempestivo eventuali incidenti di sicurezza (cfr. le citate “Linee guida 4/2019 sull’articolo 25”, spec. punto n. 85).

Le “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD” adottate dal Comitato europeo per la protezione dei dati il 28 Marzo 2023[1]  chiariscono che “la capacità di individuare, trattare e segnalare tempestivamente una violazione deve essere considerata un aspetto essenziale” delle misure tecniche e organizzative che il titolare e il responsabile del trattamento devono mettere in atto, ai sensi dell’art. 32 del Regolamento, per garantire un livello adeguato di sicurezza dei dati personali (punto n. 41). Al riguardo, inoltre, il Considerando n. 85 precisa che “una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.

Analogamente, secondo il Considerando n. 87, “è opportuno verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità di controllo e l’interessato. È opportuno stabilire il fatto che la notifica sia stata trasmessa senza ingiustificato ritardo, tenendo conto in particolare della natura e della gravità della violazione dei dati personali e delle sue conseguenze e effetti negativi per l’interessato”.

Con la presente si intende partecipare la notizia pubblicata sull’ultimo numero della newsletter del Garante per la protezione dei dati personali (di seguito, “Garante”), relativa ad un attacco ramsonware subito da una ASL napoletana e sanzionato per un importo pari a 30 mila euro[2] (link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9941232 ).

Il Garante, a seguito di attività istruttoria e sulla scorta della documentazione richiesta e prodotta dalla Asl di che trattasi, ha rilevato importanti criticità, che si espongono:

1. La mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti, anche in violazione del principio della protezione dei dati fin dalla progettazione (privacy by design).

•  L’accesso alla rete tramite vpn avveniva infatti mediante una procedura di autenticazione basata solo sull’utilizzo di username e password. Pertanto, le procedure di autenticazione informatica utilizzate nell’ambito dell’accesso in VPN e alle postazioni di lavoro non prevedevano l’uso del doppio fattore di autenticazione. Peraltro, al momento in cui si è verificata la violazione dei dati personali.

•  La password policy non comprendeva una differenziazione tra utenze con privilegi amministrativi e utenza senza privilegi amministrativi.

• Con riguardo alle misure tecniche e organizzative adottate per garantire la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché il ripristino tempestivo della disponibilità e dell’accesso dei dati personali in caso di incidente, non c’era una procedura formalizzata e il backup dei dati e dei sistemi aziendali veniva effettuato “full” una volta a settimana e “incrementale” gli altri giorni”.

• L’Azienda non disponeva di un piano di rispristino dei diversi servizi con particolare riguardo a quelli definiti “critici.

• La carenza di segmentazione delle reti aveva causato la propagazione del virus all’intera infrastruttura informatica. L’Azienda non aveva adottato adeguate misure per segmentare e segregare le reti su cui erano attestate le postazioni di lavoro dei propri dipendenti, nonché i sistemi (server) utilizzati per i trattamenti. In particolare “la mancata segmentazione tra i servizi critici, gli applicativi e le postazioni di lavoro [hanno comportato] l’estensione della singola compromissione all’intera infrastruttura”. Infatti, “al momento della violazione dei dati personali, non erano previste misure di sicurezza relative alla segmentazione delle reti, con particolare riferimento a quelle adottate per limitare le comunicazioni tra le reti a cui sono attestati i sistemi server, nonché le comunicazioni tra le predette reti e quelle a cui sono attestate le postazioni di lavoro degli operatori. Tale carenza si è rivelata conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, del Regolamento che, nel caso in esame, richiede che il titolare e il responsabile del trattamento debbano mettere in atto misure per “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (lett. b)).

La Azienda, a seguito dell’incidente di sicurezza subito, ha previsti i seguenti strumenti di sicurezza:

a. Accesso dall’esterno tramite VPN Firewall

b. Firewall perimetrali per il controllo del traffico I/O gestiti da Fastweb tramite contratto CONSIP

c. Proxy per il collegamento dei client come unico accesso verso internet con restrizioni all’accesso a siti normativamente/aziendalmente non autorizzati, limitazione sui flussi pubblicitari e popup

d. Sistemi Firewall per il monitoraggio del traffico di rete per I/O con SSL Ispection per i pacchetti di Posta Elettronica

e. Antivirus/Antimalware su Server e client supportati da ulteriore software di monitoraggio per gestione comportamentale

f. Sistema di monitoraggio per la gestione, virtual patching e messa in sicurezza delle strumentazioni elettromedicali presenti in azienda (attualmente in prova gratuita)

g. Policy privacy data breach con relativi allegati”.

