g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Istituto Nazionale di Statistica - 10 febbraio 2022 [9751194]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9751194]

Ordinanza ingiunzione nei confronti di Istituto Nazionale di Statistica -  10 febbraio 2022

Registro dei provvedimenti
n. 46 del 10 febbraio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. La violazione di dati personali

L’Istituto nazionale di statistica (Istat), con atto dell’8 novembre 2020 ha notificato una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, rendendo noto di avere predisposto anche la denuncia per la Polizia Postale (poi trasmessa in atti e datata 9 novembre 2020), e con successive note del 9 novembre 2020 (prot. n. 2263370), 20 novembre 2020 (prot. n. 2301044), 28 novembre 2020, (prot. n. 2366761), 1° dicembre 2020 (prot. n. 2411492), 3 dicembre 2020, (prot. n. 2414117) ha fornito elementi integrativi alla richiamata notifica, ai sensi dell’art. 33, par. 4 del Regolamento, anche in riscontro a specifiche richieste di informazioni dell’Ufficio del Garante (note del 16 novembre 2020, prot. n. 43293 e del 26 novembre 2020, prot. 45049).

La violazione è consistita in un attacco informatico che ha comportato l’esfiltrazione di alcune informazioni e il potenziale accesso non autorizzato da parte di terzi alle informazioni, fra cui credenziali di autenticazione contenute, rispettivamente, nei portali “COEWEB” e “INDATA” raggiungibili alle seguenti URL https://www.COEWEB.istat.it e https://INDATA.istat.it/pdc  .

1.1 La violazione del portale COEWEB

Nell’atto di notifica, l’Istituto ha dichiarato che “il sito www.COEWEB.istat.it, utilizzato per la diffusione delle statistiche sul commercio estero”, è stato oggetto di una violazione, causata da un’azione intenzionale esterna, resa pubblica il 5 novembre 2020 di cui il titolare ha avuto conoscenza tramite segnalazione del CSIRT-ITA (Computer Security Incident Response Team – Italia) e del CERT-GARR (Computer Emergency Response Team del GARR -Gestione Ampliamento Rete Ricerca-  ovvero della comunità dell'istruzione e della ricerca) senza riuscire a risalire al momento dell’attacco.

In particolare, l’Istat ha dichiarato che “la violazione è stata pubblicata da anonymous Italia al seguente link: https://...”. Secondo quanto noto all’atto della notifica, sarebbero stati diffusi “soltanto i nomi dei DB ma dall'analisi della vulnerabilità non si esclude la possibilità che siano stati esfiltrati ulteriori dati (dati utenze e macrodati pubblici di diffusione del commercio con l'estero)”.

La violazione avrebbe quindi causato la potenziale perdita di confidenzialità di dati anagrafici, di contatto, di accesso e identificazione riferiti a circa 27.000 interessati tra dipendenti, consulenti, utenti anche di altri paesi appartenenti e non allo Spazio Economico Europeo. Secondo quanto in atti, “i dati oggetto della violazione comprendono nome cognome e indirizzo dove presenti (campi non obbligatori), posta elettronica dell'utente, username e password dell'applicazione 'COEWEB.istat.it'”.

Nel descrivere la violazione, è stato dichiarato che:

- “la violazione è stata realizzata mediante un attacco di tipo sql injection, sfruttando una vulnerabilità dell'applicazione. L'attacco sql injection viene usato su applicazioni che gestiscono dati attraverso database relazionali sfruttando il linguaggio SQL. E' un attacco che si attiva a causa di vulnerabilità nella logica applicativa. La vulnerabilità ha permesso di accedere ai dati presenti sul database”.

A tale riguardo, l’Istat ha precisato di aver attivato ulteriori accertamenti al fine di verificare l’eventuale diffusione dei dati esfiltrati e che “l'accesso a 'COEWEB.istat.it' è stato immediatamente bloccato e sarà ripristinato dopo aver risolto le vulnerabilità individuate” e che “sono state disabilitate tutte le utenze del sistema, gli utenti dovranno nuovamente registrarsi al prossimo accesso”.

