Quattro giorni di tentativi di entrare nel sistema, poi il furto di 6,9 gigabyte di dati. La richiesta (respinta) di soldi e la pubblicazione sul dark web delle informazioni. Ora la multa da 30mila euro del Garante: non rilevati i comportamenti anomali.
L’attacco è iniziato tra il 30 settembre e il primo ottobre 2023, quando il sistema ha rilevato numerosi tentativi di connessione dall’esterno, sfruttando il canale "Remote desktop protocol" che permette agli utenti autorizzati di ricreare sul proprio pc l’ambiente di lavoro con un’interfaccia grafica. Dal 2 ottobre, l’attività si è intensificata nelle ore serali, per poi concludersi il giorno dopo con l’accesso abusivo alla rete informatica dell’Ordine degli psicologi della Lombardia. Finora era nota solo la parte finale del cyber assalto del gruppo di hacker NoEscape, che un anno e mezzo fa ha preso in ostaggio 6,89 gigabyte di dati riservati per chiedere un riscatto mai pagato; a quel punto, le informazioni sono finite nel dark web.
Adesso il provvedimento con cui il Garante della privacy ha comminato una sanzione da 30mila euro all’associazione professionale svela cos’è successo nei giorni precedenti e soprattutto cosa non avrebbe funzionato nei meccanismi di "difesa" bucati da NoEscape. È stato lo stesso Ordine, il 19 ottobre 2023, a segnalare all’Authority l’attacco, spiegando di aver compreso solo il 10 ottobre che le anomalie riscontrate nelle ore precedenti erano state in realtà generate da una fonte "malevola". Vale a dire gli hacker, che si sono fatti vivi con una mail "che indicava il riferimento a un link su Onion che rimandava a una pagina dove si minacciava la pubblicazione di 7 gigabyte di dati". La pubblicazione è effettivamente avvenuta il 18 e il 31 ottobre, a fronte del mancato versamento del denaro richiesto per mettere fine all’assalto di tipo "ransomware".
L’Ordine ha aggiunto, si legge nel provvedimento, che "gli interessati coinvolti nell’attacco informatico sono stati 3mila" e che l’impatto della violazione è stato "alto con esclusivo riferimento ai dati di interessati coinvolti in procedimenti disciplinari (159, ndr) e alle persone citate negli stessi procedimenti, che rappresentano solo una parte molto limitata dei dati violati". Dalla documentazione esaminata, è emerso inoltre "che la violazione ha coinvolto circa 15mila registrazioni di dati personali, tra cui dati anagrafici, di contatto, di pagamento, relativi a documenti d’identità/riconoscimento, coperti da segreto professionale, nonché dati appartenenti a categorie particolari, quali dati che rivelano l’origine razziale o etnici, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la vita sessuale o l’orientamento sessuale, lo stato di salute, nonché dati relativi a condanne penali e reati". Detto questo, l’Ordine si è difeso sostenendo di aver implementato le misure di sicurezza, "nonostante le significative restrizioni di carattere economico", e di aver dovuto fronteggiare un attacco di tipo "brute force" (gli hacker hanno ripetutamente provato a entrare illegalmente usando le credenziali di accesso di alcuni utenti o cercando di trovarle con una serie infinita di tentativi). Tradotto: "L’attacco era particolarmente sofisticato ed elusivo, e pertanto nemmeno adottando sistemi di allerta più avanzati sarebbe stato possibile rilevarlo". In particolare, "l’esfiltrazione dei dati è avvenuta in maniera progressiva, in orario notturno e in giorni festivi, senza mai superare la soglia di traffico giornaliero media".
L’Authority ha tenuto conto di giustificazioni e cambi di rotta, ma ha dovuto prendere atto che l’Ordine non ha "adottato alcuna misura adeguata a rilevare tempestivamente le violazioni dei dati personali sulla base di comportamenti anomali". E a nulla serve, ha aggiunto il Garante, invocare "la limitatezza delle risorse organizzative e finanziarie per giustificare la mancata adozione di misure adeguate a fronteggiare i rischi". Da qui la sanzione.