L’autorità svedese per la protezione dei dati, l’Integritetsskyddsmyndigheten (IMY), ha avviato un’indagine dopo che una grave violazione dei dati ha rivelato informazioni personali di circa 1,5 milioni di persone.
L’incidente risale ad agosto, quando il fornitore IT Miljödata è stato colpito da un attacco ransomware su larga scala. Il fornitore serve clienti municipali e regionali in tutta la Svezia, comprese aree come Gotland, Halland, Kalmar, Varberg, Umeå, Luleå, Kiruna, Mönsterås, Karlstad e Skellefteå. Secondo quanto riferito, la violazione ha interessato più di 200 comuni e regioni.
Gli hacker sono riusciti ad accedere e pubblicare grandi volumi di dati personali sul dark web. I dati compromessi includono nomi, certificati medici, piani di riabilitazione, registri degli infortuni sul lavoro e altri dati sanitari sensibili. IMY ha detto che l’intera portata della violazione non è ancora stata determinata, ma ha sottolineato la gravità dell’incidente.
Il ministro svedese della Difesa civile, Carl-Oskar Bohlin, ha commentato pubblicamente la situazione. In una dichiarazione pubblicata su X, ha osservato che il governo prende molto sul serio tali attacchi informatici e incidenti informatici e ha riconosciuto la preoccupazione e l’incertezza che le vittime possono affrontare.
L’IMY ha avviato indagini dettagliate su Miljödata e su diverse organizzazioni interessate, tra cui la città di Göteborg, il comune di Älmhult e la regione del Västmanland. L’autorità di regolamentazione ha indicato che potrebbe ampliare la sua revisione ad altre entità. Jenny Bård, capo dell’unità di sorveglianza delle telecamere dell’IMY, ha affermato che la violazione “solleva una serie di domande su come fosse la sicurezza e quali tipi di dati personali siano stati memorizzati sui sistemi”.
In questa fase, IMY non ha fornito una tempistica per il completamento delle indagini e Miljödata non ha ancora rivelato pubblicamente come gli attori del ransomware siano riusciti a infiltrarsi nei suoi sistemi.
Il caso sottolinea il rischio rappresentato dai fornitori IT di terze parti. La violazione di un singolo fornitore ha avuto un impatto su un gran numero di istituzioni pubbliche e sui dati sanitari di una parte significativa della popolazione svedese. Gli osservatori affermano che ciò potrebbe indurre a un ulteriore esame del modo in cui le organizzazioni del settore pubblico selezionano e supervisionano i loro fornitori di servizi. Poiché i dati sanitari e professionali sono altamente sensibili, le persone interessate possono affrontare sia rischi per la privacy che potenziali discriminazioni se le informazioni vengono utilizzate in modo improprio.
Per i comuni interessati, le sfide immediate includeranno l’identificazione delle persone interessate, la notifica ai sensi della legge svedese sulla protezione dei dati e l’attuazione di rimedi e monitoraggio per prevenire l’uso improprio. Le autorità comunali che conservano o elaborano i dati esposti possono anche incorrere in danni reputazionali e sanzioni normative.
In tutta Europa, le autorità di regolamentazione stanno prestando molta attenzione a tali incidenti. L’indagine svedese fa eco a una preoccupazione più ampia secondo cui gli attacchi ransomware ai fornitori di servizi possono sfociare in incidenti di dati personali su larga scala. In questo caso, più di un milione e mezzo di persone potrebbero aver già avuto dati resi disponibili al pubblico, aumentando l’urgenza della risposta dell’autorità di regolamentazione.
Mentre le indagini procedono, l’IMY sostiene che è necessario trarre lezioni e affrontare le debolezze in modo che eventi simili siano meno probabili in futuro. L’obiettivo dell’autorità di regolamentazione sarà quello di identificare potenziali carenze, come controlli di accesso inadeguati, scarsa supervisione dei fornitori o ritardi nel rilevamento dell’intrusione, che hanno permesso alla violazione di diffondersi così ampiamente.
Le persone interessate devono monitorare i propri account personali e le comunicazioni pertinenti. Poiché sono coinvolti dati relativi alla salute, potrebbero voler verificare la presenza di segni di contatti insoliti, comunicazioni sanitarie o assicurative impreviste e tentativi di furto di identità. Sia gli enti pubblici che i singoli individui possono trarre vantaggio dal rafforzamento dell’autenticazione a più fattori, dalla revisione delle politiche di accesso dei fornitori e dalla conduzione di audit di sicurezza degli accordi con i fornitori in outsourcing.