In riferimento alle possibili conseguenze dell’attacco, è stato evidenziato, in particolare, che:

- “le credenziali di autenticazione (username e password locali del sistema) non sono utilizzate per accedere a ulteriori dati contenuti nel sistema 'COEWEB.istat.it' oltre quelli a cui si può accedere senza registrarsi, tenendo conto del fatto che i dati di COEWEB sono aggregati e finalizzati alla diffusione al pubblico. Con la registrazione si crea un profilo utente nel quale vengono salvate le richieste effettuate dall'utente medesimo al fine di riproporle successivamente con i dati aggiornati. Si fa inoltre presente che parte degli indirizzi mail sono associati ad uffici ed enti e non direttamente a persone fisiche”;

-  “l'incidente informatico ha coinvolto un server web XX dedicato all'applicativo www.COEWEB.istat.it e due schemi di database XX contenenti i dati per la diffusione e i dati di autenticazione degli utenti del sistema. (...)”;

con riferimento alle misure implementate all’atto della violazione, “le misure di sicurezza tecniche e organizzative adottate sono state ritenute adeguate in relazione alla tipologia di dati trattati destinati alla divulgazione al pubblico:

-  1) autenticazione al sistema tramite username e password (per la parte 'autenticata');

- 2) l'autenticazione al server con privilegi di amministratore “root” o “admin”, avviene previa preventiva comunicazione al dirigente del servizio ITA della DCIT mediante un messaggio di posta elettronica, contenente tutti i dati del collegamento e le ragioni per cui è necessario accedere con utenza non personale”.

A seguito della violazione e per ridurne gli effetti, l’Istat ha dichiarato che “il sito è stato immediatamente reso indisponibile e sono state disabilitate tutte le utenze del sistema; gli utenti dovranno nuovamente registrarsi al prossimo accesso al ripristino del sistema. E' in corso il monitoraggio e l'analisi delle vulnerabilità da parte del team di sicurezza che si avvale anche del supporto di "hacker etici" al fine di identificare ogni possibile vulnerabilità e aggiornare il software con l'applicazione di opportune patch di sicurezza che eliminino tra l'altro ogni possibile attacco di tipo sql injection come quello avvenuto. Quando il sito sarà ripristinato comparirà un messaggio informativo per gli utenti in cui si darà evidenza dell'incidente e si forniranno nuovi requisiti di sicurezza per la creazione delle nuove credenziali, in via prudenziale, nonostante si tratti di un sistema di sola consultazione di dati pubblici e aggregati”.

Per prevenire analoghe violazioni future, l’Istat ha dichiarato che [OMISSIS], che “si sta valutando la riprogettazione del sistema COEWEB” e che “il software già in esercizio viene continuamente e puntualmente analizzato per identificare eventuali nuove vulnerabilità”.

L’Istat ha dichiarato, infine, che in data 9 novembre avrebbe comunicato la violazione agli interessati attraverso la pubblicazione di uno specifico messaggio in un’apposita pagina di cortesia.

Per le ragioni sopra esposte il titolare del trattamento ha stimato la gravità della violazione come “alta”.

Nell’evidenziare le cause che, anche sotto il profilo tecnico e organizzativo, hanno determinato la violazione in esame, l’Istat, con nota del 20 novembre 2020, ha dichiarato in via generale che a “causa di errori nel processo di sviluppo software (...) si sia configurata, a livello applicativo, una vulnerabilità del codice non nota che ha permesso un attacco dall’esterno”.

Con specifico riferimento al portale COEWEB, è stato successivamente dichiarato che “l'attacco è stato reso possibile a causa della presenza di una vulnerabilità di tipo "carenza di validazione dell'input", (...)”, che “gli utenti registrati (numero di e-mail di registrazione) sono 31.080, di cui 5.659 hanno i campi nome, cognome e indirizzo vuoti (ovvero non sono presenti dati personali). Ulteriori 200 record circa non presentano dati personali, bensì riferimenti ad uffici, segreterie di Enti pubblici e di imprese” e che “Una percentuale delle utenze registrate non contiene dati personali ma solo riferimenti ad uffici, segreterie di Enti pubblici e più spesso di imprese. Il sistema non prevedeva, prima dell’incidente, una scadenza obbligatoria della password”.

Con riferimento alla sicurezza delle password di accesso al portale in esame, è stato precisato che “nel valutare le misure di sicurezza tecniche e organizzative si è tenuto conto essenzialmente della natura dei dati ospitati sul sistema COEWEB, ovvero macro dati statistici pubblici, relativi al commercio con l’estero, quindi non critici sotto il profilo della riservatezza. La registrazione degli utenti era stata prevista per consentire di memorizzare le c.d. “query” al sistema, in ottica di rendere un servizio di migliore qualità”.

