A LAZIOcrea S.p.a., responsável pela gestão e segurança dos sistemas de informação da região de Lazio, Itália, foi multada em €271.000 pela Autoridade Italiana de Proteção de Dados (Garante) devido a várias violações relacionadas a um ataque de ransomware ocorrido na noite de 31 de julho de 2021. O ataque afetou hospitais e outras instituições de saúde, impedindo o acesso aos sistemas de informação regional por horas e, em alguns casos, por meses.

A falha inicial ocorreu quando um funcionário regional, trabalhando remotamente, instalou um software malicioso que criou uma "porta dos fundos" no sistema, permitindo o roubo de credenciais de acesso. A LAZIOcrea falhou em notificar o incidente dentro do prazo de 72 horas conforme exigido pelo Artigo 33 do GDPR, informando os controladores afetados apenas duas semanas após o incidente. Além disso, a notificação estava incompleta e continha informações imprecisas.

Durante a investigação, foi revelado que a empresa não tinha pessoal dedicado à análise 24 horas dos alertas gerados pelo sistema de monitoramento de segurança da Microsoft e não havia separação adequada das redes para contas de funcionários e servidores. As regras de filtragem nos firewalls falharam em impedir a propagação do malware para cerca de 180 sistemas. Os invasores também se aproveitaram de procedimentos vulneráveis de autenticação remota e de sistemas operacionais desatualizados gerenciados pela empresa.

A Garante destacou que, apesar da LAZIOcrea possuir certificação ISO/IEC 27001, isso não garante o cumprimento dos níveis de segurança previstos pelo Artigo 42 do GDPR. A multa aplicada reflete as sérias deficiências na segurança de processamento que a empresa tinha como controladora e processadora dos dados.

Com informações GDPRHub

Este post foi resumido a partir de sua versão original  com o uso do ChatGPT versão 4.