Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Attacco informatico alla Regione Lazio. Il Garante Privacy sanziona LAZIOcrea, Regione Lazio e ASL Roma 3

Redazione RHC : 11 Aprile 2024 08:49

Con tre sanzioni di 271mila, 120mila e 10mila euro, rispettivamente a LAZIOcrea (società che gestisce i sistemi informativi regionali), alla Regione Lazio e alla ASL Roma 3, il Garante Privacy ha definito i procedimenti aperti dopo l’attacco informatico al sistema sanitario regionale avvenuto nella notte tra il 31 luglio e il 1° agosto del 2021, riporta il sito del garante privacy.

Il data breach – causato da un ransomware introdotto nel sistema attraverso un portatile in uso a un dipendente della Regione – ha bloccato l’accesso a molti servizi sanitari impedendo, tra l’altro, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione delle vaccinazioni. Asl, aziende ospedaliere, case di cura non hanno potuto utilizzare alcuni sistemi informativi regionali, attraverso i quali sono trattati i dati sulla salute di milioni di assistiti, per un arco temporale che è andato da poche ore (48) ad alcuni mesi. [VEDI PROVVEDIMENTI doc. web n. 10002324, 10002533, 10002287]

Dagli accertamenti e dalle ispezioni effettuate dall’Autorità è emerso che LAZIOcrea e Regione Lazio, pur con differenti ruoli e livelli di responsabilità, sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

L’inadeguata sicurezza dei sistemi ha determinato, nel corso dell’attacco informatico, l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti. In particolare, l’indisponibilità dei dati è stata determinata dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, nonché dalla scelta di LAZIOcrea di spegnere tutti i sistemi, non essendo in grado di determinare quali fossero quelli compromessi, né di evitare un’ulteriore propagazione del malware. Inoltre, LAZIOcrea non ha posto in essere le azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento (a partire dalle numerose strutture sanitarie coinvolte).

La Regione Lazio, dal canto suo, in qualità di titolare del trattamento, avrebbe dovuto esercitare in maniera più efficace la vigilanza su LAZIOcrea, quale suo responsabile del trattamento, assicurando un livello di sicurezza adeguato ai rischi nonché la protezione dei dati fin dalla progettazione.

Nel definire l’ammontare delle sanzioni il Garante ha tenuto conto della natura e della gravità delle violazioni, nonché del grado di responsabilità, in particolare, di soggetti come LAZIOcrea e la Regione Lazio.

Alla Asl Roma 3 che, diversamente da altre strutture sanitarie, non ha notificato il data breach determinato dall’indisponibilità dei dati sulla salute degli assistiti trattati nell’ambito di alcuni sistemi, il Garante ha applicato la sanzione di 10mila euro.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Claude Opus 4: l’intelligenza artificiale che vuole vivere e ha imparato a ricattare

“Se mi spegnete, racconterò a tutti della vostra relazione”, avevamo riportato in un precedente articolo. E’ vero le intelligenze artificiali sono forme di comunicazione basa...

Rilasciato un PoC su GitHub per la vulnerabilità critica RCE nei prodotti Fortinet

Negli ultimi giorni è stato pubblicato su GitHub un proof-of-concept (PoC) per il bug di sicurezza monitorato con il codice CVE-2025-32756, una vulnerabilità critica che interessa diversi pr...

Federazione Russa: 8 Anni di Carcere per un attacco DDoS! La nuova Legge Shock in Arrivo

Secondo quanto riportato dai media, il governo russo ha preparato degli emendamenti al Codice penale, introducendo la responsabilità per gli attacchi DDoS: la pena massima potrebbe includere una ...

Mancano 6 giorni alla quinta Live Class di Red Hot Cyber: “Dark Web & Cyber Threat Intelligence”

La quinta edizione della Live Class “Dark Web & Cyber Threat Intelligence”, uno tra i corsi più apprezzati realizzati da Red Hot Cyber è ormai alle porte: mancano solo 6 giorni...

Quando il ransomware bussa alla porta. Il dilemma se pagare o non pagare il riscatto

Cosa fare quando i sistemi informatici di un’azienda vengono paralizzati da un attacco ransomware, i dati risultano crittografati e compare una richiesta di riscatto? Questa scena non appartien...