È stato rappresentato, poi, che “nella versione precedente alla violazione il portale prevedeva la password memorizzata in chiaro, la lunghezza massima di 8 caratteri e l'obbligo di soli caratteri alfanumerici. Si precisa che tali impostazioni rappresentano un’eccezione rispetto alle politiche di sicurezza standard dell’Istituto (...), e che le credenziali di accesso a COEWEB, (...), sono usate solamente per consentire agli utenti di recuperare ad ogni sessione query e informazioni utili salvate precedentemente e non perché COEWEB necessiti di autenticazione per servizi ad accesso riservato. A seguito della violazione le credenziali hanno subito un reset, per cui al ripristino del sistema gli utenti saranno obbligati a registrarsi nuovamente. [OMISSIS]

1.2. La violazione del portale INDATA

Nell’atto di notifica, l’Istituto ha dichiarato che “il 5 novembre 2020” è stata resa pubblica anche la violazione, conosciuta tramite segnalazione del CSIRT-ITA e del CERT-GARR, senza riuscire a identificare il momento dell’attacco, che ha riguardato “il sito INDATA.istat.it/pdc utilizzato per la raccolta dati della rilevazione statistica dei permessi per costruire”.

In particolare, è stato dichiarato che “la violazione è stata pubblicata da anonymous Italia al seguente link: https://...”.

Secondo quando noto all’atto della notifica, sarebbero stati “diffusi soltanto i nomi dei DB ma dall'analisi della vulnerabilità non si esclude la possibilità che siano stati esfiltrati ulteriori dati (...)”.
Anche questa violazione avrebbe quindi causato la perdita di confidenzialità di dati anagrafici, di contatto, di accesso e identificazione riferiti a circa 108.000 interessati tra dipendenti, consulenti, utenti.

I dati potenzialmente violati riguardano “nome, cognome e indirizzo mail del tecnico autorizzato; dati catastali non personali disponibili al pubblico (relativi all'oggetto del permesso a costruire); username e password delle applicazioni 'INDATA.istat.it/pdc e INDATA.istat.i/pdcom'”. È stato precisato che “il sistema prevede due tipi di utenza:

- l'utenza Comune (circa 8000 i cui formato è XX) con associata una email del referente individuato dal Comune;

- le utenze dei Tecnici (circa 100.000; ogni tecnico, se lavora su più comuni ha una utenza per ogni comune, formato XX)”.

Nel descrivere la violazione, è stato dichiarato che essa è stata realizzata mediante il medesimo attacco di tipo sql injection operato sull’applicativo COEWEB e che “l'incidente informatico ha coinvolto un server web XX dedicato all'applicativo "INDATA.istat.it/pdc e INDATA.istat.it/pdcom" e diversi schemi di database XX contenenti i dati della rilevazione di permessi di costruire e i dati di autenticazione degli utenti del sistema”.

Per quanto riguarda le conseguenze della violazione l’Istituto ha rappresentato, in particolare, che:

“I dati potrebbero essere divulgati, bisogna però tener conto del fatto che:

- l'accesso a 'INDATA.istat.it/pdc e INDATA.istat.it/pdcom' è stato immediatamente bloccato;

- password cifrate utilizzando le funzioni native del sistema;

- sono state disabilitate tutte le utenze del sistema, gli utenti dovranno cambiare password al prossimo accesso dopo l'aggiornamento e riattivazione del sistema”.

Le misure volte a garantire la sicurezza del trattamento, in essere al momento della violazione, descritte nell’atto di notifica sono sostanzialmente analoghe a quelle riportate in riferimento al portale COEWEB.

In relazione alle misure adottate per ridurre gli effetti della violazione, oltre a quanto già rappresentato per il portale COEWEB, è stato dichiarato, in particolate, che “è stata predisposta la migrazione completa del sistema compromesso su un sistema integro con il software di base, il database server e il web server aggiornato alle ultime release e compatibili con l'applicazione ospitante”.

L’Istat ha dichiarato, inoltre, che in data 9 novembre avrebbe comunicato la violazione agli interessati attraverso la pubblicazione di uno specifico messaggio in un’apposita pagina di cortesia avendo stimato la gravità della violazione come “alta”.

Con nota del 20 novembre 2020, con specifico riferimento al portale INDATA è stato dichiarato che “da un'analisi dei log degli accessi all’applicazione "INDATA.istat.it/pdc" del mese precedente all'incidente sono emersi una serie di tentativi di attacco con modalità compatibili con l'incidente. Tra questi tentativi è stata identificata una serie di richieste, nella giornata del 29/10/2020, che presumibilmente hanno consentito all'agente di minaccia di accedere ai dati gestiti dall'applicativo e sono quindi riconducibili all'incidente di cui è stato oggetto il sistema”.

In tale ambito, sono state altresì fornite indicazioni più precise in relazione agli interessati i cui dati sono stati violati, specificando, in particolare che “gli utenti totali registrati sono 105.448, divisi in 7.119 operatori del comune e 98.329 tecnici (geometri, architetti)” e che “i dati personali memorizzati sono utenza, password, nome, cognome, e-mail. Gli utenti totali registrati sono 105.448, divisi in 7.179 operatori del comune e 98.269 tecnici (geometri, architetti), suddivisi in termini temporali [...]. Si fa presente che il tecnico deve avere una utenza per ogni comune in cui lavora. Il sistema non prevedeva, prima dell’incidente, una scadenza obbligatoria della password”.

