L’attacco ransomware compiuto dal collettivo criminale LockBit ha determinato, comunica l’Università toscana, delle violazioni di riservatezza e di disponibilità. Desta apprensione la cifratura di alcuni dati e la cancellazione di alcuni backup ad opera del collettivo cybercriminale.
Aggiornamenti dall’Università di Siena a seguito del cyberattacco condotto dalla cybergang LockBit. Dopo una prima comunicazione, pubblicata lo scorso 22 maggio, relativa al data breach provocata dall’azione cybercriminale ai danni dell’Ateneo, lo stesso ha rilasciato una nota con ulteriori aggiornamenti per gli interessati in rimando alle evidenze emerse, allo stato attuale, dall’analisi degli uffici tecnici.
In particolare, l’attacco informatico ha causato l’esfiltrazione di circa 500 gigabyte di dati, la cifratura non autorizzata e la cancellazione di alcuni backup (“la maggior parte dei dati erano repliche di servizio di dati conservati e gestiti da altri sistemi che non sono stati interessati dall’attacco e quindi sono ora nella piena disponibilità dell’Ateneo”, si legge). La violazione, nel dettaglio, ha colpito “dipendenti, consulenti e collaboratori esterni, utenti e contraenti, studenti, docenti, soggetti che ricoprono cariche sociali, persone vulnerabili e beneficiari di agevolazioni”.
Rischi e conseguenze del data breach
A seguito del cyberattacco, l’Agenzia per la cybersicurezza nazionale ha pubblicato una nota (“Ripristinati i servizi dell’Università di Siena colpita da un ransomware”), comunicando che “dopo cinque giorni di intenso lavoro, la squadra di pronto intervento dell’Agenzia per la sicurezza nazionale è riuscita a ripristinare i sistemi dell’Università che erano stati colpiti dall’attacco informatico”. Un impegno notevole, dunque, anche considerando le numerose categorie dei dati violati da LockBit. “Dati anagrafici, di contatto, di accesso e identificazione, di pagamento, reddituali, stipendiali”, precisa la nota dell’Università. E ancora, “dati relativi a documenti di riconoscimento; che rivelano l’origine razziale o etnica; relativi alla salute; che consistono in scansioni di firme autografe; relativi alla carriera studentesca o professionale; relativi ai tirocini formativi”.
A seguito del data breach, l’Ateneo ribadisce che “i rischi potenziali e le probabili conseguenze della violazione dei dati personali per gli interessati conseguenti a tale attacco, sono, tra gli altri: furto o usurpazione di identità; tentativi di frode e perdite economiche; discriminazione; trattamento dei dati esfiltrati in modo e per scopi contrari al diritto e illeciti; perdita di controllo dei dati personali; limitazioni dei diritti degli interessati; conoscenza dei dati da parte di terzi non autorizzati”.
Procedura per la gestione delle violazioni dei dati
Rispetto alle misure per contenere gli effetti negativi della violazione, l’Università di Siena spiega di aver “effettuato comunicazioni personali dirette agli interessati in merito all’esfiltrazione dei dati personali contenuti nell’immagine della carta d’identità, e di star predisponendo comunicazione personale da inviare agli interessati nella violazione di dati concernenti condizioni di disabilità”.
E ancora, di aver “predisposto un apposito punto di raccolta, concordato con la competente autorità di polizia, presso la divisione legale e avvocatura dell’Università per facilitare le denunce-querele relative all’esfiltrazione dei dati personali contenuti nell’immagine delle carte d’identità”. Nonché, di aver fatto “comunicazione all’Abi (Associazione bancaria italiana), per opportuna conoscenza e conseguente sensibilizzazione nei riguardi di particolari esigenze dei correntisti derivanti dall’attacco”.