A seguito dell’implementazione di tali servizi, da considerarsi a Priorità Alta, seguirà l’adozione degli ulteriori servizi di seguito elencati:

h. Unified End-Point Management UEM/MDM;

i. DNS Secure;

l. Verifica analisi sistema di backup,

m. Anti DDoS,

n. NACSistema di mail secure;

o. Assessment FNCS;

p. Attack simulation e resilience testing – Cyber Exercise.

Alle attività e servizi tecnici sopracitati si aggiungeranno l’implementazione di un:

q. Sistema di Gestione per la Sicurezza delle Informazioni (SGSI);

r. Servizio di formazione con messa a disposizione di una piattaforma FAD asincrona in materia di Sicurezza delle Informazioni.

---

[1] Il GDPR ha introdotto l’obbligo di notificare una violazione dei dati personali (di seguito “violazione”) all’autorità di controllo nazionale competente4 (o, in caso di violazione transfrontaliera, all’autorità capofila) e, in alcuni casi, di comunicare violazione alle persone i cui dati personali sono stati interessati dalla violazione.   4. Obblighi di notifica in caso di violazione esistevano per alcune organizzazioni, come i fornitori di servizi di comunicazione elettronica accessibili al pubblico (come specificato nella direttiva 2009/136/CE e nel regolamento (UE) n. 611/2013)5. Alcuni Stati membri ne avevano già uno proprio obbligo nazionale di notifica delle violazioni. Ciò potrebbe includere l’obbligo di notificare le violazioni che coinvolgono categorie di responsabili del trattamento oltre ai fornitori di servizi di comunicazione elettronica accessibili al pubblico (ad esempio in Germania e Italia), o l’obbligo di segnalare tutte le violazioni che coinvolgono dati personali (come nei Paesi Bassi). Altri Stati membri potrebbero avere codici di condotta pertinenti (ad esempio, in Irlanda6). Sebbene numerose autorità europee per la protezione dei dati incoraggiassero i titolari del trattamento a segnalare le violazioni, la Direttiva sulla protezione dei dati 95/46/CE7, sostituita dal GDPR, non conteneva uno specifico obbligo di notifica delle violazioni e pertanto tale requisito era nuovo per molte organizzazioni. Il GDPR rende obbligatoria la notifica per tutti i titolari del trattamento, a meno che non sia improbabile che una violazione comporti un rischio per i diritti e le libertà delle persone8. Anche i responsabili del trattamento hanno un ruolo importante da svolgere e devono notificare qualsiasi violazione al proprio titolare del trattamento9.

L’EDPB ritiene che l’obbligo di notifica presenti una serie di vantaggi. Comunicando all’autorità di controllo, i titolari del trattamento possono ottenere informazioni sulla necessità di informare le persone interessate. L’autorità di controllo, infatti, può ordinare al titolare del trattamento di informare tali soggetti della violazione10. La comunicazione di una violazione alle persone consente al titolare del trattamento di fornire informazioni sui rischi presentati a seguito della violazione e sulle misure che le persone possono intraprendere per proteggersi dalle sue potenziali conseguenze. Il focus di qualsiasi piano di risposta alle violazioni dovrebbe essere la protezione delle persone e dei loro dati personali. Di conseguenza, la notifica delle violazioni dovrebbe essere vista come uno strumento che migliora la conformità in relazione alla protezione dei dati personali. Allo stesso tempo, va notato che la mancata segnalazione di una violazione a un privato o a un’autorità di controllo può comportare l’applicazione di una possibile sanzione ai sensi dell’articolo 83 GDPR al responsabile del trattamento.

Link: https://edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_en.pdf

[2] Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9941232