Nel fornire i chiarimenti richiesti in ordine alle misure di sicurezza correlate alle password per l’accesso al portale INDATA è stato dichiarato che:

- “Nella versione precedente alla violazione il portale prevedeva la seguente procedura di autenticazione:

per effettuare la registrazione veniva fornita all'utente una password iniziale, composta da sei caratteri alfanumerici preceduti dal suffisso “pdc”, con cui era possibile attivare le credenziali di accesso, creando una propria password personale, composta da un minimo di 8 caratteri alfanumerici, criptata con algoritmo md5. Nell'ipotesi in cui l'utente avesse smarrito la password iniziale, per effettuare la registrazione avrebbe dovuto necessariamente contattare l’assistenza clienti per riottenere la medesima password iniziale. L'utenza effettuava il login all'applicativo mediante la pagina di accesso, in cui venivano verificate le credenziali codice utente e password personale. Non era prevista una scadenza della password personale. In caso di smarrimento della password personale di accesso occorreva effettuare il ripristino della stessa mediante la pagina di ripristino della password, per la quale occorreva disporre della password iniziale fornita in fase di registrazione. Nell'ipotesi in cui l'utente avesse dovuto ripristinare la password non disponendo più della password iniziale, avrebbe dovuto contattare l'assistenza per riottenere la medesima password iniziale fornita appunto in fase di registrazione. L'utente poteva procedere liberamente alla modifica della password personale, in qualunque momento, mediante la pagina di modifica della password, e disponendo del proprio codice utente e della propria password personale, creando una nuova password personale, composta da un minimo di 8 caratteri alfanumerici e criptata con algoritmo md5”.

- “La nuova procedura di autenticazione è la seguente:

[OMISSIS]

- [OMISSIS]

È stato precisato quindi che, a seguito del ripristino del portale [OMISSIS]

Nell’indicare le ulteriori iniziative adottate, o che si intendeva adottare, al fine di meglio individuare la portata della violazione dei dati personali e i connessi rischi per i diritti e le libertà degli interessati con riguardo al portale INDATA -anche in riferimento alla rilevazione IST-00088 di cui al PSN 2020-2022 (che, dalla documentazione in atti, sembrava ricondursi al portale in esame)-, è stato precisato che “(...), INDATA rappresenta una porta di accesso a diversi siti di raccolta dati, ognuno dei quali è caratterizzato da applicazioni e base di dati dedicata. La violazione è avvenuta su un sito c.d. “satellite” del portale INDATA, ovvero INDATA/PDC, che è fisicamente e logicamente separato da INDATA e dagli altri sistemi di raccolta dati. L’applicazione oggetto dell’attacco, INDATA.istat.it/pdc, è attestata su un server dedicato sul quale non risiedono altre applicazioni e per il quale è prevista la dismissione, come già descritto in precedenza, migrando l’applicazione su nuovi ambienti aggiornati. In linea con quanto appena specificato, con riferimento all’applicazione che gestisce la rilevazione IST00088 di cui al PSN 2020-2022, si ribadisce che questa è attestata su altro server, ovvero in ambiente completamente separato da quello oggetto di attacco, e che il riferimento a INDATA nella scheda PSN dell’indagine IST00088 rappresenta in modo sommario e sintetico la circostanza che i dati vengono collezionati tramite un portale di acquisizione. In altri termini, i server e i data base delle due applicazioni che gestiscono INDATA/PDC e l’indagine IST00088 non hanno alcun elemento in comune”.

1.3. La comunicazione agli interessati e ulteriori elementi

Con nota del 9 novembre 2020 è stato precisato che, in coerenza con le indicazioni della polizia postale “si è ritenuto di formulare una semplice comunicazione tecnica di indisponibilità di accesso ai siti INDATA e COEWEB, e di comunicare agli utenti, tramite messaggio sulla posta elettronica (...)”, successivamente, l’Istituto ha inviato una comunicazione completa agli interessati al fine di minimizzare il potenziale rischio di incorrere nel "credential stuffing" o “phishing” (note del 20 e del 28 novembre 2020).

L’Istat, in relazione ad entrambi i siti ha inoltre precisato che “tali servizi sono stati sviluppati all’inizio degli anni Duemila e che, sebbene siano stati realizzati interventi migliorativi nel tempo, la natura e l’obsolescenza del codice non consentiva di implementare efficaci politiche di patching ed aggiornamento. Pertanto, in funzione della natura dei servizi erogati e dei dati presenti su entrambi i sistemi, considerati a basso rischio in termini di privacy, (...), nonché sulla base di valutazioni di costi e benefici, la strategia adottata dall’Istituto prevedeva la segregazione dei sistemi in oggetto dal resto del sistema informativo Istat”.

