Cybersecurity : Sanzione da 25.000 Euro all’Ospedale di Alessandria
Il Garante Privacy ha recentemente inflitto una sanzione di 25.000 euro all’Azienda Ospedaliero-Universitaria SS. Antonio e Biagio e Cesare Arrigo di Alessandria, in seguito a una violazione dei dati personali verificatasi a dicembre 2022.
L’incidente, causato da un attacco informatico di tipo ransomware denominato “Ragnar Locker”, ha coinvolto numerosi soggetti tra dipendenti, consulenti e pazienti. Nonostante il grave rischio per la riservatezza dei dati, l’attacco non ha causato disservizi nei servizi sanitari erogati dall’ospedale.
L’Azienda ha notificato tempestivamente l’incidente al Garante, come previsto dal GDPR, fornendo i dettagli sull’attacco. I criminali hanno esfiltrato dati da un server interno, minacciando di vendere le informazioni se non fosse stato stabilito un contatto tramite un canale TOR entro tre giorni.
Fortunatamente, i sistemi sanitari critici, come quelli legati all’erogazione delle prestazioni, non sono stati compromessi, evitando che l’attacco si traducesse in un blocco dei servizi sanitari. Tuttavia, la violazione ha coinvolto una vasta quantità di dati, tra cui informazioni relative alla salute di pazienti.
L’ispezione condotta dal Garante ha evidenziato carenze nelle misure di sicurezza, che potrebbero aver favorito l’attacco. In particolare, l’azienda ha ammesso di non aver mantenuto adeguatamente aggiornati i propri software e di non aver implementato sistemi di sicurezza adeguati per rilevare tempestivamente le violazioni dei dati.
Inoltre, non erano presenti misure di autenticazione avanzata per l’accesso remoto tramite VPN, né sistemi per segmentare e proteggere adeguatamente le reti interne. Queste lacune hanno contribuito alla riuscita dell’attacco informatico e mette in luce le fragilità del sistema sanitario italiano nella gestione della sicurezza informatica.
Un settore, quello sanitario, per sua natura, estremamente sensibile e dipendente dalla gestione dei dati personali, specialmente quelli sanitari.
Fonte cybersecurity360.it