Sabato 11 marzo il Comune di Taggia si è accorto di essere stato vittima di un attacco informatico per mezzo di una nuova tipologia di ransomware, che ha reso temporaneamente indisponibili i server aziendali.
L’accaduto è stato prontamente segnalato al Garante per la Privacy, secondo quanto previsto dal Regolamento UE 2016/679 (“RGPD”).
“La prima preoccupazione dell’amministrazione comunale – spiega il sindaco Mario Conio – è stata quella di ripristinare l’ordinario funzionamento dei servizi comunali e mettere in sicurezza la propria infrastruttura informatica. In un momento oltretutto di emergenza a causa dell’inquinamento dell’acquedotto comunale”.
“In stretta collaborazione con il responsabile della protezione dei dati personali e la polizia postale – prosegue il primo cittadino – sono state contestualmente avviate tutte le procedure necessarie all’individuazione dei colpevoli; oltre alla verifica delle modalità di attacco nonché all’individuazione delle possibili conseguenze, anche nell’ottica di prevenzione”.
Nonostante le ripetute richieste di pagamento di ingenti somme di denaro a titolo di riscatto, il Comune ha mantenuto un atteggiamento di chiusura e contrasto dell’attività criminale.
A seguito di ciò, i dati inizialmente crittografati sono stati successivamente sottratti e divulgati sul web, “con grave violazione della privacy di tutti gli interessati,” spiega il primo cittadino.
Per la natura dell’attacco informatico, non è possibile determinare con precisione le tipologie di dati trafugati, né il numero e le categorie di persone interessate.
“Ciò che è successo – conclude il sindaco Mario Conio – è grave e non va preso alla leggera. Garantisco la massima serietà da parte dell’amministrazione, degli uffici comunali e del nostro responsabile per la protezione dei dati personali, nella gestione dell’accaduto. Siamo inoltre in contatto con le autorità competenti. Purtroppo non è la prima volta che un’amministrazione comunale viene presa di mira da questi attacchi informatici, eventi purtroppo sempre più frequenti negli ultimi anni. È quindi nostra volontà mettere in campo ogni azione possibile di prevenzione attuabile, a difesa dei nostri cittadini”.
Gli uffici sono a disposizione degli interessati per fornire ogni informazione o supporto necessario. Ai fini della debita informativa a tutti gli interessati, si riporta di seguito il report con le informazioni dettagliate della vicenda.
1. Momento in cui è avvenuta la violazione.
Sulla base degli accertamenti fin qui condotti, l’attacco è stato perpetrato in data certamente antecedente al momento in cui è stato constatato, anche se non pare possibile individuare il momento esatto in cui i malintenzionati si siano introdotti nel sistema informativo ed abbia iniziato la propria attività criminosa.
2. Modalità con la quale il Comune è venuto a conoscenza della violazione.
Durante lo svolgimento dell’attività degli uffici, ancorché in orario di chiusura, i computer hanno interrotto il regolare funzionamento.
3. Momento in cui il Comune è venuto a conoscenza della violazione.
Alle ore 12:30 circa del giorno 11 marzo 2023.
4. Natura della violazione.
Attraverso l’accesso alla rete interna all’Ente, gli hacker hanno effettuato upload del virus ransomware, il quale si è propagato nel resto della rete interna, fino a raggiungere i server sui quali risiedono le banche dati comunali.
L’attacco ha determinato una perdita di riservatezza, perdita di integrità e perdita di disponibilità dei dati personali.
5. Causa della violazione.
La violazione è stata determinata da un’azione intenzionale esterna.
6. Descrizione della violazione.
Attacco perpetrato attraverso la diffusione del ransomware cryptolocker “White Rabbit”.
7. Descrizione dei sistemi, software, servizi e infrastrutture IT coinvolti nella violazione, con indicazione della loro ubicazione.
Sono stati attaccati il server master, le macchine virtuali da questo ospitate e i supporti di backup online, tutti presenti in apposito locale CED dedicato, sotto chiave e dotato di allarme; altresì sono stati violati tutti i personal computer rimasti accesi presso le singole postazioni di lavoro (client).
8. Categorie di interessati coinvolti nella violazione.
La violazione ha interessato i dati relativi al personale, agli amministratori, ai soggetti residenti e non residenti, ai contribuenti, agli utenti dei servizi comunali, contenuti all’interno degli applicativi utilizzati e nei documenti depositati negli archivi.
9. Numero (anche approssimativo) di interessati coinvolti nella violazione.
Non è possibile determinare neanche approssimativamente il numero degli interessati coinvolti
10. Numero (anche approssimativo) di registrazioni coinvolti nella violazione.
Non è possibile determinare neanche approssimativamente il numero delle registrazioni coinvolte
11. Potenziale impatto per gli interessati.
Mentre una verifica iniziale non consentiva di esprimersi in merito ad una eventuale esfiltrazione di dati personali, successive evidenze lo hanno confermato (pubblicazione su pagine internet).
In conseguenza di quanto sopra, i dati, divulgati al di fuori di quanto previsto dall’informativa ovvero dalla disciplina di riferimento, potranno essere correlati, senza sforzo irragionevole, ad altre informazioni relative agli interessati e potrebbero essere utilizzati per finalità diverse da quelle previste oppure in modo non lecito. Tutti gli uffici comunali manterranno un livello di massima allerta per evitare il presentarsi di situazioni dannose o pericolose per gli interessati, in relazione al compimento delle attività e dei servizi di competenza comunale.
I profili di integrità e di disponibilità dei dati sono stati risolti grazie al tempestivo intervento dei tecnici comunali.
12. Misure tecniche e organizzative adottate (o di cui si propone l’adozione) per porre rimedio alla violazione e attenuarne i possibili effetti negativi per gli interessati.
Dal momento della rilevazione dell’attacco sono state prontamente attivate le policy e le procedure di emergenza del Comune. Le azioni messe in campo sono:
- Identificazione: attività di cyber investigation per determinare l’attore malevolo e le modalità e relativo vettore di attacco (in fase di ultimazione dell’analisi);
- Attività di analisi log per verificare possibile esfiltrazione dati (attività completata);
- Contenimento: sono state attivate le azioni di mappatura delle macchine e dei sistemi infettati e compartimentato l’area per mitigare gli effetti malevoli affinché il danno non si propagasse ulteriormente (attività completata);
- Eradication: attività di rimozione della minaccia (attività completata);
- Recovery: attività di ripristino dei sistemi, database e servizi (attività completata).
13. I dati di contatto del Responsabile della protezione dei dati personali (DPO) sono i seguenti:
- telefono: 01311826681
- e-mail: comune.taggia@gdpr.nelcomune.it
- PEC: dpo@pec.gdpr.nelcomune.it.