E’ stato infatti specificato che il portale COEWEB ospita “macro dati statistici pubblici, relativi al commercio con l’estero, quindi non critici sotto il profilo della riservatezza” mentre il portale INDATA ospita “dati catastali non personali disponibili a coloro che hanno titolo per accedervi”.

L’Istat ha dichiarato, comunque, che “è pianificata la migrazione degli stessi su ambienti più sicuri, con relativa riscrittura del codice applicativo, in linea con gli standard tecnologici e di sicurezza in uso nell’Istituto. Si stima che l’attività di migrazione si concluderà entro il primo semestre del 2021” e che, per entrambi i portali, è stato previsto l’inserimento in un processo di analisi sistematica del software (ALM) volto a identificare e sanare tempestivamente eventuali vulnerabilità.

Con nota del 1° dicembre 2020, l’Istat ha infine chiarito che le differenti password policy adottate per i portali oggetto di violazione erano motivate in ragione delle diverse tipologie di dati trattati rispetto alle altre banche dati dell’Istituto e ha dichiarato di avere, a seguito dell’incidente di sicurezza occorso, adeguato le medesime agli standard dell’Istituto come sopra illustrato.

L’Istituto ha inoltre confermato di “aver sanato la suddetta vulnerabilità sul portale INDATA/PDC, attualmente online” e di avere “eseguito specifici test di vulnerabilità per testarne l’efficacia prima appunto della nuova disponibilità per l’utenza del sistema” e che “i due applicativi COEWEB e INDATA/PDC rientrano nel processo standard dell’Istituto di gestione delle applicazioni ALM (Application Lifecycle Management) e nei cicli di vulnerability assessment periodici”. Con riferimento al portale COEWEB è stato dichiarato che esso “verrà riprogettato entro fine giugno 2021, garantendo, nel frattempo, il patching della versione che verrà deprecata, anche nel rilascio intermedio che avverrà entro la fine dell’anno 2020”.

Con nota del 3 dicembre 2020, a seguito di ulteriori approfondite verifiche, l’Istat ha dichiarato, con riferimento al portale INDATA, che “la violazione del sistema si configura come un incidente di sicurezza, ma non come una violazione di dati personali” e che “l’incidente su COEWEB è un incidente di sicurezza e il rischio che siano stati esfiltrati dati personali è molto basso”.

In particolare, l’Istat ha dichiarato di avere “(...) analizzato i log dell’applicativo INDATA/PDC contenenti il dettaglio delle singole query eseguite (file di log “queries”). Il file “queries” riporta tutte le istruzioni (comandi sql) lanciate verso il database. Da tale file si evidenzia, nel tempo che intercorre tra le 16.30 e le 17.44 del 29 ottobre 2020, un attacco blind SQL injection, il cui scopo è cercare di comprendere le caratteristiche del sito attaccato tramite le sue vulnerabilità per poi recuperare informazioni. L’analisi dei log ha consentito di verificare che, durante l’attacco, tutte e sole le informazioni esfiltrate consistono nello schema dati del Data Base PDC e nel nome di tutte le tabelle contenute nel predetto schema, utilizzato dall’applicativo. Non vi è quindi traccia di ulteriori esfiltrazioni di dati, ivi compresi i dati personali dell’utenza attestata sul sistema. Successivamente al 29 ottobre e fino alla data di chiusura del sito, non si evidenziano ulteriori attacchi. Si può pertanto affermare che questo incidente non si configura come una violazione di dati personali”.

Con riferimento al portale COEWEB, l’Istat ha dichiarato di avere “analizzato i log dell’applicativo COEWEB prodotti dalle attività operate sul web server IIS contenenti anche le chiamate verso il suddetto web server, che indirizzano le query al DB XX sottostante (è il DB che contiene anche i dati personali). Tali chiamate si classificano secondo le due tipologie “GET” e “POST”. Per tutte le chiamate è stato possibile identificare l’indirizzo IP di provenienza e la tipologia (GET/POST). Per le chiamate GET è stato possibile identificare esattamente la query inviata al DB. Dall’analisi del file di log si evidenzia un attacco blind SQL injection, il cui scopo è cercare di comprendere le caratteristiche del sito attaccato tramite le sue vulnerabilità per poi recuperare informazioni. Sono stati identificati gli IP di origine dell’attacco e l’esatta durata dello stesso, che è iniziato il 29 ottobre 2020 alle 12.11 ed è terminato lo stesso giorno alle 16.22. Un elemento chiave di analisi è il fatto che l’attacco blind SQL injection è time consuming, cioè richiede tempo e query per carpire le informazioni di interesse”.

