Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 271 000 euro mot LAZIOcrea S.p.a. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att det inträffat en cyberattack mot hälso- och sjukvårdssystemet i regionen Lazio i Italien. Händelsen fick allvarliga återverkningar som ledde till att lokala hälsomyndigheter, sjukhus och vårdhem inte kunde använda regionala informationssystem under flera timmar och i vissa fall till och med månader. Utpressningsattacken inleddes några månader tidigare på en dator som tillhörde en regional anställd som arbetade på distans för en av enheterna. Den anställde installerade en skadlig programvara som krävdes för att ansluta till processorns nätverk. Programvaran skapade en bakdörr till systemet och stal den anställdes inloggningsuppgifter.
LAZIOcrea var personuppgiftsbiträde och ansvarade för förvaltningen och säkerheten för informationssystemen i regionen Lazio. Attacken riktade sig mot maskiner som fanns i ett av rummen i det datacenter som LAZIOcrea förvaltade. LAZIOcrea agerade därför också som personuppgiftsansvarig för sina egna ändamål, eftersom de operativsystem som attackerades också hanterade ytterligare behandlingsaktiviteter.
LAZIOcrea anmälde inte personuppgiftsincidenten omedelbart till Garante utan med avsevärd fördröjning. De berörda personuppgiftsansvariga fick information om personuppgiftsincidenten cirka två veckor efter incidenten, utan specifika hänvisningar till de angripna behandlingssystemen. Dessutom var en del av den information som lämnades felaktig, till exempel beskrivningen av incidenten och de åtgärder som vidtagits.
Garante inledde en utredning efter att media rapporterat om de aktuella omständigheterna och efter att berörda personuppgiftsansvariga lämnat in anmälningar. De undersökningar som genomfördes av Garante avslöjade en rad allvarliga överträdelser från LAZIOcreas sida.
Garante konstaterade att LAZIOcrea agerade i rollen som personuppgiftsansvarig för sina egna operativsystem, som också var målet för cyberattacken. Av detta skäl uppfyllde LAZIOcrea inte sin skyldighet enligt artikel 33.1 GDPR att rapportera överträdelsen till Garante inom 72 timmar från det att företaget fick kännedom om den. Garante konstaterade dessutom att LAZIOcrea i egenskap av personuppgiftsbiträde var skyldigt att rapportera incidenten till alla personuppgiftsansvariga som påverkades av incidenten i enlighet med artikel 33.2 GDPR. LAZIOcrea underlät att lämna tillräckliga motiveringar avseende skälen till de ovannämnda förseningarna. Garante konstaterade därför en överträdelse av artikel 33 GDPR.
Vidare noterade Garante att LAZIOcrea inte dokumenterat överträdelsen på ett adekvat sätt eftersom rapporten innehöll ofullständig information om dataintrånget och hanteringen av det. Ett sådant beteende var inte heller i linje med LAZIOcreas egen policy för hantering av dataintrång, som föreskriver att ett händelseregister ska föras över rapporter om påstådda intrång. Garante konstaterade därför ett åsidosättande av skyldigheterna enligt artikel 33.5 GDPR.
Därutöver ledde avsaknaden av olika säkerhetsåtgärder, som att utse personal för övervakning av systemsäkerheten, separera operativa nätverk eller förstärka filtreringsreglerna på brandväggarna i datacentret, till olika sårbarheter. Dessa sårbarheter utnyttjades av angripare och gav tillgång till LAZIOcreas operativsystem som, enligt vad som upptäcktes efter attacken, var föråldrade.
I detta avseende betonade Garante att den behandling som utförs i detta sammanhang kräver att de högsta säkerhetsstandarderna tillämpas. LAZIOcrea hävdade att dess informationssäkerhetssystem överensstämmer med ISO/IEC 27001-certifieringsstandarderna. Garante noterade dock att en sådan certifiering för närvarande inte är en av dem som avses i artikel 42 GDPR. Certifieringen kan användas för att visa att skyldigheterna enligt GDPR uppfylls och att en organisation har identifierat och genomfört vissa säkerhetskontroller. Den garanterar dock inte fördefinierade säkerhetsnivåer eller säkerhetsåtgärder. Av dessa skäl fann Garante att det skett en överträdelse av principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och artikel 32 GDPR avseende säkerheten i behandlingen som äventyrades av LAZIOcrea i dess egenskap av personuppgiftsansvarig och personuppgiftsbiträde.
Garante har utfärdat en sanktionsavgift på 271 000 euro mot LAZIOcrea för underlåtenhet att anmäla dataintrånget och bristande säkerhetsåtgärder för den behandling som utfördes i så stor skala.