EntiOnLine
Categorie
indietro
25/10/2023 Misure di sicurezza informatica per la tutela dei dati personali
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Il Garante della Privacy sanziona la mancata adozione per 30.000,00 euro

Il Garante della Privacy, con provvedimento del 28 settembre 2023 (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9941232) ha sanzionato per 30.000 euro un’Asl per non aver protetto adeguatamente da attacchi hacker i dati personali e i dati sanitari di 842.000 tra assistiti e dipendenti.

E’ uno dei primi provvedimenti del Garante che sanziona pesantemente la mancata adozione di misure di sicurezza.

Il caso.

La struttura sanitaria sanzionata aveva subito, come sempre più spesso avviene, un attacco ransomware che attraverso un virus aveva limitato l'accesso al database della struttura sanitaria e richiesto un riscatto per ripristinare il funzionamento dei sistemi.

A seguito del data breach l’ASL aveva notificato al Garante la violazione (procedura di data breach).

Il Garante eseguiva una approfondita istruttoria sulle cause del data breach, appurando che nel caso di specie, era mancata un'adeguata tutela della rete informatica, in relazione agli accessi da parte dei dipendenti che si collegavano da remoto tramite VPN.

In particolare il Garante accertava che l’accesso alla rete dall'esterno tramite vpn avveniva mediante una procedura di autenticazione basata solo sull’utilizzo di username e password. Inoltre, la carenza di segmentazione della rete aveva causato la propagazione del virus all’intera infrastruttura informatica, compresa l’infrastruttura di Disaster Recovery.

Conseguentemente, venivano contestate all’azienda sanitaria:

  • la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali
  • La mancata adozione di misure adeguate a garantire la sicurezza delle reti, sia in relazione alla segmentazione e segregazione delle stesse, sia con riferimento all’accesso remoto tramite VPN

Le conseguenze e le indicazioni operative da attuare

Con il richiamato provvedimento, il Garante ha ricordato come il dovere del titolare del trattamento dei dati sia quello di attuare misure tecniche ed organizzative, sin dalla progettazione di servizi e infrastrutture, per la miglior difesa possibile dei dati trattati.

Ciò premesso cosa fare?

Indubbiamente, sotto il profilo normativo, le pubbliche amministrazioni sono tenute sin dal 2017 ad adottare le misure minime di sicurezza di Agid a livello Standard non solo il livello “minimo” come spesso accade (https://www.agid.gov.it/it/sicurezza/misure-minime-sicurezza-ict).

AgID ha infatti fornito alla PA un vademecum per il raggiungimento di misure minime di sicurezza ICT. Si tratta delle “Misure minime di sicurezza ICT per le pubbliche amministrazioni” presentate sotto forma di checklist e create a partire dai controlli internazionali: un sistema di 20 controlli, ordinati sulla base dell’impatto della sicurezza dei sistemi, di cui AgID ritiene indispensabili i primi cinque, perché conformandosi ad essi, si potrebbero evitare l’85% degli attacchi informatici.

Le misure minime sono quindi un importante supporto metodologico, oltre che un mezzo attraverso il quale le Amministrazioni, soprattutto quelle più piccole e che hanno meno possibilità di avvalersi di professionalità specifiche, possono verificare autonomamente la propria situazione e avviare un percorso di monitoraggio e miglioramento. Le misure minime:

  • forniscono un riferimento operativo direttamente utilizzabile (checklist),
  • stabiliscono una base comune di misure tecniche ed organizzative irrinunciabili;
  • forniscono uno strumento utile a verificare lo stato di protezione contro le minacce informatiche e poter tracciare un percorso di miglioramento;
  • responsabilizzano le Amministrazioni sulla necessità di migliorare e mantenere adeguato il proprio livello di protezione cibernetica.

All’interno dell’Ente locale chi si deve occupare dell’attuazione delle misure minime?

L’adeguamento alle misure minime è a cura del Responsabile della Transizione al Digitale (RTD) come indicato nel CAD (art. 17 ) o, in sua assenza, del dirigente designato. Il dirigente responsabile dell'attuazione deve compilare e firmare digitalmente il "Modulo di implementazione" allegato alla Circolare 18 aprile 2017, n. 2/2017.

Il modulo attestante l’adozione delle misure di sicurezza informatiche potrà essere così messo a disposizione del Garante in caso di accertamento da parte dell’Autorità.

Banca dati