E’ stata fornita, inoltre, una “ricostruzione cronologica dell’azione del programma attaccante” in base alla quale:

- “dalle ore 12,11 alle ore 12,30 l’attaccante, attraverso specifiche chiamate a tutte le pagine di COEWEB cerca di trovare un punto di vulnerabilità. Dunque, questo lasso di tempo, si può, a tutti gli effetti, considerare una fase esplorativa da parte dell’attaccante ovvero si può affermare con certezza che nessun tipo di informazione viene esfiltrata.

- Dalle ore 12,31 alle ore 12,57 l’attaccante inizia a verificare la possibilità di un attacco di tipo sql injection e conferma di poter sfruttare questa vulnerabilità alle ore 12,57. Anche in questa fase si può affermare con certezza che nessun tipo di informazione viene esfiltrata.

- Dalle 12,58 alle ore 16.07 l’attaccante sfrutta la vulnerabilità di tipo sql injection per ottenere le informazioni relative alla struttura della base dati e ottiene tutti gli schemi dati presenti sul DB (che sono esattamente quelli pubblicati da anonymus), tra cui lo schema dati “owner” del DB. Anche in questa fase nessun dato personale viene esfiltrato.

Tenuto conto che il programma attaccante ha ottenuto solo una prima informazione relativa allo schema della base dati (e quindi né i nomi delle tabelle, né tanto meno i dati in esse contenuti), dalle 16.08 alle 16,22 ultima fase dell’attacco, si evincono circa 370 chiamate POST, e si può quindi solo ipotizzare quali informazioni l’attaccante abbia potuto potenzialmente ottenere.

Ci poniamo nello scenario peggiore, in cui l’attaccante ottiene il maggior numero di informazioni possibili con le 370 chiamate rilevate e considerate tutte efficaci allo scopo.

Avendo l’attaccante identificato l’owner del DB, gli sono necessarie almeno 16 query per ottenere i nomi delle 16 tabelle che compongono il DB, ulteriori 16 query per ottenere il numero dei campi che compongono ciascuna tabella, 214 query totali per ottenere i nomi di tutti i campi che costituiscono le tabelle, 16 query per ottenere le informazioni sul numero dei record per tabella.

Sommando tutte queste query (che si considerano, in uno scenario altamente improbabile, andate tutte a buon fine) l’attaccante ha fatto 262 query. Gli restano quindi circa 110 ulteriori query.
Considerato che delle 16 tabelle che costituiscono il DB solo la tabella n.8 e la tabella n.14 contengono dati personali (userid del sito COEWEB, password, email), riuscire a raggiungere queste informazioni con un programma automatico, che analizza in modo sequenziale le tabelle, dalla prima fino alla sedicesima, è pressoché impossibile perché il numero di query rimaste è circa 110 mentre il numero di record della prima tabella è oltre 1 milione. Quindi l’attaccante non ha potuto esfiltrare neanche le informazioni (non personali) contenute nella prima tabella, perché avrebbe avuto bisogno di almeno 1 milione di query.

L’Istituto ribadisce che tale scenario è estremamente improbabile per la tipologia di attacco e per la struttura delle tabelle in oggetto.

Successivamente al 29 ottobre e fino alla data di chiusura del sito, non si evidenziano ulteriori attacchi.

Si può ragionevolmente affermare quindi che l’attacco si sia limitato a dimostrare la vulnerabilità del sito e quanto esposto da Anonymous sia esattamente quello che si ricava dalle query analizzate”.

Alla luce di tali considerazioni, l’Istituto ha rivalutato in termini migliorativi la gravità della violazione occorsa e i connessi rischi.

2. L’attività Istruttoria

In relazione a quanto notificato e agli elementi integrativi forniti, l'Ufficio, con atto prot. n. 0045434, del 9 settembre 2021, ha notificato all’Istat, ai sensi dell'art. 166, comma 5 del Codice, l’avvio del procedimento per l'adozione dei provvedimenti, di cui all'articolo 58, paragrafo 2 del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall'Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/l l/1981).

Con il richiamato atto, l’Ufficio ha ritenuto che l’Istituto, al momento in cui si sono verificati gli attacchi sopra descritti, nell’ambito dei portali INDATA e COEWEB trattava i dati personali degli utenti abilitati ad accedervi, in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, in violazione principio di integrità e riservatezza, di cui all’art. 5, par. 1, lett. f) del Regolamento e con misure tecniche e organizzative non idonee a garantire un livello adeguato di sicurezza adeguato su base permanente in violazione dell’art. 32 del Regolamento.

