Quanto accaduto con il cyber attacco al CED della Regione Lazio è l’ennesima evidenza dell’assenza di una reale gestione e governance del rischio. Un fenomeno che espone i sistemi e gli asset aziendali - sia nel settore pubblico che nel settore privato - alle vulnerabilità delle minacce che prolificano nell’infosfera digitale. Eppure, al di là di tutte le possibili disquisizioni sul perché e per come sia stato perpetrato questo attacco, una riflessione è d’obbligo: un piano di cybersecurity non può che partire da un’attenta analisi orientata alla protezione dei dati.
La sostenibilità digitale e la responsabilità sociale si giocano su un delicato equilibrio tra IT Security e Data Governance. Riduzione delle superfici di attacco, segmentazione e compartimentazione delle reti, attento controllo nella gestione dei privilegi di accesso, procedure di backup, disaster recovery. Gli aspetti che riguardano la sicurezza del perimetro cibernetico sono condizione indispensabile per minimizzare e contenere gli effetti del crimine informatico, ma non possono e non devono essere disgiunti dalla capacità di realizzare il tutto in rapporto alla tipologia e valore dei dati che un’organizzazione è tenuta a proteggere e tutelare.
Che si tratti di dati di privati cittadini o dipendenti poco cambia. La posta in gioco è sempre la stessa: garantire una Data Protection, senza se e senza ma. La gestione del rischio e la questione della cybersecurity va infatti inquadrata all’interno della più ampia cornice della sostenibilità e responsabilità sociale: essere consapevoli e artefici delle modalità attraverso le quali si implementano le policy aziendali di Data Governance coerentemente con piani di difesa cibernetica.
D’altra parte, è ormai ampiamente evidente: la cybersecurity orientata a principi di sostenibilità nella protezione dei dati personali è condizione essenziale per acquisire vantaggi in termini di Brand, Reputazione e Responsabilità Sociale. Insomma, appare sempre più urgente progettare e realizzare l'IT Security secondo principi di “Responsabilità by Design”.
Per la cronaca, il cyber attacco che ha colpito il Centro di Elaborazione Dati della Regione Lazio è probabilmente uno dei più gravi subiti dal nostro Paese nel passato recente. Occorre dunque chiedersi come fare meglio in futuro, per evitare che attacchi – anche peggiori – si ripetano a livello nazionale, e soprattutto valutare se il nostro Paese è pronto, sia su un piano tecnico sia su un piano culturale, ad affrontare e difendersi da questo genere di minacce.
L’attacco ha paralizzato tutte le attività informatiche della regione Lazio in ambito sanitario, esponendo i dati particolari del 70% dei cittadini vaccinati di Roma e Province limitrofe. Sin da subito si è indagata la pista dell’attacco ransomware, dato che già dai primi segnali di malfunzionamento iniziava a circolare in rete un messaggio per contattare – per un eventuale riscatto – i cybercriminali.
Ma quali dati sono stati sottratti dai sistemi del CED Lazio? Stando a quanto dichiarato dagli addetti alla sicurezza, i dati relativi alla storia sanitaria dei cittadini non dovrebbero essere stati in nessun modo coinvolti. Sembrerebbe che siano stati sottratti i dati anagrafici, di residenza e – secondo alcune fonti – anche i codici fiscali. Sebbene tali dati rientrino nell’alveo di protezione del GDPR, i danni dovrebbero essere contenuti, in quanto la maggior parte di queste informazioni è già reperibile da fonti pubbliche.
Nonostante ciò, la Regione Lazio ha comunque dovuto notificare sia agli interessati, sia all’Autorità Garante per la Protezione dei Dati Personali l’avvenuto data breach (articoli 33 e 34 GDPR). Inoltre, trattandosi di Infrastruttura Critica Nazionale, la sanità regionale è regolata sia dalla Direttiva NIS, sia dal Perimetro di Sicurezza Nazionale Cibernetica, che implicano l’attuazione di tutte le misure necessarie per raggiungere e mantenere un elevato livello di sicurezza delle reti.
In particolare, la Direttiva NIS prevede che gli Operatori di Servizi Essenziali (OSE – in cui rientrano appunto gli enti che operano nel settore sanitario) notifichino eventi di questo tipo al Computer Incident Response Team (CSIRT) nazionale, e alle altre autorità competenti.
L’ultimo decreto attuativo del complesso quadro del Perimetro di Sicurezza Nazionale Cibernetica, che fa riferimento ad un Framework Nazionale per la Cybersecurity e la Data Protection, dispone l’obbligo di implementare un piano di Incident Response che preveda un insieme di procedure per reagire in modo strutturato a tutti quegli incidenti che comportino data breach, unitamente a un piano di disaster recovery da eseguire immediatamente dopo aver subito l’attacco.
Al momento sono le forze di Polizia, della difesa e dell’Intelligence le autorità impegnate e incaricate di indagare e ripristinare la situazione, ma una volta istituita, sarà l’Agenzia per la cybersicurezza nazionale a gestire e coordinare questo genere di crisi, oltre ad occuparsi delle attività di prevenzione.
Infine, aspetto secondo noi ancor più importante, l’Agenzia per la cybersicurezza nazionale avrà il compito di completare la strategia di cyber resilienza nazionale, avviata con l’iter normativo sul Perimetro cibernetico, accrescendo il livello di consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber.
Interessato all’argomento? Non perdere i prossimi appuntamenti ReD OPEN dedicati a cybersecurity e sostenibilità della Data Governance. Chiedi informazioni.