cybersecuritySanità ancora sotto attacco hacker: ransomware colpisce la ASL 1 Abruzzo

17 Maggio 2023
https://studioiadecola.it/wp-content/uploads/2023/05/1.png
ASCOLTA ARTICOLO

Articolo pubblicato su altalex

Divulgati milioni di dati particolari mettendo in pericolo gli interessati e a serio rischio lo svolgimento delle terapie, tra i dati esfiltrati anche quelli di Matteo Messina Denaro

Lo scorso 3 maggio i criminali della gang ransomware Monti hanno portato a compimento un attacco informatico che ha compromesso i database dell’Azienda sanitaria abruzzese divulgando milioni di dati particolari e mettendo in pericolo gli interessati e a serio rischio lo svolgimento delle terapie. Resi pubblici tutti i dati esfiltrati tra i quali anche quelli di Matteo Messina Denaro.

A causa dell’attacco informatico perpetrato ai danni dell’Azienda sanitaria locale 1 Avezzano, Sulmona, L’Aquila i criminali informatici si sono impossessati di cartelle cliniche, referti di analisi genetiche, valutazioni psicologiche di minori, documenti di inventario, ma anche di dati personali relativi ai dipendenti. Si tratta di uno degli attacchi più gravi degli ultimi mesi secondo l’Agenzia nazionale per la cybersicurezza che avrebbe dimensioni pari a 500 gb (sterminate, solo che si pensi che ogni singolo referto occupa pochi kb).

La vicenda trae origine dalla divulgazione, lo scorso 3 maggio alle ore 17.15, sul sito della gang di Ransomware Monti della notizia dell’attacco. Da lì in poi si  sono susseguite una serie di dichiarazioni accompagnate dal rilascio di piccoli pezzi di questo enorme archivio, proprio per dimostrare la serietà delle intenzioni degli attaccanti.

L’8 maggio sono stati resi pubblici altri 10 gb di dati esfiltrati, fino ad arrivare al 15 maggio data in cui, fallite probabilmente le trattative o come esercizio di forza, è stato pubblicato l’archivio integrale.

Gravità dell’attacco

Si tratta di un attacco gravissimo sia per la quantità dei dati trattati che per il tipo.

Viene spontaneo chiedersi come mai vengano spesso prese di mira dalle gang di cybercriminali le Aziende sanitarie pubbliche. I motivi sono diversi.

Da un lato, queste ultime trattano dati particolari (ossia quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, relativi alla salute o alla vita sessuale, dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale ai sensi dell’art. 9 del Regolamento europeo 679/2016 “GDPR”) che hanno un valore economico molto alto.

Dall’altro, le ASL servono un bacino di udienza molto ampio e conservano nei loro archivi anni di esami svolti e documentazione medica.

Si aggiunga che non sempre queste sterminate banche dati sono protette da misure tecniche e organizzative adeguate (art. 32 GDPR) a garantire che i dati personali sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, mediante l’adozione di idonee e preventive misure di sicurezza. L’insieme di queste caratteristiche ne fa un bersaglio molto ambito.

Possibili conseguenze

Un attacco così grave porta a delle gravi conseguenze per quanto riguarda la riservatezza dei dati. Trattandosi infatti di un enorme archivio di dati esfiltrati da una Azienda sanitaria si possono solo immaginare la vastità e la delicatezza delle informazioni ivi conservate. Allo stesso tempo non va sottaciuto il disagio causato alle prestazioni sanitarie che a causa dell’attacco non sono state erogate, come ad esempio alle terapie programmate negli scorsi giorni.

La linea dura della Regione Abruzzo e dei vertici della ASL, peraltro assolutamente condivisibile, consistente nel diniego a qualsivoglia richiesta di riscatto, non ha impedito che tali informazioni siano state diffuse sul web causando danni inimmaginabili ai cittadini interessati. Un database così ricco ha un valore cospicuo sul mercato per la tipologia e la quantità di dati trattati, oltre che per il fatto che si riferisce a persone realmente in cura e non a dati aggregati o sintetici.

Dalle notizie che circolano in rete emerge come nel database pubblicato vi siano dati relativi alla gestione degli ospedali quali password per le mail aziendali, credenziali per l’intranet, dati dei collaboratori, dei tirocinanti, tesi di laura, dati dei dipendenti (che per loro natura possono anche essere dati particolari, si pensi all’appartenenza politica o sindacale evincibile dalla busta paga).

Ancor più grave, tuttavia, sono i referti, gli esami medici, i rapporti psichiatrici e psicologici di adulti e minori (con diagnosi di sindrome di down, deficit attenzione, autismo), ma anche test dell’hiv, trapianti, aborti, il tutto a disposizione di qualunque persona abbia un minimo di competenza informatica.

Dal canto suo la gang Monti nella propria richiesta di riscatto evidenzia la superficialità nella scelta delle misure di sicurezza tecniche ed organizzative della ASL ed aizza i cittadini, i cui nominativi in parte sono stati resi noti nei giorni scorsi, ad avanzare richieste di risarcimento danni nei confronti del Titolari per ottenere ristoro del danno subito.

Conclusioni

È evidente che un accadimento di tale gravità non tarderà a produrre i suoi effetti che andranno ben oltre l’illecita diffusione di dati particolari, di fatto esponendo le vittime ad una eco di possibili conseguenze che non si esaurirà in breve tempo. Oltre, infatti, ai danni subiti nell’immediato, i pazienti della ASL abruzzese sono loro malgrado esposti ad eventuali ulteriori ricatti subiti da chiunque, in possesso di elementari competenze informatiche, potrà entrare in possesso dei loro dati. La diffusione di dati per sua natura rende impossibile raggiungere tutti i probabili destinatari. Il semplice considerare che scaricarli è un reato non fermerà, purtroppo, i numerosi curiosi.

L’evento, tuttavia, per la sua pericolosità, pone profili anche sul piano del trattamento dei dati. Si attende quindi l’intervento del Garante privacy il quale valuterà anche l’eventuale notifica (che, come è noto, ai sensi dell’art. 33 GDPR va effettuata entro 72 ore dalla scoperta) ed anche la comunicazione agli interessati che, ai sensi dell’art. 34 GDPR, va effettuata senza ingiustificato ritardo quando, come in questo caso, la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

L’auspicio è che accadimenti come quelli in commento portino ad elevare la soglia di attenzione considerata anche la crescente digitalizzazione della sanità alla quale necessariamente deve conseguire un investimento in infrastrutture che offrano maggiori garanzie di fronte a questi pericoli. Per prevenire futuri attacchi di questo tipo, è necessario che le strutture sanitarie adottino misure di sicurezza più rigorose e che aumentino gli investimenti nella protezione dei sistemi informatici della sanità. Allo stesso tempo è fondamentale educare il personale (sanitario e non) su tempi importantissimi quali la sicurezza informatica e la prevenzione degli attacchi cibernetici, con una formazione teorica sui principi di cui alla normativa comunitaria e nazionale sul trattamento dei dati, affiancata ad una più di taglio pratico nel riconoscere i tentativi più utilizzati dai criminali per introdursi abusivamente nei sistemi informatici: primo fra tutti il phishing.

https://studioiadecola.it/wp-content/uploads/2021/01/studio-legale-avvocato-iadecola-web-chiaro.png
Viale Bovio n. 161 - 64100 Teramo
348.54.44.842
PI. 01819860675
Follow on LinkedIn

Copyright © Studio Iadecola

Geminit Web Marketing