Con nota del 6 ottobre 2021 (prot. n. 2628947), l’Istituto ha fatto pervenire le proprie memorie difensive, senza avanzare una specifica richiesta di audizione.

In tale ambito, in via prioritaria e in termini generali, l’Istituto ha rappresentato il di operare “nel rispetto dei principi di protezione dei dati personali”, che “è impegnato da anni nella definizione e nell’adozione di misure di sicurezza tecniche e organizzative, in un’ottica di adeguatezza delle stesse secondo la normativa vigente e le best practice di settore, con l’obiettivo di aumentare la sicurezza dei sistemi e dei processi a supporto dei trattamenti di dati personali, con un approccio basato sul rischio, in modo coerente con le linee guida Agid” e di aver “intrapreso un percorso volto a garantire l’adozione di misure adeguate di protezione dei propri sistemi. In particolare, fin dal 2017, l’Istat ha inteso rafforzare e migliorare continuamente la propria infrastruttura informatica e informativa aderendo allo standard di riferimento ISO/IEC27001” e di “ampliare il perimetro della certificazione [ISO/IEC 27001:2013] all’intera infrastruttura tecnologica a supporto della produzione statistica […] entro il 2022”.

L’Istat ha evidenziato che al momento dell’attacco i sistemi INDATA/PDC e COEWEB erano “rigidamente “segregati” dagli altri sistemi dell’Istituto mediante l’adozione di credenziali d’accesso locali che non consentissero, se violate, di accedere ad altri server”.

L’Istituto ha precisato che, tenuto conto della tipologia e quantità di dati gestititi, che lo rendono una realtà unica nello scenario delle PPAA, il percorso di adozione o rafforzamento delle misure tecniche e organizzative necessarie è determinato dando priorità “in relazione al rischio sotteso ai trattamenti di dati personali correlati a specifici sistemi”, e condizionato anche alla disponibilità di risorse economiche. A tale riguardo, è stato rappresentato che “la spesa media Istat per la sicurezza IT negli ultimi 5 anni risulta pari al 6.9 % della spesa complessiva IT”.

Ciò premesso, in riferimento alle violazioni occorse è stato ribadito che sul portale INDATA la violazione “è stata riqualificata come incidente di sicurezza e non come data breach, in quanto le uniche informazioni esfiltrate sono state lo schema del database relativo a INDATA/PDC e il nome delle tabelle in esso contenute, senza alcun dato personale” mentre sul portale COEWEB la violazione è stata riqualificata come di gravità “bassa”.

È stato inoltre precisato che “entrambi i siti, INDATA/PDC e COEWEB, consentivano la registrazione degli utenti al solo fine di agevolare gli stessi nel salvataggio delle ricerche riferibili ai dati pubblicati dall’Istat e contenuti all’interno dei due database. Il trattamento di dati personali, pertanto, riguardava la memorizzazione di un limitato numero di dati di contatto degli utenti che fornivano i dati solo al fine di svolgere la propria attività professionale ed accedere ai suddetti portali”.

L’Istituto nel sottolineare l’assenza di intenzionalità rispetto agli eventi in esame ha ribadito come essi siano stati causati da un’azione intenzionale esterna e come l’Ente abbia disposto l’immediato blocco dell’accesso ai richiamati portali e dato seguito alla migrazione degli stessi “su un’infrastruttura aggiornata e in linea con il processo standard dell’Istituto di gestione delle applicazioni ALM”.

In relazione alle misure implementate per prevenire il ripetersi di analoghi eventi futuri, l’Istat ha dichiarato che:

[OMISSIS]

[OMISSIS]

E’ stato, inoltre, sottolineato che “ad oltre 10 mesi dall’attacco informatico occorso, non sono pervenute all’Istituto segnalazioni da parte di interessati circa eventuali danni subiti riconducibili a tale evento” e che “è possibile escludere dall’ambito della violazione i dati di cui agli artt. 9 e 10 del Regolamento”.

L’Istituto, infine, ha evidenziato l’elevato grado di cooperazione con l’Autorità e di aver prontamente notificato l’evento al Garante affrontandolo con estremo scrupolo e scegliendo, in via prudenziale in attesa di determinare il livello di rischio effettivo, di porsi “nell’ipotesi dello scenario peggiore” e di comunicare la violazione agli interessati, “in modo da sensibilizzarli sugli ipotetici rischi derivanti da uno scenario di compromissione della riservatezza delle loro credenziali di accesso ai portali”. 

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Istat nella documentazione in atti e nelle memorie difensive, si osserva, in primo luogo, che:

in base al principio di integrità e riservatezza (art. 5, par. 1, lett. f) del Regolamento), i dati personali sono trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali;

nel trattamento di dati personali il titolare deve mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, la capacità di assicurare su base permanente la riservatezza dei dati e una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (art. 32 del Regolamento).

