La struttura sanitaria ha subito un attacco ransomware che, grazie ad un virus, ha bloccato l’accesso al database dell’Asl, contenente i dati di ben 842.000 tra assistiti e dipendenti.
I cybercriminali hanno chiesto un riscatto per ripristinare il funzionamento dei sistemi.
L’Asl, nel rispetto della normativa in materia protezione di dati personali, ha comunicato il data breach al Garante e l’Autorità ha aperto tempestivamente un’istruttoria per verificare le misure tecniche e organizzative adottate dalla Asl.
Dall’attività ispettiva sono emerse molteplici criticità. In particolare, l’attenzione del Garante si è focalizzata sulla mancata adozione da parte della struttura sanitaria di misure adatte a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti.
Infatti, l’accesso alla rete tramite vpn prevedeva una procedura di autenticazione basata soltanto sull’utilizzo di username-password e la scarsa segmentazione delle reti ha reso possibile la propagazione del virus all’interno dell’intera infrastruttura informatica.
Il Garante, nel sanzionare la struttura sanitaria, ha preso in considerazione due fatti: da una parte ha sottolineato come il data breach abbia coinvolto le informazioni sulla salute di un numero molto rilevante di persone, ma dall’altra ha tenuto conto anche dell’atteggiamento non intenzionale e collaborativo della Asl.
In seguito all’accaduto, infatti, l’Asl napoletana ha implementato dei sistemi volti non solo ad attenuare il danno subito dagli interessati, ma anche a ridurre la sua replicabilità. In particolare, la struttura sanitaria ha attivato una procedura di accesso alla rete tramite vpn che prevede il doppio fattore di autenticazione.
M.M.
