Fuga di dati a seguito dell'attacco hacker: il Garante della privacy multa l'Usl di Padova
Sono state due le bande di «pirati» ad hackerare l’Usl 6 Euganea tra la fine del 2021 e l’inizio del 2022, con un potenziale «furto» di circa 17 mila documenti contenenti dati personali. Dopo tre anni dall’attacco, l’azienda sanitaria è stata sanzionata con una multa di 22 mila euro per non aver adeguatamente protetto il sistema.
Sanzione ridotta della metà se il pagamento avverrà entro 30 giorni. L’Azienda non ha rilasciato comunicazioni ufficiali al riguardo, ma ha dichiarato che non presenterà ricorso. Referti d’esami diagnostici, esiti dei tamponi Covid, turni di lavoro e buste paga dei dipendenti ospedalieri sono solo alcune delle tante informazioni che erano state rubate. Questo è quanto emerge dal provvedimento del Garante per la privacy.
Le quantità e tipologie di dati personali e pazienti interessati si sono rivelate inferiori a quanto prospettato all’inizio: 9.520 i pazienti, invece di 23.886, le cui informazioni erano contenute in 5.763 file, al posto di 32.555. Di questi, 8535 riguardavano la salute, 985 erano dettagli anagrafici.
Tutto ha avuto inizio il 3 dicembre 2021, quando il gruppo di criminali informatici noto come Lockbit 2.0 ha richiesto un riscatto. L’Azienda non ha risposto, e, il 15 gennaio 2022, tutti i documenti sono stati pubblicati nel «dark web». Tuttavia, ora si sa che Lockbit 2.0 non era l’unica organizzazione criminale coinvolta. «L’analisi effettuata ha permesso di individuare nell’attacco subito l’operato, pressoché contemporaneo, di due differenti TA (Threat Actor): nei sistemi attaccati, infatti, sono state rinvenute tracce di due ransomware gang differenti – ha rilevato il Garante per la privacy – I due hanno operato in una timeline temporale quasi sovrapponibile, ma hanno avuto accesso ai sistemi da due punti d’ingresso differenti e hanno operato la cifratura su porzioni diverse d’infrastruttura».
Non è stato possibile risalire, però, alle modalità esatte utilizzate dagli attaccanti «a causa della cancellazione dei log», ovvero i file che contengono la registrazione sequenziale e cronologica delle operazioni effettuate da utenti o server. Successivamente l’Usl 6 Euganea «ha preso in carico la problematica introducendo una serie diversificata di misure, talune già pianificate, volte non solo ad attenuare il danno subito dagli interessati ma anche a ridurre la replicabilità dell’evento occorso».
Sul provvedimento del 17 luglio 2023 si ricorda inoltre che l’Azienda era già stata sanzionata per violazioni pertinenti. In precedenza, aveva infatti ricevuto una multa di 10 mila euro che a causa dell’invio errato di certificati di esenzione dal ticket a destinatari sbagliati, altra conseguenza dell’attacco hacker.
Fonte: Il Corriere della Sera