La struttura sanitaria ha subito un attacco ransomware che, grazie ad un virus, ha bloccato l’accesso al database dell’Asl, contenente i dati di ben 842.000 tra assistiti e dipendenti.
I cybercriminali hanno chiesto un riscatto per ripristinare il funzionamento dei sistemi.
L’Asl, nel rispetto della normativa in materia protezione di dati personali, ha comunicato il data breach al Garante e l’Autorità ha aperto tempestivamente un’istruttoria per verificare le misure tecniche e organizzative adottate dalla Asl.
Dall’attività ispettiva sono emerse molteplici criticità. In particolare, l’attenzione del Garante si è focalizzata sulla mancata adozione da parte della struttura sanitaria di misure adatte a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti.
Infatti, l’accesso alla rete tramite vpn prevedeva una procedura di autenticazione basata soltanto sull’utilizzo di username-password e la scarsa segmentazione delle reti ha reso possibile la propagazione del virus all’interno dell’intera infrastruttura informatica.
Il Garante, nel sanzionare la struttura sanitaria, ha preso in considerazione due fatti: da una parte ha sottolineato come il data breach abbia coinvolto le informazioni sulla salute di un numero molto rilevante di persone, ma dall’altra ha tenuto conto anche dell’atteggiamento non intenzionale e collaborativo della Asl.
In seguito all’accaduto, infatti, l’Asl napoletana ha implementato dei sistemi volti non solo ad attenuare il danno subito dagli interessati, ma anche a ridurre la sua replicabilità. In particolare, la struttura sanitaria ha attivato una procedura di accesso alla rete tramite vpn che prevede il doppio fattore di autenticazione.
M.M.
Get real time update about this post categories directly on your device, subscribe now.