Ciò premesso, tenuto conto delle dichiarazioni raccolte nel corso dell'istruttoria - e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice " Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante" -, gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall'Ufficio con l'atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall'art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dalla Istituto Nazionale Statistica in violazione del principio di integrità e riservatezza (5, par. 1, lett. f), del Regolamento) a causa dell’assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, al momento in cui si sono verificati gli attacchi sopra descritti, nell’ambito dei portali INDATA e COEWEB (art. 32 del Regolamento). Infatti, nonostante nessun dato sia stato esfiltrato dal portale INDATA e nonostante la violazione al portale COEWEB sia stata riqualificata come di gravità “bassa”, risulta accertato che l’Istat, in qualità di titolare del trattamento e detentore di ingenti banche dati, esposte per loro stessa natura ad un’elevata probabilità di attacco, non disponeva, tenuto anche conto dello stato dell’arte tecnologico, di misure tecniche idonee a garantire su base permanente la sicurezza e la riservatezza dei dati trattati nell’ambito dei due richiamati portali.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento, causata dalla condotta dell’Istituto è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, a) e par. 5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

dalle risultanze degli atti, l'episodio risulta essere stato del tutto isolato e determinato da un’azione accidentale esterna;

la violazione, non preceduta da eventi analoghi, si è protratta per un breve periodo di tempo;

il rischio che vi sia stata una violazione della riservatezza dei dati personali degli utenti dell’applicativo COEWEB è stato calcolato, sulla base di specifici parametri quantitativi, come estremamente basso se non residuale e che comunque tali informazioni non riguardano le particolari categorie di dati o i dati relativi a condanne penali e reati, di cui agli articoli 9 e 10 del Regolamento;

non è stato possibile per l’Istituto definire il numero degli interessati coinvolti nella violazione;

il titolare ha notificato senza ingiustificato ritardo l’evento all’Autorità, ai sensi dell’art. 33 del Regolamento;

il titolare ha comunicato la violazione agli interessati, ai sensi dell’art. 34 del Regolamento;

gli interessati non hanno esposto doglianze al titolare del trattamento né subito danni dall’evento occorso;

il titolare ha successivamente previsto l’implementazione di nuove e specifiche misure tecniche e organizzative volte a prevenire il ripetersi di analoghi eventi futuri;

l’evento occorso è imputabile alla colpa lieve del titolare, che ha adottato le misure tecniche e organizzative non adeguate allo stato dell’arte per assicurare un livello di tutela e sicurezza, anche applicativa, adeguato al rischio del trattamento. In particolare, si consideri: i) che la conservazione mediante l’utilizzo di tecniche crittografiche allo stato dell’arte è una delle misure comunemente adottate per proteggere le password degli utenti di un servizio online, mentre l’Istat conservava, rispetto ai richiamati servizi, le password in chiaro o mediante un algoritmo non robusto allo stato dell’arte tecnologico; ii) l’obsolescenza dei sistemi; iii) la presenza di specifiche vulnerabilità all’interno del codice dei portali;

la condotta è stata causata dall’esigenza dell’Istat di dover dare priorità, a causa dell’elevato numero di banche dati gestite, all’implementazione delle necessarie misure tecniche e organizzative sui sistemi che espongono gli interessati a rischi maggiori in termini di gravità e probabilità;

il titolare si è dimostrato collaborativo durante tutta la fase istruttoria e procedimentale;

non sono pervenuti reclami o segnalazioni al Garante sull'accaduto.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 6.000,00 (seimila) per la violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell'art. 57, par. l, lett. a) del Regolamento, dichiara l'illiceità del trattamento dei dati personali effettuato dall’Istituto Nazionale di Statistica, con sede legale in via Cesare Balbo, 16 – 00184 Roma, cf| 80111810588, per la violazione del principio di integrità e riservatezza, di cui all’art. 5, par. 1, lett. f) del Regolamento, e dell’art. 32 del Regolamento, per l’assenza di misure tecniche e organizzative idonee a garantire sui portali INDATA e COEWEB un livello di sicurezza adeguato ai rischi presentati dal trattamento;

ORDINA

all’Istituto Nazionale di Statistica, con sede legale in via Via Cesare Balbo, 16 – 00184 Roma, cf| 80111810588, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, di pagare la somma di euro 6,000 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

all’Istituto Nazionale di Statistica di pagare la somma di euro 6,000 (seimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. n. 150 dell’1/9/2011);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 febbraio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9751194
Data
10/02/22

Argomenti


Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)